**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS WAF
<a name="waf-chapter"></a>

AWS WAF es un firewall de aplicaciones web que le permite supervisar las solicitudes HTTP (S) que se reenvían a los recursos de aplicaciones web protegidas. Puede proteger los siguientes tipos de recursos: 
+  CloudFront Distribución en Amazon
+ API de REST de Amazon API Gateway
+ Equilibrador de carga de aplicación
+ AWS AppSync API GraphQL
+ Grupo de usuarios de Amazon Cognito
+ AWS App Runner servicio
+ AWS Instancia de acceso verificado
+ AWS Amplify

AWS WAF le permite controlar el acceso a su contenido. En función de los criterios que especifique, como las direcciones IP de las que provienen las solicitudes o los valores de las cadenas de consulta, el servicio asociado a su recurso protegido responde a las solicitudes con el contenido solicitado, con un código de estado HTTP 403 (Prohibido) o con una respuesta personalizada. 

**nota**  
También puede usarlo AWS WAF para proteger sus aplicaciones alojadas en contenedores de Amazon Elastic Container Service (Amazon ECS). Amazon ECS es un servicio de administración de contenedores muy escalable y rápido que facilita la tarea de ejecutar, detener y administrar contenedores de Docker en un clúster. Para usar esta opción, debe configurar Amazon ECS para que utilice un Application Load Balancer que esté habilitado para AWS WAF enrutar y proteger el tráfico HTTP (S) de capa 7 entre las tareas de su servicio. Para obtener más información, consulte [Equilibrio de carga de servicio](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-load-balancing.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.

**Topics**
+ [

# Comience con AWS WAF
](getting-started.md)
+ [

# Cómo AWS WAF funciona
](how-aws-waf-works.md)
+ [

# Configuración de la protección en AWS WAF
](web-acl.md)
+ [

# AWS WAF reglas
](waf-rules.md)
+ [

# AWS WAF grupos de reglas
](waf-rule-groups.md)
+ [

# Unidades de capacidad de ACL web (WCUs) en AWS WAF
](aws-waf-capacity-units.md)
+ [

# Sobredimensionar los componentes de las solicitudes web en AWS WAF
](waf-oversize-request-components.md)
+ [

# Sintaxis de expresiones regulares admitida en AWS WAF
](waf-regex-pattern-support.md)
+ [

# Conjuntos de IP y conjuntos de patrones de expresiones regulares en AWS WAF
](waf-referenced-set-managing.md)
+ [

# Solicitudes y respuestas web personalizadas en AWS WAF
](waf-custom-request-response.md)
+ [

# Etiquetado de solicitudes web en AWS WAF
](waf-labels.md)
+ [

# Mitigación inteligente de amenazas en AWS WAF
](waf-managed-protections.md)
+ [

# Protección de datos y registro del tráfico AWS WAF del paquete de protección (ACL web)
](waf-data-protection-and-logging.md)
+ [

# Probando y ajustando sus AWS WAF protecciones
](web-acl-testing.md)
+ [

# Uso AWS WAF con Amazon CloudFront
](cloudfront-features.md)
+ [

# Seguridad en el uso del AWS WAF servicio
](security.md)
+ [

# AWS WAF cuotas
](limits.md)
+ [

# Migración de sus recursos AWS WAF clásicos a AWS WAF
](waf-migrating-from-classic.md)

# Comience con AWS WAF
<a name="getting-started"></a>

 Empezar AWS WAF depende de la experiencia de consola que utilices. Ambas experiencias proporcionan acceso a la misma AWS WAF funcionalidad básica, pero difieren en la forma de configurar y administrar las protecciones de las aplicaciones web. 

 AWS WAF ofrece dos opciones para usar la consola:

 La **nueva consola** tiene como objetivo simplificar el proceso de configuración de las ACL web que requieren los flujos de trabajo de las consolas estándar. Puede usar flujos de trabajo guiados para simplificar el proceso de creación y administración de las ACL web mediante un paquete de protección. Un paquete de protección facilita el uso y la administración de la web ACLs en la consola, pero no es diferente desde el punto de vista funcional de una ACL web. Además de mejorar el proceso de configuración de la protección, la nueva consola ofrece una mayor visibilidad de las protecciones a través de paneles de seguridad, lo que facilita la supervisión del estado de seguridad dentro de la consola de AWS WAF . 

 La ** AWS WAF consola estándar** proporciona un enfoque tradicional para configurar las protecciones de firewall de aplicaciones web mediante la web ACLs. Ofrece un control detallado de las reglas individuales y los grupos de reglas, y es familiar para AWS WAF los usuarios actuales. Con esta consola, tiene un control detallado de sus configuraciones de protección, lo que le permite personalizarlas con precisión. 

**sugerencia**  
 Elija la experiencia de consola que mejor se adapte a sus necesidades. Si es la primera vez que utiliza las protecciones AWS WAF o quiere empezar a configurarlas según AWS las recomendaciones, le recomendamos que comience con la nueva experiencia de consola. Sin embargo, la experiencia estándar siempre está disponible para abrirse desde el panel de navegación de la consola. 

 En las siguientes secciones, se proporciona una guía de introducción para ambas experiencias de consola. Revise cada enfoque y seleccione el que mejor se alinee con sus requisitos de seguridad y sus preferencias operativas: 

**Topics**
+ [

# Cómo empezar a AWS WAF usar la nueva experiencia de consola
](setup-iap-console.md)
+ [

# Cómo empezar a AWS WAF utilizar la experiencia de consola estándar
](setup-existing-console.md)

# Cómo empezar a AWS WAF usar la nueva experiencia de consola
<a name="setup-iap-console"></a>

En esta sección, se explica el proceso de configuración AWS WAF mediante la nueva experiencia de consola, que proporciona flujos de trabajo de configuración simplificados y funciones de gestión de la seguridad mejoradas.

## Acceder a la experiencia de nueva consola
<a name="accessing-iap-console"></a>

Para acceder a la nueva experiencia de AWS WAF consola:

Inicia sesión en la nueva consola Consola de administración de AWS y abre la AWS WAF consola en [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 
+ En el panel de navegación, localice y seleccione **Probar la nueva experiencia**.

**nota**  
Puede cambiar entre experiencias de consola en cualquier momento usando el enlace del panel de navegación.

## Comenzar con un paquete de protección (ACL web)
<a name="getting-started-protection-packs"></a>

Este tutorial le muestra cómo crear y configurar un paquete de protección (ACL web) para proteger sus aplicaciones. Los paquetes de protección (web ACLs) proporcionan reglas de seguridad preconfiguradas adaptadas a tipos de carga de trabajo específicos.

En este tutorial, aprenderá a:
+ Cree un paquete de protección (ACL web)
+ Configure los ajustes de protección específicos de la aplicación
+ Añada AWS recursos para proteger
+ Elija y personalice las reglas
+ Configure el registro y el monitoreo

**nota**  
AWS normalmente te factura menos de 0,25 USD al día por los recursos que crees durante este tutorial. Cuando haya acabado, le recomendamos que elimine los recursos para evitar incurrir en gastos innecesarios.

### Paso 1: configurar AWS WAF
<a name="getting-started-prerequisites"></a>

Si aún no ha seguido los pasos de configuración generales de [Configuración de la cuenta para utilizar los servicios](setting-up-waf.md), hágalo ahora.

### Paso 2: Crear un paquete de protección (ACL web)
<a name="getting-started-create-protection-pack"></a>

En este paso, creará un paquete de protección (ACL web) y configurará sus ajustes básicos para que coincidan con el tipo de aplicación.

1. Inicie sesión en la nueva consola Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 

1. En el panel de navegación, selecciona **Recursos y paquetes de protección** (web). ACLs

1. En la página **Recursos y paquetes de protección (web ACLs)**, elija **Agregar paquete de protección (ACL web)**.

1. En **Cuéntenos acerca de su aplicación**, en **Categoría de aplicación**, seleccione una o más categorías que describan mejor su aplicación.

1. En **Origen de tráfico**, elija el tipo de tráfico que maneja su aplicación:
   + **API**: para aplicaciones exclusivas de API
   + **Web**: para aplicaciones exclusivas de la web
   + **Tanto API como web**: para aplicaciones que gestionan ambos tipos de tráfico

### Paso 3: Agregar recursos para proteger
<a name="getting-started-add-resources"></a>

Ahora especificará qué AWS recursos desea proteger con su paquete de protección (ACL web).

1. En **Recursos que proteger**, seleccione **Agregar recursos**.

1. Elija la categoría de AWS recurso que desee asociar a este paquete de protección (ACL web):
   +  CloudFront Distribuciones de Amazon
   + Recursos regionales

   Para obtener más información sobre los tipos de recursos, consulte [Asociar la protección a un recurso AWS](web-acl-associating.md).

### Paso 4: Elegir protecciones iniciales
<a name="getting-started-configure-protection"></a>

En este paso, seleccionará las reglas para su paquete de protección (ACL web). Para quienes usan el servicio por primera vez, recomendamos elegir la opción **Recomendado**.

AWS WAF genera las **recomendaciones** para ti en función de las selecciones que selecciones en la sección **Cuéntanos sobre tu aplicación**. Estos paquetes implementan prácticas recomendadas de seguridad según el tipo de aplicación.
+  Seleccione **Siguiente** para continuar con la configuración del paquete de protección (ACL web).

**nota**  
Si desea crear reglas personalizadas o usar la opción **Usted lo construyó**, recomendamos adquirir experiencia previa con las opciones preconfiguradas. Para obtener más información sobre la creación de reglas y paquetes de protección personalizados (web ACLs), consulte[Creación de un paquete de protección (ACL web) en AWS WAF](web-acl-creating.md).

### Paso 5: Personalizar la configuración del paquete de protección (ACL web)
<a name="getting-started-customize-settings"></a>

Ahora configurará ajustes adicionales como acciones predeterminadas, límites de velocidad y registro.

1. En **Nombre y descripción**, ingrese un nombre para su paquete de protección (web ACL). Si lo desea, introduzca una descripción.
**nota**  
No podrá cambiar el nombre después de crear el paquete de protección (web ACL).

1. En **Personalizar el paquete de protección (ACL web)**, configure los siguientes ajustes:

   1. En **Acciones de regla predeterminadas**, elija la acción predeterminada para las solicitudes que no coincidan con ninguna regla. Para obtener más información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

   1. En **Configuración de reglas**, personalice los siguientes elementos:
      + **Límites de velocidad predeterminados**: establezca límites para protegerse contra los ataques DDo S
      + **Direcciones IP**: configure allow/block listas de IP
      + **Orígenes específicos de cada país**: administre el acceso según el país

   1. Para el **destino del registro**, configure dónde desea almacenar los registros. Para obtener más información, consulte [AWS WAF destinos de registro](logging-destinations.md).

1. Revise su configuración y elija **Agregar paquete de protección (ACL web)**.

### Paso 6: Eliminar los recursos
<a name="getting-started-clean-up"></a>

Acaba de completar correctamente el tutorial. Para evitar que su cuenta acumule AWS WAF cargos adicionales, debe eliminar el paquete de protección (ACL web) que creó o modificarlo para adaptarlo a sus necesidades de producción.

**Para eliminar su paquete de protección (ACL web)**

1. En el panel de navegación, elija **Recursos y paquetes de protección (web ACLs)**.

1. Seleccione el paquete de protección (ACL web) que creó.

1. Elija el ícono de papelera y escriba “eliminar” para confirmar la eliminación.

**nota**  
Si planea usar este paquete de protección (ACL web) en producción, en lugar de eliminarlo, debe revisar y ajustar los ajustes de protección para que coincidan con los requisitos de seguridad de su aplicación.

# Cómo empezar a AWS WAF utilizar la experiencia de consola estándar
<a name="setup-existing-console"></a>

La AWS WAF consola lo guía a través del proceso de configuración AWS WAF para bloquear o permitir las solicitudes web en función de los criterios que especifique, como las direcciones IP de las que se originan las solicitudes o los valores de las solicitudes. En este paso, se crea un paquete de protección (ACL web). Para obtener más información sobre AWS WAF los paquetes de protección (web ACLs), consulte[Configuración de la protección en AWS WAF](web-acl.md).

En este tutorial se muestra cómo AWS WAF utilizarlos para realizar las siguientes tareas:
+ Configurar AWS WAF.
+ Cree una lista de control de acceso web (ACL web) mediante el asistente de la AWS WAF consola.

**Para crear una ACL web**

  1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

  1. En la página de AWS WAF inicio, selecciona **Crear ACL web**. 

  1. En **Name (Nombre)**, escriba el nombre que desea utilizar para identificar esta ACL web. 
**nota**  
No se puede cambiar el nombre después de crear la ACL web.

  1. (Opcional) En **Description - optional (Descripción: opcional)**, introduzca una descripción más larga para la ACL web si lo desea. 

  1. En **CloudWatch metric name (Nombre de métrica de CW)**, cambie el nombre predeterminado, si procede. Siga las instrucciones de la consola para ver los caracteres válidos. El nombre no puede contener caracteres especiales, espacios en blanco ni se pueden utilizar nombres de métricas reservados para AWS WAF, como "All" y "Default\$1Action".
**nota**  
No puede cambiar el nombre de la CloudWatch métrica después de crear la ACL web.

  1. En **Tipo de recurso**, elija **CloudFrontdistribuciones.** La **región** se rellena automáticamente como **Global (CloudFront)** para CloudFront las distribuciones.

  1. (Opcional) En ** AWS Recursos asociados (opcional**), elija **Agregar AWS ** recursos. En el cuadro de diálogo, elija los recursos que desea asociar y, a continuación, elija **Agregar**. AWS WAF le devuelve a la página **Describir la ACL web y los recursos asociados de AWS **. 

  1. Elija **Siguiente**.

**nota**  
AWS normalmente te factura menos de 0,25 USD al día por los recursos que crees durante este tutorial. Cuando haya completado el tutorial, le recomendamos que elimine los recursos para evitar incurrir en gastos innecesarios. 

## Paso 1: configurar AWS WAF
<a name="getting-started-aws-account"></a>

Si aún no ha seguido los pasos de configuración generales de [Configuración de la cuenta para utilizar los servicios](setting-up-waf.md), hágalo ahora.

## Paso 2: Crear una ACL web
<a name="getting-started-wizard-create-web-acl"></a>

La AWS WAF consola lo guía a través del proceso de configuración AWS WAF para bloquear o permitir las solicitudes web en función de los criterios que especifique, como las direcciones IP de las que se originan las solicitudes o los valores de las solicitudes. En este paso, va a crear una ACL web. Para obtener más información acerca de la AWS WAF web ACLs, consulte[Configuración de la protección en AWS WAF](web-acl.md).

**Para crear una ACL web**

1. Inicie sesión en Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En la página de AWS WAF inicio, selecciona **Crear ACL web**.

1. En **Name (Nombre)**, escriba el nombre que desea utilizar para identificar esta ACL web.
**nota**  
No se puede cambiar el nombre después de crear la ACL web.

1. (Opcional) En **Description - optional (Descripción: opcional)**, introduzca una descripción más larga para la ACL web si lo desea.

1. En **CloudWatch metric name (Nombre de métrica de CW)**, cambie el nombre predeterminado, si procede. Siga las instrucciones de la consola para ver los caracteres válidos. El nombre no puede contener caracteres especiales, espacios en blanco ni se pueden utilizar nombres de métricas reservados para AWS WAF, como "All" y "Default\$1Action".
**nota**  
No puede cambiar el nombre de la CloudWatch métrica después de crear la ACL web.

1. En **Tipo de recurso**, elija **CloudFrontdistribuciones.** La **región** se rellena automáticamente como **Global (CloudFront)** para CloudFront las distribuciones.

1. (Opcional) En ** AWS Recursos asociados (opcional**), elija **Agregar AWS ** recursos. En el cuadro de diálogo, elija los recursos que desea asociar y, a continuación, elija **Agregar**. AWS WAF le devuelve a la página **Describir la ACL web y los recursos asociados de AWS **.

1. Elija **Siguiente**.

## Paso 3: Agregar una regla de coincidencia de cadena
<a name="getting-started-wizard-create-string-condition"></a>

En este paso, creará una regla con una declaración de coincidencia de cadena e indicará qué hacer con las solicitudes que coinciden. Una instrucción de regla de coincidencia de cadena identifica las cadenas que desea que AWS WAF busque en una solicitud. Normalmente, una cadena se compone de caracteres ASCII imprimibles, pero puede especificar cualquier carácter comprendido entre los valores hexadecimales 0x00 y 0xFF (valores decimales 0 a 255). Además de especificar la cadena que se va a buscar, se especifica el componente de la solicitud web en el que se desea buscar, como un encabezado, una cadena de consulta o el cuerpo de la solicitud. 

Este tipo de instrucción funciona en un componente de solicitud web y requiere la siguiente configuración del componente de la solicitud: 
+ **Componente de solicitud**: la parte de la solicitud web que se va a inspeccionar, por ejemplo, una cadena de consulta o el cuerpo.
**aviso**  
Si inspeccionas el cuerpo, el **cuerpo** de **JSON**, **los encabezados** o **las cookies** de los componentes de la solicitud, consulta las limitaciones en cuanto a la cantidad de contenido que AWS WAF se puede inspeccionar. [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md) 

  Para obtener información sobre los componentes de la solicitud web, consulte [Ajustar la configuración de la declaración de reglas en AWS WAF](waf-rule-statement-fields.md).
+ Transformaciones de **texto opcionales: transformaciones** que desea AWS WAF realizar en el componente de la solicitud antes de inspeccionarlo. Por ejemplo, puede convertir a minúsculas o normalizar el espacio en blanco. Si especifica más de una transformación, las AWS WAF procesa en el orden indicado. Para obtener información, consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md).

Para obtener información adicional sobre AWS WAF las reglas, consulte[AWS WAF reglas](waf-rules.md). 

**Para crear una declaración de regla de coincidencia de cadena**

1. En la página **Add rules and rule groups (Añadir reglas y grupos de reglas)**, elija **Add rules (Añadir reglas)**, **Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas)**, **Rule builder (Generador de reglas)** y, a continuación, **Rule visual editor (Editor visual de reglas)**. 
**nota**  
La consola proporciona **Rule visual editor (Editor visual de reglas)** y también **Rule JSON editor (Editor JSON de reglas)**. El editor JSON facilita la copia de configuraciones entre sitios web ACLs y es necesario para conjuntos de reglas más complejos, como los que tienen varios niveles de anidación.   
Este procedimiento utiliza **Rule visual editor (Editor visual de reglas)**. 

1. En **Name (Nombre)**, introduzca el nombre que desea utilizar para identificar esta regla. 

1. En **Type (Tipo)**, elija **Regular rule (Regla normal)**.

1. En **If a request (Si una solicitud)**, elija **matches the statement (coincide con la declaración)**. 

   Las demás opciones son para los tipos de instrucciones de reglas lógicas. Puede utilizarlas para combinar o anular los resultados de otras instrucciones de reglas. 

1. En **Statement**, en **Inspect**, abre el menú desplegable y elige el componente de solicitud web que deseas AWS WAF inspeccionar. En este ejemplo, seleccione **Encabezado único**.

   Al elegir **Encabezado único**, también debe especificar qué encabezado desea que AWS WAF inspeccione. Escriba **User-Agent**. Este valor no distingue entre mayúsculas y minúsculas.

1. En **Match type (Tipo de coincidencia)**, decida si la cadena especificada tiene que aparecer en el encabezado `User-Agent`. 

   En este ejemplo, elija **Exactly matches string (Coincide exactamente con la cadena)**. Esto indica que AWS WAF inspecciona el encabezado del agente de usuario de cada solicitud web en busca de una cadena que sea idéntica a la cadena que especifiques.

1. En **String to match (Cadena que debe coincidir)**, especifique la cadena que quiere que AWS WAF busque. La longitud máxima de **String to match (Cadena que debe coincidir)** es de 200 caracteres. Si desea especificar un valor con codificación base64, puede especificar hasta 200 caracteres antes de la codificación.

   Para este ejemplo, introduzca. **MyAgent** AWS WAF inspeccionará el `User-Agent` encabezado de las solicitudes web para ver el valor`MyAgent`.

1. Deje el campo **Text transformation (Transformación de texto)** establecido en **None (Ninguna)**. 

1. En **Acción**, seleccione la acción que desea que realice la regla cuando coincida con una solicitud web. Para este ejemplo, elija **Recuento** y deje las demás opciones como están. La acción de recuento crea métricas para las solicitudes web que coincidan con la regla, pero no afecta a si la solicitud está permitida o bloqueada. Para obtener más información sobre estas opciones, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md) y [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md).

1. Seleccione **Agregar regla**.

## Paso 4: Añadir un grupo de reglas de reglas AWS gestionadas
<a name="getting-started-wizard-add-rule-group"></a>

AWS Managed Rules ofrece un conjunto de grupos de reglas administradas para su uso, la mayoría de los cuales son gratuitos para AWS WAF los clientes. Para obtener más información acerca de los grupos de reglas, consulte [AWS WAF grupos de reglas](waf-rule-groups.md). Agregaremos un grupo de reglas AWS administradas a esta ACL web. 

**Para agregar un grupo de reglas de reglas AWS administradas**

1. En la página **Add rules and rule groups (Añadir reglas y grupos de reglas)**, elija **Add rules (Añadir reglas)** y, a continuación, **Add managed rule groups (Añadir grupos de reglas administradas)**. 

1. En la página **Agregar grupos de reglas administradas**, amplíe la descripción de los **grupos de reglas administradas de AWS **. (También verás los anuncios que se ofrecen a los AWS Marketplace vendedores. Puedes suscribirte a sus ofertas y luego utilizarlas de la misma manera que para los grupos de reglas de AWS Managed Rules).

1. Realice lo siguiente para cada grupo de reglas que desee agregar: 

   1. En la columna **Acción**, active la opción **Agregar a la ACL web**. 

   1. Seleccione **Editar** y, en la descripción de **Reglas** del grupo de reglas, abra el menú desplegable **Anular todas las acciones de reglas** y seleccione **Count**. Se establece que la acción de todas las reglas del grupo de reglas es solo contar. Esto le permite ver cómo se comportan todas las reglas del grupo de reglas con sus solicitudes web antes de usarlas.

   1. Seleccione **Guardar reglas**.

1. En la página **Agregar grupos de reglas administradas**, elija **Agregar reglas**. De este modo, volverá a la página **Añadir reglas y grupos de reglas**.

## Paso 5: Finalizar la configuración de ACL web
<a name="getting-started-wizard-finish-webacl-options"></a>

Cuando haya terminado de añadir reglas y grupos de reglas a la configuración de ACL web, puede terminarla. Para ello, administre la prioridad de las reglas en la ACL web y configure parámetros como métricas, etiquetado y registro. 

**Para finalizar la configuración de ACL web:**

1. En la página **Add rules and rule groups (Añadir reglas y grupos de reglas)**, elija **Next (Siguiente)**. 

1. En la página **Establecer la prioridad de las reglas**, puede ver el orden de procesamiento de las reglas y los grupos de reglas en la ACL web. AWS WAF las procesa empezando por la parte superior de la lista. Para cambiar el orden de procesamiento, mueva las reglas hacia arriba o hacia abajo. Para ello, seleccione un elemento de la lista y elija **Move up (Subir)** o **Move down (Bajar)**. Para obtener más información acerca de la prioridad de regla, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md). 

1. Elija **Siguiente**.

1. En la página **Configurar métricas**, para ** CloudWatchlas métricas de Amazon**, puedes ver las métricas planificadas para tus reglas y grupos de reglas y puedes ver las opciones de muestreo de solicitudes web. Para obtener información sobre cómo ver las solicitudes muestreadas, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). Para obtener información sobre CloudWatch las métricas de Amazon, consulta[Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md). 

   Puede acceder a los resúmenes de las métricas de tráfico web en la página de la ACL web de la AWS WAF consola, en la pestaña **Resumen del tráfico**. Los paneles de la consola proporcionan resúmenes casi en tiempo real de las métricas de Amazon CloudWatch de la ACL web. Para obtener más información, consulte [Paneles de información general sobre el tráfico para paquetes de protección (web ACLs)](web-acl-dashboards.md). 

1. Elija **Siguiente**.

1. En la página **Review and create web ACL (Revisar y crear ACL web)**, revise la configuración y, a continuación, elija **Create web ACL (Crear ACL web)**. 

El asistente lo devuelve a la página **ACL web**, donde aparece la nueva ACL Web.

## Paso 6: Eliminar los recursos
<a name="getting-started-wizard-clean-up"></a>

Acaba de completar correctamente el tutorial. Para evitar que tu cuenta acumule AWS WAF cargos adicionales, limpia los AWS WAF objetos que has creado. Como alternativa, puedes cambiar la configuración para que coincida con las solicitudes web que realmente deseas gestionar. AWS WAF

**nota**  
AWS normalmente te factura menos de 0,25 USD al día por los recursos que crees durante este tutorial. Cuando haya acabado, le recomendamos que elimine los recursos para evitar incurrir en gastos innecesarios. 

**Para eliminar los objetos por los que se AWS WAF cobra**

1. En la página **ACL web**, seleccione su ACL web de la lista y elija **Editar**. 

1. En la pestaña ** AWS Recursos asociados**, para cada recurso asociado, seleccione el botón de radio situado junto al nombre del recurso y, a continuación, elija **Desasociar**. Esto disocia la ACL web de sus recursos. AWS 

1. En cada una de las pantallas siguientes, elija **Siguiente** hasta que vuelva a la página **ACL web**.

   En la página **ACL web**, seleccione su ACL web de la lista y elija **Eliminar**. 

Las reglas y las declaraciones de reglas no existen fuera de las definiciones de ACL web y los grupos de reglas. Si elimina una ACL web, se eliminarán todas las reglas individuales que haya definido en la ACL web. Cuando elimina un grupo de reglas de una ACL web, simplemente se elimina la referencia. 

# Cómo AWS WAF funciona
<a name="how-aws-waf-works"></a>

Se utiliza AWS WAF para controlar la forma en que los recursos protegidos responden a las solicitudes web HTTP (S). Para ello, defina una lista de control de acceso (ACL web) y, a continuación, asóciela a uno o más recursos de aplicaciones web que desee proteger. Los recursos asociados reenvían las solicitudes entrantes a la ACL web AWS WAF para que las inspeccione. 

La **nueva consola** simplifica el proceso de configuración de las ACL web. Introduce los paquetes de protección para optimizar la configuración sin perder control total sobre sus reglas de seguridad. 

Los paquetes de protección son la nueva ubicación de la ACL web ACLs y simplifican la administración de las ACL web en la consola, pero no modifican la funcionalidad subyacente de las ACL web. Si utiliza la consola estándar o la API, seguirá trabajando directamente con la web ACLs.

En su paquete de protección (ACL web), usted crea reglas para definir patrones de tráfico que se deben buscar en las solicitudes y para especificar las acciones que se aplicarán a las solicitudes que coincidan. Actualmente, las opciones son las siguientes: 
+ Permitir que las solicitudes vayan al recurso protegido para su procesamiento y respuesta. 
+ Bloquear las solicitudes. 
+ Contar las solicitudes. 
+ Realizar comprobaciones CAPTCHA o de desafíos para las solicitudes con el fin de verificar el uso estándar del navegador y que los usuarios son humanos. 

**AWS WAF componentes**  
Los siguientes son los componentes centrales de AWS WAF:
+ **web ACLs**: se utiliza una lista de control de acceso web (ACL web) para proteger un conjunto de AWS recursos. Cree una ACL web y defina su estrategia de protección mediante la adición de reglas. Las reglas definen los criterios para inspeccionar las solicitudes web y especifican qué acción tomar con respecto a las solicitudes que coincidan con sus criterios. También se establece una acción predeterminada para la ACL web que indica si bloquear o permitir las solicitudes que las reglas aún no hayan bloqueado o permitido. Para obtener más información acerca de la web ACLs, consulte[Configuración de la protección en AWS WAF](web-acl.md).

  Una ACL web es un AWS WAF recurso.
+ **Paquetes de protección (ACL web)**: en la nueva consola, los paquetes de protección son la nueva ubicación de la web ACLs. Durante la configuración, debe proporcionar información sobre sus aplicaciones y recursos. AWS WAF recomienda un paquete de protección adaptado a su situación y, a continuación, crea una ACL web que contiene las reglas, los grupos de reglas y las acciones definidas por el paquete de protección (ACL web) que elija. Para obtener más información sobre los paquetes de protección (web ACLs), consulte. [Configuración de la protección en AWS WAF](web-acl.md)

  Un paquete de protección (ACL web) es un AWS WAF recurso.
+ **Reglas**: cada regla contiene una instrucción que define los criterios de inspección y una acción que se debe realizar si una solicitud web cumple con los criterios. Cuando una solicitud web cumple los criterios, se produce una coincidencia. Puede configurar reglas para bloquear las solicitudes coincidentes, permitirlas pasar, contarlas o ejecutar controles de bots con respecto a ellas mediante rompecabezas de CAPTCHA o desafíos silenciosos al navegador del cliente. Para obtener más información acerca de las reglas, consulte [AWS WAF reglas](waf-rules.md). 

  Una regla no es un AWS WAF recurso. Solamente existe en el contexto de un paquete de protección (ACL web) o un grupo de reglas.
+ **Grupos de reglas**: puede definir reglas directamente dentro de un paquete de protección (ACL web) o en grupos de reglas reutilizables. AWS Reglas administradas y AWS Marketplace los vendedores proporcionan grupos de reglas administradas para su uso. También puede definir sus propios grupos de reglas. Para obtener más información acerca de los grupos de reglas, consulte [AWS WAF grupos de reglas](waf-rule-groups.md). 

  Un grupo de reglas es un AWS WAF recurso.
+ **Unidades de capacidad de ACL web (WCUs)**: se AWS WAF utilizan WCUs para calcular y controlar los recursos operativos necesarios para ejecutar las reglas, los grupos de reglas, los paquetes de protección (web ACLs) o la web ACLs. 

  Una WCU no es un AWS WAF recurso. Solamente existe en el contexto de un paquete de protección (ACL web), regla, o un grupo de reglas.

# Recursos con los que puede protegerse AWS WAF
<a name="how-aws-waf-works-resources"></a>

Puede usar un paquete de AWS WAF protección (ACL web) para proteger los tipos de recursos globales o regionales. Para ello, asocie el paquete de protección (ACL web) con los recursos que desea proteger. El paquete de protección (ACL web) y todos AWS WAF los recursos que utilice deben estar ubicados en la región en la que se encuentra el recurso asociado. Para CloudFront las distribuciones de Amazon, se establece en EE. UU. Este (Norte de Virginia).

**CloudFront Distribuciones de Amazon**  
Puede asociar un paquete de AWS WAF protección (ACL web) a una CloudFront distribución mediante la AWS WAF consola o APIs. También puede asociar un paquete de protección (ACL web) a una CloudFront distribución al crear o actualizar la propia distribución. Para configurar una asociación AWS CloudFormation, debe usar la configuración CloudFront de distribución. Para obtener información sobre Amazon CloudFront, consulta [Cómo AWS WAF controlar el acceso a tu contenido](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) en la *Guía para CloudFront desarrolladores de Amazon*.

AWS WAF está disponible en todo el mundo para CloudFront distribuciones, pero debe utilizar la región EE.UU. Este (Norte de Virginia) para crear su paquete de protección (ACL web) y cualquier recurso utilizado en el paquete de protección (ACL web), como grupos de reglas, conjuntos de IP y conjuntos de patrones de expresiones regulares. Algunas interfaces ofrecen la opción de región «Global ()CloudFront». Elegir esta opción es lo mismo que elegir la región Este de EE. UU. (Norte de Virginia) o “us-east-1“.

**Recursos regionales**  
Puede proteger los recursos regionales en todas las regiones donde AWS WAF estén disponibles. Puede ver la lista en [puntos de conexión y las cuotas AWS WAF](https://docs.aws.amazon.com/general/latest/gr/waf.html) en *Referencia general de Amazon Web Services*. 

Puede utilizar AWS WAF para proteger los siguientes tipos de recursos regionales: 
+ API de REST de Amazon API Gateway
+ Equilibrador de carga de aplicación
+ AWS AppSync API GraphQL
+ Grupo de usuarios de Amazon Cognito
+ AWS App Runner servicio
+ AWS Instancia de acceso verificado
+ AWS Amplify

Solamente puede asociar un paquete de protección (ACL web) a un equilibrador de carga de aplicación que se encuentre en Regiones de AWS. Por ejemplo, solamente puede asociar un paquete de protección (ACL web) a un equilibrador de carga de aplicación que se encuentre en AWS Outposts.

Debe crear cualquier paquete de protección (ACL web) que desee asociar a una aplicación Amplify en la región global CloudFront . Puede que ya tengas un paquete de protección regional (ACL web) Cuenta de AWS, pero no es compatible con Amplify.

El paquete de protección (ACL web) y cualquier otro AWS WAF recurso que utilice deben estar ubicados en la misma región que los recursos protegidos. Al monitorear y administrar las solicitudes web de un recurso regional protegido, AWS WAF mantiene todos los datos en la misma región que el recurso protegido. 

**Restricciones a varias asociaciones de recursos**  
Puede asociar un único paquete de protección (ACL web) a uno o más AWS recursos, con las siguientes restricciones:
+ Puede asociar cada AWS recurso a un solo paquete de protección (ACL web). La relación entre el paquete de protección (ACL web) y AWS los recursos es one-to-many. 
+ Puede asociar un paquete de protección (ACL web) a una o más CloudFront distribuciones. No puede asociar un paquete de protección (ACL web) que haya asociado a una CloudFront distribución con ningún otro tipo de AWS recurso.

# Trabajo con la experiencia de consola actualizada
<a name="working-with-console"></a>

 AWS WAF ofrece dos opciones para usar la consola:

 La **nueva consola** tiene como objetivo simplificar el proceso de configuración de las ACL web que requieren los flujos de trabajo de las consolas estándar. Puede usar flujos de trabajo guiados para simplificar el proceso de creación y administración de las ACL web mediante un paquete de protección (ACL web). Un paquete de protección (ACL web) facilita el uso y la administración de la web ACLs en la consola, pero no es diferente desde el punto de vista funcional de una ACL web. Además de mejorar el proceso de configuración de la protección, la nueva consola ofrece una mayor visibilidad de las protecciones a través de paneles de seguridad, lo que facilita la supervisión del estado de seguridad dentro de la AWS WAF consola. 

 La ** AWS WAF consola estándar** ofrece un enfoque tradicional para configurar las protecciones de firewall de aplicaciones web mediante la web ACLs. Ofrece un control pormenorizado de las reglas individuales y los grupos de reglas, y es familiar para AWS WAF los usuarios actuales. Con esta consola, tiene un control detallado de sus configuraciones de protección, lo que le permite personalizarlas con precisión. 

**sugerencia**  
 Elija la experiencia de consola que mejor se adapte a sus necesidades. Si es la primera vez que utiliza las protecciones AWS WAF o quiere empezar a configurarlas según AWS las recomendaciones, le recomendamos que comience con la nueva experiencia de consola. Sin embargo, la experiencia estándar siempre está disponible para abrirse desde el panel de navegación de la consola. 

## Paridad de características entre la experiencia de consola nueva y la estándar
<a name="feature-parity"></a>

La nueva experiencia de consola mantiene una paridad total de características con la consola existente e introduce nuevas capacidades:
+ Todas las AWS WAF funciones existentes siguen estando disponibles
+ Visibilidad mejorada a través de paneles unificados
+ Flujos de trabajo de configuración simplificados
+ Nuevas plantillas de paquetes de protección (ACL web)

**importante**  
La nueva experiencia de consola utiliza lo WAFv2 APIs mismo que la consola existente. Esto significa que los paquetes de protección creados en la nueva consola se implementan como una WAFv2 web estándar ACLs a nivel de API.

## Diferencias clave
<a name="key-differences"></a>


**Comparación de experiencias de consola**  

| Característica | Experiencia previa en AWS WAF consolas | Experiencia de consola actualizada | 
| --- | --- | --- | 
| Proceso de configuración | Flujo de trabajo de varias páginas | Interfaz de una sola página | 
| Configuración de reglas | Creación de reglas individuales | Opción para paquetes de protección preconfigurados | 
| Supervisión | Paneles de control separados | Visibilidad unificada, incluido el análisis del tráfico mediante IA | 

## Descripción de los nuevos paneles
<a name="understanding-new-dashboard"></a>

Los paneles disponibles a través de la nueva experiencia proporcionan una visibilidad unificada de su postura de seguridad mediante las siguientes visualizaciones:

**Recomendaciones de información sobre el tráfico**: AWS Threat Intelligence monitorea el tráfico permitido en las últimas dos semanas, analiza las vulnerabilidades y proporciona lo siguiente:  
+ Sugerencias de reglas basadas en el tráfico
+ Recomendaciones de seguridad específicas de la aplicación
+ Guía de optimización de la protección

**Resumen**: muestra el recuento de solicitudes para todo el tráfico en un intervalo de tiempo específico. Puede filtrar los datos de tráfico según los siguientes criterios:  
+ **Regla**: filtrar por reglas individuales dentro del paquete de protección.
+ **Acciones**: mostrar recuentos de acciones específicas aplicadas al tráfico, como Permitir, Bloquear, Captcha y Rechazar.
+ **Tipo de tráfico**: muestra solo los recuentos de tipos de tráfico específicos, como los DDo antiS o los bots.
+ **Rango de tiempo**: elegir intervalos predefinidos o establecer uno personalizado. 
+ **Hora local o UTC**: puede definir el formato horario preferido.

**Análisis del tráfico mediante IA**: proporciona una visibilidad completa de la actividad de los agentes y bots de IA:  
+ **Identificación de** los bots: nombres, organizaciones y estado de verificación de los bots.
+ **Análisis de intenciones**: patrones de propósito y comportamiento de los agentes de IA.
+ **Patrones de acceso**: puntos finales URLs y a los que se accede con mayor frecuencia.
+ **Tendencias temporales**: patrones de actividad por hora del día y tendencias históricas (de 0 a 14 días).
+ **Características del tráfico**: detección de volumen, distribución y anomalías en el tráfico de IA.

**Actividad de protección**: visualiza sus reglas de protección y cómo su orden contribuye a las acciones de terminación.  
+ **Flujo de tráfico según sus reglas**: muestra cómo fluye el tráfico a través de sus reglas. Cambie de la vista de **reglas secuenciales a la vista** de reglas **no secuenciales para ver cómo el orden de las reglas** afecta a los resultados.
+ **Acciones de la regla y sus resultados**: muestra las acciones de terminación que una regla aplicó al tráfico en el período especificado. 

**Totales de acciones**: un gráfico que visualiza la cantidad total de acciones aplicadas a solicitudes en un intervalo de tiempo. Utilice la opción **Superponer las últimas 3 horas** para comparar el intervalo de tiempo actual con el intervalo de tiempo anterior de 3 horas. Puede filtrar los datos por:   
+ **Permitir acción**
+ **Total de acciones**
+ **Acciones de Captcha**
+ **Acciones de desafío**
+ **Acciones de bloqueo**

**Todas las reglas**: un gráfico que visualiza métricas de todas las reglas dentro del paquete de protección.  
+  Utilice la opción **Superponer las últimas 3 horas** para comparar el intervalo de tiempo actual con el intervalo de tiempo anterior de 3 horas.

**Panel de información general**: ofrece una visualización completa del estado de seguridad, que incluye:  
+ **Características del tráfico**: vista general del tráfico según origen, tipos de ataque o el tipo de dispositivo del cliente que envió las solicitudes.
+ **Características de las reglas**: desglose de los ataques según las 10 reglas y acciones finales más comunes.
+ **Bots**: visualización de actividad de bots, detección, categorías y etiquetas relacionadas.
+ **Anti- DDo S**: descripción general de la actividad S detectada y mitigada en la capa 7 DDo.

# Configuración de la protección en AWS WAF
<a name="web-acl"></a>

En esta página se explica qué son los paquetes de protección (web ACLs) y cómo funcionan.

 Un paquete de protección (ACL web) le proporciona un control detallado de todas las solicitudes web HTTP(S) a las que responde su recurso protegido. Puede proteger los recursos de Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner AWS Amplify, CloudWatch Amazon AWS y Verified Access.

Puede utilizar criterios como los siguientes para permitir o bloquear solicitudes: 
+ Origen de la dirección IP de la solicitud
+ País de origen de la solicitud
+ Coincidencia de cadena o expresión regular (regex) en una parte de la solicitud
+ Tamaño de una parte determinada de la solicitud
+ Detección de código SQL o secuencias de comandos malintencionados 

También puede probar cualquier combinación de estas condiciones. Puede bloquear o contar solicitudes web que no solo cumplan las condiciones especificadas, sino que también superen un número determinado de solicitudes en un solo minuto. Puede combinar condiciones mediante el uso de operadores lógicos. También puede ejecutar rompecabezas de CAPTCHA y desafíos silenciosos a las sesiones de los clientes para las solicitudes. 

En las declaraciones de AWS WAF reglas, usted proporciona sus criterios de coincidencia y las medidas que debe tomar en caso de que se produzcan coincidencias. Puede definir las instrucciones de las reglas directamente en su paquete de protección (ACL web) y en los grupos de reglas reutilizables que use en su paquete de protección (ACL web). Para obtener una lista completa de opciones, consulte [Uso de enunciados de reglas en AWS WAF](waf-rule-statements.md) y [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).

Cuando se crea un paquete de protección (ACL web), se especifican los tipos de recursos con los que se desea usar. Para obtener información, consulte [Creación de un paquete de protección (ACL web) en AWS WAF](web-acl-creating.md). Después de definir un paquete de protección (ACL web), puede asociarlo con sus recursos para comenzar a proporcionarles protección. Para obtener más información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md). 

**nota**  
En algunas ocasiones, AWS WAF es posible que se produzca un error interno que retrase la respuesta a AWS los recursos asociados para decidir si se debe permitir o bloquear una solicitud. En esas ocasiones, CloudFront normalmente permite la solicitud o entrega el contenido, mientras que los servicios regionales suelen denegar la solicitud y no entregar el contenido.

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

**Incoherencias temporales durante las actualizaciones**  
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. 

A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios: 
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible. 
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros. 
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.

**Topics**
+ [

# Creación de un paquete de protección (ACL web) en AWS WAF
](web-acl-creating.md)
+ [

# Edición de un paquete de protección (ACL web) en AWS WAF
](web-acl-editing.md)
+ [

# Administrar el comportamiento de un grupo de reglas
](web-acl-rule-group-settings.md)
+ [

# Asociar o disociar la protección a un recurso AWS
](web-acl-associating-aws-resource.md)
+ [

# Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF
](web-acl-processing.md)
+ [

# Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF
](web-acl-default-action.md)
+ [

# Consideraciones para gestionar la inspección corporal en AWS WAF
](web-acl-setting-body-inspection-limit.md)
+ [

# Configuración de CAPTCHA, desafío y tokens en AWS WAF
](web-acl-captcha-challenge-token-domains.md)
+ [

# Ver las métricas de tráfico web en AWS WAF
](web-acl-working-with.md)
+ [

# Cómo eliminar un paquete de protección (ACL web)
](web-acl-deleting.md)

# Creación de un paquete de protección (ACL web) en AWS WAF
<a name="web-acl-creating"></a>

------
#### [ Using the new console ]

En esta sección se proporcionan los procedimientos para crear paquetes de protección (web ACLs) a través de la nueva AWS consola. 

Para crear un nuevo paquete de protección (web ACL), utilice el asistente de creación siguiendo el procedimiento indicado en esta página. 

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Inicie sesión en la nueva consola Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 

1. En el panel de navegación, selecciona **Recursos y paquetes de protección** (web). ACLs

1. En la página **Recursos y paquetes de protección (web ACLs)**, elija **Agregar paquete de protección (ACL web)**.

1. En **Háblenos de su aplicación**, en **Categoría de la aplicación**, seleccione una o más categorías de aplicaciones.

1. En **Fuente de tráfico**, elija el tipo de tráfico con el que interactúa la aplicación: **API**, **web** o **API y web**.

1. En **Recursos que proteger**, seleccione **Agregar recursos**.

1. Elija la categoría de AWS recurso que desee asociar a este paquete de protección (ACL web), ya sean CloudFront distribuciones de Amazon o recursos regionales. Para obtener más información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md). 

1. En **Elegir las protecciones iniciales,** seleccione el nivel de protección que prefiera: **Recomendado**, **Esencial** o **Usted lo construye**. 

1. (Opcional) Si eliges **Usted lo construye**, configure sus reglas.

   1. (Opcional) Si quiere agregar su propia regla, en la página **Añadir reglas**, seleccione **Regla personalizada** y, a continuación, **Siguiente**.

      1. Seleccione el tipo de regla.

      1. En **Action (Acción)**, seleccione la acción que desea que realice la regla cuando coincida con una solicitud web. Para obtener más información acerca de sus opciones, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md) y [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md).

         Si utiliza la acción **CAPTCHA** o **Challenge**, ajuste la configuración del **tiempo de inmunidad** según sea necesario para la regla. Si no especifica el valor, la regla hereda el del paquete de protección (web ACL). Para modificar el tiempo de inmunidad del paquete de protección (web ACL), edite el paquete después de crearlo. Para obtener más información sobre los tiempos de inmunidad, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).
**nota**  
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

         Si quiere personalizar la solicitud o la respuesta, elija las opciones correspondientes y complete los detalles de la personalización. Para obtener más información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

         Si quiere que su regla añada etiquetas a las solicitudes web coincidentes, elija las opciones correspondientes y rellene los detalles de la etiqueta. Para obtener más información, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).

      1. En **Name (Nombre)**, introduzca el nombre que desea utilizar para identificar esta regla. No utilice nombres que comiencen por `AWS`, `Shield`, `PreFM` o `PostFM`. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted.

      1. Introduzca la definición de la regla en función de sus necesidades. Puede combinar reglas en instrucciones de reglas lógicas `AND` y `OR`. El asistente le guía a través de las opciones para cada regla según el contexto. Para obtener información sobre las opciones de reglas, consulte [AWS WAF reglas](waf-rules.md). 

      1. Seleccione **Creación de regla**.
**nota**  
Si agrega más de una regla a un paquete de protección (ACL web), AWS WAF evalúa las reglas en el orden en que aparecen en el paquete de protección (ACL web). Para obtener más información, consulte [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md).

   1. (Opcional) Si desea agregar grupos de reglas administradas, en la página **Agregar reglas**, seleccione **Grupo de reglas administradas por AWS** o **Grupo de reglas de Marketplace AWS ** y, luego, seleccione **Siguiente**. Realice lo siguiente para cada grupo de reglas administradas que desee agregar:

      1. En la página **Añadir reglas**, amplía el listado para ver los grupos de reglas AWS gestionados o para el AWS Marketplace vendedor.

      1. Seleccione la versión del grupo de reglas.

      1. Para personalizar cómo su paquete de protección utiliza el grupo de reglas, seleccione **Editar**. A continuación se muestra la configuración de personalización común: 
         + Reduzca el alcance de las solicitudes mediante una instrucción de reducción de alcance en la sección **Inspección**. Para obtener más información acerca de esta opción, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).
         + Sobrescriba acciones de reglas específicas en **Anulación de acciones de reglas**. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener más información acerca de esta opción, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md). 
         + Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica sobre los grupos de reglas de reglas AWS gestionadas, consulta[AWS Reglas administradas para AWS WAF](aws-managed-rule-groups.md). 

      1. Elija **Siguiente**.

   1. (Opcional) Si quiere agregar su propio grupo de reglas, en la págin **Añadir reglas**, seleccione **Regla personalizada** y, a continuación, **Siguiente**. Realice lo siguiente para cada grupo de reglas que desee agregar:

      1. En **Nombre**, ingrese el nombre que desea usar para el grupo de reglas dentro de este paquete de protección (web ACL). No utilice nombres que comiencen por `AWS`, `Shield`, `PreFM` o `PostFM`. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted. Consulte [Reconocimiento de grupos de reglas proporcionados por otros servicios](waf-service-owned-rule-groups.md). 

      1. Seleccione el grupo de reglas de la lista. 

      1. (Opcional) En **Configuración de reglas**, elija una **Anulación de regla**. Puede sustituir las acciones de la regla por cualquier configuración de acción válida, del mismo modo que puede hacerlo con los grupos de reglas administradas.

      1. (Opcional) En **Añadir etiquetas**, seleccione **Añadir etiqueta** y, a continuación, ingrese las etiquetas que desee añadir a las solicitudes que coincidan con la regla. Las reglas que se evalúen posteriormente en el mismo paquete de protección (web ACL) pueden hacer referencia a las etiquetas que agrega esta regla.

      1. Seleccione **Creación de regla**.

1. En **Nombre y descripción**, ingrese un nombre para su paquete de protección (web ACL). Si lo desea, introduzca una descripción.
**nota**  
No podrá cambiar el nombre después de crear el paquete de protección (web ACL).

1. (Opcional) En **Personalizar el paquete de protección (ACL web)**, configure las acciones predeterminadas de las reglas, las configuraciones y el destino de registro:

   1. (Opcional) En **Acciones predeterminadas de las reglas**, seleccione la acción predeterminada para el paquete de protección (web ACL). Se trata de la acción que AWS WAF se realiza en respuesta a una solicitud cuando las reglas del paquete de protección (ACL web) no realizan ninguna acción de forma explícita. Para obtener más información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

   1. (Opcional) En Configuración de reglas, personalice la configuración para las reglas del paquete de protección (web ACL):
      + **Límites de velocidad predeterminados**: establezca límites de velocidad para bloquear ataques de denegación de servicio (DoS) que puedan afectar la disponibilidad, comprometer la seguridad o consumir recursos en exceso. Esta regla por velocidad bloquea las solicitudes por dirección IP que superen la tasa permitida para su aplicación. Para obtener más información, consulte [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md)
      + **Direcciones IP**: ingrese direcciones IP para bloquear o permitir. Esta configuración tiene prioridad sobre otras reglas.
      + **Orígenes específicos de cada país**: bloquee solicitudes de países específicos o contabilice todo el tráfico.

   1. Para el **destino del registro**, configure el tipo de destino de registro y el lugar donde almacenar los registros. Para obtener más información, consulte [AWS WAF destinos de registro](logging-destinations.md).

1. Revise su configuración y elija **Agregar paquete de protección (ACL web)**.

------
#### [ Using the standard console ]

En esta sección se proporcionan los procedimientos para crear una web ACLs a través de la AWS consola. 

Para crear una nueva ACL web, utilice el asistente de creación de ACL web siguiendo el procedimiento de esta página. 

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su ACL web para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

**Para crear una ACL web**

1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala desde [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Elija **web ACLs** en el panel de navegación y, a continuación, elija **Crear ACL web**.

1. En **Name (Nombre)**, escriba el nombre que desea utilizar para identificar esta ACL web. 
**nota**  
No se puede cambiar el nombre después de crear la ACL web.

1. (Opcional) En **Description - optional (Descripción: opcional)**, introduzca una descripción más larga para la ACL web si lo desea. 

1. En **CloudWatch metric name (Nombre de métrica de CW)**, cambie el nombre predeterminado, si procede. Siga las instrucciones de la consola para ver los caracteres válidos. El nombre no puede contener caracteres especiales, espacios en blanco ni nombres métricos reservados AWS WAF, como «Todos» y «Default\$1Action».
**nota**  
No puede cambiar el nombre de la CloudWatch métrica después de crear la ACL web.

1. En **Tipo de recurso**, elija la categoría de AWS recurso que desee asociar a esta ACL web, ya sea CloudFront distribuciones de Amazon o recursos regionales. Para obtener más información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).

1. En el caso de **la región**, si ha elegido un tipo de recurso regional, elija la región en la que desee AWS WAF almacenar la ACL web. 

   Solo tiene que elegir esta opción para los tipos de recursos regionales. En el caso de CloudFront las distribuciones, la región está codificada como región EE. UU. Este (Virginia del Norte) y`us-east-1`, en el caso de las aplicaciones globales (CloudFront).

1. (CloudFront, API Gateway, Amazon Cognito, App Runner y Verified Access) Para **solicitudes web, límite de tamaño de inspección (opcional**), si desea especificar un límite de tamaño de inspección corporal diferente, seleccione el límite. Inspeccionar tamaños de cuerpo superiores al valor predeterminado de 16 KB puede implicar costos adicionales. Para obtener más información acerca de esta opción, consulte [Consideraciones para gestionar la inspección corporal en AWS WAF](web-acl-setting-body-inspection-limit.md). 

1. (Opcional) Para ** AWS los recursos asociados: opcional**, si desea especificar sus recursos ahora, seleccione **Agregar AWS recursos**. En el cuadro de diálogo, elija los recursos que desee asociar y, a continuación, elija **Agregar**. AWS WAF vuelve a la página **Describa la ACL web y AWS los recursos asociados**.
**nota**  
Si decide asociar un Application Load Balancer a su ACL web, se habilita la protección a **nivel de recurso DDo S.** Para obtener más información, consulte [AWS WAF Prevención de denegación de servicio (DDoS) distribuida](waf-anti-ddos.md).

1. Elija **Siguiente**.

1. (Opcional) Si desea agregar grupos de reglas administradas, en la página **Add rules and rule groups (Añadir reglas y grupos de reglas)**, seleccione **Add rules (Añadir reglas)** y, a continuación, haga clic en **Add managed rule groups (Añadir grupos de reglas administradas)**. Realice lo siguiente para cada grupo de reglas administradas que desee agregar:

   1. En la página **Añadir grupos de reglas gestionados**, amplía la lista para ver los grupos de reglas AWS gestionados o el AWS Marketplace vendedor que elijas.

   1. En el grupo de reglas que desea agregar, en la columna **Acción**, active la opción **Añadir a la ACL web**. 

      Para personalizar la forma en que su ACL web utiliza el grupo de reglas, seleccione **Editar**. A continuación se muestra la configuración de personalización común: 
      + Anule las acciones de reglas para algunas o todas las reglas. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener más información acerca de esta opción, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md). 
      + Reduzca el alcance de las solicitudes web que inspecciona el grupo de reglas agregando una instrucción de restricción de acceso. Para obtener más información acerca de esta opción, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).
      + Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica sobre los grupos de reglas de reglas AWS administradas, consulta[AWS Reglas administradas para AWS WAF](aws-managed-rule-groups.md). 

      Cuando haya terminado con la configuración, seleccione **Guardar regla**.

   Seleccione **Add rules (Añadir reglas)** para terminar de agregar reglas administradas y volver a la página **Add rules and rule groups (Añadir reglas y grupos de reglas)**.
**nota**  
Si agrega más de una regla a una ACL web, AWS WAF evalúa las reglas en el orden en que aparecen en la ACL web. Para obtener más información, consulte [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md).

1. (Opcional) Si desea agregar su propio grupo de reglas, en la página **Add rules and rule groups (Añadir reglas y grupos de reglas)**, elija **Add rules (Añadir reglas)** y, a continuación, seleccione **Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas)**. Realice lo siguiente para cada grupo de reglas que desee agregar:

   1. En la página **Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas)**, elija **Rule group (Grupo de reglas)**.

   1. En **Nombre**, introduzca el nombre que desee usar para la regla del grupo de reglas en esta ACL web. No utilice nombres que comiencen por `AWS`, `Shield`, `PreFM` o `PostFM`. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted. Consulte [Reconocimiento de grupos de reglas proporcionados por otros servicios](waf-service-owned-rule-groups.md). 

   1. Seleccione el grupo de reglas de la lista. 
**nota**  
Si desea anular las acciones de la regla para un grupo de reglas propio, guárdelo primero en la ACL web y, a continuación, edite la ACL web y la declaración de referencia del grupo de reglas en la lista de reglas de la ACL web. Puede sustituir las acciones de la regla por cualquier configuración de acción válida, del mismo modo que puede hacerlo con los grupos de reglas administradas.

   1. Seleccione **Agregar regla**.

1. (Opcional) Si desea agregar su propia regla, en la página **Add rules and rule groups (Añadir reglas y grupos de reglas)**, elija **Add rules (Añadir reglas)**, **Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas)**, **Rule builder (Generador, de reglas)** y, a continuación, **Rule visual editor (Editor visual de reglas)**. 
**nota**  
El **Rule visual editor (Editor visual de reglas)** de la consola admite un nivel de anidamiento. Por ejemplo, puede utilizar una sola instrucción lógica `AND` o `OR` y anidar otro nivel de instrucciones en ella, pero no puede anidar instrucciones lógicas dentro de instrucciones lógicas. Para administrar instrucciones de regla más complejas, utilice el **Rule JSON editor (Editor de JSON de reglas)**. Para obtener información sobre todas las opciones de reglas, consulte [AWS WAF reglas](waf-rules.md).   
Este procedimiento abarca el **Rule visual editor (Editor visual de reglas)**. 

   1. En **Name (Nombre)**, introduzca el nombre que desea utilizar para identificar esta regla. No utilice nombres que comiencen por `AWS`, `Shield`, `PreFM` o `PostFM`. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted.

   1. Introduzca la definición de la regla en función de sus necesidades. Puede combinar reglas en instrucciones de reglas lógicas `AND` y `OR`. El asistente le guía a través de las opciones para cada regla según el contexto. Para obtener información sobre las opciones de reglas, consulte [AWS WAF reglas](waf-rules.md). 

   1. En **Action (Acción)**, seleccione la acción que desea que realice la regla cuando coincida con una solicitud web. Para obtener más información acerca de sus opciones, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md) y [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md).

      Si utiliza la acción **CAPTCHA** o **Challenge**, ajuste la configuración del **tiempo de inmunidad** según sea necesario para la regla. Si no especifica la configuración, la regla la hereda de la ACL web. Para modificar la configuración del tiempo de inmunidad de la ACL web, edite la ACL web después de crearla. Para obtener más información sobre los tiempos de inmunidad, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).
**nota**  
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

      Si quiere personalizar la solicitud o la respuesta, elija las opciones correspondientes y complete los detalles de la personalización. Para obtener más información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

      Si quiere que su regla añada etiquetas a las solicitudes web coincidentes, elija las opciones correspondientes y rellene los detalles de la etiqueta. Para obtener más información, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).

   1. Seleccione **Agregar regla**.

1. Elija la acción predeterminada para ACL web, cualquiera de Block o Allow. Esta es la acción que AWS WAF se lleva a cabo cuando las reglas de la ACL web no la permiten ni bloquean de forma explícita. Para obtener más información, consulte [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md).

   Si desea personalizar la acción predeterminada, elija las opciones correspondientes y rellene los detalles de su personalización. Para obtener más información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

1. Puede definir una **lista de dominios de token** para permitir el intercambio de tokens entre aplicaciones protegidas. Los tokens los utilizan Challenge las acciones CAPTCHA y la integración de aplicaciones SDKs que se implementan cuando se utilizan los grupos de reglas de AWS Managed Rules para el control del AWS WAF fraude, la creación de cuentas, la prevención del fraude (ACFP), el control del AWS WAF fraude, la prevención del robo de cuentas (ATP) y el control de AWS WAF bots. 

   No se admiten sufijos públicos. Por ejemplo, no puede usar `gov.au` o `co.uk` como dominio de token.

   De forma predeterminada, solo AWS WAF acepta los tokens del dominio del recurso protegido. Si agrega dominios simbólicos a esta lista, AWS WAF acepta los tokens para todos los dominios de la lista y para el dominio del recurso asociado. Para obtener más información, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists).

1. Elija **Siguiente**.

1. En la página **Definir la prioridad** de las reglas, seleccione y mueva las reglas y los grupos de reglas AWS WAF al orden en que desee procesarlos. AWS WAF procesa las reglas empezando por la parte superior de la lista. Al guardar la ACL web, AWS WAF asigna una configuración de prioridad numérica a las reglas en el orden en el que las haya colocado en la lista. Para obtener más información, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md). 

1. Elija **Siguiente**.

1. En la página **Configurar métricas**, revise las opciones y aplique las actualizaciones que necesite. Puede combinar métricas de varias fuentes proporcionándoles el mismo **nombre de CloudWatch métrica**. 

1. Elija **Siguiente**.

1. Revise las definiciones en la página **Review and create web ACL (Revisar y crear ACL web)**. Si desea cambiar cualquier área, elija el área y seleccione **Edit (Editar)**. Esto le devuelve a la página en el asistente de ACL web. Realice los cambios y, a continuación, haga clic en **Next (Siguiente)** para pasar las páginas hasta volver a la página **Review and create web ACL (Revisar y crear ACL Web)**.

1. Elija **Create web ACL (Crear ACL web)**. Su nueva ACL web aparece en la ACLs página **web**.

------

# Edición de un paquete de protección (ACL web) en AWS WAF
<a name="web-acl-editing"></a>

------
#### [ Using the new console ]

En esta sección se proporcionan los procedimientos para editar los paquetes de protección (web ACLs) a través de la AWS consola. 

Para agregar o eliminar reglas de una ACL web o cambiar los ajustes de configuración, acceda al paquete de protección (web ACL) mediante el procedimiento de esta página. Al actualizar un paquete de protección (ACL web), AWS WAF proporciona una cobertura continua a los recursos que tiene asociados al paquete de protección (ACL web). 

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

**Cómo editar un paquete de protección (ACL web)**

1. Inicie sesión en la nueva consola Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 

1. En el panel de navegación, selecciona **Recursos y paquetes de protección** (web). ACLs

1. Elija el paquete de protección (ACL web) que desea editar. La consola permite editar la tarjeta del paquete de protección (ACL web) principal y también abre un panel lateral con detalles que puede editar.

1. Edite el paquete de protección (web ACL) según sea necesario. 

   A continuación se enumeran los componentes configurables del paquete de protección (web ACL) que pueden editarse. 

   En esta sección se proporcionan los procedimientos para editar la web ACLs a través de la AWS consola. 

   Para agregar o eliminar reglas de una ACL web o cambiar los ajustes de configuración, acceda a la ACL web mediante el procedimiento de esta página. Al actualizar una ACL web, AWS WAF proporciona una cobertura continua a los recursos que tiene asociados a la ACL web. 

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su ACL web para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

**Incoherencias temporales durante las actualizaciones**  
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. 

A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios: 
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible. 
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros. 
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.

------
#### [ Using the standard console ]

En esta sección se proporcionan los procedimientos para editar la web ACLs a través de la AWS consola. 

Para agregar o eliminar reglas de una ACL web o cambiar los ajustes de configuración, acceda a la ACL web mediante el procedimiento de esta página. Al actualizar una ACL web, AWS WAF proporciona una cobertura continua a los recursos que tiene asociados a la ACL web. 

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su ACL web para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

**Para editar una ACL web**

1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala desde [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. **En el panel de navegación, selecciona web. ACLs**

1. Elegir el nombre de la ACL web que desea editar. La consola le lleva a la descripción de la ACL web. 

1. Edite la ACL web según sea necesario. Seleccione las pestañas de las áreas de configuración que le interesen y edite las configuraciones mutables. Para cada configuración que edite, al seleccionar **Guardar** y volver a la página de descripción de la ACL web, la consola guardará los cambios en la ACL web. 

   A continuación, se enumeran las pestañas que contienen los componentes de configuración de la ACL web. 
   + Pestaña **Reglas**
     + **Reglas definidas en la ACL web**: puede editar y administrar las reglas que ha definido en la ACL web de forma similar a como lo hizo durante la creación de la ACL web. 
**nota**  
No cambie los nombres de ninguna regla que no haya agregado manualmente a su ACL web. Si utilizas otros servicios para gestionar las reglas por ti, cambiar sus nombres podría eliminar o reducir su capacidad de proporcionar las protecciones previstas. AWS Shield Advanced y AWS Firewall Manager ambos pueden crear reglas en su ACL web. Para obtener información, consulte [Reconocimiento de grupos de reglas proporcionados por otros servicios](waf-service-owned-rule-groups.md).
**nota**  
Si cambia el nombre de una regla y desea que el nombre de la métrica de la regla refleje el cambio, también debe actualizar el nombre de la métrica. AWS WAF no actualiza automáticamente el nombre de la métrica de una regla cuando se cambia el nombre de la regla. Puede cambiar el nombre de la métrica al editar la regla en la consola mediante el editor de reglas de JSON. También puede cambiar ambos nombres en cualquier lista de APIs JSON que utilice para definir su paquete de protección (ACL web) o grupo de reglas.

       Para obtener información sobre la configuración de las reglas y los grupos de reglas, consulte [AWS WAF reglas](waf-rules.md) y [AWS WAF grupos de reglas](waf-rule-groups.md).
     + **Unidades de capacidad de reglas de la ACL web utilizadas**: el uso de la capacidad actual de su ACL web. Esto es solo para visualización. 
     + **Acción de ACL web predeterminada para las solicitudes que no coinciden con ninguna regla**: para obtener información sobre esta configuración, consulte [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md). 
     + **Configuraciones de CAPTCHA y desafíos de ACL web**: estos tiempos de inmunidad determinan cuánto tiempo permanece válido un token de CAPTCHA o desafío después de su adquisición. Solamente puede modificar esta configuración aquí, después de crear la ACL web. Para obtener más información sobre esta configuración, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).
     + **Lista de dominios simbólicos**: AWS WAF acepta identificadores para todos los dominios de la lista y para el dominio del recurso asociado. Para obtener más información, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists).
   + Pestaña de ** AWS recursos asociados**
     + **Límite de tamaño de inspección de las solicitudes web**: se incluye solo para las páginas web ACLs que protegen CloudFront las distribuciones. El límite de tamaño para la inspección de la carrocería determina qué parte del componente de la carrocería se envía AWS WAF para su inspección. Para obtener más información sobre esta configuración, consulte [Consideraciones para gestionar la inspección corporal en AWS WAF](web-acl-setting-body-inspection-limit.md).
     + **Recursos asociados de AWS **: la lista de recursos a los que la ACL web está asociada actualmente y que protege. Puede localizar los recursos que se encuentran dentro de la misma región que la ACL web y asociarlos a la ACL web. Para obtener más información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).
   + Pestaña **Cuerpos de respuesta personalizados**
     + Cuerpos de respuesta personalizados que están disponibles para que los utilicen las reglas de ACL web que tienen la acción establecida en Block. Para obtener más información, consulte [Envío de respuestas personalizadas para las acciones Block](customizing-the-response-for-blocked-requests.md).
   + Pestaña **Registro y métricas**
     + **Registro**: registro del tráfico que evalúa la ACL web. Para obtener información, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).
     + **Integración de Security Lake**: el estado de la recopilación de datos configurada para la web ACL en Amazon Security Lake. Para obtener más información, consulte [Recopilación de datos de AWS los servicios](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) en la *guía del usuario de Amazon Security Lake*. 
     + **Solicitudes de muestra**: información sobre las reglas que coinciden con las solicitudes web. Para obtener información sobre cómo ver las solicitudes muestreadas, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md).
     + **Configuración de protección de datos**: puede configurar la redacción y el filtrado de los datos de tráfico web para todos los datos que están disponibles para la ACL web y solo para los datos que AWS WAF envía al destino de registro de la ACL web configurado. Para obtener información sobre la protección de datos, consulte [Protección de datos y registro del tráfico AWS WAF del paquete de protección (ACL web)](waf-data-protection-and-logging.md). 
     + **CloudWatch métricas**: métricas de las reglas de su ACL web. Para obtener información sobre CloudWatch las métricas de Amazon, consulta[Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md). 

**Incoherencias temporales durante las actualizaciones**  
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. 

A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios: 
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible. 
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros. 
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.

------

# Administrar el comportamiento de un grupo de reglas
<a name="web-acl-rule-group-settings"></a>

En esta sección ,se describen las opciones para modificar cómo se utiliza un grupo de reglas en su paquete de protección (ACL web). Esta información se aplica a todos los tipos de grupos de reglas. Después de agregar un grupo de reglas a un paquete de protección (ACL web), puede sustituir las acciones de reglas individuales del grupo de reglas por Count o por cualquier otra configuración de acción de regla válida. También puede sustituir la acción resultante del grupo de reglas por Count, lo que no afecta a la forma en que se evalúan las reglas dentro del grupo de reglas. 

Para obtener información sobre estas opciones, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md).

## Invalidar acciones de reglas en un grupo de reglas
<a name="web-acl-rule-group-rule-action-override"></a>

Para cada grupo de reglas de un paquete de protección (ACL web), puede anular las acciones de la regla contenida para algunas o todas las reglas. 

El caso de uso más común es sustituir las acciones de la regla por Count para probar reglas nuevas o actualizadas. Si tiene las métricas habilitadas, recibirá métricas por cada regla que invalide. Para obtener más información acerca las pruebas, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

Puede hacer estos cambios agregando un grupo de reglas administradas al paquete de protección (ACL web) y puede implementarlos en cualquier tipo de grupo de reglas cuando edite el paquete de protección (ACL web). Estas instrucciones son para un grupo de reglas que ya se ha agregado al paquete de protección (ACL web). Consulte información adicional sobre esta opción en [Anulación de acciones de reglas de un grupo de reglas](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).

------
#### [ Using the new console ]

**Acciones de anular regla en un grupo de reglas**

1. Elija el paquete de protección (ACL web) que desea editar. La consola permite editar la tarjeta del paquete de protección (ACL web) principal y también abre un panel lateral con detalles que puede editar.

1. En la tarjeta del paquete de protección (ACL web), seleccione el enlace **Editar** situado junto a **Reglas** para abrir el panel **Administrar reglas**.

1. En la sección **Administrar reglas** del grupo de reglas, elija la regla administrada para abrir su configuración de acciones.
   + **Anular el grupo de reglas**: cambia la acción del grupo de reglas al modo Recuento, pero mantiene inalteradas todas las acciones de las reglas individuales.
   + **Anular todas las acciones de la regla**: aplica una acción de regla a todas las reglas, anulando su estado actual.
   + **Anulación de una sola regla**: aplica una acción de regla a una regla individual.

1. Cuando haya terminado de realizar los cambios, seleccione **Guardar regla**. 

------
#### [ Using the standard console ]

**Acciones de anular regla en un grupo de reglas**

1. Edite la ACL web. 

1. En la pestaña **Reglas** de la página ACL web, seleccione el grupo de reglas y, a continuación, elija **Editar**. 

1. En la sección **Reglas** del grupo de reglas, administre la configuración de las acciones según sea necesario. 
   + **Todas las reglas**: para establecer una acción de anulación para todas las reglas del grupo de reglas, abra el menú desplegable **Anular todas las acciones de reglas** y seleccione la acción de anulación. Para eliminar las anulaciones de todas las reglas, seleccione **Eliminar todas las anulaciones**. 
   + **Regla única**: para configurar una acción de anulación para una sola regla, abra el menú desplegable de la regla y seleccione la acción de anulación. Para eliminar una anulación de una regla, abra el menú desplegable de la regla y seleccione **Eliminar la anulación**.

1. Cuando haya terminado de realizar los cambios, seleccione **Guardar regla**. La configuración de la acción de regla y de la acción de anulación se muestra en la página del grupo de reglas. 

------

El siguiente ejemplo de lista JSON muestra una instrucción de grupo de reglas dentro de un paquete de protección (ACL web) que sustituye por Count las acciones de reglas `CategoryVerifiedSearchEngine` y `CategoryVerifiedSocialMedia`. En la JSON, se anulan todas las acciones de reglas proporcionando una entrada de `RuleActionOverrides` para cada regla individual.

```
{
    "Name": "AWS-AWSBotControl-Example",
   "Priority": 5, 
   "Statement": {
    "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesBotControlRuleSet",
        "RuleActionOverrides": [
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSearchEngine"
          },
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSocialMedia"
          }
        ],
        "ExcludedRules": []
    },
   "VisibilityConfig": {
       "SampledRequestsEnabled": true,
       "CloudWatchMetricsEnabled": true,
       "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

## Sustitución del resultado de la evaluación de un grupo de reglas por Count
<a name="web-acl-rule-group-action-override"></a>

Puede anular la acción derivada de la evaluación de un grupo de reglas sin alterar la forma en que se configuran o evalúan las reglas del grupo de reglas. Esta opción no se utiliza habitualmente. Si alguna regla del grupo de reglas da como resultado una coincidencia, esta anulación establece la acción resultante del grupo de reglas en Count.

**nota**  
Este es un caso de uso poco común. La mayoría de las anulaciones de acciones se realizan por regla, dentro del grupo de reglas, como se describe en [Invalidar acciones de reglas en un grupo de reglas](#web-acl-rule-group-rule-action-override).

Puede anular la acción resultante del grupo de reglas en el paquete de protección (ACL web) al agregar o editar el grupo de reglas. En la consola, abra el panel **Anular la acción del grupo de reglas (opcional)** del grupo de reglas y habilite la anulación. En la JSON, establezca `OverrideAction` en la instrucción del grupo de reglas, tal y como se muestra en la siguiente lista de ejemplo: 

```
{
   "Name": "AWS-AWSBotControl-Example",
   "Priority": 5,  
   "Statement": {
    "ManagedRuleGroupStatement": {
     "VendorName": "AWS",
     "Name": "AWSManagedRulesBotControlRuleSet"
     }
   },
    "OverrideAction": {
       "Count": {}
    },
   "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

# Asociar o disociar la protección a un recurso AWS
<a name="web-acl-associating-aws-resource"></a>

Puede utilizarlas AWS WAF para crear las siguientes asociaciones entre los paquetes de protección (web ACLs) y sus recursos: 
+ Asocie un paquete de protección (ACL web) regional a cualquiera de los recursos regionales que se indican a continuación. Para esta opción, el paquete de protección (ACL web) debe estar en la misma región que el recurso. 
  + API de REST de Amazon API Gateway
  + Equilibrador de carga de aplicación
  + AWS AppSync API GraphQL
  + Grupo de usuarios de Amazon Cognito
  + AWS App Runner servicio
  + AWS Instancia de acceso verificado
  + AWS Amplify
+ Asocie un paquete de protección global (ACL web) a una CloudFront distribución de Amazon. El paquete de protección (ACL web) global tendrá una región con codificación rígida del Este de EE. UU. (Norte de Virginia).

También puede asociar un paquete de protección (ACL web) a una CloudFront distribución al crear o actualizar la propia distribución. Para obtener más información, [consulta AWS WAF Cómo controlar el acceso a tu contenido](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) en la *Guía para CloudFront desarrolladores de Amazon*.

**Restricciones a varias asociaciones**  
Puede asociar un único paquete de protección (ACL web) a uno o más AWS recursos, de acuerdo con las siguientes restricciones:
+ Puede asociar cada AWS recurso a un solo paquete de protección (ACL web). La relación entre el paquete de protección (ACL web) y AWS los recursos es one-to-many. 
+ Puede asociar un paquete de protección (ACL web) a una o más CloudFront distribuciones. No puede asociar un paquete de protección (ACL web) que haya asociado a una CloudFront distribución con ningún otro tipo de AWS recurso.

**Restricciones adicionales**  
Se aplican las siguientes restricciones adicionales a las asociaciones de paquetes de protección (ACL web): 
+ Solamente puede asociar un paquete de protección (ACL web) a un equilibrador de carga de aplicación que se encuentre en Regiones de AWS. Por ejemplo, solamente puede asociar un paquete de protección (ACL web) a un equilibrador de carga de aplicación que se encuentre en AWS Outposts.
+ No puede asociar un grupo de usuarios de Amazon Cognito a un paquete de protección (ACL web) que utilice el grupo de reglas gestionado por la prevención del AWS WAF fraude de creación de cuentas (ACFP) de Fraud Control `AWSManagedRulesACFPRuleSet` o el grupo de reglas gestionado por la prevención de apropiación de cuentas (ATP) de AWS WAF Fraud Control. `AWSManagedRulesATPRuleSet` Para obtener información sobre la prevención del fraude en la creación de cuentas, consulte [AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)](waf-acfp.md). Para obtener información sobre la prevención de apropiación de cuentas, consulte [AWS WAF Control de fraudes y prevención de apropiación de cuentas (ATP)](waf-atp.md). 

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste sus reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

# Asociar la protección a un recurso AWS
<a name="web-acl-associating"></a>

------
#### [ Using the new console ]

1. Elija el paquete de protección (ACL web) que desea editar. La consola permite editar la tarjeta del paquete de protección (ACL web) principal y también abre un panel lateral con detalles que puede editar.

1. En la tarjeta del paquete de protección (ACL web), seleccione el enlace **Editar** situado junto a **Recursos** para abrir el panel **Administrar recursos**.

1. En la sección **Administrar recursos** del grupo de reglas, elija **Agregar recursos regionales** o **Agregar recursos globales**.

1. Elija los recursos y, después, **Agregar**.

------
#### [ Using the standard console ]

Para asociar una ACL web a un AWS recurso, lleve a cabo el siguiente procedimiento.

**Para asociar una ACL web a un AWS recurso**

1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. **En el panel de navegación, selecciona web. ACLs**

1. Elija el nombre de la ACL web que desee asociar a un recurso. La consola le lleva a la descripción de la ACL web, donde puede editarla.

1. En la pestaña ** AWS Recursos asociados**, elija **Agregar AWS recursos**.

1. Cuando se le solicite, elija el tipo de recurso, seleccione el botón de opción situado junto al recurso que desea asociar y, a continuación, elija **Agregar**. 

------

# Disociar una protección de un recurso AWS
<a name="web-acl-dissociating-aws-resource"></a>

------
#### [ Using the new console ]

1. Elija el paquete de protección (ACL web) que desea editar. La consola permite editar la tarjeta del paquete de protección (ACL web) principal y también abre un panel lateral con detalles que puede editar.

1. En la tarjeta del paquete de protección (ACL web), seleccione el enlace **Editar** situado junto a **Recursos** para abrir el panel **Administrar recursos**.

1. En la sección **Administrar recursos** del grupo de reglas, elija el recurso que desee desasociar y, luego, elija **Desasociar**.
**nota**  
Debe desasociar un recurso a la vez. No elija varios recursos. 

1. En la página de confirmación, escriba “desasociar” y, a continuación, seleccione **Desasociar**.

------
#### [ Using the standard console ]

Para disociar una ACL web de un AWS recurso, lleve a cabo el siguiente procedimiento.

**Para desasociar una ACL web de un recurso AWS**

1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. **En el panel de navegación, selecciona web. ACLs**

1. Elija el nombre de la ACL web que desee desasociar del recurso. La consola le lleva a la descripción de la ACL web, donde puede editarla.

1. En la pestaña ** AWS Recursos asociados**, seleccione el recurso del que desee desasociar esta ACL web. 
**nota**  
Debe desasociar un recurso a la vez. No elija varios recursos. 
**nota**  
Si decide asociar un Application Load Balancer a su WebACL, se habilita la protección de **nivel de recursos DDo** S. Para obtener más información, consulte [AWS WAF Prevención de denegación de servicio (DDoS) distribuida](waf-anti-ddos.md).

1. Elija **Desasociar**. La consola abrirá un cuadro de diálogo de confirmación. Confirme su elección de desasociar la ACL web del recurso. AWS 

------

# Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF
<a name="web-acl-processing"></a>

En esta sección se presenta cómo ACLs funcionan los paquetes de protección (web ACLs) y web con las reglas y los grupos de reglas.

La forma en la que un paquete de protección (ACL web) gestione una solicitud web dependerá de lo siguiente: 
+ La configuración de prioridad numérica de las reglas en el paquete de protección (ACL web) y dentro de los grupos de reglas
+ La configuración de la acción en las reglas y en el paquete de protección (ACL web)
+ Cualquier anulación que repercuta en las reglas y en los grupos de reglas que agregue

Para obtener una lista de la configuración de las acciones de reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md). 

Puede personalizar la gestión de solicitudes y respuestas en la configuración de la acción de su regla y en la configuración de acción predeterminada del paquete de protección (ACL web). Para obtener información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

**Topics**
+ [

# Cómo establecer la prioridad de las reglas
](web-acl-processing-order.md)
+ [

# Cómo AWS WAF gestiona las acciones de las reglas y los grupos de reglas
](web-acl-rule-actions.md)
+ [

# Supervisar las acciones de un grupo de reglas en AWS WAF
](web-acl-rule-group-override-options.md)

# Cómo establecer la prioridad de las reglas
<a name="web-acl-processing-order"></a>

En esta sección se explica cómo se AWS WAF utiliza la configuración de prioridad numérica para establecer el orden de evaluación de las reglas.

En un paquete de protección (ACL web) y dentro de cualquier grupo de reglas, el orden de evaluación de las reglas se determina mediante la configuración de la prioridad numérica. A cada regla de un paquete de protección (ACL web) debe asignarle una configuración de prioridad única dentro de ese paquete de protección (ACL web), y a cada regla de un grupo de reglas debe asignarle una configuración de prioridad única dentro de ese grupo de reglas. 

**nota**  
Al administrar grupos de reglas, los paquetes de protección (web ACLs), a través de la consola, le AWS WAF asignan una configuración de prioridad numérica exclusiva en función del orden de las reglas de la lista. AWS WAF asigna la prioridad numérica más baja a la regla de la parte superior de la lista y la prioridad numérica más alta a la regla de la parte inferior. 

Al AWS WAF evaluar cualquier grupo de reglas, paquete de protección (ACL web) con respecto a una solicitud web, evalúa las reglas desde la configuración de prioridad numérica más baja hasta que encuentra una coincidencia que finalice la evaluación o agote todas las reglas.

Por ejemplo, supongamos que tiene las siguientes reglas y grupos de reglas en su paquete de protección (ACL web), priorizados como se muestra:
+ Regla 1: prioridad 0
+ RuleGroupA: prioridad 100
  + Regla A1: prioridad 10 000
  + Regla A2: prioridad 20 000
+ Regla 2: prioridad 200
+ RuleGroupB: prioridad 300
  + Regla B1: prioridad 0
  + Regla B2: prioridad 1

AWS WAF evaluaría las reglas de este paquete de protección (ACL web) en el siguiente orden:
+ Rule1
+ RuleGroupUna regla A1
+ RuleGroupUna regla A2
+ Rule2
+ RuleGroupRegla B B1
+ RuleGroupRegla B: B2

# Cómo AWS WAF gestiona las acciones de las reglas y los grupos de reglas
<a name="web-acl-rule-actions"></a>

En esta sección se explica cómo se AWS WAF utilizan las reglas y los grupos de reglas para gestionar las acciones.

Al configurar las reglas y los grupos de reglas, usted elige cómo AWS WAF quiere gestionar las solicitudes web coincidentes: 
+ **Allow y Block son acciones de finalización**; las acciones Allow y Block detienen todos los demás procesamientos del paquete de protección (ACL web) en la solicitud web coincidente. Si una regla de un paquete de protección (ACL web) encuentra una coincidencia para una solicitud y la acción de la regla es Allow oBlock, esa coincidencia determina la disposición final de la solicitud web del paquete de protección (ACL web). AWS WAF no procesa ninguna otra regla del paquete de protección (ACL web) que venga después de la correspondiente. Esto se cumple en el caso de las reglas que agrega directamente al paquete de protección (ACL web) y las reglas que se encuentran en un grupo de reglas añadido. Con la acción Block, el recurso protegido no recibe ni procesa la solicitud web.
+ **Count es una acción no terminal**: cuando una regla con una acción de Count coincide con una solicitud, AWS WAF cuenta la solicitud y, a continuación, continúa procesando las siguientes reglas del conjunto de reglas del paquete de protección (ACL web). 
+ **CAPTCHAy Challenge pueden ser acciones que no terminan o terminan**: cuando una regla con una de estas acciones coincide con una solicitud, AWS WAF comprueba el estado de su token. Si la solicitud tiene un token válido, AWS WAF trata la coincidencia de forma similar a una Count coincidencia y, a continuación, continúa procesando las reglas que figuran en el conjunto de reglas del paquete de protección (ACL web). Si la solicitud no tiene un token válido, AWS WAF finaliza la evaluación y envía al cliente un acertijo de CAPTCHA o un desafío silencioso de sesión de cliente en segundo plano para que lo resuelva. 

Si la evaluación de la regla no da lugar a ninguna acción de finalización, se AWS WAF aplica la acción predeterminada del paquete de protección (ACL web) a la solicitud. Para obtener información, consulte [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md).

En su paquete de protección (ACL web), puede anular la configuración de acciones de reglas de un grupo de reglas y puede anular la acción que devuelve un grupo de reglas. Para obtener información, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md). 

**Interacción entre las acciones y la configuración de prioridades**  
Las acciones que AWS WAF se aplican a una solicitud web se ven afectadas por la configuración de prioridad numérica de las reglas del paquete de protección (ACL web). Por ejemplo, supongamos que su paquete de protección (ACL web) tiene una regla con una acción Allow y una prioridad numérica de 50, y otra regla con una acción Count y una prioridad numérica de 100. AWS WAF evalúa las reglas de un paquete de protección (ACL web)b por orden de prioridad, empezando por la configuración más baja, por lo que evaluará la regla de permiso antes que la regla de recuento. Una solicitud web que cumpla ambas reglas coincidirá primero con la regla de permiso. Dado que Allow se trata de una acción de finalización, AWS WAF detendrá la evaluación en este momento y no evaluará la solicitud según la regla de recuento. 
+ Si solo quiere incluir las solicitudes que no coincidan con la regla de permiso en las métricas de las reglas de recuento, entonces, la configuración de prioridades de las reglas podría funcionar. 
+ Por otro lado, si quiere métricas de recuento de la regla de recuento incluso para las solicitudes que coincidan con la regla de permiso, tendrá que darle a la regla de recuento una prioridad numérica inferior a la de la regla de permiso, de modo que se ejecute primero. 

Para obtener más información acerca de la configuración de prioridad, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md). 

# Supervisar las acciones de un grupo de reglas en AWS WAF
<a name="web-acl-rule-group-override-options"></a>

Esta sección explica cómo anular las acciones de un grupo de reglas.

Cuando agrega un grupo de reglas a su paquete de protección (ACL web), puede anular las acciones que realiza cuando las solicitudes web coinciden. Si se anulan las acciones de un grupo de reglas en la configuración del paquete de protección (ACL web), no se altera el grupo de reglas en sí. Solo altera la forma en que se AWS WAF usa el grupo de reglas en el contexto del paquete de protección (ACL web). 

## Anulación de acciones de reglas de un grupo de reglas
<a name="web-acl-rule-group-override-options-rules"></a>

Puede anular las acciones de las reglas dentro de un grupo de reglas para cualquier acción de regla válida. Al hacerlo, las solicitudes coincidentes se gestionan exactamente como si la acción de regla configurada fuera la configuración de anulación. 

**nota**  
Las acciones de la regla pueden ser de finalización o no. Una acción de finalización detiene la evaluación de la solicitud por parte del paquete de protección (ACL web) y permite que continúe con la aplicación protegida o la bloquea. 

Estas son las opciones de la acción de la regla: 
+ **Allow**— AWS WAF permite reenviar la solicitud al AWS recurso protegido para su procesamiento y respuesta. Se trata de una acción de finalización. En las reglas que defina, puede insertar encabezados personalizados en la solicitud antes de reenviarla al recurso protegido.
+ **Block**— AWS WAF bloquea la solicitud. Se trata de una acción de finalización. De forma predeterminada, el AWS recurso protegido responde con un código de `403 (Forbidden)` estado HTTP. En las reglas que defina, puede personalizar la respuesta. Cuando AWS WAF bloquea una solicitud, la configuración de la Block acción determina la respuesta que el recurso protegido envía al cliente. 
+ **Count**— AWS WAF cuenta la solicitud pero no determina si se permite o se bloquea. Se trata de una acción no terminal. AWS WAF continúa procesando las reglas restantes en el paquete de protección (ACL web). En las reglas que defina, puede insertar encabezados personalizados en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas.
+ **CAPTCHAy Challenge**: AWS WAF usa acertijos CAPTCHA y desafíos silenciosos para verificar que la solicitud no proviene de un bot, y AWS WAF usa fichas para rastrear las respuestas recientes de los clientes que han obtenido buenos resultados. 

  Los rompecabezas de CAPTCHA y los desafíos silenciosos solo se pueden ejecutar cuando los navegadores acceden a los puntos de conexión HTTPS. Los clientes del navegador deben ejecutarse en contextos seguros para poder adquirir los tókenes. 
**nota**  
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

  Estas acciones de regla pueden ser de finalización o no, según el estado del token de la solicitud: 
  + No se **cancela para un token válido y no caducado: si el token** es válido y no ha caducado según el CAPTCHA configurado o el tiempo de inmunidad de impugnación, AWS WAF tramita la solicitud de forma similar a la acción. Count AWS WAF continúa inspeccionando la solicitud web en función de las demás reglas del paquete de protección (ACL web). Al igual que en la configuración de Count, en las reglas que defina, puede configurar opcionalmente estas acciones con encabezados personalizados para insertarlos en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas. 
  + **Finalizar con una solicitud bloqueada de un token no válido o caducado**: si el token no es válido o la marca de tiempo indicada ha caducado, AWS WAF finaliza la inspección de la solicitud web y bloquea la solicitud, de forma similar a como se ha hecho antes. Block AWS WAF a continuación, responde al cliente con un código de respuesta personalizado. PuesCAPTCHA, si el contenido de la solicitud indica que el navegador del cliente puede gestionarla, AWS WAF envía un acertijo CAPTCHA en un JavaScript intersticial, diseñado para distinguir a los clientes humanos de los bots. Para elloChallenge, AWS WAF envía un JavaScript intersticial con un desafío silencioso diseñado para distinguir los navegadores normales de las sesiones ejecutadas por bots. 

  Para obtener información adicional, consulta [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).

Para obtener información acerca de cómo utilizar esta acción, consulte [Invalidar acciones de reglas en un grupo de reglas](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

### Anulación de la acción de regla para Count
<a name="web-acl-rule-group-override-to-count"></a>

El caso de uso más común para anular las acciones de reglas es anular algunas o todas las acciones de la regla para Count, con el fin de probar y supervisar el comportamiento de un grupo de reglas antes de ponerlo en producción. 

También puede utilizar esto para solucionar problemas relacionados con un grupo de reglas que esté generando falsos positivos. Los falsos positivos se producen cuando un grupo de reglas bloquea el tráfico que no se espera que bloquee. Si identifica una regla dentro de un grupo de reglas que bloquee solicitudes que desea permitir, puede mantener la anulación de la acción de recuento en esa regla para evitar que actúe sobre sus solicitudes.

Para obtener más información acerca de cómo utilizar la anulación de la acción de las reglas en las pruebas, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

### Lista de JSON: `RuleActionOverrides` reemplaza a `ExcludedRules`
<a name="web-acl-rule-group-override-replaces-exclude"></a>

Si configuró las acciones de las reglas del grupo de reglas Count en la configuración de su paquete de protección (ACL web) antes del 27 de octubre de 2022, AWS WAF guarde las anulaciones en el JSON del paquete de protección (ACL web) como. `ExcludedRules` Ahora la configuración JSON para anular una regla en Count se encuentra en la configuración `RuleActionOverrides`. 

Le recomendamos que actualice todas las configuraciones de `ExcludedRules` de sus listas JSON a las configuraciones de `RuleActionOverrides` con la acción establecida en Count. La API acepta cualquier configuración, pero si solo utiliza la nueva configuración de `RuleActionOverrides`, conseguirá coherencia en sus listas JSON entre el trabajo de la consola y el de la API. 

**nota**  
En la AWS WAF consola, la pestaña de **solicitudes muestreadas** del paquete de protección (ACL web) no muestra ejemplos de reglas con la configuración anterior. Para obtener más información, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). 

Al utilizar la AWS WAF consola para editar la configuración del grupo de reglas existente, la consola convierte automáticamente cualquier `ExcludedRules` configuración del JSON en `RuleActionOverrides` configuración, con la acción de anulación establecida en. Count 
+ Ejemplo de configuración actual: 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ Ejemplo de configuración anterior: 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## Anulación de la acción de retorno del grupo de reglas para Count
<a name="web-acl-rule-group-override-options-rule-group"></a>

Puede anular la acción que devuelve el grupo de reglas, configurándola en Count. 

**nota**  
Esta no es una buena opción para probar las reglas de un grupo de reglas, ya que no altera la forma en que AWS WAF se evalúa el propio grupo de reglas. Solo afecta a la forma en AWS WAF que se gestionan los resultados que se devuelven al paquete de protección (ACL web) tras la evaluación del grupo de reglas. Si desea probar las reglas de un grupo de reglas, utilice la opción descrita en la sección anterior, [Anulación de acciones de reglas de un grupo de reglas](#web-acl-rule-group-override-options-rules).

Al anular la acción del grupo de reglas paraCount, AWS WAF procesa la evaluación del grupo de reglas con normalidad. 

Si ninguna regla del grupo de reglas coincide o si todas las reglas coincidentes tienen una acción Count, esta anulación no afecta al procesamiento del grupo de reglas ni al paquete de protección (ACL web).

La primera regla del grupo de reglas que coincide con una solicitud web y que tiene una acción de regla de finalización hace AWS WAF que deje de evaluar el grupo de reglas y devuelva el resultado de la acción de finalización al nivel de evaluación del paquete de protección (ACL web). En este punto, en la evaluación del paquete de protección (ACL web), entra en vigor esta anulación. AWS WAF anula la acción de finalización para que el resultado de la evaluación del grupo de reglas sea solo una acción. Count AWS WAF a continuación, continúa procesando el resto de las reglas del paquete de protección (ACL web).

Para obtener información acerca de cómo utilizar esta acción, consulte [Sustitución del resultado de la evaluación de un grupo de reglas por Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override).

# Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF
<a name="web-acl-default-action"></a>

En esta sección se explica cómo funcionan las acciones predeterminadas del paquete de protección (ACL web).

Al crear y configurar un paquete de protección (ACL web), debe establecer la acción predeterminada del paquete de protección (ACL web). AWS WAF aplica esta acción a cualquier solicitud web que supere todas las evaluaciones de reglas del paquete de protección (ACL web) sin que se le aplique una acción de finalización. Una acción de finalización detiene la evaluación de la solicitud por parte del paquete de protección (ACL web) y permite que continúe con la aplicación protegida o la bloquea. Para obtener información sobre las acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).

La acción predeterminada del paquete de protección (ACL web) debe determinar la disposición final de la solicitud web, por lo que se trata de una acción de finalización: 
+ **Allow**: si desea permitir que la mayoría de los usuarios pueda acceder a su sitio web, pero desea bloquear el acceso a atacantes cuyas solicitudes provienen de direcciones IP específicas o cuyas solicitudes parecen contener código SQL malicioso o valores específicos, elija Allow como la acción predeterminada. A continuación, cuando agregue reglas a su paquete de protección (ACL web), agregue reglas que identifiquen y bloqueen las solicitudes específicas que desea bloquear. Con esta acción puede insertar encabezados personalizados en la solicitud antes de reenviarla al recurso protegido.
+ **Block**: si desea evitar que la mayoría de posibles usuarios acceda a su sitio web, pero desea permitir el acceso a los usuarios cuyas solicitudes provienen de direcciones IP específicas o cuyas solicitudes contienen valores específicos, elija Block como la acción predeterminada. A continuación, cuando agregue reglas a su paquete de protección (ACL web), agregue reglas que identifiquen y permitan las solicitudes específicas que desea permitir. De forma predeterminada, para la Block acción, el AWS recurso responde con un código de `403 (Forbidden)` estado HTTP, pero puede personalizar la respuesta. 

Para obtener información sobre cómo personalizar las solicitudes y las respuestas, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

La configuración de sus propias reglas y grupos de reglas depende en parte de si desea permitir o bloquear la mayoría de las solicitudes web. Por ejemplo, si desea *permitir* la mayoría de las solicitudes, tiene que configurar la acción predeterminada del paquete de protección (ACL web) en Allow y, a continuación, agregar reglas que identifiquen las solicitudes web que desea *bloquear*, como las siguientes:
+ Las solicitudes que provengan de direcciones IP que realizan un número excesivo de solicitudes
+ Las solicitudes que proceden de países en los que no opera o que con frecuencia son origen de ataques
+ Las solicitudes que incluyen valores falsos en el encabezado `User-agent`
+ Las solicitudes que parecen incluir código SQL malicioso

Las reglas de los grupos de reglas administradas suelen utilizar la acción Block, pero no todas. Por ejemplo, algunas reglas que se utilizan para el control de bots utilizan la configuración de la acciones de CAPTCHA y Challenge. Para obtener información acerca de los grupos de reglas administradas, consulte [Uso de grupos de reglas gestionados en AWS WAF](waf-managed-rule-groups.md).

# Consideraciones para gestionar la inspección corporal en AWS WAF
<a name="web-acl-setting-body-inspection-limit"></a>

El límite de tamaño corporal para la inspección es el tamaño corporal máximo solicitado que AWS WAF se puede inspeccionar. Cuando el cuerpo de una solicitud web supera el límite, el servicio de alojamiento subyacente solo reenvía el contenido que se encuentra dentro del límite AWS WAF para su inspección. 
+ Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB (8.192 bytes).
+ Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB (16 384 bytes) y puede aumentarlo para cualquiera de los tipos de recursos en incrementos de 16 KB, hasta 64 KB. Las opciones de configuración son 16 KB, 32 KB, 48 KB y 64 KB. 

**importante**  
AWS WAF no admite las normas de inspección del organismo solicitante para el tráfico de gRPC. Si habilitaste estas reglas en el paquete de protección (ACL web) de una CloudFront distribución o Application Load Balancer, cualquier solicitud que utilice gRPC ignorará las reglas de inspección del cuerpo de la solicitud. Se seguirán aplicando todas AWS WAF las demás reglas. Para obtener más información, consulte [Habilitar AWS WAF para distribuciones](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) en la *Guía para CloudFront desarrolladores de Amazon*. 

**Gestión de cuerpos sobredimensionados**  
Si el tráfico web incluye cuerpos que superan el límite, se aplicará la gestión de sobredimensionamiento configurada. Para obtener información sobre sus opciones de gestión de cuerpos sobredimensionados, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). 

**Consideraciones de precio para aumentar el límite**  
AWS WAF cobra una tarifa base por inspeccionar el tráfico que está dentro del límite predeterminado para el tipo de recurso. 

 CloudFrontEn el caso de los recursos de API Gateway, Amazon Cognito, App Runner y Verified Access, si aumentas el límite establecido, el tráfico que AWS WAF se puede inspeccionar incluye el tamaño de las personas hasta el nuevo límite. Solo se le cobrará un suplemento por la inspección de las solicitudes que tengan un tamaño de cuerpo superior al predeterminado de 16 KB. Para obtener más información sobre los precios, consulte [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

**Opciones para modificar el límite de tamaño de la inspección del cuerpo**  
Puede configurar el límite de tamaño de la inspección corporal para los CloudFront recursos de API Gateway, Amazon Cognito, App Runner o Verified Access. 

Al crear o editar un paquete de protección (ACL web), puede modificar el límite de tamaño de la inspección del cuerpo en las configuraciones de asociación de recursos. Para la API, consulte la configuración de asociación del paquete de protección (ACL web) en [AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html). En el caso de la consola, consulte la configuración en la página en la que se especifican los recursos asociados del paquete de protección (ACL web). Para obtener instrucciones sobre la configuración de la consola, consulte [Ver las métricas de tráfico web en AWS WAF](web-acl-working-with.md). 

# Configuración de CAPTCHA, desafío y tokens en AWS WAF
<a name="web-acl-captcha-challenge-token-domains"></a>

Puede configurar las opciones de su paquete de protección (ACL web) para las reglas que utilizan las acciones de las reglas CAPTCHA o Challenge reglas y para la integración de aplicaciones SDKs que gestionan los desafíos silenciosos de los clientes en materia de protecciones AWS WAF gestionadas. 

Estas características mitigan la actividad de los bots al desafiar a los usuarios finales con rompecabezas de CAPTCHA y al plantear a las sesiones de los clientes desafíos silenciosos. Cuando el cliente responde correctamente, AWS WAF proporciona un token para que lo utilice en su solicitud web, con una marca de tiempo con las últimas respuestas acertadas a rompecabezas y desafíos. Para obtener más información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).

En la configuración de su paquete de protección (ACL web), puede configurar la forma en que AWS WAF administra estos tokens: 
+ **Tiempos de inmunidad de un CAPTCHA y un desafío**: especifican durante cuánto tiempo sigue siendo válido una marca de tiempo de un CAPTCHA o desafío. La configuración del paquete de protección (ACL web) la heredan todas las reglas que no tienen configurados sus propios ajustes de tiempo de inmunidad y también se heredan de la integración de la aplicación SDKs. Para obtener más información, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).
+ **Dominios simbólicos**: de forma predeterminada, solo AWS WAF acepta los tokens del dominio del recurso al que está asociado el paquete de protección (ACL web). Si configura una lista de dominios simbólicos, AWS WAF acepta los tokens de todos los dominios de la lista y del dominio del recurso asociado. Para obtener más información, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists).

# Ver las métricas de tráfico web en AWS WAF
<a name="web-acl-working-with"></a>

En esta sección se explica cómo acceder a los resúmenes de las métricas de tráfico web.

Para cualquier paquete de protección (ACL web) que utilice, puede acceder a los resúmenes de las métricas de tráfico web en la página del paquete de protección (ACL web) de la AWS WAF consola, en la pestaña **Descripción general del tráfico**. Los paneles de la consola proporcionan resúmenes casi en tiempo real de las CloudWatch métricas de Amazon que AWS WAF recopila cuando evalúa el tráfico web de tu aplicación. Para obtener más información acerca de los paneles, consulte [Paneles de información general sobre el tráfico para paquetes de protección (web ACLs)](web-acl-dashboards.md). Para obtener información adicional sobre la supervisión del tráfico del paquete de protección (ACL web), consulte [Supervisión y ajuste de sus AWS WAF protecciones](web-acl-testing-activities.md).

# Cómo eliminar un paquete de protección (ACL web)
<a name="web-acl-deleting"></a>

En esta sección se proporcionan los procedimientos para eliminar paquetes de protección (web ACLs) a través de la AWS consola. 

**importante**  
La eliminación de un paquete de protección (ACL web) es permanente y no se puede deshacer.

Para eliminar un paquete de protección (ACL web), primero debe desasociar todos los AWS recursos del paquete de protección (ACL web). Realice el siguiente procedimiento.

------
#### [ Using the new console ]

1. Inicie sesión en el nuevo archivo Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 

1. En el panel de navegación, selecciona **Recursos y paquetes de protección** (web). ACLs

1. En la tarjeta del paquete de protección (ACL web), seleccione el enlace **Editar** situado junto a **Recursos** para abrir el panel **Administrar recursos**.

1. En la sección **Administrar recursos** del grupo de reglas, elija el recurso que desee desasociar y, luego, elija **Desasociar**.
**nota**  
Debe desasociar un recurso a la vez. No elija varios recursos. 

1. En la página de confirmación, escriba “desasociar” y, a continuación, seleccione **Desasociar**. Repita este procedimiento para desasociar cada recurso del paquete de protección (ACL web).

1. Elija el paquete de protección (ACL web) que desea eliminar. La consola permite editar la tarjeta del paquete de protección (ACL web) principal y también abre un panel lateral con detalles que puede editar.

1. En el panel de detalles, elija el icono de la papelera.

1. En el cuadro de confirmación, ingrese «Eliminar» y, a continuación, elija **Eliminar**.

------
#### [ Using the standard console ]

1. Inicie sesión en Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. **En el panel de navegación, selecciona web. ACLs**

1. Seleccione el nombre de la ACL web que desea eliminar. La consola le lleva a la descripción de la ACL web, donde puede editarla.
**nota**  
Si no ve la ACL web que desea eliminar, asegúrese de que la región seleccionada en la ACLs sección web sea correcta. Todas las webs ACLs que protegen CloudFront las distribuciones de Amazon están en **Global (CloudFront).**

1. En la pestaña ** AWS Recursos asociados**, para cada recurso asociado, selecciona el botón de radio situado junto al nombre del recurso y, a continuación, selecciona **Desasociar**. Esto disocia el paquete de protección (ACL web) de sus AWS recursos. 

1. En el panel de navegación, elija **web ACLs**.

1. Seleccione el botón de opción situado junto a la ACL web que va a eliminar y, a continuación, elija **Delete (Eliminar)**.

------

# AWS WAF reglas
<a name="waf-rules"></a>

En esta sección se explica qué es una AWS WAF regla y cómo funciona.

Una AWS WAF regla define cómo inspeccionar las solicitudes web HTTP (S) y la acción que se debe realizar cuando una solicitud coincide con los criterios de inspección. Defina las reglas únicamente en el contexto de un paquete de protección (ACL web) o un grupo de reglas. 

Las reglas no existen AWS WAF por sí solas. No son AWS recursos y no tienen nombres de recursos de Amazon (ARNs). Puede acceder a una regla por su nombre en el grupo de reglas o en un paquete de protección (ACL web) donde está definida. Puede administrar las reglas y copiarlas en otros paquetes de protección (web ACLs) utilizando la vista JSON del grupo de reglas o paquete de protección (ACL web) que contiene la regla. También puede administrarlos mediante el generador de reglas de la AWS WAF consola, que está disponible para los paquetes de protección (web ACLs) y los grupos de reglas.

**Nombre de la regla**  
Cada regla requiere un nombre. Evite los nombres que comiencen por `AWS` y los nombres que se usen para grupos de reglas o reglas que otros servicios administren para usted. Consulte [Reconocimiento de grupos de reglas proporcionados por otros servicios](waf-service-owned-rule-groups.md). 

**nota**  
Si cambia el nombre de una regla y desea que el nombre de la métrica de la regla refleje el cambio, también debe actualizar el nombre de la métrica. AWS WAF no actualiza automáticamente el nombre de la métrica de una regla cuando se cambia el nombre de la regla. Puede cambiar el nombre de la métrica al editar la regla en la consola mediante el editor de reglas de JSON. También puede cambiar ambos nombres en cualquier lista de APIs JSON que utilice para definir su paquete de protección (ACL web) o grupo de reglas.

**Instrucción de reglas**  
Cada regla también requiere una instrucción de regla que defina cómo la regla inspecciona las solicitudes web. Cada regla requiere una instrucción de nivel superior, que puede contener instrucciones anidadas a cualquier profundidad, en función del tipo de regla y de instrucción. Algunas instrucciones de reglas toman conjuntos de criterios. Por ejemplo, puede especificar hasta 10 000 direcciones IP o rangos de direcciones de IP en una regla de coincidencia de IP.

Puede definir reglas que inspeccionen criterios como los siguientes: 
+ Scripts que probablemente sean maliciosos. Los atacantes incrustan scripts que pueden aprovechar vulnerabilidades en aplicaciones web. Esto es lo que se conoce como scripting entre sitios (XSS).
+ Direcciones IP o rangos de direcciones de las que procedan las solicitudes.
+ País o ubicación geográfica de donde provienen las solicitudes.
+ Longitud de la parte especificada de la solicitud, como la cadena de consulta.
+ Código SQL que puede ser malicioso. Los atacantes tratan de extraer los datos de su base de datos incrustando código SQL malicioso en una solicitud web. Esto es lo que se conoce como inyección de código SQL.
+ Cadenas que aparecen en la solicitud, por ejemplo, valores que aparecen en el encabezado de `User-Agent` o cadenas de texto que aparecen en la cadena de consulta. También puede utilizar expresiones regulares (regex) para especificar estas cadenas.
+ Etiquetas que las reglas anteriores del paquete de protección (ACL web) agregaron a la solicitud.

Además de las sentencias con criterios de inspección de solicitudes web, como las de la lista anterior, AWS WAF admite sentencias lógicas para `AND``OR`, y `NOT` que se utilizan para combinar sentencias en una regla. 

Por ejemplo, en función de las últimas solicitudes que haya visto de un atacante, puede crear una regla con una instrucción `AND` lógica que incluya las siguientes instrucciones anidadas: 
+ Las solicitudes provienen de 192.0.2.44.
+ Contienen el valor `BadBot` en el encabezado `User-Agent`.
+ Parece que incluyan código tipo SQL en la cadena de consulta.

En este caso, todas las instrucciones tienen que dar como resultado una coincidencia para que la instrucción `AND` de nivel superior coincida. 

**Topics**
+ [

# Uso de acciones de reglas en AWS WAF
](waf-rule-action.md)
+ [

# Uso de enunciados de reglas en AWS WAF
](waf-rule-statements.md)
+ [

# Uso de sentencias de reglas de coincidencia en AWS WAF
](waf-rule-statements-match.md)
+ [

# Uso de enunciados de reglas lógicas en AWS WAF
](waf-rule-statements-logical.md)
+ [

# Uso de declaraciones de reglas basadas en tasas en AWS WAF
](waf-rule-statement-type-rate-based.md)
+ [

# Uso de sentencias de reglas de grupos de reglas en AWS WAF
](waf-rule-statements-rule-group.md)

# Uso de acciones de reglas en AWS WAF
<a name="waf-rule-action"></a>

Esta sección explica cómo funcionan las acciones de reglas.

La acción de la regla indica AWS WAF qué hacer con una solicitud web cuando coincide con los criterios definidos en la regla. Si lo desea, puede agregar un comportamiento personalizado a cada acción de regla. 

**nota**  
Las acciones de la regla pueden ser de finalización o no. Una acción de finalización detiene la evaluación de la solicitud por parte del paquete de protección (ACL web) y permite que continúe con la aplicación protegida o la bloquea. 

Estas son las opciones de la acción de la regla: 
+ **Allow**— AWS WAF permite reenviar la solicitud al AWS recurso protegido para su procesamiento y respuesta. Se trata de una acción de finalización. En las reglas que defina, puede insertar encabezados personalizados en la solicitud antes de reenviarla al recurso protegido.
+ **Block**— AWS WAF bloquea la solicitud. Se trata de una acción de finalización. De forma predeterminada, el AWS recurso protegido responde con un código de `403 (Forbidden)` estado HTTP. En las reglas que defina, puede personalizar la respuesta. Cuando AWS WAF bloquea una solicitud, la configuración de la Block acción determina la respuesta que el recurso protegido envía al cliente. 
+ **Count**— AWS WAF cuenta la solicitud pero no determina si se permite o se bloquea. Se trata de una acción no terminal. AWS WAF continúa procesando las reglas restantes en el paquete de protección (ACL web). En las reglas que defina, puede insertar encabezados personalizados en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas.
+ **CAPTCHAy Challenge**: AWS WAF usa acertijos CAPTCHA y desafíos silenciosos para verificar que la solicitud no proviene de un bot, y AWS WAF usa fichas para rastrear las respuestas recientes de los clientes que han obtenido buenos resultados. 

  Los rompecabezas de CAPTCHA y los desafíos silenciosos solo se pueden ejecutar cuando los navegadores acceden a los puntos de conexión HTTPS. Los clientes del navegador deben ejecutarse en contextos seguros para poder adquirir los tókenes. 
**nota**  
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

  Estas acciones de regla pueden ser de finalización o no, según el estado del token de la solicitud: 
  + No se **cancela para un token válido y no caducado: si el token** es válido y no ha caducado según el CAPTCHA configurado o el tiempo de inmunidad de impugnación, AWS WAF tramita la solicitud de forma similar a la acción. Count AWS WAF continúa inspeccionando la solicitud web en función de las demás reglas del paquete de protección (ACL web). Al igual que en la configuración de Count, en las reglas que defina, puede configurar opcionalmente estas acciones con encabezados personalizados para insertarlos en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas. 
  + **Finalizar con una solicitud bloqueada de un token no válido o caducado**: si el token no es válido o la marca de tiempo indicada ha caducado, AWS WAF finaliza la inspección de la solicitud web y bloquea la solicitud, de forma similar a la acción. Block AWS WAF luego responde al cliente con un código de respuesta personalizado. PuesCAPTCHA, si el contenido de la solicitud indica que el navegador del cliente puede gestionarla, AWS WAF envía un acertijo CAPTCHA en un JavaScript intersticial, diseñado para distinguir a los clientes humanos de los bots. Para elloChallenge, AWS WAF envía un JavaScript intersticial con un desafío silencioso diseñado para distinguir los navegadores normales de las sesiones ejecutadas por bots. 

  Para obtener información adicional, consulta [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).

Para obtener información sobre cómo personalizar las solicitudes y las respuestas, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

Para obtener información sobre cómo agregar etiquetas a las solicitudes coincidentes, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).

Para obtener información acerca de cómo interactúan el paquete de protección (ACL web) y la configuración de reglas, consulte [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md). 

# Uso de enunciados de reglas en AWS WAF
<a name="waf-rule-statements"></a>

En esta sección, se explica cómo funcionan las instrucciones de reglas.

Las declaraciones de reglas son la parte de una regla que indica AWS WAF cómo inspeccionar una solicitud web. Cuando AWS WAF encuentra los criterios de inspección en una solicitud web, decimos que la solicitud web coincide con la declaración. Cada declaración de regla especifica qué buscar y cómo, según el tipo de declaración. 

Cada regla AWS WAF tiene una única declaración de regla de nivel superior, que puede contener otras declaraciones. Las declaraciones de reglas pueden ser muy sencillas. Por ejemplo, podría tener una instrucción que proporcione un conjunto de países originarios para inspeccionar sus solicitudes web o podría tener una instrucción de regla en un paquete de protección (ACL web) que solo haga referencia a un grupo de reglas. Las declaraciones de reglas también pueden ser muy complejas. Por ejemplo, podría tener una instrucción que combine muchas otras instrucciones con instrucciones lógicas AND, OR y NOT. 

Para la mayoría de las reglas, puedes añadir AWS WAF etiquetas personalizadas a las solicitudes coincidentes. Las reglas de los grupos de reglas de reglas AWS administradas agregan etiquetas a las solicitudes coincidentes. Las etiquetas que agrega una regla proporcionan información sobre la solicitud a las reglas que se evalúan más adelante en el paquete de protección (ACL web) y también en AWS WAF los registros y las métricas. Para obtener más información acerca de las etiquetas, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md) y [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md).

**Declaraciones de reglas de anidamiento**  
AWS WAF admite el anidamiento para muchas declaraciones de reglas, pero no para todas. Por ejemplo, no se puede anidar una instrucción de grupo de reglas dentro de otra instrucción. Es necesario utilizar la anidación en algunos escenarios, como las instrucciones de restricción de acceso y las instrucciones lógicas. Las listas de instrucciones de reglas y los detalles de las reglas que aparecen a continuación describen las capacidades y los requisitos de anidación de cada categoría y regla.

El editor visual de reglas de la consola admite solamente un nivel de anidamiento para instrucciones de reglas. Por ejemplo, puede anidar muchos tipos de instrucciones dentro de una regla lógica AND o OR, pero no puede anidar otra regla AND o OR, ya que eso requiere un segundo nivel de anidación. Para implementar varios niveles de anidación, proporcione la definición de la regla en JSON, ya sea a través del editor de reglas JSON de la consola o a través del. APIs 

**Topics**
+ [

# Ajustar la configuración de la declaración de reglas en AWS WAF
](waf-rule-statement-fields.md)
+ [

# Uso de declaraciones de alcance reducido en AWS WAF
](waf-rule-scope-down-statements.md)
+ [

# Hacer referencia a entidades reutilizables en AWS WAF
](waf-rule-statement-reusable-entities.md)

# Ajustar la configuración de la declaración de reglas en AWS WAF
<a name="waf-rule-statement-fields"></a>

En esta sección, se describe la configuración que se especifica cada vez que se utiliza una instrucción de regla que inspecciona un componente de la solicitud web. Para obtener información sobre el uso, consulte las instrucciones de reglas individuales en [Uso de sentencias de reglas de coincidencia en AWS WAF](waf-rule-statements-match.md). 

También se puede usar un subconjunto de estos componentes de solicitudes web en las reglas basadas en tasas, como claves de agregación de solicitudes personalizadas. Para obtener información, consulte [Agregar reglas basadas en tarifas en AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md).

Para la configuración del componente de solicitud, especifique el tipo de componente en sí y las opciones adicionales, en función del tipo de componente. Por ejemplo, al inspeccionar un tipo de componente que contiene texto, puede aplicarle transformaciones de texto antes de inspeccionarlo. 

**nota**  
A menos que se indique lo contrario, si una solicitud web no tiene el componente de solicitud especificado en la declaración de la regla, se considera AWS WAF que la solicitud no cumple con los criterios de la regla.

**Contents**
+ [

# Solicita componentes en AWS WAF
](waf-rule-statement-fields-list.md)
  + [

## Método HTTP
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)
  + [

## Encabezado único
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)
  + [

## Todos los encabezados
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)
  + [

## Orden de encabezados
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-header-order)
  + [

## Cookies
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-cookies)
  + [

## Fragmento de URI
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-fragment)
  + [

## Ruta de URI
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path)
  + [

## JA3 huella digital
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint)
  + [

## JA4 huella digital
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint)
  + [

## Cadena de consulta
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string)
  + [

## Parámetro de consulta único
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param)
  + [

## Todos los parámetros de consulta
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)
  + [

## Cuerpo
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-body)
  + [

## Cuerpo JSON
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body)
+ [

# Uso de direcciones IP reenviadas en AWS WAF
](waf-rule-statement-forwarded-ip-address.md)
+ [

# Inspección de pseudoencabezados HTTP/2 en AWS WAF
](waf-rule-statement-request-components-for-http2-pseudo-headers.md)
+ [

# Uso de transformaciones de texto en AWS WAF
](waf-rule-statement-transformation.md)

# Solicita componentes en AWS WAF
<a name="waf-rule-statement-fields-list"></a>

En esta sección, se describen los componentes de la solicitud web que puede especificar para su inspección. Especifique el componente solicitado para las instrucciones de regla estándar que buscan patrones en la solicitud web. Estos tipos de sentencias incluyen la coincidencia de cadenas, la coincidencia regex, la restricción de tamaño y las sentencias de ataque por inyección de código SQL. Para obtener información sobre cómo usar esta configuración de los componentes de la solicitud, consulte las instrucciones de reglas individuales en [Uso de sentencias de reglas de coincidencia en AWS WAF](waf-rule-statements-match.md).

A menos que se indique lo contrario, si una solicitud web no tiene el componente de solicitud especificado en la declaración de la regla, AWS WAF evalúa que la solicitud no cumple con los criterios de la regla.

**nota**  
Especifique un único componente de solicitud para cada instrucción de regla que lo requiera. Para inspeccionar más de un componente de una solicitud, cree una instrucción de regla para cada componente. 

La documentación de la AWS WAF consola y la API proporciona orientación sobre la configuración de los componentes de la solicitud en las siguientes ubicaciones: 
+ **Generador de reglas** en la consola: en la configuración de **Instrucción** para un tipo de regla normal, elija el componente que desee inspeccionar en el cuadro de diálogo **Inspeccionar** de la sección **Solicitar componentes**.
+ **Contenido de la instrucción de API**: `FieldToMatch`

En el resto de esta sección, se describen las opciones de la parte de la solicitud web que hay que inspeccionar. 

**Topics**
+ [

## Método HTTP
](#waf-rule-statement-request-component-http-method)
+ [

## Encabezado único
](#waf-rule-statement-request-component-single-header)
+ [

## Todos los encabezados
](#waf-rule-statement-request-component-headers)
+ [

## Orden de encabezados
](#waf-rule-statement-request-component-header-order)
+ [

## Cookies
](#waf-rule-statement-request-component-cookies)
+ [

## Fragmento de URI
](#waf-rule-statement-request-component-uri-fragment)
+ [

## Ruta de URI
](#waf-rule-statement-request-component-uri-path)
+ [

## JA3 huella digital
](#waf-rule-statement-request-component-ja3-fingerprint)
+ [

## JA4 huella digital
](#waf-rule-statement-request-component-ja4-fingerprint)
+ [

## Cadena de consulta
](#waf-rule-statement-request-component-query-string)
+ [

## Parámetro de consulta único
](#waf-rule-statement-request-component-single-query-param)
+ [

## Todos los parámetros de consulta
](#waf-rule-statement-request-component-all-query-params)
+ [

## Cuerpo
](#waf-rule-statement-request-component-body)
+ [

## Cuerpo JSON
](#waf-rule-statement-request-component-json-body)

## Método HTTP
<a name="waf-rule-statement-request-component-http-method"></a>

Comprueba el método HTTP en la solicitud. El método HTTP indica el tipo de operación que la solicitud web pide que realice su recurso protegido, como por ejemplo `POST` o `GET`. 

## Encabezado único
<a name="waf-rule-statement-request-component-single-header"></a>

Inspecciona un encabezado con un solo nombre en la solicitud. 

Para esta opción, especifique el nombre del encabezado, por ejemplo, `User-Agent` o `Referer`. La coincidencia de cadenas para el nombre no distingue entre mayúsculas y minúsculas y se realiza después de recortar los espacios iniciales y finales tanto del encabezado de la solicitud como de la regla.

## Todos los encabezados
<a name="waf-rule-statement-request-component-headers"></a>

Inspecciona todos los encabezados de las solicitudes, incluidas las cookies. Puede aplicar un filtro para inspeccionar un subconjunto de todos los encabezados. 

Para esta opción, debe proporcionar las siguientes especificaciones: 
+ **Patrones de coincidencia**: el filtro que se utilizará para obtener un subconjunto de encabezados para su inspección. AWS WAF busca estos patrones en las teclas de encabezados. 

  La configuración de los patrones de coincidencia puede ser una de las siguientes: 
  + **Todos**: haga coincidir todas las claves. Evalúe los criterios de inspección de las reglas para todos los encabezados. 
  + **Encabezados excluidos** Inspeccione solo los encabezados cuyas claves no coincidan con ninguna de las cadenas que ha especificado aquí. La cadena que coincide con la clave no distingue entre mayúsculas y minúsculas. La coincidencia se realiza después de recortar los espacios iniciales y finales del encabezado de la solicitud y de la regla de coincidencia.
  + **Encabezados incluidos** Inspeccione solo los encabezados que tengan una clave que coincida con una de las cadenas que ha especificado aquí. La cadena que coincide con la clave no distingue entre mayúsculas y minúsculas. La coincidencia se realiza después de recortar los espacios iniciales y finales del encabezado de la solicitud y de la regla de coincidencia.
+ **Alcance de coincidencia**: las partes de los encabezados que AWS WAF deben inspeccionarse según los criterios de inspección de la regla. Puede especificar **Claves**, **Valores** o **Todos** para inspeccionar tanto las claves como los valores para ver si coinciden. 

  **Todos** no precisa una coincidencia en las claves y una coincidencia en los valores. Es necesario encontrar una coincidencia en las claves, en los valores o en ambos. Para exigir una coincidencia en las claves y los valores, utilice una instrucción lógica `AND` para combinar dos reglas de coincidencia, una que inspeccione las claves y otra que inspeccione los valores. 
+ **Manejo de sobredimensionamiento**: ¿cómo se AWS WAF deben gestionar las solicitudes que tienen datos de encabezado más grandes de lo que se AWS WAF puede inspeccionar? AWS WAF puede inspeccionar como máximo los primeros 8 KB (8.192 bytes) de los encabezados de las solicitudes y, como máximo, los primeros 200 encabezados. El contenido está disponible para su inspección AWS WAF hasta que se alcance el primer límite. Puede elegir continuar con la inspección u omitir la inspección y marcar la solicitud como coincidente o no con la regla. Para obtener más información acerca de la administración del contenido de tamaño excesivo, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).

## Orden de encabezados
<a name="waf-rule-statement-request-component-header-order"></a>

Inspeccione una cadena que contenga la lista de los nombres de los encabezados de la solicitud, ordenados tal como aparecen en la solicitud web que se AWS WAF recibe para su inspección. AWS WAF genera la cadena y luego la usa como campo para hacer coincidir el componente en su inspección. AWS WAF separa los nombres de los encabezados de la cadena con dos puntos y sin añadir espacios, por ejemplo`host:user-agent:accept:authorization:referer`.

Para esta opción, debe proporcionar las siguientes especificaciones: 
+ **Gestión del tamaño excesivo**: ¿cómo se AWS WAF deben gestionar las solicitudes que tienen datos de encabezado más numerosos o más grandes de lo que se AWS WAF puede inspeccionar? AWS WAF puede inspeccionar como máximo los primeros 8 KB (8.192 bytes) de los encabezados de las solicitudes y, como máximo, los primeros 200 encabezados. El contenido está disponible para su inspección AWS WAF hasta que se alcance el primer límite. Puede elegir continuar con la inspección de los encabezados que estén disponibles, o bien omitir la inspección y marcar la solicitud como coincidente o no con la regla. Para obtener más información acerca de la administración del contenido de tamaño excesivo, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).

## Cookies
<a name="waf-rule-statement-request-component-cookies"></a>

Inspecciona todas las cookies de solicitud. Puede aplicar un filtro para inspeccionar un subconjunto de todas las cookies. 

Para esta opción, debe proporcionar las siguientes especificaciones: 
+ **Patrones de coincidencia**: el filtro que se utilizará para obtener un subconjunto de cookies para su inspección. AWS WAF busca estos patrones en las claves de las cookies. 

  La configuración de los patrones de coincidencia puede ser una de las siguientes: 
  + **Todos**: haga coincidir todas las claves. Evalúe los criterios de inspección de las reglas para todas las cookies. 
  + **Cookies excluidas**: inspeccione solo las cookies cuyas claves no coincidan con ninguna de las cadenas que ha especificado aquí. La coincidencia de cadena con una clave distingue entre mayúsculas y minúsculas, y debe ser exacta. 
  + **Encabezados incluidos**: inspeccione solo las cookies que tengan una clave que coincida con una de las cadenas que ha especificado aquí. La coincidencia de cadena con una clave distingue entre mayúsculas y minúsculas, y debe ser exacta. 
+ **Alcance de coincidencia**: las partes de las cookies que AWS WAF deben inspeccionarse según los criterios de inspección de la regla. Puede especificar **Claves**, **Valores** o **Todos** tanto para las claves como para los valores. 

  **Todos** no precisa una coincidencia en las claves y una coincidencia en los valores. Es necesario encontrar una coincidencia en las claves, en los valores o en ambos. Para exigir una coincidencia en las claves y los valores, utilice una instrucción lógica `AND` para combinar dos reglas de coincidencia, una que inspeccione las claves y otra que inspeccione los valores. 
+ Gestión de **sobredimensionamiento**: ¿cómo se AWS WAF deben gestionar las solicitudes que contienen datos de cookies más grandes de los que se AWS WAF pueden inspeccionar? AWS WAF puede inspeccionar como máximo los primeros 8 KB (8.192 bytes) de las cookies solicitadas y, como máximo, las primeras 200 cookies. El contenido está disponible para su inspección AWS WAF hasta que se alcance el primer límite. Puede elegir continuar con la inspección u omitir la inspección y marcar la solicitud como coincidente o no con la regla. Para obtener más información acerca de la administración del contenido de tamaño excesivo, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).

## Fragmento de URI
<a name="waf-rule-statement-request-component-uri-fragment"></a>

**nota**  
La inspección de fragmentos de URI solo está disponible para CloudFront distribuciones y balanceadores de carga de aplicaciones.

Inspecciona la parte de una URL que sigue al símbolo “\$1” y proporciona información adicional sobre el recurso, por ejemplo, \$1section2. Para obtener información, consulte [Identificador uniforme de recursos (URI): sintaxis genérica](https://tools.ietf.org/html/rfc3986#section-3). 

Si no utilizas una transformación de texto con esta opción, AWS WAF no normaliza el fragmento de URI y lo inspecciona exactamente como lo recibe del cliente en la solicitud. Para obtener información sobre transformaciones de texto, consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md).

**Requisitos de las instrucciones de reglas**  
Debe proporcionar un comportamiento alternativo para esta instrucción de regla. El comportamiento alternativo es el estado de coincidencia que quieres asignar AWS WAF a la solicitud web si falta el fragmento en el URI o si el servicio asociado no es Application Load CloudFront Balancer o. Si eliges hacer coincidir, considerará que AWS WAF la solicitud coincide con la declaración de la regla y aplica la acción de la regla a la solicitud. Si eliges no coincidir, considerará que AWS WAF la solicitud no coincide con la declaración de la regla.

## Ruta de URI
<a name="waf-rule-statement-request-component-uri-path"></a>

Inspecciona la parte de una URL que identifica un recurso, por ejemplo, `/images/daily-ad.jpg`. Para obtener información, consulte [Identificador uniforme de recursos (URI): sintaxis genérica](https://tools.ietf.org/html/rfc3986#section-3). 

Si no utilizas una transformación de texto con esta opción, AWS WAF no normaliza el URI y lo inspecciona exactamente como lo recibe del cliente en la solicitud. Para obtener información sobre transformaciones de texto, consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md).

## JA3 huella digital
<a name="waf-rule-statement-request-component-ja3-fingerprint"></a>

Inspecciona la huella digital de la solicitud. JA3 

**nota**  
JA3 la inspección de huellas dactilares solo está disponible para CloudFront las distribuciones de Amazon y los balanceadores de carga de aplicaciones.

La JA3 huella digital es un hash de 32 caracteres derivado del protocolo TLS Hello de una solicitud entrante. Esta huella digital sirve como identificador único para la configuración de TLS del cliente. AWS WAF calcula y registra esta huella digital para cada solicitud que contenga suficiente información de TLS Client Hello para el cálculo. Casi todas las solicitudes web incluyen esta información.

**¿Cómo obtener la JA3 huella digital de un cliente**  
Puede obtener la JA3 huella digital de las solicitudes de un cliente en los registros del paquete de protección (ACL web). Si AWS WAF es capaz de calcular la huella digital, la incluye en los registros. Para obtener información acerca de los campos de registro, consulte [Campos de registro para el tráfico del paquete de protección (ACL web)](logging-fields.md).

**Requisitos de las instrucciones de reglas**  
Solo puedes inspeccionar la JA3 huella digital dentro de una sentencia de coincidencia de cadenas que esté configurada para que coincida exactamente con la cadena que proporciones. Proporcione la cadena de JA3 huellas digitales de los registros de la especificación de la sentencia de coincidencia de cadenas para que coincida con cualquier solicitud futura que tenga la misma configuración de TLS. Para obtener más información acerca de las instrucciones de reglas de coincidencia de cadena, consulte [Instrucción de regla de coincidencia de cadenas](waf-rule-statement-type-string-match.md).

Debe proporcionar un comportamiento alternativo para esta instrucción de regla. El comportamiento alternativo es el estado de coincidencia que deseas asignar AWS WAF a la solicitud web si AWS WAF no puedes calcular la JA3 huella digital. Si opta por hacer coincidir, AWS WAF trata la solicitud web como coincidente con la instrucción de regla y aplica la acción de la regla a la solicitud. Si eliges no coincidir, considerará que la AWS WAF solicitud no coincide con la declaración de la regla.

Para usar esta opción de coincidencia, debe registrar el tráfico del paquete de protección (ACL web). Para obtener información, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).

## JA4 huella digital
<a name="waf-rule-statement-request-component-ja4-fingerprint"></a>

Inspecciona la huella digital de la solicitud. JA4 

**nota**  
JA4 la inspección de huellas dactilares solo está disponible para CloudFront las distribuciones de Amazon y los balanceadores de carga de aplicaciones.

La JA4 huella digital es un hash de 36 caracteres derivado del protocolo TLS Hello de una solicitud entrante. Esta huella digital sirve como identificador único para la configuración de TLS del cliente. JA4 La toma de huellas digitales es una extensión de la JA3 huella digital que puede resultar en un menor número de huellas digitales únicas en algunos navegadores. AWS WAF calcula y registra esta huella digital para cada solicitud que contenga suficiente información de TLS Client Hello para el cálculo. Casi todas las solicitudes web incluyen esta información.

**¿Cómo obtener la JA4 huella digital de un cliente**  
Puede obtener la JA4 huella digital de las solicitudes de un cliente en los registros del paquete de protección (ACL web). Si AWS WAF es capaz de calcular la huella digital, la incluye en los registros. Para obtener información acerca de los campos de registro, consulte [Campos de registro para el tráfico del paquete de protección (ACL web)](logging-fields.md).

**Requisitos de las instrucciones de reglas**  
Solo puedes inspeccionar la JA4 huella digital dentro de una sentencia de coincidencia de cadenas que esté configurada para que coincida exactamente con la cadena que proporciones. Proporcione la cadena de JA4 huellas digitales de los registros de la especificación de la sentencia de coincidencia de cadenas para que coincida con cualquier solicitud futura que tenga la misma configuración de TLS. Para obtener más información acerca de las instrucciones de reglas de coincidencia de cadena, consulte [Instrucción de regla de coincidencia de cadenas](waf-rule-statement-type-string-match.md).

Debe proporcionar un comportamiento alternativo para esta instrucción de regla. El comportamiento alternativo es el estado de coincidencia que deseas asignar AWS WAF a la solicitud web si AWS WAF no puedes calcular la JA4 huella digital. Si opta por hacer coincidir, AWS WAF trata la solicitud web como coincidente con la instrucción de regla y aplica la acción de la regla a la solicitud. Si eliges no coincidir, considerará que la AWS WAF solicitud no coincide con la declaración de la regla.

Para usar esta opción de coincidencia, debe registrar el tráfico del paquete de protección (ACL web). Para obtener información, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).

## Cadena de consulta
<a name="waf-rule-statement-request-component-query-string"></a>

Inspecciona la parte de la URL que aparece después de un carácter `?`, si hay alguno.

**nota**  
En instrucciones de coincidencia de scripting entre sitios, recomendamos elegir **Todos los parámetros de consulta** en vez de **Cadena de consulta**. Si selecciona **Todos los parámetros de la consulta**, se añade WCUs un 10% al coste base.

## Parámetro de consulta único
<a name="waf-rule-statement-request-component-single-query-param"></a>

Inspecciona un único parámetro de consulta que haya definido como parte de la cadena de consulta. AWS WAF inspecciona el valor del parámetro que especifique. 

Para esta opción, también se especifica un **Argumento de consulta**. Si la dirección URL es `www.xyz.com?UserName=abc&SalesRegion=seattle`, puede especificar `UserName` o `SalesRegion` como argumento de la consulta. La longitud máxima del nombre del argumento es de 30 caracteres. El nombre no distingue entre mayúsculas y minúsculas, por lo que si especifica `UserName`, AWS WAF busca coincidencias con todas las variantes de `UserName`, como `username` y `UsERName`.

Si la cadena de consulta contiene más de una instancia del argumento de consulta que ha especificado, AWS WAF inspecciona todos los valores para ver si coinciden con ellos mediante OR la lógica. Por ejemplo, en la dirección URL `www.xyz.com?SalesRegion=boston&SalesRegion=seattle`, AWS WAF evalúa el nombre que ha especificado con `boston` y `seattle`. Si alguna de las dos es una coincidencia, la inspección es una coincidencia.

## Todos los parámetros de consulta
<a name="waf-rule-statement-request-component-all-query-params"></a>

Inspecciona todos los parámetros de consulta de la solicitud. Es similar a la elección del componente de parámetro de consulta único, pero AWS WAF inspecciona los valores de todos los argumentos de la cadena de consulta. Por ejemplo, si la dirección URL es `www.xyz.com?UserName=abc&SalesRegion=seattle`, AWS WAF activa una coincidencia si el valor de `UserName` o `SalesRegion` coincide con los criterios de inspección. 

Al elegir esta opción, se añade WCUs un 10% al coste base.

## Cuerpo
<a name="waf-rule-statement-request-component-body"></a>

Inspecciona el cuerpo de la solicitud evaluada como texto sin formato. También puede evaluar el cuerpo como JSON utilizando el tipo de contenido JSON. 

El cuerpo de la solicitud es la parte de la solicitud que sigue inmediatamente a los encabezados de solicitudes. Contiene los datos adicionales necesarios para la solicitud web, como los datos de un formulario. 
+ En la consola, seleccione **Cuerpo** en la opción **Solicitud** y, a continuación, **Texto sin formato** en **Tipo de contenido**. 
+ En la API, en la especificación `FieldToMatch` de la regla, especifique `Body` para inspeccionar el cuerpo de la solicitud como texto sin formato.

Para Application Load Balancer y AWS AppSync, AWS WAF puede inspeccionar los primeros 8 KB del cuerpo de una solicitud. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, de forma predeterminada, AWS WAF pueden inspeccionar los primeros 16 KB y usted puede aumentar el límite hasta 64 KB en la configuración de su paquete de protección (ACL web). Para obtener más información, consulte [Consideraciones para gestionar la inspección corporal en AWS WAF](web-acl-setting-body-inspection-limit.md).

Debe especificar la gestión del sobredimensionamiento para este tipo de componente. El manejo de sobredimensionamiento define la forma en que AWS WAF se gestionan las solicitudes cuyo cuerpo contiene un volumen de datos superior al que se AWS WAF puede inspeccionar. Puede elegir continuar con la inspección u omitir la inspección y marcar la solicitud como coincidente o no con la regla. Para obtener más información acerca de la administración del contenido de tamaño excesivo, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). 

También puede evaluar el cuerpo como JSON analizado. Para obtener información sobre esto, consulte la sección siguiente. 

## Cuerpo JSON
<a name="waf-rule-statement-request-component-json-body"></a>

Inspecciona el cuerpo de la solicitud, evaluado como JSON. También puede evaluar el cuerpo como texto sin formato. 

El cuerpo de la solicitud es la parte de la solicitud que sigue inmediatamente a los encabezados de solicitudes. Contiene los datos adicionales necesarios para la solicitud web, como los datos de un formulario. 
+ En la consola, se selecciona en la **Opción de solicitud** **Cuerpo**, seleccionando la opción **Tipo de contenido** **JSON**. 
+ En la API, en la especificación `FieldToMatch` de la regla, especifique `JsonBody`.

Para Application Load Balancer y AWS AppSync, AWS WAF puede inspeccionar los primeros 8 KB del cuerpo de una solicitud. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, de forma predeterminada, AWS WAF pueden inspeccionar los primeros 16 KB y usted puede aumentar el límite hasta 64 KB en la configuración de su paquete de protección (ACL web). Para obtener más información, consulte [Consideraciones para gestionar la inspección corporal en AWS WAF](web-acl-setting-body-inspection-limit.md).

Debe especificar la gestión del sobredimensionamiento para este tipo de componente. El manejo de sobredimensionamiento define la forma en que AWS WAF se gestionan las solicitudes cuyo cuerpo contiene un volumen de datos superior al que se AWS WAF puede inspeccionar. Puede elegir continuar con la inspección u omitir la inspección y marcar la solicitud como coincidente o no con la regla. Para obtener más información acerca de la administración del contenido de tamaño excesivo, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). 

Al elegir esta opción, se duplica el coste WCUs base de la declaración de coincidencia. Por ejemplo, si el costo base de la declaración de coincidencia es 5 WCUs sin el análisis de JSON, el uso del análisis de JSON duplica el costo hasta 10. WCUs 

Para esta opción, debe proporcionar especificaciones adicionales como se describe en la siguiente sección.

**¿Cómo AWS WAF gestiona la inspección corporal de JSON**  
Cuando AWS WAF inspecciona el cuerpo de la solicitud web como JSON, realiza los pasos necesarios para analizarlo y extraer los elementos de JSON para su inspección. AWS WAF lleva a cabo estos pasos de acuerdo con sus opciones de configuración. 

A continuación se enumeran los pasos que se llevan AWS WAF a cabo. 

1. **Analiza el contenido del cuerpo**: AWS WAF analiza el contenido del cuerpo de la solicitud web para extraer los elementos JSON para su inspección. AWS WAF hace todo lo posible para analizar todo el contenido del cuerpo, pero el análisis puede fallar debido a una variedad de estados de error en el contenido. Los ejemplos incluyen caracteres no válidos, claves duplicadas, truncamiento y contenido cuyo nodo raíz no es un objeto o una matriz. 

   La opción **Body Parsing Fallback Behavior** determina qué pasa si AWS WAF no se analiza completamente el cuerpo del JSON: 
   + **Ninguno (comportamiento predeterminado)**: AWS WAF evalúa el contenido solo hasta el punto en que se ha detectado un error de análisis. 
   + **Evaluar como cadena**: inspecciona el cuerpo como texto sin formato. AWS WAF aplica las transformaciones de texto y los criterios de inspección que ha definido para la inspección de JSON a la cadena de texto principal.
   + **Coincidencia**: considera que la solicitud web coincide con la declaración de la regla. AWS WAF aplica la acción de la regla a la solicitud.
   + **Sin coincidencia**: trate la solicitud web como no coincidente con la instrucción de regla.
**nota**  
Este comportamiento alternativo solo se activa cuando se produce AWS WAF un error al analizar la cadena JSON. 

**El análisis no valida completamente el JSON.**  
AWS WAF el análisis no valida completamente la cadena JSON de entrada, por lo que el análisis puede realizarse correctamente incluso si el JSON no es válido.

   Por ejemplo, AWS WAF analiza el siguiente JSON no válido sin errores: 
   + Falta de coma: `{"key1":"value1""key2":"value2"}`
   + Falta de dos puntos: `{"key1":"value1","key2""value2"}`
   + Dos puntos adicionales: `{"key1"::"value1","key2""value2"}`

   En casos como estos, en los que el análisis se realiza correctamente pero el resultado no es un JSON completamente válido, el resultado de los pasos siguientes de la evaluación puede variar. Es posible que la extracción omita algunos elementos o que la evaluación de la regla arroje resultados inesperados. Recomendamos validar el JSON que recibe en su aplicación y administrar el JSON no válido según sea necesario. 

1. **Extrae los elementos JSON**: AWS WAF identifica el subconjunto de elementos JSON que deseas inspeccionar de acuerdo con tu configuración: 
   + La opción **JSON match scope** especifica los tipos de elementos del JSON que se AWS WAF deben inspeccionar. 

     Puede especificar **Claves**, **Valores** o **Todos** tanto para las claves como para los valores. 

     **Todos** no precisa una coincidencia en las claves y una coincidencia en los valores. Es necesario encontrar una coincidencia en las claves, en los valores o en ambos. Para exigir una coincidencia en las claves y los valores, utilice una instrucción lógica `AND` para combinar dos reglas de coincidencia, una que inspeccione las claves y otra que inspeccione los valores. 
   + La opción **Contenido a inspeccionar** especifica cómo filtrar el conjunto de elementos hasta el subconjunto que se quiere AWS WAF inspeccionar. 

     Debe especificar uno de los siguientes:
     + **Contenido JSON completo**: se evalúan todos los elementos. 
     + **Solo elementos incluidos**: se evalúan solo los elementos cuyas rutas coinciden con los criterios del puntero JSON que usted proporciona. No utilice esta opción para indicar *todas* las rutas de JSON. En su lugar, utilice **Contenido JSON completo**. 

       Para obtener información sobre la sintaxis del puntero JSON, consulte la documentación del Grupo de trabajo de ingeniería de Internet (IETF) sobre el puntero sobre [notación de JavaScript objetos (JSON](https://tools.ietf.org/html/rfc6901)). 

       Por ejemplo, en la consola, puede proporcionar lo siguiente: 

       ```
       /dogs/0/name
       /dogs/1/name
       ```

       En la API o la CLI, puede proporcionar lo siguiente: 

       ```
       "IncludedPaths": ["/dogs/0/name", "/dogs/1/name"]
       ```

   Por ejemplo, supongamos que la configuración del **Contenido a inspeccionar** es **Solo elementos incluidos**, y la configuración de los elementos incluidos es `/a/b`. 

   En el siguiente ejemplo de cuerpo JSON: 

   ```
   { 
     "a":{
       "c":"d",
       "b":{
         "e":{
           "f":"g"
         }
       }
     }
   }
   ```

   A continuación, se muestran los conjuntos de elementos que se AWS WAF inspeccionarían para cada configuración **del ámbito de coincidencia de JSON**. Tenga en cuenta que la clave `b`, que forma parte de la ruta de los elementos incluidos, no se evalúa.
   + **Todos**: `e`, `f,` y `g`.
   + **Claves**: `e` y `f`.
   + **Valores**: `g`.

1. **Inspeccione el conjunto de elementos JSON**: AWS WAF aplica cualquier transformación de texto que haya especificado a los elementos JSON extraídos y, a continuación, compara el conjunto de elementos resultante con los criterios de coincidencia de la declaración de regla. Este es el mismo comportamiento de transformación y evaluación que se aplica para otros componentes de solicitudes web. Si alguno de los elementos JSON extraídos coincide, la solicitud web coincide con la regla. 

# Uso de direcciones IP reenviadas en AWS WAF
<a name="waf-rule-statement-forwarded-ip-address"></a>

Esta sección se aplica a las instrucciones de reglas que utilizan la dirección IP de una solicitud web. De forma predeterminada, AWS WAF utiliza la dirección IP del origen de la solicitud web. Si el tráfico pasa por uno o más proxies o equilibradores de carga, el origen de la solicitud web contiende la dirección del último proxy y no la dirección de origen del cliente. En este caso, la dirección del cliente originario normalmente se reenvía en otro encabezado HTTP. Este encabezado suele ser `X-Forwarded-For` (XFF), pero puede ser diferente. 

**Instrucciones de reglas que usan direcciones IP**  
Las instrucciones de reglas que utilizan direcciones IP son las siguientes:
+ [Coincidencia de conjuntos de IP](waf-rule-statement-type-ipset-match.md): inspecciona la dirección IP para ver si coincide con las direcciones definidas en un conjunto de IP.
+ [Coincidencia geográfica](waf-rule-statement-type-geo-match.md): utiliza la dirección IP para determinar el país y la región de origen, y compara el país de origen con una lista de países.
+ [Coincidencia ASN](waf-rule-statement-type-asn-match.md)- Utiliza la dirección IP para determinar el número de sistema autónomo (ASN) y compara el ASN con una lista de. ASNs
+ [Uso de instrucciones de regla basada en tasas](waf-rule-statement-type-rate-based.md): puede agregar las solicitudes por sus direcciones IP para garantizar que ninguna dirección IP individual envíe solicitudes a una tasa demasiado alta. Puede utilizar la agregación de direcciones IP por sí sola o en combinación con otras claves de agregación. 

Puede AWS WAF indicarle que utilice una dirección IP reenviada para cualquiera de estas instrucciones de regla, ya sea desde el `X-Forwarded-For` encabezado o desde otro encabezado HTTP, en lugar de utilizar el origen de la solicitud web. Para obtener más información sobre cómo proporcionar las especificaciones, consulte la guía para cada tipo de instrucción de regla individual.

**nota**  
Si falta un encabezado, AWS WAF evalúa cualquier declaración que utilice ese encabezado como «No coincide». Si utiliza una sentencia NOT con el resultado «No coincide», AWS WAF convierte la evaluación en «Coincide». La ausencia de encabezados no desencadena un comportamiento alternativo; solo lo hacen los valores de encabezado no válidos.

**Comportamiento alternativo**  
Cuando utilizas la dirección IP reenviada, indicas el estado de coincidencia AWS WAF que deseas asignar a la solicitud web si la solicitud no tiene una dirección IP válida en la posición especificada: 
+ **COINCIDIR**: considera que la solicitud web coincide con el enunciado de la regla. AWS WAF aplica la acción de la regla a la solicitud.
+ **SIN COINCIDENCIA**: trate la solicitud web como no coincidente con la instrucción de regla. 

**Direcciones IP utilizadas en AWS WAF Bot Control**  
El grupo de reglas gestionado por Bot Control verifica los bots mediante las direcciones IP de AWS WAF. Si utiliza el control de bots y ha verificado bots enrutados a través de un proxy o un equilibrador de carga, debe permitirlos de forma explícita mediante una regla personalizada. Por ejemplo, puede configurar una regla de coincidencia de conjuntos de IP personalizada que utilice las direcciones IP reenviadas para detectar y admitir sus bots verificados. Puede usar la regla para personalizar la administración de los bots de varias maneras. Para obtener más información y ejemplos, consulte [AWS WAF Control de bots](waf-bot-control.md). 

**Consideraciones generales sobre el uso de direcciones IP reenviadas**  
Antes de utilizar una dirección IP reenviada, tenga en cuenta las siguientes advertencias generales: 
+ Los proxies pueden modificar un encabezado a lo largo del proceso y los proxies pueden gestionar el encabezado de diferentes maneras. 
+ Los atacantes pueden alterar el contenido del encabezado en un intento de eludir las inspecciones de AWS WAF . 
+ La dirección IP incluida en el encabezado puede tener un formato incorrecto o no ser válida.
+ Es posible que el encabezado que especifique no esté presente en absoluto en una solicitud.

**Consideraciones sobre el uso de direcciones IP reenviadas con AWS WAF**  
En la siguiente lista se describen los requisitos y las advertencias para el uso de direcciones IP reenviadas en AWS WAF:
+ Para cualquier regla individual, puede especificar un encabezado para la dirección IP reenviada. La especificación del encabezado no distingue entre mayúsculas y minúsculas.
+ En el caso de las instrucciones de reglas basadas en tasas, las instrucciones de alcance anidadas no heredan la configuración de IP reenviada. Especifique la configuración de cada instrucción que utilice una dirección IP reenviada. 
+ Para las reglas de coincidencia geográfica, de ASN y basadas en tasas, AWS WAF utiliza la primera dirección del encabezado. Por ejemplo, si un encabezado contiene usos `10.1.1.1, 127.0.0.0, 10.10.10.10` AWS WAF `10.1.1.1`
+ En el caso de la coincidencia de conjuntos de IP, debe indicar si debe coincidir con la primera, la última o con cualquier otra dirección del encabezado. Si especifica alguno, AWS WAF inspecciona todas las direcciones del encabezado para ver si coinciden, hasta un máximo de 10 direcciones. Si el encabezado contiene más de 10 direcciones, AWS WAF inspecciona las 10 últimas. 
+ Los encabezados que contienen varias direcciones deben usar una coma de separación entre las direcciones. Si una solicitud utiliza un separador que no sea una coma, AWS WAF considera que las direcciones IP del encabezado tienen un formato incorrecto.
+ Si las direcciones IP incluidas en el encabezado tienen un formato incorrecto o no son válidas, AWS WAF indica que la solicitud web coincide con la regla o no coincide, de acuerdo con el comportamiento alternativo que especifique en la configuración de IP reenviada.
+ Si el encabezado que especificas no está presente en una solicitud, AWS WAF no se aplica en absoluto la regla a la solicitud. Esto significa que AWS WAF no aplica la acción de la regla ni el comportamiento alternativo.
+ Una instrucción de regla que utilice un encabezado IP reenviado como dirección IP no utilizará la dirección IP indicada por el origen de la solicitud web.

**Prácticas recomendadas para usar direcciones IP reenviadas con AWS WAF**  
Al utilizar direcciones IP reenviadas, siga las siguientes prácticas recomendadas: 
+ Considera detenidamente todos los estados posibles de los encabezados de sus solicitudes antes de habilitar la configuración de IP reenviada. Es posible que tenga que usar más de una regla para obtener el comportamiento que desea.
+ Para inspeccionar varios encabezados IP reenviados o para inspeccionar el origen de una solicitud web y un encabezado IP reenviado, use una regla para cada origen de direcciones IP. 
+ Para bloquear las solicitudes web que tengan un encabezado no válido, defina la acción de regla para bloquear y establezca el comportamiento alternativo para que coincida con la configuración de IP reenviada. 

**Ejemplo de JSON para direcciones IP reenviadas**  
La siguiente instrucción de coincidencia geográfica solo coincide si el encabezado `X-Forwarded-For` contiene una IP cuyo país de origen es `US`: 

```
{
  "Name": "XFFTestGeo",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "XFFTestGeo"
  },
  "Statement": {
    "GeoMatchStatement": {
      "CountryCodes": [
        "US"
      ],
      "ForwardedIPConfig": {
        "HeaderName": "x-forwarded-for",
        "FallbackBehavior": "MATCH"
      }
    }
  }
}
```

La siguiente regla basada en tasas agrega las solicitudes en función de la primera IP del encabezado `X-Forwarded-For`. La regla solo cuenta las solicitudes que coinciden con la instrucción de coincidencia geográfica anidada y solo bloquea las solicitudes que coinciden con la instrucción de coincidencia geográfica. La instrucción de coincidencia geográfica anidada también utiliza el encabezado `X-Forwarded-For` para determinar si la dirección IP indica un país de origen de `US`. Si es así, o si el encabezado está presente pero tiene un formato incorrecto, la instrucción de coincidencia geográfica devuelve una coincidencia. 

```
{
  "Name": "XFFTestRateGeo",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "XFFTestRateGeo"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": "100",
      "AggregateKeyType": "FORWARDED_IP",
      "ScopeDownStatement": {
        "GeoMatchStatement": {
          "CountryCodes": [
            "US"
          ],
          "ForwardedIPConfig": {
            "HeaderName": "x-forwarded-for",
            "FallbackBehavior": "MATCH"
          }
        }
      },
      "ForwardedIPConfig": {
        "HeaderName": "x-forwarded-for",
        "FallbackBehavior": "MATCH"
      }
    }
  }
}
```

# Inspección de pseudoencabezados HTTP/2 en AWS WAF
<a name="waf-rule-statement-request-components-for-http2-pseudo-headers"></a>

En esta sección se explica cómo se pueden inspeccionar los pseudoencabezados de AWS WAF HTTP/2.

 AWS Los recursos protegidos que admiten el tráfico de HTTP/2 no reenvían los pseudoencabezados de HTTP/2 AWS WAF para su inspección, pero proporcionan el contenido de los pseudoencabezados de los componentes de las solicitudes web que se inspeccionan. AWS WAF 

Puede utilizarlos AWS WAF para inspeccionar únicamente los pseudoencabezados que se muestran en la siguiente tabla. 


**El contenido de los pseudoencabezados de HTTP/2 está asignado a los componentes de las solicitudes web**  

| Pseudoencabezado de HTTP/2 | Componente de solicitud web que inspeccionar | Documentación | 
| --- | --- | --- | 
|  `:method`  |  Método HTTP   |  [Método HTTP](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)  | 
|  `:authority`  |  Encabezado `Host`   |  [Encabezado único](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)  [Todos los encabezados](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)  | 
|  Ruta de URI `:path`  | Ruta de URI  | [Ruta de URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path) | 
|  Consulta de `:path`  |  Cadena de consulta  |  [Cadena de consulta](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string) [Parámetro de consulta único](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param) [Todos los parámetros de consulta](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)  | 

# Uso de transformaciones de texto en AWS WAF
<a name="waf-rule-statement-transformation"></a>

En esta sección se explica cómo proporcionar transformaciones AWS WAF para aplicarlas antes de inspeccionar la solicitud.

En las instrucciones que buscan patrones o establecen restricciones, puedes proporcionar transformaciones para AWS WAF que se apliquen antes de inspeccionar la solicitud. Una transformación reformatea una solicitud web para eliminar parte del formato inusual que los atacantes utilizan con el objetivo de eludir AWS WAF. 

Si lo utiliza con la selección de componentes de la solicitud del cuerpo JSON, AWS WAF aplica las transformaciones después de analizar y extraer los elementos de la JSON para inspeccionarlos. Para obtener más información, consulte [Cuerpo JSON](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body).

Si proporciona más de una transformación, también establece la orden para que AWS WAF las aplique. 

**WCUs**— Cada transformación de texto es de 10WCUs.

La documentación de la AWS WAF consola y la API también proporciona orientación sobre estos ajustes en las siguientes ubicaciones: 
+ **Generador de reglas** en la consola: **Transformación de texto**. Esta opción está disponible cuando se utilizan componentes de solicitud. 
+ **Contenido de la instrucción de API**: `TextTransformations`Opciones para transformaciones de texto

Cada lista de transformaciones muestra las especificaciones de la consola y la API seguidas de la descripción.

Base64 decode – `BASE64_DECODE`  
AWS WAF decodifica una cadena codificada en Base64.

Base64 decode extension – `BASE64_DECODE_EXT`  
AWS WAF decodifica una cadena codificada en Base64, pero usa una implementación flexible que ignora los caracteres que no son válidos. 

Command line – `CMD_LINE`  
Esta opción mitiga situaciones en las que los atacantes podrían inyectar un comando de línea de comandos del sistema operativo y utilizar un formato inusual para ocultar parte o la totalidad del comando.   
Utilice esta opción para realizar las siguientes transformaciones:  
+ Eliminar los siguientes caracteres: `\ " ' ^`
+ Eliminar los espacios delante de los siguientes caracteres: `/ (`
+ Sustituir los siguientes caracteres por un espacio: `, ;`
+ Sustituir varios espacios por un espacio
+ Convertir letras mayúsculas, `A-Z`, a minúsculas, `a-z`

Compress whitespace – `COMPRESS_WHITE_SPACE`  
AWS WAF comprime los espacios en blanco sustituyendo varios espacios por un espacio y sustituyendo los siguientes caracteres por un carácter de espacio (ASCII 32):  
+ Avance de página (ASCII 12)
+ Pestaña (ASCII 9)
+ Nueva línea (ASCII 10)
+ Retorno de carro (ASCII 13)
+ Pestaña vertical (ASCII 11)
+ Espacio duro (ASCII 160)

CSS decode – `CSS_DECODE`  
AWS WAF decodifica los caracteres codificados mediante las reglas de escape de CSS 2.x. `syndata.html#characters` Esta función utiliza hasta dos bytes en el proceso de decodificación, por lo que puede ayudar a descubrir caracteres ASCII que se codificaron en CSS y que normalmente no se codificarían. También es útil para contrarrestar la evasión, que es una combinación de una barra invertida y caracteres no hexadecimales. Por ejemplo, `ja\vascript` para `javascript`.

Escape sequences decode – `ESCAPE_SEQ_DECODE`  
AWS WAF decodifica las siguientes secuencias de escape ANSI C:`\a`,,`\b`,`\f`,`\n`,`\r`,`\t`,, `\v``\\`, `\xHH` (hexadecimal) `\?` `\'``\"`, `\0OOO` (octal). Las codificaciones que no son válidas permanecen en la salida.

Hex decode – `HEX_DECODE`  
AWS WAF decodifica una cadena de caracteres hexadecimales en un binario.

HTML entity decode – `HTML_ENTITY_DECODE`  
AWS WAF reemplaza los caracteres que se representan en formato hexadecimal `&#xhhhh;` o decimal por `&#nnnn;` los caracteres correspondientes.  
AWS WAF reemplaza los siguientes caracteres codificados en HTML por caracteres no codificados. Esta lista utiliza la codificación HTML en minúsculas, pero no distingue entre mayúsculas y minúsculas; por ejemplo, `&QuOt;` y `&quot;` reciben el mismo tratamiento.       
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/waf-rule-statement-transformation.html)

JS decode – `JS_DECODE`  
AWS WAF decodifica secuencias de escape. JavaScript Si un código `\uHHHH` está en el rango del código ASCII de ancho completo de `FF01-FF5E`, el byte superior se utiliza para detectar y ajustar el byte inferior. Si no, solo se utiliza el byte inferior y el byte superior se pone en cero, lo que provoca una posible pérdida de información.

Lowercase – `LOWERCASE`  
AWS WAF convierte letras mayúsculas (A-Z) en minúsculas (a-z).

MD5 – `MD5`  
AWS WAF calcula un MD5 hash a partir de los datos de la entrada. El hash calculado está en forma binaria sin procesar.

None – `NONE`  
AWS WAF inspecciona la solicitud web tal como se recibió, sin ninguna transformación de texto. 

Normalize path – `NORMALIZE_PATH`  
AWS WAF normaliza la cadena de entrada eliminando las barras diagonales múltiples, las autorreferencias de los directorios y las referencias inversas de los directorios que no estén al principio de la entrada.

Normalize path Windows – `NORMALIZE_PATH_WIN`  
AWS WAF convierte los caracteres de barra invertida en barras diagonales y, a continuación, procesa la cadena resultante mediante la transformación. `NORMALIZE_PATH`

Remove nulls – `REMOVE_NULLS`  
AWS WAF elimina todos los `NULL` bytes de la entrada. 

Replace comments – `REPLACE_COMMENTS`  
AWS WAF reemplaza cada aparición de un comentario de estilo C (/\$1... \$1/) por un solo espacio. No comprime varias repeticiones consecutivas. Sustituye los comentarios no finalizados terminados por un espacio (ASCII 0x20). No cambia la finalización independiente de un comentario (\$1/).

Replace nulls – `REPLACE_NULLS`  
AWS WAF reemplaza cada `NULL` byte de la entrada por el carácter de espacio (ASCII 0x20).

SQL hex decode – `SQL_HEX_DECODE`  
AWS WAF decodifica los datos hexadecimales de SQL. Por ejemplo, AWS WAF decodifica (`0x414243`) en (). `ABC`

URL decode – `URL_DECODE`  
AWS WAF decodifica un valor codificado en una URL.

URL decode Unicode – `URL_DECODE_UNI`  
Como `URL_DECODE`, pero compatible con la codificación de `%u` específica de Microsoft. Si el código está en el rango `FF01-FF5E` del código ASCII de ancho completo, el byte superior se utiliza para detectar y ajustar el byte inferior. De lo contrario, solo se utiliza el byte inferior y el byte superior se pone en cero.

UTF8 to Unicode – `UTF8_TO_UNICODE`  
AWS WAF convierte todas las secuencias de caracteres UTF-8 a Unicode. Esto ayuda a normalizar las entradas y a minimizar los falsos positivos y negativos de los idiomas distintos al inglés.

# Uso de declaraciones de alcance reducido en AWS WAF
<a name="waf-rule-scope-down-statements"></a>

En esta sección, se explica qué es una instrucción de restricción de acceso y cómo funciona.

Una instrucción de restricción de acceso es una instrucción de regla que se puede anidar que se añade a una instrucción de un grupo de reglas administradas o una instrucción basada en tasas para reducir el conjunto de solicitudes que evalúa la regla contenedora. La regla contenedora solo evalúa las solicitudes que coincidan primero con la instrucción de restricción de acceso. 
+ Declaración de **grupo de reglas administrado: si agrega una declaración** de alcance reducido a una declaración de grupo de reglas administrado, AWS WAF evalúa cualquier solicitud que no coincida con la declaración de alcance reducido como si no coincidiera con el grupo de reglas. Las solicitudes solo se evalúan por el grupo de reglas si coinciden con la instrucción de alcance descendente. En el caso de los grupos de reglas administradas cuyos precios se basan en la cantidad de solicitudes evaluadas, las instrucciones de restricción de acceso pueden ayudar a contener los costos. 

  Para obtener más información acerca de las instrucciones sobre los grupos de reglas administradas, consulte [Uso de sentencias de grupos de reglas gestionados en AWS WAF](waf-rule-statement-type-managed-rule-group.md).
+ **Instrucción de regla basada en tasas**: una instrucción de regla basada en tasas sin una instrucción de restricción de acceso limita todas las solicitudes que evalúa la regla. Si solo quiere controlar la tasa para una categoría específica de solicitudes, agregue una instrucción de restricción de acceso a la regla basada en tasas. Por ejemplo, para rastrear y controlar únicamente la tasa de solicitudes de un área geográfica específica, puede especificar esa área geográfica en una instrucción de coincidencia geográfica y agregarla a su regla basada en tasas como instrucción de restricción de acceso. 

  Para obtener más información acerca de las instrucciones de las reglas basadas en tasas, consulte [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md).

Puede usar cualquier regla anidable en una instrucción de restricción de acceso. Para ver las instrucciones disponibles, consulte [Uso de sentencias de reglas de coincidencia en AWS WAF](waf-rule-statements-match.md) y [Uso de enunciados de reglas lógicas en AWS WAF](waf-rule-statements-logical.md). Las instrucciones WCUs para reducir el alcance son las WCUs necesarias para la declaración de regla que defina en ella. No se aplica ningún coste adicional por el uso de una instrucción de restricción de acceso.

Puede configurar una instrucción de restricción de acceso de la misma manera que lo hace cuando usa la instrucción en una regla normal. Por ejemplo, puede aplicar transformaciones de texto a un componente de una solicitud web que esté inspeccionando y puede especificar una dirección IP reenviada para usarla como dirección IP. Estas configuraciones se aplican solo a la instrucción de restricción de acceso y no las hereda el grupo de reglas administradas que las contiene ni la instrucción de regla basada en tasas. 

Por ejemplo, si aplica transformaciones de texto a una cadena de consulta de la instrucción de restricción de acceso, la instrucción de restricción de acceso inspecciona la cadena de consulta después de aplicar las transformaciones. Si la solicitud coincide con los criterios de la instrucción de restricción de acceso, AWS WAF pasa la solicitud web a la regla contenedora en su estado original, sin las transformaciones de la instrucción de restricción de acceso. La regla que contiene la instrucción de restricción de acceso puede aplicar sus propias transformaciones de texto, pero no hereda ninguna de la instrucción de restricción de acceso. 

No puede usar una instrucción de restricción de acceso para especificar ninguna configuración de inspección de solicitudes para la instrucción de la regla contenedora. No puede usar una instrucción de restricción de acceso como preprocesador de solicitudes web para la instrucción de regla contenedora. La única función de una instrucción de regla contenedora es determinar qué solicitudes se pasan a la instrucción de regla contenedora para su inspección. 

# Hacer referencia a entidades reutilizables en AWS WAF
<a name="waf-rule-statement-reusable-entities"></a>

En esta sección, se explica cómo funcionan las entidades reutilizables en AWS WAF.

Algunas reglas utilizan entidades que son reutilizables y que tú o un AWS Marketplace vendedor gestionáis fuera de tu webACLs. AWS Cuando se actualiza la entidad reutilizable, AWS WAF propaga la actualización a la regla. Por ejemplo, si utiliza un grupo de reglas AWS administradas en un paquete de protección (ACL web), al AWS actualizar el grupo de reglas, AWS propaga el cambio a su ACL web para actualizar su comportamiento. Si utiliza una sentencia de conjunto de direcciones IP en una regla, al actualizar el conjunto, AWS WAF se propaga el cambio a todas las reglas que hacen referencia a ella, de modo que cualquier paquete de protección (web ACLs) que utilice esas reglas se conservará up-to-date junto con sus cambios. 

Las siguientes son las entidades reutilizables que se pueden utilizar en una instrucción de regla. 
+ **Conjuntos de IP**: cree y administre sus propios conjuntos de IP. En la consola, puede acceder a ellos desde el panel de navegación. Para obtener más información acerca de la administración de conjuntos de IP, consulte [Conjuntos de IP y conjuntos de patrones de expresiones regulares en AWS WAF](waf-referenced-set-managing.md). 
+ **Conjuntos de coincidencias**: cree y administre sus propios conjuntos de coincidencias de regex. En la consola, puede acceder a ellos desde el panel de navegación. Para obtener más información acerca de la administración de conjuntos de patrones de regex, consulte [Conjuntos de IP y conjuntos de patrones de expresiones regulares en AWS WAF](waf-referenced-set-managing.md). 
+ **AWS Grupos de reglas de reglas administradas**: AWS administra estos grupos de reglas. En la consola, podrá usarlos al agregar un grupo de reglas administradas al paquete de protección (ACL web). Para obtener más información al respecto, consulte [AWS Lista de grupos de reglas de Managed Rules](aws-managed-rule-groups-list.md).
+ **AWS Marketplace grupos de reglas gestionados**: AWS Marketplace los vendedores administran estos grupos de reglas y puedes suscribirte a ellos para usarlos. Para administrar las suscripciones, en el panel de navegación de la consola, elija **AWS Marketplace**. Los grupos de reglas AWS Marketplace administrados se muestran cuando agrega un grupo de reglas administrado a su paquete de protección (ACL web). En el caso de los grupos de reglas a los que aún no se ha suscrito, también encontrará un enlace AWS Marketplace en esa página. Para obtener más información sobre los grupos de reglas gestionados por el AWS Marketplace vendedor, consulta[AWS Marketplace grupos de reglas](marketplace-rule-groups.md).
+ **Sus propios grupos de reglas**: puede administrar sus propios grupos de reglas, normalmente cuando necesita algún comportamiento que no está disponible a través de los grupos de reglas administradas. En la consola, puede acceder a ellos desde el panel de navegación. Para obtener más información, consulte [Administrar sus propios grupos de reglas](waf-user-created-rule-groups.md).

**Eliminación de un conjunto o un grupo de reglas al que se hace referencia**  
Al eliminar una entidad a la que se hace referencia, AWS WAF comprueba si se está utilizando actualmente en un paquete de protección (ACL web). Si AWS WAF descubre que está en uso, te avisa. AWS WAF casi siempre puede determinar si un paquete de protección (ACL web) hace referencia a una entidad. Sin embargo, es posible que en algunas ocasiones no consiga hacerlo. Si necesita asegurarse de que la entidad que quiere eliminar no está en uso, compruébela en su web ACLs antes de eliminarla.

# Uso de sentencias de reglas de coincidencia en AWS WAF
<a name="waf-rule-statements-match"></a>

En esta sección, se explica qué es una instrucción de coincidencia y cómo funciona.

Las instrucciones de coincidencia comparan la solicitud web o su origen con las condiciones que proporcione. En el caso de muchas sentencias de este tipo, AWS WAF compara un componente específico de la solicitud para ver si hay contenido coincidente. 

Las instrucciones de coincidencia se pueden anidar. Puede anidar cualquiera de estas instrucciones dentro de las instrucciones de reglas lógicas y puede utilizarlas en instrucciones de restricción de acceso. Para obtener información sobre las instrucciones de reglas lógicas, consulte [Uso de enunciados de reglas lógicas en AWS WAF](waf-rule-statements-logical.md). Para obtener información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).

Esta tabla describe las instrucciones de coincidencia regulares que puede agregar a una regla y proporciona algunas pautas para calcular el uso de unidades de capacidad del paquete de protección (ACL web) (WCU) para cada una. Para obtener información sobre WCUs, consulte[Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md). 


| instrucción de coincidencia | Description (Descripción) | WCUs | 
| --- | --- | --- | 
| [Coincidencia geográfica](waf-rule-statement-type-geo-match.md) | Inspecciona el país de origen de la solicitud y aplica etiquetas para el país y la región de origen.  | 1 | 
|  [Coincidencia ASN](waf-rule-statement-type-asn-match.md)  |  Inspecciona la solicitud contra un número de sistema autónomo (ASN) asociado con direcciones IP y rangos de direcciones.  |  1  | 
|  [Coincidencia de conjuntos de IP](waf-rule-statement-type-ipset-match.md)  |  Inspecciona la solicitud con un conjunto de direcciones IP y rangos de direcciones.   |  1 para la mayoría de los casos. Si configura la instrucción para que utilice un encabezado con direcciones IP reenviadas y especifique una posición en el encabezado deAny, WCUs aumente el valor en 4.  | 
|  [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md)  |  Inspecciona la solicitud en busca de etiquetas que se hayan agregado mediante otras reglas del mismo paquete de protección (ACL web).  |  1   | 
| [Instrucción de regla de coincidencia de expresiones regulares](waf-rule-statement-type-regex-match.md) | Compara un patrón de regex con un componente de solicitud especificado.  | 3, como coste base. Si utiliza el componente de solicitud **Todos los parámetros de consulta**, añada 10 WCUs. Si utiliza el **cuerpo JSON** del componente de solicitud, duplique el coste base WCUs. Por cada **transformación de texto** que aplique, añada 10 WCUs.  | 
|  [Conjunto de patrones de expresiones regex](waf-rule-statement-type-regex-pattern-set-match.md)  |  Compara patrones de regex con un componente de solicitud especificado.   |  25 por conjunto de patrones, como coste base.  Si utiliza el componente de solicitud **Todos los parámetros de consulta**, añada 10 WCUs. Si utiliza el **cuerpo JSON** del componente de solicitud, duplique el coste base WCUs. Por cada **transformación de texto** que aplique, añada 10 WCUs.  | 
| [Restricción de tamaño](waf-rule-statement-type-size-constraint-match.md) | Comprueba restricciones de tamaño con un componente de solicitud especificado.  | 1, como coste base.  Si utiliza el componente de solicitud **Todos los parámetros de consulta**, añada 10 WCUs. Si utiliza el **cuerpo JSON** del componente de solicitud, duplique el coste base WCUs. Por cada **transformación de texto** que aplique, añada 10 WCUs.  | 
| [SQLiataque](waf-rule-statement-type-sqli-match.md) | Inspecciona el código SQL malintencionado en un componente de solicitud especificado.  | 20, como coste base. Si utiliza el componente de solicitud **Todos los parámetros de consulta**, añada 10 WCUs. Si utiliza el **cuerpo JSON** del componente de solicitud, duplique el coste base WCUs. Por cada **transformación de texto** que aplique, añada 10 WCUs. | 
| [Coincidencia de cadenas](waf-rule-statement-type-string-match.md) | Compara una cadena con un componente de solicitud especificado.  |  El coste base depende del tipo de coincidencia de cadenas y oscila entre 1 y 10. Si utiliza el componente de solicitud **Todos los parámetros de consulta**, añada 10 WCUs. Si utiliza el **cuerpo JSON** del componente de solicitud, duplique el coste base WCUs. Por cada **transformación de texto** que aplique, añada 10 WCUs.  | 
| [Ataque de scripting XSS](waf-rule-statement-type-xss-match.md) | Inspecciona los ataques de scripting entre sitios en un componente de solicitud especificado.  | 40, como coste base. Si utiliza el componente de solicitud **Todos los parámetros de consulta**, añada 10 WCUs. Si utiliza el **cuerpo JSON** del componente de solicitud, duplique el coste base WCUs. Por cada **transformación de texto** que aplique, añada 10 WCUs. | 

# Instrucción de regla de coincidencia geográfica
<a name="waf-rule-statement-type-geo-match"></a>

En esta sección se explica qué es una instrucción de coincidencia geográfica y cómo funciona.

Utilice instrucciones de concordancia geográfica para administrar las solicitudes web en función del país y la región de origen. Una instrucción de concordancia geográfica agrega etiquetas a las solicitudes web que indican el país de origen y la región de origen. Añade estas etiquetas independientemente de si los criterios de la instrucción coinciden con los de la solicitud. Una instrucción de coincidencia geográfica también realiza una comparación con el país de origen de la solicitud.

## ¿Cómo usar la instrucción de coincidencia geográfica
<a name="waf-rule-statement-geo-how-to-use"></a>

Puede usar la instrucción de coincidencia geográfica para la coincidencia de países o regiones, de la siguiente manera: 
+ **País**: puede usar una regla de coincidencia geográfica por sí sola para gestionar las solicitudes en función únicamente de su país de origen. La instrucción de regla coincide con los códigos de país. También puede seguir una regla de coincidencia geográfica con una regla de coincidencia de etiquetas que coincida con la etiqueta del país de origen. 
**nota**  
Para filtrar el tráfico de Hong Kong, use el código de país ISO 3166-1 alfa-2 `HK` en su instrucción de coincidencia geográfica.
+ **Región**: use una regla de coincidencia geográfica seguida de una regla de coincidencia de etiquetas para gestionar las solicitudes en función de su región de origen. No puede usar una regla de coincidencia geográfica por sí sola para hacer coincidir los códigos de región.

Para obtener información sobre el uso de las reglas de coincidencia de etiquetas, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md) y [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).

## Cómo funciona la instrucción de coincidencia geográfica
<a name="waf-rule-statement-geo-how-it-works"></a>

Con la declaración geo match, AWS WAF gestiona cada solicitud web de la siguiente manera: 

1. **Determina los códigos de país y región de la solicitud**: AWS WAF determina el país y la región de una solicitud en función de su dirección IP. De forma predeterminada, AWS WAF utiliza la dirección IP del origen de la solicitud web. Puedes indicar AWS WAF que uses una dirección IP de un encabezado de solicitud alternativo, por ejemplo`X-Forwarded-For`, habilitando la configuración de IP reenviada en la configuración de la declaración de reglas. 

   AWS WAF determina la ubicación de las solicitudes mediante bases de datos de MaxMind GeoIP. MaxMind informa de una precisión muy alta de sus datos a nivel de país, aunque la precisión varía según factores como el país y el tipo de IP. Para obtener más información MaxMind, consulte [Geolocalización de MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Si cree que alguno de los datos de GeoIP es incorrecto, puede enviar una solicitud de corrección a Maxmind en [MaxMind Correct](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Geo Data. IP2 

   AWS WAF utiliza los códigos de país y región alfa-2 de la norma 3166 de la Organización Internacional de Normalización (ISO). Puede encontrar los códigos en las siguientes ubicaciones:
   + En el sitio web de la ISO, puede buscar los códigos de los países en la [Plataforma de navegación en línea (OBP) de la ISO](https://www.iso.org/obp/ui#home). 
   + En Wikipedia, los códigos de los países figuran en la [ISO 3166-2](https://en.wikipedia.org/wiki/ISO_3166-2).

     Los códigos de región de un país aparecen en la URL `https://en.wikipedia.org/wiki/ISO_3166-2:<ISO country code>`. Por ejemplo, las regiones de los Estados Unidos están en la [ISO 3166-2:US](https://en.wikipedia.org/wiki/ISO_3166-2:US) y, las de Ucrania, en la norma [ISO 3166-2:UA](https://en.wikipedia.org/wiki/ISO_3166-2:UA).

1. **Determina la etiqueta de país y la etiqueta de región que se van a agregar a la solicitud**: las etiquetas indican si la instrucción de coincidencia geográfica utiliza la configuración de IP de origen o de IP reenviada.
   + **ID de origen** 

     La etiqueta del país es `awswaf:clientip:geo:country:<ISO country code>`. Ejemplo para los Estados Unidos: `awswaf:clientip:geo:country:US`.

     La etiqueta de la región es `awswaf:clientip:geo:region:<ISO country code>-<ISO region code>`. Ejemplo para los Oregón, en Estados Unidos: `awswaf:clientip:geo:region:US-OR`.
   + **IP reenviada** 

     La etiqueta del país es `awswaf:forwardedip:geo:country:<ISO country code>`. Ejemplo para los Estados Unidos: `awswaf:forwardedip:geo:country:US`.

     La etiqueta de la región es `awswaf:forwardedip:geo:region:<ISO country code>-<ISO region code>`. Ejemplo para los Oregón, en Estados Unidos: `awswaf:forwardedip:geo:region:US-OR`.

   Si el código de país o región no está disponible para la dirección IP especificada de una solicitud, AWS WAF utiliza `XX` en las etiquetas, en lugar del valor. Por ejemplo, la siguiente etiqueta es para la IP de un cliente cuyo código de país no está disponible: `awswaf:clientip:geo:country:XX` y la siguiente es para una IP reenviada cuyo país es Estados Unidos, pero cuyo código de región no está disponible: `awswaf:forwardedip:geo:region:US-XX`. 

1. **Evalúa el código de país de la solicitud según los criterios de la regla** 

La instrucción de coincidencia geográfica agrega etiquetas de país y región a todas las solicitudes que inspecciona, independientemente de si encuentra o no una coincidencia. 

**nota**  
AWS WAF añade cualquier etiqueta al final de la evaluación de la solicitud web de una regla. Por este motivo, cualquier coincidencia de etiquetas que utilice con las etiquetas de una instrucción de coincidencia geográfica debe definirse en una regla independiente de la regla que contiene la instrucción de coincidencia geográfica. 

Si quiere inspeccionar solo los valores de las regiones, puede escribir una regla de coincidencia geográfica con la acción Count y con una sola coincidencia de códigos de país, seguida de una regla de coincidencia de etiquetas para las etiquetas de las regiones. Debe proporcionar un código de país para que la regla de coincidencia geográfica lo evalúe, incluso para este enfoque. Puede reducir el registro y las métricas de recuento especificando un país que muy probablemente no sea un origen de tráfico para su sitio. 

## CloudFront distribuciones y la función de restricción CloudFront geográfica
<a name="cloudfront-distributions-geo-restriction"></a>

En el caso de CloudFront las distribuciones, si utilizas la función de restricción CloudFront geográfica, ten en cuenta que la función no reenvía las solicitudes bloqueadas a. AWS WAF Reenvía las solicitudes permitidas a AWS WAF. Si quieres bloquear las solicitudes en función de la zona geográfica y de otros criterios que puedas especificar AWS WAF, utiliza la declaración de concordancia AWS WAF geográfica y no utilices la función de restricción CloudFront geográfica. 

## Características de la instrucción de reglas
<a name="geo-match-statement-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs **— 1 WCU.

**Configuración**: esta instrucción utiliza la siguiente configuración: 
+ **Códigos de país**: conjunto de códigos de países que se pueden comparar para obtener una coincidencia geográfica. Deben ser códigos de país de dos caracteres, de los códigos ISO de país alfa-2 de la norma internacional ISO 3166, por ejemplo, `["US","CN"]`. 
+ **(Opcional) Configuración de IP reenviada**: de forma predeterminada, AWS WAF utiliza la dirección IP del origen de la solicitud web para determinar el país de origen. Como alternativa, puedes configurar la regla para que utilice una IP reenviada en un encabezado HTTP, como en `X-Forwarded-For` su lugar. AWS WAF usa la primera dirección IP del encabezado. Con esta configuración, también se especifica un comportamiento alternativo para aplicarlo a una solicitud web con una dirección IP con un formato incorrecto en el encabezado. El comportamiento alternativo establece que el resultado de la solicitud coincide o no coincide. Para obtener más información, consulte [Uso de direcciones IP reenviadas](waf-rule-statement-forwarded-ip-address.md). 

## Dónde encontrar esta instrucción de regla
<a name="geo-match-statement-where-to-find"></a>
+ **Generador de reglas** en la consola: en **Opción de la solicitud**, elija **Se origina desde un país de**.
+ **API**: [GeoMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_GeoMatchStatement.html)

## Ejemplos
<a name="waf-rule-statement-geo-examples"></a>

Puede utilizar la instrucción de coincidencia geográfica para administrar las solicitudes de países o regiones específicos. Por ejemplo, para bloquear determinados países, pero seguir permitiendo solicitudes de un conjunto específico de direcciones IP de uno de esos países, podría crear una regla con la acción establecida en Block y las siguientes instrucciones anidadas:
+ AND instrucción
  + Instrucción de coincidencia geográfica en la que se enumeran los países que desea bloquear
  + NOT instrucción 
    + Instrucción de conjuntos de IP que especifica las direcciones IP que desea permitir

O bien, si quiere bloquear algunas regiones de determinados países y, al mismo tiempo, permitir solicitudes de otras regiones de esos países, puede definir primero una regla de coincidencia geográfica con la acción establecida en Count. A continuación, defina una regla de coincidencia de etiquetas que coincida con las etiquetas de coincidencia geográfica agregadas y gestione las solicitudes según sea necesario. 

El siguiente pseudocódigo describe un ejemplo de este enfoque:

1. Instrucción de coincidencia geográfica en la que se enumeran los países cuyas regiones quiere bloquear, pero con la acción configurada como Recuento. Esto etiqueta todas las solicitudes web, independientemente del estado de coincidencia, y también proporciona métricas de recuento de los países de interés. 

1. Instrucción `AND` con acción de bloqueo
   + Instrucción de concordancia de etiquetas que especifica las etiquetas de los países que desea bloquear
   + `NOT` instrucción 
     + Instrucción de coincidencia de etiquetas que especifica las etiquetas de las regiones de los países por los que quiere permitir el paso

La siguiente lista de JSON muestra una implementación de las dos reglas descritas en el pseudocódigo anterior. Estas reglas bloquean todo el tráfico procedente de los Estados Unidos, excepto el tráfico procedente de Oregón y Washington. La instrucción de coincidencia geográfica agrega etiquetas de país y región a todas las solicitudes que inspecciona. La regla de coincidencia de etiquetas se ejecuta después de la regla de coincidencia geográfica, por lo que puede coincidir con las etiquetas de país y región que la regla de coincidencia geográfica acaba de agregar. La instrucción de coincidencia geográfica utiliza una dirección IP reenviada, por lo que la coincidencia de etiquetas también especifica las etiquetas de IP reenviadas. 

```
{
   "Name": "geoMatchForLabels",
   "Priority": 10,
   "Statement": {
     "GeoMatchStatement": {
       "CountryCodes": [
         "US"
       ],
       "ForwardedIPConfig": {
           "HeaderName": "X-Forwarded-For",
           "FallbackBehavior": "MATCH"
       }
     }
   },
   "Action": {
     "Count": {}
   },
   "VisibilityConfig": {
     "SampledRequestsEnabled": true,
     "CloudWatchMetricsEnabled": true,
     "MetricName": "geoMatchForLabels"
   }
},
{
   "Name": "blockUSButNotOROrWA",
   "Priority": 11,
   "Statement": {
     "AndStatement": {
       "Statements": [
         {
           "LabelMatchStatement": {
             "Scope": "LABEL",
             "Key": "awswaf:forwardedip:geo:country:US"
           }
         },
         {
           "NotStatement": {
             "Statement": {
                "OrStatement": {
                  "Statements": [
                    {
                       "LabelMatchStatement": {
                         "Scope": "LABEL",
                         "Key": "awswaf:forwardedip:geo:region:US-OR"
                       }
                    },
                    {
                       "LabelMatchStatement": {
                         "Scope": "LABEL",
                         "Key": "awswaf:forwardedip:geo:region:US-WA"
                       }
                    }
                 ]
               }
             }
           }
         }
       ]
     }
   },
   "Action": {
     "Block": {}
   },
   "VisibilityConfig": {
     "SampledRequestsEnabled": true,
     "CloudWatchMetricsEnabled": true,
     "MetricName": "blockUSButNotOROrWA"
   }
}
```

Como otro ejemplo, puede combinar la coincidencia geográfica con reglas basadas en tasas para priorizar los recursos para los usuarios de un país o región en particular. Puede crear una instrucción basada en tasas diferente para cada instrucción de coincidencia geográfica o de etiquetas que utilice para diferenciar a sus usuarios. Establezca un límite de frecuencia mayor para los usuarios del país o región preferido y un límite de frecuencia menor para otros usuarios. 

La siguiente lista de JSON muestra una regla de coincidencia geográfica seguida de reglas basadas en tasas que limitan la tasa de tráfico procedente de los Estados Unidos. Las normas permiten que el tráfico procedente de Oregón entre a una tasa mayor que el tráfico procedente de cualquier otro lugar del país. 

```
{
  "Name": "geoMatchForLabels",
  "Priority": 190,
  "Statement": {
    "GeoMatchStatement": {
      "CountryCodes": [
        "US"
      ]
    }
  },
  "Action": {
    "Count": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "geoMatchForLabels"
  }
},
{
  "Name": "rateLimitOregon",
  "Priority": 195,
  "Statement": {
    "RateBasedStatement": {
      "Limit": 3000,
      "AggregateKeyType": "IP",
      "ScopeDownStatement": {
        "LabelMatchStatement": {
          "Scope": "LABEL",
          "Key": "awswaf:clientip:geo:region:US-OR"
        }
      }
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "rateLimitOregon"
  }
},
{
  "Name": "rateLimitUSNotOR",
  "Priority": 200,
  "Statement": {
    "RateBasedStatement": {
      "Limit": 100,
      "AggregateKeyType": "IP",
      "ScopeDownStatement": {
        "AndStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:clientip:geo:country:US"
              }
            },
            {
              "NotStatement": {
                "Statement": {
                  "LabelMatchStatement": {
                    "Scope": "LABEL",
                    "Key": "awswaf:clientip:geo:region:US-OR"
                  }
                }
              }
            }
          ]
        }
      }
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "rateLimitUSNotOR"
  }
}
```

# Instrucción de regla de coincidencia de conjuntos de IP
<a name="waf-rule-statement-type-ipset-match"></a>

En esta sección, se explica qué es una instrucción de coincidencia de un conjunto de IP y cómo funciona.

La instrucción de coincidencia de conjuntos de IP inspecciona la dirección IP del origen de una solicitud web con un conjunto de direcciones IP y rangos de direcciones. Utilice esta opción para permitir o bloquear solicitudes web en función de las direcciones IP donde se originan las solicitudes. De forma predeterminada, AWS WAF usa la dirección IP del origen de la solicitud web, pero puede configurar la regla para que use un encabezado HTTP como `X-Forwarded-For` en su lugar. 



AWS WAF admite todos los rangos IPv4 y IPv6 CIDR excepto`/0`. Para obtener más información acerca de la notación CIDR, consulte la entrada de la Wikipedia [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing). Un conjunto de IP puede contener hasta 10 000 direcciones IP o rangos de direcciones IP para comprobarlos.

**nota**  
Cada regla de coincidencia de conjuntos de IP hace referencia a un conjunto de IP, que se crea y mantiene independientemente de las reglas. Puede utilizar un único conjunto de direcciones IP en varias reglas y, al actualizar el conjunto al que se hace referencia, se AWS WAF actualizan automáticamente todas las reglas que hacen referencia a él.   
Para obtener información acerca de cómo se crea y se administra un conjunto de IP, consulte [Creación y administración de un conjunto de IP en AWS WAF](waf-ip-set-managing.md).

Cuando agregue o actualice las reglas en su grupo de reglas o paquete de protección (ACL web), elija la opción **Conjunto de IP** y seleccione el nombre del conjunto de IP que desea usar. 

## Características de la instrucción de reglas
<a name="ipset-match-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs**— 1 WCU para la mayoría. Si configura la instrucción para usar direcciones IP reenviadas y especifica una posición de ANY, aumente el uso de las WCU en 4.

Esta instrucción utiliza la siguiente configuración: 
+ **Especificación de conjunto de IP**: elija el conjunto de IP que desea utilizar de la lista o cree uno nuevo. 
+ **(Opcional) Configuración de IP reenviada**: un nombre de encabezado de IP reenviado alternativo para usar en lugar del origen de la solicitud. Debe indicar si debe coincidir con la primera, la última o con cualquier otra dirección del encabezado. También puede especificar un comportamiento alternativo para aplicar a una solicitud web con una dirección IP malformada en la cabecera especificada. El comportamiento alternativo establece que el resultado de la solicitud coincide o no coincide. Para obtener más información, consulte [Uso de direcciones IP reenviadas](waf-rule-statement-forwarded-ip-address.md). 

## Dónde encontrar esta instrucción de regla
<a name="ipset-match-where-to-find"></a>

**Dónde encontrar esta instrucción de regla**
+ **Generador de reglas** en la consola: En **Opción de la solicitud**, elija **Se origina desde una dirección IP de**.
+ Página **Añadir mis propias reglas y grupos de reglas** de la consola: elija la opción **Conjunto de IP**.
+ **API**: [IPSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_IPSetReferenceStatement.html)

# Declaración de coincidencia de número de sistema autónomo (ASN)
<a name="waf-rule-statement-type-asn-match"></a>

Una declaración de la regla de coincidencia de ASN AWS WAF permite inspeccionar el tráfico web en función del número de sistema autónomo (ASN) asociado a la dirección IP de la solicitud. ASNs son identificadores únicos que se asignan a grandes redes de Internet administradas por organizaciones como proveedores de servicios de Internet, empresas, universidades o agencias gubernamentales. Mediante declaraciones de coincidencia de ASN, usted puede permitir o bloquear tráfico de organizaciones de red específicas sin tener que administrar direcciones IP individuales. Este enfoque ofrece una forma más estable y eficiente de controlar el acceso en comparación con las reglas basadas en IP, ya que ASNs cambian con menos frecuencia que los rangos de IP. 

La coincidencia de ASN es especialmente útil en escenarios como bloquear tráfico de redes problemáticas conocidas o permitir acceso solo desde redes asociadas confiables. La sentencia ASN Match proporciona flexibilidad a la hora de determinar la dirección IP del cliente mediante una configuración de IP reenviada opcional, lo que la hace compatible con diversas configuraciones de red, incluidas las que utilizan redes de entrega de contenido (CDNs) o proxies inversos.

**nota**  
La coincidencia de ASN complementa, pero no reemplaza, los controles estándar de autenticación y autorización. Recomendamos implementar mecanismos de autenticación y autorización, como IAM, para verificar la identidad de todas las solicitudes en sus aplicaciones.

## Cómo funciona la declaración de coincidencia de ASN
<a name="waf-rule-statement-type-asn-match-how-it-works"></a>

AWS WAF determina el ASN de una solicitud en función de su dirección IP. De forma predeterminada, AWS WAF utiliza la dirección IP del origen de la solicitud web. Puedes configurarlo AWS WAF para usar una dirección IP de un encabezado de solicitud alternativo, por ejemplo`X-Forwarded-For`, habilitando la configuración de IP reenviada en la configuración de la declaración de reglas.

La sentencia de coincidencia de ASN compara el ASN de la solicitud con la lista ASNs especificada en la regla. Si el ASN coincide con uno de la lista, la declaración se evalúa como verdadera y se aplica la acción de regla asociada.

### Manejo de datos no mapeados ASNs
<a name="waf-rule-statement-type-asn-match-unmapped"></a>

Si AWS WAF no puede determinar un ASN para una dirección IP válida, asigna el ASN 0. Puede incluir el ASN 0 en su regla para manejar estos casos de forma explícita.

### Comportamiento de reserva para direcciones IP no válidas
<a name="waf-rule-statement-type-asn-match-fallback"></a>

Cuando configura la declaración de coincidencia de ASN para usar direcciones IP reenviadas, puede especificar un comportamiento de reserva de *Coincide* o *No coincide* para solicitudes con direcciones IP no válidas o ausentes en el encabezado designado.

## Características de la instrucción de reglas
<a name="waf-rule-statement-type-asn-match-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs**— 1 WCU

Esta instrucción utiliza la siguiente configuración:
+ **Lista de ASN**: una matriz de números ASN para comparar en una coincidencia de ASN. Los valores válidos oscilan entre 0 y 4294967295. Puede especificar hasta 100 ASNs para cada regla.
+ **(Opcional) Configuración de IP reenviada**: de forma predeterminada, AWS WAF utiliza la dirección IP del origen de la solicitud web para determinar el ASN. Como puede configurar la regla para usar una IP reenviada en un encabezado HTTP como `X-Forwarded-For`. Debe indicar si desea usar la primera, la última o cualquier dirección del encabezado. Con esta configuración, también se especifica un comportamiento alternativo para aplicarlo a una solicitud web con una dirección IP con un formato incorrecto en el encabezado. El comportamiento alternativo establece que el resultado de la solicitud coincide o no coincide. Para obtener más información, consulte [Uso de direcciones IP reenviadas](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html).

## Dónde encontrar esta instrucción de regla
<a name="waf-rule-statement-type-asn-match-where-to-find"></a>
+ **Generador de reglas** en la consola: en **Opción de la solicitud**, elija **Se origina desde un ASN en**.
+ **API**: [AsnMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AsnMatchStatement.html)

## Ejemplos
<a name="waf-rule-statement-type-asn-match-examples"></a>

Este ejemplo bloquea las solicitudes que se originan en dos direcciones específicas ASNs derivadas de un `X-Forwarded-For` encabezado. Si la dirección IP del encabezado está mal formada, el comportamiento de reserva configurado es `NO_MATCH`.

```
{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}
```

# Instrucción de regla de coincidencia de etiquetas
<a name="waf-rule-statement-type-label-match"></a>

En esta sección se explica qué es una instrucción de concordancia de etiquetas y cómo funciona.

La instrucción de coincidencia de etiquetas inspecciona las etiquetas que se encuentran en la solicitud web comparándolas con una especificación de cadena. Las etiquetas que una regla puede inspeccionar son las que ya se han agregado a la solicitud web mediante otras reglas en la misma evaluación del paquete de protección (ACL web). 

Las etiquetas no persisten fuera de la evaluación del paquete de protección (ACL web), pero puede acceder a las métricas de las etiquetas CloudWatch y ver los resúmenes de la información de las etiquetas de cualquier paquete de protección (ACL web) en la AWS WAF consola. Para obtener más información, consulte [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label) y [Supervisión y ajuste de sus AWS WAF protecciones](web-acl-testing-activities.md). También se pueden ver etiquetas en los registros. Para obtener información, consulte [Campos de registro para el tráfico del paquete de protección (ACL web)](logging-fields.md).

**nota**  
Una instrucción de coincidencia de etiquetas solamente puede ver las etiquetas de las reglas que se hayan evaluado anteriormente en el paquete de protección (ACL web). Para obtener información sobre cómo AWS WAF se evalúan las reglas y los grupos de reglas de un paquete de protección (ACL web), consulte. [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md)

Para obtener más información sobre cómo agregar etiquetas y hacer que coincidan, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).

## Características de la instrucción de reglas
<a name="label-match-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs**— 1 WCU

Esta instrucción utiliza la siguiente configuración: 
+ **Alcance de coincidencia**: configúrelo en **Etiqueta** para que coincida con el nombre de la etiqueta y, si lo desea, con los espacios de nombres y el prefijo anteriores. Configúrelo en **Espacio de nombres** para que coincida con algunas o todas las especificaciones del espacio de nombres y, opcionalmente, con el prefijo anterior. 
+ **Clave**: la cadena con la que desea hacer coincidir. Si especifica un alcance de coincidencia de espacio de nombres, solo debe especificar los espacios de nombres y, opcionalmente, el prefijo, con dos puntos al final. Si especifica un alcance de coincidencia de etiquetas, este debe incluir el nombre de la etiqueta y, de forma opcional, puede incluir los espacios de nombres y el prefijo anteriores. 

Para obtener más información sobre estas opciones, consulte [AWS WAF reglas que coinciden con las etiquetas](waf-rule-label-match.md) y [AWS WAF ejemplos de concordancia de etiquetas](waf-rule-label-match-examples.md).

## Dónde encontrar esta instrucción de regla
<a name="label-match-where-to-find"></a>
+ **Generador de reglas** en la consola: En **Opción de la solicitud**, elija **Tiene etiqueta**.
+ **API**: [LabelMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_LabelMatchStatement.html)

# Instrucción de regla de coincidencia de expresiones regulares
<a name="waf-rule-statement-type-regex-match"></a>

En esta sección se explica qué es una instrucción de coincidencia de expresiones regulares y cómo funciona.

Una sentencia de coincidencia de expresiones regulares indica que se debe AWS WAF hacer coincidir un componente de solicitud con una sola expresión regular (regex). Una solicitud web coincide con la instrucción si el componente de la solicitud coincide con la regex que especificó. 

Este tipo de instrucción es una buena alternativa [Instrucción de regla de coincidencia de conjuntos de patrones de regex](waf-rule-statement-type-regex-pattern-set-match.md) para las situaciones en las que desee combinar los criterios de coincidencia mediante la lógica matemática. Por ejemplo, si desea que un componente de la solicitud coincida con algunos patrones de regex y no con otros, puede combinar las instrucciones de coincidencia de regex utilizando [Instrucción de reglas de AND](waf-rule-statement-type-and.md) y [Instrucción de reglas de NOT](waf-rule-statement-type-not.md). 

AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE con algunas excepciones. `libpcre` La biblioteca está documentada en [PCRE, expresiones regulares compatibles con Perl](http://www.pcre.org/). Para obtener información sobre el AWS WAF soporte, consulte[Sintaxis de expresiones regulares admitida en AWS WAF](waf-regex-pattern-support.md).

## Características de la instrucción de reglas
<a name="regex-match-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs**— 3 WCUs, como coste base. Si utiliza el componente de solicitud **Todos los parámetros de consulta**, añada 10 WCUs. Si utiliza el **cuerpo JSON** del componente de solicitud, duplique el coste base WCUs. Por cada **transformación de texto** que aplique, añada 10 WCUs.

Este tipo de instrucción funciona en un componente de solicitud web y requiere la siguiente configuración del componente de la solicitud: 
+ **Componente de solicitud**: la parte de la solicitud web que se va a inspeccionar, por ejemplo, una cadena de consulta o el cuerpo.
**aviso**  
Si inspeccionas el cuerpo, el **cuerpo** de **JSON**, **los encabezados** o **las cookies** de los componentes de la solicitud, consulta las limitaciones en cuanto a la cantidad de contenido que AWS WAF se puede inspeccionar. [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md) 

  Para obtener información sobre los componentes de la solicitud web, consulte [Ajustar la configuración de la declaración de reglas en AWS WAF](waf-rule-statement-fields.md).
+ Transformaciones de **texto opcionales: transformaciones** que desea AWS WAF realizar en el componente de la solicitud antes de inspeccionarlo. Por ejemplo, puede convertir a minúsculas o normalizar el espacio en blanco. Si especifica más de una transformación, las AWS WAF procesa en el orden indicado. Para obtener información, consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md).

## Dónde encontrar esta instrucción de regla
<a name="regex-match-where-to-find"></a>
+ **Generador de reglas** en la consola: en **Tipo de coincidencia**, seleccione **Coincide con expresión regular**.
+ **API**: [RegexMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexMatchStatement.html)

# Instrucción de regla de coincidencia de conjuntos de patrones de regex
<a name="waf-rule-statement-type-regex-pattern-set-match"></a>

En esta sección se explica qué es una instrucción de coincidencia de conjuntos de patrones de expresiones regulares y cómo funciona.

La comparación del conjunto de patrones de expresiones regulares inspecciona la parte de la solicitud web que especifica para los patrones de expresiones regulares que ha especificado en un conjunto de patrones de expresiones regulares.

AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE `libpcre` con algunas excepciones. La biblioteca está documentada en [PCRE, expresiones regulares compatibles con Perl](http://www.pcre.org/). Para obtener información sobre el AWS WAF soporte, consulte[Sintaxis de expresiones regulares admitida en AWS WAF](waf-regex-pattern-support.md).

**nota**  
Cada regla de coincidencia de conjuntos de patrones de regex hace referencia a un conjunto de patrones de regex, que se crea y mantiene independientemente de las reglas. Puede utilizar un único conjunto de patrones de expresiones regulares en varias reglas y, al actualizar el conjunto al que se hace referencia, se AWS WAF actualizan automáticamente todas las reglas que hacen referencia a él.   
Para obtener más información acerca de cómo se crea y administra un conjunto de patrones regex, consulte [Creación y administración de un conjunto de patrones de expresiones regulares en AWS WAF](waf-regex-pattern-set-managing.md).

Una sentencia de coincidencia de conjuntos de patrones de expresiones regulares indica AWS WAF que hay que buscar cualquiera de los patrones del conjunto dentro del componente de solicitud que elija. Una solicitud web coincidirá con la instrucción de la regla del conjunto de patrones si el componente de la solicitud coincide con cualquiera de los patrones del conjunto. 

Si desea combinar sus coincidencias de patrones de regex utilizando la lógica, por ejemplo, para que coincidan con algunas expresiones regulares y no con otras, considere la posibilidad de utilizar [Instrucción de regla de coincidencia de expresiones regulares](waf-rule-statement-type-regex-match.md). 

## Características de la instrucción de reglas
<a name="regex-pattern-set-match-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs**— 25 WCUs, como coste base. Si utiliza el componente de solicitud **Todos los parámetros de consulta**, añada 10 WCUs. Si utiliza el **cuerpo JSON** del componente de solicitud, duplique el coste base WCUs. Por cada **transformación de texto** que aplique, añada 10 WCUs.

Este tipo de instrucción funciona en un componente de solicitud web y requiere la siguiente configuración del componente de la solicitud: 
+ **Componente de solicitud**: la parte de la solicitud web que se va a inspeccionar, por ejemplo, una cadena de consulta o el cuerpo.
**aviso**  
Si inspeccionas el cuerpo, el **cuerpo** de **JSON**, **los encabezados** o **las cookies** de los componentes de la solicitud, consulta las limitaciones en cuanto a la cantidad de contenido que AWS WAF se puede inspeccionar. [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md) 

  Para obtener información sobre los componentes de la solicitud web, consulte [Ajustar la configuración de la declaración de reglas en AWS WAF](waf-rule-statement-fields.md).
+ Transformaciones de **texto opcionales: transformaciones** que desea AWS WAF realizar en el componente de la solicitud antes de inspeccionarlo. Por ejemplo, puede convertir a minúsculas o normalizar el espacio en blanco. Si especifica más de una transformación, las AWS WAF procesa en el orden indicado. Para obtener información, consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md).

Esta instrucción requiere la siguiente configuración: 
+ Especificación de conjunto de patrones de regex: Elija el conjunto de patrones de regex que desea utilizar de la lista o cree uno nuevo. 

## Dónde encontrar esta instrucción de regla
<a name="regex-pattern-set-match-where-to-find"></a>
+ **Generador de reglas** en la consola: En **Tipo de coincidencia**, elija **Condición de coincidencia de cadena** > **Coincide con el patrón del conjunto de expresiones regulares**.
+ **API**: [RegexPatternSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexPatternSetReferenceStatement.html)

# Instrucción de regla de restricción de tamaño
<a name="waf-rule-statement-type-size-constraint-match"></a>

En esta sección se explica qué es una instrucción de restricción de tamaño y cómo funciona.

Una declaración de restricción de tamaño compara el número de bytes que AWS WAF recibe un componente de solicitud web con el número que usted proporciona y coincide según sus criterios de comparación. 

El criterio de comparación es un operador como mayor que (>) o menor que (<). Por ejemplo, puede hacer coincidir las solicitudes que tienen una cadena de consulta con un tamaño superior a 100 bytes. 

Si inspecciona la ruta de URI, cualquier `/` en la ruta cuenta como un carácter. Por ejemplo, el `/logo.jpg` de la ruta del URI tiene nueve caracteres.

**nota**  
Esta instrucción solo inspecciona el tamaño del componente de la solicitud web. No inspecciona el contenido del componente. 

## Características de la instrucción de reglas
<a name="size-constraint-match-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs**— 1 WCU, como coste base. Si utiliza el componente de solicitud **Todos los parámetros de consulta**, añada 10 WCUs. Si utiliza el **cuerpo JSON** del componente de solicitud, duplique el coste base WCUs. Por cada **transformación de texto** que aplique, añada 10 WCUs.

Este tipo de instrucción funciona en un componente de solicitud web y requiere la siguiente configuración del componente de la solicitud: 
+ **Componente de solicitud**: la parte de la solicitud web que se va a inspeccionar, por ejemplo, una cadena de consulta o el cuerpo. Para obtener información sobre los componentes de la solicitud web, consulte [Ajustar la configuración de la declaración de reglas en AWS WAF](waf-rule-statement-fields.md).

  Una instrucción de restricción de tamaño inspecciona solo el tamaño del componente después de aplicar cualquier transformación. No inspecciona el contenido del componente. 
+ Transformaciones de **texto opcionales: transformaciones** que desea AWS WAF realizar en el componente de la solicitud antes de inspeccionar su tamaño. Por ejemplo, puede comprimir espacios en blanco o decodificar entidades HTML. Si especifica más de una transformación, las AWS WAF procesa en el orden indicado. Para obtener información, consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md).

Además, esta instrucción requiere la siguiente configuración: 
+ **Condición de coincidencia de tamaño**: indica el operador de comparación numérica que se utilizará para comparar el tamaño que proporciona con el componente de solicitud que ha elegido. Elija el operador de la lista.
+ **Tamaño**: el ajuste de tamaño, en bytes que se usará en la comparación. 

## Dónde encontrar esta instrucción de regla
<a name="size-constraint-match-where-to-find"></a>
+ **Generador de reglas** en la consola: En **Tipo de coincidencia**, en **Condición de coincidencia de tamaño**, elija la condición que quiere usar.
+ **API**: [SizeConstraintStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SizeConstraintStatement.html)

# Instrucción de regla de ataques de inyecciones SQL
<a name="waf-rule-statement-type-sqli-match"></a>

En esta sección se explica qué es una instrucción de reglas de inyección de código SQL y cómo funciona.

Una instrucción de regla de inyección de código SQL inspecciona en busca de código SQL malicioso. Los atacantes insertan código SQL malicioso en solicitudes web con el objetivo de modificar su base de datos o extraer datos de ella.

## Características de la instrucción de reglas
<a name="sqli-match-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs**— El coste base depende del nivel de sensibilidad establecido para la declaración de la regla: Low cuesta 20 y High 30. 

Si utiliza el componente de solicitud **Todos los parámetros de consulta**, añada 10 WCUs. Si utiliza el **cuerpo JSON** del componente de solicitud, duplique el coste base WCUs. Por cada **transformación de texto** que aplique, añada 10 WCUs.

Este tipo de instrucción funciona en un componente de solicitud web y requiere la siguiente configuración del componente de la solicitud: 
+ **Componente de solicitud**: la parte de la solicitud web que se va a inspeccionar, por ejemplo, una cadena de consulta o el cuerpo.
**aviso**  
Si inspeccionas el cuerpo, el **cuerpo** de **JSON**, **los encabezados** o **las cookies** de los componentes de la solicitud, consulta las limitaciones en cuanto a la cantidad de contenido que AWS WAF se puede inspeccionar. [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md) 

  Para obtener información sobre los componentes de la solicitud web, consulte [Ajustar la configuración de la declaración de reglas en AWS WAF](waf-rule-statement-fields.md).
+ Transformaciones de **texto opcionales: transformaciones** que desea AWS WAF realizar en el componente de la solicitud antes de inspeccionarlo. Por ejemplo, puede convertir a minúsculas o normalizar el espacio en blanco. Si especifica más de una transformación, las AWS WAF procesa en el orden indicado. Para obtener información, consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md).

Además, esta instrucción requiere la siguiente configuración: 
+ **Nivel de sensibilidad**: esta configuración ajusta la sensibilidad de los criterios de coincidencia de las inyecciones de código SQL. Las opciones son LOW y HIGH. El ajuste predeterminado es LOW. 

  La configuración HIGH detecta más ataques de inyección de código SQL y es la configuración recomendada. Debido a la mayor sensibilidad, esta configuración genera más falsos positivos, especialmente si las solicitudes web suelen contener cadenas inusuales. Durante las pruebas y ajustes del paquete de protección (ACL web), es posible que tenga que esforzarse más para mitigar los falsos positivos. Para obtener información, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md). 

  La configuración más baja proporciona una detección de inyecciones de código SQL menos rigurosa, lo que también se traduce en menos falsos positivos. LOW puede ser una mejor opción para los recursos que tienen otras protecciones contra los ataques de inyección de código SQL o que tienen una baja tolerancia a los falsos positivos. 

## Dónde encontrar esta instrucción de regla
<a name="sqli-match-where-to-find"></a>
+ **Generador de reglas** en la consola: **Tipo de coincidencia**, elija **Condiciones de coincidencia de ataques** > **Contiene ataques de inyección de código SQL)**.
+ **API**: [SqliMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SqliMatchStatement.html)

# Instrucción de regla de coincidencia de cadenas
<a name="waf-rule-statement-type-string-match"></a>

En esta sección, se explica qué es una instrucción de coincidencia de cadena y cómo funciona.

Una sentencia de coincidencia de cadenas indica la cadena que AWS WAF desea buscar en una solicitud, en qué parte de la solicitud se va a buscar y cómo. Por ejemplo, puede buscar una cadena específica al inicio de cualquier cadena de consulta de la solicitud o como una coincidencia exacta para el encabezado `User-agent` de la solicitud. Normalmente, la cadena se compone de caracteres ASCII imprimibles, pero puede usar cualquier carácter comprendido entre los valores hexadecimales 0x00 y 0xFF (valores decimales 0 a 255). 

## Características de la instrucción de reglas
<a name="string-match-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs**— El coste base depende del tipo de coincidencia que utilice.
+ **Coincide exactamente con la cadena**: 2 
+ **Comienza con la cadena**: 2 
+ **Acaba con la cadena**: 2 
+ **Contiene la cadena**: 10 
+ **Contiene la palabra**: 10 

Si utiliza el componente de solicitud **Todos los parámetros de consulta**, añada 10 WCUs. Si utiliza el **cuerpo JSON** del componente de solicitud, duplique el coste base WCUs. Por cada **transformación de texto** que aplique, añada 10 WCUs.

Este tipo de instrucción funciona en un componente de solicitud web y requiere la siguiente configuración del componente de la solicitud: 
+ **Componente de solicitud**: la parte de la solicitud web que se va a inspeccionar, por ejemplo, una cadena de consulta o el cuerpo.
**aviso**  
Si inspeccionas el cuerpo, el **cuerpo** de **JSON**, **los encabezados** o **las cookies** de los componentes de la solicitud, consulta las limitaciones en cuanto a la cantidad de contenido que AWS WAF se puede inspeccionar. [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md) 

  Para obtener información sobre los componentes de la solicitud web, consulte [Ajustar la configuración de la declaración de reglas en AWS WAF](waf-rule-statement-fields.md).
+ Transformaciones de **texto opcionales: transformaciones** que desea AWS WAF realizar en el componente de la solicitud antes de inspeccionarlo. Por ejemplo, puede convertir a minúsculas o normalizar el espacio en blanco. Si especifica más de una transformación, las AWS WAF procesa en el orden indicado. Para obtener información, consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md).

Además, esta instrucción requiere la siguiente configuración: 
+ **Cadena que debe coincidir**: es la cadena que desea AWS WAF comparar con el componente de solicitud especificado. Normalmente, la cadena se compone de caracteres ASCII imprimibles, pero puede usar cualquier carácter comprendido entre los valores hexadecimales 0x00 y 0xFF (valores decimales 0 a 255).
+ **Condición de coincidencia de cadenas**: indica el tipo de búsqueda que AWS WAF desea realizar. 
  + **Coincide exactamente con la cadena**: la cadena y el valor del componente de la solicitud son idénticas.
  + **Empieza con la cadena**: la cadena aparece al principio del componente de solicitud. 
  + **Acaba con la cadena**: la cadena aparece al final del componente de solicitud. 
  + **Contiene la cadena**: la cadena aparece en cualquier parte del componente de la solicitud. 
  + **Contiene palabras**: la cadena que especifique debe aparecer en el componente de la solicitud. 

    Para esta opción, la cadena que especifique Solamente puede contener caracteres alfanuméricos o guion bajo (A-Z, a-z, 0-9 o \$1). 

    Debe cumplirse una de las siguientes condiciones para que la solicitud coincida: 
    + La cadena coincide exactamente con el valor del componente de solicitud, como el valor de un encabezado.
    + La cadena está al principio del componente de solicitud y le sigue un carácter que no es alfanumérico ni guion bajo (\$1), por ejemplo, `BadBot;`.
    + La cadena está al final del componente de solicitud y le precede un carácter que no es alfanumérico ni guion bajo (\$1), por ejemplo, `;BadBot`.
    + La cadena está en la mitad del componente de solicitud y va precedida y seguida de caracteres que no son alfanuméricos ni guion bajo (\$1), por ejemplo, `-BadBot;`.

## Dónde encontrar esta instrucción de regla
<a name="string-match-where-to-find"></a>
+ **Generador de reglas** en la consola: en **Tipo de coincidencia**, elija **Condición de coincidencia de cadena** y, a continuación, rellene las cadenas con las que quiere que coincida.
+ **API**: [ByteMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ByteMatchStatement.html)

# Instrucción de regla de ataques de scripting entre sitios
<a name="waf-rule-statement-type-xss-match"></a>

En esta sección se explica qué es una instrucción de ataque XSS (scripting entre sitios) y cómo funciona.

Una instrucción de ataque XSS busca scripts maliciosos en un componente de solicitud web. En un ataque de XSS, el atacante utiliza vulnerabilidades en un sitio web benigno como vehículo para inyectar scripts maliciosos del sitio de cliente en otros navegadores web legítimos. 

## Características de la instrucción de reglas
<a name="xss-match-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs**— 40 WCUs, como coste base. Si utiliza el componente de solicitud **Todos los parámetros de consulta**, añada 10 WCUs. Si utiliza el **cuerpo JSON** del componente de solicitud, duplique el coste base WCUs. Por cada **transformación de texto** que aplique, añada 10 WCUs.

Este tipo de instrucción funciona en un componente de solicitud web y requiere la siguiente configuración del componente de la solicitud: 
+ **Componente de solicitud**: la parte de la solicitud web que se va a inspeccionar, por ejemplo, una cadena de consulta o el cuerpo.
**aviso**  
Si inspeccionas el cuerpo, el **cuerpo** de **JSON**, **los encabezados** o **las cookies** de los componentes de la solicitud, consulta las limitaciones en cuanto a la cantidad de contenido que AWS WAF se puede inspeccionar. [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md) 

  Para obtener información sobre los componentes de la solicitud web, consulte [Ajustar la configuración de la declaración de reglas en AWS WAF](waf-rule-statement-fields.md).
+ Transformaciones de **texto opcionales: transformaciones** que desea AWS WAF realizar en el componente de la solicitud antes de inspeccionarlo. Por ejemplo, puede convertir a minúsculas o normalizar el espacio en blanco. Si especifica más de una transformación, las AWS WAF procesa en el orden indicado. Para obtener información, consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md).

## Dónde encontrar esta instrucción de regla
<a name="xss-match-where-to-find"></a>
+ **Generador de reglas** en la consola: En **Tipo de coincidencia**, elija **Condiciones de coincidencia de ataques** > **Contiene ataques de inyección de código XSS)**.
+ **API**: [XssMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_XssMatchStatement.html)

# Uso de enunciados de reglas lógicas en AWS WAF
<a name="waf-rule-statements-logical"></a>

En esta sección, se explica qué es una instrucción de regla lógica y cómo funciona.

Las instrucciones de reglas lógicas le permiten combinar otras instrucciones o negar sus resultados. Cada instrucción de regla lógica necesita al menos una instrucción anidada.

Para combinar los resultados de las instrucciones de reglas, anide las instrucciones en instrucciones de reglas lógicas. 

Las instrucciones de reglas lógicas se pueden anidar. Puede anidarlas dentro de otras sentencias de reglas lógicas y utilizarlas en sentencias de ámbito reducido. Para obtener información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).

**nota**  
El editor visual de la consola admite un nivel de anidamiento de instrucciones de reglas, que funciona para muchas necesidades. Para anidar más niveles, edite la representación JSON de la regla en la consola o utilice la APIs. 

Esta tabla describe las instrucciones de regla lógica y proporciona pautas para calcular el uso de unidades de capacidad del paquete de protección (ACL web) (WCU) para cada una. Para obtener información sobre WCUs, consulte[Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md). 


| Instrucción lógica  | Description (Descripción) | WCUs | 
| --- | --- | --- | 
| [Lógica de AND](waf-rule-statement-type-and.md) | Combina instrucciones anidadas con lógica AND. | Se basa en instrucciones anidadas | 
|  [Lógica de NOT](waf-rule-statement-type-not.md)  |  Niega los resultados de una instrucción anidada.  |  Se basa en una instrucción anidada  | 
| [Lógica de OR](waf-rule-statement-type-or.md) | Combina instrucciones anidadas con lógica OR. | Se basa en instrucciones anidadas | 

# Instrucción de reglas de AND
<a name="waf-rule-statement-type-and"></a>

La instrucción de regla AND combina instrucciones anidadas con una operación AND lógica, por lo que todas las instrucciones anidadas deben coincidir para que la instrucción AND coincida. Requiere al menos dos instrucciones anidadas. 

## Características de la instrucción de reglas
<a name="and-rule-statement-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs**— Depende de las declaraciones anidadas.

## Dónde encontrar esta instrucción de regla
<a name="and-rule-statement-where-to-find"></a>
+ **Generador de reglas** en la consola: en **Si una solicitud**, elija **coincide con todas las instrucciones (AND)** y, a continuación, rellene las instrucciones anidadas. 
+ **API**: [AndStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AndStatement.html)

## Ejemplos
<a name="and-rule-statement-examples"></a>

La siguiente lista muestra el uso de AND y las instrucciones de regla lógica NOT para eliminar los falsos positivos de las coincidencias de una instrucción de ataque de inyección de código SQL. En este ejemplo, supongamos que podemos escribir una instrucción de coincidencia de un solo byte para que coincida con las solicitudes que generan falsos positivos. 

La instrucción AND coincide con las solicitudes que no coinciden con la instrucción de coincidencia de bytes y que sí coinciden con la instrucción de ataque de inyección de código SQL. 

```
{
      "Name": "SQLiExcludeFalsePositives",
      "Priority": 0,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "NotStatement": {
                "Statement": {
                  "ByteMatchStatement": {
                    "SearchString": "string identifying a false positive",
                    "FieldToMatch": {
                      "Body": {
                        "OversizeHandling": "MATCH"
                      }
                    },
                    "TextTransformations": [
                      {
                        "Priority": 0,
                        "Type": "NONE"
                      }
                    ],
                    "PositionalConstraint": "CONTAINS"
                  }
                }
              }
            },
            {
              "SqliMatchStatement": {
                "FieldToMatch": {
                  "Body": {
                    "OversizeHandling": "MATCH"
                  }
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "SQLiExcludeFalsePositives"
      }
    }
```

Con el editor visual de reglas de la consola, puede anidar una instrucción no lógica o una instrucción NOT en una instrucción OR o AND. La anidación de la instrucción NOT se muestra en el ejemplo anterior. 

Con el editor visual de reglas de la consola, puede anidar la mayoría de las instrucciones anidables en una instrucción de regla lógica, como la que se muestra en el ejemplo anterior. No puede usar el editor visual para anidar instrucciones OR o AND. Para configurar este tipo de anidación, debe proporcionar la instrucción de la regla en JSON. Por ejemplo, la siguiente lista de reglas JSON incluye una instrucción OR anidada dentro de una instrucción AND. 

```
{
  "Name": "match_rule",
  "Priority": 0,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "LabelMatchStatement": {
            "Scope": "LABEL",
            "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
          }
        },
        {
          "NotStatement": {
            "Statement": {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
              }
            }
          }
        },
        {
          "OrStatement": {
            "Statements": [
              {
                "GeoMatchStatement": {
                  "CountryCodes": [
                    "JM",
                    "JP"
                  ]
                }
              },
              {
                "ByteMatchStatement": {
                  "SearchString": "JCountryString",
                  "FieldToMatch": {
                    "Body": {}
                  },
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ],
                  "PositionalConstraint": "CONTAINS"
                }
              }
            ]
          }
        }
      ]
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "match_rule"
  }
}
```

# Instrucción de reglas de NOT
<a name="waf-rule-statement-type-not"></a>

La instrucción de regla NOT niega lógicamente los resultados de una sola instrucción anidada, por lo que las instrucciones anidadas no deben coincidir para que la instrucción NOT coincida y viceversa. Requiere una instrucción anidada. 

Por ejemplo, si desea bloquear las solicitudes que no provienen de un país específico, cree una instrucción NOT con la acción establecida en bloquear y anide una instrucción de coincidencia geográfica que especifique el país. 

## Características de la instrucción de reglas
<a name="not-rule-statement-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs**— Depende de la declaración anidada.

## Dónde encontrar esta instrucción de regla
<a name="not-rule-statement-where-to-find"></a>
+ **Generador de reglas** en la consola: en **Si una solicitud**, elija **no coincide con la instrucción (NOT)** y, a continuación, rellene las instrucciones anidadas.
+ **API**: [NotStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_NotStatement.html)

# Instrucción de reglas de OR
<a name="waf-rule-statement-type-or"></a>

La instrucción de regla OR combina instrucciones anidadas con lógica OR, por lo que una de las instrucciones anidadas debe coincidir para que la instrucción OR coincida. Requiere al menos dos instrucciones anidadas. 

Por ejemplo, si desea bloquear las solicitudes procedentes de un país específico o que contengan una cadena de consulta específica, puede crear una instrucción OR y anidar en ella una instrucción de coincidencia geográfica para el país y una instrucción de coincidencia de cadena para la cadena de consulta. 

Si, como alternativa, desea bloquear las solicitudes que *no* provienen de un país específico o que contengan una cadena de consulta específica, modifique la instrucción OR anterior para anidar la instrucción de coincidencia geográfica en un nivel inferior, dentro de una instrucción NOT. Este nivel de anidamiento requiere que utilice el formato JSON, ya que la consola solo admite un nivel de anidamiento.

## Características de la instrucción de reglas
<a name="or-rule-statement-characteristics"></a>

**Se puede anidar**: puede anidar este tipo de instrucción. 

**WCUs**— Depende de las declaraciones anidadas.

## Dónde encontrar esta instrucción de regla
<a name="or-rule-statement-where-to-find"></a>
+ **Generador de reglas** en la consola: en **Si una solicitud**, elija **coincide con al menos una de las instrucciones (OR)** y, a continuación, rellene las instrucciones anidadas. 
+ **API**: [OrStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_OrStatement.html)

**Ejemplos**  
La siguiente lista muestra el uso de OR para combinar otras dos instrucciones. La instrucción OR coincide si alguna de las instrucciones anidadas coincide. 

```
{
  "Name": "neitherOfTwo",
  "Priority": 1,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "neitherOfTwo"
  },
  "Statement": {
    "OrStatement": {
      "Statements": [
        {
          "GeoMatchStatement": {
            "CountryCodes": [
              "CA"
            ]
          }
        },
        {
          "IPSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/ipset/test-ip-set-22222222/33333333-4444-5555-6666-777777777777"
          }
        }
      ]
    }
  }
}
```

Con el editor visual de reglas de la consola, puede anidar la mayoría de las instrucciones anidables en una instrucción de regla lógica, pero no puede utilizar el editor visual para anidar instrucciones OR o AND. Para configurar este tipo de anidación, debe proporcionar la instrucción de la regla en JSON. Por ejemplo, la siguiente lista de reglas JSON incluye una instrucción OR anidada dentro de una instrucción AND. 

```
{
  "Name": "match_rule",
  "Priority": 0,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "LabelMatchStatement": {
            "Scope": "LABEL",
            "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
          }
        },
        {
          "NotStatement": {
            "Statement": {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
              }
            }
          }
        },
        {
          "OrStatement": {
            "Statements": [
              {
                "GeoMatchStatement": {
                  "CountryCodes": [
                    "JM",
                    "JP"
                  ]
                }
              },
              {
                "ByteMatchStatement": {
                  "SearchString": "JCountryString",
                  "FieldToMatch": {
                    "Body": {}
                  },
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ],
                  "PositionalConstraint": "CONTAINS"
                }
              }
            ]
          }
        }
      ]
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "match_rule"
  }
}
```

# Uso de declaraciones de reglas basadas en tasas en AWS WAF
<a name="waf-rule-statement-type-rate-based"></a>

En esta sección, se explica qué es una instrucción de regla basada en tasas y cómo funciona.

Una regla basada en tasas cuenta las solicitudes entrantes y las solicitudes de límites de tasa cuando llegan a una tasa demasiado rápida. La regla agrega las solicitudes según sus criterios, y cuenta y limita las tasas de las agrupaciones agregadas en función del intervalo de tiempo, los límites de solicitudes y la configuración de las acciones de la regla. 

**nota**  
También puedes limitar la frecuencia de las solicitudes web mediante el nivel de protección específico del grupo de reglas AWS gestionadas por el control de bots. El uso de este grupo de reglas administradas conlleva tarifas adicionales. Para obtener más información, consulte [Opciones para limitar las tasas en las reglas basadas en tasas y en las reglas específicas de control de bots](waf-rate-limiting-options.md). 

AWS WAF rastrea y administra las solicitudes web por separado para cada instancia de una regla basada en tarifas que utilices. Por ejemplo, si proporciona la misma configuración de reglas basadas en tarifas en dos sitios webACLs, cada una de las dos sentencias de regla representa una instancia independiente de la regla basada en tarifas y cada una de ellas recibe su propio seguimiento y administración. AWS WAF Si define una regla basada en tasas dentro de un grupo de reglas y, a continuación, usa ese grupo de reglas en varios lugares, cada uso crea una instancia independiente de la regla basada en tarifas que se basa en su propio seguimiento y administración. AWS WAF

**No se puede anidar**: no se puede anidar este tipo de instrucción en otras instrucciones. Puede incluirlo directamente en un paquete de protección (ACL web) o en un grupo de reglas. 

**Instrucción de restricción de acceso**: este tipo de regla utiliza una instrucción de restricción de acceso para restringir el alcance de las solicitudes que la regla rastrea y los límites de la tasa. La instrucción de alcance puede ser opcional u obligatoria, en función de las demás opciones de configuración de la regla. Los detalles se explican en esta sección. Para obtener información general sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md). 

**WCUs**— 2, como coste base. Para cada clave de agregación personalizada que especifique, añada 30 WCUs. Si utiliza una declaración de alcance reducido en la regla, calcule y añada la WCUs correspondiente.

**Dónde encontrar esta instrucción de regla**
+ **Generador de reglas** en el paquete de protección (ACL web), en la consola: en **Regla**, en **Tipo**, elija **Regla basada en tasas**.
+ **API**: [RateBasedStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RateBasedStatement.html)

**Topics**
+ [

# Configuración de alto nivel de reglas basadas en tasas en AWS WAF
](waf-rule-statement-type-rate-based-high-level-settings.md)
+ [

# Advertencias sobre reglas basadas en tarifas en AWS WAF
](waf-rule-statement-type-rate-based-caveats.md)
+ [

# Agregar reglas basadas en tarifas en AWS WAF
](waf-rule-statement-type-rate-based-aggregation-options.md)
+ [

# Recuentos e instancias de agregación de reglas basadas en tasas
](waf-rule-statement-type-rate-based-aggregation-instances.md)
+ [

# Aplicar límites de velocidad a las solicitudes en AWS WAF
](waf-rule-statement-type-rate-based-request-limiting.md)
+ [

# Ejemplos de reglas basadas en tarifas en AWS WAF
](waf-rule-statement-type-rate-based-examples.md)
+ [

# Lista de direcciones IP cuyas tasas están limitada por reglas basadas en tasas
](listing-managed-ips.md)

# Configuración de alto nivel de reglas basadas en tasas en AWS WAF
<a name="waf-rule-statement-type-rate-based-high-level-settings"></a>

La instrucción de regla basada en tasas utiliza las siguientes configuraciones de alto nivel: 
+ **Ventana de evaluación**: la cantidad de tiempo, en segundos, que AWS WAF debe incluir en sus recuentos de solicitudes, considerando el período anterior al tiempo actual. Por ejemplo, para un valor de 120, al AWS WAF comprobar la velocidad, cuenta las solicitudes de los 2 minutos inmediatamente anteriores a la hora actual. Los valores válidos son 60 (1 minuto), 120 (2 minutos), 300 (5 minutos) y 600 (10 minutos), y 300 (5 minutos) es el valor predeterminado. 

  Esta configuración no determina con qué frecuencia AWS WAF comprueba la velocidad, sino desde cuánto tiempo atrás se comprueba. AWS WAF realiza la comprobación de la tasa con frecuencia, con un tiempo que es independiente de la configuración de la ventana de evaluación. 
+ **Límite de frecuencia**: el número máximo de solicitudes que coinciden con sus criterios y que solo se AWS WAF deben registrar durante el período de evaluación especificado. El límite mínimo permitido es de 10. Cuando se supera este límite, se AWS WAF aplica la configuración de acciones de la regla a las solicitudes adicionales que coincidan con sus criterios. 

  AWS WAF aplica un límite de velocidad cercano al límite que hayas establecido, pero no garantiza una coincidencia exacta del límite. Para obtener más información, consulte [Advertencias sobre las reglas basadas en tasas](waf-rule-statement-type-rate-based-caveats.md). 
+ **Agregación de solicitudes**: los criterios de agregación que se utilizan en las solicitudes web exigen que la regla basada en tasas cuente y limite las tasas. El límite de tasa que establezca se aplica a cada instancia de agregación. Para más detalles, consulte [Agregado de reglas basadas en tasas](waf-rule-statement-type-rate-based-aggregation-options.md) y [Recuentos e instancias de agregación](waf-rule-statement-type-rate-based-aggregation-instances.md). 
+ **Acción**: la acción que se debe realizar cuando se solicita que la regla limite las tasas. Puede utilizar cualquier acción de regla excepto Allow. Por lo general, se establece a nivel de regla, pero tiene algunas restricciones y comportamientos que son específicos de las reglas basadas en tasas. Para obtener información general sobre las acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md). Para obtener información específica sobre la limitación de tasas, consulte [Aplicar límites de velocidad a las solicitudes en AWS WAF](waf-rule-statement-type-rate-based-request-limiting.md) en esta sección.
+ **Alcance de la inspección y limitación de la tasa**: puede reducir el alcance de las solicitudes que la instrucción basada en tasas rastrea y los límites de tasas añadiendo una instrucción de restricción de acceso. Si especifica una instrucción de restricción de acceso, la regla solo agrega, cuenta y limita las tasas de las solicitudes que coinciden con la instrucción de restricción de acceso. Si elige la opción de agregación de solicitudes **Contar todas**, se requiere la instrucción de restricción de acceso. Para obtener más información sobre las instrucciones de restricción de acceso, consulte [Instrucciones de restricción de acceso](waf-rule-scope-down-statements.md). 
+ **Configuración de IP reenviada (opcional)**: solo se usa si especifica la **dirección IP en el encabezado** de la agregación de solicitudes, ya sea por sí sola o como parte de la configuración de claves personalizadas. AWS WAF recupera la primera dirección IP del encabezado especificado y la utiliza como valor de agregación. Un encabezado común para este propósito es `X-Forwarded-For`, pero puede especificar cualquier encabezado. Para obtener más información, consulte [Uso de direcciones IP reenviadas](waf-rule-statement-forwarded-ip-address.md). 

# Advertencias sobre reglas basadas en tarifas en AWS WAF
<a name="waf-rule-statement-type-rate-based-caveats"></a>

En esta sección, se enumeran las advertencias relacionadas con el uso de reglas basadas en tasas.

AWS WAF La limitación de velocidad está diseñada para controlar las altas tasas de solicitudes y proteger la disponibilidad de la aplicación de la manera más eficiente y eficaz posible. No está diseñada para limitar de forma precisa la tasa de solicitudes. 
+ AWS WAF estima la tasa de solicitudes actual mediante un algoritmo que da más importancia a las solicitudes más recientes. Por este motivo, AWS WAF aplicará un límite de velocidad cercano al límite que hayas establecido, pero no garantiza una coincidencia exacta del límite. 
+ Cada vez que AWS WAF calcula la tasa de solicitudes, AWS WAF analiza el número de solicitudes recibidas durante el período de evaluación configurado. Debido a este y a otros factores, como los retrasos en la propagación, es posible que las solicitudes lleguen a una velocidad demasiado alta durante varios minutos antes de que las AWS WAF detecte y limite la frecuencia. Del mismo modo, la tasa de solicitudes puede estar por debajo del límite durante un periodo de tiempo antes de que AWS WAF detecte la disminución e interrumpa la acción de limitación de la tasa. Por lo general, este retraso es inferior a 30 segundos.
+ Si cambia alguna de las configuraciones del límite de la tasa en una regla que está en uso, el cambio restablece los recuentos de límites de la tasa de la regla. Esto puede detener las actividades de limitación de la tasa de la regla durante un máximo de un minuto. Los ajustes del límite de la tasa son la ventana de evaluación, el límite de velocidad, la configuración de agregación de solicitudes, la configuración de la dirección IP reenviada y el alcance de la inspección. 

# Agregar reglas basadas en tarifas en AWS WAF
<a name="waf-rule-statement-type-rate-based-aggregation-options"></a>

En esta sección, se explican las opciones para agregar solicitudes.

De forma predeterminada, una regla basada en tasas agrega y limita las tasas de las solicitudes en función de la dirección IP de la solicitud. Puede configurar la regla para que utilice otras claves de agregación y combinaciones de claves. Por ejemplo, puede agregar en función de una dirección IP reenviada, el método HTTP o un argumento de consulta. También puede especificar combinaciones de claves de agregación, como la dirección IP y el método HTTP, o los valores de dos cookies diferentes. 

**nota**  
Todos los componentes de la solicitud que especifique en la clave de agregación deben estar presentes en una solicitud web para que la solicitud se evalúe o se limite su tasa según la regla. 

Puede configurar la regla basada en tasas con las siguientes opciones de agregación. 
+ **Dirección IP de origen**: agregue usando solo la dirección IP del origen de la solicitud web. 

  Es posible que la dirección IP de origen no contenga la dirección del cliente de origen. Si una solicitud web pasa por uno o más proxies o equilibradores de carga, contendrá la dirección del último proxy. 
+ **Dirección IP en encabezado**: agregue solo una dirección de cliente en un encabezado HTTP. También se denomina dirección IP reenviada. 

  Con esta configuración, también se especifica un comportamiento alternativo para aplicarlo a una solicitud web con una dirección IP con un formato incorrecto en el encabezado. El comportamiento alternativo establece que el resultado de la solicitud coincide o no coincide. Si no hay coincidencia, la regla basada en tasas no cuenta ni limita la tasa de la solicitud. En caso de coincidencia, la regla basada en tasas agrupa la solicitud junto con otras solicitudes que tienen una dirección IP con formato incorrecto en el encabezado especificado. 

  Tenga cuidado con esta opción porque que los proxies pueden administrar los encabezados de forma incoherente y, además, pueden modificarse para evitar la inspección. Consulte [Uso de direcciones IP reenviadas en AWS WAF](waf-rule-statement-forwarded-ip-address.md) para obtener más información y las prácticas recomendadas.
+ **ASN**: agregue mediante un número de sistema autónomo (ASN) asociado a la dirección IP de origen como clave agregada. Es posible que no contenga la dirección del cliente de origen. Si una solicitud web pasa por uno o más proxies o equilibradores de carga, contendrá la dirección del último proxy. 

  Si no AWS WAF puede derivar un ASN de la dirección IP, cuenta el ASN como ASN 0. Si no quieres aplicar un límite de velocidad a los no mapeados ASNs, puedes crear una regla de alcance reducido que excluya las solicitudes con un ASN 0.
+ **ASN en encabezado**: agregue mediante un ASN asociado a solo una dirección IP de cliente en un encabezado HTTP. También se denomina dirección IP reenviada. Con esta configuración, también se especifica un comportamiento alternativo para aplicarlo a una solicitud web con una dirección IP no válida o con un formato incorrecto. El comportamiento alternativo establece que el resultado de la solicitud coincide o no coincide. Si configuras el comportamiento alternativo para que coincida con la configuración de IP reenviada, considerará la dirección IP no válida como un valor AWS WAF coincidente. Esto permite AWS WAF seguir evaluando las partes restantes de la clave compuesta de la regla basada en tasas. Si no hay coincidencia, la regla basada en tasas no cuenta ni limita la tasa de la solicitud. 

  Tenga cuidado con esta opción, ya que los proxies pueden gestionar los encabezados de forma incoherente y pueden modificarse para evitar la inspección. Consulte [Uso de direcciones IP reenviadas en AWS WAF](waf-rule-statement-forwarded-ip-address.md) para obtener más información y las prácticas recomendadas.
+ **Contar todas**: cuente y limite las tasas de todas las solicitudes que coincidan con la instrucción de restricción de acceso de la regla. Esta opción requiere una instrucción de restricción de acceso. Por lo general, se usa para limitar las tasas de un conjunto específico de solicitudes, como todas las solicitudes con una etiqueta específica o todas las solicitudes de un área geográfica específica. 
+ **Claves personalizadas**: agréguelas mediante una o más claves de agregación personalizadas. Para combinar cualquiera de las opciones de direcciones IP con otras claves de agregación, defínalas aquí en las claves personalizadas. 

  Las claves de agregación personalizadas son un subconjunto de las opciones de los componentes de solicitudes web que se describen en [Solicita componentes en AWS WAF](waf-rule-statement-fields-list.md).

  Las opciones principales son las siguientes. Excepto donde se indique lo contrario, puede usar una opción varias veces, por ejemplo, dos encabezados o tres espacios de nombres de etiquetas.
  + **Espacio de nombres de etiquetas**: utilice un espacio de nombres de etiquetas como una clave de agregación. Cada nombre de etiqueta totalmente cualificado que tenga el espacio de nombres de etiqueta especificado contribuye a la instancia de agregación. Si usa solo un espacio de nombres de etiquetas como clave personalizada, cada nombre de etiqueta define completamente una instancia de agregación.

    La regla basada en tasas solo usa las etiquetas que se han agregado a la solicitud mediante reglas que se han evaluado de antemano en el paquete de protección (ACL web).

    Para obtener información acerca de los espacios de nombres y los nombres de las etiquetas, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).
  + **Encabezado**: utilice un encabezado con nombre como clave de agregación. Cada valor distinto del encabezado contribuye a la instancia de agregación. 

    El encabezado realiza una transformación de texto opcional. Consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md). 
  + **Cookie**: utilice una cookie con nombre como clave de agregación. Cada valor distinto de la cookie contribuye a la instancia de agregación. 

    La cookie realiza una transformación de texto opcional. Consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md). 
  + **Argumento de consulta**: utilice un único argumento de consulta en la solicitud como clave de agregación. Cada valor distinto del argumento de consulta mencionado contribuye a la instancia de agregación. 

    El argumento de consulta realiza una transformación de texto opcional. Consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md). 
  + **Cadena de consulta**: utilice toda la cadena de consulta de la solicitud como clave de agregación. Cada cadena de consulta distinta contribuye a la instancia de agregación. Puede usar este tipo de clave una vez. 

    La cadena de consulta realiza una transformación de texto opcional. Consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md). 
  + **Ruta de URI**: use la ruta de URI de la solicitud como clave agregada. Cada ruta del URI diferente contribuye a la instancia de agregación. Puede usar este tipo de clave una vez. 

    La ruta del URI realiza una transformación de texto opcional. Consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md). 
  + **JA3 huella digital**: utilice la JA3 huella digital de la solicitud como clave agregada. Cada JA3 huella digital distinta contribuye a la instancia de agregación. Puede usar este tipo de clave una vez. 
  + **JA4 huella digital**: usa la JA4 huella digital de la solicitud como clave agregada. Cada JA4 huella digital distinta contribuye a la instancia de agregación. Puede usar este tipo de clave una vez. 
  + **Método HTTP**: use el método HTTP de la solicitud como clave de agregación. Cada método de HTTP diferenciado contribuye a la instancia de agregación. Puede usar este tipo de clave una vez. 
  + **Dirección IP**: agregue usando la dirección IP del origen de la solicitud web en combinación con otras claves.

    Es posible que no contenga la dirección del cliente de origen. Si una solicitud web pasa por uno o más proxies o equilibradores de carga, contendrá la dirección del último proxy. 
  + **Dirección IP en el encabezado**: agregue la dirección del cliente en un encabezado HTTP en combinación con otras claves. También se denomina dirección IP reenviada. 

    Tenga cuidado con esta opción, ya que los proxies pueden gestionar los encabezados de forma incoherente y pueden modificarse para evitar la inspección. Consulte [Uso de direcciones IP reenviadas en AWS WAF](waf-rule-statement-forwarded-ip-address.md) para obtener más información y las prácticas recomendadas.

# Recuentos e instancias de agregación de reglas basadas en tasas
<a name="waf-rule-statement-type-rate-based-aggregation-instances"></a>

En esta sección, se explica cómo una regla basada en tasas evalúa las solicitudes web.

Cuando una regla basada en tasas evalúa las solicitudes web utilizando sus criterios de agregación, cada conjunto único de valores que la regla encuentra para las claves de agregación especificadas define una *instancia de agregación* única. 
+ **Varias claves**: si ha definido varias claves personalizadas, el valor de cada clave contribuye a la definición de la instancia de agregación. Cada combinación única de valores define una instancia de agregación. 
+ **Clave única**: si ha elegido una clave única, ya sea en las claves personalizadas o seleccionando una de las opciones de dirección IP única, cada valor único de la clave define una instancia de agregación. 
+ **Contar todas, sin claves**: si ha seleccionado la opción de agregación **Contar todas**, todas las solicitudes que la regla evalúe pertenecerán a una sola instancia de agregación de la regla. Esta opción requiere una instrucción de restricción de acceso.

 

Una regla basada en tasas cuenta las solicitudes web por separado para cada instancia de agregación que identifica. 

Por ejemplo, supongamos que una regla basada en tasas evalúa las solicitudes web con los siguientes valores de dirección IP y método HTTP: 
+ Dirección IP 10.1.1.1, método HTTP POST
+ Dirección IP 10.1.1.1, método HTTP GET
+ Dirección IP 127.0.0.0, método HTTP POST
+ Dirección IP 10.1.1.1, método HTTP GET

La regla crea distintas instancias de agregación según sus criterios de agregación. 
+ Si el criterio de agregación es solo la dirección IP, cada dirección IP individual es una instancia de agregación y AWS WAF cuenta las solicitudes por separado para cada una. Las instancias de agregación y los recuentos de solicitudes de nuestro ejemplo serían los siguientes: 
  + Dirección IP 10.1.1.1: recuento 3
  + Dirección IP 127.0.0.0: recuento 1
+ Si el criterio de agregación es el método HTTP, cada método HTTP individual es una instancia de agregación. Las instancias de agregación y los recuentos de solicitudes de nuestro ejemplo serían los siguientes: 
  + Método HTTP POST: recuento 2
  + Método HTTP GET: recuento 2
+ Si los criterios de agregación son la dirección IP y el método HTTP, cada dirección IP y cada método HTTP contribuirían a la instancia de agregación combinada. Las instancias de agregación y los recuentos de solicitudes de nuestro ejemplo serían los siguientes: 
  + Dirección IP 10.1.1.1, método HTTP POST: recuento 1
  + Dirección IP 10.1.1.1, método HTTP GET: recuento 2
  + Dirección IP 127.0.0.0, método HTTP POST: recuento 1

# Aplicar límites de velocidad a las solicitudes en AWS WAF
<a name="waf-rule-statement-type-rate-based-request-limiting"></a>

En esta sección, se explica cómo funciona el comportamiento limitante de las tasas en las reglas basadas en tasas.

El criterio que se AWS WAF utiliza para limitar las solicitudes de una regla basada en la tasa es el mismo que se AWS WAF utiliza para agregar las solicitudes de la regla. Si define una declaración de alcance reducido para la regla, AWS WAF solo agrega, cuenta y limita las solicitudes que coincidan con la declaración de alcance reducido. 

Los criterios de coincidencia que hacen que una regla basada en tasas aplique su configuración de acción de regla a una solicitud web específica son los siguientes: 
+ La solicitud web coincide con la instrucción de restricción de acceso de la regla, si se ha definido alguna.
+ La solicitud web pertenece a una instancia de agregación cuyo recuento de solicitudes supera actualmente el límite de la regla. 

**AWS WAF ¿Cómo se aplica la acción de la regla?**  
Cuando una regla basada en tasas aplica un límite de tasas a una solicitud, aplica la acción de la regla y, si ha definido alguna gestión o etiquetado personalizados en la especificación de la acción, la regla los aplica. Esta gestión de solicitudes es la misma que la forma en que una regla de coincidencia aplica su configuración de acciones a las solicitudes web coincidentes. Una regla basada en tasas solo aplica etiquetas o realiza otras acciones a las solicitudes cuya tasa está limitando activamente. 

Puede utilizar cualquier acción de regla excepto Allow. Para obtener información general sobre las acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md). 

La siguiente lista describe cómo funciona la limitación de tasas para cada una de las acciones.
+ **Block**— AWS WAF bloquea la solicitud y aplica cualquier comportamiento de bloqueo personalizado que hayas definido. 
+ **Count**— AWS WAF cuenta la solicitud, aplica los encabezados o etiquetas personalizados que haya definido y continúa con la evaluación de la solicitud mediante el paquete de protección (ACL web). 

  Esta acción no limita la tasa de solicitudes. Solo cuenta las solicitudes que superan el límite.
+ **CAPTCHA o Challenge**: AWS WAF gestiona la solicitud como Block o como Count, según el estado del token de la solicitud. 

  Esta acción no limita la tasa de solicitudes que tiene tókenes válidos. Limita la tasa de solicitudes que superan el límite y que, además, carecen de tókenes válidos.
  + Si la solicitud no tiene un token válido y vigente, la acción bloquea la solicitud y envía al cliente el rompecabezas de CAPTCHA o el desafío del navegador. 

    Si el navegador del usuario final o del cliente responde correctamente, el cliente recibe un token válido y reenvía automáticamente la solicitud original. Si el límite de velocidad para la instancia de agregación sigue en vigor, a esta nueva solicitud con el token válido y vigente se le aplicará la acción que se describe en el siguiente punto.
  + Si la solicitud tiene un token válido y vigente, la acción CAPTCHA o Challenge verifica el token y no realiza ninguna acción a la solicitud, similar a la acción Count. La regla basada en tasas devuelve la evaluación de la solicitud al paquete de protección (ACL web) sin tomar ninguna medida de finalización y el paquete de protección (ACL web) continúa con la evaluación de la solicitud.

  Para obtener información adicional, consulta [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).

**Si limita la tasa solo a la dirección IP o la dirección IP reenviada**  
Al configurar la regla para limitar la tasa únicamente a la dirección IP reenviada, podrá recuperar la lista de direcciones IP que la regla está limitando actualmente. Si está utilizando una instrucción de restricción de acceso, las solicitudes que tienen una tasa limitada son solo las de la lista de direcciones IP que coinciden con la instrucción de restricción de acceso. Para obtener información sobre cómo recuperar la lista de direcciones IP, consulte [Lista de direcciones IP cuyas tasas están limitada por reglas basadas en tasas](listing-managed-ips.md).

# Ejemplos de reglas basadas en tarifas en AWS WAF
<a name="waf-rule-statement-type-rate-based-examples"></a>

En esta sección, se describen ejemplos de configuraciones para diversos casos de uso comunes de reglas basadas en tasas. 

Cada ejemplo proporciona una descripción del caso de uso y, a continuación, muestra la solución en las listas JSON para las reglas configuradas de forma personalizada. 

**nota**  
Las listas JSON que se muestran en estos ejemplos se crearon en la consola configurando la regla y, a continuación, editándola con el **Editor de reglas JSON**. 

**Topics**
+ [

# Limitación de las tasas de las solicitudes a una página de inicio de sesión
](waf-rate-based-example-limit-login-page.md)
+ [

# Limitación de las tasas de las solicitudes a una página de inicio de sesión desde cualquier par de agente de usuario y dirección IP
](waf-rate-based-example-limit-login-page-keys.md)
+ [

# Limitación de la tasas de las solicitudes a las que les falta un encabezado específico
](waf-rate-based-example-limit-missing-header.md)
+ [

# Limitación de las tasas de las solicitudes con etiquetas específicas
](waf-rate-based-example-limit-labels.md)
+ [

# Limitación de las tasas de las solicitudes de etiquetas que tienen un espacio de nombres de etiquetas específico
](waf-rate-based-example-limit-label-aggregation.md)
+ [

# Limite la tarifa de las solicitudes con especificaciones ASNs
](waf-rate-based-example-limit-asn.md)

# Limitación de las tasas de las solicitudes a una página de inicio de sesión
<a name="waf-rate-based-example-limit-login-page"></a>

Para limitar el número de solicitudes a la página de inicio de sesión de su sitio web sin que ello afecte al tráfico al resto del sitio, puede crear una regla basada en tasas con una instrucción de restricción de acceso que haga coincidir las solicitudes con la página de inicio de sesión y con la agregación de solicitudes establecida en **Contar todas**. 

La regla basada en la tasa contará todas las solicitudes de la página de inicio de sesión en una sola instancia de agregación y aplicará la acción de la regla a todas las solicitudes que coincidan con la declaración de alcance reducido cuando las solicitudes superen el límite.

En la siguiente lista de JSON, se muestra un ejemplo de esta configuración de reglas. La opción de agregación de contar todas aparece en JSON como configuración `CONSTANT`. En este ejemplo, la coincidencia es con las páginas de inicio de sesión que comienzan con `/login`. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 1000,
      "EvaluationWindowSec": 300,
      "AggregateKeyType": "CONSTANT",
      "ScopeDownStatement": {
        "ByteMatchStatement": {
          "FieldToMatch": {
            "UriPath": {}
          },
          "PositionalConstraint": "STARTS_WITH",
          "SearchString": "/login",
          "TextTransformations": [
            {
              "Type": "NONE",
              "Priority": 0
            }
          ]
        }
      }
    }
  }
}
```

# Limitación de las tasas de las solicitudes a una página de inicio de sesión desde cualquier par de agente de usuario y dirección IP
<a name="waf-rate-based-example-limit-login-page-keys"></a>

Para limitar el número de solicitudes a la página de inicio de sesión de su sitio web para pares de agente de usuario y dirección IP que superen su límite, defina la agregación de solicitudes en **Claves personalizadas** y especifique los criterios de agregación. 

En la siguiente lista de JSON, se muestra un ejemplo de esta configuración de reglas. En este ejemplo, hemos establecido el límite en 100 solicitudes en un periodo de cinco minutos por par de agente de usuario y dirección IP. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 100,
      "EvaluationWindowSec": 300,
      "AggregateKeyType": "CUSTOM_KEYS",
      "CustomKeys": [
        {
          "Header": {
            "Name": "User-Agent",
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ]
          }
        },
        {
          "IP": {}
        }
      ],
      "ScopeDownStatement": {
        "ByteMatchStatement": {
          "FieldToMatch": {
            "UriPath": {}
          },
          "PositionalConstraint": "STARTS_WITH",
          "SearchString": "/login",
          "TextTransformations": [
            {
              "Type": "NONE",
              "Priority": 0
            }
          ]
        }
      }
    }
  }
}
```

# Limitación de la tasas de las solicitudes a las que les falta un encabezado específico
<a name="waf-rate-based-example-limit-missing-header"></a>

Para limitar el número de solicitudes a las que les falta un encabezado específico, puede usar la opción de agregación **Contar todas** con una instrucción de restricción de acceso. Configure la instrucción de restricción de acceso con una instrucción lógica `NOT` que contenga una instrucción que demuestre ser verdadera solo si el encabezado existe y tiene un valor. 

En la siguiente lista de JSON, se muestra un ejemplo de esta configuración de reglas. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 1000,
      "AggregateKeyType": "CONSTANT",
      "EvaluationWindowSec": 300,
      "ScopeDownStatement": {
        "NotStatement": {
          "Statement": {
            "SizeConstraintStatement": {
              "FieldToMatch": {
                "SingleHeader": {
                  "Name": "user-agent"
                }
              },
              "ComparisonOperator": "GT",
              "Size": 0,
              "TextTransformations": [
                {
                  "Type": "NONE",
                  "Priority": 0
                }
              ]
            }
          }
        }
      }
    }
  }
}
```

# Limitación de las tasas de las solicitudes con etiquetas específicas
<a name="waf-rate-based-example-limit-labels"></a>

Para limitar el número de solicitudes de diferentes categorías, puede combinar la limitación de tasas con cualquier regla o grupo de reglas que agregue etiquetas a las solicitudes. Para ello, configure su paquete de protección (ACL web) de la siguiente manera: 
+ Agregue las reglas o los grupos de reglas que agregan etiquetas y configúrelos para que no bloqueen ni permitan las solicitudes cuya tasa desea limitar. Si usa grupos de reglas administradas, es posible que deba anular algunas acciones de regla de los grupos de reglas Count para lograr este comportamiento. 
+ Agregue una regla basada en la tasa a su paquete de protección (ACL web) con una configuración de número de prioridad superior a la de las reglas de etiquetado y los grupos de reglas. AWS WAF evalúa las reglas en orden numérico, empezando por el más bajo, de modo que la regla basada en tasas se ejecute después de las reglas de etiquetado. Configure el límite de tasas en las etiquetas mediante una combinación de concordancia de etiquetas en la instrucción de restricción de acceso y agregación de etiquetas de la regla. 

En el siguiente ejemplo, se utiliza el grupo de reglas de reglas AWS gestionadas de la lista de reputaciones IP de Amazon. La regla del grupo de reglas `AWSManagedIPDDoSList` detecta y etiqueta las solicitudes de las que IPs se sabe que participan activamente en actividades DDo S. La acción de regla está configurada en Count en la definición del grupo de reglas. Para obtener más información acerca de este grupo de reglas, consulte [grupo de reglas administradas con lista de reputación de IP de Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon).

La siguiente lista de JSON de paquete de protección (ACL web) usa el grupo de reglas de reputación de IP seguido de una regla basada en tasas de coincidencia de etiquetas. La regla basada en tasas utiliza una instrucción de restricción de acceso para filtrar las solicitudes que han sido marcadas por la regla del grupo de reglas. La instrucción de regla basada en tasas agrega y limita las tasas de las solicitudes filtradas por sus direcciones IP. 

```
{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}
```

# Limitación de las tasas de las solicitudes de etiquetas que tienen un espacio de nombres de etiquetas específico
<a name="waf-rate-based-example-limit-label-aggregation"></a>

**nota**  
Las reglas de nivel común del grupo de reglas administradas de control de bots agregan etiquetas para bots de distintas categorías, pero solo bloquean las solicitudes de bots no verificados. Para obtener información acerca de estas reglas, consulte [Listado de reglas de control de bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).

Si utiliza el grupo de reglas administradas de control de bots, puede agregar un límite de tasas para las solicitudes de bots verificados individuales. Para ello, añada una regla basada en tasas que se ejecute después del grupo de reglas de control de bots y agregue las solicitudes por las etiquetas de los nombres de los bots. Especifique la clave de agregación del **Espacio de nombres de la etiqueta** y establezca la clave del espacio de nombres en `awswaf:managed:aws:bot-control:bot:name:`. Cada etiqueta única con el espacio de nombres especificado definirá una instancia de agregación. Por ejemplo, las etiquetas `awswaf:managed:aws:bot-control:bot:name:axios` y `awswaf:managed:aws:bot-control:bot:name:curl` definen una instancia de agregación.

En la siguiente lista JSON de paquete de protección (ACL web), se muestra un ejemplo de esta configuración de reglas. La regla de este ejemplo limita las solicitudes de cualquier instancia de agregación de bots a 1000 en un período de dos minutos. 

```
{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesBotControlRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesBotControlRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesBotControlRuleSet": {
                "InspectionLevel": "COMMON"
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesBotControlRuleSet"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 1000,
          "EvaluationWindowSec": 120,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "LabelNamespace": {
                "Namespace": "awswaf:managed:aws:bot-control:bot:name:"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 82,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}
```

# Limite la tarifa de las solicitudes con especificaciones ASNs
<a name="waf-rate-based-example-limit-asn"></a>

Para limitar el número de solicitudes procedentes de números de sistemas autónomos específicos (ASNs) en función de la dirección IP de las solicitudes, defina la agregación de solicitudes en *claves personalizadas e indique* los criterios de agregación.

El siguiente JSON muestra un ejemplo de una agregación de reglas ASNs derivada de las direcciones IP reenviadas que se encuentran en el `X-Forwarded-For` encabezado. Si no AWS WAF puede derivar un ASN porque la dirección IP tiene un formato incorrecto, el comportamiento alternativo se establece en. `MATCH`

```
{
    "Name": "test-rbr",
    "Priority": 0,
    "Statement": {
        "RateBasedStatement": {
            "AggregateKeyType": "CUSTOM_KEYS",
            "CustomKeys": [
                {
                    "ASN": {}
                },
                {
                    "ForwardedIP": {}
                }
            ],
            "EvaluationWindowSec": 300,
            "ForwardedIPConfig": {
                "FallbackBehavior": "MATCH",
                "HeaderName": "X-Forwarded-For"
            },
            "Limit": 2000
        }
    },
    "VisibilityConfig": {
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr",
        "SampledRequestsEnabled": true
    }
}
```

# Lista de direcciones IP cuyas tasas están limitada por reglas basadas en tasas
<a name="listing-managed-ips"></a>

En esta sección se explica cómo acceder a la lista de direcciones IP que actualmente tienen una velocidad limitada por una regla basada en la velocidad mediante la CLI, la API o cualquiera de las. SDKs 

Si tu regla basada en la velocidad solo agrega la dirección IP o la dirección IP reenviada, puedes recuperar la lista de direcciones IP a las que la regla limita la velocidad actualmente. AWS WAF almacena estas direcciones IP en la lista de claves administradas de la regla. 

**nota**  
Esta opción solo está disponible si se agrega solo la dirección IP o solo una dirección IP de un encabezado. Si utiliza la agregación de solicitudes de claves personalizadas, no podrá recuperar una lista de direcciones IP con tasas limitadas, aunque utilice una de las especificaciones de direcciones IP en sus claves personalizadas.

Una regla basada en tasas aplica su acción de regla a las solicitudes de la lista de claves administradas de la regla que coinciden con la instrucción de restricción de acceso de la regla. Cuando una regla no tiene una instrucción de restricción de acceso, aplica la acción a todas las solicitudes de las direcciones IP que figuran en la lista. La acción de regla es Block de forma predeterminada, pero puede ser cualquier acción de regla válida excepto Allow. El número máximo de direcciones IP que AWS WAF pueden limitar la velocidad mediante una única instancia de regla basada en la velocidad es de 10 000. Si más de 10 000 direcciones superan el límite de velocidad, AWS WAF limita las que tengan las tasas más altas. 

Puede acceder a la lista de claves administradas de una regla basada en tasas mediante la CLI, la API o cualquiera de las SDKs. En este tema se describe el acceso mediante la CLI y APIs. La consola no proporciona acceso a la lista en este momento. 

Para la AWS WAF API, el comando es [GetRateBasedStatementManagedKeys](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRateBasedStatementManagedKeys.html).

Para la AWS WAF CLI, el comando es [get-rate-based-statement-managed-keys](https://docs.aws.amazon.com/cli/latest/reference/wafv2/get-rate-based-statement-managed-keys.html). 

A continuación, se muestra la sintaxis para recuperar la lista de direcciones IP de velocidad limitada para una regla basada en la velocidad que se utiliza en un paquete de protección (ACL web) en una distribución de Amazon CloudFront .

```
aws wafv2 get-rate-based-statement-managed-keys --scope=CLOUDFRONT --region=us-east-1 --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
```

A continuación, se muestra la sintaxis de una aplicación regional, una API REST de Amazon API Gateway, una Application Load Balancer, una API de AWS AppSync GraphQL, un grupo de usuarios de Amazon Cognito, un AWS App Runner servicio o una instancia de acceso verificado AWS Amplify. AWS 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
```

AWS WAF supervisa las solicitudes web y administra las claves de forma independiente para cada combinación única de paquete de protección (ACL web), grupo de reglas opcional y regla basada en la velocidad. Por ejemplo, si define una regla basada en tasas dentro de un grupo de reglas y, a continuación, usa el grupo de reglas en un paquete de protección (ACL web), AWS WAF supervisa las solicitudes web y administra las claves de ese paquete de protección (ACL web), la instrucción de referencia del grupo de reglas y la instancia de regla basada en tasas. Si utiliza el mismo grupo de reglas en un segundo paquete de protección (ACL web), AWS WAF supervisa las solicitudes web y administra las claves para este segundo uso con total independencia del primero.

Para una regla basada en tasas que haya definido dentro de un grupo de reglas, debe proporcionar el nombre de la instrucción de referencia del grupo de reglas en su solicitud, además del nombre del paquete de protección (ACL web) y el nombre de la regla basada en tasas dentro del grupo de reglas. A continuación, se muestra la sintaxis de una aplicación regional en la que la regla basada en tasas se define dentro de un grupo de reglas y el grupo de reglas se usa en un paquete de protección (ACL web). 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-group-rule-name=RuleGroupRuleName --rule-name=RuleName
```

# Uso de sentencias de reglas de grupos de reglas en AWS WAF
<a name="waf-rule-statements-rule-group"></a>

**nota**  
Las instrucciones de regla de los grupos de reglas no se pueden anidar. 

En esta sección, se describen las instrucciones de regla de los grupos de reglas que puede usar en su paquete de protección (ACL web). El propietario del grupo de reglas establece las unidades de capacidad (WCUs) del paquete de protección de grupos de reglas (ACL web) en el momento de la creación. Para obtener información al respecto WCUs, consulte[Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md). 


| Instrucción de grupo de reglas | Description (Descripción) | WCUs | 
| --- | --- | --- | 
|  [Uso de declaraciones de grupos de reglas administradas](waf-rule-statement-type-managed-rule-group.md)  |  Ejecuta las reglas definidas en el grupo de reglas administradas especificado.  Puede reducir el alcance de las solicitudes que evalúa el grupo de reglas agregando una instrucción de restricción de acceso.  No puede anidar una instrucción de grupo de reglas administradas dentro de una instrucción de otro tipo.  |  Definido por el grupo de reglas, más cualquier declaración adicional WCUs para una definición de alcance reducido.  | 
| [Uso de las instrucciones para los grupos de reglas](waf-rule-statement-type-rule-group.md) | Ejecuta las reglas definidas en un grupo de reglas que administra.  No puede agregar una instrucción de restricción de acceso a una instrucción de referencia del grupo de reglas para su propio grupo de reglas.  No puede anidar una instrucción de grupo de reglas dentro de una instrucción de otro tipo  | Defina el límite de WCU para el grupo de reglas al crearlo. | 

# Uso de sentencias de grupos de reglas gestionados en AWS WAF
<a name="waf-rule-statement-type-managed-rule-group"></a>

En esta sección se explica cómo funcionan las instrucciones de regla de los grupos de reglas administradas.

La instrucción de regla de grupo de reglas administradas añade una referencia de la lista de reglas del paquete de protección (ACL web) a un grupo de reglas administradas. Esta opción no aparece en las instrucciones de reglas de la consola. Sin embargo, cuando se trabaja con el formato JSON del paquete de protección (ACL web), los grupos de reglas administradas que haya agregado aparecen en las reglas del paquete de protección (ACL web) con este tipo.

Un grupo de reglas administrado puede ser un grupo de reglas AWS administradas, la mayoría de las cuales son gratuitas para AWS WAF los clientes, o un grupo de reglas AWS Marketplace administradas. Los grupos de reglas de pago de AWS Managed Rules se suscriben automáticamente cuando los agrega a su paquete de protección (ACL web). Puede suscribirse a los grupos de reglas AWS Marketplace gestionados a través de AWS Marketplace. Para obtener más información, consulte [Uso de grupos de reglas gestionados en AWS WAF](waf-managed-rule-groups.md).

Al agregar un grupo de reglas a un paquete de protección (ACL web), puede anular las acciones de las reglas del grupo de reglas para Count o para otra acción de la regla. Para obtener más información, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md).

Puede reducir el alcance de las solicitudes que se AWS WAF evalúan con el grupo de reglas. Para ello, debe agregar una instrucción de restricción de acceso dentro de la instrucción del grupo de reglas. Para obtener información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md). Esto puede ayudarlo a gestionar la forma en que el grupo de reglas afecta al tráfico y puede ayudarle a contener los costos asociados al volumen de tráfico cuando utiliza el grupo de reglas. Para obtener información y ejemplos sobre el uso de sentencias de alcance reducido con el grupo de reglas gestionado por AWS WAF Bot Control, consulte. [AWS WAF Control de bots](waf-bot-control.md)

## Características de la instrucción de reglas
<a name="managed-rule-group-rule-statement-characteristics"></a>

**No se puede anidar**: no se puede anidar este tipo de instrucción en otras instrucciones y no se puede incluir en ningún grupo de reglas. Puede incluirlo directamente en un paquete de protección (ACL web). 

**(Opcional) Instrucción de restricción de acceso**: este tipo de regla utiliza una instrucción de restricción de acceso opcional para restringir el acceso de las solicitudes que evalúa el grupo de reglas. Para obtener más información, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).

**WCUs**— Establézcalo para el grupo de reglas en el momento de la creación.

## Dónde encontrar esta instrucción de regla
<a name="managed-rule-group-rule-statement-where-to-find"></a>
+ **Consola**: durante el proceso de creación de un paquete de protección (ACL web), en la página **Añadir reglas y grupos de reglas**, elija **Añadir grupos de reglas administradas** y, a continuación, busque y seleccione el grupo de reglas que desea usar.
+ **API**: [ManagedRuleGroupStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ManagedRuleGroupStatement.html)

# Uso de declaraciones de grupos de reglas en AWS WAF
<a name="waf-rule-statement-type-rule-group"></a>

En esta sección se explica cómo funcionan las instrucciones para los grupos de reglas.

La instrucción de regla de grupo de reglas añade una referencia de la lista de reglas del paquete de protección (ACL web) a un grupo de reglas que administra. Esta opción no aparece en las instrucciones de reglas de la consola. Sin embargo, cuando se trabaja con el formato JSON del paquete de protección (ACL web), cualquier grupo de reglas administradas que haya agregado aparece en las reglas del paquete de protección (ACL web) con este tipo. Para obtener información acerca de sus propios grupos de reglas, consulte [Administrar sus propios grupos de reglas](waf-user-created-rule-groups.md).

Al agregar un grupo de reglas a un paquete de protección (ACL web), puede anular las acciones de las reglas del grupo de reglas para Count o para otra acción de la regla. Para obtener más información, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md).

## Características de la instrucción de reglas
<a name="rule-group-rule-statement-characteristics"></a>

**No se puede anidar**: no se puede anidar este tipo de instrucción en otras instrucciones y no se puede incluir en ningún grupo de reglas. Puede incluirlo directamente en un paquete de protección (ACL web). 

**WCUs**— Establézcalo para el grupo de reglas en el momento de la creación.

## Dónde encontrar esta instrucción de regla
<a name="rule-group-rule-statement-where-to-find"></a>
+ **Consola**: durante el proceso de creación de un paquete de protección (ACL web), en la página **Añadir reglas y grupos de reglas**, elija **Añadir mis propias reglas y grupos de reglas**, **Grupo de reglas** y, a continuación, agregue el grupo de reglas que desea usar.
+ **API**: [RuleGroupReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RuleGroupReferenceStatement.html)

# AWS WAF grupos de reglas
<a name="waf-rule-groups"></a>

En esta sección, se explica qué es un grupo de reglas y cómo funciona.

Un grupo de reglas es un conjunto de reglas reutilizable que puede agregar a un paquete de protección (ACL web). Para obtener más información sobre los paquetes de protección (web ACLs), consulte[Configuración de la protección en AWS WAF](web-acl.md).

Los grupos de reglas se dividen en las categorías principales: 
+ Grupos de reglas que crea y mantiene. 
+ Grupos de reglas AWS administradas que los equipos de reglas administradas crean y mantienen para usted. 
+ Grupos de reglas gestionados que AWS Marketplace los vendedores crean y mantienen para ti. 
+ Grupos de reglas que son propiedad y están administrados por otros servicios, como AWS Firewall Manager Shield Advanced.

**Diferencias entre los grupos de reglas y los paquetes de protección (web ACLs)**  
Tanto los grupos de reglas como los paquetes de protección (web ACLs) contienen reglas, que se definen de la misma manera en ambos lugares. Los grupos de reglas se diferencian de los paquetes de protección (web ACLs) en los siguientes aspectos: 
+ Los grupos de reglas no pueden contener instrucciones de referencia de grupos de reglas. 
+ Puede reutilizar un único grupo de reglas en varios paquetes de protección (web ACLs) añadiendo una declaración de referencia del grupo de reglas a cada paquete de protección (ACL web). No puede reutilizar un paquete de protección (ACL web).
+ Los grupos de reglas no tienen acciones predeterminadas. En un paquete de protección (ACL web), se establece una acción predeterminada para cada regla o grupo de reglas que se incluya. Cada regla individual dentro de un grupo de reglas o paquete de protección (ACL web) tiene una acción definida. 
+ No se asocia directamente un grupo de reglas a un AWS recurso. Para proteger recursos mediante un grupo de reglas, utilice el grupo de reglas en un paquete de protección (ACL web). 
+ El sistema define una capacidad máxima de 5000 unidades de capacidad de paquete de protección (ACL webWCUs) () para cada paquete de protección (ACL web). Cada grupo de reglas tiene una configuración de WCU que debe establecerse en la creación. Puede utilizar esta configuración para calcular los requisitos de capacidad adicionales que el uso de un grupo de reglas agregaría al paquete de protección (ACL web). Para obtener más información al respecto WCUs, consulte[Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md).

Para obtener más información acerca de las reglas, consulte [AWS WAF reglas](waf-rules.md).

En esta sección se proporciona orientación para crear y administrar sus propios grupos de reglas, describe los grupos de reglas administrados que están disponibles y se proporciona orientación para utilizar los grupos de reglas gestionados. 

**Topics**
+ [

# Uso de grupos de reglas gestionados en AWS WAF
](waf-managed-rule-groups.md)
+ [

# Administrar sus propios grupos de reglas
](waf-user-created-rule-groups.md)
+ [

# AWS Marketplace grupos de reglas
](marketplace-rule-groups.md)
+ [

# Reconocimiento de grupos de reglas proporcionados por otros servicios
](waf-service-owned-rule-groups.md)

# Uso de grupos de reglas gestionados en AWS WAF
<a name="waf-managed-rule-groups"></a>

En esta sección se explica qué son los grupos de reglas administradas y cómo funcionan.

Los grupos de reglas gestionados son conjuntos de ready-to-use reglas predefinidas que AWS AWS Marketplace los vendedores redactan y mantienen por ti. AWS WAF El precio básico se aplica al uso de cualquier grupo de reglas gestionado. Para obtener información sobre AWS WAF precios, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
+ *Los grupos de reglas de AWS Managed Rules para el control de AWS WAF bots, AWS WAF la prevención de apropiación de cuentas (ATP) y la prevención del AWS WAF fraude en la creación de cuentas (ACFP) de Fraud Control* están disponibles por cargos adicionales, además de los cargos básicos AWS WAF . Para obtener más información sobre precios, consulte [precios de AWS WAF](https://aws.amazon.com/waf/pricing/). 
+ *Todos los demás grupos de reglas de AWS Managed* Rules están disponibles para AWS WAF los clientes sin coste adicional. 
+ *AWS Marketplace Los grupos de reglas* están disponibles mediante suscripción a través de AWS Marketplace. Cada uno de estos grupos de reglas es propiedad del AWS Marketplace vendedor y está gestionado por él. Para obtener información sobre precios y utilizar un grupo de AWS Marketplace reglas, ponte en contacto con el AWS Marketplace vendedor. 

Algunos grupos de reglas gestionados están diseñados para ayudar a proteger tipos específicos de aplicaciones webWordPress, como Joomla o PHP. Otros ofrecen una amplia protección frente a amenazas conocidas o vulnerabilidades de aplicaciones web comunes, que incluyen algunas de las que se enumeran en [OWASP Top 10](https://owasp.org/www-project-top-ten/). Si está sujeto a la conformidad normativa de PCI o HIPAA, podría utilizar grupos de reglas administradas para cumplir los requisitos de firewall de las aplicaciones web.

**Actualizaciones automáticas**  
Mantenerse al día del panorama de amenazas en constante cambio puede resultar lento y costoso. Los grupos de reglas gestionadas le permiten ahorrar tiempo a la hora de implementar y utilizar AWS WAF. Muchos AWS AWS Marketplace vendedores actualizan automáticamente los grupos de reglas administrados y proporcionan nuevas versiones de los grupos de reglas cuando surgen nuevas vulnerabilidades y amenazas. 

En algunos casos, AWS se le notifican las nuevas vulnerabilidades antes de su divulgación pública, debido a su participación en varias comunidades de divulgación privada. En esos casos, AWS puede actualizar los grupos de reglas de AWS Managed Rules e implementarlos por usted incluso antes de que se conozca ampliamente una nueva amenaza. 

**Acceso restringido a las reglas en un grupo de reglas administradas**  
Cada grupo de reglas administradas ofrece una descripción completa de los tipos de ataques y vulnerabilidades para los que se ha diseñado. Para proteger la propiedad intelectual de los proveedores de grupos de reglas, no puede ver todos los detalles de las reglas individuales que hay dentro de un grupo de reglas. Esta restricción también ayuda a impedir que usuarios malintencionados diseñen amenazas que eludan específicamente las reglas publicadas.

**Topics**
+ [

# Uso de grupos de reglas gestionados versionados en AWS WAF
](waf-managed-rule-groups-versioning.md)
+ [

# Trabajo con grupos de reglas administradas
](waf-using-managed-rule-groups.md)
+ [

# AWS Reglas administradas para AWS WAF
](aws-managed-rule-groups.md)

# Uso de grupos de reglas gestionados versionados en AWS WAF
<a name="waf-managed-rule-groups-versioning"></a>

En esta sección se explica cómo se gestiona el control de versiones para los grupos de reglas administradas.

Muchos proveedores de grupos de reglas administradas utilizan el control de versiones para actualizar las opciones y las capacidades de un grupo de reglas. Por lo general, una versión específica de un grupo de reglas administradas es estática. En ocasiones, es posible que un proveedor necesite actualizar algunas o todas las versiones estáticas de un grupo de reglas administradas, por ejemplo, para responder a una amenaza de seguridad emergente. 

Cuando usa un grupo de reglas administradas con control de versiones en su paquete de protección (ACL web), puede seleccionar la versión predeterminada y dejar que el proveedor administre la versión estática que usa, o puede seleccionar una versión estática específica. 

**¿No encuentra la versión que busca?**  
Si no ve una versión en la lista de versiones de un grupo de reglas, es probable que la versión esté programada para caducar o que ya haya caducado. Una vez programada la caducidad de una versión, ya AWS WAF no permite elegirla para el grupo de reglas. 

**Notificaciones de SNS para grupos de reglas de AWS Managed Rules**  
Todos los grupos de reglas de reglas AWS administradas proporcionan notificaciones de control de versiones y actualizaciones de SNS, excepto los grupos de reglas de reputación IP. Todos los grupos de reglas de AWS Managed Rules que proporcionan notificaciones utilizan el mismo tema de SNS: Amazon Resource Name (ARN). Para registrarse y recibir notificaciones de SNS, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones](waf-using-managed-rule-groups-sns-topic.md).

**Topics**
+ [

# Ciclo de vida de las versiones para los grupos de reglas administradas
](waf-managed-rule-groups-versioning-lifecycle.md)
+ [

# Caducidad de la versión de los grupos de reglas administradas
](waf-managed-rule-groups-versioning-expiration.md)
+ [

# Prácticas recomendadas para administrar las versiones de los grupos de reglas administradas
](waf-managed-rule-groups-best-practice.md)

# Ciclo de vida de las versiones para los grupos de reglas administradas
<a name="waf-managed-rule-groups-versioning-lifecycle"></a>

Los proveedores gestionan las siguientes etapas del ciclo de vida de una versión estática de un grupo de reglas administradas: 
+ **Versión y actualizaciones**: un proveedor de grupos de reglas administradas anuncia las versiones estáticas nuevas y futuras de sus grupos de reglas administradas mediante notificaciones a un tema de Amazon Simple Notification Service (Amazon SNS). Los proveedores también pueden utilizar el tema para comunicar otra información importante sobre sus grupos de reglas, como las actualizaciones que se requieren con urgencia. 

  Puede suscribirse al tema del grupo de reglas y configurar la forma en que desea recibir las notificaciones. Para obtener más información, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones](waf-using-managed-rule-groups-sns-topic.md).
+ **Programación de la caducidad**: un proveedor de grupos de reglas administradas programa la caducidad de las versiones anteriores de un grupo de reglas. No se puede agregar una versión que esté programada para caducar a las reglas del paquete de protección (ACL web). Una vez programada la caducidad de una versión, AWS WAF realiza un seguimiento de la caducidad con una métrica de cuenta regresiva en Amazon CloudWatch. 
+ **Caducidad de la versión**: si tiene un paquete de protección (ACL web) configurado para usar una versión caducada de un grupo de reglas administrado, durante la evaluación del paquete de protección (ACL web), AWS WAF utilizará la versión predeterminada del grupo de reglas. Además, AWS WAF bloquea cualquier actualización del paquete de protección (ACL web) que no elimine el grupo de reglas ni cambie su versión por una que no haya caducado.

Si usa grupos de reglas AWS Marketplace administrados, solicite al proveedor cualquier información adicional sobre los ciclos de vida de las versiones. 

# Caducidad de la versión de los grupos de reglas administradas
<a name="waf-managed-rule-groups-versioning-expiration"></a>

 En esta sección se explica cómo funciona la caducidad de la versión para un grupo de reglas administradas con control de versiones.

Si usa una versión específica de un grupo de reglas, asegúrese de no seguir usando una versión después de su fecha de caducidad. Puedes supervisar la caducidad de las versiones mediante las notificaciones de SNS del grupo de reglas y mediante las CloudWatch métricas de Amazon. 

Si una versión que está utilizando en un paquete de protección (ACL web) ha caducado, AWS WAF bloquea cualquier actualización del paquete de protección (ACL web) que no incluya el traslado del grupo de reglas a una versión que no haya caducado. Puede actualizar el grupo de reglas a una versión disponible o eliminarlo de su paquete de protección (ACL web). 

La gestión de la caducidad de un grupo de reglas administradas depende del proveedor del grupo de reglas. En el caso de los grupos de reglas administradas de AWS , una versión que caducó se cambia de manera automática a la versión predeterminada del grupo de reglas. En el AWS Marketplace caso de los grupos de reglas, pregunte al proveedor cómo gestionan la caducidad.

Cuando el proveedor crea una nueva versión del grupo de reglas, establece la vida útil prevista de la versión. Si bien la versión no está programada para caducar, el valor de la CloudWatch métrica de Amazon se establece en la configuración de vida útil prevista y CloudWatch, en, verás un valor fijo para la métrica. Una vez que el proveedor programa el vencimiento de la métrica, el valor de la métrica disminuye cada día hasta llegar a cero el día de la caducidad. Para obtener más información acerca de la supervisión de la caducidad, consulte [Seguimiento de la caducidad de la versión](waf-using-managed-rule-groups-expiration.md).

# Prácticas recomendadas para administrar las versiones de los grupos de reglas administradas
<a name="waf-managed-rule-groups-best-practice"></a>

Siga esta guía de prácticas recomendadas para administrar el control de versiones cuando utilice un grupo de reglas administradas con control de versiones.

Cuando usa un grupo de reglas administradas en su paquete de protección (ACL web), puede elegir usar una versión estática específica del grupo de reglas o puede optar por usar la versión predeterminada: 
+ **Versión predeterminada**: AWS WAF siempre establece la versión predeterminada en la versión estática recomendada actualmente por el proveedor. Cuando el proveedor actualiza la versión estática recomendada, AWS WAF actualiza automáticamente la configuración de la versión predeterminada para el grupo de reglas de su paquete de protección (ACL web). 

  Cuando utilice la versión predeterminada de un grupo de reglas administradas, siga los pasos a continuación como práctica recomendada: 
  + **Suscribirse a las notificaciones**: suscríbase a las notificaciones de cambios en el grupo de reglas y esté pendiente. La mayoría de los proveedores envían notificaciones avanzadas sobre las nuevas versiones estáticas y los cambios en las versiones predeterminadas. Estas permiten comprobar los efectos de una nueva versión estática antes AWS de cambiar a la versión predeterminada. Para obtener más información, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones](waf-using-managed-rule-groups-sns-topic.md).
  + **Revise los efectos de la configuración de la versión estática y realice los ajustes necesarios antes de establecer la versión predeterminada**: antes de establecer una nueva versión estática como predeterminada, revise los efectos de la versión estática en la supervisión y la administración de las solicitudes web. Es posible que la nueva versión estática tenga nuevas reglas que revisar. En caso de que necesite modificar la forma en que utiliza el grupo de reglas, busque falsos positivos u otros comportamientos inesperados. Puede establecer reglas de recuento, por ejemplo, para evitar que bloqueen el tráfico mientras decide cómo quiere gestionar el nuevo comportamiento. Para obtener más información, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
+ **Versión estática**: si elige usar una versión estática, debe actualizar manualmente la configuración de la versión cuando esté listo para adoptar una nueva versión del grupo de reglas. 

  Cuando utilice una versión estática de un grupo de reglas administradas, haga lo siguiente como práctica recomendada: 
  + **Mantener la versión actualizada**: mantenga su grupo de reglas administradas lo más cerca posible de la última versión. Cuando se publique una nueva versión, pruébela, ajuste la configuración según sea necesario e impleméntela de manera oportuna. Para obtener información acerca de las pruebas, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
  + **Suscribirse a las notificaciones**: suscríbase a las notificaciones de cambios en el grupo de reglas para saber cuándo su proveedor lanza nuevas versiones estáticas. La mayoría de los proveedores notifican con antelación los cambios de versión. Además, es posible que su proveedor necesite actualizar la versión estática que está utilizando para cerrar una laguna de seguridad o por otros motivos urgentes. Sabrá lo que sucede si está suscrito a las notificaciones del proveedor. Para obtener más información, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones](waf-using-managed-rule-groups-sns-topic.md).
  + **Evita la caducidad de la versión**: no permita que una versión estática caduque mientras la usa. La gestión por parte del proveedor de las versiones caducadas puede variar y puede implicar forzar la actualización a una versión disponible u otros cambios que puedan tener consecuencias inesperadas. Realice un seguimiento de la métrica de AWS WAF caducidad y configure una alarma que le dé un número de días suficiente para actualizar correctamente a una versión compatible. Para obtener más información, consulte [Seguimiento de la caducidad de la versión](waf-using-managed-rule-groups-expiration.md).



# Trabajo con grupos de reglas administradas
<a name="waf-using-managed-rule-groups"></a>

En esta sección se proporciona orientación para acceder a su grupos de reglas administradas y administrarlos. 

Cuando agrega un grupo de reglas administradas a su paquete de protección (ACL web), puede elegir las mismas opciones de configuración que sus propios grupos de reglas, además de configuraciones adicionales. 

A través de la consola, puede acceder a la información de los grupos de reglas gestionados durante el proceso de añadir y editar las reglas de sus paquetes de protección (web ACLs). A través de la interfaz de línea de comandos (CLI), puede solicitar directamente información sobre grupos de reglas administrados. APIs 

Cuando usa un grupo de reglas administradas en su paquete de protección (ACL web), puede editar las siguientes configuraciones: 
+ **Versión**: solo está disponible si el grupo de reglas presenta control de versiones. Para obtener más información, consulte [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md).
+ **Acciones de anular regla**: puede sustituir las acciones de reglas del grupo de reglas por cualquier acción. Definirlas en Count es útil para probar un grupo de reglas antes de usarlo para administrar las solicitudes web. Para obtener más información, consulte [Anulación de acciones de reglas de un grupo de reglas](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).
+ **Declaración de alcance reducido**: puede añadir una declaración de alcance reducido, para filtrar las solicitudes web que no desee evaluar con el grupo de reglas. Para obtener más información, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).
+ **Invalidar la acción del grupo de reglas**: puede anular la acción que se deriva de la evaluación del grupo de reglas y configurarla solo como Count. Esta opción no se utiliza habitualmente. No altera la forma en que AWS WAF se evalúan las reglas del grupo de reglas. Para obtener más información, consulte [Anulación de la acción de retorno del grupo de reglas para Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group).

**Edición de la configuración del grupo de reglas administradas en su paquete de protección (ACL web)**
+ **Consola** 
  + (Opción) Cuando agrega el grupo de reglas administradas a su paquete de protección (ACL web), puede elegir **Editar** para ver y editar la configuración. 
  + (Opción) Una vez que haya agregado el grupo de reglas administrado a su paquete de protección (ACL web), en la página de **paquetes de protección (web ACLs)**, elija el paquete de protección (ACL web) que acaba de crear. Esto lo lleva a la página web de edición de paquetes de protección (ACL web). 
    + Elija **Rules (Reglas)**. 
    + Seleccione el grupo de reglas y, a continuación, elija **Editar** para ver y editar la configuración. 
+ **APIs y CLI**: fuera de la consola, puede administrar la configuración del grupo de reglas administrado al crear y actualizar el paquete de protección (ACL web). 

# Recuperación de la lista de grupos de reglas administradas
<a name="waf-using-managed-rule-groups-list"></a>

Puede recuperar la lista de grupos de reglas administrados que están disponibles para su uso en sus paquetes de protección (web ACLs). La lista incluye lo siguiente: 
+ Todos los grupos de reglas de reglas AWS administradas.
+ Los grupos de AWS Marketplace reglas a los que se ha suscrito. 
**nota**  
Para obtener información sobre la suscripción a grupos de AWS Marketplace reglas, consulte. [AWS Marketplace grupos de reglas](marketplace-rule-groups.md)

Al recuperar la lista de grupos de reglas administradas, la lista que obtenga dependerá de la interfaz que utilice: 
+ **Consola**: a través de la consola, puede ver todos los grupos de reglas administrados, incluidos los grupos de AWS Marketplace reglas a los que aún no se ha suscrito. Para aquellos a los que aún no se haya suscrito, la interfaz proporciona enlaces que puede seguir para suscribirse. 
+ **APIs y CLI**: fuera de la consola, la solicitud devuelve solo los grupos de reglas que están disponibles para su uso. 

**Recuperación de la lista de grupos de reglas administradas**
+ **Consola**: durante el proceso de creación de una ACL web, en la página **Añadir reglas y grupos de reglas**, elija **Añadir grupos de reglas administradas**. En el nivel superior, se enumeran los nombres de los proveedores. Expanda cada descripción de proveedores para ver la lista de grupos de reglas administradas. En el caso de los grupos de reglas con control de versiones, la información que se muestra en este nivel corresponde a la versión predeterminada. Cuando agrega un grupo de reglas administradas al paquete de protección (ACL web), la consola lo agrega a una lista según el esquema de nomenclatura `<Vendor Name>-<Managed Rule Group Name>`. 
+ **API**:
  +  `ListAvailableManagedRuleGroups`
+ **CLI**:
  + `aws wafv2 list-available-managed-rule-groups --scope=<CLOUDFRONT|REGIONAL>`

# Cómo recuperar las reglas de un grupo de reglas administradas
<a name="waf-using-managed-rule-groups-rules"></a>

Puede recuperar una lista de reglas de un grupo de reglas administradas. Las llamadas a la API y a la CLI devuelven las especificaciones de las reglas a las que puede hacer referencia en el modelo JSON o a través de él AWS CloudFormation.

**Para recuperar la lista de reglas de un grupo de reglas administradas**
+ **Consola** 
  + (Opción) Cuando agrega el grupo de reglas administradas a su paquete de protección (ACL web), puede elegir **Editar** para ver las reglas. 
  + (Opción) Tras añadir el grupo de reglas gestionado al paquete de protección (ACL web), en la página de **paquetes de protección (web ACLs)**, elija el paquete de protección (ACL web) que acaba de crear. Esto lo lleva a la página web de edición de paquetes de protección (ACL web). 
    + Elija **Rules (Reglas)**. 
    + Seleccione el grupo de reglas del que desee ver una lista de reglas y, a continuación, elija **Editar**. AWS WAF muestra la lista de reglas del grupo de reglas. 
+ **API**: `DescribeManagedRuleGroup`
+ **CLI**: `aws wafv2 describe-managed-rule-group --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

# Recuperación de las versiones disponibles de un grupo de reglas administradas
<a name="waf-using-managed-rule-groups-versions"></a>

Las versiones disponibles de un grupo de reglas administradas son versiones cuya caducidad aún no está programada. Las lista indica qué versión es la predeterminada actual para el grupo de reglas.

**Recuperación de una lista de las versiones disponibles de un grupo de reglas administradas**
+ **Consola** 
  + (Opción) Cuando agregue el grupo de reglas administradas a su paquete de protección (ACL web), elija **Editar** para ver la información del grupo de reglas. Amplíe el menú desplegable **Versión** para ver la lista de versiones disponibles. 
  + (Opción) Tras agregar el grupo de reglas gestionado al paquete de protección (ACL web), seleccione **Editar** en el paquete de protección (ACL web) y, a continuación, seleccione y edite la regla del grupo de reglas. Amplíe el menú desplegable **Versión** para ver la lista de versiones disponibles. 
+ **API**:
  +  `ListAvailableManagedRuleGroupVersions`
+ **CLI**:
  +  `aws wafv2 list-available-managed-rule-group-versions --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

# Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola
<a name="waf-using-managed-rule-group"></a>

En esta sección, se explica cómo agregar un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola. Esta guía se aplica a todos los grupos de reglas AWS administradas y a los grupos de AWS Marketplace reglas a los que está suscrito. 

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

**Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola**

**Cómo añadir un grupo de reglas administradas a una ACL web a través de la consola**

1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala desde [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Elija **los paquetes de protección (web ACLs)** en el panel de navegación. 

1. En la página de **paquetes de protección (web ACLs)**, en la lista de paquetes de protección (web ACLs), seleccione aquel al que desee añadir el grupo de reglas. Esto lo lleva a la página del paquete de protección (ACL web) individual.

1. En la página del paquete de protección (ACL web), elija la pestaña **Reglas**. 

1. En el panel **Reglas**, seleccione **Agregar reglas** y, a continuación, elija **Agregar grupos de reglas administradas**. 

1. En la página **Agregar grupos de reglas administradas**, amplíe la selección del proveedor de grupos de reglas para ver la lista de grupos de reglas disponibles. 

1. Para cada grupo de reglas que desee agregar, elija **Agregar al paquete de protección (ACL web)**. Si desea cambiar la configuración del paquete de protección (ACL web) para el grupo de reglas, elija **Editar**, realice los cambios y, a continuación, seleccione **Guardar regla**. Para obtener información sobre las opciones, consulte la guía de control de versiones en [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md) y la guía para usar un grupo de reglas administradas en un paquete de protección (ACL web) en [Uso de sentencias de grupos de reglas gestionados en AWS WAF](waf-rule-statement-type-managed-rule-group.md).

1. En la parte inferior de la página **Agregar grupos de reglas administradas**, elija **Agregar reglas**. 

1. En la página **Establecer la prioridad de las reglas**, ajuste el orden en que se ejecutarán las reglas según sea necesario y, a continuación, seleccione **Guardar**. Para obtener más información, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md). 

En la página de su paquete de protección (ACL web), los grupos de reglas administradas que ha agregado aparecen en la pestaña **Reglas**. 

Pruebe y ajuste cualquier cambio en sus AWS WAF protecciones antes de utilizarlas para el tráfico de producción. Para obtener información, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**Incoherencias temporales durante las actualizaciones**  
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. 

A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios: 
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible. 
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros. 
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.

# Recepción de notificaciones sobre nuevas versiones y actualizaciones de un grupo de reglas administradas
<a name="waf-using-managed-rule-groups-sns-topic"></a>

En esta sección se explica cómo recibir notificaciones de Amazon SNS sobre nuevas versiones y actualizaciones.

Un proveedor de grupos de reglas gestionados utiliza las notificaciones de SNS para anunciar los cambios en los grupos de reglas, como las próximas nuevas versiones y las actualizaciones de seguridad urgentes. 

**Cómo suscribirse a las notificaciones de SNS**  
Para suscribirse a las notificaciones de un grupo de reglas, cree una suscripción de Amazon SNS para el ARN del tema de Amazon SNS del grupo de reglas en la región Este de EE. UU. (Norte de Virginia) us-east-1. 

Para obtener información sobre cómo suscribirse, consulte la [Guía para desarrolladores de Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/). 

**nota**  
Cree su suscripción para el tema SNS únicamente en la región us-east-1.

Todos los grupos de reglas de AWS Managed Rules versionados utilizan el mismo tema de SNS: Amazon Resource Name (ARN). Para obtener más información sobre las notificaciones de los grupos de reglas de AWS Managed Rules, consulte. [Notificaciones de implementación](waf-managed-rule-groups-deployments-notifications.md)

**Dónde encontrar el ARN del tema de Amazon SNS para un grupo de reglas administradas**  
AWS Los grupos de reglas de reglas administradas utilizan un único ARN de tema de SNS, por lo que puede recuperar el ARN del tema de uno de los grupos de reglas y suscribirse a él para recibir notificaciones de todos los grupos de reglas de reglas de reglas administradas que AWS proporcionan notificaciones de SNS. 
+ **Consola** 
  + (Opción) Cuando agregar el grupo de reglas administradas a su paquete de protección (ACL web), elija **Editar** para ver la información del grupo de reglas, que incluye el ARN del tema de Amazon SNS del grupo de reglas. 
  + (Opción) Tras agregar el grupo de reglas administradas al paquete de protección (ACL web), seleccione **Editar** en el paquete de protección (ACL web) y, a continuación, seleccione y edite la regla del grupo de reglas para ver el ARN del tema de Amazon SNS del grupo de reglas. 
+ **API**: `DescribeManagedRuleGroup`
+ **CLI**: `aws wafv2 describe-managed-rule-group --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

Para obtener información general sobre los formatos de notificación de Amazon SNS y cómo filtrar las notificaciones que recibe, consulte [Análisis de formatos de mensajes](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html) y las [Políticas de filtro de suscripciones de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html) en la Guía para desarrolladores de Amazon Simple Notification Service. 

# Seguimiento de la caducidad de las versiones de un grupo de reglas
<a name="waf-using-managed-rule-groups-expiration"></a>

En esta sección se explica cómo supervisar la programación de caducidad de un grupo de reglas gestionado a través de Amazon CloudWatch.

Si usa una versión específica de un grupo de reglas, asegúrese de no seguir usando una versión después de su fecha de caducidad. 

**sugerencia**  
Suscríbase a las notificaciones de Amazon SNS para los grupos de reglas administradas y manténgase al día con las versiones de los grupos de reglas administradas. Te beneficiarás de la mayor up-to-date protección del grupo de reglas y te anticiparás a la fecha de caducidad. Para obtener información, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones](waf-using-managed-rule-groups-sns-topic.md).

**Para supervisar la programación de caducidad de un grupo de reglas gestionado a través de Amazon CloudWatch**

1. En CloudWatch, localice las métricas de caducidad de su grupo AWS WAF de reglas gestionado. Las métricas tienen los siguientes nombres y dimensiones: 
   + Nombre de métrica: DaysToExpiry
   + Dimensiones de métricas: Region, ManagedRuleGroup, Vendor y Version

   Si tiene un grupo de reglas administradas en su paquete de protección (ACL web) que evalúa el tráfico, obtendrá una métrica para ello. La métrica no está disponible para los grupos de reglas que no utiliza. 

1. Establezca una alarma en las métricas de su interés para recibir una notificación a tiempo para cambiar a una versión más reciente del grupo de reglas. 

Para obtener información sobre el uso de CloudWatch las métricas de Amazon y la configuración de alarmas, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/). 

# Ejemplos de configuraciones de grupos de reglas administradas en JSON y YAML
<a name="waf-using-managed-rule-groups-json-yaml"></a>

En esta sección se proporcionan algunos ejemplos de configuraciones de grupos de reglas.

Las llamadas a la API y a la CLI devuelven una lista de todas las reglas del grupo de reglas administrado a las que puede hacer referencia en el modelo JSON o a través de él AWS CloudFormation.

**JSON**  
Puede hacer referencia a grupos de reglas administradas y modificarlos en una instrucción de regla mediante JSON. En la siguiente lista se muestra el grupo de reglas AWS administradas`AWSManagedRulesCommonRuleSet`, en formato JSON. La especificación de RuleActionOverrides muestra una regla cuya acción se ha sustituido por Count. 

```
{
    "Name": "AWS-AWSManagedRulesCommonRuleSet",
    "Priority": 0,
    "Statement": {
      "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesCommonRuleSet",
        "RuleActionOverrides": [                                                                                                                                            
          {                                                                                                                                                                
            "ActionToUse": {                                                                                                                                              
              "Count": {}                                                                                                                                                
            },                                                                                                                                                            
            "Name": "NoUserAgent_HEADER"                                                                                                                                 
          }                                                                                                                                                                
        ],
        "ExcludedRules": []
      }
    },
    "OverrideAction": {
      "None": {}
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSManagedRulesCommonRuleSet"
    }
}
```

**YAML**  
Puede hacer referencia a grupos de reglas administradas y modificarlos en una instrucción de regla mediante la plantilla de YAML de CloudFormation . En la siguiente lista se muestra el grupo de reglas AWS administradas`AWSManagedRulesCommonRuleSet`, en la CloudFormation plantilla. La especificación de RuleActionOverrides muestra una regla cuya acción se ha sustituido por Count. 

```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
  ManagedRuleGroupStatement:
    VendorName: AWS
    Name: AWSManagedRulesCommonRuleSet
    RuleActionOverrides:
    - ActionToUse:
        Count: {}
      Name: NoUserAgent_HEADER
    ExcludedRules: []
OverrideAction:
  None: {}
VisibilityConfig:
  SampledRequestsEnabled: true
  CloudWatchMetricsEnabled: true
  MetricName: AWS-AWSManagedRulesCommonRuleSet
```

# AWS Reglas administradas para AWS WAF
<a name="aws-managed-rule-groups"></a>

En esta sección se explica qué AWS WAF es AWS Managed Rules for.

AWS Managed Rules for AWS WAF es un servicio gestionado que proporciona protección contra las vulnerabilidades de las aplicaciones u otro tipo de tráfico no deseado. Tiene la opción de seleccionar uno o más grupos de reglas de las reglas AWS administradas para cada ACL web, hasta el límite máximo de unidades de capacidad (WCU) del paquete de protección (ACL web). 

**Mitigación de los falsos positivos y comprobación de los cambios en los grupos de reglas**  
Antes de usar cualquier grupo de reglas administradas en producción, pruébelo en un entorno que no sea de producción de acuerdo con las instrucciones de [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md). Siga las instrucciones de prueba y ajuste cuando agregue un grupo de reglas a su paquete de protección (ACL web), para probar una nueva versión de un grupo de reglas y siempre que un grupo de reglas no gestione su tráfico web como lo necesita. 

**Responsabilidades de seguridad compartidas**  
AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para asegurarse de que sus recursos AWS estén debidamente protegidos. 

**importante**  
AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para asegurarse de que sus recursos AWS estén debidamente protegidos. 

# AWS Lista de grupos de reglas de Managed Rules
<a name="aws-managed-rule-groups-list"></a>

En esta sección se proporciona una lista de los grupos de reglas de reglas AWS administradas disponibles.

En esta sección se describen las versiones más recientes de los grupos de reglas de reglas AWS administradas. Los verá en la consola al agregar un grupo de reglas administradas al paquete de protección (ACL web). A través de la API, puede recuperar esta lista junto con los grupos de AWS Marketplace reglas a los que está suscrito llamando`ListAvailableManagedRuleGroups`. 

**nota**  
Para obtener información sobre cómo recuperar las versiones de un grupo de reglas de reglas AWS administradas, consulte. [Recuperación de las versiones disponibles de un grupo de reglas administradas](waf-using-managed-rule-groups-versions.md) 

Todos los grupos de reglas de reglas AWS administradas admiten el etiquetado, y las listas de reglas de esta sección incluyen las especificaciones de las etiquetas. Puede recuperar las etiquetas de un grupo de reglas administradas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad AvailableLabels de la respuesta. Para obtener más información acerca de las etiquetas, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).

Pruebe y ajuste cualquier cambio en sus AWS WAF protecciones antes de utilizarlas para el tráfico de producción. Para obtener información, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**Contents**
+ [

# Grupos de reglas de base de referencia
](aws-managed-rule-groups-baseline.md)
  + [

## Grupo de reglas administradas del conjunto de reglas básicas (CRS)
](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)
  + [

## Grupo de reglas administradas de protección de la administración
](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin)
  + [

## Grupo de reglas administradas de entradas incorrectas conocidas
](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)
+ [

# Grupos de reglas específicos de casos de uso
](aws-managed-rule-groups-use-case.md)
  + [

## grupo de reglas administradas de la base de datos SQL
](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db)
  + [

## grupo de reglas administradas del sistema operativo Linux
](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os)
  + [

## grupo de reglas administradas para el sistema operativo POSIX
](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)
  + [

## grupo de reglas administradas para el sistema operativo Windows
](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os)
  + [

## grupo de reglas administradas de la aplicación PHP
](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)
  + [

## WordPress grupo de reglas gestionado por la aplicación
](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)
+ [

# Grupos de reglas de reputación de IP
](aws-managed-rule-groups-ip-rep.md)
  + [

## grupo de reglas administradas con lista de reputación de IP de Amazon
](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)
  + [

## grupo de reglas administradas con lista de direcciones IP anónimas
](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous)
+ [

# AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude
](aws-managed-rule-groups-acfp.md)
  + [

## Consideraciones para usar este grupo de reglas
](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using)
  + [

## Etiquetas agregadas por este grupo de reglas
](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels)
    + [

### Etiquetas de token
](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token)
    + [

### Etiquetas de ACFP
](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg)
  + [

## Lista de reglas de prevención contra fraude en la creación de cuentas
](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules)
+ [

# AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude
](aws-managed-rule-groups-atp.md)
  + [

## Consideraciones para usar este grupo de reglas
](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using)
  + [

## Etiquetas agregadas por este grupo de reglas
](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels)
    + [

### Etiquetas de token
](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token)
    + [

### Etiquetas de ATP
](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg)
  + [

## Lista de reglas de prevención de apropiación de cuentas
](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules)
+ [

# AWS WAF Grupo de reglas de control de bots
](aws-managed-rule-groups-bot.md)
  + [

## Niveles de protección
](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels)
  + [

## Consideraciones para utilizar este grupo de reglas
](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using)
  + [

## Etiquetas agregadas por este grupo de reglas
](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels)
    + [

### Etiquetas de token
](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token)
    + [

### Etiquetas de control de bots
](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg)
  + [

## Listado de reglas de control de bots
](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ [

# AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida
](aws-managed-rule-groups-anti-ddos.md)
  + [

## Consideraciones para utilizar este grupo de reglas
](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using)
  + [

## Etiquetas agregadas por este grupo de reglas
](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels)
    + [

### Etiquetas de token
](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token)
    + [

### Etiquetas DDo antiS
](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg)
  + [

## Listado de reglas Anti- DDo S
](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules)

# Grupos de reglas de base de referencia
<a name="aws-managed-rule-groups-baseline"></a>

Los grupos de reglas administradas de base de referencia proporcionan protección general contra una amplia variedad de amenazas comunes. Elija uno o varios de estos grupos de reglas para establecer la protección de base de referencia para los recursos. 

## Grupo de reglas administradas del conjunto de reglas básicas (CRS)
<a name="aws-managed-rule-groups-baseline-crs"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesCommonRuleSet`, WCU: 700

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo de reglas del conjunto de reglas básicas (CRS) contiene reglas que son generalmente aplicables a las aplicaciones web. Este brinda protección contra la explotación de una amplia gama de vulnerabilidades, incluyendo algunas de las vulnerabilidades de alto riesgo y más comunes descritas en publicaciones de OWASP tales como [OWASP Top 10](https://owasp.org/www-project-top-ten/). Considere la posibilidad de utilizar este grupo de reglas para cualquier caso de AWS WAF uso.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| NoUserAgent\$1HEADER |  Inspecciona las solicitudes a las que les falta el encabezado HTTP `User-Agent`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`  | 
| UserAgent\$1BadBots\$1HEADER |  Comprueba si hay valores de encabezado `User-Agent` comunes que indiquen que la solicitud es un badbot. Los patrones de ejemplo incluyen `nessus` y `nmap`. Para obtener información sobre la administración de bots, consulte también [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:BadBots_Header`  | 
| SizeRestrictions\$1QUERYSTRING |  Inspecciona las cadenas de consulta de URI que superen los 2048 bytes.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`  | 
| SizeRestrictions\$1Cookie\$1HEADER |  Comprueba si los encabezados de las cookies tienen más de 10 240 bytes.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`  | 
| SizeRestrictions\$1BODY |  Inspecciona los cuerpos de las solicitudes que pesen más de 8 KB (8192 bytes).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`  | 
| SizeRestrictions\$1URIPATH |  Inspeccione las rutas de URI que superen los 1024 bytes.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`  | 
| EC2MetaDataSSRF\$1BODY |  Inspecciona los intentos de sustraer metadatos de Amazon EC2 del cuerpo de la solicitud.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`  | 
| EC2MetaDataSSRF\$1COOKIE |  Inspecciona los intentos de sustraer metadatos de Amazon EC2 de la cookie de la solicitud.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`  | 
| EC2MetaDataSSRF\$1URIPATH |  Inspecciona los intentos de sustraer metadatos de Amazon EC2 de la ruta del URI de la solicitud.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`  | 
| EC2MetaDataSSRF\$1QUERYARGUMENTS |  Inspecciona los intentos de sustraer metadatos de Amazon EC2 de los argumentos de consulta de la solicitud.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`  | 
| GenericLFI\$1QUERYARGUMENTS |  Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en los argumentos de la consulta. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como `../../`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`  | 
| GenericLFI\$1URIPATH |  Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en la ruta del URI. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como `../../`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`  | 
| GenericLFI\$1BODY |  Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en el cuerpo de la solicitud. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como `../../`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericLFI_Body`  | 
| RestrictedExtensions\$1URIPATH |  Comprueba si hay solicitudes cuyas rutas de URI contengan extensiones de archivos del sistema que no sean seguras de leer o ejecutar. Los patrones de ejemplo incluyen extensiones como `.log` y `.ini`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`  | 
| RestrictedExtensions\$1QUERYARGUMENTS |  Inspecciona las solicitudes cuyos argumentos de consulta contienen extensiones de archivo cuya lectura es insegura. Los patrones de ejemplo incluyen extensiones como `.log` y `.ini`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`  | 
| GenericRFI\$1QUERYARGUMENTS |  Inspecciona los valores de todos los parámetros de consulta para detectar intentos de aprovechar la RFI (inclusión remota de archivos) en aplicaciones web mediante URLs incrustaciones que contienen direcciones. IPv4 Los ejemplos incluyen patrones como`http://`,`https://`, y `ftp://` `ftps://``file://`, con un encabezado de IPv4 host en el intento de explotación.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`  | 
| GenericRFI\$1BODY |  Inspecciona el cuerpo de la solicitud para detectar intentos de aprovechar la RFI (inclusión remota de archivos) en aplicaciones web mediante incrustaciones URLs que contienen direcciones. IPv4 Los ejemplos incluyen patrones como`http://`,`https://`, y `ftp://` `ftps://``file://`, con un encabezado de IPv4 host en el intento de explotación.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericRFI_Body`  | 
| GenericRFI\$1URIPATH |  Inspecciona la ruta del URI para detectar intentos de aprovechar la RFI (inclusión remota de archivos) en aplicaciones web mediante URLs incrustaciones que contienen direcciones. IPv4 Los ejemplos incluyen patrones como`http://`,`https://`, y `ftp://` `ftps://``file://`, con un encabezado de IPv4 host en el intento de explotación.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`  | 
| CrossSiteScripting\$1COOKIE |  Inspecciona los valores de los encabezados de las cookies para detectar patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF [Instrucción de regla de ataques de scripting entre sitios](waf-rule-statement-type-xss-match.md) Los patrones de ejemplo incluyen scripts como `<script>alert("hello")</script>`.   Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas.   Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`  | 
| CrossSiteScripting\$1QUERYARGUMENTS |  Inspecciona los valores de los argumentos de consulta para detectar patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF [Instrucción de regla de ataques de scripting entre sitios](waf-rule-statement-type-xss-match.md) Los patrones de ejemplo incluyen scripts como `<script>alert("hello")</script>`.   Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas.   Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`  | 
| CrossSiteScripting\$1BODY |  Inspecciona el cuerpo de la solicitud para detectar patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF [Instrucción de regla de ataques de scripting entre sitios](waf-rule-statement-type-xss-match.md) Los patrones de ejemplo incluyen scripts como `<script>alert("hello")</script>`.   Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas.   Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`  | 
| CrossSiteScripting\$1URIPATH |  Inspecciona el valor de la ruta URI en busca de patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF [Instrucción de regla de ataques de scripting entre sitios](waf-rule-statement-type-xss-match.md) Los patrones de ejemplo incluyen scripts como `<script>alert("hello")</script>`.   Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas.   Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`  | 

## Grupo de reglas administradas de protección de la administración
<a name="aws-managed-rule-groups-baseline-admin"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesAdminProtectionRuleSet`, WCU: 100

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo contiene reglas que permiten bloquear el acceso externo a las páginas administrativas expuestas. Esto puede resultar útil si ejecuta software de terceros o si quiere reducir el riesgo de que un actor malintencionado obtenga acceso administrativo a la aplicación.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| AdminProtection\$1URIPATH |  Inspecciona las rutas del URI que generalmente están reservadas para la administración de un servidor web o una aplicación. Entre los patrones de ejemplo se incluye `sqlmanager`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`  | 

## Grupo de reglas administradas de entradas incorrectas conocidas
<a name="aws-managed-rule-groups-baseline-known-bad-inputs"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesKnownBadInputsRuleSet`, WCU: 200

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo contiene reglas para bloquear los patrones de solicitud que se conocen por no ser válidos y que están asociados a la explotación o el descubrimiento de vulnerabilidades. Esto puede ayudar a reducir el riesgo de que un actor malintencionado descubra una aplicación vulnerable.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| JavaDeserializationRCE\$1HEADER |  Inspecciona las claves y los valores de los encabezados de las solicitudes HTTP para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`.  Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para administrar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`   | 
| JavaDeserializationRCE\$1BODY |  Inspecciona los cuerpos de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`  | 
| JavaDeserializationRCE\$1URIPATH |  Inspecciona el URI de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`  | 
| JavaDeserializationRCE\$1QUERYSTRING |  Inspecciona la cadena de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`  | 
| Host\$1localhost\$1HEADER |  Inspecciona el encabezado del host en la solicitud de patrones que indican localhost. Entre los patrones de ejemplo se incluye `localhost`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`  | 
| PROPFIND\$1METHOD |  Inspecciona el método HTTP en la solicitud de `PROPFIND`, que es un método similar a `HEAD`, pero con la intención adicional de sustraer objetos XML.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Propfind_Method`  | 
| ExploitablePaths\$1URIPATH |  Inspecciona la ruta del URI en busca de intentos de acceder a rutas de aplicaciones web vulnerables. Los patrones de ejemplo incluyen rutas como `web-inf`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`  | 
| Log4JRCE\$1HEADER |  Inspecciona las claves y los valores de los encabezados de las solicitudes para detectar la presencia de la vulnerabilidad Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) y protege contra los intentos de ejecución remota de código (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`.  Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para administrar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`  | 
| Log4JRCE\$1QUERYSTRING |  Inspecciona la cadena de consulta para detectar la presencia de la vulnerabilidad Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`  | 
| Log4JRCE\$1BODY |  Inspecciona el cuerpo para detectar la presencia de la vulnerabilidad Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`  | 
| Log4JRCE\$1URIPATH |  Inspecciona la ruta del URI cuerpo para detectar la presencia de la vulnerabilidad Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`  | 
| ReactJSRCE\$1BODY |  Inspecciona el cuerpo de la solicitud para detectar patrones que indiquen la presencia del CVE-2025-55182.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para el Equilibrador de carga de aplicación y AWS AppSync, el límite se estableció en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y AWS Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `CONTINUE` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body`  | 

# Grupos de reglas específicos de casos de uso
<a name="aws-managed-rule-groups-use-case"></a>

Los grupos de reglas para casos de uso específicos proporcionan una protección incremental para muchos casos de uso diferentes. AWS WAF Elija los grupos de reglas que correspondan a la aplicación. 

## grupo de reglas administradas de la base de datos SQL
<a name="aws-managed-rule-groups-use-case-sql-db"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesSQLiRuleSet`, WCU: 200

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo contiene reglas para bloquear los patrones de solicitud asociados a la explotación de bases de datos SQL, como los ataques de inyección de código SQL. Este puede ayudar a evitar la inyección remota de consultas no autorizadas. Valore el uso de este grupo de reglas si la aplicación interactúa con una base de datos SQL.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| SQLi\$1QUERYARGUMENTS |  Utiliza la función integrada AWS WAF [Instrucción de regla de ataques de inyecciones SQL](waf-rule-statement-type-sqli-match.md), con el nivel de sensibilidad establecido enLow, para inspeccionar los valores de todos los parámetros de consulta en busca de patrones que coincidan con un código SQL malicioso.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLi_QueryArguments`  | 
| SQLiExtendedPatterns\$1QUERYARGUMENTS |  Inspecciona los valores de todos los parámetros de consulta en busca de patrones que coincidan con código SQL malicioso. La regla `SQLi_QUERYARGUMENTS` no cubre los patrones que inspecciona esta regla.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments`  | 
| SQLi\$1BODY |  Utiliza el integrado AWS WAF [Instrucción de regla de ataques de inyecciones SQL](waf-rule-statement-type-sqli-match.md), con el nivel de sensibilidad establecido enLow, para inspeccionar el cuerpo de la solicitud en busca de patrones que coincidan con un código SQL malicioso.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLi_Body`  | 
| SQLiExtendedPatterns\$1BODY |  Inspecciona el cuerpo de la solicitud en busca de patrones que coincidan con el código SQL malintencionado. La regla `SQLi_BODY` no cubre los patrones que inspecciona esta regla.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body`  | 
| SQLi\$1COOKIE |  Utiliza la función integrada AWS WAF [Instrucción de regla de ataques de inyecciones SQL](waf-rule-statement-type-sqli-match.md), con el nivel de sensibilidad establecido enLow, para inspeccionar los encabezados de las cookies de las solicitudes en busca de patrones que coincidan con un código SQL malicioso.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLi_Cookie`  | 
| SQLi\$1URIPATH |  Utiliza la función integrada AWS WAF [Instrucción de regla de ataques de inyecciones SQL](waf-rule-statement-type-sqli-match.md), con el nivel de sensibilidad establecido enLow, para inspeccionar los encabezados de las cookies de las solicitudes en busca de patrones que coincidan con un código SQL malicioso.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLi_URIPath`  | 

## grupo de reglas administradas del sistema operativo Linux
<a name="aws-managed-rule-groups-use-case-linux-os"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesLinuxRuleSet`, WCU: 200

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas de Linux, como los ataques de inclusión de archivos locales (LFI) específicos de Linux. Este puede ayudar a evitar ataques que expongan el contenido de un archivos o que ejecuten código que, en principio, tendría que ser inaccesible para los atacantes. Tiene que valorar este grupo de reglas si alguna parte de su aplicación se ejecuta en Linux. Tiene que utilizar este grupo de reglas junto con el grupo de reglas [Sistema operativo POSIX](#aws-managed-rule-groups-use-case-posix-os).

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| LFI\$1URIPATH |  Inspecciona la ruta de solicitud en busca de intentos de explotar las vulnerabilidades de inclusión de archivos locales (LFI) en las aplicaciones web. Los patrones de ejemplo incluyen archivos como `/proc/version`, que podrían proporcionar información del sistema operativo a los atacantes.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:linux-os:LFI_URIPath`  | 
| LFI\$1QUERYSTRING |  Inspecciona los valores de todas las cadenas de la solicitud en busca de intentos de explotar las vulnerabilidades de inclusión de archivos locales (LFI) en las aplicaciones web. Los patrones de ejemplo incluyen archivos como `/proc/version`, que podrían proporcionar información del sistema operativo a los atacantes.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:linux-os:LFI_QueryString`  | 
| LFI\$1HEADER |  Inspecciona los encabezados de la en busca de intentos de explotar las vulnerabilidades de inclusión de archivos locales (LFI) en las aplicaciones web. Los patrones de ejemplo incluyen archivos como `/proc/version`, que podrían proporcionar información del sistema operativo a los atacantes.  Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para administrar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:linux-os:LFI_Header`  | 

## grupo de reglas administradas para el sistema operativo POSIX
<a name="aws-managed-rule-groups-use-case-posix-os"></a>

VendorName:`AWS`, Nombre:, WCU: `AWSManagedRulesUnixRuleSet` 100

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas de POSIX y de sistemas operativos similares a este, como los ataques de inclusión de archivos locales (LFI). Este puede ayudar a evitar ataques que expongan el contenido de un archivos o que ejecuten código que, en principio, tendría que ser inaccesible para los atacantes. Tiene que valorar este grupo de reglas si alguna parte de su aplicación se ejecuta en un sistema operativo POSIX o similar a POSIX, entre los que se incluyen Linux, AIX, HP-UX, macOS, Solaris, FreeBSD y OpenBSD. 

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| UNIXShellCommandsVariables\$1QUERYSTRING |  Inspecciona los valores de la cadena de consulta en busca de intentos de explotar vulnerabilidades de inyección de comandos, LFI y recorrido de ruta en aplicaciones web que se ejecutan en sistemas Unix. Algunos ejemplos incluyen patrones como `echo $HOME` y `echo $PATH`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`  | 
| UNIXShellCommandsVariables\$1BODY |  Inspecciona el cuerpo de la solicitud en busca de intentos de explotar las vulnerabilidades de inyección de comandos, LFI y recorrido de ruta en aplicaciones web que se ejecutan en sistemas Unix. Algunos ejemplos incluyen patrones como `echo $HOME` y `echo $PATH`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body`  | 
| UNIXShellCommandsVariables\$1HEADER |  Inspecciona todos lo encabezados de la solicitud en busca de intentos de explotar las vulnerabilidades de inyección de comandos, LFI y recorrido de ruta en aplicaciones web que se ejecutan en sistemas Unix. Algunos ejemplos incluyen patrones como `echo $HOME` y `echo $PATH`.  Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para administrar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header`  | 

## grupo de reglas administradas para el sistema operativo Windows
<a name="aws-managed-rule-groups-use-case-windows-os"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesWindowsRuleSet`, WCU: 200

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

El grupo de reglas del sistema operativo Windows contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas de Windows, como la ejecución remota de PowerShell comandos. Este puede ayudar a evitar la explotación de vulnerabilidades que permiten a un atacante ejecutar comandos no autorizados o ejecutar código malintencionado. Valore este grupo de reglas si alguna parte de la aplicación se ejecuta en un sistema operativo Windows.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en el paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| WindowsShellCommands\$1COOKIE |  Inspecciona los encabezados de las cookies de las solicitudes para detectar intentos de inyección de WindowsShell comandos en aplicaciones web. Los patrones de coincidencia representan WindowsShell comandos. Los patrones de ejemplo incluyen `\|\|nslookup` y `;cmd`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie`   | 
| WindowsShellCommands\$1QUERYARGUMENTS |  Inspecciona los valores de todos los parámetros de consulta para detectar intentos de inyección de WindowsShell comandos en aplicaciones web. Los patrones de coincidencia representan WindowsShell comandos. Los patrones de ejemplo incluyen `\|\|nslookup` y `;cmd`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments`   | 
| WindowsShellCommands\$1BODY |  Inspecciona el cuerpo de la solicitud para detectar intentos de inyección de WindowsShell comandos en aplicaciones web. Los patrones de coincidencia representan WindowsShell comandos. Los patrones de ejemplo incluyen `\|\|nslookup` y `;cmd`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:WindowsShellCommands_Body`   | 
| PowerShellCommands\$1COOKIE |  Inspecciona los encabezados de las cookies de solicitud para detectar intentos de inyección de PowerShell comandos en aplicaciones web. Los patrones de coincidencia representan PowerShell comandos. Por ejemplo, `Invoke-Expression`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie`  | 
| PowerShellCommands\$1QUERYARGUMENTS |  Inspecciona los valores de todos los parámetros de consulta para detectar intentos de inyección de PowerShell comandos en aplicaciones web. Los patrones de coincidencia representan PowerShell comandos. Por ejemplo, `Invoke-Expression`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments`  | 
| PowerShellCommands\$1BODY |  Inspecciona el cuerpo de la solicitud para detectar intentos de inyección de PowerShell comandos en aplicaciones web. Los patrones de coincidencia representan PowerShell comandos. Por ejemplo, `Invoke-Expression`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:PowerShellCommands_Body`   | 

## grupo de reglas administradas de la aplicación PHP
<a name="aws-managed-rule-groups-use-case-php-app"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesPHPRuleSet`, WCU: 100

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas para el uso del lenguaje de programación PHP, como la inyección de funciones PHP poco seguras. Este puede ayudar a evitar la explotación de vulnerabilidades que permiten a un atacante ejecutar de forma remota código o comandos sin autorización. Evalúe este grupo de reglas si PHP está instalado en cualquier servidor con el que interactúe su aplicación.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| PHPHighRiskMethodsVariables\$1HEADER |  Inspecciona todos los encabezados para buscar los intentos de inyección de código de script PHP. Los patrones de ejemplo incluyen funciones como `fsockopen` y la variable superglobal `$_GET`.  Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para gestionar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header`  | 
| PHPHighRiskMethodsVariables\$1QUERYSTRING |  Inspecciona todo lo que aparece después del primer `?` en la URL de la solicitud y busca intentos de inyección de código en un script PHP. Los patrones de ejemplo incluyen funciones como `fsockopen` y la variable superglobal `$_GET`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString`  | 
| PHPHighRiskMethodsVariables\$1BODY |  Inspecciona los valores del cuerpo de la solicitud para los intentos de inyección de código de script PHP. Los patrones de ejemplo incluyen funciones como `fsockopen` y la variable superglobal `$_GET`.  Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body`  | 
| PHPHighRiskMethodsVariables\$1URIPATH |  Inspecciona la ruta de solicitud para detectar intentos de inyección de código de script PHP. Los patrones de ejemplo incluyen funciones como `fsockopen` y la variable superglobal `$_GET`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath`  | 

## WordPress grupo de reglas gestionado por la aplicación
<a name="aws-managed-rule-groups-use-case-wordpress-app"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesWordPressRuleSet`, WCU: 100

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

El grupo de reglas de la WordPress aplicación contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas de los WordPress sitios. Si está corriendo, debe evaluar este grupo de reglasWordPress. Este grupo de reglas debe utilizarse junto con los grupos de reglas [Base de datos SQL](#aws-managed-rule-groups-use-case-sql-db) y [Aplicaciones PHP](#aws-managed-rule-groups-use-case-php-app).

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| WordPressExploitableCommands\$1QUERYSTRING |  Inspecciona la cadena de consulta de la solicitud para detectar WordPress comandos de alto riesgo que puedan explotarse en instalaciones o complementos vulnerables. Ejemplos de patrones incluyen comandos como `do-reset-wordpress`.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING`  | 
| WordPressExploitablePaths\$1URIPATH |  Inspecciona la ruta del URI de la solicitud en busca de WordPress archivos como `xmlrpc.php` los que se sabe que tienen vulnerabilidades que se pueden explotar fácilmente.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH`  | 

# Grupos de reglas de reputación de IP
<a name="aws-managed-rule-groups-ip-rep"></a>

Estos grupos bloquean solicitudes en función de su dirección IP de origen. 

**nota**  
Estas reglas utilizan la dirección IP de origen del origen de la solicitud web. Si el tráfico pasa por uno o más proxies o equilibradores de carga, el origen de la solicitud web contendrá la dirección del último proxy y no la dirección de origen del cliente. 

Elija uno o más de estos grupos de reglas si quiere reducir su exposición al tráfico de bots o los intentos de explotación o si está aplicando restricciones geográficas a su contenido. Para obtener información sobre la administración de bots, consulte también [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).

Los grupos de reglas de esta categoría no proporcionan notificaciones de control de versiones ni de actualizaciones de SNS. 

## grupo de reglas administradas con lista de reputación de IP de Amazon
<a name="aws-managed-rule-groups-ip-rep-amazon"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesAmazonIpReputationList`, WCU: 25

**nota**  
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores malintencionados lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

El grupo de reglas de la lista de reputación de IP de Amazon contiene reglas basadas en la inteligencia de amenazas interna de Amazon. Es útil si quiere bloquear direcciones IP normalmente asociadas a bots u otras amenazas. El bloqueo de estas direcciones IP puede ayudar a mitigar los bots y a reducir el riesgo de que un actor malintencionado descubra una aplicación vulnerable.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| AWSManagedIPReputationList |  Inspecciona las direcciones IP que se hayan identificado como implicadas activamente en actividades maliciosas. AWS WAF recopila la lista de direcciones IP de varias fuentes MadPot, incluida una herramienta de inteligencia de amenazas que Amazon utiliza para proteger a los clientes de la ciberdelincuencia. Para obtener más información al respecto MadPot, consulte[https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList`  | 
| AWSManagedReconnaissanceList |  Inspecciona las conexiones de las direcciones IP que realizan un reconocimiento de los recursos de AWS .  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList`  | 
| AWSManagedIPDDoSList |  Inspecciona las direcciones IP que se hayan identificado como activas en las actividades DDo de S.  Acción de la regla: Count Etiqueta: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList`  | 

## grupo de reglas administradas con lista de direcciones IP anónimas
<a name="aws-managed-rule-groups-ip-rep-anonymous"></a>

VendorName:`AWS`, Nombre:`AWSManagedRulesAnonymousIpList`, WCU: 50

**nota**  
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores malintencionados lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

El grupo de reglas de lista de IP anónimas contiene reglas para bloquear las solicitudes de los servicios que permiten ocultar la identidad del visor. Estas incluyen solicitudes de servidores proxyVPNs, nodos de Tor y proveedores de alojamiento web. Este grupo de reglas resulta útil si desea filtrar los lectores que podrían intentar ocultar su identidad en la aplicación. El bloqueo de las direcciones IP de estos servicios puede ayudar a mitigar los bots y la evasión de restricciones geográficas.

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en tu paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| AnonymousIPList |  Inspecciona una lista de direcciones IP de orígenes conocidos para anonimizar la información del cliente, como nodos TOR, proxies temporales y otros servicios de enmascaramiento.  Acción de la regla: Block Etiqueta: `awswaf:managed:aws:anonymous-ip-list:AnonymousIPList`  | 
| HostingProviderIPList | Inspecciona la lista de direcciones IP de proveedores de alojamiento web y nube, que tienen menos probabilidades de generar tráfico de usuario final. La lista de IP no incluye direcciones AWS IP. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` | 

# AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude
<a name="aws-managed-rule-groups-acfp"></a>

En esta sección se explica qué hace el AWS WAF grupo de reglas gestionado por el Control de Fraude para la creación de cuentas y prevención del fraude (ACFP).

VendorName:`AWS`, Nombre:`AWSManagedRulesACFPRuleSet`, WCU: 50

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

La Oficina de Prevención del AWS WAF Fraude para la creación de cuentas (ACFP, por sus siglas en inglés) gestionó los grupos de reglas para etiquetar y gestionar las solicitudes que podrían formar parte de intentos fraudulentos de creación de cuentas. Para ello, el grupo de reglas inspecciona las solicitudes de creación de cuentas que los clientes envían a los puntos de conexión de registro y creación de cuentas de la aplicación. 

El grupo de reglas de la ACFP inspecciona los intentos de creación de cuentas de varias maneras para ofrecerte visibilidad y control sobre posibles interacciones maliciosas. El grupo de reglas utiliza los tokens de solicitud para recopilar información sobre el navegador del cliente y sobre el nivel de interactividad humana a la hora de crear la solicitud de creación de cuentas. El grupo de reglas detecta y gestiona los intentos de creación masiva de cuentas mediante la agregación de las solicitudes por dirección IP y sesión del cliente, y por la información de la cuenta proporcionada, como la dirección física y el número de teléfono. Además, el grupo de reglas detecta y bloquea la creación de nuevas cuentas con credenciales que se han visto comprometidas, lo que ayuda a proteger la posición de seguridad de la aplicación y de los nuevos usuarios. 

## Consideraciones para usar este grupo de reglas
<a name="aws-managed-rule-groups-acfp-using"></a>

Este grupo de reglas requiere una configuración personalizada, que incluye la especificación de las rutas de registro de cuenta y creación de cuenta de la aplicación. A menos que se indique lo contrario, las reglas de este grupo de reglas inspeccionan todas las solicitudes que los clientes envían a estos dos puntos de conexión. Para configurar e implementar este grupo de reglas, consulte las instrucciones en [AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)](waf-acfp.md). 

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).

Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).

Este grupo de reglas no está disponible para su uso con grupos de usuarios de Amazon Cognito. No puede asociar un paquete de protección (ACL web) que use este grupo de reglas a un grupo de usuarios ni puede agregar este grupo de reglas a un paquete de protección (ACL web) que ya esté asociado a un grupo de usuarios.

## Etiquetas agregadas por este grupo de reglas
<a name="aws-managed-rule-groups-acfp-labels"></a>

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 

### Etiquetas de token
<a name="aws-managed-rule-groups-acfp-labels-token"></a>

Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente. 

Para obtener información sobre los tókenes y su administración, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).

**Etiqueta de sesión de cliente**  
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando. 

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiqueta de la huella digital del navegador**  
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**  
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA. 

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres: 
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token. 
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token. 

**Etiquetas de estado del token: nombres de etiquetas**  
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token: 
+ `accepted`: El token de solicitud está presente y contiene lo siguiente: 
  + Una solución válida del desafío o del CAPTCHA.
  + Una marca de tiempo vigente del desafío o del CAPTCHA.
  + Una especificación de dominio válida para el paquete de protección (ACL web). 

  Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación. 

  Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo. 
  + `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA. 
  + `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web). 
  + `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web). 
  + `rejected:invalid`— no se AWS WAF pudo leer el token indicado. 

  Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo. 

  Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token. 

### Etiquetas de ACFP
<a name="aws-managed-rule-groups-acfp-labels-rg"></a>

Este grupo de reglas genera etiquetas con el prefijo del espacio de nombres `awswaf:managed:aws:acfp:` seguido del espacio de nombres y el nombre de la etiqueta personalizados. El grupo de reglas puede agregar más de una etiqueta a una solicitud. 

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta. 

## Lista de reglas de prevención contra fraude en la creación de cuentas
<a name="aws-managed-rule-groups-acfp-rules"></a>

En esta sección se enumeran las reglas de la ACFP en `AWSManagedRulesACFPRuleSet` y las etiquetas que las reglas del grupo de reglas agrega a las solicitudes web.

Todas las reglas de este grupo de reglas requieren un token de solicitud web, excepto las dos primeras `UnsupportedCognitoIDP` y `AllRequests`. Para obtener una descripción de la información que proporciona el token, consulte [AWS WAF características del token](waf-tokens-details.md). 

A menos que se indique lo contrario, las reglas de este grupo de reglas inspeccionan todas las solicitudes que sus clientes envían a las rutas de las páginas de registro y creación de cuentas que proporcione en la configuración del grupo de reglas. Para obtener información acerca de cómo configurar este grupo de reglas, consulte [AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)](waf-acfp.md). 

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, usa el comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| UnsupportedCognitoIDP |  Inspecciona el tráfico web que se dirige a un grupo de usuarios de Amazon Cognito. La ACFP no está disponible para su uso con los grupos de usuarios de Amazon Cognito y esta regla ayuda a garantizar que las demás reglas del grupo de reglas de la ACFP no se utilicen para evaluar el tráfico del grupo de usuarios. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:unsupported:cognito_idp` y `awswaf:managed:aws:acfp:UnsupportedCognitoIDP`   | 
| AllRequests |  Aplica la acción de regla a las solicitudes que acceden a la ruta de la página de registro. La ruta de la página de registro se configura al configurar el grupo de reglas.  De forma predeterminada, esta regla aplica el Challenge a las solicitudes. Al aplicar esta acción, la regla garantiza que el cliente adquiera un token de desafío antes de que el resto de las reglas del grupo de reglas evalúen cualquier solicitud.  Asegúrese de que los usuarios finales carguen la ruta de la página de registro antes de enviar una solicitud de creación de cuenta.  Los tokens se añaden a las solicitudes mediante la integración de las aplicaciones del cliente SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para que la adquisición de los tokens sea más eficiente, le recomendamos encarecidamente que utilice la integración de aplicaciones SDKs. Para obtener más información, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md).  Acción de la regla: Challenge Etiquetas: ninguna  | 
| RiskScoreHigh |  Inspecciona las solicitudes de creación de cuentas con direcciones IP u otros factores que se consideran muy sospechosos. Por lo general, esta evaluación se basa en varios factores que contribuyen, que se pueden ver en las etiquetas `risk_score` que el grupo de reglas agrega a la solicitud. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:risk_score:high` y `awswaf:managed:aws:acfp:RiskScoreHigh`  La regla también puede aplicar etiquetas de puntuación de riesgo `medium` o `low` a la solicitud.  Si AWS WAF no consigue evaluar la puntuación de riesgo de la solicitud web, la regla añade la etiqueta `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` Además, la regla agrega etiquetas con el espacio de nombres `awswaf:managed:aws:acfp:risk_score:contributor:` que incluyen el estado de la evaluación de la puntuación de riesgo y los resultados de los contribuyentes específicos a la puntuación de riesgo, como las evaluaciones de reputación de IP y de credenciales robadas.  | 
| SignalCredentialCompromised |  Busca en la base de datos de credenciales robadas las credenciales que se enviaron en la solicitud de creación de la cuenta.  Esta regla garantiza que los nuevos clientes inicialicen sus cuentas con una postura de seguridad positiva.   Puede agregar una respuesta de bloqueo personalizada para describir el problema al usuario final e indicarle cómo proceder. Para obtener información, consulte [Ejemplo de ACFP: respuesta personalizada para credenciales comprometidas](waf-acfp-control-example-compromised-credentials.md).  Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:signal:credential_compromised` y `awswaf:managed:aws:acfp:SignalCredentialCompromised`  El grupo de reglas aplica la siguiente etiqueta relacionada, pero no realiza ninguna acción al respecto, ya que no todas las solicitudes de creación de cuentas tendrán credenciales: `awswaf:managed:aws:acfp:signal:missing_credential`  | 
| SignalClientHumanInteractivityAbsentLow |  Inspecciona el token de la solicitud de creación de la cuenta en busca de datos que indiquen una interactividad humana anómala con la aplicación. La interactividad humana se detecta mediante interacciones como los movimientos del ratón y las pulsaciones de teclas. Si la página tiene un formulario HTML, la interactividad humana incluye las interacciones con el formulario.   Esta regla solo inspecciona las solicitudes enviadas a la ruta de creación de la cuenta y solo se evalúa si has implementado la integración SDKs de la aplicación. Las implementaciones de los SDK capturan de forma pasiva la interactividad humana y almacenan la información en el token de solicitud. Para obtener más información, consulte [AWS WAF características del token](waf-tokens-details.md) y [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md).  Acción de la regla: CAPTCHA Etiquetas: ninguna. La regla determina una coincidencia según diversos factores, por lo que no existe una etiqueta individual que se aplique a todos los escenarios de coincidencia posibles. El grupo de reglas puede aplicar una o varias de las siguientes etiquetas a las solicitudes:  `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High`  `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data`  `awswaf:managed:aws:acfp:signal:form_detected`.  | 
| AutomatedBrowser |  Inspecciona en busca de indicadores de que el navegador del cliente podría estar automatizado.  Acción de la regla: Block  Etiquetas: `awswaf:managed:aws:acfp:signal:automated_browser` y `awswaf:managed:aws:acfp:AutomatedBrowser`  | 
| BrowserInconsistency |  Inspecciona el token de la solicitud para detectar datos de interrogación del navegador incoherentes. Para obtener más información, consulte [AWS WAF características del token](waf-tokens-details.md). Acción de la regla: CAPTCHA  Etiquetas: `awswaf:managed:aws:acfp:signal:browser_inconsistency` y `awswaf:managed:aws:acfp:BrowserInconsistency`  | 
| VolumetricIpHigh |  Comprueba si hay grandes volúmenes de solicitudes de creación de cuentas enviadas desde direcciones IP individuales. Un volumen elevado son más de 20 solicitudes en un período de 10 minutos.  Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la acción de regla.  Acción de la regla: CAPTCHA Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` y `awswaf:managed:aws:acfp:VolumetricIpHigh`  La regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 15 solicitudes en un intervalo de 10 minutos) y de volúmenes bajos (más de 10 solicitudes en un intervalo de 10 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` y. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`  | 
| VolumetricSessionHigh |  Inspecciona en busca de volúmenes elevados de solicitudes de creación de cuentas enviadas desde sesiones de clientes individuales. Un volumen elevado son más de 10 solicitudes en un período de 30 minutos.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` y `awswaf:managed:aws:acfp:VolumetricSessionHigh`  El grupo de regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 5 solicitudes en un intervalo de 30 minutos) y de volúmenes bajos (más de 1 solicitud en un intervalo de 30 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` y `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`.  | 
| AttributeUsernameTraversalHigh |  Comprueba si hay una alta tasa de solicitudes de creación de cuentas procedentes de una sola sesión de cliente que utilizan nombres de usuario diferentes. El límite para una evaluación alta es de más de 10 solicitudes en 30 minutos.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` y `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh`  El grupo de regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 5 solicitudes en un intervalo de 30 minutos) y de volúmenes bajos (más de 1 solicitud en un intervalo de 30 minutos) de solicitudes transversales de nombre de usuario, pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` y `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`.  | 
| VolumetricPhoneNumberHigh |  Comprueba si hay grandes volúmenes de solicitudes de creación de cuentas que utilizan el mismo número de teléfono. El límite para una evaluación alta es de más de 10 solicitudes en 30 minutos.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` y `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` El grupo de regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 5 solicitudes en un intervalo de 30 minutos) y de volúmenes bajos (más de 1 solicitud en un intervalo de 30 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` y `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`.  | 
| VolumetricAddressHigh |  Comprueba si hay grandes volúmenes de solicitudes de creación de cuentas que utilizan la misma dirección física. El umbral para una evaluación alta es más de 100 solicitudes por intervalo de 30 minutos.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high` y `awswaf:managed:aws:acfp:VolumetricAddressHigh`   | 
| VolumetricAddressLow |  Inspecciona los volúmenes bajos y medios de solicitudes de creación de cuentas que utilizan la misma dirección física. El límite para una evaluación media es de más de 50 solicitudes por intervalo de 30 minutos, y para una evaluación baja es de más de 10 solicitudes por intervalo de 30 minutos.  La regla aplica la acción a volúmenes medios o bajos.  Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: CAPTCHA Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` y `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium`   | 
| VolumetricIPSuccessfulResponse |  Comprueba si hay un gran volumen de solicitudes de creación de cuentas correctas para una sola dirección IP. Esta regla agrega las respuestas correctas del recurso protegido a las solicitudes de creación de cuentas. El umbral para una evaluación alta es más de 10 solicitudes por intervalo de 10 minutos.  Esta regla ayuda a proteger contra los intentos de creación masiva de cuentas. Tiene un umbral inferior al de la regla `VolumetricIpHigh`, que solo cuenta las solicitudes.  Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error.  Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web desde una dirección IP, en función de las respuestas correctas y fallidas del recurso protegido a los intentos de inicio de sesión recientes desde la misma dirección IP. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos.   AWS WAF solo evalúa esta regla en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones de Amazon.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de creación de cuentas satisfactorios de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` y `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse`  El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 10 minutos. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium` para más de 5 solicitudes correctas, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` para más de 1 solicitud correcta, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` para más de 5 solicitudes correctas y `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` para más de 1 solicitud correcta.   | 
| VolumetricSessionSuccessfulResponse |  Comprueba si hay un bajo volumen de respuestas satisfactorias del recurso protegido a las solicitudes de creación de cuentas que se envían desde una sola sesión de cliente. Esto ayuda a proteger contra los intentos de creación masiva de cuentas. El umbral para una evaluación baja es más de 1 solicitud por intervalo de 30 minutos.  Esto ayuda a proteger contra los intentos de creación masiva de cuentas. Esta regla usa un umbral inferior al de la regla `VolumetricSessionHigh`, que solo rastrea las solicitudes.  Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o fracaso.  Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web de una sesión de cliente, basándose en las respuestas de éxito y fracaso del recurso protegido a los intentos de inicio de sesión recientes de la misma sesión de cliente. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos.   AWS WAF solo evalúa esta regla en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones de Amazon.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de creación de cuentas fallidos de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` y `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse`  El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes. Todos los recuentos son para un período de 30 minutos. `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` para más de 5 solicitud correcta, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` para más de 10 solicitudes fallidas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` para más de 5 solicitudes fallidas y `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` para más de 1 solicitud fallida.   | 
| VolumetricSessionTokenReuseIp |  Inspecciona las solicitudes de creación de cuentas para detectar el uso de un único token entre más de 5 direcciones IP distintas.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` y `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp`  | 

# AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude
<a name="aws-managed-rule-groups-atp"></a>

En esta sección se explica qué hace el grupo de reglas gestionado para la prevención de la apropiación de cuentas (ATP) para el Control del AWS WAF Fraude.

VendorName:`AWS`, Nombre:`AWSManagedRulesATPRuleSet`, WCU: 50

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

El sistema de prevención de apropiación de cuentas (ATP) del Control de AWS WAF Fraude gestionaba las etiquetas de los grupos de reglas y gestionaba las solicitudes que pudieran ser parte de intentos malintencionados de apropiación de cuentas. Para ello, el grupo de reglas inspecciona los intentos de inicio de sesión que los clientes envían al punto de conexión de inicio de sesión de la aplicación. 
+ **Inspección de solicitudes**: la ATP le permite ver y controlar los intentos de inicio de sesión anómalos y los intentos de inicio de sesión que utilizan credenciales robadas con el fin de evitar la apropiación de cuentas que pueda dar lugar a actividades fraudulentas. La ATP comprueba las combinaciones de correo electrónico y contraseña con su base de datos de credenciales robadas, que se actualiza periódicamente a medida que se descubren nuevas credenciales filtradas en la web oscura. La ATP agrega los datos por dirección IP y sesión de cliente para detectar y bloquear a los clientes que envían demasiadas solicitudes de naturaleza sospechosa. 
+ **Inspección de respuestas**: en el caso de CloudFront las distribuciones, además de inspeccionar las solicitudes de inicio de sesión entrantes, el grupo de reglas de la ATP inspecciona las respuestas de la aplicación a los intentos de inicio de sesión para hacer un seguimiento de las tasas de éxito y fracaso. Con esta información, la ATP puede bloquear temporalmente las sesiones de los clientes o las direcciones IP que tengan demasiados errores de inicio de sesión. AWS WAF realiza una inspección de las respuestas de forma asíncrona, por lo que no aumenta la latencia del tráfico web. 

## Consideraciones para usar este grupo de reglas
<a name="aws-managed-rule-groups-atp-using"></a>

Este grupo de reglas requiere una configuración específica. Para configurar e implementar este grupo de reglas, consulte las instrucciones en [AWS WAF Control de fraudes y prevención de apropiación de cuentas (ATP)](waf-atp.md). 

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).

Este grupo de reglas no está disponible para su uso con grupos de usuarios de Amazon Cognito. No puede asociar un paquete de protección (ACL web) que use este grupo de reglas a un grupo de usuarios ni puede agregar este grupo de reglas a un paquete de protección (ACL web) que ya esté asociado a un grupo de usuarios.

## Etiquetas agregadas por este grupo de reglas
<a name="aws-managed-rule-groups-atp-labels"></a>

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 

### Etiquetas de token
<a name="aws-managed-rule-groups-atp-labels-token"></a>

Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente. 

Para obtener información sobre los tókenes y su administración, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).

**Etiqueta de sesión de cliente**  
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando. 

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiqueta de la huella digital del navegador**  
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**  
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA. 

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres: 
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token. 
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token. 

**Etiquetas de estado del token: nombres de etiquetas**  
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token: 
+ `accepted`: El token de solicitud está presente y contiene lo siguiente: 
  + Una solución válida del desafío o del CAPTCHA.
  + Una marca de tiempo vigente del desafío o del CAPTCHA.
  + Una especificación de dominio válida para el paquete de protección (ACL web). 

  Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación. 

  Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo. 
  + `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA. 
  + `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web). 
  + `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web). 
  + `rejected:invalid`— no se AWS WAF pudo leer el token indicado. 

  Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo. 

  Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token. 

### Etiquetas de ATP
<a name="aws-managed-rule-groups-atp-labels-rg"></a>

Este grupo de reglas administradas por ATP genera etiquetas con el prefijo del espacio de nombres `awswaf:managed:aws:atp:` seguido del espacio de nombres y el nombre de la etiqueta personalizados. 

El grupo de reglas puede agregar cualquiera de las siguientes etiquetas además de las que aparecen en la lista de reglas:
+ `awswaf:managed:aws:atp:signal:credential_compromised`: indica que las credenciales que se enviaron en la solicitud se encuentran en la base de datos de credenciales robadas. 
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint`— Disponible solo para CloudFront distribuciones protegidas de Amazon. Indica que la sesión de un cliente ha enviado varias solicitudes que utilizaban una huella digital de TLS sospechosa. 
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip`: indica el uso de un único token entre más de 5 direcciones IP distintas. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la etiqueta. 

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta. 

## Lista de reglas de prevención de apropiación de cuentas
<a name="aws-managed-rule-groups-atp-rules"></a>

En esta sección se enumeran las reglas de la ATP en `AWSManagedRulesATPRuleSet` y las etiquetas que las reglas del grupo de reglas agrega a las solicitudes web.

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, usa el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 


| Nombre de la regla | Descripción y etiqueta | 
| --- | --- | 
| UnsupportedCognitoIDP | Inspecciona el tráfico web que se dirige a un grupo de usuarios de Amazon Cognito. La ACFP no está disponible para su uso con los grupos de usuarios de Amazon Cognito y esta regla ayuda a garantizar que las demás reglas del grupo de reglas de la ATP no se utilicen para evaluar el tráfico del grupo de usuarios. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:unsupported:cognito_idp` y `awswaf:managed:aws:atp:UnsupportedCognitoIDP`   | 
| VolumetricIpHigh | Inspecciona en busca de altos volúmenes de solicitudes enviadas desde direcciones IP individuales. Un volumen elevado son más de 20 solicitudes en un período de 10 minutos.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la acción de regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` y `awswaf:managed:aws:atp:VolumetricIpHigh`  El grupo de reglas aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 15 solicitudes en un intervalo de 10 minutos) y de volúmenes bajos (más de 10 solicitudes en un intervalo de 10 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` y `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`. | 
| VolumetricSession |  Inspecciona los grandes volúmenes de solicitudes enviadas desde las sesiones individuales de los clientes. El umbral es de más de 20 solicitudes por período de 30 minutos.  Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y las acciones de las reglas CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).  Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:volumetric:session` y `awswaf:managed:aws:atp:VolumetricSession`   | 
| AttributeCompromisedCredentials |  Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan credenciales robadas.  Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` y `awswaf:managed:aws:atp:AttributeCompromisedCredentials`   | 
| AttributeUsernameTraversal |  Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan el nombre de usuario transversal.  Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal` y `awswaf:managed:aws:atp:AttributeUsernameTraversal`   | 
| AttributePasswordTraversal |  Comprueba si hay varias solicitudes con el mismo nombre de usuario que utilizan la contraseña transversal.  Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal` y `awswaf:managed:aws:atp:AttributePasswordTraversal`   | 
| AttributeLongSession |  Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan sesiones largas. El umbral es de más de 6 horas de tráfico con al menos una solicitud de inicio de sesión cada 30 minutos. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:attribute:long_session` y `awswaf:managed:aws:atp:AttributeLongSession`   | 
| TokenRejected |  Inspecciona las solicitudes con tokens que son rechazadas por la administración de AWS WAF tokens.  Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: Block Etiquetas: ninguna. Para comprobar si se ha rechazado el token, utilice una regla de coincidencia de etiquetas para que coincida con la etiqueta: `awswaf:managed:token:rejected`.   | 
| SignalMissingCredential |  Inspecciona las solicitudes con credenciales a las que les falte el nombre de usuario o la contraseña.  Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:signal:missing_credential` y `awswaf:managed:aws:atp:SignalMissingCredential`   | 
| VolumetricIpFailedLoginResponseHigh |  Comprueba si hay direcciones IP que hayan originado recientemente una tasa demasiado alta de intentos fallidos de inicio de sesión. Un volumen elevado son más de 10 solicitudes de inicio de sesión fallidas desde una dirección IP en un período de 10 minutos.  Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error.  Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web desde una dirección IP, en función de las respuestas correctas y fallidas del recurso protegido a los intentos de inicio de sesión recientes desde la misma dirección IP. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos.   AWS WAF solo evalúa esta regla en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones de Amazon.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de inicio de sesión de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores.   Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` y `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh`  El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 10 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium` para más de 5 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` para más de 1 solicitud fallida, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` para más de 5 solicitudes correctas y `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` para más de 1 solicitud correcta.   | 
| VolumetricSessionFailedLoginResponseHigh |  Comprueba si hay sesiones de cliente que hayan originado recientemente una tasa demasiado alta de intentos de inicio de sesión fallidos. Un volumen elevado son más de 10 solicitudes de inicio de sesión fallidas desde una sesión de cliente en un período de 30 minutos.  Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o fracaso.  Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web de una sesión de cliente, basándose en las respuestas de éxito y fracaso del recurso protegido a los intentos de inicio de sesión recientes de la misma sesión de cliente. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos.   AWS WAF solo evalúa esta regla en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones de Amazon.   Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de inicio de sesión de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores.   Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones CAPTCHA de la regla y. Challenge Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` y `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh`  El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 30 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium` para más de 5 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` para más de 1 solicitud fallida, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` para más de 5 solicitudes correctas y `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` para más de 1 solicitud correcta.   | 

# AWS WAF Grupo de reglas de control de bots
<a name="aws-managed-rule-groups-bot"></a>

En esta sección se explica lo que hace el grupo de reglas administradas de control de bots.

VendorName:`AWS`, Nombre:, WCU: `AWSManagedRulesBotControlRuleSet` 50

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita solicitar una nueva clasificación de bots para el Control de bots o necesita información adicional que no se incluya aquí, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).

El grupo de reglas administradas de control de bots proporciona reglas que gestionan las solicitudes de los bots. Los bots pueden consumir un exceso de recursos, distorsionar las métricas empresariales, provocar tiempos de inactividad y realizar actividades malintencionadas. 

## Niveles de protección
<a name="aws-managed-rule-groups-bot-prot-levels"></a>

El grupo de reglas administradas de control de bots ofrece dos niveles de protección entre los que puede elegir: 
+ **Común**: detecta una variedad de bots que se identifican a sí mismos, como los sistemas de rastreo web, los motores de búsqueda y los navegadores automatizados. Las protecciones de control de bots de este nivel identifican los bots más comunes mediante técnicas tradicionales de detección de bots, como el análisis de datos de solicitudes estáticas. Las reglas etiquetan el tráfico de estos bots y bloquean los que no pueden verificar. 
+ **Objetivo**: incluye las protecciones de nivel común y añade una detección dirigida para los bots sofisticados que no se identifican a sí mismos. Las protecciones específicas mitigan la actividad de los bots mediante una combinación de límites de tasas, CAPTCHA y desafíos relacionados con el navegador en segundo plano. 
  + **`TGT_`**: las reglas que proporcionan una protección específica tienen nombres que comienzan por `TGT_`. Todas las protecciones específicas utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado. 
  + **`TGT_ML_`**: las reglas de protección específicas que utilizan el machine learning tienen nombres que comienzan por `TGT_ML_`. Estas reglas utilizan un análisis automatizado y de aprendizaje automático de las estadísticas de tráfico de sitios web para detectar comportamientos anómalos indicativos de una actividad de bots distribuida y coordinada. AWS WAF analiza las estadísticas sobre el tráfico de su sitio web, como las marcas horarias, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de aprendizaje automático de Bot Control. Las capacidades de machine learning están habilitadas de forma predeterminada, pero puede deshabilitarlas en la configuración de su grupo de reglas. Cuando el aprendizaje automático está desactivado, AWS WAF no evalúa estas reglas. 

Tanto el nivel de protección objetivo como la declaración de reglas AWS WAF basada en la velocidad proporcionan una limitación de la velocidad. Para ver una comparación de las dos opciones, consulte [Opciones para limitar las tasas en las reglas basadas en tasas y en las reglas específicas de control de bots](waf-rate-limiting-options.md).

## Consideraciones para utilizar este grupo de reglas
<a name="aws-managed-rule-groups-bot-using"></a>

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).

Actualizamos periódicamente nuestros modelos de machine learning (ML) para adaptarlos a las reglas basadas en ML con el nivel de protección específico, a fin de mejorar las predicciones de los bots. Las reglas basadas en ML tienen nombres que comienzan con `TGT_ML_`. Si observa un cambio repentino y sustancial en las predicciones de los bots según estas reglas, contáctenos a través de su administrador de cuentas o abra un caso en el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

## Etiquetas agregadas por este grupo de reglas
<a name="aws-managed-rule-groups-bot-labels"></a>

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 

### Etiquetas de token
<a name="aws-managed-rule-groups-bot-labels-token"></a>

Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente. 

Para obtener información sobre los tókenes y su administración, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).

**Etiqueta de sesión de cliente**  
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando. 

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiqueta de la huella digital del navegador**  
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**  
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA. 

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres: 
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token. 
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token. 

**Etiquetas de estado del token: nombres de etiquetas**  
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token: 
+ `accepted`: El token de solicitud está presente y contiene lo siguiente: 
  + Una solución válida del desafío o del CAPTCHA.
  + Una marca de tiempo vigente del desafío o del CAPTCHA.
  + Una especificación de dominio válida para el paquete de protección (ACL web). 

  Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación. 

  Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo. 
  + `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA. 
  + `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web). 
  + `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web). 
  + `rejected:invalid`— no se AWS WAF pudo leer el token indicado. 

  Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo. 

  Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token. 

### Etiquetas de control de bots
<a name="aws-managed-rule-groups-bot-labels-rg"></a>

Este grupo de reglas administradas para control de bots genera etiquetas con el prefijo del espacio de nombres `awswaf:managed:aws:bot-control:` seguido del espacio de nombres y el nombre de la etiqueta personalizados. El grupo de reglas puede agregar más de una etiqueta a una solicitud. 

Cada etiqueta refleja los resultados de la regla de control de bots: 
+ `awswaf:managed:aws:bot-control:bot:`: información sobre el bot asociado a la solicitud. 
  + `awswaf:managed:aws:bot-control:bot:name:<name>`: el nombre del bot, si hay alguno disponible, por ejemplo, los espacios de nombres personalizados `bot:name:slurp`, `bot:name:googlebot` y `bot:name:pocket_parser`. 
  + `awswaf:managed:aws:bot-control:bot:name:<rfc_name>`— Identifica el bot específico mediante el token de producto RFC de la firma de la AMB. Se utiliza para crear reglas personalizadas granulares para bots específicos. Por ejemplo, permite `GoogleBot` pero limita la frecuencia de otros rastreadores. 
  + `awswaf:managed:aws:bot-control:bot:category:<category>`— La categoría del bot, tal como se define, por ejemplo AWS WAF, en y. `bot:category:search_engine` `bot:category:content_fetcher` 
  + `awswaf:managed:aws:bot-control:bot:account:<hash>`—Solo para bots que usen Amazon Bedrock Agent Core. Esta etiqueta contiene un hash opaco que identifica de forma exclusiva la AWS cuenta propietaria del agente. Usa esta etiqueta para crear reglas personalizadas que permitan, bloqueen o limiten la frecuencia de los bots de AWS cuentas específicas sin exponer la cuenta IDs en los registros.
  + `awswaf:managed:aws:bot-control:bot:web_bot_auth:<status>`— Se aplica cuando se realiza la validación de la autenticación de bots web (WBA) en respuesta a una solicitud. El sufijo de estado indica el resultado de la verificación:
    + `web_bot_auth:verified`— La firma se validó correctamente en el directorio de claves públicas
    + `web_bot_auth:invalid`— La firma está presente, pero la validación criptográfica ha fallado
    + `web_bot_auth:expired`— La firma utilizó una clave criptográfica caducada
    + `web_bot_auth:unknown_bot`— El identificador de clave no se encuentra en el directorio de claves
**nota**  
Cuando la `web_bot_auth:verified` etiqueta está presente, las `TGT_TokenAbsent` reglas `CategoryAI` y no coinciden, lo que permite que los hosts WBA verificados puedan continuar.
  + `awswaf:managed:aws:bot-control:bot:organization:<organization>`: el publicador del bot, por ejemplo, `bot:organization:google`. 
  + `awswaf:managed:aws:bot-control:bot:verified`: se utiliza para indicar un bot que se identifica y que el control de bots ha podido verificar. Se usa para los bots más habituales y deseables, y puede resultar útil si se combina con etiquetas de categorías como `bot:category:search_engine` o etiquetas de nombres como `bot:name:googlebot`. 
**nota**  
El control de bots usa la dirección IP del origen de la solicitud web para ayudar a determinar si un bot está verificado. No puede configurarlo para que utilice la configuración IP reenviada de AWS WAF para inspeccionar el origen de direcciones IP diferente. Si ha verificado que los bots se enrutan a través de un proxy o un equilibrador de carga, puede agregar una regla que se ejecute antes que el grupo de reglas de control de bots para ayudarlo a solucionar este problema. Configura su nueva regla para usar la dirección IP reenviada y permitir de forma explícita las solicitudes de los bots verificados. Para obtener información acerca de usar direcciones IP reenviadas, consulte [Uso de direcciones IP reenviadas en AWS WAF](waf-rule-statement-forwarded-ip-address.md).
  + `awswaf:managed:aws:bot-control:bot:vendor:<vendor_name>`— Identifica al proveedor u operador de un bot verificado. Actualmente solo está disponible para Agentcore. Úselo para crear reglas personalizadas que permitan o bloqueen a proveedores de bots específicos, independientemente de los nombres de los bots individuales.
  + `awswaf:managed:aws:bot-control:bot:user_triggered:verified`: se utiliza para indicar un bot similar a un bot verificado, pero que los usuarios finales pueden invocar directamente. Las reglas de control de bots consideran que esta categoría de bot es un bot no verificado. 
  + `awswaf:managed:aws:bot-control:bot:developer_platform:verified`: se utiliza para indicar un bot similar a un bot verificado, pero que utiliza las plataformas de desarrolladores para crear scripts, por ejemplo, Google Apps Script. Las reglas de control de bots consideran que esta categoría de bot es un bot no verificado. 
  + `awswaf:managed:aws:bot-control:bot:unverified`: se usa para indicar un bot que se identifica a sí mismo, por lo que se le puede nombrar y clasificar, pero no publica información que pueda usarse para verificar su identidad de forma independiente. Estos tipos de firmas de bots se pueden falsificar y, por lo tanto, se consideran no verificadas. 
+ `awswaf:managed:aws:bot-control:targeted:<additional-details> `: se utiliza para etiquetas específicas de las protecciones específicas de control de bots. 
+ `awswaf:managed:aws:bot-control:signal:<signal-details>` y `awswaf:managed:aws:bot-control:targeted:signal:<signal-details> `: se utilizan para proporcionar información adicional sobre la solicitud en algunas situaciones. 

  Los siguientes son ejemplos de etiquetas de señal. No es una lista exhaustiva:
  + `awswaf:managed:aws:bot-control:signal:cloud_service_provider:<CSP>`: indica un proveedor de servicios en la nube (CSP) para la solicitud. Algunos ejemplos CSPs son la infraestructura `aws` de Amazon Web Services, la infraestructura `gcp` de Google Cloud Platform (GCP), `azure` los servicios en la nube de Microsoft Azure y `oracle` los servicios de Oracle Cloud. 
  + `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`: Indica la detección de una extensión del navegador que ayuda con la automatización, como Selenium IDE. 

    Esta etiqueta se agrega cada vez que un usuario tiene este tipo de extensión instalada, incluso si no la está utilizando activamente. Si implementa una regla de coincidencia de etiquetas para ello, tenga en cuenta la posibilidad de que se produzcan falsos positivos en la lógica de la regla y en la configuración de las acciones. Por ejemplo, puede utilizar una acción CAPTCHA en lugar de Block, o puede combinarla con otras coincidencias de etiquetas para aumentar su confianza de que se está utilizando la automatización.
  + `awswaf:managed:aws:bot-control:signal:automated_browser`: indica que la solicitud contiene indicadores de que el navegador del cliente podría estar automatizado.
  + `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`— Indica que el AWS WAF token de la solicitud contiene indicadores de que el navegador del cliente podría estar automatizado.

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta. 

El grupo de reglas administradas de control de bots aplica etiquetas a un conjunto de bots verificables que suelen estar permitidos. El grupo de reglas no bloquea estos bots verificados. Si lo desea, puede bloquearlos o bloquear un subconjunto de ellos escribiendo una regla personalizada que utilice las etiquetas aplicadas por el grupo de reglas administradas de control de bots. Para obtener más información acerca de esto y ver ejemplos, consulte [AWS WAF Control de bots](waf-bot-control.md).

## Listado de reglas de control de bots
<a name="aws-managed-rule-groups-bot-rules"></a>

En esta sección se enumeran las reglas de control de bots.

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita solicitar una nueva clasificación de bots para el Control de bots o necesita información adicional que no se incluya aquí, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).


| Nombre de la regla | Description (Descripción) | 
| --- | --- | 
| CategoryAdvertising |  Inspecciona los bots que se utilizan con fines publicitarios. Por ejemplo, puede utilizar servicios de publicidad de terceros que necesiten acceder a su sitio web mediante programación.  Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:advertising` y `awswaf:managed:aws:bot-control:CategoryAdvertising`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryArchiver |  Inspecciona los bots que se utilizan con fines de archivo. Estos bots rastrean la web y capturan contenido con el fin de crear archivos. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:archiver` y `awswaf:managed:aws:bot-control:CategoryArchiver`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryContentFetcher |  Comprueba si hay bots que visiten el sitio web de la aplicación en nombre de un usuario, para buscar contenido, como fuentes RSS, o para verificar o validar su contenido.  Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:content_fetcher` y `awswaf:managed:aws:bot-control:CategoryContentFetcher`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryEmailClient |  Comprueba si hay bots que verifiquen los enlaces de los correos electrónicos que llevan al sitio web de la aplicación. Esto puede incluir bots gestionados por empresas y proveedores de correo electrónico para verificar los enlaces de los correos electrónicos y detectar los correos sospechosos. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:email_client` y `awswaf:managed:aws:bot-control:CategoryEmailClient`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryHttpLibrary |  Inspecciona las solicitudes generadas por los bots desde las bibliotecas HTTP de varios lenguajes de programación. Estas pueden incluir solicitudes de API que decidas permitir o supervisar. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:http_library` y `awswaf:managed:aws:bot-control:CategoryHttpLibrary`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryLinkChecker |  Inspecciona los bots que comprueban si hay enlaces rotos.  Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:link_checker` y `awswaf:managed:aws:bot-control:CategoryLinkChecker`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMiscellaneous |  Inspecciona varios bots que no coinciden con otras categorías.  Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:miscellaneous` y `awswaf:managed:aws:bot-control:CategoryMiscellaneous`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMonitoring |  Inspecciona los bots que se utilizan con fines de monitorización. Por ejemplo, puede usar servicios de monitorización de bots que hagan ping periódicamente al sitio web de su aplicación para monitorizar aspectos como el rendimiento y el tiempo de actividad. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:monitoring` y `awswaf:managed:aws:bot-control:CategoryMonitoring`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryPagePreview |  Comprueba si hay bots que generen vistas previas de páginas y vistas previas de enlaces cuando el contenido se comparte en plataformas de mensajería, redes sociales o herramientas de colaboración. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:page_preview` y `awswaf:managed:aws:bot-control:CategoryPagePreview`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryScrapingFramework |  Inspecciona los bots en los sistemas de rastreo web, que se utilizan para automatizar el rastreo y la extracción de contenido de los sitios web.  Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:scraping_framework` y `awswaf:managed:aws:bot-control:CategoryScrapingFramework`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySearchEngine |  Inspecciona los bots de los motores de búsqueda, que rastrean los sitios web para indexar el contenido y hacer que la información esté disponible para los resultados de los motores de búsqueda. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:search_engine` y `awswaf:managed:aws:bot-control:CategorySearchEngine`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySecurity |  Inspecciona los bots que escanean las aplicaciones web en busca de vulnerabilidades o que realizan auditorías de seguridad. Por ejemplo, puede utilizar un proveedor de seguridad externo que escanee, supervise o audite la seguridad de su aplicación web. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:security` y `awswaf:managed:aws:bot-control:CategorySecurity`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySeo |  Inspecciona los bots que se utilizan para la optimización de motores de búsqueda. Por ejemplo, puede usar herramientas de motores de búsqueda que rastreen su sitio para ayudarlo a mejorar su posicionamiento entre los motores de búsqueda.  Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:seo` y `awswaf:managed:aws:bot-control:CategorySeo`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySocialMedia |  Inspecciona los bots que utilizan las plataformas de redes sociales para proporcionar resúmenes de contenido cuando los usuarios comparten su contenido. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:social_media` y `awswaf:managed:aws:bot-control:CategorySocialMedia`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryWebhooks |  Comprueba si hay bots que envíen notificaciones y actualizaciones de datos automatizadas de una aplicación a otra mediante llamadas HTTP. Acción de regla; se aplica solo a los bots no verificados: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:webhooks` y `awswaf:managed:aws:bot-control:CategoryWebhooks`  En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryAI |  Inspecciona los bots de inteligencia artificial (IA).  Esta regla aplica la acción a todas las coincidencias, independientemente de si los bots están verificados o no. Acción de la regla: Block  Etiquetas: `awswaf:managed:aws:bot-control:bot:category:ai` y `awswaf:managed:aws:bot-control:CategoryAI`  En el caso de los bots verificados, el grupo de reglas cumple con esta regla y realiza una acción. Además, agrega el nombre del bot y el etiquetado de la categoría, el etiquetado de las reglas y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`.   | 
| SignalAutomatedBrowser |  Inspecciona solicitudes que no son de bots verificados en busca de indicadores de que el navegador del cliente podría estar automatizado. Se pueden usar navegadores automatizados para probar o rastrear. Por ejemplo, puede utilizar estos tipos de navegadores para monitorizar o verificar el sitio web de su aplicación. Acción de la regla: Block  Etiquetas: `awswaf:managed:aws:bot-control:signal:automated_browser` y `awswaf:managed:aws:bot-control:SignalAutomatedBrowser`  En el caso de los bots verificados, el grupo de reglas no coincide con esta regla y no aplica ninguna etiqueta de señal o regla.  | 
| SignalKnownBotDataCenter |  Inspecciona las solicitudes que no son de bots verificados de los centros de datos que suelen utilizar los bots.  Acción de la regla: Block  Etiquetas: `awswaf:managed:aws:bot-control:signal:known_bot_data_center` y `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter`  En el caso de los bots verificados, el grupo de reglas no coincide con esta regla y no aplica ninguna etiqueta de señal o regla.  | 
| SignalNonBrowserUserAgent |  Inspecciona las solicitudes que no son de bots verificados para las cadenas de los agentes de usuario que no parecen provenir de un navegador web. Esta categoría puede incluir solicitudes API.  Acción de la regla: Block  Etiquetas: `awswaf:managed:aws:bot-control:signal:non_browser_user_agent` y `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent`  En el caso de los bots verificados, el grupo de reglas no coincide con esta regla y no aplica ninguna etiqueta de señal o regla.  | 
| TGT\$1VolumetricIpTokenAbsent |  Inspecciona solicitudes que no son de bots verificados con 5 solicitudes o más de un solo cliente en los últimos 5 minutos que no incluyan un token de desafío válido. Para obtener información acerca de los tokens, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).  Es posible que esta regla coincida en una solicitud que tiene un token si a las solicitudes del mismo cliente les han faltado tokens recientemente.  El umbral al que se aplica esta regla puede variar ligeramente debido a la latencia.   Esta regla gestiona los tokens faltantes de manera diferente al etiquetado de los tokens: `awswaf:managed:token:absent`. El etiquetado de los tokens etiqueta las solicitudes individuales que no tienen un token. Esta regla mantiene un recuento de las solicitudes a las que les falta su token para cada IP de cliente y las compara con los clientes que superan el límite.  Acción de la regla: Challenge  Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent` y `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent`   | 
| TGT\$1TokenAbsent |  Inspecciona solicitudes que no son de bots verificados que no incluyan un token de desafío. Para obtener información acerca de los tokens, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).  Acción de la regla: Count  Etiquetas: `awswaf:managed:aws:bot-control:TGT_TokenAbsent`   | 
| TGT\$1VolumetricSession |  Inspecciona un número anormalmente alto de solicitudes que no son de bots verificados de una sola sesión de cliente en un periodo de 5 minutos. La evaluación se basa en una comparación con las líneas base volumétricas estándar, que se basa en patrones de tráfico históricos AWS WAF .  Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla y. CAPTCHA Challenge Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).  Esta regla puede tardar 5 minutos en entrar en vigor después de activarla. Bot Control identifica el comportamiento anómalo del tráfico web comparando el tráfico actual con las líneas base de tráfico que calcula. AWS WAF   Acción de la regla: CAPTCHA  Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high` y `awswaf:managed:aws:bot-control:TGT_VolumetricSession`  El grupo de reglas aplica las siguientes etiquetas a las solicitudes de volumen medio y bajo que superan un umbral mínimo. Para estos niveles, la regla no realiza ninguna acción, independientemente de si el cliente está verificado: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium` y `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`.  | 
| TGT\$1VolumetricSessionMaximum |  Inspecciona un número anormalmente alto de solicitudes que no son de bots verificados de una sola sesión de cliente en un periodo de 5 minutos. La evaluación se basa en una comparación con las líneas base volumétricas estándar, que se basa en patrones de tráfico históricos. AWS WAF  Esta regla indica la máxima confianza en la evaluación. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla y. CAPTCHA Challenge Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).  Esta regla puede tardar 5 minutos en entrar en vigor después de activarla. Bot Control identifica el comportamiento anómalo del tráfico web comparando el tráfico actual con las líneas base de tráfico que calcula. AWS WAF   Acción de la regla: Block  Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum` y `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum`   | 
| TGT\$1SignalAutomatedBrowser |  Inspecciona los tókenes de solicitudes que no son de bots verificados en busca de indicadores de que el navegador del cliente podría estar automatizado. Para obtener más información, consulte [AWS WAF características del token](waf-tokens-details.md). Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación y mediante las acciones de la regla SDKs y. CAPTCHA Challenge Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: CAPTCHA  Etiquetas: `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` y `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser`   | 
| TGT\$1SignalBrowserAutomationExtension |  Inspecciona solicitudes que no son de bots verificados en busca de la presencia de una extensión del navegador que ayude con la automatización, como Selenium IDE. Esta regla coincide cada vez que un usuario tiene este tipo de extensión instalada, incluso si no la utiliza activamente.  Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: CAPTCHA  Etiquetas: `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` y `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension`  | 
| TGT\$1SignalBrowserInconsistency |  Inspecciona solicitudes que no son de bots verificados en busca de datos de interrogación del navegador que sean incoherentes. Para obtener más información, consulte [AWS WAF características del token](waf-tokens-details.md). Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: CAPTCHA  Etiquetas: `awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency` y `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency`   | 
|  TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh  |  Inspecciona solicitudes que no son de bots verificados en busca de comportamientos anómalos que sean coherentes con la actividad distribuida y coordinada de los bots. Los niveles de las reglas indican el nivel de confianza de que un grupo de solicitudes participen en un ataque coordinado.   Estas reglas solamente se ejecutan si el grupo de reglas está configurado para usar el machine learning (ML). Para obtener información acerca de cómo configurar esta opción, consulte [Añadir el grupo de reglas gestionado por AWS WAF Bot Control a su ACL web](waf-bot-control-rg-using.md).   Los umbrales a los que se aplican estas reglas pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   AWS WAF realiza esta inspección mediante un análisis de aprendizaje automático de las estadísticas de tráfico del sitio web. AWS WAF analiza el tráfico web cada pocos minutos y optimiza el análisis para detectar bots de baja intensidad y larga duración que se distribuyen en muchas direcciones IP.  Es posible que estas reglas coincidan en un número muy reducido de solicitudes antes de determinar que no se está produciendo un ataque coordinado. Por lo tanto, si solo ve una o dos coincidencias, los resultados podrían ser falsos positivos. Sin embargo, si ve muchas coincidencias de estas reglas, es probable que esté siendo víctima de un ataque coordinado.   Estas reglas pueden tardar hasta 24 horas en entrar en vigor si activa las reglas específicas del control de bots con la opción de ML. Bot Control identifica el comportamiento anómalo del tráfico web comparando el tráfico actual con las líneas base de tráfico calculadas. AWS WAF AWS WAF Solo calcula las líneas de base cuando utilizas las reglas específicas de Bot Control con la opción de aprendizaje automático, y establecer líneas de base significativas puede llevar hasta 24 horas.   Actualizamos periódicamente nuestros modelos de machine learning para adaptarlos a estas reglas, a fin de mejorar las predicciones de los bots. Si observa un cambio repentino y sustancial en las predicciones de los bots que hacen estas reglas, póngase en contacto con su administrador de cuentas o abra un caso en el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).  Acciones de las reglas:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high` y `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High`   | 
|  TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh  |  Inspecciona las solicitudes que no provienen de bots verificados para utilizar un único token entre varios IPs en los últimos 5 minutos. Cada nivel tiene un límite en cuanto al número de elementos distintos IPs:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Los umbrales a los que se aplican estas reglas pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acciones de las reglas:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high` y `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High`   | 
|  TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh  |  Inspecciona las solicitudes que no son de bots verificados para el uso de un único token en varios países en los últimos 5 minutos. Cada nivel tiene un límite para la cantidad de países distintos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Los umbrales a los que se aplican estas reglas pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acciones de las reglas:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high` y `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High`   | 
|  TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh  |  Inspecciona las solicitudes que no provienen de bots verificados para el uso de un único token en varios números de sistemas autónomos de redes (ASNs) en los últimos 5 minutos. Cada nivel tiene un límite en cuanto al número de elementos distintos ASNs:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Los umbrales a los que se aplican estas reglas pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla.   Acciones de las reglas:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high` y `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High`   | 

# AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida
<a name="aws-managed-rule-groups-anti-ddos"></a>

En esta sección se describe el grupo de reglas AWS WAF gestionadas para la protección contra los ataques distribuidos de denegación de servicio (DDoS).

VendorName:`AWS`, Nombre:`AWSManagedRulesAntiDDoSRuleSet`, WCU: 50

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 

El grupo de reglas gestionadas DDo Anti-S proporciona reglas que detectan y gestionan las solicitudes que participan o que es probable que participen en ataques DDo tipo S. Además, el grupo de reglas etiqueta todas las solicitudes que evalúa durante un evento probable. 

## Consideraciones para utilizar este grupo de reglas
<a name="aws-managed-rule-groups-anti-ddos-using"></a>

Este grupo de reglas proporciona mitigaciones flexibles y estrictas para las solicitudes web que llegan a recursos que están siendo atacados por el tipo DDo S. Para detectar distintos niveles de amenaza, puede ajustar la sensibilidad de ambos tipos de mitigación a niveles de sospecha altos, medios o bajos.
+ **Mitigación suave**: el grupo de reglas puede enviar desafíos de navegador silenciosos en respuesta a solicitudes que puedan lidiar con los intersticios del desafío. Para obtener información acerca de los requisitos para ejecutar el desafío, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md).
+ **Mitigación estricta**: el grupo de reglas puede bloquear las solicitudes por completo. 

Para obtener más información acerca del funcionamiento y la configuración del grupo de reglas, consulte [Protección Anti- DDo S avanzada mediante el grupo de reglas gestionado AWS WAF Anti- DDo S](waf-anti-ddos-advanced.md). 

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).

Para minimizar los costes y optimizar la gestión del tráfico, use este grupo de reglas de acuerdo con las directrices de prácticas recomendadas. Consulte, [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).

## Etiquetas agregadas por este grupo de reglas
<a name="aws-managed-rule-groups-anti-ddos-labels"></a>

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). 

### Etiquetas de token
<a name="aws-managed-rule-groups-anti-ddos-labels-token"></a>

Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente. 

Para obtener información sobre los tókenes y su administración, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).

**Etiqueta de sesión de cliente**  
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando. 

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiqueta de la huella digital del navegador**  
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**  
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA. 

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres: 
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token. 
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token. 

**Etiquetas de estado del token: nombres de etiquetas**  
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token: 
+ `accepted`: El token de solicitud está presente y contiene lo siguiente: 
  + Una solución válida del desafío o del CAPTCHA.
  + Una marca de tiempo vigente del desafío o del CAPTCHA.
  + Una especificación de dominio válida para el paquete de protección (ACL web). 

  Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación. 

  Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo. 
  + `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA. 
  + `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web). 
  + `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web). 
  + `rejected:invalid`— no se AWS WAF pudo leer el token indicado. 

  Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo. 

  Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token. 

### Etiquetas DDo antiS
<a name="aws-managed-rule-groups-anti-ddos-labels-rg"></a>

El grupo de reglas gestionado por Anti- DDo S genera etiquetas con el prefijo del espacio de nombres `awswaf:managed:aws:anti-ddos:` seguido de cualquier espacio de nombres personalizado y del nombre de la etiqueta. Cada etiqueta refleja algún aspecto de las conclusiones de Anti- S. DDo

El grupo de reglas puede agregar cualquiera de las siguientes etiquetas a una solicitud, además de las que se agregan mediante reglas individuales. 
+ `awswaf:managed:aws:anti-ddos:event-detected`— Indica que la solicitud va a un recurso protegido para el que el grupo de reglas gestionado detecta un evento DDo S. El grupo de reglas administradas detecta eventos cuando el tráfico hacia el recurso presenta una desviación significativa con respecto a la línea base de tráfico del recurso. 

  El grupo de reglas agrega esta etiqueta a todas las solicitudes que se envían al recurso mientras se encuentra en este estado, por lo que el tráfico legítimo y el tráfico de ataque reciben esta etiqueta. 
+ `awswaf:managed:aws:anti-ddos:ddos-request`: indica que la solicitud proviene de una fuente sospechosa de participar en un evento. 

  Además de la etiqueta general, el grupo de reglas agrega las siguientes etiquetas que indican el nivel de confianza. 

  `awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request`— Indica una probable solicitud de ataque DDo S.

  `awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request`— Indica una solicitud de ataque DDo S muy probable.

  `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`— Indica una solicitud de ataque DDo S muy probable.
+ `awswaf:managed:aws:anti-ddos:challengeable-request`: indica que el URI de la solicitud es capaz de gestionar la acción Challenge. El grupo de reglas administrado lo aplica a cualquier solicitud cuyo URI no esté exento. URIs están exentos si coinciden con las expresiones regulares de URI exentas del grupo de reglas. 

  Para obtener información sobre los requisitos de las solicitudes que puedan tomar un desafío de navegador silencioso, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md).

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta. 

El grupo de reglas gestionado por Anti- DDo S aplica etiquetas a las solicitudes, pero no siempre actúa en consecuencia. La administración de las solicitudes depende de la confianza con la que el grupo de reglas determine la participación en un ataque. Si lo desea, puede administrar las solicitudes que etiqueta el grupo de reglas con la adición de una regla de coincidencia de etiquetas que se ejecute después del grupo de reglas. Para obtener más información acerca de esto y ver ejemplos, consulte [AWS WAF Prevención de denegación de servicio (DDoS) distribuida](waf-anti-ddos.md).

## Listado de reglas Anti- DDo S
<a name="aws-managed-rule-groups-anti-ddos-rules"></a>

En esta sección se enumeran las reglas DDo antiS.

 

**nota**  
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.   
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 


| Nombre de la regla | Description (Descripción) | 
| --- | --- | 
| ChallengeAllDuringEvent |  Coincide con las solicitudes que tienen la etiqueta `awswaf:managed:aws:anti-ddos:challengeable-request` de cualquier recurso protegido que esté bajo ataque actualmente.  Acción de la regla: Challenge Solo puede anular esta acción de regla para Allow o Count. No se recomienda el uso de Allow. Para cualquier configuración de acción de regla, la regla solo coincide con las solicitudes que tienen la etiqueta `challengeable-request`. La configuración de esta regla afecta a la evaluación de la siguiente regla,`ChallengeDDoSRequests`. AWS WAF solo evalúa esa regla cuando la acción para esta regla se ha establecido en la configuración de la ACL web del grupo de reglas administrado. Count  Si su carga de trabajo es vulnerable a cambios inesperados en el volumen de solicitudes, le recomendamos que rechace todas las solicitudes impugnables al mantener la configuración de acción predeterminada de Challenge. En el caso de las aplicaciones menos sensibles, puede establecer la acción de esta regla en Count y, a continuación, ajustar la sensibilidad de sus Challenge respuestas con la regla `ChallengeDDoSRequests`.  Etiquetas: `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent`   | 
| ChallengeDDoSRequests |  Coincide con las solicitudes de un recurso protegido que cumplen o superan la configuración de sensibilidad a los desafíos que configura el grupo de reglas durante los momentos en los que el recurso está bajo ataque.  Acción de la regla: Challenge Solo puede anular esta acción de regla para Allow o Count. No se recomienda el uso de Allow. En cualquier caso, la regla solo coincide con las solicitudes que tienen la etiqueta `challengeable-request`. AWS WAF solo evalúa esta regla si se anula la acción de la regla anteriorCount,. `ChallengeAllDuringEvent`  Etiquetas: `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests`   | 
| DDoSRequests |  Coincide con las solicitudes de un recurso protegido que cumplen o superan la configuración de sensibilidad a los bloques configurada del grupo de reglas durante los momentos en los que el recurso está bajo ataque.  Acción de la regla: Block Etiquetas: `awswaf:managed:aws:anti-ddos:DDoSRequests`   | 

# Implementaciones para grupos de reglas de reglas AWS administradas versionados
<a name="waf-managed-rule-groups-deployments"></a>

En esta sección, se presenta cómo se AWS implementan las actualizaciones en los grupos de reglas de reglas AWS administradas.

AWS implementa los cambios en sus grupos de reglas de AWS Managed Rules versionados en tres implementaciones estándar: la versión candidata, la versión estática y la versión predeterminada. Además, a veces es AWS posible que necesite lanzar una implementación de excepción o revertir una implementación de versión predeterminada. 

**nota**  
Esta sección solo se aplica a los grupos de reglas de AWS Managed Rules que están versionados. Los únicos grupos de reglas sin control de versiones son los grupos de reglas de reputación de IP. 

**Topics**
+ [

# Notificaciones para despliegues de grupos de reglas de AWS Managed Rules
](waf-managed-rule-groups-deployments-notifications.md)
+ [

# Descripción general de las implementaciones estándar de las reglas AWS administradas
](waf-managed-rule-groups-deployments-standard.md)
+ [

# Estados de versión típicos de las reglas AWS administradas
](waf-managed-rule-groups-typical-version-states.md)
+ [

# Publicar las implementaciones candidatas para AWS Managed Rules
](waf-managed-rule-groups-deployments-release-candidate.md)
+ [

# Implementaciones de versiones estáticas para reglas AWS administradas
](waf-managed-rule-groups-deployments-static-version.md)
+ [

# Implementaciones de versiones predeterminadas para AWS Managed Rules
](waf-managed-rule-groups-deployments-default-version.md)
+ [

# Implementaciones de excepciones para reglas AWS administradas
](waf-managed-rule-groups-deployments-exceptions.md)
+ [

# Reversiones de implementación predeterminadas para las reglas AWS administradas
](waf-managed-rule-groups-deployments-default-rollbacks.md)

# Notificaciones para despliegues de grupos de reglas de AWS Managed Rules
<a name="waf-managed-rule-groups-deployments-notifications"></a>

En esta sección se explica cómo funcionan las notificaciones de Amazon SNS con los grupos de reglas de AWS Managed Rules.

Todos los grupos de reglas de AWS Managed Rules versionados proporcionan notificaciones de actualización de SNS para las implementaciones y todos usan el mismo tema de SNS Amazon Resource Name (ARN). Los únicos grupos de reglas que no se someten a control de versiones son los grupos de reglas de reputación IP. 

En el caso de las implementaciones que afectan a sus protecciones, como los cambios en la versión predeterminada, AWS proporciona notificaciones de SNS para informarle sobre las implementaciones planificadas y para avisarle de cuándo se está iniciando una implementación. En el caso de las implementaciones que no afectan a sus protecciones, como las de versión candidata y estática, es posible que AWS le notifique una vez que la implementación haya comenzado o incluso una vez finalizada. Al finalizar la implementación de una nueva versión estática, AWS actualiza esta guía en el registro de cambios [AWS Registro de cambios de reglas administradas](aws-managed-rule-groups-changelog.md) y en la página del historial del documento en. [Historial de documentos](doc-history.md) 

Para recibir todas las actualizaciones relacionadas con AWS los grupos de reglas de reglas AWS administradas, suscríbase a la fuente RSS desde cualquier página HTML de esta guía y suscríbase al tema de SNS relativo a los grupos de reglas de reglas AWS administradas. Para obtener más información sobre la suscripción a notificaciones de SNS, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones de un grupo de reglas administradas](waf-using-managed-rule-groups-sns-topic.md).

**Contenido de las notificaciones de SNS**  
Los campos de las notificaciones de Amazon SNS siempre incluyen el asunto, el mensaje y. MessageAttributes Los campos adicionales dependen del tipo de mensaje y del grupo de reglas administradas al que se destine la notificación. A continuación, se muestra un ejemplo de lista de notificaciones para `AWSManagedRulesCommonRuleSet`.

```
{
    "Type": "Notification",
    "MessageId": "4286b830-a463-5e61-bd15-e1ae72303868",
    "TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic",
    "Subject": "New version available for rule group AWSManagedRulesCommonRuleSet",
    "Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ",
    "Timestamp": "2021-08-24T11:12:19.810Z",
    "SignatureVersion": "1",
    "Signature": "EXAMPLEHXgJm...",
    "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem",
    "SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...",
    "MessageAttributes": {
        "major_version": {
            "Type": "String",
            "Value": "v1"
        },
        "managed_rule_group": {
            "Type": "String",
            "Value": "AWSManagedRulesCommonRuleSet"
        }
    }
}
```

# Descripción general de las implementaciones estándar de las reglas AWS administradas
<a name="waf-managed-rule-groups-deployments-standard"></a>

AWS implementa la nueva funcionalidad de reglas AWS administradas mediante tres etapas de implementación estándar: versión candidata, versión estática y versión predeterminada. 

En el siguiente diagrama, se muestran estas implementaciones estándar. Cada uno de estos se describe con mayor detalle en las secciones siguientes. 

![\[Cuatro carriles verticales muestran diferentes etapas de implementación estándar. El carril situado más a la izquierda muestra la versión predeterminada establecida en la versión estática recomendada 1.4. El segundo carril muestra la configuración predeterminada de una versión candidata (RC) a ser lanzada para probarla y ajustarla. La versión RC contiene las reglas de 1.4 y las reglas de RC. Una nota indica que, tras las pruebas, la predeterminada vuelve a la versión estática recomendada. El tercer carril muestra la creación de una versión estática 1.5 a partir de las reglas de la versión candidata a ser lanzada. El cuarto carril muestra la versión por defecto ajustada a la nueva versión estática recomendada 1.5.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png)


# Estados de versión típicos de las reglas AWS administradas
<a name="waf-managed-rule-groups-typical-version-states"></a>

Normalmente, un grupo de reglas gestionado versionado tiene varias versiones estáticas que no han caducado y la versión predeterminada apunta a la versión estática recomendada. AWS En la siguiente imagen, se muestra un ejemplo del conjunto típico de versiones estáticas y de la configuración de la versión predeterminada. 

![\[Las tres versiones estáticas Version_1.2, Version_1.3 y Version_1.4 están apiladas, con la Version_1.4 en la parte superior. La Version_1.4 tiene dos reglas, la RuleA y la RuleB, ambas con acción de producción. Un indicador de versión predeterminado señala la Version_1.4.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-diagram.png)


La acción de producción para la mayoría de las reglas en una versión estática es Block, pero puede estar configurada en algo diferente. Para obtener información detallada sobre la configuración de las acciones de reglas, consulte la lista de reglas de cada grupo de reglas en [AWS Lista de grupos de reglas de Managed Rules](aws-managed-rule-groups-list.md). 

# Publicar las implementaciones candidatas para AWS Managed Rules
<a name="waf-managed-rule-groups-deployments-release-candidate"></a>

En esta sección se explica cómo funciona la implementación temporal de una versión candidata a ser lanzada.

Cuando AWS un conjunto de reglas candidato cambia para un grupo de reglas gestionado, los pone a prueba en una implementación candidata de versión temporal. AWS evalúa las reglas candidatas en el modo de recuento comparándolas con el tráfico de producción y realiza las últimas actividades de ajuste, incluida la mitigación de los falsos positivos. AWS Las pruebas publican las reglas candidatas de esta forma para todos los clientes que utilizan la versión predeterminada del grupo de reglas. Las implementaciones de la versión candidata a ser lanzada no se aplican a los clientes que usan una versión estática del grupo de reglas.

Si utiliza la versión predeterminada, una implementación de la versión candidata a ser lanzada no alterará la forma en que el grupo de reglas administra su tráfico web. Es posible que observe lo siguiente mientras se prueban las reglas candidatas: 
+ El nombre de la versión predeterminada cambia de `Default (using Version_X.Y)` a `Default (using Version_X.Y_PLUS_RC_COUNT)`. 
+ Métricas de recuento adicionales en Amazon CloudWatch con `RC_COUNT` sus nombres. Estas se generan mediante las reglas candidatas a ser lanzadas.

AWS prueba una versión candidata durante aproximadamente una semana, luego la elimina y restablece la versión predeterminada a la versión estática recomendada actualmente. 

AWS lleva a cabo los siguientes pasos para la implementación de una versión candidata: 

1. **Crear la versión candidata**: AWS añade una versión candidata en función de la versión estática recomendada actualmente, que es la versión a la que apunta la versión predeterminada. 

   El nombre de la versión candidata a ser lanzada es el nombre de la versión estática al que se añade `_PLUS_RC_COUNT`. Por ejemplo, si la versión estática actualmente recomendada es `Version_2.1`, la versión candidata a ser lanzada recibirá el nombre `Version_2.1_PLUS_RC_COUNT`.

   La versión candidata a ser lanzada contiene las siguientes reglas: 
   + Las reglas se copiaron exactamente de la versión estática recomendada actualmente, sin cambios en la configuración de las reglas. 
   + Reglas candidatas nuevas con la acción de regla configurada en Count y cuyos nombres terminen en `_RC_COUNT`. 

     La mayoría de las reglas de las versiones candidatas incluyen propuestas de mejora para las reglas que ya existen en el grupo de reglas. El nombre de cada una de estas reglas es el nombre de la regla existente al que se añade `_RC_COUNT`. 

1. **Defina la versión predeterminada como la versión candidata y pruébela**: AWS configura la versión predeterminada para que apunte a la nueva versión candidata, a fin de realizar pruebas comparándolas con el tráfico de producción. Las pruebas suelen tardar alrededor de una semana.

    Verá que el nombre de la versión predeterminada cambia de una versión que solo indica la versión estática, por ejemplo `Default (using Version_1.4)`, a una que indica la versión estática más las reglas de la versión candidata a ser lanzada, por ejemplo `Default (using Version_1.4_PLUS_RC_COUNT)`. Este esquema de nomenclatura le permite identificar qué versión estática utiliza para gestionar el tráfico web. 

   El siguiente diagrama muestra el estado de las versiones del grupo de reglas de ejemplo en este momento.   
![\[En la parte superior de la imagen, hay tres versiones estáticas apiladas, con Version_1.4 en la parte superior. La versión Version_1.4_PLUS_RC_COUNT es independiente de la pila de versiones estáticas. Esta versión contiene las reglas de la Version_1.4 y también contiene dos reglas candidatas a ser lanzadas, Ruleb_RC_Count y Rulez_RC_Count, ambas con acción de recuento. El indicador de versión predeterminado señala la Version_1.4_PLUS_RC_COUNT.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png)

   Las reglas candidatas a ser lanzadas siempre se configuran con una acción Count, por lo que no alteran la forma en que el grupo de reglas administra el tráfico web. 

   Las reglas de release candidate generan métricas de CloudWatch recuento de Amazon que se AWS utilizan para verificar el comportamiento e identificar los falsos positivos. AWS realiza los ajustes necesarios para ajustar el comportamiento de las reglas de recuento de candidatos a publicación. 

   La versión candidata a ser lanzada no es estática y no puede seleccionarla de la lista de versiones de grupos de reglas estáticas. Solamente puede ver el nombre de la versión candidata a ser lanzada en la especificación de la versión predeterminada.

1. **Devuelve la versión predeterminada a la versión estática recomendada**: tras probar las reglas de la versión candidata, AWS vuelve a establecer la versión estática recomendada actualmente para la versión predeterminada. La configuración predeterminada del nombre de la versión elimina la `_PLUS_RC_COUNT` terminación y el grupo de reglas deja de generar métricas de CloudWatch recuento para las reglas de la versión candidata. Se trata de un cambio silencioso y no es lo mismo que implementar una reversión de una versión predeterminada.

   El siguiente diagrama muestra el estado de las versiones del grupo de reglas de ejemplo una vez finalizadas las pruebas de la candidata a ser lanzada.   
![\[De nuevo, esta es la imagen de los estados de versión típicos. Tres versiones estáticas, las Version_1.2, Version_1.3 y Version_1.4, están apiladas, con la Versión_1.4 en la parte superior. La Version_1.4 tiene dos reglas, la RuleA y la RuleB, ambas con acción de producción. Un indicador de versión predeterminado señala la Version_1.4.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png)

**Calendario y notificaciones**  
AWS despliega versiones candidatas según sea necesario, para probar las mejoras en un grupo de reglas. 
+ **SNS**: AWS envía una notificación de SNS al inicio de la implementación. La notificación indica el tiempo estimado durante el que se probará la versión candidata. Una vez finalizadas las pruebas, devuelve AWS silenciosamente la configuración predeterminada de la versión estática, sin necesidad de una segunda notificación.
+ **Registro de cambios**: AWS no actualiza el registro de cambios ni otras partes de esta guía para este tipo de implementación.

# Implementaciones de versiones estáticas para reglas AWS administradas
<a name="waf-managed-rule-groups-deployments-static-version"></a>

Cuando AWS determina que una versión candidata proporciona cambios valiosos al grupo de reglas, AWS implementa una nueva versión estática para el grupo de reglas basada en la versión candidata. Esta implementación no cambia la versión predeterminada del grupo de reglas. 

La nueva versión estática contiene las siguientes reglas para la versión candidata: 
+ Reglas de la versión estática anterior que no tienen un candidato de reemplazo entre las reglas de la candidata a ser lanzada. 
+ Reglas candidatas a ser lanzadas con los cambios siguientes: 
  + AWS cambia el nombre de la regla eliminando el sufijo `_RC_COUNT` Release Candidate.
  + AWS cambia las acciones de la regla Count a sus acciones de la regla de producción. 

   En el caso de las reglas candidatas a ser lanzadas que sustituyan a reglas anteriores existentes, se sustituirá la funcionalidad de las reglas anteriores de la nueva versión estática. 

El siguiente diagrama muestra la creación de la nueva versión estática a partir de la candidata a ser lanzada. 

![\[En la parte superior de la imagen aparece la versión candidata a ser lanzada Version_1.4_PLUS_RC_COUNT con las mismas reglas que en la figura de implementación de candidata a ser lanzada anterior. Esta versión contiene las reglas de la Version_1.4 y también contiene dos reglas candidatas, Ruleb_RC_Count y Rulez_RC_Count, ambas con acción de recuento. A continuación, en la parte inferior de la imagen, hay una versión estática, la Version_1.5, que contiene las reglas RuleA, RuleB y RuleZ, todas ellas con acción de producción. Las flechas señalan desde la versión RC a la Version_1.5 para indicar que la RuleA se ha copiado de las reglas de la Version_1.4 y la RuleB y la RuleZ se han copiado de las reglas candidatas a ser lanzadas. Todas las reglas de la Version_1.5 incluyen acciones de producción.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png)


Tras la implementación, la nueva versión estática está disponible para que la pruebe y la utilice en sus protecciones si así lo desea. Puede revisar las acciones y descripciones de las reglas nuevas y actualizadas en las listas de reglas del grupo de reglas en [AWS Lista de grupos de reglas de Managed Rules](aws-managed-rule-groups-list.md). 

Una versión estática es inmutable tras el despliegue y solo cambia cuando AWS caduca. Para obtener información sobre el ciclo de vida de las versiones, consulte [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md).

**Calendario y notificaciones**  
AWS implementa una nueva versión estática según sea necesario para implementar mejoras en la funcionalidad de los grupos de reglas. La implementación de una versión estática no afecta a la configuración de la versión predeterminada.
+ **SNS**: AWS envía una notificación de SNS cuando se completa la implementación.
+ **Registro de cambios**: una vez completada la implementación en todos los lugares disponibles, AWS actualiza la definición del grupo de reglas de esta guía según sea necesario y, a continuación, anuncia la publicación en el registro de cambios del grupo de reglas de reglas AWS administradas y en la página del historial de la documentación. AWS WAF 

# Implementaciones de versiones predeterminadas para AWS Managed Rules
<a name="waf-managed-rule-groups-deployments-default-version"></a>

Cuando AWS determina que una nueva versión estática proporciona una protección mejorada para el grupo de reglas en comparación con la versión predeterminada actual, AWS actualiza la versión predeterminada a la nueva versión estática. AWS podría publicar varias versiones estáticas antes de convertir una de ellas en la versión predeterminada del grupo de reglas. 

El siguiente diagrama muestra el estado de las versiones del grupo de reglas de ejemplo después de AWS mover la configuración de la versión predeterminada a la nueva versión estática. 

![\[Es similar a la imagen de los estados de versión típicos, pero con Version_1.5 en la parte superior de la pila y el indicador predeterminado señalando hacia ella.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png)


Antes de implementar este cambio en la versión predeterminada, AWS proporciona notificaciones para que pueda probar los próximos cambios y prepararse para ellos. Si utiliza la versión predeterminada, no podrá realizar ninguna acción y permanecer en ella durante la actualización. Si, por el contrario, desea retrasar el cambio a la nueva versión, antes del inicio planificado de la implementación de la versión predeterminada, puede configurar explícitamente su grupo de reglas para que utilice la versión estática establecida de forma predeterminada. 

**Calendario y notificaciones**  
AWS actualiza la versión predeterminada cuando recomienda una versión estática diferente para el grupo de reglas que la que se está utilizando actualmente. 
+ **SNS**: AWS envía una notificación de SNS al menos una semana antes del día de implementación previsto y, después, otra el día de la implementación, al inicio de la implementación. Cada notificación incluye el nombre del grupo de reglas, la versión estática a la que se actualiza la versión predeterminada, la fecha de despliegue y el momento programado del despliegue para cada AWS región en la que se realiza la actualización. 
+ **Registro de cambios**: AWS no actualiza el registro de cambios ni otras partes de esta guía para este tipo de implementación.

# Implementaciones de excepciones para reglas AWS administradas
<a name="waf-managed-rule-groups-deployments-exceptions"></a>

AWS podrían omitir las etapas de implementación estándar para implementar rápidamente actualizaciones que aborden los riesgos de seguridad críticos. Una implementación excepcional puede incluir cualquiera de los tipos de implementación estándar y puede implementarse rápidamente en todas las AWS regiones. 

AWS proporciona una notificación con la mayor antelación posible para las implementaciones de excepciones. 

**Calendario y notificaciones**  
AWS realiza despliegues de excepciones solo cuando es necesario. 
+ **SNS**: AWS envía una notificación de SNS con la mayor antelación posible al día de despliegue previsto y, a continuación, otra al inicio del despliegue. Cada notificación incluye el nombre del grupo de reglas, el cambio que se está realizando y la fecha de implementación. 
+ **Registro de cambios**: si la implementación es para una versión estática, una vez completada la implementación en todos los lugares disponibles, AWS actualiza la definición del grupo de reglas de esta guía según sea necesario y, a continuación, anuncia la versión en el registro de cambios del grupo de reglas de reglas AWS administradas y en la página del historial de la documentación. AWS WAF 

# Reversiones de implementación predeterminadas para las reglas AWS administradas
<a name="waf-managed-rule-groups-deployments-default-rollbacks"></a>

En determinadas condiciones, AWS podría revertir la versión predeterminada a su configuración anterior. La reversión suele tardar menos de diez minutos en todas las AWS regiones.

AWS realiza una reversión solo para mitigar un problema importante en una versión estática, como un nivel inaceptablemente alto de falsos positivos. 

Tras revertir la configuración de la versión predeterminada, AWS acelera tanto la caducidad de la versión estática que tiene el problema como el lanzamiento de una nueva versión estática para solucionar el problema. 

**Calendario y notificaciones**  
AWS revierte las versiones predeterminadas solo cuando es necesario. 
+ **SNS**: AWS envía una única notificación de SNS en el momento de la reversión. La notificación incluye el nombre del grupo de reglas, la versión en la que se está configurando la versión predeterminada y la fecha de implementación. Este tipo de implementación es muy rápido, por lo que la notificación no proporciona información sobre los plazos de las regiones. 
+ **Registro de cambios**: AWS no actualiza el registro de cambios ni otras partes de esta guía para este tipo de implementación.

# AWS Registro de cambios de reglas administradas
<a name="aws-managed-rule-groups-changelog"></a>

En esta sección, se enumeran los cambios en las reglas AWS gestionadas AWS WAF desde su publicación en noviembre de 2019.

**nota**  
Este registro de cambios informa de los cambios en las reglas y los grupos de reglas de AWS Managed Rules for. AWS WAF  
En el caso de [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md), este registro de cambios informa de los cambios en las reglas y el grupo de reglas e informa de los cambios significativos en los orígenes de las listas de direcciones IP que utilizan las reglas. No informa de los cambios en las propias listas de direcciones IP, debido a la naturaleza dinámica de esas listas. Si tiene preguntas sobre las listas de direcciones IP, póngase en contacto con su administrador de cuentas o abra un caso en el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). 


| Reglas y grupos de reglas | Description (Descripción) | Fecha | 
| --- | --- | --- | 
| [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Se lanzó la versión estática 2.2 de este grupo de reglas.  Se han mejorado las detecciones y se ha añadido una regla. `PHPHighRiskMethodsVariables_URIPATH`  | 24-03-2020 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Reglas nuevas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Publicada la versión 5.0 estática de este grupo de reglas. Se han añadido más de 400 bots nuevos en varias categorías, incluidas dos nuevas categorías de bots con sus respectivas reglas: Page Preview y Webhooks. **Mejoras clave** Se mejoró la precisión de las señales de detección de bots y la coincidencia de patrones de bots genéricos, lo que permitió una clasificación del tráfico más precisa.  Esta actualización cambia la forma en que el grupo de reglas gestionado prioriza la detección de bots. Los patrones de bots específicos no verificados ahora se evalúan antes que los patrones genéricos y las señales de detección. Esto significa que es más probable que las solicitudes se clasifiquen en función de sus características más específicas que de indicadores genéricos. **Qué significa esto para su tráfico:** El patrón genérico de los bots ahora coincidirá con menos frecuencia. Estos patrones solo se aplican cuando ninguna regla de bot más específica ya ha identificado el tráfico. Esto reduce la sobreclasificación y garantiza que las solicitudes se etiqueten con la identificación de bots más precisa disponible. Las señales de detección, como los indicadores de que una solicitud proviene de un proveedor de servicios en la nube, de un centro de datos de bots conocido o de que utiliza un agente de usuario ajeno a un navegador, ahora se aplican después de las reglas de identificación de bots. Esto garantiza que las clasificaciones de bots específicas tengan prioridad sobre las señales de tráfico genéricas. **Impacto:** Es posible que veas menos etiquetas para los patrones genéricos de bots en tus registros de tráfico, ya que las solicitudes ahora se clasifican con mayor precisión según reglas de bots específicas. Esto proporciona una visión más clara de la naturaleza real del tráfico automatizado y reduce el ruido que provoca una coincidencia de patrones demasiado amplia. Las clasificaciones de bots no verificadas serán más destacadas y precisas, lo que le ayudará a comprender y gestionar mejor las solicitudes automatizadas a sus aplicaciones. **Nota:** Esta versión incluye las actualizaciones de `awswaf:managed:aws:bot-control:bot:web_bot_auth` etiquetas y reglas de la versión 4.0, pero la `Web Bot Auth` funcionalidad solo está disponible en esta versión. CloudFront  | 25 de febrero de 2020 | 
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  Publicada la versión estática 3.2 de este grupo de reglas.  Se han mejorado las firmas de detección para todas las reglas.  | 15/01/2020 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Publicada la versión estática 1.25 de este grupo de reglas. Se actualizó `ReactJSRCE_BODY` para mejorar la detección.  | 2025-12-08 | 
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  Se publicó la versión estática 3.1 de este grupo de reglas.  Se han mejorado las firmas de detección para todas las reglas.  | 2025-12-08 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Publicada la versión estática 1.24 de este grupo de reglas. Se actualizó `ReactJSRCE_BODY` para mejorar la detección.  | 2025-12-04 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Etiquetas nuevas:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Alcance: CloudFront |  Se implementó la nueva `AWSManagedRulesBotControlRuleSet` versión estática Version\$14.0 con compatibilidad con la autenticación de bots web (WBA) para la verificación de bots criptográficos. Esta versión debe seleccionarse de forma explícita y no actualiza automáticamente las implementaciones existentes mediante la versión predeterminada. Nuevas capacidades: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Actualizaciones de reglas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  La versión\$14.0 es solo una versión estática; no cambia el comportamiento de la versión predeterminada. Para usar las funciones de la WBA, seleccione explícitamente la versión \$14.0 al configurar su ACL web.   | 2025-11-20 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Nuevas etiquetas de bots verificadas:Publicidad:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)OBJETIVO:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Buscador de contenido:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Redes sociales:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Mejoras clave:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  Las reglas de categoría de bots de Bot Control solo se activan en los bots no verificados, excepto en el caso de la categoría AI, que también se activa en los bots verificados. La versión\$13.3 es solo una versión estática; no cambia el comportamiento predeterminado de la versión.   | 17-11-2025 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Se lanzó la versión estática 1.20 de este grupo de reglas.  Se mejoraron las firmas de detección para las reglas de falsificación de solicitudes del lado del servidor (SSRF).  | 2025-10-02 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Publicada la versión estática 1.19 de este grupo de reglas.  Se mejoraron las firmas de detección para las reglas de script entre sitios.  | 14 de agosto de 2025 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Publicada la versión estática 1.18 de este grupo de reglas.  Se mejoraron las firmas de detección para las reglas de script entre sitios.  | 18-06-2020 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Etiquetas nuevas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Publicada la versión estática 3.2 de este grupo de reglas.  Se agregaron las nuevas etiquetas enumeradas.   | 29 de mayo de 2020 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Se lanzó la versión estática 1.17 de este grupo de reglas.  Se mejoraron las firmas de detección para las reglas de script entre sitios.  | 2025-03-03 | 
| [grupo de reglas administradas de la base de datos SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.3 de este grupo de reglas.  Se agregó la doble transformación de texto `URL_DECODE_UNI` a las reglas enumeradas.  | 2025-01-24 | 
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Publicada la versión estática 2.6 de este grupo de reglas.  Se agregaron firmas para mejorar la detección.   | 24 de enero de 2025 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Nueva etiqueta con el nombre del bot en las etiquetas de control de bots: `awswaf:managed:aws:bot-control:bot::name:nytimes`  | Se publicó la versión estática 3.1 de este grupo de reglas.  Se agregó la etiqueta New York Times a la lista de etiquetas con los nombres de los bots.   | 07-11-2020 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.16 de este grupo de reglas.  Se mejoraron las firmas de detección para las reglas de script entre sitios.   | 2024-10-16 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Reglas nuevas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Reglas eliminadas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Etiquetas nuevas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Etiquetado adicional en las reglas existentes.  | Se lanzaron las versiones estáticas 2.0 y 3.0 de este grupo de reglas. La versión 2.0 es la misma que la versión 3.0, pero con las acciones de regla para todas las reglas nuevas configuradas en Count. Esta guía documenta la versión más reciente de cada grupo de reglas.  Se agregaron las nuevas reglas enumeradas.  Se actualizó el etiquetado para que todas las reglas apliquen una etiqueta con el patrón `awswaf:managed:aws:bot-control:<RuleName>`.  Se agregaron etiquetas del proveedor de servicios en la nube a las etiquetas de señal de control de bots.  Se agregaron nuevas etiquetas con los nombres de los bots que se inspeccionan según las reglas de las categorías de bots.   | 2024-09-13 | 
| [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) Todas las reglas  | Se lanzó la versión estática 1.1 de este grupo de reglas.  Se actualizó el etiquetado para que todas las reglas apliquen una etiqueta con el patrón `awswaf:managed:aws:atp:<RuleName>`.   | 2024-09-13 | 
| [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md) Todas las reglas  | Se lanzó la versión estática 1.1 de este grupo de reglas.  Se actualizó el etiquetado para que todas las reglas apliquen una etiqueta con el patrón `awswaf:managed:aws:acfp:<RuleName>`.   | 2024-09-13 | 
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Todas las reglas  | Se lanzó la versión estática 2.5 de este grupo de reglas.  Se agregaron firmas para mejorar la detección.   | 2024-09-02 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.15 de este grupo de reglas.  Se mejoraron las firmas de detección para las reglas genéricas de LFI.   | 2024-08-30 | 
| [grupo de reglas administradas para el sistema operativo Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.3 de este grupo de reglas.  Se ajustaron las firmas de detección en las reglas enumeradas para reducir los falsos positivos.   | 2024-08-28 | 
| [WordPress grupo de reglas gestionado por la aplicación](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.3 de este grupo de reglas.  Se agregó la transformación de texto JS\$1DECODE a la regla enumerada.   | 2024-07-15 | 
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.4 de este grupo de reglas.  Se agregó la transformación de texto JS\$1DECODE a la regla enumerada.   | 2024-07-12 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.14 de este grupo de reglas.  Se agregó la transformación de texto JS\$1DECODE a las reglas enumeradas.   | 2024-07-09 | 
| [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.1 de este grupo de reglas.  Se agregó la transformación de texto JS\$1DECODE a las reglas enumeradas.   | 2024-07-03 | 
| [grupo de reglas administradas para el sistema operativo Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.2 de este grupo de reglas.  Se agregó la transformación de texto JS\$1DECODE a las reglas enumeradas.   | 2024-07-03 | 
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Todas las reglas  | Se lanzó la versión estática 2.3 de este grupo de reglas.  Se agregaron firmas para mejorar la detección.   | 2024-06-06 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md)  | Los grupos de reglas de bots y fraudes ahora cuentan con control de versiones. Si utiliza alguno de estos grupos de reglas, esta actualización no cambia la forma en que gestionan el tráfico web.  Esta actualización establece la versión actual del grupo de reglas en la versión estática 1.0 y establece la versión predeterminada para que la señale a ella.  Para obtener más información acerca de las reglas administradas con control de versiones, consulte lo siguiente:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 2024-05-29 | 
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 3.0 de este grupo de reglas.  Se eliminó `UNIXShellCommandsVariables_QUERYARGUMENTS` y se reemplazó por `UNIXShellCommandsVariables_QUERYSTRING`. Si tiene reglas que coinciden en la etiqueta para `UNIXShellCommandsVariables_QUERYARGUMENTS`, cuando utilice esta versión, cámbielas para que coincidan con las de la etiqueta para `UNIXShellCommandsVariables_QUERYSTRING`. La nueva etiqueta es `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`. Se agregó la regla `UNIXShellCommandsVariables_HEADER`, que coincide con todos los encabezados. Se actualizaron todas las reglas del grupo de reglas administradas con una lógica de detección mejorada.  Se corrigió el uso de mayúsculas documentado en la etiqueta para `UNIXShellCommandsVariables_BODY`.   | 2024-05-28 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.12 de este grupo de reglas.  Se agregaron firmas a todas las reglas de scripts entre sitios para mejorar la detección y reducir los falsos positivos.  | 2024-05-21 | 
| [grupo de reglas administradas de la base de datos SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Se lanzó la versión estática 1.2 de este grupo de reglas. Se agregó la transformación de texto `JS_DECODE` a las reglas enumeradas.   | 2024-05-14 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.22 de este grupo de reglas. Se agregó la transformación de texto `JS_DECODE` a las reglas enumeradas.   | 2024-05-08 | 
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  | Se lanzó la versión estática 2.2 de este grupo de reglas.  Se agregó la transformación de texto `JS_DECODE` a ambas reglas.   | 2024-05-08 | 
| [grupo de reglas administradas para el sistema operativo Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.1 de este grupo de reglas.  Se agregaron firmas a `PowerShellCommands_BODY` para mejorar la detección.   | 2024-05-03 | 
| [grupo de reglas administradas con lista de reputación de IP de Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se actualizaron los orígenes de la lista de reputación IP para mejorar la identificación de las direcciones que participan de forma activa en actividades maliciosas y reducir los falsos positivos.  Esta actualización no incluye una nueva versión porque este grupo de reglas no cuenta con control de versiones.   | 2024-03-13 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)  | Se lanzó la versión estática 1.21 de este grupo de reglas. Se agregaron firmas para mejorar la detección y reducir los falsos positivos.   | 2023-12-16 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.20 de este grupo de reglas. Se actualizó la regla `ExploitablePaths_URIPATH` para agregar la detección de las solicitudes que coincidan con la vulnerabilidad de autorización inadecuada CVE-2023-22518 de Atlassian Confluence. Esta vulnerabilidad afecta a todas las versiones del centro de datos y del servidor de Confluence. Para obtener más información, consulte [NIST: National Vulnerability Database: CVE-2023-22518 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22518).  | 2023-12-14 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.11 de este grupo de reglas.  Se agregaron firmas a todas las reglas de scripts entre sitios para mejorar la detección y reducir los falsos positivos.  | 2023-12-06 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregó la etiqueta de actividad coordinada baja a las etiquetas de nivel de protección específicas del grupo de reglas. Esta etiqueta no está asociada a ninguna regla. Este etiquetado se suma a las reglas y etiquetas de nivel medio y alto.  | 2023-12-05 | 
| [Etiquetas de control de bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregó una etiqueta de señal al grupo de reglas que indica la detección de una extensión del navegador que ayuda a la automatización. Esta etiqueta no es específica de una regla individual.   | 14-11-2020 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.10 de este grupo de reglas.  Se actualizó una regla para mejorar la detección y reducir los falsos positivos.  | 2023-11-02 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.9 de este grupo de reglas.  Se actualizaron una regla para mejorar la detección y reducir los falsos positivos.  | 2023-10-30 | 
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.1 de este grupo de reglas.  Se actualizó la regla de argumentos de consulta para mejorar la detección.   | 2023-10-12 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.8 de este grupo de reglas.  Se actualizaron las reglas para mejorar la detección.  | 2023-10-11 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Implementación de excepción: publicada la versión estática 1.19 de este grupo de reglas. Se actualizó la versión predeterminada para usar la versión 1.19. Se actualizó la regla `ExploitablePaths_URIPATH` para agregar la detección de las solicitudes que coincidan con la vulnerabilidad de escalamiento de privilegios CVE-2023-22515 de Atlassian Confluence. Esta vulnerabilidad afecta a algunas versiones de Atlassian Confluence. Para obtener más información, consulte [NIST: National Vulnerability Database: CVE-2023-22515 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22515) y [Atlassian Support: FAQ for CVE-2023-22515](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html). Para obtener información sobre este tipo de implementación, consulte [Implementaciones de excepciones para reglas AWS administradas](waf-managed-rule-groups-deployments-exceptions.md). | 2023-10-04 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Implementación de excepción: publicada la versión estática 1.18 de este grupo de reglas. Se trata de una implementación rápida de esta versión estática para adaptarla a la creación e implementación de la versión 1.19.  Se actualizaron la regla `Host_localhost_HEADER` y todas las reglas de deserialización de Log4J y Java para mejorar la detección.  Para obtener información sobre este tipo de implementación, consulte [Implementaciones de excepciones para reglas AWS administradas](waf-managed-rule-groups-deployments-exceptions.md). | 2023-10-04 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregaron reglas al grupo de reglas con la acción Count.  La regla de IP de reutilización de tokens detecta y cuenta el uso compartido de tokens entre direcciones IP.  Las reglas de actividad coordinada utilizan un análisis automatizado del tráfico del sitio web mediante machine learning (ML) para detectar la actividad relacionada con los bots. En la configuración del grupo de reglas, puede desactivar el uso de ML. Con esta versión, los clientes que actualmente utilizan el nivel de protección específicas optan por el uso del ML. Al excluirse, se deshabilitan las reglas de actividad coordinada.  | 2023-09-06 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregó la regla `CategoryAI` al grupo de reglas.  | 2023-08-30 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.7 de este grupo de reglas.  Se actualizaron las reglas SSRF de metadatos de EC2 y extensiones restringidas para mejorar la detección y reducir los falsos positivos.  | 2023-07-26 | 
| [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md) Todas las reglas están en un nuevo grupo de reglas  | Se agregó el grupo de reglas de AWSManagedRulesACFPRuleSet.  | 2023-06-13 | 
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.2 de este grupo de reglas.  Se agregaron firmas para mejorar la detección.   | 2023-05-22 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.6 de este grupo de reglas.  Se actualizaron el scripting entre sitios (XSS) y las reglas de extensiones restringidas para mejorar la detección y reducir los falsos positivos.  | 2023-04-28 | 
| [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.0 de este grupo de reglas.  Se agregaron firmas para mejorar la detección en todas las reglas.  Se reemplazó la regla `PHPHighRiskMethodsVariables_QUERYARGUMENTS` por `PHPHighRiskMethodsVariables_QUERYSTRING`, que inspecciona toda la cadena de consulta en lugar de solo los argumentos de la consulta.  Se agregó la regla `PHPHighRiskMethodsVariables_HEADER` para ampliar la cobertura e incluir todos los encabezados. Se actualizaron las siguientes etiquetas para alinearlas con el etiquetado estándar AWS de las reglas administradas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 27 de febrero de 2023 | 
| [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregaron reglas de inspección de respuestas de inicio de sesión para su uso con CloudFront distribuciones protegidas de Amazon. Estas reglas pueden bloquear nuevos intentos de inicio de sesión desde direcciones IP y sesiones de clientes que recientemente hayan provocado demasiados intentos fallidos de inicio de sesión.  | 15-02-2021 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.5 de este grupo de reglas.  Se actualizaron los filtros de scripting entre sitios (XSS) para mejorar la detección.  | 2023-01-25 | 
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 2.1 de este grupo de reglas.  Se eliminaron la regla `LFI_COOKIE` y su etiqueta `awswaf:managed:aws:linux-os:LFI_Cookie`, y se sustituyeron por la nueva regla `LFI_HEADER` y su etiqueta `awswaf:managed:aws:linux-os:LFI_Header`. Este cambio amplía la inspección a varios encabezados.  Se han agregado transformaciones de texto y firmas a todas las reglas para mejorar la detección.  | 15 de diciembre de 2022 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.4 de este grupo de reglas.  Se agregó una transformación de texto a `NoUserAgent_HEADER` para eliminar todos los bytes nulos. Se actualizaron los filtros de reglas scripting entre sitios (XSS) para mejorar la detección.  | 2022-12-05 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.17 de este grupo de reglas.  Se actualizaron las reglas de deserialización de Java para agregar la detección de las solicitudes que coincidan con la CVE-2022 42889 de Apache, una vulnerabilidad de ejecución remota de código (RCE) presente en las versiones de Apache Commons Text anteriores a la 1.10.0. Para obtener más información, consulte [NIST: National Vulnerability Database: CVE-2022-42889 Detail](https://nvd.nist.gov/vuln/detail/CVE-2022-42889) y [CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om). Detección mejorada en `Host_localhost_HEADER`. | 2022-10-20 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.16 de este grupo de reglas.  Se eliminaron los falsos positivos AWS identificados en la versión 1.15. | 05/10/2022 | 
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)  [WordPress grupo de reglas gestionado por la aplicación](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)   | Se corrigieron los nombres de las etiquetas documentados.   | 2022-09-19 | 
| [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Este cambio no altera la forma en que el grupo de reglas gestiona el tráfico web. Se agregó una nueva regla con Count acciones para inspeccionar las direcciones IP que participan activamente en actividades DDo S, según la inteligencia de amenazas de Amazon.  | 30 de agosto de 2022 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión estática 1.15 de este grupo de reglas.  Se quitó `Log4JRCE` y se sustituyó por `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` y `Log4JRCE_BODY`, para una monitorización y una gestión más precisas de los falsos positivos.  Se agregaron firmas para mejorar la detección y el bloqueo de `PROPFIND_METHOD`, y todas las reglas `JavaDeserializationRCE*` y `Log4JRCE*`.  Se han actualizado las etiquetas para corregir el uso de mayúsculas y minúsculas en `Host_localhost_HEADER` y en todas las reglas `JavaDeserializationRCE*`.  Se corrigió la descripción de `JavaDeserializationRCE_HEADER`. | 2022-08-22 | 
| [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregó una regla para impedir el uso del grupo de reglas administradas de prevención de apropiación de cuentas para el tráfico web del grupo de usuarios de Amazon Cognito.  | 2022-08-11 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)  | AWS ha programado la caducidad de las versiones `Version_1.2` y `Version_2.0` del grupo de reglas. Las versiones vencerán el 9 de septiembre de 2022. Para obtener más información sobre la caducidad de versiones, consulte [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md). | 9 de junio de 2022 | 
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.3 de este grupo de reglas. Esta versión actualiza las firmas de coincidencia en las reglas `GenericLFI_URIPATH` y `GenericRFI_URIPATH` para mejorar la detección.  | 2022-05-24 | 
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregó la regla `CategoryEmailClient` al grupo de reglas.  | 2022-04-06 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.14 de este grupo de reglas. Las cuatro reglas `JavaDeserializtionRCE` pasan al modo Block. | 2022-03-31 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.13 de este grupo de reglas. Se actualizó la transformación del texto para las vulnerabilidades RCE de Spring Core y Cloud Function. Estas reglas están en modo de recuento para recopilar métricas y evaluar los patrones coincidentes. La etiqueta se puede usar para bloquear las solicitudes en una regla personalizada. Se implementará una versión posterior con estas reglas en modo de bloqueo. | 2022-03-31 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.12 de este grupo de reglas. Se agregaron firmas para las vulnerabilidades RCE de Spring Core y Cloud Function. Estas reglas están en modo de recuento para recopilar métricas y evaluar los patrones coincidentes. La etiqueta se puede usar para bloquear las solicitudes en una regla personalizada. Se implementará una versión posterior con estas reglas en modo de bloqueo. Se eliminaron las reglas `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` y `Log4JRCE_BODY` ,y se sustituyeron por la regla `Log4JRCE`. | 2022-03-30 | 
| [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se actualiza la regla de AWSManagedReconnaissanceList para cambiar la acción de contar en bloque.  | 2022-02-15 | 
| [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) Todas las reglas están en un nuevo grupo de reglas  | Se agregó el grupo de reglas de AWSManagedRulesATPRuleSet.  | 2022-02-11 | 
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.9 de este grupo de reglas. Se ha eliminado la regla `Log4JRCE` y se ha sustituido por las reglas `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` y `Log4JRCE_BODY` para aumentar la flexibilidad en el uso de esta funcionalidad. Se agregaron firmas para mejorar la detección y el bloqueo. | 2022-01-28 | 
| Conjunto de reglas básicas (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Se lanzó la versión 2.0 de este grupo de reglas. Para estas reglas, se ajustaron las firmas de detección para reducir los falsos positivos. Se reemplazó la transformación de texto de `URL_DECODE` por la transformación de texto doble de `URL_DECODE_UNI`. Se agregó la transformación de texto de `HTML_ENTITY_DECODE`.  | 2022-01-10 | 
| Conjunto de reglas básicas (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Como parte del lanzamiento de la versión 2.0 de este grupo de reglas, se agregó la transformación de texto de `URL_DECODE_UNI`. Se ha eliminado la transformación de texto de `URL_DECODE` de `RestrictedExtensions_URIPATH`.  | 2022-01-10 | 
| Base de datos SQL [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Se lanzó la versión 2.0 de este grupo de reglas. Se reemplazó la transformación de texto de `URL_DECODE` por la transformación de texto doble de `URL_DECODE_UNI` y se añadió la transformación de texto de `COMPRESS_WHITE_SPACE`. Se agregaron más firmas de detección a `SQLiExtendedPatterns_QUERYARGUMENTS`. Se agregó la inspección JSON a `SQLi_BODY`. Se agregó la regla `SQLiExtendedPatterns_BODY`. Se ha eliminado la regla `SQLi_URIPATH`.  | 2022-01-10 | 
| Entradas incorrectas conocidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.8 de la regla `Log4JRCE` para mejorar la inspección de los encabezados y los criterios de coincidencia. | 2021-12-17 | 
| Entradas incorrectas conocidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se lanzó la versión 1.4 de la regla `Log4JRCE` para mejorar los criterios de coincidencia y la inspección de encabezados adicionales. Se lanzó la versión 1.5 para mejorar los criterios de coincidencia. | 2021-12-11 | 
| Entradas incorrectas conocidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Se agregó la versión 1.2 de la regla `Log4JRCE` en respuesta al problema de seguridad recientemente revelado en Log4j. Para obtener información, consulte [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228). Esta regla inspecciona las rutas de URI comunes, las cadenas de consulta, los primeros 8 KB del cuerpo de la solicitud y los encabezados comunes. La regla usa transformaciones de texto dobles de `URL_DECODE_UNI`. Se lanzó la versión 1.3 de la regla `Log4JRCE` para mejorar los criterios de coincidencia y la inspección de encabezados adicionales.  Se ha eliminado la regla `BadAuthToken_COOKIE_AUTHORIZATION`.  | 2021-12-10 | 

En la siguiente tabla, se muestran los cambios realizados antes de diciembre de 2021. 


| Reglas y grupos de reglas | Description (Descripción) | Fecha | 
| --- | --- | --- | 
| Lista de reputación de IP de Amazon | `AWSManagedReconnaissanceList` | Se agregó la regla AWSManagedReconnaissanceList en el modo de supervisión/recuento. Esta regla contiene direcciones IP que realizan un reconocimiento de los recursos. AWS  | 2021-11-23 | 
| Sistema operativo Windows |  `WindowsShellCommands` `PowerShellCommands`  |  Se agregaron tres nuevas reglas para los WindowsShell comandos:`WindowsShellCommands_COOKIE`, y`WindowsShellCommands_QUERYARGUMENTS`. `WindowsShellCommands_BODY` Se agregó una nueva PowerShell regla:`PowerShellCommands_COOKIE`. Reestructuró la denominación de las reglas `PowerShellComands` eliminando las cadenas \$1Set1 y \$1Set2. Se agregaron firmas de detección más completas a `PowerShellRules`. Se agregó la transformación de texto de `URL_DECODE_UNI` a todas las reglas del sistema operativo Windows.  | 2021-11-23 | 
| Sistema operativo Linux |  `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE`  |  Se reemplazó la transformación de texto doble de `URL_DECODE` por `URL_DECODE_UNI` doble. Se agregó `NORMALIZE_PATH_WIN` como segunda transformación de texto. Se reemplazó la regla `LFI_BODY` por la regla `LFI_COOKIE`. Se agregaron firmas de detección más completas para todas las reglas de `LFI`.  | 2021-11-23 | 
| Conjunto de reglas básicas (CRS) |  `SizeRestrictions_BODY`  | Se ha reducido el límite de tamaño para bloquear las solicitudes web con cargas de cuerpo de más de 8 KB. Anteriormente, el límite era de 10 KB.  | 2021-10-27 | 
| Conjunto de reglas básicas (CRS) |  `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS`  | Se agregaron más firmas de detección. Se ha agregado una doble decodificación de URL unicode para mejorar el bloqueo.  | 2021-10-27 | 
| Conjunto de reglas básicas (CRS) |  `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS`  | Se ha agregado una doble decodificación de URL unicode para mejorar el bloqueo.  | 2021-10-27 | 
| Conjunto de reglas básicas (CRS) |  `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH`  | Se actualizaron las firmas de reglas para reducir los falsos positivos en función de los comentarios de los clientes. Se ha agregado una doble decodificación de URL unicode para mejorar el bloqueo.  | 2021-10-27 | 
| Todos | Todas las reglas | Se agregó la compatibilidad con AWS WAF etiquetas a todas las reglas que aún no lo admitían.  | 2021-10-25 | 
| Lista de reputación de IP de Amazon | `AWSManagedIPReputationList_xxxx` | Se reestructuró la lista de reputación IP, se eliminaron los sufijos del nombre de la regla y se agregó compatibilidad con las etiquetas. AWS WAF  | 04-05-2021 | 
| Lista de IP anónimas | `AnonymousIPList` `HostingProviderList` | Se agregó soporte para etiquetas. AWS WAF  | 04/05/2021 | 
| Control de bots | Todos | Se agregó el conjunto de reglas de control de bots.  | 2021-04-01 | 
| Conjunto de reglas básicas (CRS) | `GenericRFI_QUERYARGUMENTS`  | Se ha agregado una doble decodificación de URL.  | 2021-03-03 | 
| Conjunto de reglas básicas (CRS) | `RestrictedExtensions_URIPATH`  | Se mejoró la configuración de las reglas y se agregó una decodificación de URL adicional.  | 2021-03-03 | 
| Protección de administración | `AdminProtection_URIPATH`  | Se ha agregado una doble decodificación de URL.  | 2021-03-03 | 
| Entradas incorrectas conocidas | `ExploitablePaths_URIPATH`  | Se mejoró la configuración de las reglas y se agregó una decodificación de URL adicional.  | 2021-03-03 | 
| Sistema operativo Linux | `LFI_QUERYARGUMENTS`  | Se mejoró la configuración de las reglas y se agregó una decodificación de URL adicional.  | 2021-03-03 | 
| Sistema operativo Windows | Todos | Se ha mejorado la configuración de las reglas.  | 2020-09-23 | 
| Aplicaciones PHP | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY`  | Se ha cambiado la transformación de texto de la decodificación de HTML a la decodificación de URL, para mejorar el bloqueo.  | 2020-09-16 | 
| Sistema operativo POSIX | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY`  | Se ha cambiado la transformación de texto de la decodificación de HTML a la decodificación de URL, para mejorar el bloqueo.  | 2020-09-16 | 
| Conjunto de reglas básicas | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI\$1BODY  | Se ha cambiado la transformación de texto de la decodificación de HTML a la decodificación de URL, para mejorar el bloqueo.  | 2020-08-07 | 
| Sistema operativo Linux | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY`  | Se ha cambiado la transformación de texto de la decodificación de entidades HTML a la decodificación de URL, para mejorar la detección y el bloqueo.  | 2020-05-19 | 
| Lista de direcciones IP anónimas | Todos | Nuevo grupo de reglas en [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md) para bloquear solicitudes de servicios que permiten ocultar la identidad del lector, para ayudar a mitigar los bots y para evadir las restricciones geográficas.  | 2020-03-06 | 
| WordPress solicitud | `WordPressExploitableCommands_QUERYSTRING`  | Nueva regla que comprueba si hay comandos vulnerables en la cadena de consulta. | 2020-03-03 | 
| Conjunto de reglas básicas (CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH`  | Se han ajustado las restricciones de valor de tamaño para mejorar la precisión.  | 2020-03-03 | 
| Base de datos SQL | `SQLi_URIPATH`  | Las reglas ahora comprueban el URI del mensaje. | 2020-01-23 | 
| Base de datos SQL | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE`  | Transformaciones de texto actualizadas. | 2019-12-20 | 
| Conjunto de reglas básicas (CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE`  | Transformaciones de texto actualizadas. | 2019-12-20 | 

# Administrar sus propios grupos de reglas
<a name="waf-user-created-rule-groups"></a>

Puede crear su propio grupo de reglas para reutilizar conjuntos de reglas que no encuentre en las ofertas de grupos de reglas administradas o para administrarlos por cuenta propia si así lo prefiere. 

Los grupos de reglas que cree tienen reglas, al igual que un paquete de protección (ACL web), y estas se agregan como si se tratase de un paquete de protección (ACL web). Al crear su propio grupo de reglas, tiene que establecer una capacidad máxima inmutable para él. 

**Topics**
+ [

# Crear un grupo de reglas
](waf-rule-group-creating.md)
+ [

# Edición de un grupo de reglas
](waf-rule-group-editing.md)
+ [

# Uso del grupo de reglas en un paquete de protección (ACL web)
](waf-rule-group-using.md)
+ [

# Eliminación de un grupo de reglas
](waf-rule-group-deleting.md)
+ [

# Cómo compartir un grupo de reglas
](waf-rule-group-sharing.md)

# Crear un grupo de reglas
<a name="waf-rule-group-creating"></a>

Para crear un nuevo grupo de reglas, siga el procedimiento de esta página. 

**Para crear un grupo de reglas**

1. Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, elija **Rule Groups (Grupos de reglas)** y, a continuación, **Create rule group (Crear grupo de reglas)**. 

1. Introduzca un nombre y una descripción del grupo. Los usará para identificar el conjunto de reglas y así administrarlo y usarlo. 

   No utilice nombres que comiencen por `AWS`, `Shield`, `PreFM` o `PostFM`. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted. Consulte [Reconocimiento de grupos de reglas proporcionados por otros servicios](waf-service-owned-rule-groups.md). 
**nota**  
No se puede cambiar el nombre después de crear el grupo.

1. En **Region (Región)**, elija la región en la que quiera almacenar el grupo de reglas. Para usar un grupo de reglas en los paquetes de protección (web ACLs) que protegen CloudFront las distribuciones de Amazon, debes usar la configuración global. También puede usar la configuración global para aplicaciones regionales.

1. Elija **Siguiente**.

1. Agregue reglas al grupo de reglas mediante el asistente **Generador de reglas** al igual que en la administración de un paquete de protección (ACL web). La única diferencia es que no se puede agregar un grupo de reglas a otro grupo de reglas. 

1. En **Capacidad**, establezca el máximo de unidades de capacidad del paquete de protección (ACL web) para el grupo de reglas (WCUs). Se trata de una configuración inmutable. Para obtener información al respecto WCUs, consulte[Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md). 

   A medida que agrega reglas al grupo, el panel **Add rules and set capacity (Añadir reglas y establecer capacidad)** muestra la capacidad mínima requerida, que se basa en las reglas que ya ha agregado. Puede utilizar este y sus planes futuros para el grupo de reglas para hacer una estimación de la capacidad que necesitará el grupo de reglas. 

1. Revise la configuración del grupo de reglas y seleccione **Create (Crear)**.

# Edición de un grupo de reglas
<a name="waf-rule-group-editing"></a>

Para agregar o eliminar reglas de un grupo de reglas o cambiar los ajustes de configuración, acceda al grupo de reglas mediante el procedimiento de esta página. 

**Riesgo de tráfico de producción**  
Si cambia un grupo de reglas que está actualmente en un paquete de protección (ACL web), esos cambios afectarán al comportamiento del paquete de protección (ACL web) independientemente de dónde se utilice. Asegúrese de probar y ajustar todos los cambios en un entorno de ensayo o pruebas hasta que se sienta cómodo con el impacto potencial en su tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**Edición de un grupo de reglas**

1. Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, elija **Rule groups** (Grupos de reglas).

1. Elija el nombre del grupo de reglas que desea editar. La consola lo lleva a la página del grupo de reglas. 
**nota**  
Si no ve el grupo de reglas que desea editar, compruebe la selección de regiones en la sección **Grupos de reglas**. Para los grupos de reglas que se utilizan para proteger CloudFront las distribuciones de Amazon, usa la configuración **Global (CloudFront)**. 

1. Edite el grupo de reglas según sea necesario. Puede editar las propiedades mutables del grupo de reglas, de forma similar a como lo hizo durante la creación. La consola guarda los cambios sobre la marcha.
**nota**  
Si cambias el nombre de una regla y quieres que el nombre de la métrica de la regla refleje el cambio, también debes actualizar el nombre de la métrica. AWS WAF no actualiza automáticamente el nombre de la métrica de una regla cuando se cambia el nombre de la regla. Puede cambiar el nombre de la métrica al editar la regla en la consola mediante el editor de reglas de JSON. También puede cambiar ambos nombres en cualquier lista de APIs JSON que utilice para definir su paquete de protección (ACL web) o grupo de reglas.

**Incoherencias temporales durante las actualizaciones**  
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. 

A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios: 
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible. 
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros. 
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.

# Uso del grupo de reglas en un paquete de protección (ACL web)
<a name="waf-rule-group-using"></a>

Para usar un grupo de reglas en un paquete de protección (ACL web), agréguelo al paquete de protección (ACL web) en una instrucción de referencia del grupo de reglas. 

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

**Para utilizar un grupo de reglas**

1. Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, elija **Rule groups** (Grupos de reglas).

1. Elija el nombre del grupo de reglas que desea usar.

1. Elija **Agregar reglas** y, a continuación, elija **Agregar mis propias reglas y grupos de reglas**.

1. Seleccione **Grupo de reglas** y seleccione el grupo de reglas de la lista. 

En su paquete de protección (ACL web), puede modificar el comportamiento de un grupo de reglas y sus reglas con la configuración de las acciones de reglas individuales en Count o cualquier otra acción. Esto puede ayudarlo a realizar tareas como probar un grupo de reglas, identificar los falsos positivos de las reglas de un grupo de reglas y personalizar la forma en que un grupo de reglas administradas gestiona sus solicitudes. Para obtener más información, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md). 

Si su grupo de reglas contiene una instrucción basada en tasas, cada paquete de protección (ACL web) en el que utilice el grupo de reglas tiene su propio seguimiento y administración de tasas independiente para la regla basada en tasas, sin importar cualquier otro paquete de protección (ACL web) en le que utilice el grupo de reglas. Para obtener más información, consulte [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md).

**Incoherencias temporales durante las actualizaciones**  
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. 

A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios: 
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible. 
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros. 
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.

# Eliminación de un grupo de reglas
<a name="waf-rule-group-deleting"></a>

Siga las instrucciones que se detallan en esta sección para eliminar un grupo de reglas.

**Eliminación de conjuntos o grupos de reglas al que se hace referencia**  
Al eliminar una entidad que puede usar en un paquete de protección (ACL web), como un conjunto de direcciones IP, un conjunto de patrones de expresiones regulares o un grupo de reglas, AWS WAF comprueba si la entidad se está utilizando actualmente en un paquete de protección (ACL web). Si descubre que está en uso, AWS WAF le avisa. AWS WAF casi siempre puede determinar si un paquete de protección (ACL web) hace referencia a una entidad. No obstante, es posible que en algunos casos no consiga hacerlo. Si necesita asegurarse de que ninguna entidad esté utilizando actualmente la entidad, compruébela en sus paquetes de protección (web ACLs) antes de eliminarla. Si la entidad es un conjunto al que se hace referencia, verifique que ningún grupo de reglas la esté utilizando.

**Para eliminar un grupo de reglas:**

1. Inicie sesión en Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, elija **Rule groups** (Grupos de reglas).

1. Seleccione el grupo de reglas que desea eliminar y, a continuación, haga clic en **Delete (Eliminar)**.
**nota**  
Si no ve el grupo de reglas que desea eliminar, compruebe la selección de regiones en la sección **Grupos de reglas**. Para los grupos de reglas que se utilizan para proteger CloudFront las distribuciones de Amazon, usa la configuración **Global (CloudFront)**. 

# Cómo compartir un grupo de reglas
<a name="waf-rule-group-sharing"></a>

Puede compartir un grupo de reglas con otras cuentas para que lo usen esas cuentas. 

**Compartir un grupo de reglas**  
Puede compartirlo con una o más cuentas específicas y con todas las cuentas de una organización. 

Para compartir un grupo de reglas, usa la AWS WAF API para crear una política para el uso compartido del grupo de reglas que desee. Para obtener más información, consulta [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html) en la *AWS WAF Referencia de la API de *.

**Uso de un grupo de reglas que se haya compartido con usted**  
Si se ha compartido un grupo de reglas con su cuenta, puede acceder a él a través de la API y hacer referencia a él cuando cree o actualice sus paquetes de protección (web ACLs) a través de la API. Para obtener más información [GetRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRuleGroup.html), consulte [CreateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateWebACL.html) y [UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) en la *referencia de la AWS WAF API*. Los grupos de reglas que se comparten con usted no aparecen en la lista de grupos de reglas de la AWS WAF consola. 

# AWS Marketplace grupos de reglas
<a name="marketplace-rule-groups"></a>

En esta sección se explica cómo utilizar los grupos de AWS Marketplace reglas.

AWS Marketplace Los grupos de reglas están disponibles mediante suscripción a través de la AWS Marketplace consola en [AWS Marketplace](https://aws.amazon.com/marketplace). Después de suscribirse a un grupo de AWS Marketplace reglas, puede usarlo en AWS WAF. Para usar un grupo de AWS Marketplace reglas en una AWS Firewall Manager AWS WAF política, todas las cuentas de la organización deben suscribirse a él. 

**Puede suscribirse a distintos tipos de grupos de reglas mediante AWS Marketplace:**
+ AWS WAF grupos de reglas gestionados por socios
+ Protecciones del cliente

Pruebe y ajuste cualquier cambio en sus AWS WAF protecciones antes de utilizarlas para el tráfico de producción. Para obtener información, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**AWS Marketplace Precios por grupos de reglas**  
AWS Marketplace Los grupos de reglas están disponibles sin contratos a largo plazo ni compromisos mínimos. Cuando te suscribes a un grupo de reglas, se te cobra una tarifa mensual (prorrateada por hora) y una tarifa de solicitud continua en función del volumen. Sin embargo, solo se le cobrará la cuota de suscripción cuando añada el grupo de reglas suscrito a una ACL web y comience a usarlo. Para obtener más información, consulte [AWS WAF los precios](https://aws.amazon.com/waf/pricing/) y la descripción de cada grupo de AWS Marketplace reglas en [AWS Marketplace](https://aws.amazon.com/marketplace).

**¿Tiene alguna pregunta sobre un grupo de AWS Marketplace reglas?**  
Si tienes preguntas sobre un grupo de reglas gestionado por un AWS Marketplace vendedor y si deseas solicitar cambios en la funcionalidad, ponte en contacto con el equipo de atención al cliente del proveedor. Para encontrar la información de contacto, consulte el listado del proveedor en [AWS Marketplace](https://aws.amazon.com/marketplace).

El proveedor del grupo de AWS Marketplace reglas determina cómo administrar el grupo de reglas, por ejemplo, cómo actualizar el grupo de reglas y si el grupo de reglas está versionado. El proveedor también determina los detalles del grupo de reglas, incluidas las reglas, las acciones de reglas y cualquier etiqueta que las reglas agreguen a las solicitudes web coincidentes. 

## Suscribirse a grupos de reglas AWS Marketplace
<a name="marketplace-rule-groups-subscribing"></a>

Puedes suscribirte y cancelar tu suscripción a los grupos de AWS Marketplace reglas en la AWS WAF consola. 

**importante**  
Para usar un grupo de AWS Marketplace reglas en una AWS Firewall Manager política, cada cuenta de la organización debe suscribirse primero a ese grupo de reglas. 

**Para suscribirse a un grupo de AWS Marketplace reglas**

1. Inicie sesión en Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, elija **Protecciones complementarias**.

1. En la sección **AWS Marketplace**, seleccione el nombre de un grupo de reglas para ver detalles e información sobre precios.
**sugerencia**  
Use los filtros para ordenar rápidamente las reglas que más le interesan. Por ejemplo, puede usar el filtro de **Categoría** para ver únicamente las protecciones del cliente.

1. Para suscribirse a un grupo de AWS Marketplace reglas: 

   1. Navegue a un grupo de reglas y seleccione **Suscribirse mediante Marketplace**.

   1. En la página de Marketplace que se abre, seleccione **Ver opciones de compra** y, a continuación, seleccione **Suscribirse**.
**nota**  
Si decide no suscribirse al grupo de reglas, simplemente cierre la ventana emergente.

Después de suscribirse a un grupo de AWS Marketplace reglas, lo usa en sus paquetes de protección (web ACLs) del mismo modo que lo hace con otros grupos de reglas administrados. Para obtener información, consulte [Creación de un paquete de protección (ACL web) en AWS WAF](web-acl-creating.md). 

Al agregar un grupo de reglas a un paquete de protección (ACL web), puede anular las acciones de las reglas del grupo de reglas y el resultado del grupo de reglas. Para obtener más información, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md). 

## Cancelar la suscripción a los grupos de reglas AWS Marketplace
<a name="marketplace-rule-groups-unsubscribing"></a>

Puede darse de baja de los grupos de AWS Marketplace reglas en la AWS Marketplace consola.

**importante**  
Para detener los cargos de suscripción de un grupo de AWS Marketplace reglas, debe eliminarlo de todos los paquetes de protección (web ACLs) incluidos en AWS WAF cualquier AWS WAF política de Firewall Manager, además de cancelar la suscripción a él. Si cancela la suscripción a un grupo de AWS Marketplace reglas pero no lo elimina de sus paquetes de protección (web ACLs), se le seguirá cobrando la suscripción. 

**Para cancelar la suscripción a un grupo de AWS Marketplace reglas**

1. Elimine el grupo de reglas de todos los paquetes de protección (web ACLs). Para obtener más información, consulte [Edición de un paquete de protección (ACL web) en AWS WAF](web-acl-editing.md).

1. Abra la AWS consola en [https://console.aws.amazon.com/market.](https://console.aws.amazon.com/marketplace)

   Aparece la página **Administrar suscripciones**.

1. Abra la lista de **Método de entrega** y seleccione **SaaS**.

1. En **Acuerdo**, abra la **lista de acciones** y elija **Cancelar la suscripción** junto al nombre del grupo de reglas del que desea cancelar la suscripción.

1. En el cuadro de diálogo **Cancelar la suscripción**, introduzca **confirm** y, a continuación, seleccione **Sí, cancelar la suscripción**.

## Solución de problemas de grupos de AWS Marketplace reglas
<a name="waf-managed-rule-group-troubleshooting"></a>

Si descubre que un grupo de AWS Marketplace reglas bloquea el tráfico legítimo, puede solucionar el problema siguiendo estos pasos.

**Para solucionar problemas de un grupo de reglas AWS Marketplace**

1. Anule las acciones de recuento de las reglas que bloquean el tráfico legítimo. Puede identificar qué reglas bloquean solicitudes específicas mediante las solicitudes AWS WAF muestreadas o AWS WAF los registros. Puede identificar las reglas si consulta el campo `ruleGroupId` en el registro o la regla `RuleWithinRuleGroup` en la solicitud muestreada. Puede identificar la regla en el patrón de `<Seller Name>#<RuleGroup Name>#<Rule Name>`. 

1. Si establecer reglas específicas para que solo cuenten las solicitudes no resuelve el problema, puedes anular todas las acciones de la regla o cambiar la acción del propio grupo de AWS Marketplace reglas de **No anular a **anular**** el recuento. Esto permite el paso de la solicitud web, independientemente de las acciones de las reglas individuales incluidas en el grupo de reglas. 

1. Tras anular la acción de la regla individual o toda la acción del grupo de AWS Marketplace reglas, ponte en contacto con el equipo de atención al cliente del proveedor del grupo de reglas para seguir solucionando el problema. Para obtener información de contacto, consulte la lista de grupos de reglas en las páginas de listas de productos en AWS Marketplace.

### Contactar con el soporte AWS
<a name="waf-managed-rule-group-troubleshooting-support"></a>

Si tiene problemas con AWS WAF un grupo de reglas gestionado por él AWS, póngase en contacto con AWS Support. Si tienes problemas con un grupo de reglas gestionado por un AWS Marketplace vendedor, ponte en contacto con el equipo de atención al cliente del proveedor. Para encontrar la información de contacto, consulta el listado del proveedor en AWS Marketplace.

# Reconocimiento de grupos de reglas proporcionados por otros servicios
<a name="waf-service-owned-rule-groups"></a>

Si usted o un administrador de su organización utilizan AWS Firewall Manager o AWS Shield Advanced administran las protecciones de recursos mediante ellas AWS WAF, es posible que vea declaraciones de referencia de grupos de reglas agregadas a los paquetes de protección (web ACLs) de su cuenta. 

Los nombres de estos grupos de reglas comienzan con las siguientes cadenas: 
+ **`ShieldMitigationRuleGroup`**— Estos grupos de reglas se administran AWS Shield Advanced y utilizan para mitigar automáticamente los recursos de la capa de aplicación DDo S protegida de la capa de aplicación (capa 7). 

  Al habilitar la mitigación automática de la capa DDo S de aplicación para un recurso protegido, Shield Advanced agrega uno de estos grupos de reglas al paquete de protección (ACL web) que ha asociado al recurso. Shield Avanzado asigna a la instrucción de referencia del grupo de reglas una configuración de prioridad de 10 000 000, de modo que se ejecute según las reglas que haya configurado en el paquete de protección (ACL web). Para obtener más información acerca de estos grupos de reglas, consulte [Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced](ddos-automatic-app-layer-response.md).
**aviso**  
No intente administrar manualmente este grupo de reglas en su paquete de protección (ACL web). En particular, no elimine manualmente la instrucción de referencia del grupo de reglas de `ShieldMitigationRuleGroup` de su paquete de protección (ACL web). Hacerlo podría tener consecuencias imprevistas para todos los recursos asociados al paquete de protección (ACL web). En su lugar, utilice Shield Avanzado para deshabilitar la mitigación automática de los recursos asociados al paquete de protección (ACL web). Shield Avanzado eliminará el grupo de reglas por usted cuando no sea necesario para la mitigación automática.
+ **`PREFMManaged`y `POSTFMManaged`**: estos grupos de reglas se administran en AWS Firewall Manager función de las configuraciones de AWS WAF políticas del Firewall Manager. Firewall Manager proporciona estos grupos de reglas dentro de los paquetes de protección (web ACLs) que administra Firewall Manager. 

  Firewall Manager crea paquetes de protección (web ACLs) para usted con nombres que comienzan por`FMManagedWebACLV2`. También puede configurar Firewall Manager para modernizar sus paquetes de protección existentes (web ACLs). En estos casos, el nombre del paquete de protección (ACL web) es el que especificó al crearlo. En cualquier caso, Firewall Manager agregará estos grupos de reglas al paquete de protección (ACL web). Para obtener más información, consulte [Uso de AWS WAF políticas con Firewall Manager](waf-policies.md).

# Unidades de capacidad de ACL web (WCUs) en AWS WAF
<a name="aws-waf-capacity-units"></a>

En esta sección se explica qué son las unidades de capacidad de ACL web (WCUs) y cómo funcionan.

AWS WAF WCUs se utiliza para calcular y controlar los recursos operativos necesarios para ejecutar las reglas, los grupos de reglas y la web ACLs. AWS WAF impone los límites de la WCU al configurar los grupos de reglas y la web. ACLs WCUs no afectan a la forma en que AWS WAF inspecciona el tráfico web. 

AWS WAF gestiona la capacidad de las reglas, los grupos de reglas y la web ACLs. 

**Regla WCUs**  
AWS WAF calcula la capacidad de la regla al crear o actualizar una regla. AWS WAF calcula la capacidad de forma diferente para cada tipo de regla, a fin de reflejar el coste relativo de cada regla. Las reglas simples cuya ejecución cuesta poco utilizan menos WCUs que las reglas más complejas que utilizan más potencia de procesamiento. Por ejemplo, una sentencia de restricción de tamaño utiliza WCUs menos que una sentencia que inspecciona las solicitudes mediante un conjunto de patrones de expresiones regulares. 

Los requisitos de capacidad de las reglas suelen empezar con un coste base para el tipo de regla y aumentan con la complejidad, por ejemplo, cuando se agregan transformaciones de texto antes de la inspección o si se inspecciona el cuerpo JSON. Para obtener información sobre los requisitos de capacidad de las reglas, consulte la lista de instrucciones de reglas en [Uso de enunciados de reglas en AWS WAF](waf-rule-statements.md). 

**Grupo de reglas WCUs**  
Los requisitos de WCU para un grupo de reglas vienen determinados por las reglas que defina dentro del grupo de reglas. La capacidad máxima de un grupo de reglas es de 5000 WCUs. 

Cada grupo de reglas tiene una configuración de capacidad inmutable, que el propietario asigna en el momento de la creación. Esto es válido para los grupos de reglas administrados y los grupos de reglas mediante los cuales se crean AWS WAF. Al modificar un grupo de reglas, los cambios deben mantener el grupo de reglas WCUs dentro de su capacidad. Esto garantiza que los paquetes de protección (web ACLs) o web ACLs que utilizan el grupo de reglas se mantengan dentro de sus requisitos de capacidad. 

Lo WCUs que se utiliza en un grupo de reglas es la suma de WCUs las reglas menos las optimizaciones de procesamiento que AWS WAF se puedan obtener al combinar el comportamiento de las reglas. Por ejemplo, si define dos reglas para examinar el mismo componente de solicitud web y cada una de las reglas aplica una transformación concreta al componente antes de inspeccionarlo, es AWS WAF posible que solo pueda cobrarle una vez por aplicar la transformación. El coste de la WCU para usar un grupo de reglas en un paquete de protección (ACL web) es siempre la configuración fija de la WCU que se definió al crear el grupo de reglas. 

Al crear un grupo de reglas, asegúrese de establecer una capacidad lo suficientemente alta como para dar cabida a las reglas que quiera utilizar durante toda la vida útil del grupo de reglas. 

**Paquete de protección o ACL web WCUs**  
Los requisitos de la WCU para un paquete de protección (ACL web) se determinan en función de las reglas y los grupos de reglas que use dentro del paquete de protección (ACL web). 
+ El coste de usar un grupo de reglas en un paquete de protección (ACL web) es la configuración de la capacidad del grupo de reglas. 
+ El costo de usar una regla es el cálculo de la regla WCUs menos las optimizaciones de procesamiento que AWS WAF se puedan obtener de la combinación de reglas del paquete de protección (ACL web). Por ejemplo, si define dos reglas para examinar el mismo componente de solicitud web y cada una de las reglas aplica una transformación concreta al componente antes de inspeccionarlo, es AWS WAF posible que pueda cobrarle una sola vez por aplicar la transformación. 

El precio básico de un paquete de protección (ACL web) incluye hasta 1500 WCUs €. El uso de más de WCUs 1500 implica cargos adicionales, según un modelo de precios escalonado. AWS WAF ajusta automáticamente el precio del paquete de protección (ACL web) a medida que cambia el uso de la WCU del paquete de protección (ACL web). Para obtener más información sobre precios, consulte [precios de AWS WAF](https://aws.amazon.com/waf/pricing/). 

La capacidad máxima de un paquete de protección (ACL web) es de 5000. WCUs 

## Determinar si un grupo de reglas, un paquete de protección (ACL web) o una ACL web WCUs
<a name="aws-waf-capacity-units-used"></a>

Como se indicó en las secciones anteriores, el total WCUs utilizado en un grupo de reglas, paquete de protección (ACL web) o ACL web será igual *o inferior* a la WCUs suma de todas las reglas definidas en el grupo de reglas, paquete de protección (ACL web) o ACL web.

En la AWS WAF consola, puede ver la capacidad consumida al agregar reglas a su paquete de protección (ACL web), ACL web o grupo de reglas. La consola muestra las unidades de capacidad actuales utilizadas al agregar las reglas. 

A través de la API puede comprobar los requisitos de capacidad máxima de las reglas que desee usar en un paquete de protección (ACL web), ACL web o grupo de reglas. Para ello, proporcione la lista de JSON de las reglas a la llamada de verificación de capacidad. Para obtener más información, consulte [CheckCapacity](https://docs.aws.amazon.com/waf/latest/APIReference/API_CheckCapacity.html)la *referencia de la API AWS WAF V2*.

# Sobredimensionar los componentes de las solicitudes web en AWS WAF
<a name="waf-oversize-request-components"></a>

En esta sección se explica cómo administrar los límites de tamaño al inspeccionar el cuerpo, los encabezados y las cookies de la solicitud web en AWS WAF.

AWS WAF no admite la inspección de contenidos muy grandes para el cuerpo, los encabezados o las cookies de los componentes de las solicitudes web. El servicio de alojamiento subyacente tiene límites de recuento y tamaño en cuanto a lo que reenvía para AWS WAF su inspección. Por ejemplo, el servicio de alojamiento no envía más de 200 encabezados, por lo que AWS WAF, en el caso de una solicitud web con 205 encabezados, no AWS WAF puede inspeccionar los últimos 5 encabezados. 

Cuando se AWS WAF permite que una solicitud web pase a tu recurso protegido, se envía la solicitud web completa, incluido el contenido que se encuentra fuera de los límites de recuento y tamaño que AWS WAF se pudieron inspeccionar. 

**Límites de tamaño de inspección de componentes**  
Los límites de tamaño de inspección de los componentes son los siguientes: 
+ **`Body`y `JSON Body`** — Para Application Load Balancer y AWS AppSync, AWS WAF puede inspeccionar los primeros 8 KB del cuerpo de una solicitud. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, de forma predeterminada, AWS WAF pueden inspeccionar los primeros 16 KB y usted puede aumentar el límite hasta 64 KB en la configuración de su paquete de protección (ACL web). Para obtener más información, consulte [Consideraciones para gestionar la inspección corporal en AWS WAF](web-acl-setting-body-inspection-limit.md). 
+ **`Headers`**— AWS WAF puede inspeccionar como máximo los primeros 8 KB (8.192 bytes) de los encabezados de las solicitudes y, como máximo, los primeros 200 encabezados. El contenido está disponible para su inspección AWS WAF hasta que se alcance el primer límite. 

  Estos límites se aplican al inspeccionar todos los encabezados de una solicitud. Cuando inspeccionas un solo encabezado, AWS WAF puedes inspeccionar todo su contenido sin estas restricciones de tamaño o recuento.
+ **`Cookies`**— AWS WAF puede inspeccionar como máximo los primeros 8 KB (8.192 bytes) de las cookies solicitadas y, como máximo, las primeras 200 cookies. El contenido está disponible para su inspección AWS WAF hasta que se alcance el primer límite. 

**Opciones de gestión del sobredimensionamiento para sus instrucciones de reglas**  
Cuando escriba una instrucción de regla que inspecciona uno de estos tipos de componentes de solicitud, especifique cómo gestionar los componentes sobredimensionados. El manejo del tamaño excesivo indica AWS WAF qué hacer con una solicitud web cuando el componente de la solicitud que la regla inspecciona supera los límites de tamaño. 

Las opciones de gestión de componentes sobredimensionados son las siguientes: 
+ **Continue**— Inspeccione el componente de la solicitud normalmente de acuerdo con los criterios de inspección de la regla. AWS WAF inspeccionará el contenido del componente solicitado que se encuentre dentro de los límites de tamaño. 
+ **Match**— Considera que la solicitud web coincide con el enunciado de la regla. AWS WAF aplica la acción de la regla a la solicitud sin evaluarla en función de los criterios de inspección de la regla. 
+ **No match**— Considera que la solicitud web no coincide con el enunciado de la regla sin evaluarla en función de los criterios de inspección de la regla. AWS WAF continúa inspeccionando la solicitud web utilizando el resto de las reglas del paquete de protección (ACL web), como lo haría con cualquier regla que no coincida. 

En la AWS WAF consola, debes elegir una de estas opciones de gestión. Fuera de la consola, la opción predeterminada es Continue. 

Si utiliza la opción Match en una regla cuya acción esté establecida en Block, la regla bloqueará una solicitud cuyo componente inspeccionado esté sobredimensionado. Con cualquier otra configuración, la disposición final de la solicitud depende de varios factores, como la configuración de las demás reglas del paquete de protección (ACL web) y la acción predeterminada del paquete de protección (ACL web). 

**Gestión de sobredimensionamiento en grupos de reglas que no le pertenecen**  
Las limitaciones de tamaño y cantidad de componentes aplican a todas las reglas que utilice en su paquete de protección (ACL web). Esto incluye todas las reglas que utilice pero no administre en los grupos de reglas administradas y en los grupos de reglas que otra cuenta comparta con usted. 

Cuando utilice un grupo de reglas que no administre, es posible que el grupo de reglas tenga una regla que inspeccione un componente de solicitud limitado, pero que no gestione el contenido sobredimensionado de la forma en que necesita que se gestione. Para obtener información sobre cómo las reglas AWS administradas administran los componentes de gran tamaño, consulte[AWS Lista de grupos de reglas de Managed Rules](aws-managed-rule-groups-list.md). Para obtener información sobre otros grupos de reglas, pregunte a su proveedor de grupos de reglas.

**Pautas para administrar componentes de tamaño excesivo en su paquete de protección (ACL web)**  
La forma en que maneje componentes de tamaño excesivo en su paquete de protección (ACL web) puede depender de varios factores, como el tamaño esperado del contenido del componente de la solicitud, el manejo predeterminado de solicitudes del paquete de protección (ACL web) y cómo coinciden y manejan las solicitudes otras reglas del paquete de protección (ACL web). 

Las pautas generales para administrar los componentes sobredimensionados de solicitudes web son las siguientes: 
+ Si necesita permitir algunas solicitudes con un contenido de componentes sobredimensionados, si es posible, añada reglas para permitir explícitamente solo esas solicitudes. Priorice esas reglas para que se ejecuten antes que cualquier otra regla del paquete de protección (ACL web) que inspeccione los mismos tipos de componentes. Con este enfoque, no podrá AWS WAF inspeccionar todo el contenido de los componentes sobredimensionados que permite pasar a su recurso protegido.
+ Para todas las demás solicitudes, puede evitar que pasen bytes adicionales bloqueando las solicitudes que superen el límite: 
  + **Sus reglas y grupos de reglas**: en las reglas que inspeccionan los componentes con límites de tamaño, configure la gestión del sobredimensionamiento para bloquear las solicitudes que superen el límite. Por ejemplo, si su regla bloquea las solicitudes con un contenido de encabezado específico, configure la gestión del sobredimensionamiento para que coincida con las solicitudes que tienen un contenido de encabezado sobredimensionado. Como alternativa, si su paquete de protección (ACL web) bloquea solicitudes de manera predeterminada y su regla permite contenido específico de encabezados, configure el manejo de componentes excesivos de su regla para que no coincida con ninguna solicitud que tenga encabezados de tamaño excesivo. 
  + **Grupos de reglas que no administra**: para evitar que los grupos de reglas que no administra permitan componentes de solicitudes sobredimensionados, puede agregar una regla independiente que inspeccione el tipo de componente de solicitud y bloquee las solicitudes que sobrepasen los límites. Priorice la regla en su paquete de protección (ACL web) para que se ejecute antes que los grupos de reglas. Por ejemplo, puede bloquear solicitudes con cuerpos de tamaño excesivo antes de que se ejecute cualquiera de sus reglas de inspección de cuerpo en el paquete de protección (ACL web). El siguiente procedimiento describe cómo agregar este tipo de regla.

## Bloqueo de componentes de solicitudes web sobredimensionados
<a name="waf-oversize-request-components-blocking"></a>

Puede agregar una regla en su paquete de protección (ACL web) que bloquee solicitudes con componentes excesivos. 

**Cómo agregar una regla que bloquee el contenido sobredimensionado**

1. Cuando cree o edite su paquete de protección (ACL web), en la configuración de reglas, elija **Agregar reglas**, **Agregar mis propias reglas y grupos de reglas**, **Generador de reglas** y, a continuación, **Editor visual de reglas**. Para obtener orientación sobre cómo crear o editar un paquete de protección (ACL web), consulte [Ver las métricas de tráfico web en AWS WAF](web-acl-working-with.md).

1. Introduzca un nombre para la regla y deje la opción **Tipo** en **Regla normal**. 

1. Cambia las siguientes configuraciones de coincidencia de sus valores predeterminados: 

   1. En **Instrucción**, en **Inspeccionar**, abra el menú desplegable y elija el componente de solicitud web que necesite: **Cuerpo**, **Encabezados** o **Cookies**. 

   1. En **Tipo de coincidencia**, seleccione **Tamaño mayor que**. 

   1. En **Tamaño**, escriba un número que sea al menos el tamaño mínimo para el tipo de componente. En encabezados y cookies, escriba `8192`. En Application Load Balancer o paquetes de AWS AppSync protección (web ACLs), para cuerpos, escriba. `8192` Para los cuerpos incluidos en CloudFront los paquetes de protección API Gateway, Amazon Cognito, App Runner o Verified Access (web ACLs), si utiliza el límite de tamaño corporal predeterminado, escriba. `16384` De lo contrario, escriba el límite de tamaño de cuerpo que haya definido para su paquete de protección (ACL web). 

   1. Para **Administrar sobredimensionamiento**, seleccione **Coincidencia**. 

1. En **Acción**, seleccione **Bloquear**.

1. Seleccione **Agregar regla**.

1. Después de agregar la regla, en la página **Establecer la prioridad de la regla**, muévala por encima de cualquier regla o grupo de reglas del paquete de protección (ACL web) que inspeccione el mismo tipo de componente. Esto le da a la nueva regla una configuración de prioridad numérica más baja, lo que hace que AWS WAF la evalúe primero. Para obtener más información, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md).

# Sintaxis de expresiones regulares admitida en AWS WAF
<a name="waf-regex-pattern-support"></a>

AWS WAF admite la sintaxis de patrones de expresiones regulares utilizada por la biblioteca `libpcre` PCRE. La biblioteca está documentada en [PCRE, expresiones regulares compatibles con Perl](http://www.pcre.org/). 

AWS WAF no es compatible con todas las construcciones de la biblioteca. Por ejemplo, admite algunas afirmaciones de ancho cero, pero no todas. No tenemos una lista completa de los constructos compatibles. Sin embargo, si proporcionas un patrón de expresiones regulares que no es válido o utilizas construcciones no compatibles, la AWS WAF API informa de un error. 

AWS WAF no admite los siguientes patrones de PCRE: 
+ Referencias a elementos anteriores y subexpresiones de captura
+ Referencias de subrutinas y patrones recursivos
+ Patrones condicionales
+ Verbos de control de búsqueda de datos anteriores
+ La directiva \$1C de byte único
+ La directiva \$1R de coincidencia de nueva línea
+ El inicio \$1K de la directiva de restablecimiento de coincidencia
+ Llamadas y código incrustado
+ Cuantificadores atómicos de agrupamiento y posesivos

# Conjuntos de IP y conjuntos de patrones de expresiones regulares en AWS WAF
<a name="waf-referenced-set-managing"></a>

En esta sección, se presentan los temas de los conjuntos de direcciones IP y de los conjuntos de patrones de expresiones regulares.

AWS WAF almacena información más compleja en conjuntos que usted utiliza haciendo referencia a ellos en sus reglas. Cada uno de estos conjuntos tiene un nombre. A cada conjunto se le asigna un nombre de recurso de Amazon (ARN) en el momento de su creación. Puede administrar estos conjuntos desde el interior de las instrucciones de regla y puede acceder a ellos y administrarlos por separado mediante el panel de navegación de la consola. 

Puede usar un conjunto administrado en un grupo de reglas o un paquete de protección (ACL web).
+ Para utilizar un conjunto de IP, consulte [Instrucción de regla de coincidencia de conjuntos de IP](waf-rule-statement-type-ipset-match.md). 
+ Para utilizar un conjunto de patrones de expresiones regulares, consulte [Instrucción de regla de coincidencia de conjuntos de patrones de regex](waf-rule-statement-type-regex-pattern-set-match.md). 

**Incoherencias temporales durante las actualizaciones**  
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. 

A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios: 
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible. 
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros. 
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.

**Topics**
+ [

# Creación y administración de un conjunto de IP en AWS WAF
](waf-ip-set-managing.md)
+ [

# Creación y administración de un conjunto de patrones de expresiones regulares en AWS WAF
](waf-regex-pattern-set-managing.md)

# Creación y administración de un conjunto de IP en AWS WAF
<a name="waf-ip-set-managing"></a>

Un conjunto de IP proporciona una recopilación de las direcciones IP y rangos de direcciones IP que desea utilizar juntos en una instrucción de regla. Los conjuntos de IP son AWS recursos. 

Para usar un conjunto de IP en un paquete de protección (ACL web) o grupo de reglas, primero debe crear un AWS recurso `IPSet` con las especificaciones de su dirección. A continuación, tiene que hacer referencia al conjunto al agregar la instrucción de regla de un conjunto de IP a un paquete de protección (ACL web) o a un grupo de reglas. 

## Crear un conjunto de IP
<a name="waf-ip-set-creating"></a>

Siga el procedimiento de esta sección para crear un nuevo conjunto de IP.

**nota**  
Además del procedimiento descrito en esta sección, tiene la opción de agregar un nuevo conjunto de IP al agregar una regla de coincidencia de IP a su paquete de protección (ACL web) o grupo de reglas. Decantarse por esa opción requiere proporcionar la misma configuración necesaria para este procedimiento. 

**Para crear un conjunto de IP**

1. Inicie sesión en Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, elija **IP sets (Conjuntos de IP)** y, a continuación, **Create IP Set (Crear conjunto de IP)**. 

1. Introduzca un nombre y la descripción del conjunto de IP. Los usará para identificar el conjunto cuando desee usarlo. 
**nota**  
No se puede cambiar el nombre después de crear el conjunto.

1. En **Región**, selecciona Global (CloudFront) o elige la región en la que deseas almacenar el conjunto de IP. Puede usar conjuntos de IP regionales solo en paquetes de protección (web ACLs) que protegen los recursos regionales. Para usar una IP establecida en los paquetes de protección (web ACLs) que protegen CloudFront las distribuciones de Amazon, debe usar Global (CloudFront). 

1. En el caso de **IP version (versión de IP)**, seleccione la versión que desee utilizar.

1. En el cuadro de texto **Direcciones IP**, introduzca una dirección IP o un intervalo de direcciones IP por línea, en notación CIDR. AWS WAF admite todos los rangos IPv4 y IPv6 CIDR excepto. `/0` Para obtener más información acerca de la notación CIDR, consulte el artículo de Wikipedia [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing).

   Estos son algunos ejemplos:
   + **Para especificar la IPv4 dirección 192.0.2.44, escriba 192.0.2.44/32.**
   + **Para especificar la IPv6 dirección 2620:0:2 d 0:200:0:0:0:0, escriba 2620:0:2 d 0:200:0:0:0:0 /128.**
   + **Para especificar el rango de direcciones IPv4 de 192.0.2.0 a 192.0.2.255, escriba 192.0.2.0/24.**
   + **Para especificar el rango de IPv6 direcciones comprendido entre 2620:0:2 d 0:200:0:0:0 y 2620:0:2 d 0:200:ffff:ffff:ffff:ffff, escriba 2620:0:2 d 0:200: :/64.**

1. Revise la configuración del conjunto de IP y seleccione **Create IP set (Crear conjunto de IP)**.

## Eliminar un conjunto de IP
<a name="waf-ip-set-deleting"></a>

Siga las instrucciones que se detallan en esta sección para eliminar un conjunto al que se haga referencia.

**Eliminación de conjuntos o grupos de reglas al que se hace referencia**  
Al eliminar una entidad que puede usar en un paquete de protección (ACL web), como un conjunto de direcciones IP, un conjunto de patrones de expresiones regulares o un grupo de reglas, AWS WAF comprueba si la entidad se está utilizando actualmente en un paquete de protección (ACL web). Si descubre que está en uso, AWS WAF le avisa. AWS WAF casi siempre puede determinar si un paquete de protección (ACL web) hace referencia a una entidad. No obstante, es posible que en algunos casos no consiga hacerlo. Si necesita asegurarse de que ninguna entidad esté utilizando actualmente la entidad, compruébela en sus paquetes de protección (web ACLs) antes de eliminarla. Si la entidad es un conjunto al que se hace referencia, verifique que ningún grupo de reglas la esté utilizando.

**Para eliminar un conjunto de IP**

1. Inicie sesión en Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, elija **IP sets (Conjuntos de IP)**.

1. Seleccione el conjunto de IP que desee eliminar y seleccione **Delete (Eliminar)**.

# Creación y administración de un conjunto de patrones de expresiones regulares en AWS WAF
<a name="waf-regex-pattern-set-managing"></a>

Un conjunto de patrones de expresiones regex proporciona una recopilación de las expresiones regex que desea utilizar juntas en una instrucción de regla. Los conjuntos de patrones de expresiones regulares son recursos. AWS 

Para usar un conjunto de patrones de expresiones regulares en un paquete de protección (ACL web) o grupo de reglas, primero debe crear un AWS recurso `RegexPatternSet` con las especificaciones del patrón de expresiones regulares. A continuación, tiene que hacer referencia al conjunto al agregar la instrucción de regla a un conjunto de patrones de expresiones regulares a un paquete de protección (ACL web) o a un grupo de reglas. Un conjunto de patrones de especificaciones regex debe contener al menos un patrón de especificaciones regex. 

Si el conjunto de expresiones regulares contiene más de un patrón, la coincidencia de patrones se combina con una lógica `OR`. Es decir, una solicitud web coincidirá con la instrucción de regla del conjunto si el componente de la solicitud coincide con cualquiera de los patrones del conjunto.

AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE, con algunas excepciones. `libpcre` La biblioteca está documentada en [PCRE, expresiones regulares compatibles con Perl](http://www.pcre.org/). Para obtener información sobre el AWS WAF soporte, consulte[Sintaxis de expresiones regulares admitida en AWS WAF](waf-regex-pattern-support.md).

## Crear un conjunto de patrones de expresiones regex
<a name="waf-regex-pattern-set-creating"></a>

Siga el procedimiento de esta sección para crear un nuevo conjunto de patrones de expresiones regex.

**Para crear un conjunto de patrones de expresiones regex**

1. Inicie sesión en Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, elija **Regex pattern sets (Conjuntos de patrones de expresiones regex)** y, a continuación, **Create regex pattern set (Crear conjunto de patrones de expresiones regex)**. 

1. Introduzca un nombre y una descripción para el conjunto de patrones de expresiones regex. Los usará para identificar el conjunto cuando desee usarlo. 
**nota**  
No se puede cambiar el nombre después de crear el conjunto.

1. En **Región**, selecciona Global (CloudFront) o elige la región en la que deseas almacenar el conjunto de patrones de expresiones regulares. Puede utilizar conjuntos de patrones de expresiones regulares regionales solo en los paquetes de protección (web ACLs) que protegen los recursos regionales. Para usar un patrón de expresiones regulares establecido en los paquetes de protección (web ACLs) que protegen CloudFront las distribuciones de Amazon, debes usar Global (). CloudFront 

1. En el cuadro de texto **Regular expressions (Expresiones regulares)**, introduzca un patrón de expresiones regex por línea. 

   Por ejemplo, la expresión regular `I[a@]mAB[a@]dRequest` concuerda con las siguientes cadenas: `IamABadRequest`, `IamAB@dRequest`, `I@mABadRequest` y `I@mAB@dRequest`.

   AWS WAF admite la sintaxis de patrones utilizada por la biblioteca `libpcre` PCRE con algunas excepciones. La biblioteca está documentada en [PCRE, expresiones regulares compatibles con Perl](http://www.pcre.org/). Para obtener información sobre el AWS WAF soporte, consulte[Sintaxis de expresiones regulares admitida en AWS WAF](waf-regex-pattern-support.md).

1. Revise la configuración del conjunto de patrones de expresiones regulares y elija **Create regex pattern set (Crear conjunto de patrones de expresiones regex)**.

## Eliminar un conjunto de patrones de expresiones regex
<a name="waf-regex-pattern-set-deleting"></a>

Siga las instrucciones que se detallan en esta sección para eliminar un conjunto al que se haga referencia.

**Eliminación de conjuntos o grupos de reglas al que se hace referencia**  
Al eliminar una entidad que puede usar en un paquete de protección (ACL web), como un conjunto de direcciones IP, un conjunto de patrones de expresiones regulares o un grupo de reglas, AWS WAF comprueba si la entidad se está utilizando actualmente en un paquete de protección (ACL web). Si descubre que está en uso, AWS WAF le avisa. AWS WAF casi siempre puede determinar si un paquete de protección (ACL web) hace referencia a una entidad. No obstante, es posible que en algunos casos no consiga hacerlo. Si necesita asegurarse de que ninguna entidad esté utilizando actualmente la entidad, compruébela en sus paquetes de protección (web ACLs) antes de eliminarla. Si la entidad es un conjunto al que se hace referencia, verifique que ningún grupo de reglas la esté utilizando.

**Para eliminar un conjunto de patrones de expresiones regulares**

1. Inicie sesión en Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, elija **Regex pattern sets (Conjuntos de patrones de expresiones regex)**.

1. Seleccione el conjunto que desee eliminar y haga clic en **Delete (Eliminar)**.

# Solicitudes y respuestas web personalizadas en AWS WAF
<a name="waf-custom-request-response"></a>

En esta sección se explica cómo añadir un comportamiento personalizado de gestión de solicitudes y respuestas web a las acciones de las AWS WAF reglas y a las acciones del paquete de protección predeterminado (ACL web). La configuración personalizada se aplica siempre que se aplique la acción a la que está asociada. 

Puede personalizar las solicitudes web y las respuestas de las siguientes maneras: 
+ Con las acciones Allow, Count, CAPTCHA y Challenge, puede insertar encabezados personalizados en la solicitud web. Cuando AWS WAF reenvía la solicitud web al recurso protegido, la solicitud contiene toda la solicitud original más los encabezados personalizados que haya insertado. Para las acciones CAPTCHA y Challenge, AWS WAF solo aplica la personalización si la solicitud pasa la inspección del CAPTCHA o del token de desafío.
+ Con las acciones Block, puede definir una respuesta personalizada completa, con código de respuesta, encabezados y cuerpo. El recurso protegido responde a la solicitud mediante la respuesta personalizada proporcionada por AWS WAF. Su respuesta personalizada reemplaza la respuesta de acción predeterminada Block de `403 (Forbidden)`.

**Configuraciones de acción personalizables**  
Puede especificar una solicitud o respuesta personalizadas al definir las siguientes configuraciones de acción: 
+ Acción de la regla. Para obtener información, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).
+ Acción predeterminada para un paquete de protección (ACL web). Para obtener información, consulte [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md).

**Configuraciones de acción puede personalizar**  
*No puede* especificar una gestión de solicitudes personalizada en la acción de anulación de un grupo de reglas que use en un paquete de protección (ACL web). Consulte [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md). Consulte también [Uso de sentencias de grupos de reglas gestionados en AWS WAF](waf-rule-statement-type-managed-rule-group.md) y [Uso de declaraciones de grupos de reglas en AWS WAF](waf-rule-statement-type-rule-group.md).

**Incoherencias temporales durante las actualizaciones**  
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. 

A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios: 
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible. 
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros. 
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.

**Limita el uso de solicitudes y respuestas personalizadas**  
AWS WAF define la configuración máxima para el uso de solicitudes y respuestas personalizadas. Por ejemplo, un número máximo de encabezados de solicitud por paquete de protección (ACL web) o grupo de reglas, y un número máximo de encabezados personalizados para una única definición de respuesta personalizada. Para obtener información, consulte [AWS WAF cuotas](limits.md).

**Topics**
+ [

# Inserción de encabezados de solicitud personalizados para acciones no bloqueantes
](customizing-the-incoming-request.md)
+ [

# Envío de respuestas personalizadas para las acciones Block
](customizing-the-response-for-blocked-requests.md)
+ [

# Códigos de estado compatibles para la respuesta personalizada
](customizing-the-response-status-codes.md)

# Inserción de encabezados de solicitud personalizados para acciones no bloqueantes
<a name="customizing-the-incoming-request"></a>

En esta sección se explica cómo indicar que se AWS WAF inserten encabezados personalizados en la solicitud HTTP original cuando una acción de regla no bloquea la solicitud. Con esta opción, solo agrega a la solicitud. No puede modificar ni reemplazar ninguna parte de la solicitud original. Los casos de uso para la inserción de encabezados personalizados incluyen indicar a una aplicación posterior que procese la solicitud de forma diferente en función de los encabezados insertados y marcar la solicitud para su análisis.

**importante**  
Esta opción se aplica a las acciones de regla Allow, Count, CAPTCHA y Challenge, y a las acciones predeterminadas del paquete de protección (ACL web) configuradas en Allow. Para obtener más información sobre las acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md). Para obtener más información acerca de las acciones predeterminadas del paquete de protección (ACL web), consulte [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md).

## Consideraciones al usar nombres de encabezado de solicitud personalizados
<a name="using-custom-request-header-names"></a>

**Se han agregado prefijos a los encabezados de las solicitudes**  
AWS WAF pone prefijos a todos los encabezados de solicitud con los que inserta`x-amzn-waf-`, para evitar confusiones con los encabezados que ya están en la solicitud. Por ejemplo, si especificas el nombre del encabezado`sample`, AWS WAF inserta el encabezado. `x-amzn-waf-sample`

**importante**  
Como práctica de seguridad, puede agregar una regla de coincidencia de cadenas que bloquee las solicitudes en las que el encabezado ya comience por `x-amzn-waf-`. Esto bloquea las solicitudes que no son de AWS WAF origen y que imitan la cadena de `x-amzn-waf-` prefijo que se inserta AWS WAF al procesar los encabezados de las solicitudes personalizadas.

El siguiente ejemplo muestra una regla de coincidencia de cadenas configurada para bloquear el tráfico en el caso de que el `x-amzn-waf-` prefijo no haya sido insertado por: AWS WAF

```
    "Rules": [
        {
          "Name": "CustomHeader",
          "Priority": 0,
          "Statement": {
            "ByteMatchStatement": {
              "SearchString": " x-amzn-waf-",
              "FieldToMatch": {
                "Headers": {
                  "MatchPattern": {
                    "All": {}
                  },
                  "MatchScope": "KEY",
                  "OversizeHandling": "MATCH"
                }
              },
              "TextTransformations": [
                {
                  "Priority": 0,
                  "Type": "NONE"
                }
              ],
              "PositionalConstraint": "STARTS_WITH"
            }
          },
          "Action": {
            "Block": {}
          },
          "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "CustomHeader"
          }
        }
      ]
```

Para obtener información acerca del uso de las reglas de coincidencia de cadenas, consulte [Instrucción de regla de coincidencia de cadenas](waf-rule-statement-type-string-match.md).

**Encabezados con el mismo nombre**  
Si la solicitud ya tiene un encabezado con el mismo nombre que el que AWS WAF se está insertando, AWS WAF sobrescribe el encabezado. Por lo tanto, si define encabezados en varias reglas con nombres idénticos, se agregará su encabezado a la última regla que inspeccione la solicitud y encuentre una coincidencia, y no a las reglas anteriores. 

## Uso de encabezados personalizados con acciones de regla de no finalización
<a name="custom-request-header-non-terminating-rule-actions"></a>

A diferencia de la Allow acción, la Count acción no detiene el procesamiento AWS WAF de la solicitud web mediante el resto de las reglas del paquete de protección (ACL web). Del mismo modo, cuando se CAPTCHA Challenge determina que el token de solicitud es válido, estas acciones no AWS WAF impiden procesar la solicitud web. Por lo tanto, si inserta encabezados personalizados mediante una regla con una de estas acciones, es posible que las reglas subsiguientes también inserten encabezados personalizados. Para obtener más información sobre el comportamiento de las acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).

Por ejemplo, supongamos que tiene las reglas siguientes, priorizadas en el orden que se muestra: 

1. RuleA con una acción Count y un encabezado personalizado denominado `RuleAHeader`.

1. RuleB con una acción Allow y un encabezado personalizado denominado `RuleBHeader`.

Si una solicitud coincide con la regla A y la regla B, AWS WAF inserta los encabezados `x-amzn-waf-RuleAHeader` y`x-amzn-waf-RuleBHeader`, a continuación, reenvía la solicitud al recurso protegido. 

AWS WAF inserta encabezados personalizados en una solicitud web cuando termina de inspeccionarla. Por lo tanto, si utiliza una gestión de solicitudes personalizadas con una regla que tenga la acción establecida en Count, las siguientes reglas no inspeccionarán los encabezados personalizados que añada. 

## Ejemplo de gestión de solicitudes personalizadas
<a name="example-custom-request-handling"></a>

La gestión de solicitudes personalizadas se define para la acción de una regla o para la acción predeterminada de un paquete de protección (ACL web). En la siguiente lista se muestra el JSON para la gestión personalizada agregada a la acción predeterminada de un paquete de protección (ACL web). 

```
{
 "Name": "SampleWebACL",
 "Scope": "REGIONAL",
 "DefaultAction": {
  "Allow": {
   "CustomRequestHandling": {
    "InsertHeaders": [
     {
      "Name": "fruit",
      "Value": "watermelon"
     },
     {
      "Name": "pie",
      "Value": "apple"
     }
    ]
   }
  }
 },
 "Description": "Sample protection pack (web ACL) with custom request handling configured for default action.",
 "Rules": [],
 "VisibilityConfig": {
  "SampledRequestsEnabled": true,
  "CloudWatchMetricsEnabled": true,
  "MetricName": "SampleWebACL"
 }
}
```

# Envío de respuestas personalizadas para las acciones Block
<a name="customizing-the-response-for-blocked-requests"></a>

En esta sección se explica cómo indicar AWS WAF que se envíe una respuesta HTTP personalizada al cliente para las acciones de regla o las acciones predeterminadas del paquete de protección (ACL web) configuradas en. Block Para obtener más información sobre las acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md). Para obtener más información acerca de las acciones predeterminadas del paquete de protección (ACL web), consulte [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md).

Al definir la gestión de respuestas personalizadas para una acción Block, define el código de estado, los encabezados y el cuerpo de la respuesta. Para obtener una lista de los códigos de estado con los que puede AWS WAF utilizarlos, consulte la sección siguiente,[Códigos de estado compatibles para la respuesta personalizada](customizing-the-response-status-codes.md). 

**Casos de uso**  
Entre los casos de uso de respuestas personalizadas se incluyen los siguientes: 
+ Envío de un código de estado no predeterminado de vuelta al cliente.
+ Devolver encabezados de respuesta personalizada al cliente. Puede especificar cualquier nombre de encabezamiento salvo para el `content-type`.
+ Envío una página de error estática al cliente.
+ Redireccionamiento del cliente a una URL diferente. Para ello, especifique uno de los códigos de estado de redirección de `3xx`, como `301 (Moved Permanently)` o `302 (Found)`, y, a continuación, especifique un nuevo encabezado con el nombre `Location` y con la nueva URL. 

**Interacción con las respuestas que defina en su recurso protegido**  
Las respuestas personalizadas que especifique para la AWS WAF Block acción tienen prioridad sobre cualquier especificación de respuesta que defina en el recurso protegido. 

El servicio de alojamiento del AWS recurso con el que se protege AWS WAF puede permitir la gestión personalizada de las respuestas para las solicitudes web. Algunos ejemplos son los siguientes: 
+ Con Amazon CloudFront, puedes personalizar la página de error en función del código de estado. Para obtener más información, consulta [Generar respuestas de error personalizadas](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) en la *Guía para CloudFront desarrolladores de Amazon*. 
+ Con Amazon API Gateway, puede definir el código de respuesta y estado de su puerta de enlace. Para obtener información, consulte el tema [Respuestas de la puerta de enlace en API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-gatewayResponse-definition.html) en la *Guía para desarrolladores de Amazon API Gateway*. 

No puede combinar la configuración de respuesta AWS WAF personalizada con la configuración de respuesta personalizada en el AWS recurso protegido. La especificación de respuesta para cualquier solicitud web individual proviene completamente de AWS WAF o completamente del recurso protegido. 

En el caso de las solicitudes web que AWS WAF bloquean, a continuación se muestra el orden de prioridad.

1. **AWS WAF respuesta personalizada**: si la AWS WAF Block acción tiene habilitada una respuesta personalizada, el recurso protegido devuelve la respuesta personalizada configurada al cliente. Cualquier configuración de respuesta que haya definido en el propio recurso protegido no tiene ningún efecto. 

1. **Respuesta personalizada definida en el recurso protegido**: de lo contrario, si el recurso protegido tiene una configuración de respuesta personalizada especificada, el recurso protegido utiliza esa configuración para responder al cliente. 

1. **AWS WAF Blockrespuesta predeterminada**: de lo contrario, el recurso protegido responde al cliente con la Block respuesta AWS WAF predeterminada`403 (Forbidden)`. 

En el caso de las solicitudes web que lo AWS WAF permitan, la configuración del recurso protegido determina la respuesta que envía al cliente. No puedes configurar los ajustes de respuesta AWS WAF para las solicitudes permitidas. La única personalización que puedes configurar AWS WAF para las solicitudes permitidas es la inserción de encabezados personalizados en la solicitud original antes de reenviarla al recurso protegido. Esta opción se ha descrito en la sección anterior, [Inserción de encabezados de solicitud personalizados para acciones no bloqueantes](customizing-the-incoming-request.md). 

**Encabezados de respuesta personalizados**  
Puede especificar cualquier nombre de encabezamiento salvo para el `content-type`.

**Cuerpos de respuesta personalizados**  
El cuerpo de una respuesta personalizada se define en el contexto del paquete de protección (ACL web) o del grupo de reglas en el que desee usarla. Una vez que haya definido un cuerpo de respuesta personalizada, puede usarlo como referencia en cualquier otro lugar del paquete de protección (ACL web) o del grupo de reglas en el que lo creó. En la configuración de la acción individual Block, se hace referencia al cuerpo personalizado que se quiere usar y se definen el código de estado y el encabezado de la respuesta personalizada. 

Cuando crea una respuesta personalizada en la consola, puede elegir entre los cuerpos de respuesta que ya ha definido o puede crear un nuevo cuerpo. Fuera de la consola, puede definir los cuerpos de respuesta personalizada en el paquete de protección (ACL web) o en el grupo de reglas, y, a continuación, hacer referencia a ellos desde la configuración de las acciones del paquete de protección (ACL web) o del grupo de reglas. Esto se muestra en el ejemplo JSON de la siguiente sección. 

**Respuesta personalizada de ejemplo**  
En el siguiente ejemplo, se muestra la JSON de un grupo de reglas con una configuración de respuesta personalizada. El cuerpo de la respuesta personalizada se define para todo el grupo de reglas y, a continuación, se hace referencia a él mediante una clave en la acción de regla.

```
{
 "ARN": "test_rulegroup_arn",
 "Capacity": 1,
 
 "CustomResponseBodies": {
  "CustomResponseBodyKey1": {
   "Content": "This is a plain text response body.",
   "ContentType": "TEXT_PLAIN"
  }
 },
 
 "Description": "This is a test rule group.",
 "Id": "test_rulegroup_id",
 "Name": "TestRuleGroup",
 
 "Rules": [
  {
   "Action": {
    "Block": {
     "CustomResponse": {
      "CustomResponseBodyKey": "CustomResponseBodyKey1",
      "ResponseCode": 404,
      "ResponseHeaders": [
       {
        "Name": "BlockActionHeader1Name",
        "Value": "BlockActionHeader1Value"
       }
      ]
     }
    }
   },
   "Name": "GeoMatchRule",
   "Priority": 1,
   "Statement": {
    "GeoMatchStatement": {
     "CountryCodes": [
      "US"
     ]
    }
   },
   "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "TestRuleGroupReferenceMetric",
    "SampledRequestsEnabled": true
   }
  }
 ],
 "VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "TestRuleGroupMetric",
  "SampledRequestsEnabled": true
 }
}
```

# Códigos de estado compatibles para la respuesta personalizada
<a name="customizing-the-response-status-codes"></a>

Esta sección enumera los códigos de estado que puede usar en una respuesta personalizada. Para obtener información detallada sobre los códigos de estado HTTP, consulte [Códigos de estado](https://www.rfc-editor.org/rfc/rfc9110.html#name-status-codes) del Grupo de Trabajo de Ingeniería de Internet (IETF) y la [Lista de códigos de estado HTTP](https://en.wikipedia.org/wiki/List_of_HTTP_status_codes) en Wikipedia.

Los siguientes son los códigos de estado HTTP que AWS WAF admiten las respuestas personalizadas. 
+ `2xx Successful`
  + `200` – `OK`
  + `201` – `Created`
  + `202` – `Accepted` 
  + `204` – `No Content` 
  + `206` – `Partial Content`
+ `3xx Redirection `
  + `300` – `Multiple Choices`
  + `301` – `Moved Permanently`
  + `302` – `Found`
  + `303` –`See Other`
  + `304` – `Not Modified`
  + `307` – `Temporary Redirect`
  + `308` – `Permanent Redirect`
+ `4xx Client Error `
  + `400` – `Bad Request`
  + `401` – `Unauthorized`
  + `403` – `Forbidden`
  + `404` – `Not Found`
  + `405` – `Method Not Allowed`
  + `408` – `Request Timeout`
  + `409` – `Conflict`
  + `411` – `Length Required`
  + `412` – `Precondition Failed`
  + `413` – `Request Entity Too Large`
  + `414` – `Request-URI Too Long`
  + `415` – `Unsupported Media Type`
  + `416` – `Requested Range Not Satisfiable`
  + `421` – `Misdirected Request`
  + `429` – `Too Many Requests`
+ `5xx Server Error`
  + `500` – `Internal Server Error`
  + `501` – `Not Implemented`
  + `502` – `Bad Gateway`
  + `503` – `Service Unavailable`
  + `504` – `Gateway Timeout`
  + `505` – `HTTP Version Not Supported`

# Etiquetado de solicitudes web en AWS WAF
<a name="waf-labels"></a>

En esta sección se explica qué son AWS WAF las etiquetas.

Una etiqueta es un metadato que una regla agrega a una solicitud web cuando la regla coincide con la solicitud. Una vez agregada, la etiqueta permanece disponible en la solicitud hasta que finaliza la evaluación del paquete de protección (ACL web). Puede acceder a las etiquetas de las reglas que se ejecutan más adelante en la evaluación del paquete de protección (ACL web) mediante una instrucción de coincidencia de etiquetas. Para obtener más información, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md). 

Las etiquetas de las solicitudes web generan métricas de CloudWatch etiquetas de Amazon. Para ver una lista de las métricas y dimensiones, consulte [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). Para obtener información sobre cómo acceder a las métricas CloudWatch y a los resúmenes de métricas a través de la AWS WAF consola, consulte[Supervisión y ajuste de sus AWS WAF protecciones](web-acl-testing-activities.md).

**Casos de uso del etiquetado**  
Entre los casos de uso habituales de AWS WAF las etiquetas se incluyen los siguientes: 
+ **Evaluación de una solicitud web comparándola con varias sentencias de reglas antes de tomar medidas con respecto a la solicitud**: después de encontrar una regla que coincida con una regla de un paquete de protección (ACL web), AWS WAF continúa evaluando la solicitud con respecto al paquete de protección (ACL web) si la acción de la regla no finaliza la evaluación del paquete de protección (ACL web). Puede usar etiquetas para evaluar y recopilar información de varias reglas antes de decidir permitir o bloquear la solicitud. Para ello, cambie las acciones de reglas existentes a Count y configúrelas para que añadan etiquetas a las solicitudes coincidentes. A continuación, agregue una o más reglas nuevas para que se ejecuten después del resto de reglas, y configúrelas para evaluar las etiquetas y administrar las solicitudes de acuerdo con las combinaciones de coincidencias de etiquetas. 
+ **Administración de las solicitudes web por región geográfica**: puede usar solo la regla de coincidencia geográfica para administrar las solicitudes web por país de origen. Para ajustar la ubicación en cuanto a la región, se utiliza la regla de coincidencia geográfica con una acción Count seguida de una regla de coincidencia de etiquetas. Para obtener información sobre la regla de coincidencia geográfica, consulte [Instrucción de regla de coincidencia geográfica](waf-rule-statement-type-geo-match.md). 
+ **Reutilización de la lógica en varias reglas**: si necesita reutilizar la misma lógica en varias reglas, puede usar etiquetas para obtener la lógica de un solo origen y comprobar los resultados. Cuando tiene varias reglas complejas que utilizan un subconjunto común de instrucciones de reglas anidadas, duplicar el conjunto de reglas común en todas las reglas complejas puede llevar mucho tiempo y llevar a errores. Con las etiquetas, puede crear una nueva regla con el subconjunto de reglas común que cuenta las solicitudes coincidentes y les agrega una etiqueta. Agregue la nueva regla a su paquete de protección (ACL web) para que se ejecute antes que las complejas reglas originales. A continuación, en las reglas originales, se reemplaza el subconjunto de reglas compartidas por una sola regla que comprueba la etiqueta. 

  Por ejemplo, supongamos que tiene varias reglas que desea aplicar únicamente a sus rutas de inicio de sesión. En lugar de hacer que cada regla especifique la misma lógica para que coincida con las posibles rutas de inicio de sesión, puede implementar una sola regla nueva que contenga esa lógica. Haga que la nueva regla añada una etiqueta a las solicitudes coincidentes para indicar que la solicitud se encuentra en una ruta de inicio de sesión. En su paquete de protección (ACL web), asigne a esta nueva regla una prioridad numérica inferior a la de las reglas originales para que se ejecute primero. A continuación, en las reglas originales, sustituya la lógica compartida por una comprobación de la presencia de la etiqueta. Para obtener información acerca de la configuración de prioridad, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md). 
+ **Creación de excepciones a las reglas en los grupos de reglas**: esta opción resulta especialmente útil para los grupos de reglas administradas, que no se pueden ver ni modificar. Muchas reglas de grupos de reglas administradas agregan etiquetas a las solicitudes web coincidentes para indicar las reglas que coinciden y, posiblemente, para proporcionar información adicional sobre la coincidencia. Cuando usa un grupo de reglas que agrega etiquetas a las solicitudes, puede anular las reglas del grupo de reglas para contar las coincidencias y, a continuación, ejecutar una regla después del grupo de reglas que gestiona la solicitud web en función de las etiquetas del grupo de reglas. Todas las reglas administradas de AWS agregan etiquetas a las solicitudes web coincidentes. Para ver los detalles, consulte las descripciones de las reglas en [AWS Lista de grupos de reglas de Managed Rules](aws-managed-rule-groups-list.md). 
+ **Uso de métricas de etiquetas para supervisar los patrones de tráfico**: puede acceder a las métricas de las etiquetas que agregue a través de sus reglas y a las métricas que se agreguen por medio de cualquier grupo de reglas administradas que utilice en su paquete de protección (ACL web). Todos los grupos de reglas administradas AWS agregan etiquetas a las solicitudes web que evalúan. Para ver una lista de las métricas y dimensiones de las etiquetas, consulte [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label). Puede acceder a las métricas y a los resúmenes de métricas a través CloudWatch de la página del paquete de protección (ACL web) de la AWS WAF consola. Para obtener información, consulte [Supervisión y ajuste de sus AWS WAF protecciones](web-acl-testing-activities.md). 

# Cómo funciona el etiquetado en AWS WAF
<a name="waf-rule-label-overview"></a>

En esta sección se explica cómo funcionan AWS WAF las etiquetas.

Cuando una regla coincide con una solicitud web, si la regla tiene etiquetas definidas, AWS WAF agrega las etiquetas a la solicitud al final de la evaluación de la regla. Las reglas que se evalúan después de la regla coincidente en el paquete de protección (ACL web) pueden hacer coincidir las etiquetas que esa regla haya agregado. 

**Quién añade etiquetas a las solicitudes**  
Los componentes del paquete de protección (ACL web) que evalúan solicitudes pueden agregar etiquetas a las solicitudes. 
+ Cualquier regla que no sea una instrucción de referencia de un grupo de reglas puede agregar etiquetas a las solicitudes web coincidentes. Los criterios de etiquetado forman parte de la definición de la regla y, cuando una solicitud web coincide con la regla, AWS WAF agrega las etiquetas de la regla a la solicitud. Para obtener información, consulte [AWS WAF reglas que añaden etiquetas](waf-rule-label-add.md).
+ La instrucción de la regla de coincidencia geográfica agrega etiquetas de país y región a todas las solicitudes que inspecciona, independientemente de si encuentra o no una coincidencia. Para obtener información, consulte [Instrucción de regla de coincidencia geográfica](waf-rule-statement-type-geo-match.md).
+ Las reglas AWS gestionadas para AWS WAF todos añaden etiquetas a las solicitudes que inspeccionan. Agregan algunas etiquetas en función de las coincidencias de reglas en el grupo de reglas y otras en función de los procesos de AWS que utilizan los grupos de reglas administradas, como el etiquetado de token que se agrega cuando se usa un grupo de reglas de mitigación de amenazas inteligente. Para obtener información sobre las etiquetas que agrega cada grupo de reglas administradas, consulte [AWS Lista de grupos de reglas de Managed Rules](aws-managed-rule-groups-list.md).

**¿Cómo AWS WAF gestiona las etiquetas**  
AWS WAF agrega las etiquetas de la regla a la solicitud al final de la inspección de la solicitud por parte de la regla. El etiquetado forma parte de las actividades de coincidencia de una regla, de forma similar a la acción. 

Las etiquetas no permanecen con la solicitud web después de que finaliza la evaluación del paquete de protección (ACL web). Para que otras reglas puedan hacer coincidir una etiqueta que su regla agrega, la acción de su regla no debe finalizar la evaluación de la solicitud web por parte del paquete de protección (ACL web). La acción de regla debe estar establecida en Count, CAPTCHA, o Challenge. Cuando la evaluación del paquete de protección (ACL web) no finaliza, las reglas posteriores en el paquete de protección (ACL web) pueden aplicar sus criterios de coincidencia de etiquetas sobre la solicitud. Para obtener más información sobre las acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md). 

**Acceso a etiquetas durante la evaluación del paquete de protección (ACL web)**  
Una vez agregadas, las etiquetas permanecen disponibles en la solicitud siempre y cuando AWS WAF se evalúe la solicitud con respecto al paquete de protección (ACL web). Cualquier regla de un paquete de protección (ACL web) puede acceder a las etiquetas que han agregado las reglas que ya se han ejecutado en la misma ACL web. Esto incluye reglas definidas directamente dentro del paquete de protección (ACL web) y reglas definidas dentro de grupos de reglas que se utilicen en el paquete de protección (ACL web). 
+ Para hacer coincidir los criterios de inspección de la solicitud de la regla con una etiqueta, utilice la instrucción de concordancia de etiquetas. Puede compararla con cualquier etiqueta que se adjunte a la solicitud. Para obtener información detallada sobre la instrucción, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md). 
+ La declaración de coincidencia geográfica agrega etiquetas con o sin coincidencia, pero solo están disponibles después de que la instrucción que contiene la regla del paquete de protección (ACL web) haya completado la evaluación de la solicitud. 
  + No puede usar una sola regla, por ejemplo, una instrucción lógica `AND`, para ejecutar una instrucción de concordancia geográfica seguida de una instrucción de concordancia de etiquetas con las etiquetas geográficas. Debe colocar la instrucción de coincidencia de etiquetas en una regla independiente que se ejecute después de la regla que contiene la instrucción de coincidencia geográfica. 
  + Si utiliza una instrucción de coincidencia geográfica como una instrucción de restricción de acceso dentro de una instrucción de regla basada en tasas o una instrucción de referencia de un grupo de reglas administradas, las etiquetas que agrega la instrucción de coincidencia geográfica no están disponibles para que las inspeccione la instrucción de la regla contenedora. Si necesita inspeccionar el etiquetado geográfico en una instrucción de regla basada en tasas o en un grupo de reglas, debe ejecutar la instrucción de coincidencia geográfica en una regla independiente que se ejecute de antemano. 

**Acceso a la información de etiquetas fuera de la evaluación del paquete de protección (ACL web)**  
Las etiquetas no permanecen con la solicitud web después de que finaliza la evaluación del paquete de protección (ACL web), pero AWS WAF registra la información de las etiquetas en los registros y en las métricas. 
+ AWS WAF almacena las CloudWatch estadísticas de Amazon de las primeras 100 etiquetas de una sola solicitud. Para obtener información sobre cómo obtener acceso a las métricas de etiquetas, consulte [Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
+ AWS WAF resume las métricas de las CloudWatch etiquetas en los paneles de información general sobre el tráfico del paquete de protección (ACL web) de la AWS WAF consola. Puede acceder a los paneles de control desde cualquier página del paquete de protección (ACL web). Para obtener más información, consulte [Paneles de información general sobre el tráfico para paquetes de protección (web ACLs)](web-acl-dashboards.md).
+ AWS WAF registra las etiquetas en los registros para las 100 primeras etiquetas de una solicitud. Puede usar etiquetas, junto con la acción de regla, para filtrar los registros que registra AWS WAF . Para obtener información, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).

La evaluación del paquete de protección (ACL web) puede aplicar más de 100 etiquetas a una solicitud web y compararlas con más de 100 etiquetas, pero AWS WAF solo registra las 100 primeras de los registros y las métricas. 

# Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF
<a name="waf-rule-label-requirements"></a>

En esta sección se explica cómo construir una AWS WAF etiqueta y compararla con ella.

Una etiqueta es una cadena compuesta de un prefijo, espacios de nombres opcionales y un nombre. Los componentes de una etiqueta se delimitan con dos puntos. Las etiquetas tienen los siguientes requisitos y características:
+ Las etiquetas distinguen entre mayúsculas y minúsculas. 
+ Cada espacio de nombres o nombre de etiqueta puede tener hasta 128 caracteres. 
+ Puede especificar hasta cinco espacios de nombres en una etiqueta. 
+ Los componentes de una etiqueta están separados por dos puntos (`:`).
+ No puede usar las siguientes cadenas reservadas en los espacios de nombres o en el nombre que especifique para una etiqueta: `awswaf`, `aws`, `waf`, `rulegroup`, `webacl`, `regexpatternset`, `ipset` y `managed`.

## Sintaxis de etiquetas
<a name="waf-rule-label-syntax"></a>

Una etiqueta completa tiene un prefijo, espacios de nombres opcionales y un nombre de etiqueta. El prefijo identifica el grupo de reglas o el contexto del paquete de protección (ACL web) de la regla que agregó la etiqueta. Los espacios de nombres se pueden usar para agregar más contexto a la etiqueta. El nombre de la etiqueta proporciona el nivel de detalle más bajo para una etiqueta. Suele indicar la regla específica que ha agregado la etiqueta a la solicitud. 

El prefijo de la etiqueta varía según su origen. 
+ **Sus etiquetas**: a continuación, se muestra la sintaxis completa de las etiquetas que cree en el paquete de protección (ACL web) y en las reglas de los grupos de reglas. Los tipos de entidad son `rulegroup` y `webacl`.

  ```
  awswaf:<entity owner account id>:<entity type>:<entity name>:<custom namespace>:...:<label name>
  ```
  + Prefijo del espacio de nombres de la etiqueta: `awswaf:<entity owner account id>:<entity type>:<entity name>:`
  + Adiciones de espacios de nombres personalizados: `<custom namespace>:…:`

  Al definir una etiqueta para una regla en un grupo de reglas o un paquete de protección (ACL web), se controlan las cadenas de espacio de nombres personalizadas y el nombre de la etiqueta. El resto lo genera para usted AWS WAF. AWS WAF pone automáticamente como prefijo a todas las etiquetas la configuración de la entidad de la cuenta y del paquete de protección (ACL web) o del grupo de reglas. `awswaf`
+ **Etiquetas de grupos de reglas administradas**: a continuación, se muestra la sintaxis completa de las etiquetas que crean las reglas de los grupos de reglas administradas. 

  ```
  awswaf:managed:<vendor>:<rule group name>:<custom namespace>:...:<label name>
  ```
  + Prefijo del espacio de nombres de la etiqueta: `awswaf:managed:<vendor>:<rule group name>:`
  + Adiciones de espacios de nombres personalizados: `<custom namespace>:…:`

  Todos los grupos de reglas de AWS Managed Rules añaden etiquetas. Para obtener información acerca de los grupos de reglas administradas, consulte [Uso de grupos de reglas gestionados en AWS WAF](waf-managed-rule-groups.md). 
+ **Etiquetas de otros AWS procesos: los** grupos de reglas de reglas AWS administradas utilizan estos procesos, por lo que se agregan a las solicitudes web que se evalúan mediante grupos de reglas administrados. A continuación, se muestra la sintaxis completa de las etiquetas que crean los procesos a los que llaman los grupos de reglas administradas. 

  ```
  awswaf:managed:<process>:<custom namespace>:...:<label name>
  ```
  + Prefijo del espacio de nombres de la etiqueta: `awswaf:managed:<process>:`
  + Adiciones de espacios de nombres personalizados: `<custom namespace>:…:`

  Se muestran etiquetas de este tipo para los grupos de reglas administradas que llaman al proceso de AWS . Para obtener información acerca de los grupos de reglas administradas, consulte [Uso de grupos de reglas gestionados en AWS WAF](waf-managed-rule-groups.md). 

## Ejemplos de etiquetas para sus reglas
<a name="waf-rule-label-examples-rules"></a>

Los siguientes ejemplos de etiquetas se definen mediante reglas de un grupo de reglas denominado `testRules` que pertenece a la cuenta, 111122223333. 

```
awswaf:111122223333:rulegroup:testRules:testNS1:testNS2:LabelNameA
```

```
awswaf:111122223333:rulegroup:testRules:testNS1:LabelNameQ
```

```
awswaf:111122223333:rulegroup:testRules:LabelNameZ
```

En la siguiente lista se muestra un ejemplo de especificación de etiqueta en JSON. Estos nombres de etiquetas incluyen cadenas de espacios de nombres personalizadas antes del nombre final de la etiqueta. 

```
Rule: {
    Name: "label_rule",
    Statement: {...}
    RuleLabels: [
        Name: "header:encoding:utf8",
        Name: "header:user_agent:firefox"
    ],
    Action: { Count: {} }
}
```

**nota**  
Puede acceder a este tipo de listado en la consola a través del editor de reglas JSON. 

Si ejecuta la regla anterior en el mismo grupo de reglas y en la misma cuenta que en los ejemplos de etiquetas anteriores, las etiquetas completas resultantes serían las siguientes: 

```
awswaf:111122223333:rulegroup:testRules:header:encoding:utf8
```

```
awswaf:111122223333:rulegroup:testRules:header:user_agent:firefox
```

## Ejemplos de etiquetas para grupos de reglas administradas
<a name="waf-rule-label-examples-rule-groups"></a>

A continuación, se muestran ejemplos de etiquetas de los grupos de reglas de AWS Managed Rules y los procesos que invocan.

```
awswaf:managed:aws:core-rule-set:NoUserAgent_Header
```

```
awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments
```

```
awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials
```

```
awswaf:managed:token:accepted
```

# AWS WAF reglas que añaden etiquetas
<a name="waf-rule-label-add"></a>

En casi todas las reglas, puedes definir etiquetas y AWS WAF aplicarlas a cualquier solicitud coincidente. 

Los siguientes tipos de reglas son las únicas excepciones: 
+ **Reglas basadas en tasas que etiquetan solo mientras limitan la tasa**: las reglas basadas en tasas solo agregan etiquetas a las solicitudes web para una instancia de agregación específica mientras la instancia tenga la tasa limitada por AWS WAF. Para obtener información acerca de las reglas basadas en tasas, consulte [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md). 
+ **No se permite el etiquetado en las instrucciones de referencia de grupos de reglas**: la consola no acepta etiquetas para estos tipos de reglas. A través de la API, la especificación de una etiqueta para cualquiera de los dos tipos de instrucciones da lugar a una excepción de validación. Para obtener información sobre estos tipos de instrucciones, consulte [Uso de sentencias de grupos de reglas gestionados en AWS WAF](waf-rule-statement-type-managed-rule-group.md) y [Uso de declaraciones de grupos de reglas en AWS WAF](waf-rule-statement-type-rule-group.md).

**WCUs **— 1 WCU por cada 5 etiquetas que defina en el paquete de protección (ACL web) o en las reglas del grupo de reglas. 

**Dónde encontrarlo**
+ **Creador de reglas** de la consola: en la configuración **Acción** de la regla, en **Etiqueta**. 
+ **Tipo de datos de la API**: `Rule` `RuleLabels`

Para definir una etiqueta en una regla, especifique las cadenas de espacio de nombres personalizadas y el nombre que se van a añadir al prefijo del espacio de nombres de la etiqueta. AWS WAF deriva el prefijo del contexto en el que se define la regla. Para obtener más información al respecto, consulte la información sobre la sintaxis de la etiqueta que aparece en [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md). 

# AWS WAF reglas que coinciden con las etiquetas
<a name="waf-rule-label-match"></a>

En esta sección, se explica cómo usar una instrucción de coincidencia de etiquetas para evaluar las etiquetas de las solicitudes web. Puede compararla con *Etiqueta*, que requiere el nombre de la etiqueta, o con *Espacio de nombres*, que requiere una especificación de espacio de nombres. Tanto para la etiqueta como para el espacio de nombres, puede incluir opcionalmente los espacios de nombres anteriores y el prefijo en la especificación. Para obtener más información sobre esta instrucción de política, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md). 

El prefijo de una etiqueta define el contexto del grupo de reglas o paquete de protección (ACL web) donde se define la regla de la etiqueta. En la sentencia de coincidencia de etiquetas de una regla, si la cadena de coincidencia de etiquetas o espacios de nombres no especifica el prefijo, AWS WAF utiliza el prefijo para la regla de coincidencia de etiquetas. 
+ Las etiquetas de las reglas que se definen directamente dentro de un paquete de protección (ACL web) tienen un prefijo que especifica el contexto del paquete de protección (ACL web). 
+ Las etiquetas de las reglas que están dentro de un grupo de reglas tienen un prefijo que especifica el contexto del grupo de reglas. Puede ser su propio grupo de reglas o un grupo de reglas administradas por usted. 

Para obtener más información al respecto, consulte la sintaxis de la etiqueta que aparece en [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md). 

**nota**  
Algunos grupos de reglas gestionados añaden etiquetas. Puede recuperarlos a través de la API llamando a `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta.

Si quiere hacer coincidir una regla que se encuentra en un contexto diferente al contexto de su regla, debe proporcionar el prefijo en la cadena de coincidencia. Por ejemplo, si desea hacer coincidir las etiquetas que agregan las reglas de un grupo de reglas administradas, puede agregar una regla en su paquete de protección (ACL web) con una instrucción de coincidencia de etiqueta cuya cadena de coincidencia especifique el prefijo del grupo de reglas, seguido de sus criterios de coincidencia adicionales. 

En la cadena de coincidencia de la instrucción de coincidencia de etiquetas, especifique una etiqueta o un espacio de nombres: 
+ **Etiqueta**: la especificación de etiqueta de una coincidencia consiste en la parte final de la etiqueta. Puede incluir cualquier número de espacios de nombres contiguos que precedan inmediatamente al nombre de la etiqueta seguidos del nombre. También puede proporcionar la etiqueta completa empezando la especificación por el prefijo. 

  Especificaciones de ejemplo:
  + `testNS1:testNS2:LabelNameA`
  + `awswaf:managed:aws:managed-rule-set:testNS1:testNS2:LabelNameA`
+ **Espacio de nombres**: la especificación de espacio de nombres de una coincidencia consiste en cualquier subconjunto contiguo de la especificación de la etiqueta, excluido el nombre. Puede incluir el prefijo y puede incluir una o más cadenas de espacio de nombres. 

  Especificaciones de ejemplo: 
  + `testNS1:testNS2:`
  + `awswaf:managed:aws:managed-rule-set:testNS1:`

# AWS WAF ejemplos de concordancia de etiquetas
<a name="waf-rule-label-match-examples"></a>

En esta sección se proporcionan ejemplos de especificaciones de coincidencia para la instrucción de la regla de coincidencia de etiquetas. 

**nota**  
Para crear estas listas JSON en la consola se agregó una regla a un paquete de protección (ACL web) con las especificaciones de coincidencia de etiquetas y, a continuación, se editó la regla y se cambió al **Editor de reglas JSON**. También puede obtener el JSON de un grupo de reglas o un paquete de protección (ACL web) a través de la interfaz de línea de comandos APIs o de la interfaz de línea de comandos. 

**Topics**
+ [

## Comparación con una etiqueta local
](#waf-rule-label-match-examples-local-label)
+ [

## Comparación con una etiqueta de otro contexto
](#waf-rule-label-match-examples-label)
+ [

## Comparación con una etiqueta de grupo de reglas administradas
](#waf-rule-label-match-examples-mgd-rg-label)
+ [

## Comparación con un espacio de nombres local
](#waf-rule-label-match-examples-local-namespace)
+ [

## Comparación con un nombre de espacio de un grupo de reglas administradas
](#waf-rule-label-match-examples-mgd-rg-namespace)

## Comparación con una etiqueta local
<a name="waf-rule-label-match-examples-local-label"></a>

La siguiente lista de JSON muestra una instrucción de coincidencia de etiquetas para una etiqueta que se ha agregado a la solicitud web de forma local, en el mismo contexto que esta regla.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Si utiliza esta instrucción de coincidencia en la cuenta 111122223333, en una regla que defina para el paquete de protección (ACL web) `testWebACL`, coincidirá con las siguientes etiquetas. 

```
awswaf:111122223333:webacl:testWebACL:header:encoding:utf8
```

```
awswaf:111122223333:webacl:testWebACL:testNS1:testNS2:header:encoding:utf8
```

No coincidiría con la siguiente etiqueta, porque la cadena de la etiqueta no coincide exactamente.

```
awswaf:111122223333:webacl:testWebACL:header:encoding2:utf8
```

No coincidiría con la siguiente etiqueta porque el contexto no es el mismo, por lo que el prefijo no coincide. Esto es cierto, incluso si ha agregado el grupo de reglas `productionRules` al paquete de protección (ACL web) `testWebACL`, donde se define la regla. 

```
awswaf:111122223333:rulegroup:productionRules:header:encoding:utf8
```

## Comparación con una etiqueta de otro contexto
<a name="waf-rule-label-match-examples-label"></a>

La siguiente lista de JSON muestra una regla de coincidencia de etiquetas que coincide con una etiqueta de una regla de un grupo de reglas creado por el usuario. El prefijo es obligatorio en la especificación para todas las reglas que se ejecutan en el paquete de protección (ACL web) y que no forman parte del grupo de reglas mencionado. Esta especificación de etiqueta de ejemplo solo coincide con la etiqueta exacta. 

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "awswaf:111122223333:rulegroup:testRules:header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

## Comparación con una etiqueta de grupo de reglas administradas
<a name="waf-rule-label-match-examples-mgd-rg-label"></a>

Este es un caso especial de coincidencia con una etiqueta que proviene de un contexto diferente al de la regla de coincidencia. La siguiente lista de JSON muestra una instrucción de coincidencia de etiquetas para una etiqueta de grupo de reglas administradas. Solo coincide con la etiqueta exacta que se especifica en la configuración clave de la instrucción de coincidencia de etiquetas.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "awswaf:managed:aws:managed-rule-set:header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

## Comparación con un espacio de nombres local
<a name="waf-rule-label-match-examples-local-namespace"></a>

La siguiente lista de JSON muestra una instrucción de coincidencia de etiquetas para un espacio de nombres local.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "NAMESPACE",
            Key: "header:encoding:"
        }
    },
    Labels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

De forma similar a la coincidencia local `Label`, si usa esta instrucción en la cuenta 111122223333, en una regla que defina para el paquete de protección (ACL web) `testWebACL`, coincidirá con la siguiente etiqueta. 

```
awswaf:111122223333:webacl:testWebACL:header:encoding:utf8
```

No coincidiría con la siguiente etiqueta porque la cuenta no es la misma, por lo que el prefijo no coincide. 

```
awswaf:444455556666:webacl:testWebACL:header:encoding:utf8
```

El prefijo tampoco coincide con ninguna etiqueta aplicada por los grupos de reglas administradas, como las siguientes. 

```
awswaf:managed:aws:managed-rule-set:header:encoding:utf8
```

## Comparación con un nombre de espacio de un grupo de reglas administradas
<a name="waf-rule-label-match-examples-mgd-rg-namespace"></a>

La siguiente lista de JSON muestra una instrucción de coincidencia de etiquetas para un espacio de nombres de grupo de reglas administradas. En el caso de un grupo de reglas de su propiedad, también tendrá que proporcionar el prefijo para que coincida con un espacio de nombres que esté fuera del contexto de la regla. 

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "NAMESPACE",
            Key: "awswaf:managed:aws:managed-rule-set:header:"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Esta especificación coincide con las siguientes etiquetas de ejemplo. 

```
awswaf:managed:aws:managed-rule-set:header:encoding:utf8
```

```
awswaf:managed:aws:managed-rule-set:header:encoding:unicode
```

No coincide con la siguiente etiqueta.

```
awswaf:managed:aws:managed-rule-set:query:badstring
```

# Mitigación inteligente de amenazas en AWS WAF
<a name="waf-managed-protections"></a>

En esta sección se describen las funciones gestionadas e inteligentes de mitigación de amenazas que ofrece. AWS WAF Se trata de protecciones avanzadas y especializadas que puede implementar para protegerse contra amenazas como los bots malintencionados y los intentos de apropiación de cuentas. 

**nota**  
Las funciones que se describen aquí conllevan costes adicionales, además de las tarifas básicas de uso AWS WAF. Para más información, consulte [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

La guía que se proporciona en esta sección está destinada a los usuarios que, en general, saben cómo crear y administrar la AWS WAF webACLs, las reglas y los grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. 

**Topics**
+ [

# Opciones para la mitigación inteligente de amenazas en AWS WAF
](waf-managed-protections-comparison-table.md)
+ [

# Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF
](waf-managed-protections-best-practices.md)
+ [

# Uso de tokens en la mitigación AWS WAF inteligente de amenazas
](waf-tokens.md)
+ [

# AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)
](waf-acfp.md)
+ [

# AWS WAF Control de fraudes y prevención de apropiación de cuentas (ATP)
](waf-atp.md)
+ [

# AWS WAF Control de bots
](waf-bot-control.md)
+ [

# AWS WAF Prevención de denegación de servicio (DDoS) distribuida
](waf-anti-ddos.md)
+ [

# Integraciones de aplicaciones cliente en AWS WAF
](waf-application-integration.md)
+ [

# CAPTCHAy Challenge en AWS WAF
](waf-captcha-and-challenge.md)

# Opciones para la mitigación inteligente de amenazas en AWS WAF
<a name="waf-managed-protections-comparison-table"></a>

En esta sección, se ofrece una comparación detallada de las opciones para implementar la mitigación de amenazas inteligentes. 

AWS WAF ofrece los siguientes tipos de protecciones para la mitigación inteligente de las amenazas.
+ **AWS WAF Control de fraudes y prevención del fraude en la creación de cuentas (ACFP)**: detecta y gestiona los intentos malintencionados de creación de cuentas en la página de registro de la aplicación. La funcionalidad principal la proporciona el grupo de reglas administradas de la ACFP. Para obtener más información, consulte [AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)](waf-acfp.md) y [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md).
+ **AWS WAF Prevención del robo de cuentas (ATP) en Fraud Control**: detecta y gestiona los intentos de apropiación maliciosos en la página de inicio de sesión de la aplicación. La funcionalidad principal la proporciona el grupo de reglas administradas de la ATP. Para obtener más información, consulte [AWS WAF Control de fraudes y prevención de apropiación de cuentas (ATP)](waf-atp.md) y [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md).
+ **AWS WAF Control de bots**: identifica, etiqueta y gestiona tanto los bots amistosos como los maliciosos. Esta característica permite gestionar los bots habituales con firmas únicas en todas las aplicaciones, así como los bots objetivo que tienen firmas específicas para una aplicación. La funcionalidad principal la proporciona el grupo de reglas administradas de control de bots. Para obtener más información, consulte [AWS WAF Control de bots](waf-bot-control.md) y [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).
+ **Integración de aplicaciones cliente SDKs**: valide las sesiones de los clientes y los usuarios finales en sus páginas web y adquiera AWS WAF fichas para que los clientes las utilicen en sus solicitudes web. Si usa ACFP, ATP o Bot Control, implemente la integración de aplicaciones SDKs en su aplicación cliente si es posible, para aprovechar al máximo todas las funciones del grupo de reglas. Solo recomendamos utilizar estos grupos de reglas sin una integración de SDK como medida temporal, cuando sea necesario proteger rápidamente un recurso fundamental y no haya tiempo suficiente para la integración de SDK. Para obtener información sobre cómo implementarlas SDKs, consulte[Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). 
+ **Challengey acciones de CAPTCHA reglas**: valide las sesiones de los clientes y los usuarios finales y adquiera AWS WAF tokens para que los clientes los usen en sus solicitudes web. Puede implementarlos en cualquier lugar en el que especifique una acción de regla, en sus reglas y como sustitutos en los grupos de reglas que utilice. Estas acciones utilizan AWS WAF JavaScript intersticiales para interrogar al cliente o al usuario final, y requieren aplicaciones cliente compatibles. JavaScript Para obtener más información, consulte [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).

Los grupos de reglas inteligentes de mitigación de amenazas AWS Managed Rules (ACFP, ATP y Bot Control) utilizan tokens para la detección avanzada. Para obtener información sobre las características que los tokens habilitan en los grupos de reglas, consulte [Uso de la integración de aplicaciones SDKs con ACFP](waf-acfp-with-tokens.md), [Uso de la integración de aplicaciones SDKs con ATP](waf-atp-with-tokens.md) y[Uso de la integración de aplicaciones SDKs con Bot Control](waf-bot-with-tokens.md). 

Sus opciones para implementar una mitigación inteligente de amenazas van desde el uso básico de acciones basadas en reglas para resolver desafíos y forzar la adquisición de fichas, hasta las funciones avanzadas que ofrecen los grupos de reglas de reglas AWS administradas para la mitigación inteligente de amenazas.

En las tablas siguientes se ofrecen comparaciones detalladas de las opciones de las características básicas y avanzadas. 

**Topics**
+ [

# Opciones para los desafíos y la adquisición de tókenes
](waf-managed-protections-comparison-table-token.md)
+ [

# Opciones de grupos de reglas administradas de mitigación inteligente de amenazas
](waf-managed-protections-comparison-table-rg.md)
+ [

# Opciones para limitar las tasas en las reglas basadas en tasas y en las reglas específicas de control de bots
](waf-rate-limiting-options.md)

# Opciones para los desafíos y la adquisición de tókenes
<a name="waf-managed-protections-comparison-table-token"></a>

En esta sección se comparan las opciones de administración de desafíos y tókenes.

Puedes proporcionar desafíos y adquirir fichas mediante la integración de la AWS WAF aplicación SDKs o las acciones de la regla Challenge yCAPTCHA. En términos generales, las acciones de las reglas son más fáciles de implementar, pero incurren en costos adicionales, interfieren más en la experiencia del cliente y son obligatorias. JavaScript SDKs Requieren programación en las aplicaciones cliente, pero pueden proporcionar una mejor experiencia al cliente, son de uso gratuito y se pueden usar con JavaScript o en aplicaciones de Android o iOS. Solo puede utilizar la integración de aplicaciones SDKs con paquetes de protección (web ACLs) que utilicen uno de los grupos de reglas gestionados para la mitigación inteligente de amenazas de pago, que se describen en la siguiente sección. 


**Comparación de opciones para los desafíos y la adquisición de tokens**  

|  | Acción de la regla de Challenge | Acción de la regla de CAPTCHA | JavaScript Desafío del SDK | Desafío del SDK para móviles | 
| --- | --- | --- | --- | --- | 
| Definición | Regla una acción que impone la adquisición del AWS WAF token al presentar al cliente del navegador un desafío intersticial silencioso  | Regla una acción que impone la adquisición del AWS WAF token al presentar al cliente (usuario final) un desafío visual o sonoro intersticial  |  Capa de integración de aplicaciones, para los navegadores de los clientes y otros dispositivos que se ejecuten. JavaScript Renderiza el desafío silencioso y adquiere un token  |  Capa de integración de aplicaciones, para aplicaciones de Android e iOS. Renderiza el desafío silencioso de forma nativa y adquiere un token  | 
| Buena elección para... | Validación silenciosa contra las sesiones de bots y aplicación de la adquisición de tokens para los clientes que admiten JavaScript  | Validación silenciosa y por parte del usuario final contra las sesiones de bots y aplicación de la adquisición de tokens, para los clientes que brindan soporte JavaScript | Validación silenciosa contra las sesiones de bots y aplicación de la adquisición de tokens para los clientes que prestan soporte JavaScript.  SDKs Proporcionan la latencia más baja y el mejor control sobre dónde se ejecuta el script de desafío en la aplicación. | Validación silenciosa contra las sesiones de bots y aplicación de la adquisición de tokens para aplicaciones móviles nativas en Android e iOS.  SDKs Proporcionan la latencia más baja y el mejor control sobre dónde se ejecuta el script de desafío en la aplicación. | 
| Consideraciones de implementación | Implementado como configuración de una acción de regla | Implementado como configuración de una acción de regla | Requiere uno de los grupos de reglas de pago de ACFP, ATP o control de bots del paquete de protección (ACL web). Requiere codificación en la aplicación cliente. | Requiere uno de los grupos de reglas de pago de ACFP, ATP o control de bots del paquete de protección (ACL web). Requiere codificación en la aplicación cliente. | 
| Consideraciones sobre el tiempo de ejecución | Flujo intrusivo de solicitudes sin tokens válidos. El cliente es redirigido a un AWS WAF desafío intersticial. Añade viajes de ida y vuelta a la red, y requiere una segunda evaluación de la solicitud web.  | Flujo intrusivo de solicitudes sin tokens válidos. El cliente es redirigido a un desafío intersticial de CAPTCHA AWS WAF . Añade viajes de ida y vuelta a la red, y requiere una segunda evaluación de la solicitud web.  | Se puede ejecutar entre bastidores. Le da más control sobre la experiencia del desafío.  | Se puede ejecutar entre bastidores. Le da más control sobre la experiencia del desafío.  | 
| Requiere JavaScript | Sí | Sí | Sí | No | 
| Clientes compatibles | Navegador y dispositivos que ejecutan Javascript | Navegador y dispositivos que ejecutan Javascript | Navegador y dispositivos que ejecutan Javascript | Dispositivos Android e iOS | 
| Admite aplicaciones de una sola página (SPA) | Solo aplicación. Puedes usar la Challenge acción junto con la SDKs, para asegurarte de que las solicitudes tengan un token de desafío válido. No puede usar la acción de regla para enviar el script del desafío a la página.  | Solo aplicación. Puedes usar la CAPTCHA acción junto con laSDKs, para asegurarte de que las solicitudes tengan un token CAPTCHA válido. No puede usar la acción de regla para enviar el script de CAPTCHA a la página.  | Sí | N/A | 
| costos adicionales | Sí, para las configuraciones de acción que especifique explícitamente, ya sea en las reglas que defina o como anulaciones de acciones de regla en los grupos de reglas que utilice. No en todos los demás casos.  | Sí, para las configuraciones de acción que especifique explícitamente, ya sea en las reglas que defina o como anulaciones de acciones de regla en los grupos de reglas que utilice. No en todos los demás casos.  | No, pero requiere uno de los grupos de reglas de pago de ACFP, ATP o control de bots. | No, pero requiere uno de los grupos de reglas de pago de ACFP, ATP o control de bots. | 

Para obtener más información sobre los costos asociados a estas opciones, consulte la información sobre la mitigación de amenazas inteligentes en [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

Puede resultar más sencillo plantear desafíos y garantizar una aplicación básica de los símbolos con tan solo agregar una regla con una Challenge o una CAPTCHA acción. Es posible que tenga que usar las acciones de regla, por ejemplo, si no tiene acceso al código de la aplicación. 

 SDKs Sin embargo, si puede implementarlo, puede ahorrar costes y reducir la latencia en la evaluación de las solicitudes web de los clientes con su paquete de protección (ACL web), en comparación con la Challenge siguiente acción: 
+ Puede escribir la implementación del SDK para ejecutar el desafío en cualquier punto de la aplicación. Puede adquirir el token en segundo plano, antes de cualquier acción del cliente que pueda enviar una solicitud web a su recurso protegido. De esta forma, el token estará disponible para enviarlo con la primera solicitud de su cliente. 
+ Si, por el contrario, adquiere los tokens implementando una regla con la acción Challenge, la regla y la acción requieren una evaluación y un procesamiento adicionales de las solicitudes web cuando el cliente envía una solicitud por primera vez y cada vez que el token caduque. La acción Challenge bloquea la solicitud que no tiene un token válido y vigente, y devuelve el desafío intersticial al cliente. Una vez que el cliente responde correctamente al desafío, el intersticial vuelve a enviar la solicitud web original con el token válido, que el paquete de protección (ACL web) evalúa luego por segunda vez. 

# Opciones de grupos de reglas administradas de mitigación inteligente de amenazas
<a name="waf-managed-protections-comparison-table-rg"></a>

En esta sección se comparan las opciones de grupos de reglas administradas.

Los grupos de reglas de reglas AWS gestionadas de mitigación inteligente de amenazas proporcionan la gestión de bots básicos, la detección y mitigación de bots sofisticados y maliciosos, la detección y mitigación de los intentos de apropiación de cuentas y la detección y mitigación de los intentos de creación de cuentas fraudulentas. Estos grupos de reglas, combinados con la integración de aplicaciones SDKs descrita en la sección anterior, proporcionan las protecciones más avanzadas y una conexión segura con las aplicaciones de sus clientes. 


**Comparación de las opciones de grupos de reglas administradas**  

|  | ACFP  | ATP  | Nivel común de control de bots | Nivel objetivo de control de bots | 
| --- | --- | --- | --- | --- | 
| Definición | Gestiona las solicitudes que podrían formar parte de intentos fraudulentos de creación de cuentas en las páginas de registro de una aplicación.No administra los bots. Consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md). | Administra las solicitudes que podrían formar parte de intentos malintencionados de apropiación en la página de inicio de sesión de una aplicación.No administra los bots. Consulte [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md). | Administra bots comunes que se identifican a sí mismos con firmas que son únicas en todas las aplicaciones.Consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md). | Administra los bots específicos que no se identifican a sí mismos con firmas que son específicas de una aplicación.Consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md). | 
| Buena elección para... | Inspección del tráfico de creación de cuentas para detectar ataques de creación de cuentas fraudulentas, como los intentos de creación de cuentas con el recorrido del nombre de usuario y la creación de muchas cuentas nuevas a partir de una sola dirección IP. | Inspección del tráfico de inicio de sesión para detectar ataques de apropiación de cuentas, como intentos de inicio de sesión con recorrido de contraseña y muchos intentos de inicio de sesión desde la misma dirección IP. Cuando se usa con tokens, también proporciona protecciones agregadas, como limitar la velocidad IPs y las sesiones de los clientes para un gran volumen de intentos fallidos de inicio de sesión. | Protección básica contra bots y etiquetado del tráfico de bots común y automatizado. | Protección específica contra bots sofisticados, incluida la limitación de las tasas para la sesión del cliente y la detección y mitigación de las herramientas de automatización del navegador, como Selenium y Puppeteer.  | 
| Añade etiquetas que indican los resultados de la evaluación | Sí | Sí | Sí | Sí | 
| Añade etiquetas de token | Sí | Sí | Sí | Sí | 
| Bloqueo de solicitudes que no tienen un token válido | No incluido. Consulte [Bloquear solicitudes que no tienen un AWS WAF token válido](waf-tokens-block-missing-tokens.md). | No incluido. Consulte [Bloquear solicitudes que no tienen un AWS WAF token válido](waf-tokens-block-missing-tokens.md). | No incluido. Consulte [Bloquear solicitudes que no tienen un AWS WAF token válido](waf-tokens-block-missing-tokens.md). | Bloquea las sesiones de los clientes que envían 5 solicitudes sin un token. | 
| Requiere el AWS WAF token aws-waf-token | Obligatorio para todas las reglas.Consulte [Uso de la integración de aplicaciones SDKs con ACFP](waf-acfp-with-tokens.md). | Obligatorio para muchas reglas.Consulte [Uso de la integración de aplicaciones SDKs con ATP](waf-atp-with-tokens.md). | No | Sí | 
| Adquiere el AWS WAF token aws-waf-token | Sí, lo hace cumplir la regla AllRequests | No | No | Algunas reglas utilizan las acciones de regla Challenge o CAPTCHA, que adquieren tokens. | 

Para obtener más información sobre los costos asociados a estas opciones, consulte la información sobre la mitigación de amenazas inteligentes en [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

# Opciones para limitar las tasas en las reglas basadas en tasas y en las reglas específicas de control de bots
<a name="waf-rate-limiting-options"></a>

En esta sección, se comparan las opciones de mitigación basadas en tasas.

Tanto el nivel objetivo del grupo de reglas de control de AWS WAF bots como la declaración de reglas AWS WAF basada en la tasa proporcionan una limitación de la tasa de solicitudes web. En la tabla siguiente se comparan las dos opciones.


**Comparación de las opciones de detección y mitigación basadas en tasas**  

|  | AWS WAF regla basada en la tasa | AWS WAF Reglas específicas de Bot Control | 
| --- | --- | --- | 
| Cómo se aplica el límite de tasas | Actúa en función de grupos de solicitudes que llegan a una tasa demasiado alta. Puede aplicar cualquier acción excepto Allow.  | Aplica patrones de acceso similares a los de las personas y aplica una limitación dinámica de las tasas mediante el uso de tokens de solicitud.  | 
| ¿Basado en líneas base históricas de tráfico? | No  | Sí  | 
| Tiempo necesario para acumular las líneas base históricas de tráfico | N/A  | Cinco minutos para los umbrales dinámicos. N/A por ausencia de token. | 
| Retraso de mitigación | Por lo general, de 30 a 50 segundos. Puede tardar varios minutos.  | Normalmente, menos de 10 segundos. Puede tardar varios minutos.  | 
| Objetivos de mitigación  | Configurable. Puede agrupar las solicitudes mediante una declaración de alcance y mediante una o más claves de agregación, como la dirección IP, el método HTTP y la cadena de consulta. | Direcciones IP y sesiones de cliente  | 
| Nivel de volumen de tráfico necesario para activar las mitigaciones  | Medio: puede ser de tan solo 10 solicitudes en el período de tiempo especificado  | Bajo: diseñado para detectar patrones de clientes, como rastreadores lentos  | 
| Umbrales personalizables  | Sí  | No  | 
| Acción de mitigación predeterminada | El valor predeterminado de la consola es Block. No hay una configuración predeterminada en la API; la configuración es obligatoria. Puede configurar esto en cualquier acción de regla válida excepto Allow. | La configuración de las acciones de regla del grupo de reglas es Challenge para la ausencia de token y CAPTCHA para el tráfico de gran volumen desde una sola sesión de cliente. Puede configurar cualquiera de estas reglas para cualquier acción de regla válida.  | 
| Resiliencia frente a ataques muy distribuidos  | Medio: máximo de 10 000 direcciones IP para la limitación de direcciones IP por sí sola | Medio: limitado a un total de 50 000 entre direcciones IP y tokens  | 
| [AWS WAF Precios](https://aws.amazon.com/waf/pricing/) | Incluido en las tarifas estándar de AWS WAF.  | Incluido en las tarifas para el nivel objetivo de la mitigación de amenazas inteligentes del control de bots.  | 
| Para obtener más información | [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md) | [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) | 

# Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF
<a name="waf-managed-protections-best-practices"></a>

Siga las prácticas recomendadas de esta sección para lograr la implementación más eficiente y rentable de las características de mitigación de amenazas inteligentes. 
+ **Implemente la JavaScript integración de las aplicaciones móviles SDKs**: implemente la integración de las aplicaciones para habilitar el conjunto completo de funciones de ACFP, ATP o Bot Control de la manera más eficaz posible. Los grupos de reglas gestionados utilizan los tokens proporcionados por el SDKs para separar el tráfico de clientes legítimo del tráfico no deseado a nivel de sesión. La integración de la aplicación SDKs garantiza que estos tokens estén siempre disponibles. Para obtener más información, consulte los siguientes temas: 
  + [Uso de la integración de aplicaciones SDKs con ACFP](waf-acfp-with-tokens.md)
  + [Uso de la integración de aplicaciones SDKs con ATP](waf-atp-with-tokens.md)
  + [Uso de la integración de aplicaciones SDKs con Bot Control](waf-bot-with-tokens.md)

  Utilice las integraciones para implementar desafíos en su cliente y, además JavaScript, para personalizar la forma en que se presentan los rompecabezas CAPTCHA a sus usuarios finales. Para obtener más información, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). 

  Si personaliza los acertijos de CAPTCHA mediante la JavaScript API y utiliza la acción de CAPTCHA regla en cualquier parte de su paquete de protección (ACL web), siga las instrucciones para gestionar la respuesta de AWS WAF CAPTCHA en su cliente que encontrará en. [Gestión de una respuesta CAPTCHA de AWS WAF](waf-js-captcha-api-conditional.md) Esta guía se aplica a todas las reglas que utilicen esta acción CAPTCHA, incluidas las del grupo de reglas administradas de la ACFP y el nivel de protección específica del grupo de reglas administradas de control de bots. 
+ **Limite las solicitudes que envíe a los grupos de reglas de la ACFP, la ATP y el control de bots. Si utiliza los grupos de reglas** gestionadas para la mitigación inteligente de amenazas, tendrá que pagar tasas adicionales. AWS El grupo de reglas de la ACFP inspecciona las solicitudes dirigidas a los puntos conexión de registro y creación de cuentas que especifique. El grupo de reglas de la ATP inspecciona las solicitudes al punto de conexión de inicio de sesión que especifique. El grupo de reglas de control de bots inspecciona todas las solicitudes que llegan a él en la evaluación del paquete de protección (ACL web). 

  Tenga en cuenta los siguientes enfoques para reducir el uso de estos grupos de reglas: 
  + Excluya las solicitudes de la inspección con una instrucción de restricción de acceso en la instrucción del grupo de reglas administradas. Puede hacerlo con cualquier instrucción anidable. Para obtener información, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).
  + Para excluir las solicitudes de la inspección, agregue reglas antes del grupo de reglas. En el caso de las reglas que no puede utilizar en una instrucción de restricción de acceso y en situaciones más complejas, como el etiquetado seguido de una coincidencia de etiquetas, tal vez desee agregar reglas que se ejecuten antes que los grupos de reglas. Para obtener más información, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md) y [Uso de enunciados de reglas en AWS WAF](waf-rule-statements.md).
  + Ejecute los grupos de reglas tras las reglas menos costosas. Si tienes otras AWS WAF reglas estándar que bloquean las solicitudes por cualquier motivo, ejecútalas antes que estos grupos de reglas de pago. Para obtener más información acerca de las reglas y la administración de reglas, consulte [Uso de enunciados de reglas en AWS WAF](waf-rule-statements.md).
  + Si utiliza más de uno de los grupos de reglas administradas de mitigación de amenazas inteligentes, ejecútelos en el siguiente orden para mantener bajos los costos: control de bots, ATP y ACFP.

  Para obtener información detallada sobre precios, consulte [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
+ **No limite las solicitudes que envíe al grupo de reglas Anti- DDo S**: este grupo de reglas funciona mejor si lo configura para supervisar todo el tráfico web que no está permitiendo de forma explícita. Posiciónelo en su ACL web para que se evalúe solo después de las reglas con la acción Allow y antes de todas las demás reglas. 
+ **Para la protección contra la denegación de servicio (DDoS) distribuida, utilice la mitigación automática de nivel DDo S de aplicaciones Anti- DDo S o Shield Advanced**: los demás grupos de reglas de mitigación de amenazas inteligentes no ofrecen protección DDo S. La ACFP lo protege de los intentos fraudulentos de creación de cuentas en la página de registro de su aplicación. La ATP protege su página de inicio de sesión contra los intentos de apropiación de cuentas. El control de bots se centra en aplicar patrones de acceso similares a los humanos mediante tokens y una limitación dinámica de las tasas en las sesiones de los clientes.

  Anti- DDo S permite supervisar y controlar los ataques DDo tipo S, lo que permite responder y mitigar las amenazas con rapidez. Shield Advanced, con mitigación automática de la capa DDo S de aplicación, responde automáticamente a los ataques DDo S detectados mediante la creación, evaluación e implementación de AWS WAF mitigaciones personalizadas en su nombre.

  Para obtener más información sobre Shield Avanzado, consulte [Descripción general de AWS Shield Advanced](ddos-advanced-summary.md) y [Proteger la capa de aplicación (capa 7) con AWS Shield Advanced y AWS WAF](ddos-app-layer-protections.md).

  Para obtener más información sobre la prevención de la denegación de servicio distribuida, consulte [Grupo de reglas DDo antiS](aws-managed-rule-groups-anti-ddos.md) y. DDo [Prevención de la denegación DDo de servicio distribuida](waf-anti-ddos.md)
+  **Active el grupo de reglas DDo Anti-S y el nivel de protección específico del grupo de reglas Bot Control durante el tráfico web normal**: estas categorías de reglas necesitan tiempo para establecer líneas de base para el tráfico normal. 

   **Activar el nivel de protección específico del grupo de reglas de control de bots durante el tráfico web normal**: algunas reglas del nivel de protección específico necesitan tiempo para establecer líneas base para los patrones de tráfico normales antes de poder reconocer los patrones de tráfico irregulares o maliciosos, y responder a ellos. Por ejemplo, las reglas `TGT_ML_*` necesitan hasta 24 horas para prepararse. 

  Añada estas protecciones cuando no esté sufriendo un ataque y deje tiempo para que establezcan sus valores de referencia antes de esperar que respondan adecuadamente. Si agregas estas reglas durante un ataque, tendrás que habilitar el grupo de reglas Anti- DDo S en el modo de recuento. Después de que el ataque disminuya, el tiempo para establecer una línea base suele ser entre el doble y el triple del tiempo normal, debido al sesgo generado por el tráfico del ataque. Para obtener información adicional sobre las reglas y los tiempos de preparación que requieren, consulte [Lista de reglas](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).
+ **Para la protección contra la denegación de servicio (DDoS) distribuida, utilice la mitigación automática de la capa DDo S de aplicaciones Shield Advanced**: los grupos de reglas de mitigación de amenazas inteligentes no ofrecen protección DDo S. La ACFP lo protege de los intentos fraudulentos de creación de cuentas en la página de registro de su aplicación. La ATP protege su página de inicio de sesión contra los intentos de apropiación de cuentas. El control de bots se centra en aplicar patrones de acceso similares a los humanos mediante tokens y una limitación dinámica de las tasas en las sesiones de los clientes.

  Cuando utiliza Shield Advanced con la mitigación automática de la capa DDo S de aplicación habilitada, Shield Advanced responde automáticamente a los ataques DDo S detectados creando, evaluando e implementando AWS WAF mitigaciones personalizadas en su nombre. Para obtener más información sobre Shield Avanzado, consulte [Descripción general de AWS Shield Advanced](ddos-advanced-summary.md) y [Proteger la capa de aplicación (capa 7) con AWS Shield Advanced y AWS WAF](ddos-app-layer-protections.md).
+ **Utilice cargas de tráfico de producción al establecer líneas base para el grupo de reglas DDo Anti-S**. Es una práctica habitual probar otros grupos de reglas mediante tráfico de prueba artificial. Sin embargo, cuando pruebe y establezca líneas base para el grupo de reglas DDo antiS, le recomendamos que utilice flujos de tráfico que reflejen las cargas de su entorno de producción. Establecer líneas base DDo antiS mediante el tráfico típico es la mejor manera de garantizar la protección de sus recursos cuando el grupo de reglas esté habilitado en un entorno de producción.
+ **Ajuste y configure el manejo de tokens**: ajuste el manejo de tokens del paquete de protección (ACL web) para ofrecer la mejor experiencia de usuario. 
  + Para reducir los costos operativos y mejorar la experiencia del usuario final, ajuste los tiempos de inmunidad para la gestión de los tokens al máximo que permitan sus requisitos de seguridad. Esto reduce al mínimo el uso de rompecabezas de CAPTCHA y desafíos silenciosos. Para obtener información, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).
  + Para habilitar el intercambio de tokens entre aplicaciones protegidas, configure una lista de dominios de tokens para su paquete de protección (ACL web). Para obtener información, consulte [Especificar dominios simbólicos y listas de dominios en AWS WAF](waf-tokens-domains.md).
+ **Rechazar las solicitudes con especificaciones de host arbitrarias**: configure sus recursos protegidos para que los encabezados de `Host` de las solicitudes web coincidan con el recurso objetivo. Puede aceptar un valor o un conjunto específico de valores, por ejemplo, `myExampleHost.com` y `www.myExampleHost.com`, pero no acepte valores arbitrarios para el host. 
+ **Para obtener información sobre los balanceadores de carga de aplicaciones que son orígenes de CloudFront distribuciones, AWS WAF configúrelos CloudFront y administre correctamente los tokens**: si asocia su paquete de protección (ACL web) a un balanceador de carga de aplicaciones e implementa el balanceador de carga de aplicaciones como origen de una distribución, consulte. CloudFront [Configuración requerida para los balanceadores de carga de aplicaciones que son orígenes CloudFront](waf-tokens-with-alb-and-cf.md)
+ **Pruebe y ajuste antes de la implementación**: antes de implementar cualquier cambio en su paquete de protección (ACL web), siga los procedimientos de prueba y ajuste de esta guía para asegurarse de que obtiene el comportamiento esperado. Esto es especialmente importante para estas características de pago. Para obtener orientación general, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md). Para obtener información específica a los grupos de reglas de reglas administradas pagadas, consulte [Pruebas implementación de la ACFP](waf-acfp-deploying.md), [Pruebas e implementación de la ATP](waf-atp-deploying.md) y [Prueba e implementación de AWS WAF Bot Control](waf-bot-control-deploying.md).

# Uso de tokens en la mitigación AWS WAF inteligente de amenazas
<a name="waf-tokens"></a>

En esta sección se explica qué hacen AWS WAF los tokens.

AWS WAF los tokens son una parte integral de las protecciones mejoradas que ofrece la mitigación AWS WAF inteligente de amenazas. Un token, a veces denominado huella digital, es una recopilación de información sobre una sesión de un solo cliente que el cliente almacena y proporciona con cada solicitud web que envía. AWS WAF usa tokens para identificar y separar las sesiones de clientes maliciosos de las sesiones legítimas, incluso cuando ambas se originan en una sola dirección IP. El uso de los tokens supone unos costos insignificantes para los usuarios legítimos, pero caros a escala para las botnets. 

AWS WAF utiliza tokens para respaldar su navegador y la funcionalidad de impugnación para el usuario final, que se proporciona mediante la integración de la aplicación SDKs y las acciones de las reglas Challenge yCAPTCHA. Además, los tokens habilitan funciones de los grupos de reglas gestionados para el control de AWS WAF bots y la prevención de apropiación de cuentas.

AWS WAF crea, actualiza y cifra los tokens para los clientes que responden con éxito a los desafíos silenciosos y a los puzles CAPTCHA. Cuando un cliente con un token envía una solicitud web, incluye el token cifrado, lo AWS WAF descifra y verifica su contenido. 

**Topics**
+ [

# Cómo AWS WAF usa los tokens
](waf-tokens-usage.md)
+ [

# AWS WAF características del token
](waf-tokens-details.md)
+ [

# Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF
](waf-tokens-immunity-times.md)
+ [

# Especificar dominios simbólicos y listas de dominios en AWS WAF
](waf-tokens-domains.md)
+ [

# Tipos de etiquetas de token en AWS WAF
](waf-tokens-labeling.md)
+ [

# Bloquear solicitudes que no tienen un AWS WAF token válido
](waf-tokens-block-missing-tokens.md)
+ [

# Configuración requerida para los balanceadores de carga de aplicaciones que son orígenes CloudFront
](waf-tokens-with-alb-and-cf.md)

# Cómo AWS WAF usa los tokens
<a name="waf-tokens-usage"></a>

En esta sección se explica cómo se AWS WAF usan los tokens.

AWS WAF usa tokens para registrar y verificar los siguientes tipos de validación de la sesión del cliente: 
+ **CAPTCHA**: los rompecabezas de CAPTCHA ayudan a distinguir a los bots de los usuarios humanos. Un CAPTCHA solo se ejecuta mediante la acción de regla CAPTCHA. Al completar con éxito el rompecabezas, el script CAPTCHA actualiza la marca de tiempo del CAPTCHA del token. Para obtener más información, consulte [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).
+ **Desafío**: los desafíos se ejecutan de forma silenciosa para ayudar a distinguir las sesiones normales de los clientes de las sesiones de bots y hacer que su funcionamiento sea más costoso para los bots. Cuando el desafío se completa correctamente, el script de desafío obtiene automáticamente un nuevo token AWS WAF si es necesario y, a continuación, actualiza la marca temporal del desafío del token. 

  AWS WAF ejecuta desafíos en las siguientes situaciones: 
  + **Integración de la aplicación SDKs**: la integración de la aplicación se lleva a SDKs cabo dentro de las sesiones de la aplicación del cliente y ayuda a garantizar que los intentos de inicio de sesión solo se permitan después de que el cliente haya respondido correctamente a un desafío. Para obtener más información, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md).
  + **regla de acción de Challenge**: para obtener más información sobre las acciones de las reglas, consulte [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).
  + **CAPTCHA**: cuando se ejecuta un intersticial CAPTCHA, si el cliente aún no tiene un token, el script ejecuta primero automáticamente un desafío para verificar la sesión del cliente e inicializar el token. 

Muchas de las reglas de los grupos de reglas de las reglas AWS gestionadas por amenazas inteligentes requieren los tokens. Las reglas utilizan tokens para hacer cosas como distinguir entre los clientes de sesión, determinar las características del navegador y comprender el nivel de interactividad humana en la página web de la aplicación. Estos grupos de reglas invocan la administración de AWS WAF fichas, que aplica un etiquetado de fichas que, a continuación, los grupos de reglas inspeccionan. 
+ **AWS WAF Control del fraude y prevención del fraude en la creación de cuentas (ACFP)**: las normas de la ACFP exigen que las solicitudes web se realicen con tokens válidos. Para obtener más información acerca de las reglas, consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md).
+ **AWS WAF Control del fraude y prevención de la apropiación de cuentas (ATP)**: las normas de la ATP que impiden que las sesiones con clientes sean muy voluminosas y duren mucho tiempo, exigen que las solicitudes web estén acompañadas de un token válido y una fecha de impugnación indefinida. Para obtener más información, consulte [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md).
+ **AWS WAF Control de bots**: las reglas específicas de este grupo de reglas limitan la cantidad de solicitudes web que un cliente puede enviar sin un token válido y utilizan el seguimiento de las sesiones mediante un token para la supervisión y la gestión de las sesiones. Según sea necesario, las reglas aplican las acciones de regla Challenge y CAPTCHA para aplicar la adquisición de los tokens y un comportamiento válido del cliente. Para obtener más información, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).

# AWS WAF características del token
<a name="waf-tokens-details"></a>

Cada token incluye las siguientes características: 
+ El token se almacena en una cookie llamada `aws-waf-token`.
+ El token está cifrado.
+ El token toma las huellas digitales de la sesión del cliente con un identificador granular fijo que contiene la siguiente información: 
  + La marca de tiempo de la última respuesta exitosa del cliente a un desafío silencioso. 
  + La marca de tiempo de la última respuesta exitosa del usuario final a un desafío silencioso. Esto solo está presente si utiliza el CAPTCHA en sus protecciones. 
  + Información adicional sobre el cliente y su comportamiento que puede ayudar a separar a sus clientes legítimos del tráfico no deseado. La información incluye varios identificadores de clientes y señales del cliente que se pueden utilizar para detectar actividades automatizadas. La información recopilada no es única y no se puede asignar a un ser humano individual. 
    + Todos los tokens incluyen datos de las consultas del navegador del cliente, como indicios de automatización e incoherencias en la configuración del navegador. Los scripts que ejecuta la Challenge acción y la aplicación cliente recuperan esta información SDKs. Los scripts interrogan activamente al navegador y colocan los resultados en el token. 
    + Además, al implementar un SDK de integración de aplicaciones cliente, el token incluye información recopilada de forma pasiva sobre la interactividad del usuario final con la página de la aplicación. La interactividad incluye los movimientos del ratón, las pulsaciones de teclas y las interacciones con cualquier formulario HTML que esté presente en la página. Esta información ayuda a AWS WAF a detectar el nivel de interactividad humana en el cliente, lo que supone un desafío para los usuarios que no parecen humanos. Para obtener información acerca de las integraciones del cliente, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md).

Por motivos de seguridad, AWS no proporciona una descripción completa del contenido de los AWS WAF tokens ni información detallada sobre el proceso de cifrado de los tokens. 

# Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF
<a name="waf-tokens-immunity-times"></a>

En esta sección, se explica cómo vencen las marcas de tiempo de los desafíos y de los CAPTCHA.

AWS WAF utiliza los tiempos de impugnación y de inmunidad al CAPTCHA para controlar la frecuencia con la que se puede presentar una impugnación o un CAPTCHA a una sesión de un solo cliente. Una vez que un usuario final responde satisfactoriamente a un CAPTCHA, el tiempo de inmunidad del CAPTCHA determina cuánto tiempo el usuario final permanece inmune a la presentación de otro CAPTCHA. Del mismo modo, el tiempo de inmunidad del desafío determina cuánto tiempo una sesión de cliente permanece inmune a la posibilidad de volver a ser desafiada tras responder satisfactoriamente a un desafío. 

**¿Cómo funcionan AWS WAF los tiempos simbólicos de inmunidad**

AWS WAF registra una respuesta exitosa a un desafío o CAPTCHA actualizando la marca de tiempo correspondiente dentro del token. Al AWS WAF inspeccionar el token en busca de un desafío o un CAPTCHA, resta la marca de tiempo de la hora actual. Si el resultado es superior al tiempo de inmunidad configurado, la marca de tiempo caduca. 

**Aspectos configurables de los tiempos de inmunidad de los AWS WAF tokens**

Puede configurar los tiempos de inmunidad del CAPTCHA y el desafío en el paquete de protección (ACL web) y también en cualquier regla que use la acción de regla CAPTCHA o Challenge. 
+ La configuración predeterminada del paquete de protección (ACL web) para ambos tiempos de inmunidad es de 300 segundos. 
+ Puede especificar el tiempo de inmunidad para cualquier regla que utilice la acción CAPTCHA o Challenge. Si no especifica el tiempo de inmunidad de la regla, esta hereda la configuración del paquete de protección (ACL web). 
+ En el caso de una regla dentro de un grupo de reglas que use la acción CAPTCHA o Challenge, si no especifica el tiempo de inmunidad de la regla, esta heredará la configuración de cada paquete de protección (ACL web) en el que use el grupo de reglas.
+ La integración de la aplicación SDKs utiliza el tiempo de inmunidad ante desafíos del paquete de protección (ACL web). 
+ El valor mínimo del tiempo de inmunidad del desafío es 300 segundos. El valor mínimo del tiempo de inmunidad de CAPTCHA es 60 segundos. El valor máximo para ambos tiempos de inmunidad es de 259 200 segundos o tres días. 

Puede usar el paquete de protección (ACL web) y la configuración del tiempo de inmunidad en la regla para ajustar la acción CAPTCHA, Challenge o el comportamiento de administración de desafíos del SDK. Por ejemplo, puede configurar reglas que controlen el acceso a datos muy confidenciales con tiempos de inmunidad bajos y, a continuación, establecer tiempos de inmunidad más altos en su paquete de protección (ACL web) para las demás reglas y SDKs para las que hereden. 

En el caso concreto del CAPTCHA, resolver un rompecabezas puede arruinar la experiencia del cliente en el sitio web, por lo que ajustar el tiempo de inmunidad del CAPTCHA puede ayudarlo a mitigar el impacto en la experiencia del cliente y, al mismo tiempo, ofrecer las protecciones que desea. 

Para obtener información adicional sobre cómo ajustar los tiempos de inmunidad para su uso de las acciones de regla Challenge y CAPTCHA, consulte [Prácticas recomendadas para usar las acciones CAPTCHA y Challenge](waf-captcha-and-challenge-best-practices.md).

# Dónde configurar los tiempos de inmunidad AWS WAF simbólicos
<a name="waf-tokens-immunity-times-setting"></a>

Puede establecer los tiempos de inmunidad en su paquete de protección (ACL web) y en las reglas que utilizan las acciones de regla Challenge y CAPTCHA. 

Para obtener información general sobre la administración de un paquete de protección (ACL web) y sus reglas, consulte [Ver las métricas de tráfico web en AWS WAF](web-acl-working-with.md).

**Dónde configurar el tiempo de inmunidad de un paquete de protección (ACL web)**
+ **Consola**: al editar el paquete de protección (ACL web), en la pestaña **Reglas**, edite y cambie la configuración de los paneles de **Configuración de CAPTCHA del paquete de protección (ACL web)** y **Configuración de desafíos del paquete de protección (ACL web)**. En la consola, solamente puede configurar los tiempos de inmunidad de los CAPTCHA y los desafíos del paquete de protección (ACL web) después de haberlo creado.
+ **Fuera de la consola**: el tipo de datos del paquete de protección (ACL web) tiene parámetros de configuración de CAPTCHA y desafíos, que puede configurar y proporcionar a sus operaciones de creación y actualización en el paquete de protección (ACL web). 

**Dónde configurar el tiempo de inmunidad de una regla**
+ **Consola**: al crear o editar una regla y especificar la acción CAPTCHA o Challenge, puede modificar la configuración del tiempo de inmunidad de la regla. 
+ **Fuera de la consola**: el tipo de datos de la regla tiene parámetros de configuración de CAPTCHA y desafíos, que puede configurar al definir la regla. 

# Especificar dominios simbólicos y listas de dominios en AWS WAF
<a name="waf-tokens-domains"></a>

En esta sección se explica cómo configurar los dominios que AWS WAF utiliza en los tokens y que acepta en los tokens.

Cuando AWS WAF crea un token para un cliente, lo configura con un dominio de token. Cuando AWS WAF inspecciona un token en una solicitud web, lo rechaza por no válido si su dominio no coincide con ninguno de los dominios que se consideran válidos para el paquete de protección (ACL web). 

De forma predeterminada, AWS WAF solo acepta los tokens cuya configuración de dominio coincida exactamente con la del dominio host del recurso asociado al paquete de protección (ACL web). Se trata del valor del encabezado `Host` de la solicitud web. En un navegador, puedes encontrar este dominio en la JavaScript `window.location.hostname` propiedad y en la dirección que el usuario ve en la barra de direcciones. 

También puede especificar dominios de tokens aceptables en su configuración de paquete de protección (ACL web), tal y como se describe en la siguiente sección. En este caso, AWS WAF acepta tanto las coincidencias exactas con el encabezado del host como las coincidencias con los dominios de la lista de dominios simbólicos.

Puede especificar los dominios simbólicos AWS WAF para usarlos al configurar el dominio y al evaluar un token en un paquete de protección (ACL web). Los dominios que especifique no pueden ser sufijos públicos, como `gov.au`. Para ver los dominios que no puede usar, consulte la lista en lista [https://publicsuffix.org/list/public_suffix_list.dat](https://publicsuffix.org/list/public_suffix_list.dat) en la [lista de sufijos públicos](https://publicsuffix.org/list/).

## AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)
<a name="waf-tokens-domain-lists"></a>

Puede configurar un paquete de protección (ACL web) para compartir los tokens entre varios recursos protegidos proporcionando una lista de dominios simbólicos con los dominios adicionales que desee AWS WAF aceptar. Con una lista de dominios simbólicos, AWS WAF sigue aceptando el dominio anfitrión del recurso. Además, acepta todos los dominios de la lista de dominios de tokens, incluidos sus subdominios prefijados. 

Por ejemplo, una especificación de dominio `example.com` de su lista de dominios de tokens coincide con `example.com` (de `http://example.com/`), `api.example.com`, (de `http://api.example.com/`) y `www.example.com` (de `http://www.example.com/`). No coincide con `example.api.com` (de `http://example.api.com/`) ni con `apiexample.com` (de `http://apiexample.com/`).

Puede configurar la lista de dominios de tokens de su paquete de protección (ACL web) al crearla o editarla. Para obtener información general sobre la administración de un paquete de protección (ACL web), consulte [Ver las métricas de tráfico web en AWS WAF](web-acl-working-with.md).

## AWS WAF configuración del dominio simbólico
<a name="waf-tokens-domain-in-token"></a>

AWS WAF crea tokens a petición de los scripts de desafío, que se ejecutan mediante la integración de la aplicación SDKs Challenge y las acciones de CAPTCHA regla. 

El dominio que se AWS WAF establece en un token viene determinado por el tipo de script de desafío que lo solicita y por cualquier configuración de dominio de token adicional que proporciones. AWS WAF establece el dominio del token en la configuración más corta y general que pueda encontrar en la configuración.
+ **JavaScript SDK**: puede configurar el JavaScript SDK con una especificación de dominio simbólico, que puede incluir uno o más dominios. Los dominios que configure deben ser dominios que AWS WAF acepten, según el dominio host protegido y la lista de dominios simbólicos del paquete de protección (ACL web). 

  Cuando AWS WAF emite un token para el cliente, establece el dominio del token en uno que coincida con el dominio host y sea el más corto, entre el dominio host y los dominios de la lista configurada. Por ejemplo, si el dominio anfitrión es `api.example.com` y la lista de dominios token tiene`example.com`, AWS WAF usa `example.com` el token porque coincide con el dominio host y es más corto. Si no proporcionas una lista de dominios simbólicos en la configuración de la JavaScript API, AWS WAF establece el dominio como el dominio host del recurso protegido.

  Para obtener más información, consulte [Suministro de dominios para su uso en los tokens](waf-js-challenge-api-set-token-domain.md). 
+ **SDK para móviles**: en el código de su aplicación, debe configurar el SDK para móviles con una propiedad de dominio de token. Esta propiedad debe ser un dominio que AWS WAF acepte, con base en el dominio del host protegido y en la lista de dominios de tokens del paquete de protección (ACL web). 

  Cuando AWS WAF emite un token para el cliente, este utiliza esta propiedad como dominio del token. AWS WAF no usa el dominio host en los tokens que emite para el cliente del SDK móvil. 

  Para obtener más información, consulte la `WAFConfiguration` `domainName` configuración en [AWS WAF especificación de SDK móvil](waf-mobile-sdk-specification.md). 
+ **Challengeacción**: si especificas una lista de dominios simbólicos en el paquete de protección (ACL web), AWS WAF establece el dominio token en uno que coincida con el dominio anfitrión y sea el más corto, entre el dominio host y los dominios de la lista. Por ejemplo, si el dominio host es `api.example.com` y la lista de dominios token tiene`example.com`, AWS WAF usa `example.com` el token porque coincide con el dominio host y es más corto. Si no proporciona una lista de dominios simbólicos en el paquete de protección (ACL web), AWS WAF establece el dominio como el dominio host del recurso protegido. 

# Tipos de etiquetas de token en AWS WAF
<a name="waf-tokens-labeling"></a>

En esta sección, se describen las etiquetas que la administración de AWS WAF tokens añade a las solicitudes web. Para obtener información general acerca de las etiquetas, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).

Cuando utilizas cualquiera de los grupos de reglas gestionados por AWS WAF bots o por el control de fraudes, los grupos de reglas utilizan la gestión de AWS WAF tokens para inspeccionar los tokens de las solicitudes web y etiquetar los tokens a las solicitudes. Para obtener información sobre los grupos de reglas administradas, consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md), [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) y [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).

**nota**  
AWS WAF aplica etiquetas de token solo cuando se utiliza uno de estos grupos de reglas gestionados de forma inteligente para la mitigación de amenazas. 

La administración de token puede agregar las siguientes etiquetas a las solicitudes web.

**Etiqueta de sesión de cliente**  
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando. 

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiqueta de la huella digital del navegador**  
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

**nota**  
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**  
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA. 

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres: 
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token. 
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token. 

**Etiquetas de estado del token: nombres de etiquetas**  
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token: 
+ `accepted`: El token de solicitud está presente y contiene lo siguiente: 
  + Una solución válida del desafío o del CAPTCHA.
  + Una marca de tiempo vigente del desafío o del CAPTCHA.
  + Una especificación de dominio válida para el paquete de protección (ACL web). 

  Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación. 

  Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo. 
  + `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA. 
  + `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web). 
  + `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web). 
  + `rejected:invalid`— no se AWS WAF pudo leer el token indicado. 

  Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo. 

  Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token. 

# Bloquear solicitudes que no tienen un AWS WAF token válido
<a name="waf-tokens-block-missing-tokens"></a>

En esta sección se explica cómo bloquear las solicitudes de inicio de sesión a las que les faltan sus símbolos cuando se utiliza el SDK AWS WAF móvil.

Cuando se utilizan los grupos de reglas AWS gestionadas por las amenazas inteligentes y `AWSManagedRulesACFPRuleSet` `AWSManagedRulesATPRuleSet``AWSManagedRulesBotControlRuleSet`, los grupos de reglas invocan la administración de AWS WAF tokens para evaluar el estado del token de solicitud web y etiquetar las solicitudes en consecuencia. 

**nota**  
El etiquetado de los tokens solo se aplica a las solicitudes web que se evalúan mediante uno de estos grupos de reglas administradas.

Para obtener información sobre el etiquetado que aplica la administración de los tókenes, consulte la sección anterior, [Tipos de etiquetas de token en AWS WAF](waf-tokens-labeling.md). 

Luego, los grupos de reglas administradas de mitigación de amenazas inteligentes gestionan los requisitos de los tokens de la siguiente manera:
+ La regla `AllRequests` de `AWSManagedRulesACFPRuleSet` está configurada para ejecutar la acción Challenge contra todas las solicitudes y bloquear de forma efectiva las que no tengan la etiqueta de token `accepted`. 
+ `AWSManagedRulesATPRuleSet` bloquea las solicitudes que tienen la etiqueta de token `rejected`, pero no bloquea las solicitudes con la etiqueta de token `absent`. 
+ El nivel de protección específica de `AWSManagedRulesBotControlRuleSet` desafía a los clientes después de enviar cinco solicitudes sin una etiqueta de token `accepted`. No bloquea una solicitud individual que no tenga un token válido. El nivel de protección común del grupo de reglas no administra los requisitos de los tokens. 

Para obtener más información sobre los grupos de reglas de amenazas inteligentes, consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md), [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) y [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md). 

**Para bloquear las solicitudes a las que les faltan tokens cuando se utiliza el grupo de reglas administradas de control de bots o ATP**  
Con los grupos de reglas de control de bots y ATP, es posible que una solicitud sin un token válido salga de la evaluación del grupo de reglas y que sea el paquete de protección (ACL web) el que continúe con la evaluación. 

Para bloquear todas las solicitudes a las que les falte su token o cuyo token haya sido rechazado, agregue una regla que se ejecute inmediatamente después del grupo de reglas administradas para capturar y bloquear las solicitudes que el grupo de reglas no gestione por usted. 

A continuación, se muestra un ejemplo de lista de JSON de un paquete de protección (ACL web) que utiliza el grupo de reglas administradas de la ATP. El paquete de protección (ACL web) tiene una regla adicional para capturar la etiqueta `awswaf:managed:token:absent` y gestionarla. La regla limita su evaluación a las solicitudes web que se dirigen al punto de conexión de inicio de sesión para que coincidan con el alcance del grupo de reglas de la ATP. La regla agregada aparece en negrita. 

```
{
  "Name": "exampleWebACL",
  "Id": "55555555-6666-7777-8888-999999999999",
  "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/webacl/exampleWebACL/55555555-4444-3333-2222-111111111111",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesATPRuleSet",
      "Priority": 1,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesATPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesATPRuleSet": {
                "LoginPath": "/web/login",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  }
                },
                "ResponseInspection": {
                  "StatusCode": {
                    "SuccessCodes": [
                      200
                    ],
                    "FailureCodes": [
                      401,
                      403,
                      500
                    ]
                  }
                }
              }  
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesATPRuleSet"
      }
    },
    {
      "Name": "RequireTokenForLogins",
      "Priority": 2,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "Statement": {
                "LabelMatchStatement": {
                  "Scope": "LABEL",
                  "Key": "awswaf:managed:token:absent"
                }
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "/web/login",
                "FieldToMatch": {
                  "UriPath": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                 }
                ],
                "PositionalConstraint": "STARTS_WITH"
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "POST",
                "FieldToMatch": {
                  "Method": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ],
                "PositionalConstraint": "EXACTLY"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RequireTokenForLogins"
      } 
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "exampleWebACL"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111111111111:webacl:exampleWebACL:"
}
```

# Configuración requerida para los balanceadores de carga de aplicaciones que son orígenes CloudFront
<a name="waf-tokens-with-alb-and-cf"></a>

Lea esta sección si asocia su paquete de protección (ACL web) a un Application Load Balancer e implementa el Application Load Balancer como origen de una distribución. CloudFront 

Con esta arquitectura, debe proporcionar la siguiente configuración adicional para que la información del token se gestione correctamente.
+ Configure CloudFront para reenviar la `aws-waf-token` cookie a Application Load Balancer. De forma predeterminada, CloudFront elimina las cookies de la solicitud web antes de reenviarla al origen. Para conservar la cookie de token con la solicitud web, configura el comportamiento de la CloudFront caché para que incluya solo la cookie de token o todas las cookies. Para obtener información sobre cómo hacerlo, consulte Almacenamiento en [caché de contenido basado en cookies en](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Cookies.html) la *Guía para CloudFront desarrolladores de Amazon*.
+  AWS WAF Configúrelo para que reconozca el dominio de la CloudFront distribución como un dominio simbólico válido. De forma predeterminada, CloudFront establece el `Host` encabezado en el origen de Application Load Balancer y lo AWS WAF usa como dominio del recurso protegido. Sin embargo, el navegador del cliente ve la CloudFront distribución como el dominio host y los tokens que se generan para el cliente utilizan el CloudFront dominio como dominio del token. Sin ninguna configuración adicional, AWS WAF si se compara el dominio de recursos protegido con el dominio simbólico, se produce una discrepancia. Para solucionarlo, añada el nombre del dominio de CloudFront distribución a la lista de dominios simbólicos de la configuración del paquete de protección (ACL web). Para obtener información acerca de cómo hacerlo, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists).

# AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)
<a name="waf-acfp"></a>

En esta sección se explica qué hace AWS WAF Fraud Control y prevención del fraude en la creación de cuentas (ACFP).

El fraude en la creación de cuentas es una actividad ilegal en línea en la que un atacante intenta crear una o más cuentas falsas. Los atacantes utilizan cuentas falsas para realizar actividades fraudulentas, como abusar de las bonificaciones promocionales y de registro, hacerse pasar por alguien y los ciberataques, como la suplantación de identidad. La presencia de cuentas falsas puede afectar negativamente a su empresa, ya que perjudica su reputación ante los clientes y la expone al fraude financiero. 

Puedes monitorear y controlar los intentos de fraude en la creación de cuentas implementando la función ACFP. AWS WAF ofrece esta función en el grupo de reglas de reglas AWS administradas `AWSManagedRulesACFPRuleSet` con la integración SDKs de aplicaciones complementarias. 

El grupo de reglas administradas de la ACFP etiqueta y gestiona las solicitudes que podrían formar parte de intentos malintencionados de creación de cuentas. El grupo de reglas lo hace mediante la inspección de los intentos de creación de cuenta que los clientes envían al punto de conexión de inicio de sesión de la aplicación. 

La ACFP protege las páginas de registro de sus cuentas monitorizando las solicitudes de registro de cuentas para detectar actividad anómala y bloqueando automáticamente las solicitudes sospechosas. El grupo de reglas utiliza identificadores de solicitudes, análisis de comportamiento y machine learning para detectar solicitudes fraudulentas. 
+ **Inspección de solicitudes**: la ACFP le brinda visibilidad y control sobre los intentos anómalos de creación de cuentas y los intentos en los que se utilizan credenciales robadas con el fin de evitar la creación de cuentas fraudulentas. ACFP comprueba las combinaciones de correo electrónico y contraseña con su base de datos de credenciales robadas, que se actualiza periódicamente a medida que se descubren nuevas credenciales filtradas en la web oscura. La ACFP evalúa los dominios utilizados en las direcciones de correo electrónico y monitoriza el uso de los números de teléfono y los campos de direcciones para verificar las entradas y detectar comportamientos fraudulentos. ACFP agrega los datos por dirección IP y sesión de cliente para detectar y bloquear a los clientes que envían demasiadas solicitudes de naturaleza sospechosa. 
+ **Inspección de respuestas**: en el caso de CloudFront las distribuciones, además de inspeccionar las solicitudes entrantes de creación de cuentas, el grupo de reglas de la ACFP inspecciona las respuestas de la aplicación a los intentos de creación de cuentas, a fin de hacer un seguimiento de las tasas de éxito y fracaso. Con esta información, ACFP puede bloquear temporalmente las sesiones de los clientes o las direcciones IP que tengan demasiados intentos fallidos. AWS WAF realiza una inspección de las respuestas de forma asíncrona, por lo que no aumenta la latencia del tráfico web. 

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

**nota**  
La característica ACFP no está disponible para los grupos de usuarios de Amazon Cognito.

**Topics**
+ [

# AWS WAF Componentes ACFP
](waf-acfp-components.md)
+ [

# Uso de la integración de aplicaciones SDKs con ACFP
](waf-acfp-with-tokens.md)
+ [

# Adición del grupo de reglas administradas por ACFP a la nueva ACL web
](waf-acfp-rg-using.md)
+ [

# Pruebas implementación de la ACFP
](waf-acfp-deploying.md)
+ [

# AWS WAF Ejemplos de prevención del fraude (ACFP) en la creación de cuentas de Fraud Control
](waf-acfp-control-examples.md)

# AWS WAF Componentes ACFP
<a name="waf-acfp-components"></a>

Los componentes principales de la prevención del AWS WAF fraude en la creación de cuentas (ACFP) de Fraud Control son los siguientes: 
+ **`AWSManagedRulesACFPRuleSet`**— Las reglas de este grupo de reglas AWS administradas detectan, etiquetan y gestionan varios tipos de actividad fraudulenta de creación de cuentas. El grupo de reglas inspecciona `GET` text/html las solicitudes HTTP que los clientes envían al punto final de registro de cuentas especificado y las solicitudes `POST` web que los clientes envían al punto final de registro de cuentas especificado. En el caso de CloudFront las distribuciones protegidas, el grupo de reglas también inspecciona las respuestas que la distribución envía a las solicitudes de creación de cuentas. Para obtener una lista de las reglas de este grupo de reglas, consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md). Para incluir este grupo de reglas en su paquete de protección (ACL web), use una instrucción de referencia de un grupo de reglas administradas. Para obtener información acerca del uso de este grupo de reglas, consulte [Adición del grupo de reglas administradas por ACFP a la nueva ACL web](waf-acfp-rg-using.md). 
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
+ **Detalles sobre las páginas de registro y creación de cuentas de su aplicación**: debe proporcionar información sobre las páginas de registro y creación de cuentas al agregar el grupo de reglas `AWSManagedRulesACFPRuleSet` a su paquete de protección (ACL web). Esto permite que el grupo de reglas reduzca el alcance de las solicitudes que inspecciona y valide adecuadamente las solicitudes web de creación de cuentas. La página de registro debe aceptar `GET` text/html las solicitudes. La página de creación de rutas debe aceptar las solicitudes `POST`. El grupo de reglas de la ACFP funciona con nombres de usuario en formato de correo electrónico. Para obtener más información, consulte [Adición del grupo de reglas administradas por ACFP a la nueva ACL web](waf-acfp-rg-using.md). 
+ En el caso de ** CloudFront las distribuciones protegidas, detalles sobre cómo responde su aplicación a los intentos de creación de cuentas**: usted proporciona detalles sobre las respuestas de su aplicación a los intentos de creación de cuentas y el grupo de reglas de la ACFP rastrea y gestiona los intentos de creación masiva de cuentas desde una sola dirección IP o sesión de un solo cliente. Para obtener más información acerca de cómo configurar esta opción, consulte [Adición del grupo de reglas administradas por ACFP a la nueva ACL web](waf-acfp-rg-using.md). 
+ **JavaScript e integración de aplicaciones móviles SDKs**: implemente AWS WAF JavaScript y mobile SDKs con su implementación de ACFP para aprovechar todo el conjunto de funciones que ofrece el grupo de reglas. Muchas de las reglas de la ACFP utilizan la información proporcionada por la ACFP SDKs para la verificación del comportamiento de los clientes a nivel de sesión y la agregación del comportamiento, necesaria para separar el tráfico de clientes legítimos del tráfico de bots. Para obtener más información sobre el SDKs, consulte[Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md).

Puede combinar su implementación de ACFP con lo siguiente para monitorizar, ajustar y personalizar sus protecciones. 
+ **Registro y métricas**: puede supervisar su tráfico y comprender cómo lo afecta el grupo de reglas gestionado por la ACFP configurando y habilitando los registros, la recopilación de datos de Amazon Security Lake y CloudWatch las métricas de Amazon para su paquete de protección (ACL web). Las etiquetas que `AWSManagedRulesACFPRuleSet` agrega a las solicitudes web se incluyen en los datos. Para obtener información acerca de las opciones, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md), [Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md) y [What is Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html).

  En función de sus necesidades y del tráfico que detecte, es posible que desee personalizar la implementación de `AWSManagedRulesACFPRuleSet`. Por ejemplo, tal vez desee excluir parte del tráfico de la evaluación de la ACFP o modificar la forma en que gestiona algunos de los intentos de fraude de creación de cuentas que identifica, utilizando AWS WAF funciones como las declaraciones de alcance reducido o las reglas de coincidencia de etiquetas. 
+ **Etiquetas y reglas de coincidencia de etiquetas**: para cualquiera de las reglas incluidas en `AWSManagedRulesACFPRuleSet`, puede cambiar el comportamiento de bloqueo a recuento y, a continuación, compararlas con las etiquetas añadidas por las reglas. Utilice este enfoque para personalizar la forma en que gestiona las solicitudes web identificadas por el grupo de reglas administradas de la ACFP. Para obtener más información sobre el etiquetado y el uso de las instrucciones de coincidencia de etiquetas, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md) y [Etiquetado de solicitudes web en AWS WAF](waf-labels.md). 
+ **Solicitudes y respuestas personalizadas**: puede agregar encabezados personalizados a las solicitudes que permita y puede enviar respuestas personalizadas a las solicitudes que bloquee. Para ello, asocie su etiqueta coincidente con las características de solicitud y respuesta personalizadas de AWS WAF . Para obtener más información sobre cómo personalizar las solicitudes y las respuestas, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

# Uso de la integración de aplicaciones SDKs con ACFP
<a name="waf-acfp-with-tokens"></a>

Recomendamos encarecidamente implementar la integración SDKs de aplicaciones para un uso más eficiente del grupo de reglas de la ACFP. 
+ **Funcionalidad completa de grupos de reglas**: la regla de la ACFP `SignalClientHumanInteractivityAbsentLow` solo funciona con los tokens que se rellenan con las integraciones de aplicaciones. Esta regla detecta y gestiona la interactividad humana anómala con la página de la aplicación. La integración de la aplicación SDKs puede detectar la interactividad humana normal mediante los movimientos del ratón, las pulsaciones de teclas y otras mediciones. Los intersticiales que envían las acciones de regla CAPTCHA y Challenge no pueden proporcionar este tipo de datos. 
+ **Latencia reducida**: la regla `AllRequests` del grupo de reglas aplica la acción de regla Challenge a cualquier solicitud que aún no tenga un token de desafío. Cuando esto sucede, el grupo de reglas evalúa la solicitud dos veces: una sin el token y, a continuación, una segunda vez después de haber adquirido el token mediante la acción intersticial Challenge. No se le cobrará ninguna tarifa adicional por usar únicamente la regla `AllRequests`, pero este enfoque agrega una sobrecarga al tráfico web y agrega latencia a la experiencia del usuario final. Si adquiere el token desde el lado del cliente mediante las integraciones de aplicaciones, antes de enviar la solicitud de creación de la cuenta, el grupo de reglas de la ACFP evalúa la solicitud una vez. 

Para obtener más información acerca de las capacidades de este grupo de reglas, consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md).

Para obtener información sobre el SDKs, consulte[Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). Para obtener información sobre AWS WAF los tokens, consulte[Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Para obtener información sobre las acciones de las reglas, consulte [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).

# Adición del grupo de reglas administradas por ACFP a la nueva ACL web
<a name="waf-acfp-rg-using"></a>

En esta sección se explica cómo se agrega y configura el grupo de reglas `AWSManagedRulesACFPRuleSet`.

Con el fin de configurar el grupo de reglas administradas de la ACFP para que reconozca las actividades fraudulentas de creación de cuentas en su tráfico web, debe proporcionar información sobre cómo los clientes acceden a su página de registro y enviar las solicitudes de creación de cuentas a su aplicación. En el caso de CloudFront las distribuciones protegidas de Amazon, también debes proporcionar información sobre cómo responde tu aplicación a las solicitudes de creación de cuentas. Esta configuración se suma a la configuración normal de un grupo de reglas administradas. 

Para ver la descripción del grupo de reglas y la lista de reglas, consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md).

**nota**  
La base de datos de credenciales robadas de la ACFP solo contiene nombres de usuario en formato de correo electrónico.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y gestionar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administradas a su paquete de protección (ACL web), consulte [Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola](waf-using-managed-rule-group.md).

**Seguir las prácticas recomendadas**  
Utilice el grupo de reglas de la ACFP de acuerdo con las prácticas recomendadas de [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md). 

**Uso del grupo de reglas de `AWSManagedRulesACFPRuleSet` en su paquete de protección (ACL web)**

1. Agregue el grupo de reglas AWS administrado `AWSManagedRulesACFPRuleSet` a su paquete de protección (ACL web) y **edite** la configuración del grupo de reglas antes de guardarlo. 
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

1. En el panel **configuración del grupo de reglas**, proporcione la información que el grupo de reglas de la ACFP utiliza para inspeccionar las solicitudes de creación de cuentas. 

   1. En **Usar expresiones regulares en las rutas**, active esta opción si desea AWS WAF hacer coincidir las expresiones regulares con las especificaciones de las rutas de las páginas de registro y creación de cuentas. 

      AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE `libpcre` con algunas excepciones. La biblioteca está documentada en [PCRE, expresiones regulares compatibles con Perl](http://www.pcre.org/). Para obtener información sobre el AWS WAF soporte, consulte[Sintaxis de expresiones regulares admitida en AWS WAF](waf-regex-pattern-support.md).

   1. En **Ruta de la página de registro**, indique la ruta del punto de conexión de la página de registro de su aplicación. Esta página debe aceptar `GET` text/html solicitudes. El grupo de reglas inspecciona solo `GET` text/html las solicitudes HTTP enviadas al punto final de la página de registro especificado.
**nota**  
La coincidencia de puntos de conexión no distingue entre mayúsculas y minúsculas. Las especificaciones de expresiones regulares no deben incluir la marca `(?-i)`, ya que desactiva la coincidencia sin distinción entre mayúsculas y minúsculas. Las especificaciones de las cadenas deben empezar con una barra diagonal `/`.

      Por ejemplo, para la URL `https://example.com/web/registration`, puede proporcionar la especificación de la ruta de la cadena `/web/registration`. Las rutas de las páginas de registro que comienzan con la ruta que proporcione se consideran coincidentes. Por ejemplo, `/web/registration` coincide con las rutas de registro `/web/registration`, `/web/registration/`, `/web/registrationPage` y `/web/registration/thisPage`, pero no coincide con la ruta `/home/web/registration` o `/website/registration`. 
**nota**  
Asegúrese de que los usuarios finales carguen la página de registro antes de enviar una solicitud de creación de cuenta. Esto ayuda a garantizar que las solicitudes de creación de cuenta que envía el cliente incluyan tókenes válidos. 

   1. Para **la ruta de creación de la cuenta**, proporcione el URI de su sitio web que acepte los detalles completados del nuevo usuario. Este URI debe aceptar solicitudes `POST`.
**nota**  
La coincidencia de puntos de conexión no distingue entre mayúsculas y minúsculas. Las especificaciones de expresiones regulares no deben incluir la marca `(?-i)`, ya que desactiva la coincidencia sin distinción entre mayúsculas y minúsculas. Las especificaciones de las cadenas deben empezar con una barra diagonal `/`.

      Por ejemplo, para la URL `https://example.com/web/newaccount`, puede proporcionar la especificación de la ruta de la cadena `/web/newaccount`. Las rutas de creación de cuentas que comienzan con la ruta que usted proporciona se consideran coincidentes. Por ejemplo, `/web/newaccount` coincide con las rutas de creación de cuentas `/web/newaccount`, `/web/newaccount/`, `/web/newaccountPage` y `/web/newaccount/thisPage`, pero no coincide con la ruta `/home/web/newaccount` o `/website/newaccount`. 

   1. Para **Inspeccionar solicitudes**, especifique cómo acepta su aplicación los intentos de creación de cuentas. Para ello, proporcione el tipo de carga útil de la solicitud y los nombres de los campos del cuerpo de la solicitud en los que se incluyen el nombre de usuario, la contraseña y otros detalles de creación de la cuenta. 
**nota**  
Para los campos de dirección y número de teléfono principales, proporcione los campos en el orden en que aparecen en la carga útil de la solicitud.

      La especificación de los nombres de los campos depende del tipo de carga útil.
      + **Tipo de carga útil JSON**: especifique los nombres de los campos en la sintaxis del puntero JSON. Para obtener información sobre la sintaxis del puntero JSON, consulte la documentación del Grupo de trabajo de ingeniería de Internet (IETF) sobre [notación de JavaScript objetos (JSON](https://tools.ietf.org/html/rfc6901)) Pointer. 

        Por ejemplo, para el siguiente ejemplo de carga útil JSON, la especificación del campo de nombre de usuario es `/signupform/username` y las especificaciones del campo de dirección principal son `/signupform/addrp1`, `/signupform/addrp2` y `/signupform/addrp3`.

        ```
        {
            "signupform": {
                "username": "THE_USERNAME",
                "password": "THE_PASSWORD",
                "addrp1": "PRIMARY_ADDRESS_LINE_1",
                "addrp2": "PRIMARY_ADDRESS_LINE_2",
                "addrp3": "PRIMARY_ADDRESS_LINE_3",
                "phonepcode": "PRIMARY_PHONE_CODE",
                "phonepnumber": "PRIMARY_PHONE_NUMBER"
            }
        }
        ```
      + **Tipo de carga útil FORM\$1ENCODED**: use los nombres de los formularios HTML.

        Por ejemplo, para un formulario HTML con elementos de entrada de usuario y contraseña denominados `username1` y `password1`, la especificación del campo de nombre de usuario es `username1` y la especificación del campo de contraseña es `password1`.

   1. Si estás protegiendo CloudFront las distribuciones de Amazon, en la **inspección de respuestas**, especifica cómo indica tu aplicación el éxito o el fracaso en sus respuestas a los intentos de creación de cuentas. 
**nota**  
La inspección de respuesta de la ACFP solo está disponible en los paquetes de protección (web ACLs) que protegen CloudFront las distribuciones.

      Especifique un único componente en la respuesta de creación de la cuenta que desee que inspeccione la ACFP. Para los tipos de componentes **Body** y **JSON**, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) del componente. 

      Indique sus criterios de inspección para el tipo de componente, tal y como se indica en la interfaz. Debe proporcionar los criterios de éxito y fracaso para inspeccionar el componente. 

      Por ejemplo, supongamos que su solicitud indica el estado de un intento de creación de cuenta en el código de estado de la respuesta y utiliza `200 OK` para indicar si se ha realizado correctamente, y `401 Unauthorized` o `403 Forbidden` si ha fallado. Debe establecer el **Tipo de componente** de inspección de respuesta en **Código de estado** y, a continuación, en el cuadro de texto **Éxito**, introducir `200`, y, en el cuadro de texto **Error**, introducir `401` en la primera línea y `403` en la segunda.

      El grupo de reglas de la ACFP solo cuenta las respuestas que coinciden con sus criterios de inspección de éxito o fracaso. Las reglas del grupo de reglas actúan sobre los clientes cuando tienen una tasa de éxito demasiado alta entre las respuestas que se cuentan, con el fin de mitigar los intentos de creación masiva de cuentas. Para cumplir con precisión las reglas del grupo de reglas, asegúrese de proporcionar información completa tanto para los intentos de creación de cuentas exitosos como para los fallidos. 

      Para ver las reglas que inspeccionan las respuestas de creación de cuentas, busque `VolumetricIPSuccessfulResponse` y `VolumetricSessionSuccessfulResponse` en la lista de reglas que aparece en [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md). 

1. Proporcione cualquier configuración adicional que desee para el grupo de reglas. 

   Puede limitar aún más el alcance de las solicitudes que el grupo de reglas inspecciona agregando una instrucción de restricción de acceso a la instrucción del grupo de reglas administradas. Por ejemplo, solamente puede inspeccionar las solicitudes con un argumento de consulta o una cookie específicos. El grupo de reglas solo inspeccionará las solicitudes que coincidan con los criterios de su instrucción de restricción de acceso y que se envíen a las rutas de registro y creación de cuentas que especificó en la configuración del grupo de reglas. Para obtener información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).

1. Guarde los cambios en el paquete de protección (ACL web). 

Antes de implementar cambios en su ACFP para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte la sección siguiente para obtener orientación. 

# Pruebas implementación de la ACFP
<a name="waf-acfp-deploying"></a>

Esta sección proporciona una guía general para configurar y probar una implementación de la prevención del AWS WAF fraude en la creación de cuentas (ACFP) de Fraud Control para su sitio. Los pasos específicos que elija seguir dependerán de sus necesidades, recursos y solicitudes web que reciba. 

Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para asegurarse de que sus recursos AWS estén debidamente protegidos. 

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su ACFP para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. 

AWS WAF proporciona credenciales de prueba que puede usar para verificar su configuración de ACFP. En el siguiente procedimiento, configurará un paquete de protección (ACL web) de prueba para usar el grupo de reglas administradas ACFP, configurará una regla para capturar la etiqueta agregada por el grupo y luego ejecutará un intento de creación de cuenta usando estas credenciales de prueba. Comprobarás que tu paquete de protección (ACL web) ha gestionado correctamente el intento comprobando CloudWatch las métricas de Amazon para el intento de creación de la cuenta. 

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. 

**Para configurar y probar una implementación de la prevención del AWS WAF fraude (ACFP), la creación de cuentas y la prevención del fraude (ACFP)**

Realice estos pasos primero en un entorno de prueba y, después, en producción.

1. 

**Agregue el AWS WAF grupo de reglas gestionadas por el Control de Fraude Control de Creación de Cuentas y Prevención del Fraude (ACFP) en el modo de recuento**
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

   Agregue el grupo de reglas AWS administradas `AWSManagedRulesACFPRuleSet` a un paquete de protección nuevo o existente (ACL web) y configúrelo de manera que no altere el comportamiento actual del paquete de protección (ACL web). Para obtener más información sobre las reglas y etiquetas de este grupo de reglas, consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md).
   + Cuando añada el grupo de reglas administradas, edítelo y haga lo siguiente: 
     + En el panel de **Configuración del grupo de reglas**, proporcione los detalles de las páginas de registro y creación de cuentas de su aplicación. El grupo de reglas de la ACFP utiliza esta información para monitorizar las actividades de inicio de sesión. Para obtener más información, consulte [Adición del grupo de reglas administradas por ACFP a la nueva ACL web](waf-acfp-rg-using.md).
     + En el panel **Reglas**, abra el menú desplegable **Anular todas las acciones de reglas** y elija **Count**. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de agregar etiquetas a las solicitudes. Para obtener más información, consulte [Invalidar acciones de reglas en un grupo de reglas](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Con esta anulación, puede supervisar el posible impacto de las reglas administradas de ACFP para determinar si desea agregar excepciones, por ejemplo, excepciones para casos de uso interno. 
   + Sitúe el grupo de reglas de forma que se evalúe según las reglas existentes en el paquete de protección (ACL web), con una configuración de prioridad numéricamente superior a la de cualquier regla o grupo de reglas que ya esté utilizando. Para obtener más información, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md). 

     De esta forma, no se interrumpe su gestión actual del tráfico. Por ejemplo, si tiene reglas que detectan tráfico malicioso, como la inyección de código SQL o el scripting entre sitios, seguirán detectándolo y registrándolo. Como alternativa, si tiene reglas que permiten el tráfico no malicioso conocido, estas pueden seguir permitiéndolo sin que el grupo de reglas administradas de la ACFP lo bloquee. Puede decidir ajustar el procesamiento de pedidos durante sus actividades de prueba y ajuste.

1. 

**Implemente la integración de aplicaciones SDKs**

   Integre el AWS WAF JavaScript SDK en las rutas de registro y creación de cuentas de su navegador. AWS WAF también proporciona dispositivos móviles SDKs para integrar dispositivos iOS y Android. Para obtener más información sobre la integración SDKs, consulte[Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). Para obtener más información sobre esta recomendación, consulte [Uso de la integración de aplicaciones SDKs con ACFP](waf-acfp-with-tokens.md).
**nota**  
Si no puede utilizar la integración de aplicaciones SDKs, puede probar el grupo de reglas de la ACFP editándolo en su paquete de protección (ACL web) y eliminando la anulación que haya colocado en la `AllRequests` regla. Esto habilita la configuración de la acción Challenge de la regla para garantizar que las solicitudes incluyan un token de desafío válido.   
*Haga esto primero en un entorno de prueba y, después, con sumo cuidado en su entorno de producción.* Este enfoque tiene el potencial de bloquear a los usuarios. Por ejemplo, si la ruta de la página de registro no acepta `GET` text/html solicitudes, esta configuración de reglas puede bloquear eficazmente todas las solicitudes en la página de registro. 

1. 

**Habilitación del registro y las métricas para el paquete de protección (ACL web)**

   Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y CloudWatch las métricas de Amazon para el paquete de protección (ACL web). Puede usar estas herramientas de visibilidad para monitorizar la interacción del grupo de reglas administradas de la ACFP con su tráfico. 
   + Para obtener más información acerca del registro, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 
   + Para obtener información sobre Amazon Security Lake, consulte [¿Qué es Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) y [Recopilación de datos de AWS los servicios de](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) la *guía del usuario de Amazon Security Lake*. 
   + Para obtener información sobre CloudWatch las métricas de Amazon, consulta[Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Para obtener información sobre cómo el muestreo de las solicitudes de web, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). 

1. 

**Asociar el paquete de protección (ACL web) con un recurso**

   Si el paquete de protección (ACL web) aún no está asociado a un recurso de prueba, asócielo. Para obtener información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).

1. 

**Supervise el tráfico y las coincidencias de las reglas de la ACFP**

   Asegúrese de que el tráfico fluya normalmente y de que las reglas del grupo de reglas administradas de la ACFP agreguen etiquetas a las solicitudes web coincidentes. Puedes ver las etiquetas en los registros y ver la ACFP y las métricas de etiquetas en las métricas de Amazon CloudWatch . En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en `ruleGroupList` con `action` establecida para el recuento y con `overriddenAction` indicando la acción de regla configurada que ha anulado. 

1. 

**Verificación de las capacidades de comprobación de credenciales del grupo de reglas**

   Realice un intento de creación de cuentas probando las credenciales comprometidas y compruebe que el grupo de reglas coincide con ellas según lo esperado. 

   1. Acceda a la página de registro de cuentas de su recurso protegido e intente agregar una cuenta nueva. Utilice el siguiente par AWS WAF de credenciales de prueba e introduzca cualquier prueba 
      + Usuario: `WAF_TEST_CREDENTIAL@wafexample.com`
      + Contraseña: `WAF_TEST_CREDENTIAL_PASSWORD`

      Estas credenciales de prueba se clasifican como credenciales comprometidas y el grupo de reglas administradas de la ACFP agregará la etiqueta `awswaf:managed:aws:acfp:signal:credential_compromised` a la solicitud de creación de la cuenta, lo que se puede ver en los registros. 

   1. En los registros de el paquete de protección (ACL web), busque la etiqueta `awswaf:managed:aws:acfp:signal:credential_compromised` en el campo `labels` de las entradas de registro de la solicitud de creación de la cuenta de prueba. Para obtener más información acerca del registro, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 

   Una vez que haya comprobado que el grupo de reglas captura las credenciales comprometidas según lo esperado, puede tomar las medidas necesarias para configurar su implementación según lo necesite para el recurso protegido.

1. 

**En el CloudFront caso de las distribuciones, pruebe la gestión del grupo de reglas de los intentos de creación masiva de cuentas**

   Realice esta prueba para cada criterio de respuesta satisfactoria que haya configurado para el grupo de reglas de la ACFP. Espere al menos 30 minutos entre las pruebas.

   1. Para cada uno de sus criterios de éxito, identifique en la respuesta un intento de creación de cuenta que cumpla con esos criterios de éxito. A continuación, desde una sola sesión de cliente, realice al menos 5 intentos satisfactorios de creación de cuentas en menos de 30 minutos. Normalmente, un usuario solo crearía una cuenta en su sitio. 

      Una vez creada correctamente la primera cuenta, la regla `VolumetricSessionSuccessfulResponse` debería empezar a compararse con el resto de las respuestas de creación de cuentas, etiquetándolas y contabilizándolas, en función de la anulación de las acciones de regla. Es posible que la regla omita la primera o las dos primeras debido a la latencia. 

   1. En los registros de el paquete de protección (ACL web), busque la etiqueta `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` en el campo `labels` de las entradas de registro de la solicitud de creación de solicitudes web. Para obtener más información acerca del registro, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 

   Estas pruebas comprueban que sus criterios de éxito coincidan con sus respuestas comprobando que los recuentos de éxitos agregados por la regla superen el umbral de la regla. Una vez alcanzado el umbral, si sigue enviando solicitudes de creación de cuentas desde la misma sesión, la regla seguirá siendo válida hasta que la tasa de éxito caiga por debajo del umbral. Si se supera el umbral, la regla compara los intentos de creación de cuentas exitosos o fallidos desde la dirección de la sesión. 

1. 

**Personalización la gestión de las solicitudes web de la ACFP**

   Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas de la ACFP las gestionarían. 

   Por ejemplo, puede utilizar las etiquetas de la ACFP para permitir o bloquear las solicitudes o para personalizar su gestión. Puede agregar una regla de coincidencia de etiquetas después del grupo de reglas administradas de la ACFP para filtrar las solicitudes etiquetadas según la gestión que desee aplicar. Tras realizar las pruebas, mantenga las reglas de la ACFP relacionadas en modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada. Para ver un ejemplo, consulta [Ejemplo de ACFP: respuesta personalizada para credenciales comprometidas](waf-acfp-control-example-compromised-credentials.md). 

1. 

**Elimine las reglas de prueba y active la configuración del grupo de reglas administradas de la ACFP**

   Según su situación, es posible que haya decidido dejar algunas reglas de la ACFP en modo de recuento. Para las reglas que desee ejecutar tal como están configuradas dentro del grupo de reglas, deshabilite el modo de recuento en la configuración del grupo de reglas del paquete de protección (ACL web). Cuando termine de realizar las pruebas, también puede eliminar las reglas de coincidencia de etiquetas de prueba.

1. 

**Monitorización y ajuste**

   Para asegurarse de que las solicitudes web se gestionen como desea, monitorice de cerca el tráfico después de activar la funcionalidad de la ACFP que pretende utilizar. Ajuste el comportamiento según sea necesario con la anulación del recuento de reglas en el grupo de reglas y con sus propias reglas. 

Cuando termine de probar la implementación del grupo de reglas de la ACFP, si aún no ha integrado el AWS WAF JavaScript SDK en las páginas de registro y creación de cuentas del navegador, le recomendamos encarecidamente que lo haga. AWS WAF también proporciona dispositivos móviles SDKs para integrar dispositivos iOS y Android. Para obtener más información sobre la integración SDKs, consulte[Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). Para obtener más información sobre esta recomendación, consulte [Uso de la integración de aplicaciones SDKs con ACFP](waf-acfp-with-tokens.md).

# AWS WAF Ejemplos de prevención del fraude (ACFP) en la creación de cuentas de Fraud Control
<a name="waf-acfp-control-examples"></a>

En esta sección, se muestran ejemplos de configuraciones que se adaptan a los casos de uso habituales de las implementaciones de prevención contra fraude en la creación de cuentas (ACFP) de control de fraudes de AWS WAF . 

Cada ejemplo proporciona una descripción del caso de uso y, a continuación, muestra la solución en las listas JSON para las reglas configuradas de forma personalizada. 

**nota**  
Puede recuperar listados de JSON como los que se muestran en estos ejemplos mediante el paquete de protección de la consola (ACL web), la descarga de JSON o el editor JSON de reglas, o mediante la `getWebACL` operación APIs y la interfaz de línea de comandos. 

**Topics**
+ [

# Ejemplo de ACFP: configuración sencilla
](waf-acfp-control-example-basic.md)
+ [

# Ejemplo de ACFP: respuesta personalizada para credenciales comprometidas
](waf-acfp-control-example-compromised-credentials.md)
+ [

# Ejemplo de ACFP: configuración de inspección de respuesta
](waf-acfp-control-example-response-inspection.md)

# Ejemplo de ACFP: configuración sencilla
<a name="waf-acfp-control-example-basic"></a>

La siguiente lista de JSON muestra un ejemplo de paquete de protección (ACL web) con un grupo de reglas gestionado por el Control de AWS WAF Fraude y Prevención del Fraude para la creación de cuentas (ACFP). Anote los las configuraciones adicionales `CreationPath` y `RegistrationPagePath` junto con el tipo de carga útil y la información necesaria para localizar la nueva información de la cuenta en la carga útil con el fin de verificarla. El grupo de reglas usa esta información para monitorizar y administrar sus solicitudes de creación de cuentas. Este JSON incluye la configuración que genera automáticamente el paquete de protección (ACL web), como el espacio de nombres de las etiquetas y la URL de integración de aplicaciones del paquete de protección (ACL web).

```
{
  "Name": "simpleACFP",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "EnableRegexInPath": false
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "simpleACFP"
  },
  "Capacity": 50,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
}
```

# Ejemplo de ACFP: respuesta personalizada para credenciales comprometidas
<a name="waf-acfp-control-example-compromised-credentials"></a>

De forma predeterminada, la comprobación de credenciales que realiza el grupo de reglas `AWSManagedRulesACFPRuleSet` gestiona las credenciales comprometidas etiquetando la solicitud y bloqueándola. Para obtener más información sobre el grupo de reglas y el comportamiento de las reglas, consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md).

Para informar al usuario de que las credenciales de la cuenta que ha proporcionado están comprometidas, puede hacer lo siguiente: 
+ **Anular la regla `SignalCredentialCompromised` para Count**: esto hace que la regla solo cuente y etiquete las solicitudes coincidentes.
+ **Agregar una regla de coincidencia de etiquetas con una gestión personalizada**: configure esta regla para que coincida con la etiqueta de la ACFP y realice su gestión personalizada. 

Las siguientes listas del paquete de protección (ACL web) muestran el grupo de reglas administradas de la ACFP del ejemplo anterior, con la acción de regla `SignalCredentialCompromised` anulada para el recuento. Con esta configuración, cuando este grupo de reglas evalúe cualquier solicitud web que utilice credenciales comprometidas, etiquetará la solicitud, pero no la bloqueará. 

Además, el paquete de protección (ACL web) ahora tiene una respuesta personalizada con el nombre `aws-waf-credential-compromised` y una nueva regla con el nombre `AccountSignupCompromisedCredentialsHandling`. La prioridad de la regla es una configuración numérica superior a la del grupo de reglas, por lo que se ejecuta después del grupo de reglas en la evaluación del paquete de protección (ACL web). La nueva regla hace coincidir cualquier solicitud con la etiqueta de credenciales comprometidas del grupo de reglas. Cuando la regla encuentra una coincidencia, aplica la acción Block a la solicitud con el cuerpo de la respuesta personalizada. El cuerpo de la respuesta personalizada proporciona información al usuario final de que sus credenciales se han visto comprometidas y propone una acción que tomar. 

```
{
  "Name": "compromisedCreds",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/compromisedCreds/...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "EnableRegexInPath": false
              }
            }
          ],
          "RuleActionOverrides": [
            {
              "Name": "SignalCredentialCompromised",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    },
    {
      "Name": "AccountSignupCompromisedCredentialsHandling",
      "Priority": 1,
      "Statement": {
        "LabelMatchStatement": {
          "Scope": "LABEL",
          "Key": "awswaf:managed:aws:acfp:signal:credential_compromised"
        }
      },
      "Action": {
        "Block": {
          "CustomResponse": {
            "ResponseCode": 406,
            "CustomResponseBodyKey": "aws-waf-credential-compromised",
            "ResponseHeaders": [
              {
                "Name": "aws-waf-credential-compromised",
                "Value": "true"
              }
            ]
          }
        }
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AccountSignupCompromisedCredentialsHandling"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "compromisedCreds"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:compromisedCreds:",
  "CustomResponseBodies": {
    "aws-waf-credential-compromised": {
      "ContentType": "APPLICATION_JSON",
      "Content": "{\n  \"credentials-compromised\": \"The credentials you provided have been found in a compromised credentials database.\\n\\nTry again with a different username, password pair.\"\n}"
    }
  }
}
```

# Ejemplo de ACFP: configuración de inspección de respuesta
<a name="waf-acfp-control-example-response-inspection"></a>

La siguiente lista de JSON muestra un ejemplo de paquete de protección (ACL web) con un AWS WAF grupo de reglas gestionado por el Control de Fraude y prevención del fraude (ACFP) para la creación de cuentas y configurado para inspeccionar las respuestas de origen. Tenga en cuenta la configuración de la inspección de respuesta, que especifica los códigos de éxito y estado de respuesta. También puede configurar los ajustes de éxito y respuesta en función de las coincidencias del encabezado, el cuerpo y el cuerpo JSON. Este JSON incluye la configuración que genera automáticamente el paquete de protección (ACL web), como el espacio de nombres de las etiquetas y la URL de integración de aplicaciones del paquete de protección (ACL web).

**nota**  
La inspección de respuestas de ATP solo está disponible en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones.

```
{
  "Name": "simpleACFP",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "ResponseInspection": {
                  "StatusCode": {
                    "SuccessCodes": [
                      200
                    ],
                    "FailureCodes": [
                      401
                    ]
                  }
                },
                "EnableRegexInPath": false
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "simpleACFP"
  },
  "Capacity": 50,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
  }
```

# AWS WAF Control de fraudes y prevención de apropiación de cuentas (ATP)
<a name="waf-atp"></a>

En esta sección se explica lo que hace la prevención de apropiación de cuentas (ATP) de AWS WAF Fraud Control.

La apropiación de cuentas es una actividad ilegal en línea en la que un atacante obtiene acceso no autorizado a la cuenta de una persona. El atacante puede hacerlo de varias formas, por ejemplo, utilizando credenciales robadas o adivinando la contraseña de la víctima mediante una serie de intentos. Cuando el atacante accede, puede robar dinero, información o servicios de la víctima. El atacante podría hacerse pasar por la víctima para acceder a otras cuentas de su propiedad o para acceder a las cuentas de otras personas u organizaciones. Además, podría intentar cambiar la contraseña del usuario para bloquear el acceso de la víctima a sus propias cuentas. 

Puede supervisar y controlar los intentos de apropiación de cuentas mediante la implementación de la función ATP. AWS WAF ofrece esta función en el grupo de reglas de AWS Managed Rules `AWSManagedRulesATPRuleSet` y en la integración SDKs de las aplicaciones complementarias. 

El grupo de reglas administradas de ATP etiqueta y gestiona las solicitudes que podrían formar parte de intentos malintencionados de creación de cuentas. Para ello, el grupo de reglas inspecciona los intentos de inicio de sesión que los clientes envían al punto de conexión de inicio de sesión de la aplicación. 
+ **Inspección de solicitudes**: la ATP le permite ver y controlar los intentos de inicio de sesión anómalos y los intentos de inicio de sesión que utilizan credenciales robadas con el fin de evitar la apropiación de cuentas que pueda dar lugar a actividades fraudulentas. La ATP comprueba las combinaciones de correo electrónico y contraseña con su base de datos de credenciales robadas, que se actualiza periódicamente a medida que se descubren nuevas credenciales filtradas en la web oscura. La ATP agrega los datos por dirección IP y sesión de cliente para detectar y bloquear a los clientes que envían demasiadas solicitudes de naturaleza sospechosa. 
+ **Inspección de respuestas**: en el caso de CloudFront las distribuciones, además de inspeccionar las solicitudes de inicio de sesión entrantes, el grupo de reglas de la ATP inspecciona las respuestas de la aplicación a los intentos de inicio de sesión para hacer un seguimiento de las tasas de éxito y fracaso. Con esta información, la ATP puede bloquear temporalmente las sesiones de los clientes o las direcciones IP que tengan demasiados errores de inicio de sesión. AWS WAF realiza una inspección de las respuestas de forma asíncrona, por lo que no aumenta la latencia del tráfico web. 

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

**nota**  
La característica ATP no está disponible para los grupos de usuarios de Amazon Cognito.

**Topics**
+ [

# AWS WAF Componentes de ATP
](waf-atp-components.md)
+ [

# Uso de la integración de aplicaciones SDKs con ATP
](waf-atp-with-tokens.md)
+ [

# Adición del grupo de reglas administradas por ATP al paquete de protección (ACL web)
](waf-atp-rg-using.md)
+ [

# Pruebas e implementación de la ATP
](waf-atp-deploying.md)
+ [

# AWS WAF Ejemplos de prevención de apropiación de cuentas (ATP) en Fraud Control
](waf-atp-control-examples.md)

# AWS WAF Componentes de ATP
<a name="waf-atp-components"></a>

Los componentes principales de la prevención del robo de cuentas (ATP) de AWS WAF Fraud Control son los siguientes: 
+ **`AWSManagedRulesATPRuleSet`**— Las reglas de este grupo de reglas AWS administradas detectan, etiquetan y gestionan varios tipos de actividad de apropiación de cuentas. El grupo de reglas inspecciona las solicitudes web `POST` HTTP que los clientes envían al punto de conexión de inicio de sesión especificado. En el caso de CloudFront las distribuciones protegidas, el grupo de reglas también inspecciona las respuestas que la distribución envía a estas solicitudes. Para obtener una lista de los grupos de reglas, consulte [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md). Para incluir este grupo de reglas en su paquete de protección (ACL web), use una instrucción de referencia de un grupo de reglas administradas. Para obtener información acerca del uso de este grupo de reglas, consulte [Adición del grupo de reglas administradas por ATP al paquete de protección (ACL web)](waf-atp-rg-using.md). 
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
+ **Detalles sobre la página de inicio de sesión de su aplicación**: debe proporcionar información sobre la página de registro cuando agregue el grupo de reglas `AWSManagedRulesATPRuleSet` a su paquete de protección (ACL web). Esto permite que el grupo de reglas reduzca el alcance de las solicitudes que inspecciona y valide adecuadamente las credenciales de uso en las solicitudes web. El grupo de reglas de ATP funciona con nombres de usuario en formato de correo electrónico. Para obtener más información, consulte [Adición del grupo de reglas administradas por ATP al paquete de protección (ACL web)](waf-atp-rg-using.md). 
+ En el caso de ** CloudFront las distribuciones protegidas, detalles sobre cómo responde la aplicación a los intentos de inicio de sesión**: usted proporciona detalles sobre las respuestas de la aplicación a los intentos de inicio de sesión y el grupo de reglas rastrea y administra los clientes que envían demasiados intentos de inicio de sesión fallidos. Para obtener más información acerca de cómo configurar esta opción, consulte [Adición del grupo de reglas administradas por ATP al paquete de protección (ACL web)](waf-atp-rg-using.md). 
+ **JavaScript e integración de aplicaciones móviles SDKs**: implemente la AWS WAF JavaScript tecnología móvil SDKs con su implementación de ATP para aprovechar todo el conjunto de funciones que ofrece el grupo de reglas. Muchas de las reglas de la ATP utilizan la información proporcionada por la ATP SDKs para verificar el comportamiento de los clientes a nivel de sesión y agregar el comportamiento, lo que es necesario para separar el tráfico de clientes legítimos del tráfico de bots. Para obtener más información sobre el SDKs, consulte[Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md).

Puede combinar su implementación de ATP con lo siguiente para monitorizar, ajustar y personalizar sus protecciones. 
+ **Registro y métricas**: puede supervisar su tráfico y comprender cómo lo afecta el grupo de reglas gestionado por la ACFP configurando y habilitando los registros, la recopilación de datos de Amazon Security Lake y CloudWatch las métricas de Amazon para su paquete de protección (ACL web). Las etiquetas que `AWSManagedRulesATPRuleSet` agrega a las solicitudes web se incluyen en los datos. Para obtener información acerca de las opciones, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md), [Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md) y [What is Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html).

  En función de sus necesidades y del tráfico que detecte, es posible que desee personalizar la implementación de `AWSManagedRulesATPRuleSet`. Por ejemplo, tal vez desee excluir parte del tráfico de la evaluación de la ATP o modificar la forma en que gestiona algunos de los intentos de apropiación de cuentas que identifica, utilizando AWS WAF funciones como las declaraciones de alcance reducido o las reglas de concordancia de etiquetas. 
+ **Etiquetas y reglas de coincidencia de etiquetas**: para cualquiera de las reglas incluidas en `AWSManagedRulesATPRuleSet`, puede cambiar el comportamiento de bloqueo a recuento y, a continuación, compararlas con las etiquetas añadidas por las reglas. Utilice este enfoque para personalizar la forma en que gestiona las solicitudes web identificadas por el grupo de reglas administradas de ATP. Para obtener más información sobre el etiquetado y el uso de las instrucciones de coincidencia de etiquetas, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md) y [Etiquetado de solicitudes web en AWS WAF](waf-labels.md). 
+ **Solicitudes y respuestas personalizadas**: puede agregar encabezados personalizados a las solicitudes que permita y puede enviar respuestas personalizadas a las solicitudes que bloquee. Para ello, asocie su etiqueta coincidente con las características de solicitud y respuesta personalizadas de AWS WAF . Para obtener más información sobre cómo personalizar las solicitudes y las respuestas, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

# Uso de la integración de aplicaciones SDKs con ATP
<a name="waf-atp-with-tokens"></a>

En esta sección se explica cómo utilizar la integración de aplicaciones SDKs con ATP.

El grupo de reglas gestionado por la ATP requiere los tokens de desafío que SDKs genera la integración de la aplicación. Los tokens habilitan el conjunto completo de protecciones que ofrece el grupo de reglas. 

Recomendamos encarecidamente implementar la integración SDKs de aplicaciones para aprovechar al máximo el grupo de reglas de la ATP. El script de desafío debe ejecutarse antes del grupo de reglas de la ATP para que el grupo de reglas se beneficie de los tokens que adquiere el script. Esto ocurre automáticamente con la integración de la aplicación SDKs. Si no puede utilizarla SDKs, también puede configurar su paquete de protección (ACL web) para que ejecute la acción Challenge o la CAPTCHA regla contra todas las solicitudes que vaya a inspeccionar el grupo de reglas de la ATP. El uso de la acción de regla Challenge o CAPTCHA puede generar tarifas adicionales. Para obtener más información sobre precios, consulte [precios de AWS WAF](https://aws.amazon.com/waf/pricing/). 

**Capacidades del grupo de reglas de la ATP que no requieren un token**  
Cuando las solicitudes web no tienen un token, el grupo de reglas administradas de la ATP es capaz de bloquear los siguientes tipos de tráfico:
+ Direcciones IP únicas que realizan muchas solicitudes de inicio de sesión. 
+ Direcciones IP únicas que realizan muchas solicitudes de inicio de sesión fallidas en un corto espacio de tiempo. 
+ Intentos de inicio de sesión con recorrido de contraseña, que utilizan el mismo nombre de usuario pero cambian las contraseñas. 

**Capacidades del grupo de reglas de ATP que requieren un token**  
La información proporcionada en el token de desafío amplía las capacidades del grupo de reglas y de la seguridad general de las aplicaciones cliente. 

El token proporciona información del cliente con cada solicitud web, lo que permite al grupo de reglas de la ATP separar las sesiones de clientes legítimas de las sesiones de clientes que se comportan mal, incluso cuando ambas se originan en una sola dirección IP. El grupo de reglas usa la información de los tokens para agregar el comportamiento de las solicitudes de sesión de los clientes con el fin de lograr una detección y mitigación más precisas. 

Cuando el token está disponible en las solicitudes web, el grupo de reglas de la ATP puede detectar y bloquear las siguientes categorías adicionales de clientes de sesión: 
+ Las sesiones de cliente que no superen el desafío silencioso que SDKs gestionan. 
+ Sesiones de clientes que utilizan nombres de usuario o contraseñas con recorrido. Esto también se conoce como “relleno de credenciales”.
+ Sesiones de clientes que utilizan repetidamente credenciales robadas para el registro.
+ Sesiones de clientes que pasan mucho tiempo intentando iniciar sesión. 
+ Sesiones de clientes que realizan muchas solicitudes de inicio de sesión. El grupo de reglas ATP proporciona un mejor aislamiento de los clientes que la regla AWS WAF basada en tasas, que puede bloquear a los clientes por dirección IP. El grupo de reglas de la ATP también utiliza un umbral inferior. 
+ Sesiones de clientes que realizan muchas solicitudes de inicio de sesión fallidas en poco tiempo. Esta funcionalidad está disponible para las CloudFront distribuciones protegidas de Amazon.

Para obtener más información acerca de las capacidades de este grupo de reglas, consulte [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md).

Para obtener información sobre el SDKs, consulte[Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). Para obtener información sobre AWS WAF los tokens, consulte[Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Para obtener información sobre las acciones de las reglas, consulte [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).

# Adición del grupo de reglas administradas por ATP al paquete de protección (ACL web)
<a name="waf-atp-rg-using"></a>

En esta sección, se explica cómo se agrega y configura el grupo de reglas `AWSManagedRulesATPRuleSet`.

Para configurar el grupo de reglas administradas de ATP y que reconozca las actividades de apropiación de cuentas en su tráfico web, debe proporcionar información sobre cómo los clientes envían las solicitudes de inicio de sesión a su aplicación. En el caso de CloudFront las distribuciones protegidas de Amazon, también debes proporcionar información sobre cómo responde tu aplicación a las solicitudes de inicio de sesión. Esta configuración se suma a la configuración normal de un grupo de reglas administradas. 

Para ver la descripción del grupo de reglas y la lista de reglas, consulte [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md).

**nota**  
La base de datos de credenciales robadas de ATP solo contiene nombres de usuario en formato de correo electrónico.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y gestionar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administradas a su paquete de protección (ACL web), consulte [Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola](waf-using-managed-rule-group.md).

**Seguir las prácticas recomendadas**  
Utilice el grupo de reglas de ATP de acuerdo con las prácticas recomendadas de [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md). 

**Uso del grupo de reglas de `AWSManagedRulesATPRuleSet` en su paquete de protección (ACL web)**

1. Agregue el grupo de reglas AWS administrado `AWSManagedRulesATPRuleSet` a su paquete de protección (ACL web) y **edite** la configuración del grupo de reglas antes de guardarlo. 
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

1. En el panel **Configuración del grupo de reglas**, proporcione la información que el grupo de reglas de ATP utiliza para inspeccionar las solicitudes de creación de cuentas. 

   1. En **Usar expresiones regulares en las rutas**, active esta opción si quiere AWS WAF hacer coincidir las expresiones regulares con las especificaciones de las rutas de la página de inicio de sesión. 

      AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE `libpcre` con algunas excepciones. La biblioteca está documentada en [PCRE, expresiones regulares compatibles con Perl](http://www.pcre.org/). Para obtener información sobre el AWS WAF soporte, consulte[Sintaxis de expresiones regulares admitida en AWS WAF](waf-regex-pattern-support.md).

   1. En el caso de la **ruta de inicio de sesión**, proporcione la ruta del punto de conexión de inicio de sesión de su aplicación. El grupo de reglas inspecciona solo las solicitudes HTTP de `POST` enviadas al punto de conexión que ha especificado.
**nota**  
La coincidencia de puntos de conexión no distingue entre mayúsculas y minúsculas. Las especificaciones de expresiones regulares no deben incluir la marca `(?-i)`, ya que desactiva la coincidencia sin distinción entre mayúsculas y minúsculas. Las especificaciones de las cadenas deben empezar con una barra diagonal `/`.

      Por ejemplo, para la URL `https://example.com/web/login`, puede proporcionar la especificación de la ruta de la cadena `/web/login`. Las rutas de las páginas de registro que comienzan con la ruta que proporcione se consideran coincidentes. Por ejemplo, `/web/login` coincide con las rutas de registro `/web/login`, `/web/login/`, `/web/loginPage` y `/web/login/thisPage`, pero no coincide con la ruta de registro `/home/web/login` o `/website/login`. 

   1. Para **Inspeccionar solicitudes**, especifique cómo acepta su aplicación los intentos de inicio de sesión. Para ello, proporcione el tipo de carga útil de la solicitud y los nombres de los campos del cuerpo de la solicitud en los que se incluyen el nombre de usuario y la contraseña. La especificación de los nombres de los campos depende del tipo de carga útil.
      + **Tipo de carga útil JSON**: especifique los nombres de los campos en la sintaxis del puntero JSON. Para obtener información sobre la sintaxis del puntero JSON, consulte la documentación del Grupo de trabajo de ingeniería de Internet (IETF) sobre el puntero de [notación de JavaScript objetos (JSON)](https://tools.ietf.org/html/rfc6901). 

        Por ejemplo, para el siguiente ejemplo de carga útil JSON, la especificación del campo de nombre de usuario es `/login/username` y la especificación del campo de contraseña es `/login/password`.

        ```
        {
            "login": {
                "username": "THE_USERNAME",
                "password": "THE_PASSWORD"
            }
        }
        ```
      + **Tipo de carga útil FORM\$1ENCODED**: use los nombres de los formularios HTML.

        Por ejemplo, para un formulario HTML con elementos de entrada de usuario denominados `username1` y `password1`, la especificación del campo de nombre de usuario es `username1` y la especificación del campo de contraseña es `password1`.

   1. Si estás protegiendo CloudFront las distribuciones de Amazon, en la **inspección de respuestas**, especifica cómo indica tu aplicación el éxito o el fracaso en sus respuestas a los intentos de inicio de sesión. 
**nota**  
La inspección de respuesta de ATP solo está disponible en paquetes de protección (web ACLs) que protegen las CloudFront distribuciones.

      Especifique un único componente en la respuesta de inicio de sesión que desee que inspeccione la ATP. Para los tipos de componentes **Cuerpo** y **JSON**, AWS WAF puede inspeccionar los primeros 65 536 bytes (64 KB) del componente. 

      Indique sus criterios de inspección para el tipo de componente, tal y como se indica en la interfaz. Debe proporcionar los criterios de éxito y fracaso para inspeccionar el componente. 

      Por ejemplo, supongamos que su solicitud indica el estado de un intento de inicio de sesión en el código de estado de la respuesta y utiliza `200 OK` para indicar si se ha realizado correctamente, y `401 Unauthorized` o `403 Forbidden` si ha fallado. Debe establecer el **Tipo de componente** de inspección de respuesta en **Código de estado** y, a continuación, en el cuadro de texto **Éxito**, introducir `200`, y, en el cuadro de texto **Error**, introducir `401` en la primera línea y `403` en la segunda.

      El grupo de reglas de la ATP solo cuenta las respuestas que coinciden con sus criterios de inspección de éxito o fracaso. Las reglas del grupo de reglas actúan sobre los clientes cuando tienen una tasa de error demasiado alta entre las respuestas del recuento. Para cumplir con precisión las reglas del grupo de reglas, asegúrese de proporcionar información completa tanto para los intentos de inicio de sesión como para los fallidos. 

      Para ver las reglas que inspeccionan las respuestas de inicio de sesión, busque `VolumetricIpFailedLoginResponseHigh` y `VolumetricSessionFailedLoginResponseHigh` en la lista de reglas que aparece en [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md). 

1. Proporcione cualquier configuración adicional que desee para el grupo de reglas. 

   Puede limitar aún más el alcance de las solicitudes que el grupo de reglas inspecciona agregando una instrucción de restricción de acceso a la instrucción del grupo de reglas administradas. Por ejemplo, solamente puede inspeccionar las solicitudes con un argumento de consulta o una cookie específicos. El grupo de reglas inspeccionará únicamente las solicitudes `POST` HTTP enviadas al punto de conexión de inicio de sesión especificado que coincidan con los criterios de la instrucción de restricción de acceso. Para obtener información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).

1. Guarde los cambios en el paquete de protección (ACL web). 

Antes de implementar cambios en su ATP para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte la sección siguiente para obtener orientación. 

# Pruebas e implementación de la ATP
<a name="waf-atp-deploying"></a>

Esta sección proporciona una guía general para configurar y probar una implementación de prevención de apropiación de cuentas (ATP) de AWS WAF Fraud Control en su sitio. Los pasos específicos que elija seguir dependerán de sus necesidades, recursos y solicitudes web que reciba. 

Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para asegurarse de que sus recursos AWS estén debidamente protegidos. 

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su ATP para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. 

AWS WAF proporciona credenciales de prueba que puede utilizar para verificar la configuración de su ATP. En el siguiente procedimiento, configurará un paquete de protección (ACL web) de prueba para usar el grupo de reglas administradas de ATP, configurará una regla para capturar la etiqueta que agrega el grupo de reglas y, a continuación, realizará un intento de inicio de sesión con estas credenciales de prueba. Verificarás que tu ACL web ha gestionado correctamente el intento comprobando CloudWatch las métricas de Amazon para el intento de inicio de sesión. 

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. 

**Para configurar y probar una implementación de la prevención de apropiación de cuentas (ATP) del Control del AWS WAF Fraude**

Realice estos pasos primero en un entorno de prueba y, después, en producción.

1. 

**Agregue el grupo de reglas gestionadas para la prevención de la apropiación de cuentas (ATP) de AWS WAF Fraud Control en el modo de recuento**
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

   Agregue el grupo de reglas AWS administradas `AWSManagedRulesATPRuleSet` a un paquete de protección nuevo o existente (ACL web) y configúrelo de manera que no altere el comportamiento actual del paquete de protección (ACL web). Para obtener más información sobre las reglas y etiquetas de este grupo de reglas, consulte [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md).
   + Cuando añada el grupo de reglas administradas, edítelo y haga lo siguiente: 
     + En el panel de **Configuración del grupo de reglas**, proporcione los detalles de las páginas de registro de su aplicación. El grupo de reglas de la ATP utiliza esta información para monitorizar las actividades de inicio de sesión. Para obtener más información, consulte [Adición del grupo de reglas administradas por ATP al paquete de protección (ACL web)](waf-atp-rg-using.md).
     + En el panel **Reglas**, abra el menú desplegable **Anular todas las acciones de reglas** y elija **Count**. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de agregar etiquetas a las solicitudes. Para obtener más información, consulte [Invalidar acciones de reglas en un grupo de reglas](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Con esta anulación puede supervisar el posible impacto de las reglas administradas de ATP para determinar si desea agregar excepciones, por ejemplo, excepciones para casos de uso interno. 
   + Sitúe el grupo de reglas de forma que se evalúe según las reglas existentes en el paquete de protección (ACL web), con una configuración de prioridad numéricamente superior a la de cualquier regla o grupo de reglas que ya esté utilizando. Para obtener más información, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md). 

     De esta forma, no se interrumpe su gestión actual del tráfico. Por ejemplo, si tiene reglas que detectan tráfico malicioso, como la inyección de código SQL o el scripting entre sitios, seguirán detectándolo y registrándolo. Como alternativa, si tiene reglas que permiten el tráfico no malicioso conocido, estas pueden seguir permitiéndolo sin que el grupo de reglas administradas de ATP lo bloquee. Puede decidir ajustar el procesamiento de pedidos durante sus actividades de prueba y ajuste.

1. 

**Habilitación del registro y las métricas para el paquete de protección (ACL web)**

   Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y CloudWatch las métricas de Amazon para el paquete de protección (ACL web). Puede usar estas herramientas de visibilidad para monitorizar la interacción del grupo de reglas administradas de ATP con su tráfico. 
   + Para obtener información sobre la configuración y uso de los registros, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 
   + Para obtener información acerca de Amazon Security Lake, consulte [¿Qué es Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) y [Recopilación de datos de AWS los servicios de](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) la *guía del usuario de Amazon Security Lake*. 
   + Para obtener información sobre CloudWatch las métricas de Amazon, consulta[Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Para obtener información sobre cómo el muestreo de las solicitudes de web, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). 

1. 

**Asociar el paquete de protección (ACL web) con un recurso**

   Si el paquete de protección (ACL web) aún no está asociado a un recurso de prueba, asócielo. Para obtener información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).

1. 

**Supervise el tráfico y las coincidencias de las reglas de la ATP**

   Asegúrese de que el tráfico fluya normalmente y de que las reglas del grupo de reglas administradas de ATP agreguen etiquetas a las solicitudes web coincidentes. Puedes ver las etiquetas en los registros y ver las métricas de ATP y etiquetas en las CloudWatch métricas de Amazon. En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en `ruleGroupList` con `action` establecida para el recuento y con `overriddenAction` indicando la acción de regla configurada que ha anulado. 

1. 

**Verificación de las capacidades de comprobación de credenciales del grupo de reglas**

   Realice un intento de registro probando las credenciales comprometidas y compruebe que el grupo de reglas coincide con ellas según lo esperado. 

   1. Inicie sesión en la página de inicio de sesión de su recurso protegido con el siguiente par AWS WAF de credenciales de prueba: 
      + Usuario: `WAF_TEST_CREDENTIAL@wafexample.com`
      + Contraseña: `WAF_TEST_CREDENTIAL_PASSWORD`

      Estas credenciales de prueba se clasifican como credenciales comprometidas y el grupo de reglas administradas de ATP agregará la etiqueta `awswaf:managed:aws:atp:signal:credential_compromised` a la solicitud de registro, lo que se puede ver en los registros. 

   1. En los registros del paquete de protección (ACL web), busque la etiqueta `awswaf:managed:aws:atp:signal:credential_compromised` en el campo `labels` de las entradas de registro de las solicitudes de registro de web de prueba. Para obtener más información acerca del registro, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 

   Una vez que haya comprobado que el grupo de reglas captura las credenciales comprometidas según lo esperado, puede tomar las medidas necesarias para configurar su implementación según lo necesite para el recurso protegido.

1. 

**Para CloudFront las distribuciones, pruebe la gestión de errores de inicio de sesión del grupo de reglas**

   

   1. Realice esta prueba para cada criterio de respuesta al fallo que haya configurado para el grupo de reglas de la ATP. Espere al menos 10 minutos entre las pruebas.

      Para probar un único criterio de error, identifique en la respuesta un intento de inicio de sesión que no funcione con ese criterio. A continuación, desde una única dirección IP de cliente, realice al menos 10 intentos de inicio de sesión fallidos en menos de 10 minutos.

      Tras los primeros 6 errores, la regla de inicio de sesión fallido volumétrico debería empezar a coincidir con el resto de los intentos, etiquetándolos y contándolos. Es posible que la regla omita la primera o las dos primeras debido a la latencia. 

   1. En los registros del paquete de protección (ACL web), busque la etiqueta `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` en el campo `labels` de las entradas de registro de las solicitudes de registro de web de prueba. Para obtener más información acerca del registro, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 

   Estas pruebas verifican que los criterios de error coincidan con las respuestas comprobando que los recuentos de inicios de sesión fallidos superen los umbrales de la regla `VolumetricIpFailedLoginResponseHigh`. Una vez alcanzado el umbral, si sigue enviando solicitudes de registro desde la misma dirección IP, la regla seguirá siendo válida hasta que la tasa de éxito caiga por debajo del umbral. Si se supera el umbral, la regla compara los intentos de registro exitosos o fallidos desde la dirección IP. 

1. 

**Personalización la gestión de las solicitudes web de la ATP**

   Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas de la ATP las gestionarían. 

   Por ejemplo, puede utilizar las etiquetas de la ATP para permitir o bloquear las solicitudes o para personalizar su gestión. Puede agregar una regla de coincidencia de etiquetas después del grupo de reglas administradas de ATP para filtrar las solicitudes etiquetadas según la gestión que desee aplicar. Tras realizar las pruebas, mantenga las reglas de la ATP relacionadas en modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada. Para ver un ejemplo, consulta [Ejemplo de ATP: gestión personalizada de las credenciales faltantes o comprometidas](waf-atp-control-example-user-agent-exception.md). 

1. 

**Elimine las reglas de prueba y active la configuración del grupo de reglas administradas de ATP**

   Según su situación, es posible que haya decidido dejar algunas reglas de la ATP en modo de recuento. Para las reglas que desee ejecutar tal como están configuradas dentro del grupo de reglas, deshabilite el modo de recuento en la configuración del grupo de reglas del paquete de protección (ACL web). Cuando termine de realizar las pruebas, también puede eliminar las reglas de coincidencia de etiquetas de prueba.

1. 

**Monitorización y ajuste**

   Para asegurarse de que las solicitudes web se gestionen como desee, monitorice de cerca el tráfico después de activar la funcionalidad de la ATP que pretende utilizar. Ajuste el comportamiento según sea necesario con la anulación del recuento de reglas en el grupo de reglas y con sus propias reglas. 

Cuando termine de probar la implementación del grupo de reglas de la ATP, si aún no lo ha hecho, le recomendamos encarecidamente que integre el AWS WAF JavaScript SDK en la página de inicio de sesión del navegador para mejorar las capacidades de detección. AWS WAF también proporciona dispositivos móviles SDKs para integrar dispositivos iOS y Android. Para obtener más información sobre la integración SDKs, consulte[Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). Para obtener más información sobre esta recomendación, consulte [Uso de la integración de aplicaciones SDKs con ATP](waf-atp-with-tokens.md).

# AWS WAF Ejemplos de prevención de apropiación de cuentas (ATP) en Fraud Control
<a name="waf-atp-control-examples"></a>

En esta sección, se muestran ejemplos de configuraciones que se adaptan a los casos de uso comunes de las implementaciones de prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF . 

Cada ejemplo proporciona una descripción del caso de uso y, a continuación, muestra la solución en las listas JSON para las reglas configuradas de forma personalizada. 

**nota**  
Puede recuperar listados JSON como los que se muestran en estos ejemplos mediante el paquete de protección de la consola (ACL web), la descarga de JSON o el editor JSON de reglas, o mediante la `getWebACL` operación en la APIs interfaz de línea de comandos. 

**Topics**
+ [

# Ejemplo de ATP: configuración sencilla
](waf-atp-control-example-basic.md)
+ [

# Ejemplo de ATP: gestión personalizada de las credenciales faltantes o comprometidas
](waf-atp-control-example-user-agent-exception.md)
+ [

# Ejemplo de ATP: configuración de inspección de respuesta
](waf-atp-control-example-response-inspection.md)

# Ejemplo de ATP: configuración sencilla
<a name="waf-atp-control-example-basic"></a>

La siguiente lista de JSON muestra un ejemplo de paquete de protección (ACL web) con un grupo de reglas gestionado por AWS WAF Fraud Control para la prevención de la apropiación de cuentas (ATP). Tenga en cuenta la configuración adicional de la página de inicio de sesión, que proporciona al grupo de reglas la información que necesita para monitorizar y gestionar sus solicitudes de inicio de sesión. Este JSON incluye la configuración que genera automáticamente el paquete de protección (ACL web), como el espacio de nombres de las etiquetas y la URL de integración de aplicaciones del paquete de protección (ACL web).

```
{
    "WebACL": {
        "LabelNamespace": "awswaf:111122223333:webacl:ATPModuleACL:",
        "Capacity": 50,
        "Description": "This is a test protection pack (web ACL) for ATP.",
        "Rules": [
            {
                "Priority": 1,
                "OverrideAction": {
                    "None": {}
                },
                "VisibilityConfig": {
                    "SampledRequestsEnabled": true,
                    "CloudWatchMetricsEnabled": true,
                    "MetricName": "AccountTakeOverValidationRule"
                },
                "Name": "DetectCompromisedUserCredentials",
                "Statement": {
                    "ManagedRuleGroupStatement": {
                        "VendorName": "AWS",
                        "Name": "AWSManagedRulesATPRuleSet",
                        "ManagedRuleGroupConfigs": [
                          {
                            "AWSManagedRulesATPRuleSet": {
                              "LoginPath": "/web/login",
                              "RequestInspection": {
                                "PayloadType": "JSON",
                                "UsernameField": {
                                  "Identifier": "/form/username"
                                },
                                "PasswordField": {
                                  "Identifier": "/form/password"
                                }
                              },
                              "EnableRegexInPath": false
                            }
                          }
                        ]
                    }
                }
            }
        ],
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "ATPValidationAcl"
        },
        "DefaultAction": {
            "Allow": {}
        },
        "ManagedByFirewallManager": false,
        "RetrofittedByFirewallManager": false,
        "Id": "32q10987-65rs-4tuv-3210-98765wxyz432",
        "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/ATPModuleACL/32q10987-65rs-4tuv-3210-98765wxyz432",
        "Name": "ATPModuleACL"
    },
    "ApplicationIntegrationURL": "https://9z87abce34ea.us-east-1.sdk.awswaf.com/9z87abce34ea/1234567a1b10/",
    "LockToken": "6d0e6966-95c9-48b6-b51d-8e82e523b847"
}
```

# Ejemplo de ATP: gestión personalizada de las credenciales faltantes o comprometidas
<a name="waf-atp-control-example-user-agent-exception"></a>

De forma predeterminada, las comprobaciones de credenciales que realiza el grupo de reglas `AWSManagedRulesATPRuleSet` gestionan las solicitudes web de la siguiente manera: 
+ **Credenciales faltantes**: etiqueta y bloquea la solicitud.
+ **Credenciales comprometidas**: etiqueta la solicitud, pero no la bloquee ni la cuenta.

Para obtener más información sobre el grupo de reglas y el comportamiento de las reglas, consulte [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md).

Puede agregar una gestión personalizada para las solicitudes web a las que les falten credenciales o estas estén comprometidas de la siguiente manera: 
+ **Anular la regla `MissingCredential` para Count**: esta anulación de la regla de acción hace que la regla solo cuente y etiquete las solicitudes coincidentes.
+ **Agregar una regla de coincidencia de etiquetas con una gestión personalizada**: configure esta regla para que coincida con la etiqueta de la ATP y realice su gestión personalizada. Por ejemplo, puede redirigir al cliente a su página de registro.

Las siguientes listas muestran el grupo de reglas administradas de ATP del ejemplo anterior, con la acción de regla `MissingCredential` anulada para el recuento. Esto hace que la regla aplique su etiqueta a las solicitudes coincidentes y, a continuación, solo cuente las solicitudes, en lugar de bloquearlas. 

```
"Rules": [
    {
        "Priority": 1,
        "OverrideAction": {
            "None": {}
        },
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "AccountTakeOverValidationRule"
        },
        "Name": "DetectCompromisedUserCredentials",
        "Statement": {
            "ManagedRuleGroupStatement": {
                "ManagedRuleGroupConfigs": [
                  {
                    "AWSManagedRulesATPRuleSet": {
                      "LoginPath": "/web/login",
                      "RequestInspection": {
                        "PayloadType": "JSON",
                        "UsernameField": {
                          "Identifier": "/form/username"
                        },
                        "PasswordField": {
                          "Identifier": "/form/password"
                        }
                      },
                      "EnableRegexInPath": false
                    }
                  }
                ]
                "VendorName": "AWS",
                "Name": "AWSManagedRulesATPRuleSet",
                "RuleActionOverrides": [
                  {
                    "ActionToUse": {
                      "Count": {}
                    },
                    "Name": "MissingCredential"
                  }
                ],
                "ExcludedRules": []
            }
        }
    }
],
```

Con esta configuración, cuando este grupo de reglas evalúe cualquier solicitud web que utilice credenciales perdidas o comprometidas, etiquetará la solicitud, pero no la bloqueará. 

La siguiente regla tiene una configuración de prioridad numérica superior a la del grupo de reglas anterior. AWS WAF evalúa las reglas en orden numérico, empezando por el más bajo, por lo que esta regla se evaluará después de la evaluación del grupo de reglas. La regla está configurada para que coincida con cualquiera de las etiquetas de credenciales y para enviar una respuesta personalizada a las solicitudes coincidentes. 

```
"Name": "redirectToSignup",
      "Priority": 10,
      "Statement": {
        "OrStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:atp:signal:missing_credential"
              }
            },
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:atp:signal:credential_compromised"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {
          "CustomResponse": {
             your custom response settings 
          }
        }
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "redirectToSignup"
      }
```

# Ejemplo de ATP: configuración de inspección de respuesta
<a name="waf-atp-control-example-response-inspection"></a>

En la siguiente lista de JSON, se muestra un ejemplo de paquete de protección (ACL web) con un grupo de reglas gestionado por AWS WAF Fraud Control para la prevención de la apropiación de cuentas (ATP) y configurado para inspeccionar las respuestas de origen. Tenga en cuenta la configuración de la inspección de respuesta, que especifica los códigos de éxito y estado de respuesta. También puede configurar los ajustes de éxito y respuesta en función de las coincidencias del encabezado, el cuerpo y el cuerpo JSON. Este JSON incluye la configuración que genera automáticamente el paquete de protección (ACL web), como el espacio de nombres de las etiquetas y la URL de integración de aplicaciones del paquete de protección (ACL web).

**nota**  
La inspección de respuestas de ATP solo está disponible en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones.

```
{
    "WebACL": {
        "LabelNamespace": "awswaf:111122223333:webacl:ATPModuleACL:",
        "Capacity": 50,
        "Description": "This is a test protection pack (web ACL) for ATP.",
        "Rules": [
            {
                "Priority": 1,
                "OverrideAction": {
                    "None": {}
                },
                "VisibilityConfig": {
                    "SampledRequestsEnabled": true,
                    "CloudWatchMetricsEnabled": true,
                    "MetricName": "AccountTakeOverValidationRule"
                },
                "Name": "DetectCompromisedUserCredentials",
                "Statement": {
                    "ManagedRuleGroupStatement": {
                        "VendorName": "AWS",
                        "Name": "AWSManagedRulesATPRuleSet",
                        "ManagedRuleGroupConfigs": [
                          {
                            "AWSManagedRulesATPRuleSet": {
                              "LoginPath": "/web/login",
                              "RequestInspection": {
                                "PayloadType": "JSON",
                                "UsernameField": {
                                  "Identifier": "/form/username"
                                },
                                "PasswordField": {
                                  "Identifier": "/form/password"
                                }
                              },
                              "ResponseInspection": {
                                "StatusCode": {
                                  "SuccessCodes": [
                                    200
                                  ],
                                  "FailureCodes": [
                                    401
                                  ]
                                }
                              },
                              "EnableRegexInPath": false
                            }
                          }
                        ]
                    }
                }
            }
        ],
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "ATPValidationAcl"
        },
        "DefaultAction": {
            "Allow": {}
        },
        "ManagedByFirewallManager": false,
        "RetrofittedByFirewallManager": false,
        "Id": "32q10987-65rs-4tuv-3210-98765wxyz432",
        "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/ATPModuleACL/32q10987-65rs-4tuv-3210-98765wxyz432",
        "Name": "ATPModuleACL"
    },
    "ApplicationIntegrationURL": "https://9z87abce34ea.us-east-1.sdk.awswaf.com/9z87abce34ea/1234567a1b10/",
    "LockToken": "6d0e6966-95c9-48b6-b51d-8e82e523b847"
}
```

# AWS WAF Control de bots
<a name="waf-bot-control"></a>

En esta sección se explica lo que hace el control de bots.

Con el control de bots, puede supervisar, bloquear o limitar fácilmente la tasa de los bots, como rastreadores, escáneres, monitores de estado y motores de búsqueda. Si utiliza el nivel de inspección específico del grupo de reglas, también puede desafiar a los bots que no se identifiquen a sí mismos, lo que dificulta y encarece que los robots malintencionados operen contra su sitio web. Puede proteger sus aplicaciones utilizando solo el grupo de reglas gestionado por Bot Control o en combinación con otros grupos de reglas AWS gestionadas y sus propias reglas personalizadas. AWS WAF 

El control de bots incluye un panel de control de consola que muestra qué parte del tráfico actual proviene de bots, en función del muestreo de solicitudes. Con el grupo de reglas administradas de control de bots agregado a su paquete de protección (ACL web), puede tomar medidas contra el tráfico de bots y recibir información detallada y en tiempo real sobre el tráfico de bots comunes que llega a sus aplicaciones. 

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

El grupo de reglas administradas de control de bots proporciona un nivel de protección básico y común que añade etiquetas a los bots que se identifican automáticamente, verifica los bots generalmente deseables y detecta las firmas de bots de alta fiabilidad. Esto le permite monitorizar y controlar las categorías comunes de tráfico de bots. 

El grupo de reglas de control de bots también proporciona un nivel de protección específico que permite detectar los bots sofisticados que no se identifican a sí mismos. Todas las protecciones objetivo utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado. Además, las protecciones específicas ofrecen un análisis opcional automatizado y de machine learning de las estadísticas de tráfico del sitio web para detectar actividades relacionadas con los bots. Al habilitar el machine learning, AWS WAF utiliza estadísticas sobre el tráfico del sitio web, como las marcas de tiempo, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de machine learning de control de bots. 

Cuando AWS WAF compara una solicitud web con el grupo de reglas gestionado por el Control de bots, el grupo de reglas añade etiquetas a las solicitudes que detecta como relacionadas con un bot, por ejemplo, la categoría y el nombre del bot. Puedes hacer coincidir estas etiquetas en tus propias AWS WAF reglas para personalizar la gestión. Las etiquetas que genera el grupo de reglas gestionado por Bot Control se incluyen en CloudWatch las métricas de Amazon y en los registros del paquete de protección (ACL web). 

También puedes usar AWS Firewall Manager AWS WAF políticas para implementar el grupo de reglas gestionado por Bot Control en todas tus aplicaciones y en varias cuentas que formen parte de tu organización AWS Organizations.

Para obtener más información acerca del grupo de reglas administradas para Control de bots, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md). 

## Autenticación mediante bots web para agentes de IA
<a name="waf-bot-ai-agents"></a>

AWS WAF Bot Control ahora admite la autenticación de bots web (WBA) como método de verificación criptográfica para que los bots y los agentes de IA accedan a sus CloudFront distribuciones. Esta función permite a los rastreadores y agentes de IA legítimos demostrar su identidad sin necesidad de los mecanismos tradicionales de impugnación y respuesta.

Requisito de versión: `AWSManagedRulesBotControlRuleSet` Versión\$14.0 o posterior. (La versión estática debe seleccionarse de forma explícita). Para obtener información detallada sobre la taxonomía de las etiquetas y el comportamiento de las reglas, consulte: 
+ [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md)
+ [Etiquetado de solicitudes web en AWS WAF](waf-labels.md)
+ [AWS Registro de cambios de reglas administradas](aws-managed-rule-groups-changelog.md)

# AWS WAF Componentes de Bot Control
<a name="waf-bot-control-components"></a>

Los componentes principales de la implementación de un control de bots son los siguientes:
+ **`AWSManagedRulesBotControlRuleSet`**: el grupo de reglas administradas de control de bots, cuyas reglas detectan y gestionan varias categorías de bots. Este grupo de reglas añade etiquetas a las solicitudes web que detecta como tráfico de bots. 
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

El grupo de reglas administradas de control de bots ofrece dos niveles de protección entre los que puede elegir: 
  + **Común**: detecta una variedad de bots que se identifican a sí mismos, como los sistemas de rastreo web, los motores de búsqueda y los navegadores automatizados. Las protecciones de control de bots de este nivel identifican los bots más comunes mediante técnicas tradicionales de detección de bots, como el análisis de datos de solicitudes estáticas. Las reglas etiquetan el tráfico de estos bots y bloquean los que no pueden verificar. 
  + **Objetivo**: incluye las protecciones de nivel común y añade una detección dirigida para los bots sofisticados que no se identifican a sí mismos. Las protecciones específicas mitigan la actividad de los bots mediante una combinación de límites de tasas, CAPTCHA y desafíos relacionados con el navegador en segundo plano. 
    + **`TGT_`**: las reglas que proporcionan una protección específica tienen nombres que comienzan por `TGT_`. Todas las protecciones específicas utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado. 
    + **`TGT_ML_`**: las reglas de protección específicas que utilizan el machine learning tienen nombres que comienzan por `TGT_ML_`. Estas reglas utilizan un análisis automatizado y de aprendizaje automático de las estadísticas de tráfico del sitio web para detectar comportamientos anómalos indicativos de una actividad de bots distribuida y coordinada. AWS WAF analiza las estadísticas sobre el tráfico de su sitio web, como las marcas horarias, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de aprendizaje automático de Bot Control. Las capacidades de machine learning están habilitadas de forma predeterminada, pero puede deshabilitarlas en la configuración de su grupo de reglas. Cuando el aprendizaje automático está desactivado, AWS WAF no evalúa estas reglas. 

  Para obtener detalles, incluida la información sobre las reglas del grupo de reglas, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md). 

  Para incluir este grupo de reglas en su paquete de protección (ACL web), use una instrucción de referencia de un grupo de reglas administradas e indique el nivel de inspección que desea usar. Para el nivel objetivo, también debe indicar si desea habilitar el machine learning. Para obtener más información sobre cómo agregar este grupo de reglas administradas a su paquete de protección (ACL web), consulte [Añadir el grupo de reglas gestionado por AWS WAF Bot Control a su ACL web](waf-bot-control-rg-using.md). 
+ **Panel de control de bots**: el panel de control de bots para su paquete de protección (ACL web), disponible en la pestaña de control de bots del paquete de protección (ACL web). Use este panel de control para monitorizar su tráfico y comprender qué parte proviene de varios tipos de bots. Este puede ser un punto de partida para personalizar la administración de los bots, tal y como se describe en este tema. También puede usarlo para verificar los cambios y monitorizar la actividad de varios bots y categorías de bots. 
+ Panel de **análisis de tráfico de IA: panel** especializado para un análisis detallado de la actividad de los bots y agentes de IA, disponible en la pestaña de análisis del tráfico de IA del paquete de protección (ACL web). Proporciona una visibilidad mejorada de los patrones de tráfico específicos de la IA, la intención de los bots y los comportamientos de acceso, más allá de las métricas estándar de control de bots.
+ **JavaScript e integración de aplicaciones móviles SDKs**: SDKs si utiliza el nivel de protección específico del grupo de reglas del control de bots, debería implementar la tecnología AWS WAF JavaScript y la movilidad. Las reglas específicas utilizan la información proporcionada por los SDKs tokens del cliente para mejorar la detección de los bots maliciosos. Para obtener más información sobre el SDKs, consulte[Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md).
+ **Registro y métricas**: puede supervisar el tráfico de bots y comprender cómo el grupo de reglas gestionado por Bot Control evalúa y gestiona su tráfico estudiando los datos que los AWS WAF registros, Amazon Security Lake y Amazon CloudWatch recopilan para su paquete de protección (ACL web). Las etiquetas que el control de bots agrega a las solicitudes web se incluyen en los datos. Para obtener información sobre estas opciones, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md), [Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md) y [What is Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html). 

  En función de sus necesidades y del tráfico que detecte, es posible que desee personalizar la implementación del Control de bots. A continuación se muestran algunas opciones de uso más frecuente:
+ **Instrucciones de restricción de acceso**: puede excluir parte del tráfico de las solicitudes web que evalúa el grupo de reglas administradas de control de bots añadiendo una instrucción de restricción de acceso dentro de la instrucción de referencia del grupo de reglas administradas de control de bots. Una instrucción de restricción de acceso puede ser cualquier instrucción de regla anidable. Cuando una solicitud no coincide con la declaración de alcance, AWS WAF evalúa que no coincide con la declaración de referencia del grupo de reglas sin compararla con el grupo de reglas. Para obtener más información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).

  El precio del grupo de reglas administradas de control de bots aumenta en función del número de solicitudes web que AWS WAF evalúa con él. Puede ayudar a reducir estos costos utilizando una instrucción de restricción de acceso para limitar las solicitudes que evalúa el grupo de reglas. Por ejemplo, tal vez quieras permitir que tu página de inicio se cargue para todo el mundo, incluidos los bots, y luego aplicar las reglas del grupo de reglas a las solicitudes que se dirijan a tu aplicación APIs o que contengan un tipo de contenido concreto. 
+ **Etiquetas y reglas de coincidencia de etiquetas**: puedes personalizar la forma en que el grupo de reglas de control de bots gestiona parte del tráfico de bots que identifica mediante la declaración de la regla de coincidencia de AWS WAF etiquetas. El grupo de reglas de control de bots añade etiquetas a sus solicitudes web. Puede agregar reglas de coincidencia de etiquetas después del grupo de reglas de control de bots que coincidan con las etiquetas de control de bots y aplicar la gestión que necesites. Para obtener más información sobre el etiquetado y el uso de las instrucciones de coincidencia de etiquetas, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md) y [Etiquetado de solicitudes web en AWS WAF](waf-labels.md). 
+ **Solicitudes y respuestas personalizadas**: puedes añadir encabezados personalizados a las solicitudes que aceptes y enviar respuestas personalizadas a las solicitudes que bloquees combinando la coincidencia de etiquetas con las funciones de solicitud y respuesta AWS WAF personalizadas. Para obtener más información sobre cómo personalizar las solicitudes y las respuestas, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

# Uso de la integración de aplicaciones SDKs con Bot Control
<a name="waf-bot-with-tokens"></a>

En esta sección se explica cómo utilizar la integración de aplicaciones SDKs con Bot Control.

La mayoría de las protecciones específicas del grupo de reglas gestionado por Bot Control requieren los símbolos de desafío que SDKs genera la integración de la aplicación. Las reglas que no requieren un token de desafío en la solicitud son las protecciones de nivel común de control de bots y las reglas de nivel objetivo de machine learning. Para obtener descripciones de los niveles de protección y las reglas del grupo de reglas, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md). 

Recomendamos encarecidamente implementar la integración SDKs de aplicaciones para aprovechar al máximo el grupo de reglas de Bot Control. El script de desafío debe ejecutarse antes del grupo de reglas del control de bots para que el grupo de reglas se beneficie de los tokens que adquiere el script. 
+ Con la integración de la aplicación SDKs, el script se ejecuta automáticamente.
+ Si no puede utilizarla SDKs, puede configurar su paquete de protección (ACL web) para que ejecute la acción Challenge o la CAPTCHA regla contra todas las solicitudes que vaya a inspeccionar el grupo de reglas de control de bots. El uso de la acción de regla Challenge o CAPTCHA puede generar tarifas adicionales. Para obtener más información sobre precios, consulte [precios de AWS WAF](https://aws.amazon.com/waf/pricing/). 

Cuando implementa la integración de aplicaciones SDKs en sus clientes o utiliza una de las acciones de regla que ejecuta el script de desafío, amplía las capacidades del grupo de reglas y de la seguridad general de sus aplicaciones cliente. 

Los tokens proporcionan información del cliente con cada solicitud web. Esta información adicional permite al grupo de reglas del control de bots separar las sesiones de clientes legítimas de las sesiones de clientes que se comportan mal, incluso cuando ambas se originan en una sola dirección IP. El grupo de reglas usa la información de los tokens para agregar el comportamiento de las solicitudes de sesión de los clientes con el fin de lograr una detección y mitigación más precisas que proporciona el nivel de protecciones específicas. 

Para obtener información acerca de SDKs, consulte[Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). Para obtener información sobre AWS WAF los tokens, consulte[Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Para obtener información sobre las acciones de las reglas, consulte [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).

# Añadir el grupo de reglas gestionado por AWS WAF Bot Control a su ACL web
<a name="waf-bot-control-rg-using"></a>

En esta sección, se explica cómo se agrega y configura el grupo de reglas `AWSManagedRulesBotControlRuleSet`.

El grupo de reglas administradas de control de bots `AWSManagedRulesBotControlRuleSet` requiere una configuración adicional para identificar el nivel de protección que se quiere implementar. 

Para ver la descripción del grupo de reglas y la lista de reglas, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administradas a su paquete de protección (ACL web), consulte [Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola](waf-using-managed-rule-group.md).

**Seguir las prácticas recomendadas**  
Utilice el grupo de reglas del control de bots de acuerdo con las prácticas recomendadas de [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md). 

**Uso del grupo de reglas de `AWSManagedRulesBotControlRuleSet` en su paquete de protección (ACL web)**

1. Agregue el grupo de reglas AWS administrado `AWSManagedRulesBotControlRuleSet` a su paquete de protección (ACL web). Para ver la descripción completa del grupo de reglas, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md). 
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

   Cuando añada el grupo de reglas, edítelo para abrir la página de configuración del grupo de reglas. 

1. En la página de configuración del grupo de reglas, en el panel **Nivel de inspección**, seleccione el nivel de inspección que desee usar. 
   + **Común**: detecta una variedad de bots que se identifican a sí mismos, como los sistemas de rastreo web, los motores de búsqueda y los navegadores automatizados. Las protecciones de control de bots de este nivel identifican los bots más comunes mediante técnicas tradicionales de detección de bots, como el análisis de datos de solicitudes estáticas. Las reglas etiquetan el tráfico de estos bots y bloquean los que no pueden verificar. 
   + **Objetivo**: incluye las protecciones de nivel común y añade una detección dirigida para los bots sofisticados que no se identifican a sí mismos. Las protecciones específicas mitigan la actividad de los bots mediante una combinación de límites de tasas, CAPTCHA y desafíos relacionados con el navegador en segundo plano. 
     + **`TGT_`**: las reglas que proporcionan una protección específica tienen nombres que comienzan por `TGT_`. Todas las protecciones específicas utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado. 
     + **`TGT_ML_`**: las reglas de protección específicas que utilizan el machine learning tienen nombres que comienzan por `TGT_ML_`. Estas reglas utilizan un análisis automatizado y de aprendizaje automático de las estadísticas de tráfico del sitio web para detectar un comportamiento anómalo indicativo de una actividad de bots distribuida y coordinada. AWS WAF analiza las estadísticas sobre el tráfico de su sitio web, como las marcas horarias, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de aprendizaje automático de Bot Control. Las capacidades de machine learning están habilitadas de forma predeterminada, pero puede deshabilitarlas en la configuración de su grupo de reglas. Cuando el aprendizaje automático está desactivado, AWS WAF no evalúa estas reglas. 

1. Si utilizas el nivel de protección específico y no quieres usar el aprendizaje automático (ML) AWS WAF para analizar el tráfico web y detectar actividades distribuidas y coordinadas de bots, desactiva la opción de aprendizaje automático. El machine learning es necesario para las reglas de control de bots cuyos nombres comiencen por `TGT_ML_`. Para obtener más detalles acerca de estas reglas, consulte [Listado de reglas de control de bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).

1. Agregue una instrucción de restricción de acceso para el grupo de reglas con el fin de incluir los costos de su uso. Una instrucción de restricción de acceso reduce el conjunto de solicitudes que inspecciona el grupo de reglas. Por ejemplo, en los casos de uso, comience con [Ejemplo de control de bots: uso del control de bots solo para la página de inicio de sesión](waf-bot-control-example-scope-down-login.md) y [Ejemplo de control de bots: uso del control de bots solo para contenido dinámico](waf-bot-control-example-scope-down-dynamic-content.md). 

1. Proporcione cualquier configuración adicional que necesite para el grupo de reglas. 

1. Guarde los cambios en el paquete de protección (ACL web). 

Antes de implementar cambios en su control de bots para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte las secciones siguientes para obtener orientación. 

# Ejemplos de escenarios de falsos positivos con AWS WAF Bot Control
<a name="waf-bot-control-false-positives"></a>

 En esta sección se proporcionan ejemplos de situaciones en las que podrías encontrar falsos positivos con AWS WAF Bot Control.

Hemos seleccionado cuidadosamente las reglas del grupo de reglas gestionado por el control de AWS WAF bots para minimizar los falsos positivos. Comprobamos las reglas comparándolas con el tráfico global y supervisamos su impacto en los paquetes de protección de prueba (web ACLs). Sin embargo, aún es posible obtener falsos positivos debido a los cambios en los patrones de tráfico. Además, se sabe que algunos casos de uso provocan falsos positivos y requieren una personalización específica para el tráfico web. 

Entre las situaciones en las que podría encontrar falsos positivos, se incluyen las siguientes: 
+ Las aplicaciones para móviles suelen tener agentes de usuario distintos de los navegadores, que la regla `SignalNonBrowserUserAgent` bloquea de forma predeterminada. Si espera que el tráfico provenga de aplicaciones para móviles o de cualquier otro tráfico legítimo con agentes de usuario distintos de los navegadores, tendrá que agregar una excepción para permitirlo. 
+ Puede confiar en un tráfico de bots específico para tareas como la supervisión del tiempo de actividad, las pruebas de integración o las herramientas de marketing. Si el control de bots identifica y bloquea el tráfico de bots que quiere permitir, tendrá que modificar la gestión añadiendo sus propias reglas. Si bien no se trata de un escenario de falso positivo para todos los clientes, si lo es para usted, tendrá que gestionarlo de la misma manera que si se tratara de un falso positivo. 
+ El grupo de reglas gestionado por Bot Control verifica los bots mediante las direcciones IP de AWS WAF. Si utiliza el control de bots y ha verificado bots enrutados a través de un proxy o un equilibrador de carga, debe permitirlos de forma explícita usando una regla personalizada. Para obtener información acerca de cómo crear una regla personalizada de este tipo, consulte [Uso de direcciones IP reenviadas en AWS WAF](waf-rule-statement-forwarded-ip-address.md). 
+ Una regla de control de bots con una tasa de falsos positivos global baja podría afectar gravemente a dispositivos o aplicaciones específicos. Por ejemplo, durante las pruebas y la validación, es posible que no hayamos observado solicitudes de aplicaciones con volúmenes de tráfico bajos o de navegadores o dispositivos menos habituales. 
+ Una regla de control de bots que tenga una tasa de falsos positivos históricamente baja podría haber aumentado el número de falsos positivos en el tráfico válido. Esto puede deberse a la aparición de nuevos patrones de tráfico o a la aparición de nuevos atributos de solicitud en el tráfico válido, lo que hace que coincidan con la regla donde no coincidía antes. Estos cambios pueden deberse a situaciones como las siguientes:
  + Detalles del tráfico que se modifican a medida que el tráfico fluye a través de los dispositivos de red, como los equilibradores de carga o las redes de distribución de contenido (CDN).
  + Cambios emergentes en los datos de tráfico, por ejemplo, nuevos navegadores o nuevas versiones de los navegadores existentes.

Para obtener información sobre cómo administrar los falsos positivos que puedan derivarse del grupo de reglas administradas de control de bots de AWS WAF , consulte las instrucciones de la sección siguiente [Prueba e implementación de AWS WAF Bot Control](waf-bot-control-deploying.md).

# Prueba e implementación de AWS WAF Bot Control
<a name="waf-bot-control-deploying"></a>

En esta sección se proporcionan instrucciones generales para configurar y probar una implementación de AWS WAF Bot Control para su sitio. Los pasos específicos que elija seguir dependerán de sus necesidades, recursos y las solicitudes web que reciba. 

Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para asegurarse de que sus recursos AWS estén debidamente protegidos. 

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su control de bots para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. 

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. 

**Configuración y prueba de una implementación de control de bots**

Realice estos pasos primero en un entorno de prueba y, después, en producción.

1. 

**Adición del grupo de reglas administradas de control de bots**
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

   Agregue el grupo de AWS reglas administrado `AWSManagedRulesBotControlRuleSet` a un paquete de protección (ACL web) nuevo o existente y configúrelo de manera que no altere el comportamiento actual del paquete de protección (ACL web). 
   + Cuando añada el grupo de reglas administradas, edítelo y haga lo siguiente: 
     + En el panel **Nivel de inspección**, seleccione el nivel de inspección que desea utilizar. 
       + **Común**: detecta una variedad de bots que se identifican a sí mismos, como los sistemas de rastreo web, los motores de búsqueda y los navegadores automatizados. Las protecciones de control de bots de este nivel identifican los bots más comunes mediante técnicas tradicionales de detección de bots, como el análisis de datos de solicitudes estáticas. Las reglas etiquetan el tráfico de estos bots y bloquean los que no pueden verificar. 
       + **Objetivo**: incluye las protecciones de nivel común y añade una detección dirigida para los bots sofisticados que no se identifican a sí mismos. Las protecciones específicas mitigan la actividad de los bots mediante una combinación de límites de tasas, CAPTCHA y desafíos relacionados con el navegador en segundo plano. 
         + **`TGT_`**: las reglas que proporcionan una protección específica tienen nombres que comienzan por `TGT_`. Todas las protecciones específicas utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado. 
         + **`TGT_ML_`**: las reglas de protección específicas que utilizan el machine learning tienen nombres que comienzan por `TGT_ML_`. Estas reglas utilizan un análisis automatizado y de aprendizaje automático de las estadísticas de tráfico del sitio web para detectar un comportamiento anómalo indicativo de una actividad de bots distribuida y coordinada. AWS WAF analiza las estadísticas sobre el tráfico de su sitio web, como las marcas horarias, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de aprendizaje automático de Bot Control. Las capacidades de machine learning están habilitadas de forma predeterminada, pero puede deshabilitarlas en la configuración de su grupo de reglas. Cuando el aprendizaje automático está desactivado, AWS WAF no evalúa estas reglas. 

       Para obtener más información sobre esta opción, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md). 
     + En el panel **Reglas**, abra el menú desplegable **Anular todas las acciones de reglas** y elija **Count**. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de añadir etiquetas a las solicitudes. Para obtener más información, consulte [Invalidar acciones de reglas en un grupo de reglas](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Con esta modificación, puede supervisar el posible impacto de las reglas de control de bots en su tráfico para determinar si desea agregar excepciones para casos de uso interno o para los bots deseados. 
   + Sitúe el grupo de reglas de forma que se evalúe de último en el paquete de protección (ACL web), con una configuración de prioridad que sea numéricamente superior a la de cualquier regla o grupo de reglas que ya esté en uso. Para obtener más información, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md). 

     De esta forma, no se interrumpe su gestión actual del tráfico. Por ejemplo, si tiene reglas que detectan tráfico malicioso, como la inyección de código SQL o el uso de scripts entre sitios, seguirán detectando y registrando estas solicitudes. Como alternativa, si tiene reglas que permiten el tráfico no malicioso conocido, estas pueden seguir permitiéndolo sin que el grupo de reglas administradas del control de bots lo bloquee. Puede decidir ajustar el procesamiento de pedidos durante sus actividades de prueba y ajuste. Esta es una buena forma de empezar.

1. 

**Habilitación del registro y las métricas para el paquete de protección (ACL web)**

   Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y CloudWatch las métricas de Amazon para el paquete de protección (ACL web). Puede utilizar estas herramientas de visibilidad para supervisar la interacción del grupo de reglas administradas del control de bots con su tráfico. 
   + Para obtener más información acerca del registro, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 
   + Para obtener información acerca de Amazon Security Lake, consulte [¿Qué es Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) y [Recopilación de datos de AWS los servicios de](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) la *guía del usuario de Amazon Security Lake*. 
   + Para obtener información sobre CloudWatch las métricas de Amazon, consulta[Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Para obtener información sobre cómo el muestreo de las solicitudes de web, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). 

1. 

**Asociar el paquete de protección (ACL web) con un recurso**

   Si el paquete de protección (ACL web) aún no está asociado a un recurso, asócielo. Para obtener información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).

1. 

**Supervise el tráfico y las coincidencias de las reglas del control de bots**

   Asegúrese de que el tráfico fluya y de que las reglas del grupo de reglas administradas del control de bots agreguen etiquetas a las solicitudes web coincidentes. Puedes ver las etiquetas en los registros y ver las métricas de bots y etiquetas en las CloudWatch métricas de Amazon. En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en `ruleGroupList` con `action` establecida para el recuento y con `overriddenAction` indicando la acción de regla configurada que ha anulado.
**nota**  
El grupo de reglas administradas de control de bots verifica los bots mediante las direcciones IP de AWS WAF. Si utiliza el control de bots y ha verificado bots enrutados a través de un proxy o un equilibrador de carga, debe permitirlos de forma explícita usando una regla personalizada. Para obtener información sobre cómo crear una regla personalizada, consulte [Uso de direcciones IP reenviadas en AWS WAF](waf-rule-statement-forwarded-ip-address.md). Para obtener información sobre cómo puede usar la regla para personalizar la gestión de las solicitudes web de control de bots, consulte el siguiente paso. 

   Revise detenidamente la gestión de las solicitudes web para ver si hay falsos positivos que deba mitigar con una gestión personalizada. Para ver ejemplos de falsos positivos, consulte [Ejemplos de escenarios de falsos positivos con AWS WAF Bot Control](waf-bot-control-false-positives.md).

1. 

**Personalización la gestión de las solicitudes web del control de bots**

   Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas del control de bots las gestionarían. 

   La forma de hacerlo depende del caso de uso, pero las siguientes son soluciones habituales:
   + Permita solicitudes de forma explícita con una regla que añada antes del grupo de reglas administradas de control de bots. De este modo, las solicitudes permitidas nunca llegan al grupo de reglas para su evaluación. Esto puede ayudar a reducir el coste de usar el grupo de reglas administradas de control de bots. 
   + Excluya las solicitudes de la evaluación del control de bots añadiendo una instrucción de restricción de acceso dentro de la instrucción del grupo de reglas administradas de control de bots. Funciona igual que la opción anterior. Puede ayudar a reducir el coste de usar el grupo de reglas administradas de control de bots, ya que las solicitudes que no coinciden con la instrucción de restricción de acceso nunca llegan a la evaluación del grupo de reglas. Para obtener información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md). 

     Para ver ejemplos de , consulte lo siguiente: 
     + [Exclusión de un rango de IP de la administración de bots](waf-bot-control-example-scope-down-ip.md)
     + [Permisión del tráfico de un bot que usted controla](waf-bot-control-example-scope-down-your-bot.md)
   + Use las etiquetas de control de bots en la gestión de solicitudes para permitir o bloquear las solicitudes. Añada una regla de coincidencia de etiquetas después del grupo de reglas administradas de control de bots para filtrar las solicitudes etiquetadas que quiera permitir de las que quiera bloquear. 

     Tras realizar las pruebas, mantenga las reglas del control de bots en modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada. Para obtener información sobre las instrucciones del control de bots, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md). 

     Para ver ejemplos de este tipo de personalización, consulte lo siguiente: 
     + [Creación de una excepción para un agente de usuario bloqueado](waf-bot-control-example-user-agent-exception.md)
     + [Permisión de un bot bloqueado específico](waf-bot-control-example-allow-blocked-bot.md)
     + [Bloqueo de los bots verificados](waf-bot-control-example-block-verified-bots.md)

   Para ver otros ejemplos, consulte [AWS WAF Ejemplos de control de bots](waf-bot-control-examples.md).

1. 

**Habilite la configuración del grupo de reglas administradas de control de bots, según sea necesario.**

   Según su situación, es posible que haya decidido dejar algunas reglas del control de bots en modo de recuento o con una regla de anulación diferente. Para las reglas que quiera que se ejecuten tal como están configuradas dentro del grupo de reglas, habilite la configuración de reglas normal. Para ello, edite la instrucción del grupo de reglas en su paquete de protección (ACL web) y realice los cambios en el panel **Reglas**. 

# AWS WAF Ejemplos de control de bots
<a name="waf-bot-control-examples"></a>

En esta sección se muestran ejemplos de configuraciones que se adaptan a una variedad de casos de uso habituales de las implementaciones de AWS WAF Bot Control. 

Cada ejemplo proporciona una descripción del caso de uso y, a continuación, muestra la solución en las listas JSON para las reglas configuradas de forma personalizada. 

**nota**  
Las listas JSON que se muestran en estos ejemplos se crearon en la consola configurando la regla y, a continuación, editándola con el **Editor de reglas JSON**. 

**Topics**
+ [

# Ejemplo de control de bots: configuración sencilla
](waf-bot-control-example-basic.md)
+ [

# Ejemplo de control de bots: permitir de forma explícita los bots verificados
](waf-bot-control-example-allow-verified-bots.md)
+ [

# Ejemplo de control de bots: bloqueo de los bots verificados
](waf-bot-control-example-block-verified-bots.md)
+ [

# Ejemplo de control de bots: permitir un bot bloqueado específico
](waf-bot-control-example-allow-blocked-bot.md)
+ [

# Ejemplo de control de bots: creación de una excepción para un agente de usuario bloqueado
](waf-bot-control-example-user-agent-exception.md)
+ [

# Ejemplo de control de bots: uso del control de bots solo para la página de inicio de sesión
](waf-bot-control-example-scope-down-login.md)
+ [

# Ejemplo de control de bots: uso del control de bots solo para contenido dinámico
](waf-bot-control-example-scope-down-dynamic-content.md)
+ [

# Ejemplo de control de bots: exclusión de un rango de IP de la administración de bots
](waf-bot-control-example-scope-down-ip.md)
+ [

# Ejemplo de control de bots: permisión del tráfico de un bot que usted controla
](waf-bot-control-example-scope-down-your-bot.md)
+ [

# Ejemplo de control de bots: habilitación de un nivel de inspección específico
](waf-bot-control-example-targeted-inspection-level.md)
+ [

# Ejemplo de control de bots: utilizar dos instrucciones para limitar el uso del nivel de inspección objetivo
](waf-bot-control-example-common-and-targeted-inspection-level.md)

# Ejemplo de control de bots: configuración sencilla
<a name="waf-bot-control-example-basic"></a>

La siguiente lista de JSON muestra un ejemplo de paquete de protección (ACL web) con un grupo de reglas gestionado por AWS WAF Bot Control. Tenga en cuenta la configuración de visibilidad, que hace AWS WAF que se almacenen las muestras y métricas de las solicitudes con fines de supervisión. 

```
{
  "Name": "Bot-WebACL",
  "Id": "...",
  "ARN": "...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "Bot-WebACL",
  "Rules": [
      {
        ...
      },
      {
         "Name": "AWS-AWSBotControl-Example",
         "Priority": 5,
         "Statement": {
            "ManagedRuleGroupStatement": {
               "VendorName": "AWS",
               "Name": "AWSManagedRulesBotControlRuleSet",
               "ManagedRuleGroupConfigs": [
                 {
                   "AWSManagedRulesBotControlRuleSet": {
                     "InspectionLevel": "COMMON"
                   }
                 }
               ],
               "RuleActionOverrides": [],
               "ExcludedRules": []
            },
            "VisibilityConfig": {
               "SampledRequestsEnabled": true,
               "CloudWatchMetricsEnabled": true,
               "MetricName": "AWS-AWSBotControl-Example"
             }
          }
      }
    ],
    "VisibilityConfig": {
      ...
    },
    "Capacity": 1496,
    "ManagedByFirewallManager": false,
    "RetrofittedByFirewallManager": false
}
```

# Ejemplo de control de bots: permitir de forma explícita los bots verificados
<a name="waf-bot-control-example-allow-verified-bots"></a>

AWS WAF Bot Control no bloquea los bots que se AWS consideran bots comunes y verificables. Cuando el control de bots identifica una solicitud web como procedente de un bot verificado, añade una etiqueta con el nombre del bot y otra que indica que se trata de un bot verificado. El control de bots no añade ninguna otra etiqueta, como etiquetas de señales, para evitar que se bloqueen los bots que se sabe que funcionan correctamente.

Es posible que tengas otras AWS WAF reglas que bloqueen los bots verificados. Si quiere asegurarse de que los bots verificados están permitidos, añada una regla personalizada para permitirlos en función de las etiquetas del control de bots. La nueva regla debe ejecutarse después del grupo de reglas administradas de control de bots, de modo que las etiquetas estén disponibles para compararlas con ellas. 

La siguiente regla permite explícitamente los bots verificados.

```
{
    "Name": "match_rule",
    "Statement": {
      "LabelMatchStatement": {
        "Scope": "LABEL",
        "Key": "awswaf:managed:aws:bot-control:bot:verified"
      }
    },
    "RuleLabels": [],
    "Action": {
      "Allow": {}
    }
}
```

# Ejemplo de control de bots: bloqueo de los bots verificados
<a name="waf-bot-control-example-block-verified-bots"></a>

Para bloquear los bots verificados, debe agregar una regla para bloquearlos que se ejecute según el grupo de reglas administradas de control de bots de AWS WAF . Para ello, identifique los nombres de los bots que quiera bloquear y utilice una instrucción de coincidencia de etiquetas para identificarlos y bloquearlos. Si solo quiere bloquear todos los bots verificados, puede omitir la coincidencia con la etiqueta `bot:name:`. 

La siguiente regla bloquea solo el bot verificado `bingbot`. Esta regla debe ejecutarse después del grupo de reglas administradas de control de bots.

```
{
    "Name": "match_rule",
    "Statement": {
      "AndStatement": {
        "Statements": [
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:bot:name:bingbot"
            }
          },
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:bot:verified"
            }
          }
        ]
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    }
  }
```

La siguiente regla bloquea todos los bots verificados.

```
{
    "Name": "match_rule",
    "Statement": {
      "LabelMatchStatement": {
        "Scope": "LABEL",
        "Key": "awswaf:managed:aws:bot-control:bot:verified"
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    }
}
```

# Ejemplo de control de bots: permitir un bot bloqueado específico
<a name="waf-bot-control-example-allow-blocked-bot"></a>

Es posible que un bot esté bloqueado por más de una de las reglas de control de bots. Siga el procedimiento a continuación para cada regla de bloqueo. 

Si una AWS WAF regla de control de bots bloquea un bot que no quieres bloquear, haz lo siguiente:

1. Compruebe los registros para identificar la regla de control de bots que bloquea el bot. La regla de bloqueo se especificará en los registros de los campos cuyos nombres comiencen por `terminatingRule`. Para obtener información acerca de los registros de paquete de protección (ACL web), consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). Tenga en cuenta que la etiqueta que es la regla se añade a las solicitudes. 

1. En su paquete de protección (ACL web), anule la acción de regla de bloqueo para el recuento. Para hacerlo en la consola, edite la regla del grupo de reglas del paquete de protección (ACL web) y elija la anulación de una acción de regla Count para la regla. Esto garantiza que el bot no esté bloqueado por la regla, pero la regla seguirá aplicando su etiqueta a las solicitudes coincidentes. 

1. Añada una regla de coincidencia de etiquetas a su paquete de protección (ACL web) después del grupo de reglas administradas de control de bots. Configure la regla para que coincida con la etiqueta de la regla anulada y bloquee todas las solicitudes coincidentes, excepto las del bot que no desee bloquear. 

   Su paquete de protección (ACL web) ya está configurado para que la regla de bloqueo que identificó en los registros no bloquee el bot que desea permitir. 

Compruebe de nuevo el tráfico y sus registros para asegurarse de que el bot esté autorizado a pasar. Si no es así, vuelva a realizar el procedimiento anterior.

Por ejemplo, suponga que desea bloquear todos los bots de monitorización, excepto `pingdom`. En este caso, anule la regla `CategoryMonitoring` para el recuento y, a continuación, escriba una regla para bloquear todos los bots de supervisión, excepto los que tengan la etiqueta `pingdom` con el nombre del bot. 

La siguiente regla usa el grupo de reglas administradas por el control de bots, pero anula la acción de regla para `CategoryMonitoring` para el recuento. La regla de supervisión de categorías aplica sus etiquetas como de costumbre a las solicitudes coincidentes, pero solo las cuenta en lugar de realizar su acción habitual de bloqueo. 

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
	  "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "CategoryMonitoring"
        }
      ],
      "ExcludedRules": []
    }
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AWS-AWSBotControl-Example"
  }
}
```

La siguiente regla coincide con la etiqueta de monitorización de categorías que la regla `CategoryMonitoring` anterior añade a las solicitudes web coincidentes. Entre las solicitudes de monitorización por categorías, esta regla bloquea todas excepto las que tienen una etiqueta para el nombre del bot `pingdom`. 

La siguiente regla debe ejecutarse después del grupo de reglas administradas de control de bots anterior en el orden de procesamiento del paquete de protección (ACL web). 

```
{
      "Name": "match_rule",
      "Priority": 10,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
              }
            },
            {
              "NotStatement": {
                "Statement": {
                  "LabelMatchStatement": {
                    "Scope": "LABEL",
                    "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
                  }
                }
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "match_rule"
      }
}
```

# Ejemplo de control de bots: creación de una excepción para un agente de usuario bloqueado
<a name="waf-bot-control-example-user-agent-exception"></a>

Si se bloquea por error el tráfico de algunos agentes de usuario ajenos al navegador, puede crear una excepción configurando la regla de control de AWS WAF bots infractora en Recuento y, `SignalNonBrowserUserAgent` a continuación, combinando el etiquetado de la regla con sus criterios de excepción. 

**nota**  
Las aplicaciones para móviles suelen tener agentes de usuario distintos de los navegadores, que la regla `SignalNonBrowserUserAgent` bloquea de forma predeterminada. 

La siguiente regla usa el grupo de reglas administradas por el control de bots, pero anula la acción de regla para `SignalNonBrowserUserAgent` para el recuento. La regla de señal aplica sus etiquetas como de costumbre a las solicitudes coincidentes, pero solo las cuenta en lugar de realizar su acción habitual de bloqueo. 

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
	  "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "SignalNonBrowserUserAgent"
        }
      ],
      "ExcludedRules": []
    }
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AWS-AWSBotControl-Example"
  }
}
```

La siguiente regla coincide con la etiqueta de monitorización de categorías que la regla del control de bots de `SignalNonBrowserUserAgent` anterior añade a las solicitudes web coincidentes. Entre las solicitudes de señal, esta regla bloquea todas excepto las que tienen el agente de usuario que queremos permitir. 

La siguiente regla debe ejecutarse después del grupo de reglas administradas de control de bots anterior en el orden de procesamiento del paquete de protección (ACL web). 

```
{
    "Name": "match_rule",
    "Statement": {
      "AndStatement": {
        "Statements": [
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:signal:non_browser_user_agent"
            }
          },
          {
            "NotStatement": {
              "Statement": {
                "ByteMatchStatement": {
                  "FieldToMatch": {
                    "SingleHeader": {
                      "Name": "user-agent"
                    }
                  },
                  "PositionalConstraint": "EXACTLY",
                  "SearchString": "PostmanRuntime/7.29.2",
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ]
                }
              }
            }
          }
        ]
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "match_rule"
    }
}
```

# Ejemplo de control de bots: uso del control de bots solo para la página de inicio de sesión
<a name="waf-bot-control-example-scope-down-login"></a>

En el siguiente ejemplo, se utiliza una sentencia de alcance reducido para aplicar el control de AWS WAF bots únicamente al tráfico que llega a la página de inicio de sesión de un sitio web, que se identifica mediante la ruta URI. `login` La ruta de URI a la página de inicio de sesión puede ser diferente a la del ejemplo, en función de la aplicación y el entorno.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
	  "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "ByteMatchStatement": {
        "SearchString": "login",
        "FieldToMatch": {
          "UriPath": {}
        },
        "TextTransformations": [
          {
            "Priority": 0,
            "Type": "NONE"
          }
        ],
        "PositionalConstraint": "CONTAINS"
      }
    }
  }
}
```

# Ejemplo de control de bots: uso del control de bots solo para contenido dinámico
<a name="waf-bot-control-example-scope-down-dynamic-content"></a>

En este ejemplo, se utiliza una declaración de alcance reducido para aplicar el control de AWS WAF bots únicamente al contenido dinámico. 

La instrucción de restricción de acceso excluye el contenido estático al anular los resultados de las coincidencias de un conjunto de patrones de regex: 
+ El conjunto de patrones de regex está configurado para coincidir con las extensiones del *contenido estático*. Por ejemplo, la especificación del conjunto de patrones de regex podría ser `(?i)\.(jpe?g|gif|png|svg|ico|css|js|woff2?)$`. Para obtener más información acerca de la administración de conjuntos de patrones de expresiones regulares e instrucciones , consulte [Instrucción de regla de coincidencia de conjuntos de patrones de regex](waf-rule-statement-type-regex-pattern-set-match.md). 
+ En la instrucción de restricción de acceso, excluimos el contenido estático coincidente anidando la instrucción del conjunto de patrones de regex dentro de una instrucción `NOT`. Para obtener información sobre la instrucción de `NOT`, consulte [Instrucción de reglas de NOT](waf-rule-statement-type-not.md).

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
	  "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "RegexPatternSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:123456789:regional/regexpatternset/excludeset/00000000-0000-0000-0000-000000000000",
            "FieldToMatch": {
              "UriPath": {}
            },
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ]
          }
        }
      }
    }
  }
}
```

# Ejemplo de control de bots: exclusión de un rango de IP de la administración de bots
<a name="waf-bot-control-example-scope-down-ip"></a>

Si quieres excluir un subconjunto del tráfico web de la administración de AWS WAF Bot Control y puedes identificar ese subconjunto mediante una declaración de regla, entonces exclúyelo añadiendo una declaración de alcance reducido a la declaración del grupo de reglas gestionado por Bot Control. 

La siguiente regla realiza una administración normal de los bots de control de bots en todo el tráfico web, excepto en el caso de las solicitudes web procedentes de un rango de direcciones IP específico.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "IPSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:123456789:regional/ipset/friendlyips/00000000-0000-0000-0000-000000000000"
          }
        }
      }
    }
  }
}
```

# Ejemplo de control de bots: permisión del tráfico de un bot que usted controla
<a name="waf-bot-control-example-scope-down-your-bot"></a>

Puede configurar algunos bots de monitorización de sitios y bots personalizados para que envíen encabezados personalizados. Si quiere permitir el tráfico de estos tipos de bots, puede configurarlos para que añadan un secreto compartido en un encabezado. A continuación, puedes excluir los mensajes que tengan el encabezado añadiendo una declaración de alcance reducido a la declaración del grupo de reglas gestionado por AWS WAF Bot Control. 

El siguiente ejemplo de regla excluye el tráfico con un encabezado secreto de la inspección de control de bots.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "ByteMatchStatement": {
            "SearchString": "YSBzZWNyZXQ=",
            "FieldToMatch": {
              "SingleHeader": {
                "Name": "x-bypass-secret"
              }
            },
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ],
            "PositionalConstraint": "EXACTLY"
          }
        }
      }
    }
  }
}
```

# Ejemplo de control de bots: habilitación de un nivel de inspección específico
<a name="waf-bot-control-example-targeted-inspection-level"></a>

Para mejorar el nivel de protección, puede habilitar el nivel de inspección específica en su grupo de reglas gestionado por AWS WAF Bot Control.

En el siguiente ejemplo, las características de machine learning están habilitadas. Puede desactivar este comportamiento si establece `EnableMachineLearning` en `false`.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "TARGETED",
            "EnableMachineLearning": true
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    }
  }
}
```

# Ejemplo de control de bots: utilizar dos instrucciones para limitar el uso del nivel de inspección objetivo
<a name="waf-bot-control-example-common-and-targeted-inspection-level"></a>

Para optimizar los costes, puede utilizar dos declaraciones de grupos de reglas gestionadas por AWS WAF Bot Control en su paquete de protección (ACL web), con niveles y alcances de inspección independientes. Por ejemplo, podría limitar la instrucción del nivel de inspección objetivo únicamente a los puntos de conexión de las aplicaciones más sensibles.

Las dos instrucciones del siguiente ejemplo tienen un alcance mutuamente excluyente. Sin esta configuración, una solicitud podría dar lugar a la facturación de dos evaluaciones del Control de bots.

**nota**  
El editor visual de la consola no admite varias instrucciones que hagan referencia a `AWSManagedRulesBotControlRuleSet`. En su lugar, utilice el editor JSON.

```
{
  "Name": "Bot-WebACL",
  "Id": "...",
  "ARN": "...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "Bot-WebACL",
  "Rules": [
      {
        ...
      },
      {
       "Name": "AWS-AWSBotControl-Common",
       "Priority": 5,
       "Statement": {
          "ManagedRuleGroupStatement": {
             "VendorName": "AWS",
             "Name": "AWSManagedRulesBotControlRuleSet",
             "ManagedRuleGroupConfigs": [
               {
                 "AWSManagedRulesBotControlRuleSet": {
                   "InspectionLevel": "COMMON"
                 }
               }
             ],
             "RuleActionOverrides": [],
             "ExcludedRules": []
          },
          "VisibilityConfig": {
             "SampledRequestsEnabled": true,
             "CloudWatchMetricsEnabled": true,
             "MetricName": "AWS-AWSBotControl-Common"
           },
           "ScopeDownStatement": {
              "NotStatement": {
                "Statement": {
                  "ByteMatchStatement": {
                    "FieldToMatch": {
                      "UriPath": {}
                    },
                    "PositionalConstraint": "STARTS_WITH",
                    "SearchString": "/sensitive-endpoint",
                    "TextTransformations": [
                      {
                        "Type": "NONE",
                        "Priority": 0
                      }
                    ]
                  }
                }
              }
            }
        }
      },
      {
       "Name": "AWS-AWSBotControl-Targeted",
       "Priority": 6,
       "Statement": {
          "ManagedRuleGroupStatement": {
             "VendorName": "AWS",
             "Name": "AWSManagedRulesBotControlRuleSet",
             "ManagedRuleGroupConfigs": [
               {
                 "AWSManagedRulesBotControlRuleSet": {
                   "InspectionLevel": "TARGETED",
                   "EnableMachineLearning": true
                 }
               }
             ],
             "RuleActionOverrides": [],
             "ExcludedRules": []
          },
          "VisibilityConfig": {
             "SampledRequestsEnabled": true,
             "CloudWatchMetricsEnabled": true,
             "MetricName": "AWS-AWSBotControl-Targeted"
           },
           "ScopeDownStatement": {
              "Statement": {
                "ByteMatchStatement": {
                  "FieldToMatch": {
                    "UriPath": {}
                  },
                  "PositionalConstraint": "STARTS_WITH",
                  "SearchString": "/sensitive-endpoint",
                  "TextTransformations": [
                    {
                      "Type": "NONE",
                      "Priority": 0
                    }
                  ]
                }
              }
            }
        }
      }
    ],
    "VisibilityConfig": {
      ...
    },
    "Capacity": 1496,
    "ManagedByFirewallManager": false,
    "RetrofittedByFirewallManager": false
}
```

# AWS WAF Prevención de denegación de servicio (DDoS) distribuida
<a name="waf-anti-ddos"></a>

AWS WAF ofrece una protección sofisticada y personalizable contra los ataques DDo S en sus AWS recursos. Revise las opciones descritas en esta sección y seleccione el nivel de protección DDo antiS que se adapte a sus necesidades empresariales y de seguridad.

Puede elegir entre dos niveles de protección DDo S en AWS WAF:

Protección S a nivel de recurso DDo  
El nivel estándar funciona dentro de los equilibradores de carga de aplicación para defender contra orígenes maliciosos conocidos mediante filtrado en el host. Puede configurar el comportamiento de protección para que reaccione mejor ante posibles eventos DDo S.  
Protección DDo S a nivel de recursos:  
+ Supervisa sus patrones de tráfico de manera automática.
+ Actualiza la inteligencia de amenazas en tiempo real.
+ Protege contra orígenes maliciosos conocidos.
**Optimización de costos de solicitudes de ACL web para su equilibrador de carga de aplicación**  
Debe asociar una ACL web con su equilibrador de carga de aplicación para habilitar la protección al nivel de recurso. Si su Application Load Balancer está asociado a una ACL web que no tiene configuración, no incurrirá en cargos por las solicitudes; sin embargo, no AWS WAF proporcionará AWS WAF solicitudes de muestra ni informará sobre el Application Load Balancer en las métricas. CloudWatch Puede realizar las siguientes acciones para habilitar las características de observabilidad para el equilibrador de carga de aplicación:  
+ Usar la acción `Block` o la acción `Allow` con encabezados de solicitud personalizados en el `DefaultAction`. Para obtener información, consulte [Inserción de encabezados de solicitud personalizados para acciones no bloqueantes](customizing-the-incoming-request.md).
+ Agregar cualquier regla a la ACL web. Para obtener información, consulte [AWS WAF reglas](waf-rules.md).
+ Habilitar un destino de registro. Para obtener información, consulte [Configuración del registro de un paquete de protección (ACL web)](logging-management-configure.md).
+ Asocie la ACL web a una política. AWS Firewall Manager Para obtener información, consulte [Crear una AWS Firewall Manager política para AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF no proporcionará solicitudes muestreadas ni publicará CloudWatch métricas sin estas configuraciones.

AWS administró la protección del grupo de reglas DDo S.  
El nivel avanzado de protecciones DDo S se ofrece a través del`AWSManagedRulesAntiDDoSRuleSet`. El grupo de reglas administradas complementa el nivel de protección de los recursos con las siguientes diferencias notables:  
+ La protección se extiende tanto a los balanceadores de carga de aplicaciones como a las distribuciones CloudFront 
+ Se crean valores de referencia de tráfico para sus recursos protegidos con el fin de mejorar la detección de patrones de ataque novedosos.
+ El comportamiento de protección se activa según los niveles de sensibilidad que seleccione.
+ Administra y etiqueta las solicitudes a los recursos protegidos durante los probables eventos DDo S.
Para ver la lista completa de reglas y funcionalidades incluidas, consulte [AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida](aws-managed-rule-groups-anti-ddos.md).

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [

# Protección DDo S a nivel de recursos para balanceadores de carga de aplicaciones
](waf-anti-ddos-alb.md)
+ [

# Protección Anti- DDo S avanzada mediante el grupo de reglas gestionado AWS WAF Anti- DDo S
](waf-anti-ddos-advanced.md)

# Protección DDo S a nivel de recursos para balanceadores de carga de aplicaciones
<a name="waf-anti-ddos-alb"></a>

La **protección de nivel de recursos DDo S** añade una defensa inmediata a los balanceadores de carga de aplicaciones sin incurrir en gastos por implementar grupos de reglas AWS WAF administrados. Este nivel estándar de protección DDo antiS utiliza inteligencia de AWS amenazas y análisis de patrones de tráfico para proteger los balanceadores de carga de aplicaciones. Para identificar las fuentes maliciosas conocidas, la protección Anti- DDo S filtra en el host tanto las direcciones IP directas de los clientes como las cabeceras X-Forwarded-For (XFF). Después de identificar una fuente maliciosa conocida, la protección se activa mediante uno de dos modos:

El modo de protección predeterminado es **activo en DDo S** y se recomienda para la mayoría de los casos de uso. 

Este modo:
+ Activa la protección automáticamente al detectar condiciones de carga elevada o posibles eventos DDo S
+ Limita la velocidad del tráfico proveniente de fuentes maliciosas conocidas solo durante condiciones de ataque
+ Minimiza el impacto en tráfico legítimo durante operaciones normales
+ Utiliza las métricas de estado y los datos de AWS WAF respuesta de Application Load Balancer para determinar cuándo activar la protección

El modo **Siempre encendido** es un modo opcional que siempre está encendido una vez activado.

Este modo: 
+ Mantiene protección continua contra orígenes maliciosos conocidos
+ Limita la velocidad del tráfico de orígenes maliciosos en tiempo real
+ Aplica protección tanto a las conexiones directas como a las solicitudes con encabezados IPs XFF maliciosos
+ Puede tener mayor impacto sobre tráfico legítimo, pero proporciona máxima seguridad

Las solicitudes bloqueadas por la protección DDo S a nivel de recurso se registran en CloudWatch los registros como métricas. `LowReputationPacketsDropped` `LowReputationRequestsDenied` Para obtener información, consulte [AWS WAF métricas y dimensiones principales](waf-metrics.md#waf-metrics-general).

## Habilite la protección DDo S estándar en una WebACL existente
<a name="enabling-protection-alb"></a>

Puede habilitar la protección DDo S al crear una ACL web o actualizar una ACL web existente asociada a Application Load Balancer.

**nota**  
Si tiene una ACL web existente asociada a un Application Load Balancer, la protección DDo Anti-S está habilitada de forma predeterminada con **Active en modo DDo S.**

**Para habilitar la protección DDo Anti-S en la consola AWS WAF**

1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/wafv2/Homev2.](https://console.aws.amazon.com/wafv2/homev2) 

1. Elija **Web ACLs** en el panel de navegación y, a continuación, abra cualquier ACL web que esté asociada a un Application Load Balancer.

1. Seleccione ** AWS Recursos asociados**.

1. En **Protección de nivel DDo de recursos S**, elija **Editar**.

1. Seleccione uno de los siguientes modos:
   + **Activo en DDo S** (recomendado): la protección solo se activa en condiciones de carga elevada
   + **Siempre activo**: protección permanente contra orígenes maliciosos conocidos

1. Seleccione **Save changes (Guardar cambios)**.

**nota**  
Para obtener información sobre cómo crear una ACL web, consulte [Creación de un paquete de protección (ACL web) en AWS WAF](web-acl-creating.md).

**Optimización de costos de solicitudes de ACL web para su equilibrador de carga de aplicación**  
Debe asociar una ACL web con su equilibrador de carga de aplicación para habilitar la protección al nivel de recurso. Si su Application Load Balancer está asociado a una ACL web que no tiene configuración, no incurrirá en cargos por las solicitudes; sin embargo, no AWS WAF proporcionará AWS WAF solicitudes de muestra ni informará sobre el Application Load Balancer en las métricas. CloudWatch Puede realizar las siguientes acciones para habilitar las características de observabilidad para el equilibrador de carga de aplicación:  
Usar la acción `Block` o la acción `Allow` con encabezados de solicitud personalizados en el `DefaultAction`. Para obtener información, consulte [Inserción de encabezados de solicitud personalizados para acciones no bloqueantes](customizing-the-incoming-request.md).
Agregar cualquier regla a la ACL web. Para obtener información, consulte [AWS WAF reglas](waf-rules.md).
Habilitar un destino de registro. Para obtener información, consulte [Configuración del registro de un paquete de protección (ACL web)](logging-management-configure.md).
Asocie la ACL web a una política. AWS Firewall Manager Para obtener información, consulte [Crear una AWS Firewall Manager política para AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF no proporcionará solicitudes muestreadas ni publicará CloudWatch métricas sin estas configuraciones.

# Protección Anti- DDo S avanzada mediante el grupo de reglas gestionado AWS WAF Anti- DDo S
<a name="waf-anti-ddos-advanced"></a>

El grupo de reglas `AWSManagedRulesAntiDDoSRuleSet` gestionadas es el nivel más avanzado de protecciones DDo antiS disponible en AWS WAF.

**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

## AWS WAF Componentes de protección DDo antiS
<a name="waf-anti-ddos-components"></a>

Los principales componentes para implementar una protección DDo antiS avanzada AWS WAF incluyen los siguientes:

**`AWSManagedRulesAntiDDoSRuleSet`**— Detecta, etiqueta y cuestiona las solicitudes que probablemente estén participando en un ataque DDo S. También etiqueta todas las solicitudes dirigidas a un recurso protegido durante un evento. Para obtener detalles sobre las reglas y etiquetas del grupo de reglas, consulte [AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida](aws-managed-rule-groups-anti-ddos.md). Para utilizar este grupo de reglas, inclúyalo en su paquete de protección (ACL web) usando una instrucción de referencia de un grupo de reglas administradas. Para obtener información, consulte [Añadir el grupo de reglas gestionado Anti- DDo S a su paquete de protección (ACL web)](waf-anti-ddos-rg-using.md).
+ **Paneles de información general sobre el tráfico de ACL web**: permiten monitorear la actividad DDo S y las respuestas DDo antiS en la consola. Para obtener más información, consulte [Paneles de información general sobre el tráfico para paquetes de protección (web ACLs)](web-acl-dashboards.md).
+ **Registro y métricas**: le permiten monitorear el tráfico y comprender los efectos de la protección DDo antiS. Configure los registros, la recopilación de datos de Amazon Security Lake y CloudWatch las métricas de Amazon para su paquete de protección (ACL web). Para obtener información sobre estas opciones, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md), [Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md) y [What is Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html).
+ **Etiquetas y reglas de coincidencia de etiquetas**: le permiten personalizar la gestión de las solicitudes web identificadas por el grupo de reglas gestionado por DDo Anti-S. Si se aplica cualquier regla de `AWSManagedRulesAntiDDoSRuleSet`, puede cambiar al modo de recuento y hacer coincidir etiquetas agregadas. Para obtener más información, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md) y [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).
+ **Solicitudes y respuestas personalizadas**: permiten agregar encabezados personalizados a solicitudes permitidas y enviar respuestas personalizadas para solicitudes bloqueadas. Combine la coincidencia de etiquetas con las funciones AWS WAF personalizadas de solicitud y respuesta. Para obtener más información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

# Añadir el grupo de reglas gestionado Anti- DDo S a su paquete de protección (ACL web)
<a name="waf-anti-ddos-rg-using"></a>

En esta sección se explica cómo se agrega y configura el grupo de reglas `AWSManagedRulesAntiDDoSRuleSet`.

Para configurar el grupo de reglas gestionado por DDo Anti-S, debe proporcionar ajustes que incluyan la sensibilidad del grupo de reglas a los ataques DDo S y las acciones que realiza ante las solicitudes que participan o podrían estar participando en los ataques. Esta configuración se suma a la configuración normal de un grupo de reglas administradas. 

Para ver la descripción del grupo de reglas y la lista de etiquetas y reglas, consulte [AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida](aws-managed-rule-groups-anti-ddos.md).

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administradas a su paquete de protección (ACL web), consulte [Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola](waf-using-managed-rule-group.md).

**Seguir las prácticas recomendadas**  
Utilice el grupo de reglas Anti- DDo S de acuerdo con las prácticas recomendadas de[Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md). 

**Uso del grupo de reglas de `AWSManagedRulesAntiDDoSRuleSet` en su paquete de protección (ACL web)**

1. Añada el grupo de reglas AWS gestionado `AWSManagedRulesAntiDDoSRuleSet` a su paquete de protección (ACL web) y **edite** la configuración del grupo de reglas antes de guardarlo. 
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

1. En el panel **Configuración del grupo de reglas**, proporcione cualquier configuración personalizada para el grupo de reglas `AWSManagedRulesAntiDDoSRuleSet`. 

   1. En el **caso del nivel de sensibilidad del bloque**, especifique el grado de sensibilidad que desea `DDoSRequests` que tenga la regla cuando coincida con la etiqueta de sospecha DDo S del grupo de reglas. A mayor sensibilidad, más bajo es el umbral de etiquetado necesario para que la regla coincida: 
      + La sensibilidad baja es menos sensible, lo que hace que la regla coincida solo con los participantes más evidentes en un ataque, quienes tienen la etiqueta de sospecha alta `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
      + La sensibilidad media hace que la regla coincida con las etiquetas de sospecha media y alta.
      + La sensibilidad alta hace que la regla coincida con todas las etiquetas de sospecha: baja, media y alta.

      Esta regla proporciona el tratamiento más riguroso posible de las solicitudes web sospechosas de participar en ataques tipo DDo S. 

   1. Para **Habilitar desafío**, elija si habilita las reglas `ChallengeDDoSRequests` y `ChallengeAllDuringEvent`, que de manera predeterminada aplican la acción Challenge a las solicitudes que coinciden. 

      Estas reglas permiten gestionar las solicitudes de forma que los usuarios legítimos puedan tramitarlas y, al mismo tiempo, bloquear a los participantes en el ataque DDo S. Puede reemplazar la acción por Allow o Count, o deshabilitar estas reglas.

      Si decide habilitarlas, proporcione cualquier configuración adicional que desee: 
      + Para el **nivel de sensibilidad del desafío**, especifique la sensibilidad que desea que la regla `ChallengeDDoSRequests` aplique. 

        A mayor sensibilidad, más bajo es el umbral de etiquetado necesario para que la regla coincida: 
        + La sensibilidad baja es menos sensible, lo que hace que la regla coincida solo con los participantes más evidentes en un ataque, quienes tienen la etiqueta de sospecha alta `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
        + La sensibilidad media hace que la regla coincida con las etiquetas de sospecha media y alta.
        + La sensibilidad alta hace que la regla coincida con todas las etiquetas de sospecha: baja, media y alta.
      + En el **caso de las expresiones regulares de URI exentas**, proporciona una expresión regular que coincida con la de las URIs solicitudes web que no pueden gestionar un navegador silencioso. La Challenge acción bloqueará eficazmente las solicitudes a las URIs que les falte el token de desafío, a menos que puedan gestionar el desafío del navegador silencioso. 

        La acción Challenge solo funciona correctamente cuando el cliente espera contenido HTML. Para obtener más información sobre cómo funciona la acción, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md). 

        Revise la expresión regular predeterminada y actualícela según sea necesario. Las reglas utilizan la expresión regular especificada para identificar las solicitudes URIs que no pueden gestionar la Challenge acción y evitar que las reglas devuelvan un desafío. Las solicitudes que excluya de esta manera solo podrán bloquearse mediante el grupo de reglas que incluye la regla `DDoSRequests`. 

        La expresión predeterminada que aparece en la consola cubre la mayoría de los casos de uso, pero debe revisarla y adaptarla a su aplicación. 

        AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE, `libpcre` con algunas excepciones. La biblioteca está documentada en [PCRE, expresiones regulares compatibles con Perl](http://www.pcre.org/). Para obtener información sobre el AWS WAF soporte, consulte[Sintaxis de expresiones regulares admitida en AWS WAF](waf-regex-pattern-support.md).

1. Proporcione cualquier configuración adicional que desee para el grupo de reglas y guarde la regla. 
**nota**  
AWS recomienda no utilizar una declaración de alcance reducido con este grupo de reglas gestionado. La declaración de alcance limitado limita las solicitudes que el grupo de reglas observa y, por lo tanto, puede dar como resultado una línea base de tráfico imprecisa y una disminución de la detección de eventos S. DDo Aunque la opción de reducción de alcance está disponible para todas las declaraciones de grupos de reglas administradas, no debe usarse en este caso. Para obtener información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).

1. En la página **Definir la prioridad** de las reglas, mueva hacia arriba la nueva regla del grupo de reglas DDo antiS gestionado para que se ejecute solo después de cualquier regla de Allow acción que tenga y antes que cualquier otra regla. Esto le da al grupo de reglas la capacidad de rastrear la mayor parte del tráfico para obtener la protección DDo Anti-S. 

1. Guarde los cambios en el paquete de protección (ACL web). 

Antes de implementar su implementación DDo anti-S para el tráfico de producción, pruébela y ajústela en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte la sección siguiente para obtener orientación. 

# Prueba e implementación de Anti- DDo S
<a name="waf-anti-ddos-deploying"></a>

Deberá configurar y probar la prevención de la denegación de servicio AWS WAF distribuida (DDoS) antes de implementar la función. Esta sección ofrece pautas generales para la configuración y las pruebas; sin embargo, los pasos específicos que elija dependerán de sus necesidades, sus recursos y el tipo de solicitudes web que reciba. 

Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

**nota**  
AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para asegurarse de que sus recursos AWS estén debidamente protegidos. 

**Riesgo de tráfico de producción**  
Pruebe y ajuste su implementación DDo antiS en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en su tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. 

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. 

**Para configurar y probar una implementación de prevención de denegación de servicio AWS WAF distribuida DDo**

Realice estos pasos primero en un entorno de prueba y, después, en producción.

1. 

**Agregue el grupo de reglas gestionadas de prevención de denegación de servicio (DDoS) AWS WAF distribuida en modo de recuento**
**nota**  
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

   Agregue el grupo de reglas AWS administradas `AWSManagedRulesAntiDDoSRuleSet` a un paquete de protección nuevo o existente (ACL web) y configúrelo de manera que no altere el comportamiento actual del paquete de protección (ACL web). Para obtener más información sobre las reglas y etiquetas de este grupo de reglas, consulte [AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida](aws-managed-rule-groups-anti-ddos.md).
   + Cuando añada el grupo de reglas administradas, edítelo y haga lo siguiente: 
     + En el panel de **configuración del grupo de reglas**, proporcione los detalles necesarios para realizar actividades DDo antiS para su tráfico web. Para obtener más información, consulte [Añadir el grupo de reglas gestionado Anti- DDo S a su paquete de protección (ACL web)](waf-anti-ddos-rg-using.md).
     + En el panel **Reglas**, abra el menú desplegable **Anular todas las acciones de reglas** y elija **Count**. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de agregar etiquetas a las solicitudes. Para obtener más información, consulte [Invalidar acciones de reglas en un grupo de reglas](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Con esta modificación, puede supervisar el posible impacto de las reglas gestionadas por DDo Anti-S para determinar si desea realizar modificaciones, por ejemplo, ampliar la expresión regular para las URIs que no soportan un navegador silencioso. 
   + Ubique el grupo de reglas de manera que se evalúe lo antes posible, inmediatamente después de cualquier regla que permita el tráfico. Las reglas se evalúan en orden ascendente de prioridad numérica. La consola establece ese orden automáticamente, empezando por la parte superior de la lista de reglas. Para obtener más información, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md). 

1. 

**Habilitación del registro y las métricas para el paquete de protección (ACL web)**

   Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y CloudWatch las métricas de Amazon para el paquete de protección (ACL web). Puede utilizar estas herramientas de visibilidad para supervisar la interacción del grupo de reglas gestionado por DDo Anti-S con su tráfico. 
   + Para obtener información sobre la configuración y uso de los registros, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 
   + Para obtener información acerca de Amazon Security Lake, consulte [¿Qué es Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) y [Recopilación de datos de AWS los servicios de](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) la *guía del usuario de Amazon Security Lake*. 
   + Para obtener información sobre CloudWatch las métricas de Amazon, consulta[Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Para obtener información sobre cómo el muestreo de las solicitudes de web, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). 

1. 

**Asociar el paquete de protección (ACL web) con un recurso**

   Si el paquete de protección (ACL web) aún no está asociado a un recurso de prueba, asócielo. Para obtener información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).

1. 

**Supervise el tráfico y las coincidencias DDo de las reglas antiS**

   Asegúrese de que su tráfico normal fluya y de que las reglas del grupo de reglas gestionado por DDo Anti-S agreguen etiquetas a las solicitudes web coincidentes. Puedes ver las etiquetas en los registros y ver las métricas DDo antiS y de etiquetas en las métricas de Amazon CloudWatch . En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en `ruleGroupList` con `action` establecida para el recuento y con `overriddenAction` indicando la acción de regla configurada que ha anulado. 

1. 

**Personalice la gestión de las solicitudes web de Anti- DDo S**

   Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas Anti- DDo S las gestionarían de otro modo. 

   Por ejemplo, puede utilizar las etiquetas Anti- DDo S para permitir o bloquear las solicitudes o para personalizar su gestión. Puede añadir una regla de coincidencia de etiquetas después del grupo de reglas gestionado por Anti- DDo S para filtrar las solicitudes etiquetadas según la gestión que desee aplicar. Tras realizar las pruebas, mantenga las reglas Anti- DDo S relacionadas en el modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada. 

1. 

**Elimine las reglas de prueba y configure los ajustes de DDo Anti-S**

   Revise los resultados de las pruebas para determinar qué reglas DDo antiS desea mantener en el modo de recuento únicamente para su supervisión. Para las reglas que desea ejecutar con protección activa, deshabilite el modo de conteo en la configuración del grupo de reglas del paquete de protección (ACL web) para que puedan ejecutar sus acciones configuradas. Una vez que haya finalizado estos ajustes, elimine cualquier regla temporal de coincidencia por etiqueta y conserve solo las reglas personalizadas necesarias para el entorno de producción. Para obtener información adicional sobre la configuración DDo Anti-S, consulte[Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).

1. 

**Monitorización y ajuste**

   Para asegurarse de que las solicitudes web se gestionan como usted desea, supervise de cerca el tráfico después de activar la funcionalidad Anti- DDo S que pretende utilizar. Ajuste el comportamiento según sea necesario con la anulación del recuento de reglas en el grupo de reglas y con sus propias reglas. 

# Mejores prácticas para Anti- DDo S
<a name="waf-anti-ddos-best-practices"></a>
+ **Habilite la protección durante los períodos de tráfico normales**: esto permite que la protección establezca patrones de tráfico de referencia antes de responder a los ataques. Añada protección cuando no sufra un ataque y espere un tiempo para establecer la base de referencia.
+ **Supervise las métricas con regularidad**: revise CloudWatch las métricas para comprender los patrones de tráfico y la eficacia de la protección.
+ **Considere el modo proactivo para las aplicaciones críticas**: si bien se recomienda el modo reactivo para la mayoría de los casos de uso, considere usar el modo proactivo para las aplicaciones que requieren una protección continua contra las amenazas conocidas.
+ **Realice pruebas en entornos de ensayo**: antes de habilitar la protección en producción, pruebe y ajuste la configuración en un entorno provisional para comprender el impacto en el tráfico legítimo.

# Integraciones de aplicaciones cliente en AWS WAF
<a name="waf-application-integration"></a>

En esta sección, se explica cómo utilizar la API de integración de amenazas inteligentes APIs y JavaScript CAPTCHA con sus funciones. AWS WAF 

Utilice la integración de aplicaciones AWS WAF cliente APIs para combinar las protecciones del lado del cliente con las protecciones del paquete de protección del AWS lado del servidor (ACL web), a fin de comprobar que las aplicaciones cliente que envían solicitudes web a sus recursos protegidos son los clientes previstos y que sus usuarios finales son seres humanos. 

Utilice las integraciones de cliente para administrar los desafíos silenciosos al navegador y los rompecabezas de CAPTCHA, obtener tokens que demuestren que el navegador y los usuarios finales han respondido satisfactoriamente, e incluir estos tokens en las solicitudes a sus puntos de conexión protegidos. Para obtener información general sobre los tokens, consulte AWS WAF . [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md) 

Combine las integraciones de sus clientes con protecciones del paquete de protección (ACL web) que requieren tokens válidos para acceder a sus recursos. Puede usar grupos de reglas que comprueben y supervisen los tokens de desafíos, como los que se muestran en la siguiente sección, en [Integración inteligente de amenazas y reglas AWS gestionadas](waf-application-integration-with-AMRs.md), y puede usar las acciones de regla CAPTCHA y Challenge para verificarlos, tal y como se describe en [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md). 

AWS WAF proporciona dos niveles de integración para JavaScript las aplicaciones y uno para las aplicaciones móviles: 
+ **Integración inteligente de amenazas**: verifique la aplicación cliente y proporcione la adquisición y administración de los AWS tokens. Es similar a la funcionalidad que proporciona la acción de la AWS WAF Challenge regla. Esta funcionalidad integra completamente la aplicación cliente con el grupo de reglas administradas `AWSManagedRulesACFPRuleSet`, el grupo de reglas administradas `AWSManagedRulesATPRuleSet` y el nivel de protección objetivo del grupo de reglas administradas `AWSManagedRulesBotControlRuleSet`. 

  La integración de amenazas inteligentes APIs utiliza el desafío del navegador AWS WAF silencioso para garantizar que los intentos de inicio de sesión y otras llamadas al recurso protegido solo se permitan después de que el cliente haya adquirido un token válido. APIs Gestiona la autorización mediante token para las sesiones de las aplicaciones de tu cliente y recopila información sobre el cliente para ayudar a determinar si está siendo operado por un bot o por un ser humano. 
**nota**  
Está disponible para JavaScript y para aplicaciones móviles de Android e iOS. 
+ **Integración de CAPTCHA**: verifique a los usuarios finales con un rompecabezas de CAPTCHA personalizado que gestiona en su aplicación. Es similar a la funcionalidad que proporciona la acción de la AWS WAF CAPTCHA regla, pero con un control adicional sobre la ubicación y el comportamiento del rompecabezas. 

  Esta integración aprovecha la integración JavaScript inteligente de amenazas para ejecutar desafíos silenciosos y proporcionar AWS WAF fichas a la página del cliente. 
**nota**  
Está disponible para JavaScript las aplicaciones. 

**Topics**
+ [

# Integración inteligente de amenazas y reglas AWS gestionadas
](waf-application-integration-with-AMRs.md)
+ [

# Acceso a la integración de aplicaciones AWS WAF cliente APIs
](waf-application-integration-location-in-console.md)
+ [

# AWS WAF JavaScript integraciones
](waf-javascript-api.md)
+ [

# AWS WAF integración de aplicaciones móviles
](waf-mobile-sdk.md)

# Integración inteligente de amenazas y reglas AWS gestionadas
<a name="waf-application-integration-with-AMRs"></a>

En esta sección se explica cómo APIs funciona la integración inteligente de amenazas con los grupos de reglas de reglas AWS administradas.

La integración de amenazas inteligentes APIs funciona con paquetes de protección (web ACLs) que utilizan los grupos de reglas de amenazas inteligentes para habilitar todas las funciones de estos grupos de reglas gestionados avanzados. 
+ AWS WAF Grupo `AWSManagedRulesACFPRuleSet` de reglas gestionado por la prevención del fraude (ACFP) para la creación de cuentas de Fraud Control. 

  El fraude en la creación de cuentas es una actividad ilegal en Internet en la que un atacante crea cuentas no válidas en su solicitud para, por ejemplo, recibir bonificaciones de registro o hacerse pasar por otra persona. El grupo de reglas administradas de ACFP proporciona reglas para bloquear, etiquetar y administrar las solicitudes que podrían formar parte de intentos malintencionados de creación de cuentas. APIs Permiten ajustar con precisión la verificación del navegador del cliente y la información sobre la interactividad humana que las reglas de la ACFP utilizan para separar el tráfico de clientes válido del tráfico malicioso.

  Para obtener más información, consulte [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md) y [AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)](waf-acfp.md).
+ AWS WAF Grupo de reglas gestionado para la prevención de apropiación de cuentas (ATP) para el control del fraude. `AWSManagedRulesATPRuleSet` 

  La apropiación de cuentas es una actividad ilegal en línea en la que un atacante obtiene acceso no autorizado a la cuenta de una persona. El grupo de reglas administradas de la ATP proporciona reglas para bloquear, etiquetar y administrar las solicitudes que puedan formar parte de intentos malintencionados de apropiación de cuentas. APIs Permiten la verificación precisa de los clientes y la agregación del comportamiento que utilizan las reglas de la ATP para separar el tráfico de clientes válido del tráfico malicioso.

  Para obtener más información, consulte [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) y [AWS WAF Control de fraudes y prevención de apropiación de cuentas (ATP)](waf-atp.md).
+ Nivel de protección específico del grupo de reglas gestionado por AWS WAF Bot Control. `AWSManagedRulesBotControlRuleSet` 

  Los bots van desde los que se identifican a sí mismos y son útiles, como la mayoría de los motores de búsqueda y rastreadores, hasta los bots maliciosos que actúan contra su sitio web y no se identifican a sí mismos. El grupo de reglas administradas de control de bots proporciona reglas para supervisar, etiquetar y administrar la actividad de los bots en el tráfico web. Cuando se utiliza el nivel de protección específico de este grupo de reglas, las reglas objetivo utilizan la información de sesión del cliente que APIs proporcionan para detectar mejor los bots malintencionados. 

  Para obtener más información, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) y [AWS WAF Control de bots](waf-bot-control.md).

Para agregar uno de estos grupos de reglas administradas a su paquete de protección (ACL web), consulte los procedimientos [Adición del grupo de reglas administradas por ACFP a la nueva ACL web](waf-acfp-rg-using.md), [Adición del grupo de reglas administradas por ATP al paquete de protección (ACL web)](waf-atp-rg-using.md) y [Añadir el grupo de reglas gestionado por AWS WAF Bot Control a su ACL web](waf-bot-control-rg-using.md).

**nota**  
Los grupos de reglas administradas actualmente no bloquean las solicitudes a las que les faltan tokens. Para bloquear las solicitudes a las que les falten tokens, después de implementar la integración de la aplicación APIs, sigue las instrucciones que se indican en[Bloquear solicitudes que no tienen un AWS WAF token válido](waf-tokens-block-missing-tokens.md). 

# Acceso a la integración de aplicaciones AWS WAF cliente APIs
<a name="waf-application-integration-location-in-console"></a>

En esta sección se explica dónde encontrar la integración de aplicaciones APIs en la AWS WAF consola.

La JavaScript integración APIs está disponible de forma general y puede utilizarla en sus navegadores y otros dispositivos que se ejecuten JavaScript. 

AWS WAF ofrece una integración personalizada de amenazas inteligentes SDKs para aplicaciones móviles Android e iOS. 
+ En el caso de las aplicaciones móviles y de TV de Android, SDKs funcionan para la versión 23 de la API de Android (versión 6 de Android) y versiones posteriores. Para obtener información sobre las versiones de Android, consulte las [Notas de versión de la plataforma SDK](https://developer.android.com/tools/releases/platforms).
+ Para las aplicaciones móviles de iOS, SDKs funcionan para la versión 13 de iOS y versiones posteriores. Para obtener información sobre las versiones de iOS, consulte las [notas de la versión de iOS y iPadOS](https://developer.apple.com/documentation/ios-ipados-release-notes).
+ Para las aplicaciones de Apple TV, SDKs funcionan para tvOS versión 14 o posterior. Para obtener información sobre las versiones de tvOS, consulte [Notas de lanzamiento de tvOS](https://developer.apple.com/documentation/tvos-release-notes).

**Para acceder a la integración APIs a través de la consola**

1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Elija **Integración de aplicaciones** en el panel de navegación y, a continuación, elija la pestaña que le interese.
   + La **integración inteligente de amenazas** está disponible para JavaScript aplicaciones móviles. 

     La pestaña contiene lo siguiente:
     + Una lista de los paquetes de protección (web ACLs) que están habilitados para la integración de aplicaciones contra amenazas inteligentes. La lista incluye cada paquete de protección (ACL web) que utiliza el grupo de reglas administradas de `AWSManagedRulesACFPRuleSet`, el grupo de reglas administradas de `AWSManagedRulesATPRuleSet` o el nivel de protección específica del grupo de reglas administradas de `AWSManagedRulesBotControlRuleSet`. Cuando implementa la amenaza inteligente APIs, utiliza la URL de integración del paquete de protección (ACL web) con el que desea realizar la integración.
     + Aquel al APIs que tiene acceso. JavaScript APIs Están siempre disponibles. Para acceder al móvil SDKs, ponte en contacto con el servicio de asistencia en [Contact AWS](https://aws.amazon.com/contact-us).
   + La **integración con CAPTCHA** está disponible para JavaScript las aplicaciones. 

     La pestaña contiene lo siguiente: 
     + La URL de integración que se utilizará en la integración. 
     + Las claves de API que ha creado para los dominios de las aplicaciones de sus clientes. El uso de la API de CAPTCHA requiere una clave de API cifrada que dé a los clientes el derecho a acceder a la API de AWS WAF CAPTCHA desde sus dominios. Para cada cliente con el que se integre, use una clave de API que contenga el dominio del cliente. Para obtener más información sobre estos requisitos y sobre la administración de estas claves, consulte [Administración de las claves de API para la API de JS CAPTCHA](waf-js-captcha-api-key.md).

# AWS WAF JavaScript integraciones
<a name="waf-javascript-api"></a>

En esta sección se explica cómo utilizar las AWS WAF JavaScript integraciones.

Puede usar la JavaScript integración APIs para implementar integraciones de AWS WAF aplicaciones en sus navegadores y otros dispositivos que se ejecuten. JavaScript 

Los rompecabezas de CAPTCHA y los desafíos silenciosos solo se pueden ejecutar cuando los navegadores acceden a los puntos de conexión HTTPS. Los clientes del navegador deben ejecutarse en contextos seguros para poder adquirir los tókenes. 
+ La amenaza inteligente le APIs permite gestionar la autorización de los tokens mediante un desafío silencioso desde el lado del navegador desde el lado del cliente e incluir los tokens en las solicitudes que envía a sus recursos protegidos. 
+ La API de integración de CAPTCHA se suma a la amenaza APIs inteligente y le permite personalizar la ubicación y las características del rompecabezas del CAPTCHA en las aplicaciones de sus clientes. Esta API aprovecha la amenaza inteligente APIs para adquirir AWS WAF fichas para utilizarlas en la página una vez que el usuario final haya completado correctamente el rompecabezas del CAPTCHA. 

Al utilizar estas integraciones, se asegura de que las llamadas a procedimientos remotos de su cliente contengan un token válido. Cuando estas integraciones APIs estén implementadas en las páginas de su aplicación, podrá implementar reglas atenuantes en su paquete de protección (ACL web), como bloquear las solicitudes que no contengan un token válido. También puede implementar reglas que impongan el uso de los tokens que obtienen las aplicaciones cliente utilizando las acciones Challenge o CAPTCHA en sus reglas. 

**Ejemplo de implementación de una amenaza inteligente APIs**  
La siguiente lista muestra los componentes básicos de una implementación típica de la amenaza inteligente APIs en una página de aplicaciones web. 

```
<head>
<script type="text/javascript" src="protection pack (web ACL) integration URL/challenge.js" defer></script>
</head>
<script>
const login_response = await AwsWafIntegration.fetch(login_url, {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json'
    },
    body: login_body
  });
</script>
```

**Ejemplo de implementación de la API CAPTCHA JavaScript**  
La API de integración de CAPTCHA le permite personalizar la experiencia de los usuarios finales con los rompecabezas de CAPTCHA. La integración con CAPTCHA aprovecha la integración JavaScript inteligente de amenazas para la verificación del navegador y la gestión de los tokens, y añade una función para configurar y renderizar el rompecabezas del CAPTCHA. 

La siguiente lista muestra los componentes básicos de una implementación típica de la API CAPTCHA JavaScript en una página de aplicación web. 

```
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>

<script type="text/javascript">
    function showMyCaptcha() {
        var container = document.querySelector("#my-captcha-container");
        
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            ...other configuration parameters as needed...
        });
    }
    
    function captchaExampleSuccessFunction(wafToken) {
        // Use WAF token to access protected resources
        AwsWafIntegration.fetch("...WAF-protected URL...", {
            method: "POST",
            ...
        });
    }
    
    function captchaExampleErrorFunction(error) {
        /* Do something with the error */
    }
</script>

<div id="my-captcha-container">
    <!-- The contents of this container will be replaced by the captcha widget -->
</div>
```

**Topics**
+ [

# Suministro de dominios para su uso en los tokens
](waf-js-challenge-api-set-token-domain.md)
+ [

# Uso de la JavaScript API con políticas de seguridad de contenido
](waf-javascript-api-csp.md)
+ [

# Uso de la JavaScript API de amenazas inteligentes
](waf-js-challenge-api.md)
+ [

# Uso de la API CAPTCHA JavaScript
](waf-js-captcha-api.md)

# Suministro de dominios para su uso en los tokens
<a name="waf-js-challenge-api-set-token-domain"></a>

En esta sección se explica cómo proporcionar dominios adicionales para los tókenes.

De forma predeterminada, cuando AWS WAF crea un token, utiliza el dominio host del recurso asociado al paquete de protección (ACL web). Puede proporcionar dominios adicionales para los tokens que AWS WAF crea para el JavaScript APIs. Para ello, configure la `window.awsWafCookieDomainList` variable global con uno o más dominios de token. 

Al AWS WAF crear un token, utiliza el dominio más adecuado y más corto de entre la combinación de los dominios del recurso `window.awsWafCookieDomainList` y el dominio host del recurso asociado al paquete de protección (ACL web). 

Ejemplo de configuración: 

```
window.awsWafCookieDomainList = ['.aws.amazon.com']
```

```
window.awsWafCookieDomainList = ['.aws.amazon.com', 'abc.aws.amazon.com']
```

No puede usar sufijos públicos en esta lista. Por ejemplo, no puede usar `gov.au` o `co.uk` como dominios de token en la lista.

Los dominios que especifique en esta lista deben ser compatibles con los demás dominios y configuraciones de dominio: 
+ Los dominios deben ser los que AWS WAF acepten, según el dominio host protegido y la lista de dominios token configurada para el paquete de protección (ACL web). Para obtener más información, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists). 
+ Si utilizas la API de JavaScript CAPTCHA, al menos un dominio de tu clave de API de CAPTCHA debe coincidir exactamente con uno de los dominios de token `window.awsWafCookieDomainList` o debe ser el dominio principal de uno de esos dominios de token. 

  Por ejemplo, para el dominio de token `mySubdomain.myApex.com`, la clave de API `mySubdomain.myApex.com` coincide exactamente y la clave de API `myApex.com` es el dominio de ápex. Cualquiera de las claves coincide con el dominio de token. 

  Para obtener más información sobre las claves de API, consulte [Administración de las claves de API para la API de JS CAPTCHA](waf-js-captcha-api-key.md). 

Si usa el grupo de reglas administradas de `AWSManagedRulesACFPRuleSet`, puede configurar un dominio que coincida con el de la ruta de creación de cuentas que proporcionó a la configuración del grupo de reglas. Para obtener más información acerca de esta configuración, consulte [Adición del grupo de reglas administradas por ACFP a la nueva ACL web](waf-acfp-rg-using.md).

Si usa el grupo de reglas administradas de `AWSManagedRulesATPRuleSet`, debería un dominio que coincida con el de la ruta de regustri que proporcionó en la configuración del grupo de reglas. Para obtener más información acerca de esta configuración, consulte [Adición del grupo de reglas administradas por ATP al paquete de protección (ACL web)](waf-atp-rg-using.md).

# Uso de la JavaScript API con políticas de seguridad de contenido
<a name="waf-javascript-api-csp"></a>

En esta sección se proporciona un ejemplo de configuración para incluir en la lista de permisos el dominio de AWS WAF Apex.

Si aplica políticas de seguridad de contenido (CSP) a sus recursos, para que la JavaScript implementación funcione, debe incluir en la lista de permisos el dominio apex. AWS WAF `awswaf.com` JavaScript SDKs Hacen llamadas a distintos AWS WAF puntos de conexión, por lo que permitir incluir este dominio en la lista proporciona los permisos necesarios para funcionar. SDKs 

A continuación se muestra un ejemplo de configuración para incluir en la lista de permisos el AWS WAF dominio de Apex: 

```
connect-src 'self' https://*.awswaf.com;
script-src 'self' https://*.awswaf.com;
script-src-elem 'self' https://*.awswaf.com;
```

Si intentas usarlo JavaScript SDKs con recursos que usan CSP y no has incluido el AWS WAF dominio en la lista de permitidos, recibirás errores como los siguientes: 

```
Refused to load the script ...awswaf.com/<> because it violates the following Content Security Policy directive: “script-src ‘self’
```

# Uso de la JavaScript API de amenazas inteligentes
<a name="waf-js-challenge-api"></a>

En esta sección se proporcionan instrucciones para usar la JavaScript API de amenazas inteligentes en su aplicación cliente.

La amenaza inteligente APIs proporciona operaciones para ejecutar desafíos silenciosos contra el navegador del usuario y gestionar los AWS WAF símbolos que demuestran que el desafío ha respondido satisfactoriamente y mediante CAPTCHA. 

Implemente la JavaScript integración primero en un entorno de prueba y, después, en producción. Para obtener más información sobre la guía de codificación, consulta las secciones siguientes. 

 

**Para utilizar la amenaza inteligente APIs**

1. **Instale el APIs** 

   Si utiliza la API de CAPTCHA, puede omitir este paso. Al instalar la API CAPTCHA, el script instala automáticamente la amenaza inteligente. APIs

   1. [Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en homev2. https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/homev2) 

   1. En el panel de navegación, elija **Integración de la aplicación**. En la página **Integración de aplicaciones**, puede ver las opciones agrupadas en pestañas. 

   1. Seleccione **Integración de amenazas inteligentes**

   1. En la pestaña, seleccione el paquete de protección (ACL web) con el que desea realizar la integración. La lista de paquetes de protección (ACL web) incluye solo los paquetes de protección (web ACLs) que utilizan el grupo de reglas `AWSManagedRulesACFPRuleSet` `AWSManagedRulesATPRuleSet` administrado, el grupo de reglas administrado o el nivel de protección objetivo del grupo de reglas `AWSManagedRulesBotControlRuleSet` administrado. 

   1. Abra el panel **JavaScript SDK** y copie la etiqueta del script para usarla en la integración. 

   1. En el código de la página de la aplicación, en la sección `<head>`, inserte la etiqueta de script que copió para el paquete de protección (ACL web). Esta inclusión hace que la aplicación cliente recupere automáticamente un token en segundo plano al cargar la página. 

      ```
      <head>
          <script type="text/javascript" src="protection pack (web ACL) integration URL/challenge.js” defer></script>
      <head>
      ```

      Esta lista de `<script>` está configurada con el atributo `defer`, pero puede cambiarlo por otro `async` si desea un comportamiento diferente para su página. 

1. **(Opcional) Agrega una configuración de dominio para los tokens del cliente**: de forma predeterminada, cuando AWS WAF crea un token, utiliza el dominio host del recurso asociado al paquete de protección (ACL web). Para proporcionar dominios adicionales para el JavaScript APIs, sigue las instrucciones que aparecen en[Suministro de dominios para su uso en los tokens](waf-js-challenge-api-set-token-domain.md). 

1. **Codifique su integración de amenazas inteligentes**: escriba el código para asegurarse de que la recuperación del token se complete antes de que el cliente envíe sus solicitudes a los puntos de conexión protegidos. Si ya utiliza la API `fetch` para realizar la llamada, puede sustituirla por el contenedor `fetch` de integración de AWS WAF . Si no usas la `fetch` API, puedes usar la `getToken` operación de AWS WAF integración en su lugar. Para obtener orientación sobre el código, consulte las siguientes secciones: 

1. **Agregue la verificación mediante token a su paquete de protección (ACL web)**: agregue al menos una regla a su paquete de protección (ACL web) que compruebe si hay un token de desafío válido en las solicitudes web que envíe su cliente. Puede utilizar grupos de reglas que comprueben y supervisen los tokens de desafío, como el nivel objetivo del grupo de reglas administradas de control de bots, y puede utilizar la acción de regla Challenge para comprobarlos, tal y como se describe en [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md). 

   Las incorporaciones de paquetes de protección (ACL web) comprueban que las solicitudes a sus puntos de conexión protegidos incluyan el token que adquirió en la integración del cliente. Las solicitudes que incluyan un token válido y vigente pasan la inspección de Challenge y no envían otro desafío silencioso a su cliente. 

1. **(Opcional) Bloquee las solicitudes a las que les falten tokens**: si las usa APIs con el grupo de reglas administrado por la ACFP, el grupo de reglas administrado por la ATP o las reglas específicas del grupo de reglas del control de bots, estas reglas no bloquean las solicitudes a las que les faltan tokens. Para bloquear las solicitudes a las que les faltan tokens, siga las instrucciones que se indican en [Bloquear solicitudes que no tienen un AWS WAF token válido](waf-tokens-block-missing-tokens.md). 

**Topics**
+ [

# Especificación de la API de amenazas inteligentes
](waf-js-challenge-api-specification.md)
+ [

# Cómo utilizar el contenedor `fetch` de integración
](waf-js-challenge-api-fetch-wrapper.md)
+ [

# Cómo utilizar la integración de `getToken`
](waf-js-challenge-api-get-token.md)

# Especificación de la API de amenazas inteligentes
<a name="waf-js-challenge-api-specification"></a>

En esta sección se enumeran las especificaciones de los métodos y propiedades de la mitigación inteligente de amenazas JavaScript APIs. Úselos APIs para integraciones inteligentes de amenazas y CAPTCHA.

**`AwsWafIntegration.fetch()`**  
Envía la `fetch` solicitud HTTP al servidor mediante la implementación de integración. AWS WAF 

**`AwsWafIntegration.getToken()`**  
Recupera el AWS WAF token almacenado y lo almacena en una cookie en la página actual con su nombre `aws-waf-token` y el valor establecido en el valor del token. 

**`AwsWafIntegration.hasToken()`**  
Devuelve un booleano que indica si la cookie `aws-waf-token` contiene actualmente un token vigente. 

Si también utiliza la integración de CAPTCHA, consulte las especificaciones correspondientes en [Especificación de la API CAPTCHA JavaScript](waf-js-captcha-api-specification.md).

# Cómo utilizar el contenedor `fetch` de integración
<a name="waf-js-challenge-api-fetch-wrapper"></a>

En esta sección se incluyen las instrucciones para utilizar el contenedor `fetch` de integración.

Puedes usar el AWS WAF `fetch` contenedor cambiando tus `fetch` llamadas normales a la `fetch` API en el espacio de `AwsWafIntegration` nombres. El AWS WAF contenedor admite todas las mismas opciones que la llamada a la JavaScript `fetch` API estándar y añade la gestión de los tokens para la integración. Por lo general, este enfoque es la forma más sencilla de integrar su aplicación. 

**Antes de la implementación del contenedor**  
La siguiente lista de ejemplos muestra el código estándar antes de implementar el contenedor `AwsWafIntegration` `fetch`.

```
const login_response = await fetch(login_url, {
	    method: 'POST',
	    headers: {
	      'Content-Type': 'application/json'
	    },
	    body: login_body
	  });
```

**Después de la implementación del contenedor**  
La siguiente lista muestra el mismo código con la implementación del contenedor `AwsWafIntegration` `fetch`.

```
const login_response = await AwsWafIntegration.fetch(login_url, {
	    method: 'POST',
	    headers: {
	      'Content-Type': 'application/json'
	    },
	    body: login_body
	  });
```

# Cómo utilizar la integración de `getToken`
<a name="waf-js-challenge-api-get-token"></a>

En esta sección, se explica cómo usar la operación `getToken`.

AWS WAF requiere que sus solicitudes a los puntos finales protegidos incluyan la cookie nombrada `aws-waf-token` con el valor de su token actual. 

La operación de `getToken` es una llamada a la API asíncrona que recupera el token de AWS WAF y lo almacena en una cookie en la página actual con el nombre `aws-waf-token`, y el valor establecido al valor del token. Puede usar esta cookie de token en su página según sea necesario. 

Cuando se llama a `getToken`, hace lo siguiente: 
+ Si un token vigente ya está disponible, la llamada lo devuelve inmediatamente.
+ De lo contrario, la llamada recupera un nuevo token del proveedor de tokens y espera hasta 2 segundos a que se complete el flujo de trabajo de adquisición del token antes de que se agote el tiempo de espera. Si se agota el tiempo de espera de la operación, se generará un error que deberá gestionar su código de llamada. 

La operación `getToken` viene acompañada de una operación `hasToken` que indica si la cookie `aws-waf-token` contiene actualmente un token que no ha caducado. 

`AwsWafIntegration.getToken()` recupera un token válido y lo almacena como una cookie. La mayoría de las llamadas de los clientes adjuntan automáticamente esta cookie, pero algunas no. Por ejemplo, las llamadas realizadas entre dominios host no adjuntan la cookie. En los detalles de implementación que aparecen a continuación, mostramos cómo trabajar con ambos tipos de llamadas de clientes. 

**Implementación `getToken` básica para llamadas que adjuntan la cookie `aws-waf-token`**  
La siguiente lista de ejemplos muestra el código estándar para implementar la operación `getToken` con una solicitud de inicio de sesión.

```
const login_response = await AwsWafIntegration.getToken()
	    .catch(e => {
	        // Implement error handling logic for your use case
	    })
	    // The getToken call returns the token, and doesn't typically require special handling
	    .then(token => {
	        return loginToMyPage()
	    })
	
	async function loginToMyPage() {
	    // Your existing login code
	}
```

**Envío del formulario solo después de que el token esté disponible en `getToken`**  
La siguiente lista muestra cómo registrar un oyente de eventos para interceptar los envíos de formularios hasta que haya un token válido disponible para su uso. 

```
<body>
	  <h1>Login</h1>
	  <p></p>
	  <form id="login-form" action="/web/login" method="POST" enctype="application/x-www-form-urlencoded">
	    <label for="input_username">USERNAME</label>
	    <input type="text" name="input_username" id="input_username"><br>
	    <label for="input_password">PASSWORD</label>
	    <input type="password" name="input_password" id="input_password"><br>
	    <button type="submit">Submit<button>
	  </form>
	
	<script>
	  const form = document.querySelector("#login-form");
	
	  // Register an event listener to intercept form submissions
	  form.addEventListener("submit", (e) => {
	      // Submit the form only after a token is available 
	      if (!AwsWafIntegration.hasToken()) {
	          e.preventDefault();
	          AwsWafIntegration.getToken().then(() => {
	              e.target.submit();
	          }, (reason) => { console.log("Error:"+reason) });
	        }
	    });
	</script>
	</body>
```

**Cómo adjuntar el token cuando el cliente no adjunta la cookie `aws-waf-token` de forma predeterminada**  
`AwsWafIntegration.getToken()` recupera un token válido y lo almacena como una cookie, pero no todas las llamadas de los clientes adjuntan esta cookie de forma predeterminada. Por ejemplo, las llamadas realizadas entre dominios host no adjuntan la cookie. 

El `fetch` contenedor maneja estos casos automáticamente, pero si no puedes usar el `fetch` contenedor, puedes hacerlo usando un encabezado personalizado. `x-aws-waf-token` AWS WAF lee los símbolos de este encabezado, además de leerlos de la `aws-waf-token` cookie. En el siguiente código, se muestra un ejemplo de cómo configurar el encabezado. 

```
const token = await AwsWafIntegration.getToken();
const result = await fetch('/url', {
    headers: {
        'x-aws-waf-token': token,
    },
});
```

De forma predeterminada, AWS WAF solo acepta los tokens que contienen el mismo dominio que el dominio anfitrión solicitado. Cualquier token que abarque varios dominios requiere las entradas correspondientes en la lista de dominios del token de paquete de protección (ACL web). Para obtener más información, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists). 

Para obtener información adicional sobre el uso de los tokens entre dominios, consulte [aws-waf-bot-controlaws-samples/](https://github.com/aws-samples/aws-waf-bot-control-api-protection-with-captcha) -. api-protection-with-captcha

# Uso de la API CAPTCHA JavaScript
<a name="waf-js-captcha-api"></a>

En esta sección se incluyen instrucciones para utilizar la API de integración de CAPTCHA.

La JavaScript API de CAPTCHA le permite configurar el rompecabezas de CAPTCHA y colocarlo donde desee en su aplicación cliente. Esta API aprovecha las características de la amenaza inteligente JavaScript APIs para adquirir y utilizar los AWS WAF tokens una vez que el usuario final haya completado satisfactoriamente un rompecabezas de CAPTCHA. 

Implemente la JavaScript integración primero en un entorno de prueba y, después, en producción. Para obtener más información sobre la guía de codificación, consulta las secciones siguientes. 

**Uso de la API de integración de CAPTCHA**

1. **Instalación de la API**

   1. Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

   1. En el panel de navegación, elija **Integración de la aplicación**. En la página **Integración de aplicaciones**, puede ver las opciones agrupadas en pestañas. 

   1. Seleccione la **Integración de CAPTCHA**.

   1. Copia la etiqueta del script de JavaScript integración que aparece en la lista para utilizarla en tu integración.

   1. En el código de la página de la aplicación, en la sección `<head>`, inserte la etiqueta de script que copió. Esta inclusión hace que el rompecabezas de CAPTCHA esté disponible para su configuración y uso. 

      ```
      <head>
          <script type="text/javascript" src="integrationURL/jsapi.js" defer></script>
      </head>
      ```

      Esta lista de `<script>` está configurada con el atributo `defer`, pero puede cambiarlo por otro `async` si desea un comportamiento diferente para su página. 

      El script de CAPTCHA también carga automáticamente el script de integración de amenazas inteligentes si aún no está presente. El script de integración de amenazas inteligentes hace que la aplicación cliente recupere automáticamente un token en segundo plano al cargar la página y proporciona otras funciones de administración de tokens que necesita para usar la API de CAPTCHA. 

1. **(Opcional) Agregue una configuración de dominio para los tokens del cliente**: de forma predeterminada, cuando AWS WAF crea un token, utiliza el dominio host del recurso asociado al paquete de protección (ACL web). Para proporcionar dominios adicionales para el JavaScript APIs, sigue las instrucciones que aparecen en[Suministro de dominios para su uso en los tokens](waf-js-challenge-api-set-token-domain.md). 

1. **Obtenga la clave de API cifrada del cliente**: la API de CAPTCHA requiere una clave de API cifrada que contenga una lista de dominios de cliente válidos. AWS WAF usa esta clave para comprobar que el dominio de cliente que utilizas con la integración está aprobado para usar AWS WAF CAPTCHA. Para generar su clave de API, siga las instrucciones que se indican en [Administración de las claves de API para la API de JS CAPTCHA](waf-js-captcha-api-key.md).

1. **Codifique la implementación del widget de CAPTCHA**: implemente la llamada a la API `renderCaptcha()` en su página, en la ubicación en la que quiera usarla. Para obtener información acerca de cómo configurar y usar esta función, consulte las siguientes secciones, [Especificación de la API CAPTCHA JavaScript](waf-js-captcha-api-specification.md) y [Cómo renderizar el rompecabezas de CAPTCHA](waf-js-captcha-api-render.md). 

   La implementación del CAPTCHA se integra con la integración inteligente de amenazas APIs para gestionar los tokens y ejecutar llamadas de búsqueda que utilizan los tokens. AWS WAF Para obtener orientación sobre su uso, consulte. APIs [Uso de la JavaScript API de amenazas inteligentes](waf-js-challenge-api.md)

1. **Agregue la verificación mediante token a su paquete de protección (ACL web)**: agregue al menos una regla a su paquete de protección (ACL web) que compruebe si hay un token de CAPTCHA válido en las solicitudes web que envíe su cliente. Puede utilizar la acción de regla CAPTCHA para realizar la comprobación, tal y como se describe en [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md). 

   Las incorporaciones de los paquetes de protección (ACL web) comprueban que las solicitudes que van a sus puntos de conexión protegidos incluyen el token que adquirió en la integración con el cliente. Las solicitudes que incluyen un token de CAPTCHA válido y vigente pasan la inspección de acción de regla CAPTCHA y no presentan al usuario final otro rompecabezas de CAPTCHA. 

Una vez que hayas implementado la JavaScript API, puedes revisar las CloudWatch métricas de los intentos y las soluciones de los acertijos del CAPTCHA. Para obtener información acerca de las métricas y las dimensiones, consulte [Métricas y dimensiones de la cuenta](waf-metrics.md#waf-metrics-account).

**Topics**
+ [

# Especificación de la API CAPTCHA JavaScript
](waf-js-captcha-api-specification.md)
+ [

# Cómo renderizar el rompecabezas de CAPTCHA
](waf-js-captcha-api-render.md)
+ [

# Gestión de una respuesta CAPTCHA de AWS WAF
](waf-js-captcha-api-conditional.md)
+ [

# Administración de las claves de API para la API de JS CAPTCHA
](waf-js-captcha-api-key.md)

# Especificación de la API CAPTCHA JavaScript
<a name="waf-js-captcha-api-specification"></a>

En esta sección se enumeran las especificaciones de los métodos y propiedades del CAPTCHA. JavaScript APIs Utilice el CAPTCHA JavaScript APIs para ejecutar rompecabezas CAPTCHA personalizados en sus aplicaciones cliente. 

Esta API se basa en la amenaza inteligente APIs, que se utiliza para configurar y gestionar la adquisición y el uso de los AWS WAF tokens. Consulte [Especificación de la API de amenazas inteligentes](waf-js-challenge-api-specification.md).

**`AwsWafCaptcha.renderCaptcha(container, configuration)`**  
Presenta un rompecabezas de AWS WAF CAPTCHA al usuario final y, en caso de éxito, actualiza el token del cliente con la validación del CAPTCHA. Esto solo está disponible con la integración de CAPTCHA. Utilice esta llamada junto con la amenaza inteligente APIs para gestionar la recuperación del token e incluir el token en sus llamadas. `fetch` Vea la amenaza inteligente APIs en[Especificación de la API de amenazas inteligentes](waf-js-challenge-api-specification.md).  
A diferencia del CAPTCHA intersticial que se AWS WAF envía, el puzle CAPTCHA renderizado con este método muestra el puzle inmediatamente, sin pantalla de título inicial.     
**`container`**  
El objeto `Element` para el elemento contenedor objetivo de la página. Por lo general, se recupera llamando a `document.getElementById()` o `document.querySelector()`.  
Obligatorio: sí  
Tipo: `Element`  
**configuración**  
Un objeto que contiene los ajustes de configuración de CAPTCHA, de la siguiente manera****:    
**`apiKey`**   
La clave de API cifrada que habilita los permisos para el dominio del cliente. Utilice la consola AWS WAF para generar las claves de API para los dominios de los clientes. Puede utilizar una clave para hasta cinco dominios. Para obtener información, consulte [Administración de las claves de API para la API de JS CAPTCHA](waf-js-captcha-api-key.md).   
Obligatorio: sí  
Tipo: `string`  
**`onSuccess: (wafToken: string) => void;`**   
Se llama con un AWS WAF token válido cuando el usuario final completa correctamente un rompecabezas de CAPTCHA. Utilice el token en las solicitudes que envíe a los puntos finales que proteja con un paquete de AWS WAF protección (ACL web). El token proporciona la prueba y la marca de tiempo de la última vez que se ha completado con éxito el rompecabezas.   
Obligatorio: sí  
**`onError?: (error: CaptchaError) => void;`**   
Se llama con un objeto de error cuando se produce un error durante la operación de CAPTCHA.   
Obligatorio: no  
**Definición de clase `CaptchaError`**: el controlador `onError` proporciona un tipo de error con la siguiente definición de clase.   

```
CaptchaError extends Error {
    kind: "internal_error" | "network_error" | "token_error" | "client_error";
    statusCode?: number;
}
```
+ `kind`: el tipo de error devuelto. 
+ `statusCode`: el código de estado HTTP, si está disponible. Lo utiliza `network_error` si el error se debe a un error HTTP.  
**`onLoad?: () => void;`**   
Se llama cuando se carga un nuevo rompecabezas de CAPTCHA.  
Obligatorio: no  
**`onPuzzleTimeout?: () => void;`**   
Se llama cuando un rompecabezas de CAPTCHA no se completa antes de que caduque.  
Obligatorio: no  
**`onPuzzleCorrect?: () => void;`**   
Se llama cuando se proporciona una respuesta correcta a un rompecabezas de CAPTCHA.  
Obligatorio: no  
**`onPuzzleIncorrect?: () => void;`**   
Se llama cuando se proporciona una respuesta incorrecta a un rompecabezas de CAPTCHA.  
Obligatorio: no  
**`defaultLocale`**   
La configuración regional predeterminada que se utilizará en el rompecabezas de CAPTCHA. Las instrucciones escritas para los rompecabezas de CAPTCHA están disponibles en árabe (ar-SA), chino simplificado (zh-CN), holandés (nl-NL), inglés (en-US), francés (fr-FR), alemán (de-DE), italiano (it-IT), japonés (ja-JP), portugués brasileño (pt-BR), español (es-ES) y turco (tr-TR). Las instrucciones de audio están disponibles en todos los idiomas escritos, excepto en chino y japonés, que por defecto están en inglés. Para cambiar el idioma predeterminado, proporcione el idioma internacional y el código de configuración regional, por ejemplo, `ar-SA`.  
Predeterminado: el idioma que se utiliza actualmente en el navegador del usuario final  
Obligatorio: no  
Tipo: `string`  
**`disableLanguageSelector`**   
Si se establece en `true`, el rompecabezas de CAPTCHA oculta el selector de idioma.   
Valor predeterminado: `false`  
Obligatorio: no  
Tipo: `boolean`  
**`dynamicWidth`**   
Si se establece en `true`, el rompecabezas de CAPTCHA cambia de ancho para que sea compatible con el ancho de la ventana del navegador.   
Valor predeterminado: `false`  
Obligatorio: no  
Tipo: `boolean`  
**`skipTitle`**   
Si se establece en `true`, el rompecabezas de CAPTCHA no mostrará el título del rompecabezas **Resuelva el rompecabezas**.   
Valor predeterminado: `false`  
Obligatorio: no  
Tipo: `boolean`

# Cómo renderizar el rompecabezas de CAPTCHA
<a name="waf-js-captcha-api-render"></a>

En esta sección se incluye un ejemplo de la implementación de `renderCaptcha`.

Puede usar la AWS WAF `renderCaptcha` llamada donde desee en la interfaz de cliente. La llamada recupera un acertijo de CAPTCHA AWS WAF, lo renderiza y envía los resultados para su verificación. AWS WAF Al realizar la llamada, proporciona la configuración de renderización del rompecabezas y las devoluciones de llamadas que desea ejecutar cuando los usuarios finales completen el rompecabezas. Para obtener detalles sobre las opciones, consulte la sección anterior, [Especificación de la API CAPTCHA JavaScript](waf-js-captcha-api-specification.md).

Utilice esta llamada junto con la funcionalidad de administración de tokens de la integración inteligente de amenazas. APIs Esta llamada proporciona a su cliente un token que verifica que ha completado correctamente el rompecabezas de CAPTCHA. Utilice la integración inteligente contra amenazas APIs para gestionar el token y proporcionarlo en las llamadas de sus clientes a los puntos finales que están protegidos con paquetes de AWS WAF protección (web ACLs). Para obtener información sobre la amenaza inteligente APIs, consulte[Uso de la JavaScript API de amenazas inteligentes](waf-js-challenge-api.md).

**Despliegue de ejemplo**  
La siguiente lista de ejemplos muestra una implementación de CAPTCHA estándar, incluida la ubicación de la URL de AWS WAF integración en la `<head>` sección. 

Esta lista configura la `renderCaptcha` función con una llamada de respuesta correcta que utiliza el `AwsWafIntegration.fetch` contenedor de la integración de amenazas inteligentes. APIs Para obtener información acerca de esta función, consulte [Cómo utilizar el contenedor `fetch` de integración](waf-js-challenge-api-fetch-wrapper.md).

```
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>

<script type="text/javascript">
    function showMyCaptcha() {
        var container = document.querySelector("#my-captcha-container");
        
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            ...other configuration parameters as needed...
        });
    }
    
    function captchaExampleSuccessFunction(wafToken) {
        // Captcha completed. wafToken contains a valid WAF token. Store it for
        // use later or call AwsWafIntegration.fetch() to use it easily.
        // It will expire after a time, so calling AwsWafIntegration.getToken()
        // again is advised if the token is needed later on, outside of using the
        // fetch wrapper.
        
        // Use WAF token to access protected resources
        AwsWafIntegration.fetch("...WAF-protected URL...", {
            method: "POST",
            headers: {
                "Content-Type": "application/json",
            },
            body: "{ ... }" /* body content */
        });
    }
    
    function captchaExampleErrorFunction(error) {
        /* Do something with the error */
    }
</script>

<div id="my-captcha-container">
    <!-- The contents of this container will be replaced by the captcha widget -->
</div>
```

**Ejemplo de configuración**  
En la siguiente lista de ejemplos, se muestra la configuración no predeterminada de `renderCaptcha` para las opciones de ancho y título. 

```
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            dynamicWidth: true, 
            skipTitle: true
        });
```

Para obtener información completa acerca de las opciones de configuración, consulte [Especificación de la API CAPTCHA JavaScript](waf-js-captcha-api-specification.md).

# Gestión de una respuesta CAPTCHA de AWS WAF
<a name="waf-js-captcha-api-conditional"></a>

En esta sección se incluye un ejemplo de cómo administrar una respuesta de CAPTCHA.

Una AWS WAF regla con una CAPTCHA acción finaliza la evaluación de una solicitud web coincidente si la solicitud no tiene un token con una marca de tiempo de CAPTCHA válida. Si la solicitud es una `GET` text/html llamada, la CAPTCHA acción presenta al cliente un intersticial con un acertijo de CAPTCHA. Si no integras la JavaScript API de CAPTCHA, el intersticial resuelve el rompecabezas y, si el usuario final lo resuelve correctamente, vuelve a enviar la solicitud automáticamente. 

Al integrar la JavaScript API de CAPTCHA y personalizar el manejo del CAPTCHA, es necesario detectar la respuesta de CAPTCHA que termina, entregar el CAPTCHA personalizado y, a continuación, si el usuario final resuelve el acertijo con éxito, volver a enviar la solicitud web del cliente. 

El siguiente ejemplo de código muestra cómo hacerlo. 

**nota**  
La respuesta de AWS WAF CAPTCHA acción tiene un código de estado HTTP 405, que utilizamos para reconocer la respuesta en este código. CAPTCHA Si su punto de conexión protegido utiliza un código de estado HTTP 405 para comunicar cualquier otro tipo de respuesta para la misma llamada, este código de ejemplo también renderizará un rompecabezas de CAPTCHA para esas respuestas. 

```
<!DOCTYPE html>
<html>
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>
<body>
    <div id="my-captcha-box"></div>
    <div id="my-output-box"></div>

    <script type="text/javascript">
    async function loadData() {
        // Attempt to fetch a resource that's configured to trigger a CAPTCHA
        // action if the rule matches. The CAPTCHA response has status=HTTP 405.
        const result = await AwsWafIntegration.fetch("/protected-resource");

        // If the action was CAPTCHA, render the CAPTCHA and return

        // NOTE: If the endpoint you're calling in the fetch call responds with HTTP 405
        // as an expected response status code, then this check won't be able to tell the
        // difference between that and the CAPTCHA rule action response.

        if (result.status === 405) {
            const container = document.querySelector("#my-captcha-box");
            AwsWafCaptcha.renderCaptcha(container, {
                apiKey: "...API key goes here...",
                onSuccess() {
                    // Try loading again, now that there is a valid CAPTCHA token
                    loadData();
                },
            });
            return;
        }

        const container = document.querySelector("#my-output-box");
        const response = await result.text();
        container.innerHTML = response;
    }

    window.addEventListener("load", () => {
        loadData();
    });
    </script>
</body>
</html>
```

# Administración de las claves de API para la API de JS CAPTCHA
<a name="waf-js-captcha-api-key"></a>

En esta sección, se proporcionan instrucciones para generar y eliminar claves de API.

Para integrar AWS WAF CAPTCHA en una aplicación cliente con la JavaScript API, necesitas la etiqueta de integración de la JavaScript API y la clave de API cifrada del dominio del cliente en el que quieres ejecutar el rompecabezas de CAPTCHA. 

La integración de la aplicación CAPTCHA JavaScript utiliza las claves de API cifradas para comprobar que el dominio de la aplicación cliente tiene permiso para utilizar la API de CAPTCHA. AWS WAF Cuando llamas a la API de CAPTCHA desde tu JavaScript cliente, proporcionas una clave de API con una lista de dominios que incluye un dominio para el cliente actual. Puede enumerar hasta 5 dominios en una sola clave cifrada. 

**Requisitos de la clave de API**  
La clave de API que utilices en su integración de CAPTCHA debe contener un dominio que se aplique al cliente en el que utilice la clave. 
+ Si especifica una `window.awsWafCookieDomainList` en la integración de amenazas inteligentes del cliente, al menos un dominio de la clave de API debe coincidir exactamente con uno de los dominios de token en `window.awsWafCookieDomainList` o debe ser el dominio de ápex de uno de esos dominios de token. 

  Por ejemplo, para el dominio de token `mySubdomain.myApex.com`, la clave de API `mySubdomain.myApex.com` coincide exactamente y la clave de API `myApex.com` es el dominio de ápex. Cualquiera de las claves coincide con el dominio de token. 

  Para obtener información sobre la configuración de la lista de dominios de tokens, consulte [Suministro de dominios para su uso en los tokens](waf-js-challenge-api-set-token-domain.md).
+ De lo contrario, el dominio actual debe estar incluido en la clave de API. El dominio actual es el dominio que puede ver en la barra de direcciones del navegador. 

Los dominios que utilices deben ser los que AWS WAF acepten, según el dominio host protegido y la lista de dominios simbólicos configurada para la ACL web. Para obtener más información, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists).

**Cómo elegir la región para la clave de API**  
AWS WAF puede generar claves de API de CAPTCHA en cualquier región en la que estén AWS WAF disponibles. 

Como regla general, debería usar la misma región para su clave de API de CAPTCHA que usa para su paquete de protección (ACL web). Sin embargo, si espera que un paquete de protección regional (ACL web) llegue a todo el mundo, puede obtener una etiqueta de JavaScript integración CAPTCHA específica CloudFront y una clave de API específica CloudFront, y utilizarlas con un paquete de protección regional (ACL web). Este enfoque permite a los clientes cargar una prueba CAPTCHA desde la región más cercana a ellos, lo que reduce la latencia. 

Las claves de API de CAPTCHA que están dirigidas a otras regiones no se admiten para su uso en CloudFront varias regiones. Solo se pueden usar en la región que las abarquen. 

**Cómo generar una clave de API para los dominios de sus clientes**  
Para obtener la URL de integración y generar y recuperar las claves de API a través de la consola. 

1. [Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala en homev2. https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/homev2) 

1. En el panel de navegación, elija **Integración de la aplicación**. 

1. En el panel de **paquetes de protección (web ACLs) que están habilitados para la integración de aplicaciones**, seleccione la región que desee usar como clave de API. También puede seleccionar la región en el panel de **claves de API** de la pestaña de **integración con CAPTCHA**.

1. Seleccione la pestaña **Integración de CAPTCHA**. Esta pestaña proporciona la etiqueta de JavaScript integración CAPTCHA, que puede usar en la integración, y la lista de claves de API. Ambos los abarca la región seleccionada.

1. En el panel de **Claves de API**, seleccione **Generar claves**. Aparecerá el cuadro de diálogo de generación de claves. 

1. Introduzca los dominios de cliente que desee incluir en la clave. Puede especificar una máximo de 5. Cuando haya terminado, elija **Generar clave**. La interfaz vuelve a la pestaña de integración de CAPTCHA, donde aparece la nueva clave. 

   Una vez creada, la clave de API es inmutable. Si necesita realizar cambios en una clave, genere una nueva clave y úsela en su lugar. 

1. (Opcional) Copia la clave recién generada para usarla en la integración. 

También puedes usar el REST APIs o uno de los idiomas específicos para este trabajo AWS SDKs . [Las llamadas a la API REST son [Create APIKey y List](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateAPIKey.html). APIKeys](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListAPIKeys.html) 

**Eliminación de una clave de API**  
Para eliminar una clave de API, debes usar la API REST o uno de los idiomas específicos AWS SDKs. La llamada a la API REST es [Eliminar APIKey](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteAPIKey.html). No puede utilizar la consola para eliminar una clave. 

Después de eliminar una clave, pueden pasar hasta 24 horas AWS WAF hasta que no se permita su uso en todas las regiones. 

# AWS WAF integración de aplicaciones móviles
<a name="waf-mobile-sdk"></a>

En esta sección se presenta el tema del uso del AWS WAF dispositivo móvil SDKs para implementar la integración AWS WAF SDKs inteligente de amenazas en aplicaciones móviles y de TV de Android e iOS. En cuanto a las aplicaciones de TV, SDKs son compatibles con las principales plataformas de televisión inteligente, incluidas Android TV y Apple TV.
+ En el caso de las aplicaciones móviles y de TV con Android, SDKs funcionan con la API de Android versión 23 (Android versión 6) y versiones posteriores. Para obtener información sobre las versiones de Android, consulte las [Notas de versión de la plataforma SDK](https://developer.android.com/tools/releases/platforms).
+ En el caso de las aplicaciones móviles de iOS, SDKs funcionan para la versión 13 de iOS y versiones posteriores. Para obtener información sobre las versiones de iOS, consulte las [notas de la versión de iOS y iPadOS](https://developer.apple.com/documentation/ios-ipados-release-notes).
+ Para las aplicaciones de Apple TV, SDKs funcionan para tvOS versión 14 o posterior. Para obtener información sobre las versiones de tvOS, consulte [Notas de lanzamiento de tvOS](https://developer.apple.com/documentation/tvos-release-notes).

Con el AWS WAF SDK móvil, puedes gestionar la autorización de los tokens e incluir los tokens en las solicitudes que envíes a tus recursos protegidos. Al utilizar el SDKs, se asegura de que estas llamadas a procedimientos remotos realizadas por su cliente contengan un token válido. Además, cuando esta integración esté instalada en las páginas de su aplicación, podrá implementar reglas de mitigación en su paquete de protección (ACL web), como bloquear las solicitudes que no contengan un token válido.

Para acceder al móvil SDKs, póngase en contacto con el servicio de asistencia en [Contact AWS](https://aws.amazon.com/contact-us).

**nota**  
Los AWS WAF dispositivos móviles SDKs no están disponibles para la personalización de CAPTCHA.

El enfoque básico para usar el SDK consiste en crear un proveedor de fichas mediante un objeto de configuración y, a continuación, utilizar el proveedor de fichas para recuperar las fichas. AWS WAF De forma predeterminada, el proveedor de tokens incluye los tokens recuperados en sus solicitudes web para su recurso protegido. 

La siguiente es una lista parcial de la implementación de un SDK, en la que se muestran los componentes principales. Para obtener más ejemplos más detallados, consulte [Ejemplos de código para el SDK AWS WAF móvil](waf-mobile-sdk-coding-examples.md).

------
#### [ iOS ]

```
let url: URL = URL(string: "protection pack (web ACL) integration URL")!
	let configuration = WAFConfiguration(applicationIntegrationUrl: url, domainName: "Domain name")
	let tokenProvider = WAFTokenProvider(configuration)
	let token = tokenProvider.getToken()
```

------
#### [ Android ]

```
URL applicationIntegrationURL = new URL("protection pack (web ACL) integration URL");
	String domainName = "Domain name";
	WAFConfiguration configuration = WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL).domainName(domainName).build();
	WAFTokenProvider tokenProvider = new WAFTokenProvider(Application context, configuration);
	WAFToken token = tokenProvider.getToken();
```

------

# Instalación del SDK AWS WAF móvil
<a name="waf-mobile-sdk-installing"></a>

En esta sección se proporcionan instrucciones para instalar el SDK AWS WAF móvil.

Para acceder al dispositivo móvil SDKs, ponte en contacto con el servicio de asistencia en [Contact AWS](https://aws.amazon.com/contact-us).

Implemente SDK para móviles primero en un entorno de prueba y, después, en producción.

**Para instalar el SDK AWS WAF móvil**

1. Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, elija **Integración de la aplicación**. 

1. En la pestaña **Integraciones de amenazas inteligentes**, haga lo siguiente: 

   1. En el panel de **paquetes de protección (web ACLs) que están habilitados para la integración de aplicaciones**, localice el paquete de protección (ACL web) con el que se está integrando. Copie y guarde la URL de integración del paquete de protección (ACL web) para utilizarla en la implementación. También puede obtener esta URL a través de la llamada a la API `GetWebACL`.

   1. Elija el tipo y la versión del dispositivo móvil y, a continuación, seleccione **Descargar**. Puede elegir la versión que desee, pero le recomendamos que utilice la versión más reciente. AWS WAF descarga el `zip` archivo para su dispositivo en su ubicación de descarga estándar.

1. En su entorno de desarrollo de aplicaciones, descomprima el archivo en la ubicación de trabajo que elija. En el directorio de nivel superior del archivo zip, busque y abra el `README`. Sigue las instrucciones del `README` archivo para instalar el SDK AWS WAF móvil y usarlo en el código de tu aplicación móvil. 

1. Programe la aplicación de acuerdo con las instrucciones que se detallan en las siguientes secciones.

# AWS WAF especificación de SDK móvil
<a name="waf-mobile-sdk-specification"></a>

En esta sección, se enumeran los objetos, las operaciones y los ajustes de configuración del SDK para la última versión disponible del SDK para móviles de AWS WAF . Para obtener información detallada sobre cómo funcionan el proveedor de tokens y las operaciones para las distintas combinaciones de ajustes de configuración, consulte [Cómo funciona el SDK AWS WAF móvil](waf-mobile-sdk-how-it-works.md). 

**`WAFToken`**  
Contiene un AWS WAF token.    
**`getValue()`**  
Recupera la representación `String` del valor `WAFToken`. 

**`WAFTokenProvider`**  
Administra los tokens en su aplicación para móviles. Implemente esto usando un objeto `WAFConfiguration`.    
**`getToken()`**  
Si la actualización en segundo plano está habilitada, devuelve el token almacenado en caché. Si la actualización en segundo plano está desactivada, se realiza una llamada síncrona y bloqueante AWS WAF a para recuperar un nuevo token.   
**`loadTokenIntoProvider(WAFToken)`**  
Carga el token especificado en el`WAFTokenProvider`, reemplazando cualquier token que el proveedor administraba. El proveedor de tokens toma posesión del token nuevo y continúa administrando su actualización. Esta operación también actualiza el token en el almacén de cookies si `setTokenCookie` está habilitado en el `WAFConfiguration`.  
**`onTokenReady(WAFTokenResultCallback)`**  
Indica al proveedor de tokens que actualice el token e invoque la devolución de llamada proporcionada cuando haya un token activo listo. El proveedor de tokens invocará la devolución de llamada en un hilo en segundo plano cuando el token esté en caché y esté listo. Llame a esto cuando la aplicación se cargue por primera vez y también cuando vuelva a un estado activo. Para obtener más información sobre cómo volver a un estado activo, consulte [Recuperación de un token tras la inactividad de la aplicación](waf-mobile-sdk-how-it-works.md#waf-mobile-sdk-how-back-from-inactive).   
Para las aplicaciones de Android o iOS, puede configurar `WAFTokenResultCallback` en la operación que desee que el proveedor de tokens invoque cuando el token solicitado esté listo. Su implementación de `WAFTokenResultCallback` debe tomar los parámetros `WAFToken`, `SdkError`. Para las aplicaciones de iOS, también puede crear una función en línea.   
**`storeTokenInCookieStorage(WAFToken)`**  
Le indica `WAFTokenProvider` que almacene el AWS WAF token especificado en el administrador de cookies del SDK. De forma predeterminada, el token solo se agrega al almacén de cookies cuando se adquiere por primera vez y cuando se actualiza. Si la aplicación borra el almacén de cookies compartido por cualquier motivo, el SDK no volverá a añadir el AWS WAF token automáticamente hasta la próxima actualización. 

**`WAFConfiguration`**  
Contiene la configuración para la implementación de `WAFTokenProvider`. Al implementar esto, debe proporcionar la URL de integración del paquete de protección (ACL web), el nombre de dominio que usará en el token y cualquier configuración no predeterminada que desee que use el proveedor de tokens.   
La siguiente lista especifica los ajustes de configuración que puede administrar en el objeto `WAFConfiguration`.    
**`applicationIntegrationUrl`**   
La URL de integración de aplicaciones. Consíguelo desde la AWS WAF consola o mediante una llamada a la `getWebACL` API.  
Obligatorio: sí  
Tipo: URL específica de la aplicación. Para iOS, consulte [URL de iOS](https://developer.apple.com/documentation/foundation/url). Para Android, consulte [URL java.net](https://docs.oracle.com/javase/7/docs/api/java/net/URL.html).   
**`backgroundRefreshEnabled`**   
Indica si desea que el proveedor de tokens actualice el token en segundo plano. Si lo establece, el proveedor de tokens los actualiza en segundo plano de acuerdo con los ajustes de configuración que rigen las actividades de actualización automática de los tokens.   
Obligatorio: no  
Tipo: `Boolean`  
Valor predeterminado: `TRUE`  
**`domainName`**   
El dominio que se utilizará en el token, que se utiliza para la adquisición de tokens y el almacenamiento de cookies. Por ejemplo, `example.com` o `aws.amazon.com`. Por lo general, este es el dominio host del recurso asociado con el paquete de protección (ACL web), hacia el cual enviará solicitudes web. En el caso del grupo de reglas administradas de la ACFP, `AWSManagedRulesACFPRuleSet`, este suele ser un dominio único que coincide con el dominio de la ruta de creación de cuentas que proporcionó en la configuración del grupo de reglas. En el caso del grupo de reglas administradas de ATP, `AWSManagedRulesATPRuleSet`, este suele ser un dominio único que coincide con el dominio de la ruta de inicio de sesión que proporcionó en la configuración del grupo de reglas.   
No se admiten sufijos públicos. Por ejemplo, no puede usar `gov.au` o `co.uk` como dominio de token.  
El dominio debe ser uno que AWS WAF lo acepte, según el dominio host protegido y la lista de dominios simbólicos del paquete de protección (ACL web). Para obtener más información, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists).  
Obligatorio: sí  
Tipo: `String`   
**`maxErrorTokenRefreshDelayMsec`**   
El tiempo máximo en milisegundos para esperar antes de repetir una actualización del token después de un intento fallido. En cada reintento automático tras un intento fallido, se añade un retroceso exponencial hasta alcanzar el tiempo de demora especificado. Este valor se utiliza cuando la recuperación del token ha fallado y se ha vuelto a intentar `maxRetryCount` veces.   
Obligatorio: no  
Tipo: `Integer`  
Valor predeterminado: `5000` (5 segundos)  
Valor mínimo permitido: `1` (1 milisegundo)  
Valor máximo permitido: `30000` (30 segundos)  
**`maxRetryCount`**   
El número máximo de reintentos que se pueden realizar con un retroceso exponencial cuando se solicita un token.   
Obligatorio: no  
Tipo: `Integer`  
Valor predeterminado: `Infinity`  
Valor mínimo permitido: `0`  
Valor máximo permitido: `100`  
**`setTokenCookie`**   
Indica si desea que el administrador de cookies del SDK agregue una cookie de token en las solicitudes y en otras áreas.   
Con un valor `TRUE`:   
+ El administrador de cookies agrega una cookie de token a todas las solicitudes cuya ruta esté bajo la ruta especificada en `tokenCookiePath`. 
+ La operación `WAFTokenProvider` `loadTokenIntoProvider()` actualiza el token en el almacén de cookies, además de cargarlo en el proveedor de tokens.
Obligatorio: no  
Tipo: `Boolean`  
Valor predeterminado: `TRUE`  
**`tokenCookiePath`**   
Se usa cuando `setTokenCookie` es `TRUE`. Indica la ruta de nivel superior en la que desea que el gestor de cookies del SDK añada una cookie de token. El administrador agrega una cookie de token a todas las solicitudes que envíe a esta ruta y a todas las rutas secundarias.   
Por ejemplo, si lo establece en `/web/login`, el administrador incluirá la cookie de token para todo lo que se envíe a `/web/login` y para cualquiera de sus rutas secundarias, como `/web/login/help`. No incluye el token para las solicitudes enviadas a otras rutas, como `/`, `/web` o `/web/order`.   
Obligatorio: no  
Tipo: `String`  
Valor predeterminado: `/`  
**`tokenRefreshDelaySec`**   
Se utiliza para la actualización en segundo plano. La cantidad máxima de tiempo en segundos entre las actualizaciones del token en segundo plano.  
Obligatorio: no  
Tipo: `Integer`  
Valor predeterminado: `88`  
Valor mínimo permitido: `88`  
Valor máximo permitido: `300` (5 minutos)

## AWS WAF errores del SDK móvil
<a name="waf-mobile-sdk-errors"></a>

En esta sección se enumeran los posibles errores de la versión actual del SDK AWS WAF móvil.

**`SdkError`**  
El tipo de error que se devuelve cuando falla la obtención de un token. Los SDK de Android y iOS tienen los mismos tipos de errores.  
El SDK AWS WAF móvil tiene los siguientes tipos de errores:    
**`invalidChallenge`**  
Este error se devuelve cuando el servidor de tokens devuelve datos de desafío no válidos o cuando un atacante altera la respuesta.  
**`errorInvokingGetChallengeEndpoint`**  
Este error se devuelve cuando el servidor de tokens envía un código de respuesta no exitoso al cliente o cuando ocurre un error de red.  
**`invalidVerifyChallengeResponse`**  
Este error se devuelve cuando se produce un error al recuperar la respuesta `aws-waf-token` de verificación del AWS WAF servidor o se ha manipulado la respuesta del servidor.  
**`errorInvokingVerifyEndpoint`**  
Este error se devuelve cuando el cliente recibe una mala respuesta del AWS WAF servidor o un error de red al verificar el problema resuelto.  
**`internalError`**  
Este error se devuelve ante cualquier otro error que pueda ocurrir dentro del propio SDK.

**`socketTimeoutException`**  
Este error se devuelve con frecuencia cuando ocurren errores de red durante la obtención del token.  
Este error puede deberse a lo siguiente:  
+ Bajo ancho de banda de la red: confirme la configuración de conectividad de red.
+ URL de integración de aplicaciones mutada: confirme que la URL de integración no se ha modificado con respecto a la que aparece en la consola AWS WAF 

# Cómo funciona el SDK AWS WAF móvil
<a name="waf-mobile-sdk-how-it-works"></a>

En esta sección se explica cómo funcionan juntas las clases, propiedades y operaciones del SDK AWS WAF móvil.

Los dispositivos móviles te SDKs proporcionan un proveedor de tokens configurable que puedes usar para recuperar y usar los tokens. El proveedor de los tokens verifica que las solicitudes que permita procedan de clientes legítimos. Cuando envías solicitudes a los AWS recursos con los que proteges AWS WAF, incluyes el token en una cookie para validar la solicitud. Puede gestionar la cookie de token manualmente o dejar que el proveedor de tokens lo haga por usted.

En esta sección se describen las interacciones entre las clases, las propiedades y los métodos que se incluyen en el SDK para móviles. Para obtener información sobre la especificación del SDK, consulte [AWS WAF especificación de SDK móvil](waf-mobile-sdk-specification.md). 

## Recuperación de tokens y almacenamiento en caché
<a name="waf-mobile-sdk-how-token-basics"></a>

Cuando crea la instancia del proveedor de tokens en su aplicación para móviles, configura la forma en que quiere que administre los tokens y su recuperación. Su principal opción es cómo mantener los tokens válidos y vigentes para usarlos en las solicitudes web de su aplicación:
+ **Actualización en segundo plano habilitada** Es el valor predeterminado. El proveedor del token actualiza automáticamente el token en segundo plano y lo guarda en caché. Con la actualización en segundo plano habilitada, cuando llama `getToken()`, la operación recupera el token almacenado en caché. 

  El proveedor de tokens actualiza el token a intervalos configurables, de modo que siempre haya un token vigente en la memoria caché mientras la aplicación esté activa. La actualización en segundo plano se detiene mientras la aplicación está inactiva. Para obtener información acerca de este tema, consulte [Recuperación de un token tras la inactividad de la aplicación](#waf-mobile-sdk-how-back-from-inactive).
+ **Actualización en segundo plano desactivada**: puede deshabilitar la actualización de los tokens en segundo plano y, a continuación, recuperarlos solo cuando lo solicite. Los tokens recuperados bajo demanda no se almacenan en caché y, si lo desea, puede recuperar más de uno. Cada token es independiente de los demás que recupere y cada uno tiene su propia marca de tiempo que se utiliza para calcular el vencimiento.

  Dispone de las siguientes opciones para recuperar el token cuando la actualización en segundo plano está desactivada: 
  + **`getToken()`**— Cuando llamas `getToken()` con la actualización en segundo plano desactivada, la llamada recupera un nuevo token de forma sincrónica. AWS WAF Se trata de una llamada que puede bloquear y que podría afectar a la capacidad de respuesta de la aplicación si se invoca en el subproceso principal. 
  + **`onTokenReady(WAFTokenResultCallback)`**: esta llamada recupera de forma asíncrona un nuevo token y, a continuación, invoca la devolución de llamada resultante proporcionada en un hilo en segundo plano cuando el token está listo. 

### Cómo reintenta el proveedor de tokens las recuperaciones de tokens fallidas
<a name="waf-mobile-sdk-how-token-retrieval-retries"></a>

El proveedor de tokens vuelve a intentar recuperar el token automáticamente cuando se produce un error en la recuperación. Los reintentos se realizan inicialmente mediante un retroceso exponencial con un tiempo de espera de reintento inicial de 100 ms. Para obtener información acerca de las recuperaciones exponenciales, consulte [Reintentos de error y retroceso exponencial en AWS](https://docs.aws.amazon.com/general/latest/gr/api-retries.html).

Cuando el número de reintentos alcanza el valor `maxRetryCount` configurado, el proveedor de tokens deja de intentarlo o pasa a intentarlo cada `maxErrorTokenRefreshDelayMsec` milisegundos, según el tipo de recuperación del token: 
+ **`onTokenReady()`**: el proveedor de tokens pasa a esperar `maxErrorTokenRefreshDelayMsec` milisegundos entre intentos y continúa intentando recuperar el token. 
+ **Actualización en segundo plano**: el proveedor del token pasa a esperar `maxErrorTokenRefreshDelayMsec` milisegundos entre intentos y continúa intentando recuperar el token. 
+ **Llamadas `getToken()` bajo demanda, cuando la actualización en segundo plano está desactivada**: el proveedor de tokens deja de intentar recuperar un token y devuelve el valor del token anterior o un valor nulo si no hay ningún token anterior. 

## Escenarios de reintento de recuperación de tokens
<a name="waf-mobile-sdk-how-token-retrieval-retry-scenarios"></a>

Cuando el proveedor de tokens intenta recuperar un token, puede producir reintentos automáticos según el punto del flujo de recuperación de tokens en el que falle la operación. En esta sección, se enumeran los posibles puntos donde podría ver un reintento automático.
+ **Obtener o verificar el AWS WAF desafío a través de /inputs o /verify:**
  + Cuando se realiza una solicitud para obtener y verificar una AWS WAF impugnación y no se cumple, puede producirse un reintento automático.
  + Puede ver reintentos automáticos junto con un erro `socketTimeoutException`. Esto puede deberse a causas como las siguientes:
    + Bajo ancho de banda de la red: confirme la configuración de conectividad de red.
    + URL de integración de aplicaciones mutada: confirme que la URL de integración no se ha modificado con respecto a la que aparece en la consola AWS WAF 
  + La cantidad de reintentos automáticos se puede configurar mediante la función `maxRetryCount()`
+ **Actualización del token:**
  + Cuando una solicitud para actualizar el token se realiza mediante el manejador de tokens, puede producir reintentos automáticos.
  + La cantidad de reintentos automáticos aquí también se configura mediante la función `maxRetryCount()`.

Es posible una configuración sin reintentos automáticos si establece `maxRetryCount(0)`.

## Tiempo de inmunidad del token y actualización en segundo plano
<a name="waf-mobile-sdk-how-token-immunity"></a>

El tiempo de inmunidad de los tokens que configure en la ACL web es independiente del intervalo de actualización del token que establezca en el SDK AWS WAF móvil. Cuando habilita la actualización en segundo plano, el SDK actualiza el token en el intervalo que especifique mediante `tokenRefreshDelaySec()`. Esto puede generar varios tokens válidos de forma simultánea, según su tiempo de inmunidad configurado.

Para evitar múltiples tokens válidos, puede deshabilitar la actualización en segundo plano y usar la función `getToken()` para administrar el ciclo de vida del token en su aplicación móvil.

## Recuperación de un token tras la inactividad de la aplicación
<a name="waf-mobile-sdk-how-back-from-inactive"></a>

La actualización en segundo plano solo se realiza mientras la aplicación se considera activa para el tipo de aplicación: 
+ **iOS**: la actualización en segundo plano se realiza cuando la aplicación está en primer plano.
+ **Android**: la actualización en segundo plano se realiza cuando la aplicación no está cerrada, ya sea en primer plano o en segundo plano.

Si la aplicación permanece en un estado que no admite la actualización en segundo plano durante más de los `tokenRefreshDelaySec` segundos configurados, el proveedor de tokens detiene la actualización en segundo plano. Por ejemplo, en el caso de una aplicación de iOS, si `tokenRefreshDelaySec` es 300 y la aplicación se cierra o pasa a segundo plano durante más de 300 segundos, el proveedor de tokens deja de actualizar el token. Cuando la aplicación vuelve a un estado activo, el proveedor de tokens reinicia automáticamente la actualización en segundo plano. 

Cuando su aplicación vuelva a estar activa, llame a `onTokenReady()` para recibir una notificación cuando el proveedor de tokens recupere y almacene en caché un nuevo token. No se limite a llamar a `getToken()`, porque la caché podría no contener un token actual y válido. 

## URL de integración de la aplicación
<a name="waf-mobile-sdk-application-integration-url"></a>

La URL de integración de aplicaciones del SDK AWS WAF móvil apunta a una ACL web que ha activado para la integración de aplicaciones. Esta URL enruta las solicitudes al servidor backend correcto y las asocia con su cliente. No funciona como un control de seguridad estricto, por lo que exponer una URL de integración no representa un riesgo de seguridad.

Puede modificar técnicamente la URL de integración proporcionada y aun así obtener un token. Sin embargo, no lo recomendamos porque podría perder visibilidad de las tasas de resolución de desafíos o encontrar fallas en la obtención de tokens con errores de `socketTimeoutException`.

## Dependencias
<a name="waf-mobile-sdk-dependencies"></a>

Cada SDK AWS WAF móvil descargable incluye un archivo README en el que se enumeran las dependencias de su versión específica del SDK. Consulte el README para conocer las dependencias de su versión del SDK móvil.

## ProGuard Ofuscation/ (solo para el SDK de Android)
<a name="waf-mobile-sdk-obfuscation"></a>

Si utilizas un producto de ofuscación o minificación ProGuard, es posible que tengas que excluir algunos espacios de nombres para garantizar que el SDK móvil funcione correctamente. Consulte el README de su versión del SDK móvil para ver la lista de espacios de nombres y reglas de exclusión.

# Ejemplos de código para el SDK AWS WAF móvil
<a name="waf-mobile-sdk-coding-examples"></a>

Esta sección se brinda ejemplos de códigos para usar el SDK para móviles. 

## Inicialización del proveedor de tokens y obtención de tokens
<a name="waf-mobile-sdk-coding-basic"></a>

La instancia del proveedor de tokens se inicia mediante un objeto de configuración. A continuación, puede recuperar los tokens mediante las operaciones disponibles. Se indican a continuación los componentes básicos del código exigido.

------
#### [ iOS ]

```
let url: URL = URL(string: "protection pack (web ACL) integration URL")!
let configuration = WAFConfiguration(applicationIntegrationUrl: url, domainName: "Domain name")
let tokenProvider = WAFTokenProvider(configuration)

//onTokenReady can be add as an observer for UIApplication.willEnterForegroundNotification
self.tokenProvider.onTokenReady() { token, error in
	if let token = token {
	//token available
	}

	if let error = error {
	//error occurred after exhausting all retries
	}
}

//getToken()
let token = tokenProvider.getToken()
```

------
#### [ Android ]

Ejemplo de Java:

```
String applicationIntegrationURL = "protection pack (web ACL) integration URL";
//Or
URL applicationIntegrationURL = new URL("protection pack (web ACL) integration URL");

String domainName = "Domain name";

WAFConfiguration configuration = WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL).domainName(domainName).build();
WAFTokenProvider tokenProvider = new WAFTokenProvider(Application context, configuration);

// implement a token result callback
WAFTokenResultCallback callback = (wafToken, error) -> {
	if (wafToken != null) {
	// token available
	} else {  
	// error occurred in token refresh  
	}
};

// Add this callback to application creation or activity creation where token will be used
tokenProvider.onTokenReady(callback);

// Once you have token in token result callback
// if background refresh is enabled you can call getToken() from same tokenprovider object
// if background refresh is disabled you can directly call getToken()(blocking call) for new token
WAFToken token = tokenProvider.getToken();
```

Ejemplo de Kotlin:

```
import com.amazonaws.waf.mobilesdk.token.WAFConfiguration
import com.amazonaws.waf.mobilesdk.token.WAFTokenProvider

private lateinit var wafConfiguration: WAFConfiguration
private lateinit var wafTokenProvider: WAFTokenProvider

private val WAF_INTEGRATION_URL = "protection pack (web ACL) integration URL"
private val WAF_DOMAIN_NAME = "Domain name"

fun initWaf() {
	// Initialize the tokenprovider instance
	val applicationIntegrationURL = URL(WAF_INTEGRATION_URL)
	wafConfiguration =
		WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL)
			.domainName(WAF_DOMAIN_NAME).backgroundRefreshEnabled(true).build()
	wafTokenProvider = WAFTokenProvider(getApplication(), wafConfiguration)
	
		// getToken from tokenprovider object
		println("WAF: "+ wafTokenProvider.token.value)
	
		// implement callback for where token will be used
		wafTokenProvider.onTokenReady {
			wafToken, sdkError ->
		run {
			println("WAF Token:" + wafToken.value)
		}
	}
}
```

------

## Permisión de que el SDK proporcione la cookie de token en sus solicitudes HTTP
<a name="waf-mobile-sdk-coding-auto-token-cookie"></a>

Si `setTokenCookie` es `TRUE`, el proveedor de tokens incluye la cookie de token para usted en sus solicitudes web en todas las ubicaciones de la ruta especificada en `tokenCookiePath`. De forma predeterminada, `setTokenCookie` es `TRUE` y `tokenCookiePath` es `/`. 

Puede limitar el alcance de las solicitudes que incluyen una cookie de token especificando la ruta de la cookie de token, por ejemplo, `/web/login`. Si lo haces, comprueba que tus AWS WAF reglas no inspeccionen los tokens en las solicitudes que envíes a otras rutas. Cuando usa el grupo de reglas de `AWSManagedRulesACFPRuleSet`, configura las rutas de registro y creación de cuentas, y el grupo de reglas comprueba si hay tokens en las solicitudes que se envían a esas rutas. Para obtener más información, consulte [Adición del grupo de reglas administradas por ACFP a la nueva ACL web](waf-acfp-rg-using.md). Igualmente, al usar el grupo de reglas de `AWSManagedRulesATPRuleSet`, configure la ruta de inicio de sesión, y el grupo de reglas comprueba si hay tokens en las solicitudes que se envían a esa ruta. Para obtener más información, consulte [Adición del grupo de reglas administradas por ATP al paquete de protección (ACL web)](waf-atp-rg-using.md). 

------
#### [ iOS ]

Cuando `setTokenCookie` es `TRUE` así, el proveedor del token almacena el AWS WAF token en un `HTTPCookieStorage.shared` e incluye automáticamente la cookie en las solicitudes al dominio que especificaste`WAFConfiguration`.

```
let request = URLRequest(url: URL(string: domainEndpointUrl)!)
//The token cookie is set automatically as cookie header
let task = URLSession.shared.dataTask(with: request) { data, urlResponse, error  in
}.resume()
```

------
#### [ Android ]

Cuando `setTokenCookie` es`TRUE`, el proveedor del token almacena el AWS WAF token en una `CookieHandler` instancia que se comparte en toda la aplicación. Cuando el proveedor de tokens incluye automáticamente la cookie en las solicitudes al dominio que especificó en `WAFConfiguration`.

Ejemplo de Java:

```
URL url = new URL("Domain name");
//The token cookie is set automatically as cookie header
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
connection.getResponseCode();
```

Ejemplo de Kotlin:

```
val url = URL("Domain name")
//The token cookie is set automatically as cookie header
val connection = (url.openConnection() as HttpsURLConnection)
connection.responseCode
```

Si ya tiene inicializada la instancia predeterminada `CookieHandler`, el proveedor de tokens la usará para administrar las cookies. De lo contrario, el proveedor del token inicializará una nueva `CookieManager` instancia con el AWS WAF token `CookiePolicy.ACCEPT_ORIGINAL_SERVER` y, a continuación, establecerá esta nueva instancia como la instancia predeterminada en`CookieHandler`.

El siguiente código muestra cómo el SDK inicializa el administrador de cookies y el controlador de cookies cuando no están disponibles en su aplicación. 

Ejemplo de Java:

```
CookieManager cookieManager = (CookieManager) CookieHandler.getDefault();
if (cookieManager == null) {
	// Cookie manager is initialized with CookiePolicy.ACCEPT_ORIGINAL_SERVER
	cookieManager = new CookieManager();
	CookieHandler.setDefault(cookieManager);
}
```

Ejemplo de Kotlin:

```
var cookieManager = CookieHandler.getDefault() as? CookieManager
if (cookieManager == null) {
	// Cookie manager is initialized with CookiePolicy.ACCEPT_ORIGINAL_SERVER
	cookieManager = CookieManager()
	CookieHandler.setDefault(cookieManager)
}
```

------

## Suministro manual de la cookie de token en sus solicitudes HTTP
<a name="waf-mobile-sdk-coding-manual-token-cookie"></a>

Si configura `setTokenCookie` en `FALSE`, tendrá que proporcionar la cookie de token manualmente, como encabezado de solicitud HTTP de cookie, en las solicitudes que envíe a su punto de conexión protegido. El siguiente código muestra cómo hacerlo.

------
#### [ iOS ]

```
var request = URLRequest(url: wafProtectedEndpoint)
request.setValue("aws-waf-token=token from token provider", forHTTPHeaderField: "Cookie")
request.httpShouldHandleCookies = true
URLSession.shared.dataTask(with: request) { data, response, error in }
```

------
#### [ Android ]

Ejemplo de Java:

```
URL url = new URL("Domain name");
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
String wafTokenCookie = "aws-waf-token=token from token provider";
connection.setRequestProperty("Cookie", wafTokenCookie);
connection.getInputStream();
```

Ejemplo de Kotlin:

```
val url = URL("Domain name")
val connection = (url.openConnection() as HttpsURLConnection)
val wafTokenCookie = "aws-waf-token=token from token provider"
connection.setRequestProperty("Cookie", wafTokenCookie)
connection.inputStream
```

------

# CAPTCHAy Challenge en AWS WAF
<a name="waf-captcha-and-challenge"></a>

En esta sección se explica cómo CAPTCHA y cómo Challenge trabajar con AWS WAF.

Puedes configurar tus AWS WAF reglas para ejecutar una solicitud web CAPTCHA o una Challenge acción contra ellas que coincidan con los criterios de inspección de tu regla. También puedes programar tus aplicaciones JavaScript cliente para que ejecuten acertijos de CAPTCHA y desafíos del navegador de forma local. 

Los rompecabezas de CAPTCHA y los desafíos silenciosos solo se pueden ejecutar cuando los navegadores acceden a los puntos de conexión HTTPS. Los clientes del navegador deben ejecutarse en contextos seguros para poder adquirir los tókenes. 
+ **CAPTCHA**: requiere que el usuario final resuelva un rompecabezas de CAPTCHA para demostrar que un ser humano envía la solicitud. Los rompecabezas de CAPTCHA están pensados para que los humanos los puedan completar con bastante facilidad y rapidez, mientras que, para las computadoras, sean difíciles de completar con éxito o de forma aleatoria con una tasa de éxito significativa. 

  En las reglas del paquete de protección (ACL web) el CAPTCHA se suele utilizar cuando una acción Block podría detener demasiadas solicitudes legítimas, pero dejar pasar todo el tráfico se traduciría en niveles inaceptablemente altos de solicitudes no deseadas, como las procedentes de bots. Para obtener información sobre el comportamiento de las acciones de las reglas, consulte [Cómo funcionan las acciones de regla CAPTCHA y Challenge de AWS WAF](waf-captcha-and-challenge-how-it-works.md).

  También puede programar la implementación de un rompecabezas CAPTCHA en la integración de su aplicación cliente. APIs Al hacer esto, puede personalizar el comportamiento y la ubicación del rompecabezas en la aplicación cliente. Para obtener más información, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). 
+ **Challenge**: ejecuta un desafío silencioso que requiere que la sesión del cliente verifique que se trata de un navegador y no de un bot. La verificación se ejecuta en segundo plano sin la participación del usuario final. Esta es una buena opción para verificar los clientes de los que se sospecha que no son válidos sin que ello repercuta negativamente en la experiencia del usuario final mediante un rompecabezas de CAPTCHA. Para obtener información sobre el comportamiento de las acciones de las reglas, consulte [Cómo funcionan las acciones de regla CAPTCHA y Challenge de AWS WAF](waf-captcha-and-challenge-how-it-works.md).

  La acción de la Challenge regla es similar al desafío que supone la integración de amenazas inteligentes en el cliente APIs, que se describe en. [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md)

**nota**  
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

Para obtener descripciones de todas opciones de acción de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md). 

**Topics**
+ [

# AWS WAF Rompecabezas CAPTCHA
](waf-captcha-puzzle.md)
+ [

# Cómo funcionan las acciones de regla CAPTCHA y Challenge de AWS WAF
](waf-captcha-and-challenge-how-it-works.md)
+ [

# Prácticas recomendadas para usar las acciones CAPTCHA y Challenge
](waf-captcha-and-challenge-best-practices.md)

# AWS WAF Rompecabezas CAPTCHA
<a name="waf-captcha-puzzle"></a>

En esta sección se explican las características y la funcionalidad del rompecabezas AWS WAF CAPTCHA.

AWS WAF proporciona una funcionalidad CAPTCHA estándar que desafía a los usuarios a confirmar que son seres humanos. CAPTCHA son las siglas de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing Completamente Automática y Pública para Diferenciar Computadoras de Humanos). Los rompecabezas de CAPTCHA están diseñados para verificar que un humano está enviando solicitudes y para evitar actividades como el rastreo de páginas web, el uso de credenciales y el correo no deseado. Los rompecabezas de CAPTCHA no pueden eliminar todas las solicitudes no deseadas. Muchos rompecabezas se han resuelto mediante machine learning e inteligencia artificial. En un esfuerzo por evitar el CAPTCHA, algunas organizaciones complementan las técnicas automatizadas con la intervención humana. A pesar de ello, el CAPTCHA sigue siendo una herramienta útil para evitar el tráfico de bots menos sofisticado y aumentar los recursos necesarios para las operaciones a gran escala. 

AWS WAF genera aleatoriamente sus rompecabezas de CAPTCHA y los rota para garantizar que los usuarios se enfrenten a desafíos únicos. AWS WAF añade periódicamente nuevos tipos y estilos de rompecabezas para seguir siendo eficaz frente a las técnicas de automatización. Además de los acertijos, el script AWS WAF CAPTCHA recopila datos sobre el cliente para garantizar que un humano complete la tarea y evitar que se repitan los ataques. 

Cada rompecabezas de CAPTCHA incluye un conjunto estándar de controles para que el usuario final pueda solicitar un rompecabezas nuevo, cambiar entre rompecabezas de audio y visuales, acceder a instrucciones adicionales y enviar una solución al rompecabezas. Todos los rompecabezas incluyen soporte para lectores de pantalla, controles de teclado y colores contrastantes. 

Los rompecabezas AWS WAF CAPTCHA cumplen con los requisitos de las Pautas de Accesibilidad al Contenido Web (WCAG). Para obtener más información, consulte la [Web Content Accessibility Guidelines (WCAG) Overview](https://www.w3.org/WAI/standards-guidelines/wcag/) (descripción general de las directrices de accesibilidad para el contenido web en el sitio web) del World Wide Web Consortium (W3C).

**Topics**
+ [

# Idiomas que se admiten en las pruebas CAPTCHA
](waf-captcha-puzzle-language-support.md)
+ [

# Ejemplos de rompecabezas de CAPTCHA
](waf-captcha-puzzle-examples.md)

# Idiomas que se admiten en las pruebas CAPTCHA
<a name="waf-captcha-puzzle-language-support"></a>

En esta sección se enumeran los idiomas compatibles con los rompecabezas AWS WAF CAPTCHA.

La prueba CAPTCHA comienza con instrucciones escritas en el idioma del navegador del cliente o, si no se admite el idioma del navegador, en inglés. La prueba ofrece opciones de idiomas alternativos a través de un menú desplegable.

El usuario puede optar por las instrucciones de audio seleccionando el icono de los auriculares en la parte inferior de la página. La versión en audio de las pruebas brinda instrucciones orales sobre el texto que el usuario debe escribir en un cuadro de texto, superpuestas con ruido de fondo. 

En la siguiente tabla, se enumeran los idiomas que puede seleccionar para las instrucciones escritas en una prueba CAPTCHA y el audio que se admite para cada selección. 


**AWS WAF Idiomas compatibles con los rompecabezas CAPTCHA**  

| Compatibilidad con las instrucciones escritas | Código de idioma | Compatibilidad con las instrucciones en audio | 
| --- | --- | --- | 
|  Árabe  |  ar-SA  |  Árabe  | 
|  Chino simplificado  |  zh-CN  |  Audio en inglés  | 
|  Neerlandés  |  nl-NL  |  Neerlandés  | 
|  Inglés  |  en-US  |  Inglés  | 
|  Francés  |  fr-FR  |  Francés  | 
|  Alemán  |  de-DE  |  Alemán  | 
|  Italiano  |  it-IT  |  Italiano  | 
|  Japonés  |  ja-JP  |  Audio en inglés  | 
|  Portugués de Brasil  |  pt-BR  |  Portugués de Brasil  | 
|  Español  |  es-ES  |  Español  | 
|  Turco  |  tr-TR  |  Turco  | 

# Ejemplos de rompecabezas de CAPTCHA
<a name="waf-captcha-puzzle-examples"></a>

Un rompecabezas visual de CAPTCHA típico requiere interacción para demostrar que el usuario puede comprender e interactuar con una o más imágenes. 

En la siguiente captura de pantalla se muestra un ejemplo de rompecabezas de imágenes en cuadrícula. Este rompecabezas requiere que seleccione todas las imágenes de la cuadrícula que contienen un tipo específico de objeto. 

![\[Una pantalla contiene el título “Confirme que es humano” y el texto “Elija todas las sillas”. Debajo del texto hay una cuadrícula de imágenes de 3x3, algunas de las imágenes contienen sillas y otras contienen objetos que no son sillas, como camas y ventanas. En la parte inferior de la pantalla hay opciones para cargar un rompecabezas diferente, activar y desactivar el cuadro de información, cambiar a un rompecabezas de audio y cambiar el idioma. En la parte inferior está el botón “Confirmar”.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/CAPTCHAPuzzleGrid.png)


La opción de rompecabezas de audio proporciona ruido de fondo superpuesto con instrucciones en inglés acerca del texto que el usuario debe escribir en un cuadro de texto.

En la siguiente captura de pantalla, se muestra la pantalla para la elección del rompecabezas de audio. 

![\[Una pantalla contiene el título “Resuelva el rompecabezas” y el texto “Haga clic en "Reproducir" para escuchar las instrucciones”. Debajo del texto, hay una imagen que muestra un botón de reproducción. Debajo de la imagen, aparece el texto “Botón de audio del teclado: alt + espacio”. A continuación, se muestra el título “Ingrese su respuesta” con un cuadro de entrada de texto debajo. Un cuadro de información abierto tiene el texto “Resuelva escuchando la grabación y escribiendo la respuesta en el cuadro de texto”. En la parte inferior de la pantalla hay opciones para cargar un rompecabezas diferente, activar y desactivar el cuadro de información y cambiar a un rompecabezas visual. También en la parte inferior está el botón “Enviar”.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/CAPTCHAPuzzleAudio.png)




# Cómo funcionan las acciones de regla CAPTCHA y Challenge de AWS WAF
<a name="waf-captcha-and-challenge-how-it-works"></a>

En esta sección se explica cómo funcionan CAPTCHA y Challenge.

AWS WAF CAPTCHAy Challenge son acciones de reglas estándar, por lo que son relativamente fáciles de implementar. Para usar cualquiera de ellas, debe crear los criterios de inspección de la regla que identifican las solicitudes que desea inspeccionar y, a continuación, especificar una de las dos acciones de la regla. Para obtener información general sobre las opciones de acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).

Además de implementar desafíos silenciosos y acertijos CAPTCHA desde el lado del servidor, puede integrar desafíos silenciosos en sus aplicaciones cliente de JavaScript iOS y Android, y puede renderizar rompecabezas CAPTCHA en sus clientes. JavaScript Estas integraciones le permiten ofrecer a sus usuarios finales un mejor rendimiento y una mejor experiencia con los rompecabezas de CAPTCHA, además de reducir los costos asociados al uso de las acciones de regla y los grupos de reglas de mitigación de amenazas inteligentes. Para obtener más información sobre estas opciones, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). Para obtener información acerca de los precios, consulte [AWS WAF Pricing (Precios de Glue)](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [

# Comportamiento de acción CAPTCHA y Challenge
](waf-captcha-and-challenge-actions.md)
+ [

# Acciones CAPTCHA y Challenge en los registros y las métricas
](waf-captcha-and-challenge-logs-metrics.md)

# Comportamiento de acción CAPTCHA y Challenge
<a name="waf-captcha-and-challenge-actions"></a>

En esta sección se explica qué hacen las acciones CAPTCHA y Challenge.

Cuando una solicitud web coincide con los criterios de inspección de una regla CAPTCHA o una Challenge acción, AWS WAF determina cómo gestionar la solicitud según el estado de su token y la configuración del tiempo de inmunidad. AWS WAF también tiene en cuenta si la solicitud puede gestionar el rompecabezas de CAPTCHA o los intersticiales de los scripts de desafío. Los scripts están diseñados para ser tratados como contenido HTML y solo un cliente que espere contenido HTML puede gestionarlos correctamente. 

**nota**  
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

**Cómo gestiona la acción la solicitud web**  
AWS WAF aplica la Challenge acción CAPTCHA o a una solicitud web de la siguiente manera:
+ **Token válido**: lo AWS WAF gestiona de forma similar a una Count acción. AWS WAF aplica las etiquetas y personalizaciones de solicitud que haya configurado para la acción de la regla y, a continuación, continúa evaluando la solicitud con las demás reglas del paquete de protección (ACL web). 
+ **Token faltante, no válido o caducado**: AWS WAF interrumpe la evaluación de la solicitud por parte del paquete de protección (ACL web) e impide que se dirija a su destino previsto. 

  AWS WAF genera una respuesta que envía al cliente, según el tipo de acción de la regla: 
  + **Challenge**: AWS WAF incluye lo que se detalla a continuación en la respuesta:
    + El encabezado `x-amzn-waf-action` con un valor de `challenge`.
**nota**  
En el caso de las aplicaciones de JavaScript que se ejecutan en el navegador del cliente, este encabezado solo está disponible en el dominio de la aplicación. El encabezado no está disponible para su recuperación entre dominios. Para obtener detalles, consulte la siguiente sección.
    + El código de estado HTTP `202 Request Accepted`.
    + Si la solicitud contiene un `Accept` encabezado con un valor de`text/html`, la respuesta incluye una JavaScript página intersticial con un script de desafío.
  + **CAPTCHA**— AWS WAF incluye lo siguiente en la respuesta:
    + El encabezado `x-amzn-waf-action` con un valor de `captcha`.
**nota**  
En el caso de las aplicaciones de JavaScript que se ejecutan en el navegador del cliente, este encabezado solo está disponible en el dominio de la aplicación. El encabezado no está disponible para su recuperación entre dominios. Para obtener detalles, consulte la siguiente sección.
    + El código de estado HTTP `405 Method Not Allowed`.
    + Si la solicitud contiene un `Accept` encabezado con un valor de`text/html`, la respuesta incluye un intersticial de JavaScript página con un script CAPTCHA. 

Para configurar el momento de vencimiento del token de reglas o de paquete de protección (ACL web), consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).

**Los encabezados no están disponibles para las JavaScript aplicaciones que se ejecutan en el navegador del cliente**  
Cuando AWS WAF responde a una solicitud de un cliente con un CAPTCHA o una respuesta a un desafío, no incluye los encabezados de intercambio de recursos entre orígenes (CORS). Los encabezados CORS son un conjunto de encabezados de control de acceso que indican al navegador web del cliente qué dominios, métodos HTTP y encabezados HTTP pueden utilizar las aplicaciones. JavaScript Sin los encabezados CORS, JavaScript las aplicaciones que se ejecutan en el navegador de un cliente no tienen acceso a los encabezados HTTP y, por lo tanto, no pueden leer el `x-amzn-waf-action` encabezado que se proporciona en las respuestas y. CAPTCHA Challenge 

**Función de los intersticiales de desafío y CAPTCHA**  
Cuando se ejecuta un desafío intersticial, después de que el cliente responda correctamente, si aún no tiene un token, el intersticial inicializa uno para él. A continuación, actualiza el token con la marca de tiempo de resolución del desafío.

Cuando se ejecuta un intersticial de CAPTCHA, si el cliente aún no tiene un token, el intersticial de CAPTCHA invoca primero el script de desafío para desafiar al navegador e inicializar el token. Luego, el intersticial ejecuta su rompecabezas de CAPTCHA. Cuando el usuario final complete correctamente el rompecabezas, el intersticial actualiza el token con la marca de tiempo de resolución del CAPTCHA. 

En cualquier caso, una vez que el cliente responde correctamente y el script actualiza el token, el script vuelve a enviar la solicitud web original utilizando el token actualizado. 

Puede configurar la forma AWS WAF en que gestiona los tokens. Para obtener información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).

# Acciones CAPTCHA y Challenge en los registros y las métricas
<a name="waf-captcha-and-challenge-logs-metrics"></a>

En esta sección se explica cómo AWS WAF se gestionan los registros CAPTCHA y las métricas de Challenge las acciones.

Las acciones CAPTCHA y Challenge pueden ser de no finalización, como Count, o de finalización, como Block. El resultado depende de si la solicitud tiene un token válido con una marca de tiempo vigente para el tipo de acción. 
+ **Token válido**: cuando la acción encuentra un token válido y no bloquea la solicitud, AWS WAF captura las métricas y los registros de la siguiente manera:
  + Incrementa las métricas de `CaptchaRequests` y `RequestsWithValidCaptchaToken` o `ChallengeRequests` y `RequestsWithValidChallengeToken`. 
  + Registra la coincidencia como una entrada `nonTerminatingMatchingRules` con una acción CAPTCHA o Challenge. La siguiente lista muestra la sección de un registro para este tipo de coincidencia con la acción CAPTCHA.

    ```
        "nonTerminatingMatchingRules": [
        {
          "ruleId": "captcha-rule",
          "action": "CAPTCHA",
          "ruleMatchDetails": [],
          "captchaResponse": {
            "responseCode": 0,
            "solveTimestamp": 1632420429
          }
        }
      ]
    ```
+ **Token faltante, no válido o caducado**: cuando la acción bloquea la solicitud porque falta un token o no es válido, AWS WAF captura las métricas y los registros de la siguiente manera:
  + Incrementa la métrica para `CaptchaRequests` o `ChallengeRequests`. 
  + Registra la coincidencia como una entrada `CaptchaResponse` con código de estado HTTP `405` o como una entrada `ChallengeResponse` con código de estado HTTP `202`. El registro indica si a la solicitud le faltaba el token o si tenía una marca de tiempo caducada. El registro también indica si AWS WAF se envió una página intersticial de CAPTCHA al cliente o si se envió un desafío silencioso al navegador del cliente. La siguiente lista muestra la sección de un registro para este tipo de coincidencia con la acción de CAPTCHA.

    ```
        "terminatingRuleId": "captcha-rule",
        "terminatingRuleType": "REGULAR",
        "action": "CAPTCHA",
        "terminatingRuleMatchDetails": [],
        ...
        "responseCodeSent": 405,
        ...
        "captchaResponse": {
          "responseCode": 405,
          "solveTimestamp": 0,
          "failureReason": "TOKEN_MISSING"
        }
    ```

Para obtener información sobre los registros, consulte AWS WAF . [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md)

Para obtener información sobre AWS WAF las métricas, consulte[AWS WAF métricas y dimensiones](waf-metrics.md).

Para obtener información general sobre las opciones de acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).

**Las solicitudes sin token aparecen dos veces en los registros y las métricas.**  
Según [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md) y los registros y las métricas descritos en esta sección, una solicitud sin token generalmente se representa dos veces en los registros y las métricas. Esto se debe a que el cliente envía dos veces la misma solicitud.
+ La primera solicitud, sin token, recibe la gestión de registros y métricas descritos anteriormente en caso de que el token falte, no sea válido o haya caducado. Las acciones CAPTCHA o Challenge finalizan esta primera solicitud y luego, responden al cliente con un desafío silencioso o un rompecabezas de CAPTCHA. 
+ El cliente evalúa el desafío o el rompecabezas y, si el navegador del cliente o el usuario final responde correctamente, envía la solicitud por segunda vez con el token recién generado. Esta segunda solicitud recibe la gestión de registros y métricas descritos anteriormente para una solicitud con un token válido. 

# Prácticas recomendadas para usar las acciones CAPTCHA y Challenge
<a name="waf-captcha-and-challenge-best-practices"></a>

Siga las instrucciones de esta sección para planificar e implementar el AWS WAF CAPTCHA o el desafío.

**Planificación de la implementación del CAPTCHA y el desafío**  
Determina dónde colocar los rompecabezas de CAPTCHA o los desafíos silenciosos en función del uso de su sitio web, la confidencialidad de los datos que desea proteger y el tipo de solicitudes. Seleccione las solicitudes a las que vaya a aplicar el CAPTCHA para poder presentar los rompecabezas según sea necesario, pero evita presentarlos donde no sean útiles y puedan degradar la experiencia del usuario. Usa esta Challenge acción para ejecutar desafíos silenciosos que tengan un menor impacto en el usuario final y, al mismo tiempo, ayuden a verificar que la solicitud proviene de un navegador JavaScript habilitado. 

Los rompecabezas de CAPTCHA y los desafíos silenciosos solo se pueden ejecutar cuando los navegadores acceden a los puntos de conexión HTTPS. Los clientes del navegador deben ejecutarse en contextos seguros para poder adquirir los tókenes. 

**Definalización de dónde ejecutar los rompecabezas de CAPTCHA y los desafíos silenciosos para los clientes**  
Identifique las solicitudes que no desee que se vean afectadas por el CAPTCHA, por ejemplo, las solicitudes de CSS o imágenes. Utilizar CAPTCHA solo cuando sea necesario. Por ejemplo, si planea comprobar el CAPTCHA al iniciar sesión y siempre se redirige al usuario directamente desde el inicio de sesión a otra pantalla, probablemente no sea necesario comprobar el CAPTCHA en la segunda pantalla ya que esto podría perjudicar la experiencia de usuario final. 

Configúralo Challenge y CAPTCHA úsalo de forma que AWS WAF solo envíes acertijos en formato CAPTCHA y desafíos silenciosos en respuesta a las `GET` `text/html` solicitudes. No puede ejecutar el rompecabezas ni el desafío en respuesta a solicitudes `POST`, solicitudes `OPTIONS` de verificación previa del uso compartido de recursos entre orígenes (CORS) o cualquier otro tipo de solicitud que no sea `GET`. El comportamiento del navegador para otros tipos de solicitudes puede variar y es posible que no pueda gestionar los intersticiales correctamente. 

Es posible que un cliente acepte HTML y, aun así, no pueda gestionar el CAPTCHA ni cuestionar los intersticiales. Por ejemplo, un widget de una página web con un iFrame pequeño puede aceptar HTML, pero no mostrar un CAPTCHA ni procesarlo. Evite incluir las acciones de regla para este tipo de solicitudes, igual que para las solicitudes que no aceptan HTML.

**Uso de CAPTCHA o Challenge para verificar la adquisición previa del token**  
Puede usar las acciones de la regla únicamente para verificar la existencia de un token válido en ubicaciones donde los usuarios legítimos siempre deberían tener uno. En estas situaciones, no importa si la solicitud puede administrar los intersticiales. 

Por ejemplo, si implementa la API CAPTCHA de la aplicación JavaScript cliente y ejecuta el rompecabezas de CAPTCHA en el cliente inmediatamente antes de enviar la primera solicitud a su terminal protegido, la primera solicitud siempre debe incluir un token que sea válido tanto para el desafío como para el CAPTCHA. Para obtener información sobre la integración de aplicaciones cliente, consulte JavaScript . [AWS WAF JavaScript integraciones](waf-javascript-api.md) 

En este caso, en su paquete de protección (ACL web), puede agregar una regla que coincida con esta primera llamada y configurarla con la acción de regla Challenge o CAPTCHA. Cuando la regla coincida entre un usuario final legítimo y un navegador, la acción buscará un token válido y, por lo tanto, no bloqueará la solicitud ni enviará un desafío o un rompecabezas de CAPTCHA como respuesta. Para obtener más información sobre cómo funcionan las etiquetas, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md).

**Protección de datos confidenciales que no sean HTML con CAPTCHA y Challenge**  
Puede usar CAPTCHA y Challenge protecciones para datos confidenciales que no sean HTML, por ejemploAPIs, con el siguiente enfoque. 

1. Identifique las solicitudes que aceptan respuestas HTML y que se ejecutan muy cerca de las solicitudes de sus datos confidenciales que no son HTML. 

1. Escriba reglas CAPTCHA o Challenge que coincidan con las solicitudes HTML y con las solicitudes de sus datos confidenciales. 

1. Ajuste su configuración del tiempo de inmunidad de CAPTCHA y Challenge para que, en las interacciones normales de los usuarios, los tokens que los clientes obtienen de las solicitudes de HTML estén disponibles y no hayan caducado en sus solicitudes de datos confidenciales. Para obtener información sobre el ajuste, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).

Si una solicitud de datos confidenciales coincide con una regla CAPTCHA o Challenge, no se bloqueará si el cliente aún tiene un token válido del rompecabezas o desafío anterior. Si el token no está disponible o la marca de tiempo ha caducado, la solicitud de acceso a sus datos confidenciales fallará. Para obtener más información sobre cómo funcionan las etiquetas, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md).

**Uso de CAPTCHA y Challenge para ajustar las reglas existentes**  
Revise sus reglas actuales para ver si quiere modificarlas o agregarlas. A continuación, se presentan algunos escenarios comunes a considerar. 
+ Si tiene una regla basada en tasas que bloquea el tráfico, pero mantiene el límite de tasa relativamente alto para evitar bloquear a los usuarios legítimos, considere la posibilidad de agregar una segunda regla basada tasas después de la regla de bloqueo. Asigne a la segunda regla un límite inferior al de la regla de bloqueo y establezca la acción de regla en CAPTCHA o Challenge. La regla de bloqueo seguirá bloqueando las solicitudes que lleguen a un ritmo demasiado alto y la nueva regla bloqueará la mayor parte del tráfico automatizado a un ritmo aún menor. Para obtener información acerca de las reglas basadas en tasas, consulte [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md).
+ Si tiene un grupo de reglas administradas que bloquea las solicitudes, puede cambiar el comportamiento de algunas o todas las reglas de Block a CAPTCHA o Challenge. Para ello, en la configuración del grupo de reglas administradas, anule la configuración de la acción de regla. Para obtener información sobre la anulaciones de las acciones de las reglas, consulte [Anulación de acciones de reglas de un grupo de reglas](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules). 

**Comprobación de las implementaciones del CAPTCHA y el desafío antes de implantarlas**  
En cuanto a todas las nuevas funciones, siga las instrucciones que se indican en [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

Durante las pruebas, revise los requisitos de caducidad de las marcas de tiempo de los tokens y establezca las configuraciones de tiempo de inmunidad de las reglas y la ACL web para lograr un buen equilibrio entre el control del acceso a su sitio web y el suministro de una buena experiencia a sus clientes. Para obtener información, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).

# Protección de datos y registro del tráfico AWS WAF del paquete de protección (ACL web)
<a name="waf-data-protection-and-logging"></a>

En esta sección se explican las opciones de registro, recopilación y protección de datos que puede utilizar AWS WAF. Las opciones son las siguientes: 
+ **Registro**: puede configurar su paquete de protección (ACL web) para enviar registros del tráfico de solicitudes web a un destino de registro de su elección. Puede configurar redacción y filtrado de campos. El registro usa los datos disponibles después de aplicar cualquier configuración de protección de datos. 

  Para obtener más información acerca de esta opción, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 
+ **Muestreo de solicitudes**: puede configurar su paquete de protección (ACL web) para que muestree las solicitudes web que evalúa, a fin de hacerse una idea del tipo de tráfico que recibe su aplicación. El muestreo usa los datos disponibles después de aplicar cualquier configuración de protección de datos. 

  Para obtener más información acerca de esta opción, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). 
+ **Amazon Security Lake**: puede configurar Security Lake para recopilar datos del paquete de protección (ACL web). Security Lake recopila datos de registros y eventos de diversas AWS fuentes para su normalización, análisis y administración. Security Lake recopila datos de los valores disponibles después de aplicar cualquier configuración de protección de datos. 

  Para obtener información sobre esta opción, consulte [¿Qué es Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) y [Recopilación de datos de AWS los servicios de](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) la *guía del usuario de Amazon Security Lake*. 

  AWS WAF no le cobra por usar esta opción. Para obtener información sobre precios, consulte [Precios de Security Lake](https://aws.amazon.com/security-lake/pricing/) y [How Security Lake pricing is determined](https://docs.aws.amazon.com/security-lake/latest/userguide/estimating-costs.html) en la *guía del usuario de Amazon Security Lake*.
+ **Protección de datos**: puede configurar protecciones de datos para la información de tráfico web en dos niveles: 
  + **Protección de datos para el paquete de protección (ACL web)**: pede configurar protección de datos para cada paquete de protección (ACL web), lo que permite sustituir ciertos datos de tráfico web con cadenas estáticas o hashing criptográfico. Esta protección se configura de forma centralizada y se aplica a todas las opciones de registro y recopilación de datos.

    Para obtener más información acerca de esta opción, consulte [Protección de datos](data-protection-masking.md). 
  + **Redacción y filtrado de registros**: solo para el registro, puede configurar algunos datos del tráfico web para su redacción en los registros y filtrar la información que registra. Esta opción es adicional a cualquier configuración de protección de datos que haya configurado y solo afecta a los datos que se AWS WAF envían al destino de registro configurado. 

**Topics**
+ [

# Registro AWS WAF del tráfico del paquete de protección (ACL web)
](logging.md)
+ [

# Protección de datos
](data-protection-masking.md)

# Registro AWS WAF del tráfico del paquete de protección (ACL web)
<a name="logging"></a>

En esta sección se explican las opciones de registro de sus paquetes de AWS WAF protección (web ACLs). 

Puede habilitar el registro para obtener información detallada sobre el tráfico que analiza su ACL web. La información registrada incluye la hora en que se AWS WAF recibió una solicitud web de su AWS recurso, información detallada sobre la solicitud y detalles sobre las reglas con las que se ajustó la solicitud. Puede enviar los registros del paquete de protección (ACL web) a un grupo de CloudWatch registros de Amazon Logs, a un bucket de Amazon Simple Storage Service (Amazon S3) o a una transmisión de entrega de Amazon Data Firehose.

Además de los registros que puede habilitar para sus paquetes de protección (web ACLs), AWS también utiliza los registros de servicio del tráfico de sitios web o aplicaciones AWS WAF que procesa para respaldar y proteger la seguridad de AWS los clientes y los servicios.

**nota**  
La configuración de registros del paquete de protección (ACL web) solo afecta a los AWS WAF registros. En particular, la configuración de los campos redactados para el registro no afecta al muestreo de solicitudes ni a la recopilación de datos de Security Lake. Puede excluir campos de la recopilación o el muestreo mediante la configuración de la protección de datos del paquete de protección (ACL web). Aparte de la protección de datos, la recopilación de datos de Security Lake se configura por completo a través del servicio Security Lake. 

**Topics**
+ [

# Precios para registrar la información de tráfico del paquete de protección (ACL web)
](logging-pricing.md)
+ [

# AWS WAF destinos de registro
](logging-destinations.md)
+ [

# Configuración del registro de un paquete de protección (ACL web)
](logging-management-configure.md)
+ [

# Cómo encontrar los registros de su paquete de protección (ACL web)
](logging-management.md)
+ [

# Campos de registro para el tráfico del paquete de protección (ACL web)
](logging-fields.md)
+ [

# Ejemplos de registro del tráfico del paquete de protección (ACL web)
](logging-examples.md)

**Otras opciones de recopilación y análisis de datos**  
Además del registro, puede habilitar las siguientes opciones para la recopilación y el análisis de datos: 
+ **Amazon Security Lake**: puede configurar Security Lake para recopilar datos del paquete de protección (ACL web). Security Lake recopila datos de registros y eventos de diversos orígenes de para su normalización, análisis y administración. Para obtener información sobre esta opción, consulte [¿Qué es Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) y [Recopilación de datos de AWS los servicios de](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) la *guía del usuario de Amazon Security Lake*. 

  AWS WAF no le cobra por usar esta opción. Para obtener información sobre precios, consulte [Precios de Security Lake](https://aws.amazon.com/security-lake/pricing/) y [How Security Lake pricing is determined](https://docs.aws.amazon.com/security-lake/latest/userguide/estimating-costs.html) en la *guía del usuario de Amazon Security Lake*. 
+ **Muestreo de solicitudes**: puede configurar su paquete de protección (ACL web) para que muestree las solicitudes web que evalúa, a fin de hacerse una idea del tipo de tráfico que recibe su aplicación. Para obtener más información acerca de esta opción, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). 

# Precios para registrar la información de tráfico del paquete de protección (ACL web)
<a name="logging-pricing"></a>

En esta sección, se explican las consideraciones de precios que se deben tener en cuenta al usar los registros de tráfico del paquete de protección (ACL web).

Se le cobrará por registrar la información del tráfico del paquete de protección (ACL web) de acuerdo con los costos asociados a cada tipo de destino de registro. Estos cargos se suman a los cargos de uso de AWS WAF. Los costos pueden variar en función de factores como el tipo de destino que elija y la cantidad de datos que registre. 

A continuación, se proporcionan enlaces a la información de precios de cada tipo de destino de registro:
+ **CloudWatch Registros**: los cargos corresponden a la entrega de troncos vendidos. Consulta los [precios CloudWatch de Amazon Logs](https://aws.amazon.com/cloudwatch/pricing/). En el **nivel de pago**, selecciona la pestaña **Logs** y, a continuación, en **Vended Logs**, consulta la información sobre la **entrega a CloudWatch Logs**.
+ Depósitos de **Amazon S3**: los cargos de Amazon S3 son los cargos combinados por la entrega de CloudWatch registros vendidos a los cubos de Amazon S3 y por el uso de Amazon S3. 
  + Para Amazon S3, consulte [Precios de Amazon S3](https://aws.amazon.com/s3/pricing/). 
  + Para obtener CloudWatch información sobre la entrega de registros vendidos a Amazon S3, consulte los [precios de Amazon CloudWatch Logs](https://aws.amazon.com/cloudwatch/pricing/). En **Nivel de pago**, seleccione la pestaña **Registros** y, a continuación, en **Registros vendidos**, consulte la información sobre el **Envío a S3**.
+ **Firehose**: consulte [Precios de Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/pricing/).

Para obtener información sobre AWS WAF los precios, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/). 

# AWS WAF destinos de registro
<a name="logging-destinations"></a>

En esta sección se describen los destinos de registro que puede elegir para los registros de AWS WAF . Cada sección proporciona instrucciones a fin de configurar el registro para el tipo de destino que incluye información sobre cualquier comportamiento específico del tipo de destino. Después de configurar el destino de registro, puede agregar especificaciones a la configuración de registro del paquete de protección (ACL web) para iniciar el registro en él.

**Topics**
+ [CloudWatch Registros](logging-cw-logs.md)
+ [Amazon S3](logging-s3.md)
+ [Firehose](logging-kinesis.md)

# Envío de registros de tráfico del paquete de protección (ACL web) a un grupo de CloudWatch registros de Amazon Logs
<a name="logging-cw-logs"></a>

En este tema se proporciona información para enviar los registros de tráfico del paquete de protección (ACL web) a un grupo de CloudWatch registros. 

**nota**  
Se le cobrará por el registro además de los cargos por su uso de AWS WAF. Para obtener información, consulte [Precios para registrar la información de tráfico del paquete de protección (ACL web)](logging-pricing.md).

Para enviar registros a Amazon CloudWatch Logs, debe crear un grupo de CloudWatch registros de registros. Cuando habilita el inicio de sesión AWS WAF, proporciona el ARN del grupo de registros. Después de habilitar el registro para su paquete de protección (ACL web), AWS WAF entrega los registros al grupo de CloudWatch registros en flujos de registros. 

Cuando usa CloudWatch Logs, puede explorar los registros de su paquete de protección (ACL web) en la AWS WAF consola. En la página del paquete de protección (ACL web), seleccione la pestaña **Información de registros**. Esta opción se suma a la información de registro que se proporciona para CloudWatch los registros a través de la CloudWatch consola. 

Configure el grupo de registros para los registros del paquete de AWS WAF protección (ACL web) en la misma región que el paquete de protección (ACL web) y con la misma cuenta que utilizó para administrar el paquete de protección (ACL web). Para obtener información sobre la configuración de un grupo de CloudWatch registros, consulte [Uso de grupos de registros y flujos de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html).

## Cuotas para CloudWatch los grupos de registros
<a name="logging-cw-logs-quotas"></a>

CloudWatch Logs tiene una cuota máxima de rendimiento predeterminada, que se comparte entre todos los grupos de registros de una región, y que puede solicitar que se aumente. Si sus requisitos de registro son demasiado altos para la configuración actual de rendimiento, verá las métricas de limitación para `PutLogEvents` de su cuenta. Para ver el límite en la consola de Service Quotas y solicitar un aumento, consulta la [ PutLogEvents cuota de CloudWatch Logs](https://console.aws.amazon.com/servicequotas/home/services/logs/quotas/L-7E1FAE88).

## Denominación de grupos de registro
<a name="logging-cw-logs-naming"></a>

Los nombres de sus grupos de registro deben empezar `aws-waf-logs-` por y terminar con el sufijo que desee, por ejemplo, `aws-waf-logs-testLogGroup2`.

El formato del ARN resultante es el siguiente: 

```
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
```

Los flujos de registros tienen un formato similar al siguiente: 

```
Region_web-acl-name_log-stream-number
```

A continuación, se muestra un ejemplo de flujo de registro para el paquete de protección (ACL web) `TestWebACL` en la región `us-east-1`. 

```
us-east-1_TestWebACL_0
```

## Permisos necesarios para publicar CloudWatch registros en Logs
<a name="logging-cw-logs-permissions"></a>

La configuración del registro de tráfico del paquete de protección (ACL web) para un grupo de CloudWatch registros requiere la configuración de permisos que se describe en esta sección. Los permisos se configuran automáticamente cuando utiliza una de las políticas gestionadas de acceso AWS WAF completo, `AWSWAFConsoleFullAccess` o bien`AWSWAFFullAccess`. Si desea administrar un acceso más detallado a sus registros y AWS WAF recursos, puede configurar los permisos usted mismo. Para obtener información sobre la administración de permisos, consulte [Administración del acceso a AWS los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) en la Guía del usuario de *IAM*. Para obtener información sobre las políticas administradas de AWS WAF , consulte [AWS políticas gestionadas para AWS WAF](security-iam-awsmanpol.md). 

Estos permisos le permiten cambiar la configuración de registro del paquete de protección (ACL web), configurar la entrega de CloudWatch registros para los registros y recuperar información sobre su grupo de registros. Estos permisos deben estar asociados al usuario que utilice para administrar AWS WAF. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "LoggingConfigurationAPI"
        },
        {
            "Sid": "WebACLLoggingCWL",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

Cuando se permiten acciones en todos AWS los recursos, se indica en la política con una `"Resource"` configuración de`"*"`. Esto significa que las acciones están permitidas en todos los AWS recursos *compatibles con cada acción*. Por ejemplo, la acción `wafv2:PutLoggingConfiguration` solo se admite para registrar los recursos de configuración `wafv2`. 

# Envío de registros de tráfico del paquete de protección (ACL web) a un bucket de Amazon Simple Storage Service
<a name="logging-s3"></a>

En este tema, se proporciona información para enviar los registros de tráfico del paquete de protección (ACL web) a un bucket de Amazon S3. 

**nota**  
Se le cobrará por el registro además de los cargos por su uso de AWS WAF. Para obtener información, consulte [Precios para registrar la información de tráfico del paquete de protección (ACL web)](logging-pricing.md).

Para enviar los registros de tráfico del paquete de protección (ACL web) a Amazon S3, debe configurar un bucket de Amazon S3 desde la misma cuenta que usa para administrar el paquete de protección (ACL web) y asignarle un nombre al depósito que empiece por `aws-waf-logs-`. Cuando habilitas el inicio de sesión AWS WAF, indicas el nombre del bucket. Para obtener información acerca de la creación de un bucket de registro, consulte [Crear un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) en la *Guía del usuario de Amazon Simple Storage Service*.

Puede acceder a sus registros de Amazon S3 y analizarlos mediante el servicio de consultas interactivas de Amazon Athena. Athena facilita el análisis de datos directamente en Amazon S3 con SQL estándar. Con unas cuantas acciones Consola de administración de AWS, puede dirigir Athena a los datos almacenados en Amazon S3 y empezar a utilizar rápidamente el SQL estándar para ejecutar consultas ad hoc y obtener resultados. Para obtener más información, consulte [Consultas de AWS WAF registros](https://docs.aws.amazon.com/athena/latest/ug/waf-logs.html) en la guía del usuario de *Amazon Athena*. Para ver ejemplos adicionales de consultas de Amazon Athena, consulte [waf-log-sample-athenaaws-samples/](https://github.com/aws-samples/waf-log-sample-athena-queries) -queries en el sitio web. GitHub 

**nota**  
AWS WAF admite el cifrado con buckets de Amazon S3 para el tipo de clave clave Amazon S3 (SSE-S3) y para AWS Key Management Service (SSE-KMS). AWS KMS keys AWS WAF no admite el cifrado de AWS Key Management Service las claves administradas por. AWS

Los archivos de registro de su paquete de protección (ACL web) se publican en el bucket de Amazon S3 en intervalos de cinco minutos. Cada archivo de registro contiene registros de flujo del tráfico IP registrado en los cinco minutos anteriores.

El tamaño de archivo máximo de un archivo log es de 75 MB. Si el archivo de registro alcanza el límite de tamaño de archivo en el periodo de cinco minutos, el registro deja de agregar registros a este archivo, lo publica en el bucket de Amazon S3 y después crea un nuevo archivo de registro.

Los archivos log están comprimidos. Si abre los archivos de registro con la consola de Amazon S3, se descomprimen y se muestran las entradas de registro. Si descarga los archivos de registro, debe descomprimirlos para verlos.

Un único archivo de registro contiene entradas intercaladas con varios registros. Para ver todos los archivos de registro de un paquete de protección (ACL web), busque las entradas agregadas por el nombre del paquete de protección (ACL web), la región y el ID de su cuenta.

## Requisitos de nomenclatura y sintaxis
<a name="logging-s3-naming"></a>

Los nombres de los AWS WAF buckets para el registro deben empezar `aws-waf-logs-` y terminar con el sufijo que desee. Por ejemplo, `aws-waf-logs-LOGGING-BUCKET-SUFFIX`. 

**Ubicación del bucket**  
Las ubicaciones de los buckets utilizan la siguiente sintaxis: 

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/
```

**ARN de bucket**  
El formato del bucket tiene el siguiente formato de Nombre de recurso de Amazon (ARN): 

```
arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX
```

**Ubicaciones de los buckets con prefijos**  
Si usa prefijos en el nombre de las claves de sus objetos para organizar los datos que almacena en sus depósitos, puede incluir sus prefijos en los nombres de los buckets de registro.

**nota**  
Esta opción no está disponible en la consola. Utilice AWS WAF APIs la CLI o AWS CloudFormation.

Para obtener información acerca del uso de prefijos en Amazon S3consulte [Organizar objetos usando prefijos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) en la *Guía para usuarios de Amazon Simple Storage Service*. 

Las ubicaciones de los buckets con prefijos utilizan la siguiente sintaxis: 

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/KEY-NAME-PREFIX/
```

**Carpetas de buckets y nombres de archivos**  
Dentro de sus grupos y siguiendo los prefijos que proporcione, sus AWS WAF registros se escriben en una estructura de carpetas determinada por su ID de cuenta, la región, el nombre del paquete de protección (ACL web) y la fecha y la hora. 

```
AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm
```

Dentro de las carpetas, los nombres de los archivos de registro siguen un formato similar: 

```
account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz
```

Las especificaciones de tiempo utilizadas en la estructura de carpetas y en el nombre del archivo de registro se ajustan a la especificación del formato de marca de tiempo `YYYYMMddTHHmmZ`.

A continuación, se muestra un archivo de registro de ejemplo en un bucket de Amazon S3 para un bucket llamado `aws-waf-logs-LOGGING-BUCKET-SUFFIX`. El Cuenta de AWS es. `11111111111` El paquete de protección (ACL web) es `TEST-WEBACL` y la región es `us-east-1`.

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
```

**nota**  
Los nombres de los cubos para el AWS WAF registro deben empezar `aws-waf-logs-` y terminar con cualquier sufijo que desee. 

## Permisos necesarios para publicar registros en Amazon S3
<a name="logging-s3-permissions"></a>

La configuración del registro de tráfico del paquete de protección (ACL web) para un bucket de Amazon S3 requiere la siguiente configuración de permisos. Configure estos permisos automáticamente cuando utiliza una de las políticas administradas de acceso completo de AWS WAF , `AWSWAFConsoleFullAccess` o `AWSWAFFullAccess`. Si quieres seguir gestionando el acceso a tus registros y AWS WAF recursos, puedes configurar estos permisos tú mismo. Para obtener más información sobre los permisos de administración, consulte [Administración de accesos para recursos de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) en la *Guía del usuario de IAM*. Para obtener información sobre las políticas AWS WAF administradas, consulte[AWS políticas gestionadas para AWS WAF](security-iam-awsmanpol.md). 

Los siguientes permisos le permiten cambiar la configuración de registro del paquete de protección (ACL web) y configurar el envío de registros a su bucket de Amazon S3. Estos permisos deben estar asociados al usuario que utilice para administrar AWS WAF. 

**nota**  
Al configurar los permisos que se indican a continuación, es posible que veas errores en tus AWS CloudTrail registros que indiquen que se ha denegado el acceso, pero los permisos de AWS WAF registro son correctos. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Action":[
            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      },
    {                                                                                                                                                                
       "Sid":"WebACLLogDelivery",                                                                                                                                    
       "Action":[                                                                                                                                                    
          "logs:CreateLogDelivery",                                                                                                                                  
          "logs:DeleteLogDelivery"                                                                                                                                   
       ],                                                                                                                                                            
       "Resource": "*",                                                                                                                                              
       "Effect":"Allow"                                                                                                                                              
    },  
      {
         "Sid":"WebACLLoggingS3",
         "Action":[
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy"
         ],
         "Resource": [
         "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
         ],
         "Effect":"Allow"
      }
   ]
}
```

------

Cuando se permiten acciones en todos AWS los recursos, se indica en la política con una `"Resource"` configuración de`"*"`. Esto significa que las acciones están permitidas en todos los AWS recursos *compatibles con cada acción*. Por ejemplo, la acción `wafv2:PutLoggingConfiguration` solo se admite para registrar los recursos de configuración `wafv2`. 

De forma predeterminada, los buckets de Amazon S3 y los objetos que contienen son privados. Solo el propietario del bucket puede tener acceso al bucket y a los objetos almacenados en él. Sin embargo, el propietario del bucket puede conceder permisos de acceso a otros recursos y usuarios escribiendo una política de acceso.

Si el usuario que va a crear el registro es el propietario del bucket, se asocia automáticamente la siguiente política al bucket para conceder al registro permiso para publicar registros en el mismo. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSLogDeliveryWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/123456789012/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control",
          "aws:SourceAccount": ["123456789012"]
        },
        "ArnLike": {
        "aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
        }
      }
    },
    {
      "Sid": "AWSLogDeliveryAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
      "Condition": {
        "StringEquals": {
        "aws:SourceAccount": ["123456789012"]
        },
        "ArnLike": {
        "aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
        }
      }
    }
  ]
}
```

------

**nota**  
Los nombres de los cubos para el AWS WAF registro deben empezar `aws-waf-logs-` y terminar con el sufijo que desee. 

Si el usuario que va a crear el registro no es el propietario del bucket, o no tiene los permisos `GetBucketPolicy` y `PutBucketPolicy` para el bucket, se produce un error al crear el registro. En este caso, el propietario del bucket debe agregar manualmente la política anterior al bucket y especificar el ID de la cuenta de Cuenta de AWS del creador del registro. Para obtener más información, consulte [How Do I Add an S3 Bucket Policy?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) (¿Cómo agrego una política de bucket de S3?) en la *Guía del usuario de Amazon Simple Storage Service*. Si el bucket recibe registros de varias cuentas, agregue un entrada del elemento `Resource` a la instrucción `AWSLogDeliveryWrite` de la política para cada cuenta. 

Por ejemplo, la siguiente política de compartimentos Cuenta de AWS `111122223333` permite publicar registros en un depósito denominado`aws-waf-logs-LOGGING-BUCKET-SUFFIX`:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryWrite20150319",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/111122223333/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
            "Condition": {
                "StringEquals": {
                "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        }
    ]
}
```

------

**nota**  
En algunos casos, es posible que aparezcan errores de `AccessDenied` en AWS CloudTrail si no se ha otorgado el permiso `s3:ListBucket` a `delivery.logs.amazonaws.com`. Para evitar estos errores en sus CloudTrail registros, debe conceder el `s3:ListBucket` permiso `delivery.logs.amazonaws.com` e incluir `Condition` los parámetros que se muestran con el `s3:GetBucketAcl ` permiso establecido en la política de bucket anterior. Para simplificar esto, en lugar de crear una nueva `Statement`, puede actualizar directamente `AWSLogDeliveryAclCheck` para que sea `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`.

## Permisos para su uso AWS Key Management Service con una clave KMS
<a name="logging-s3-permissions-encrypt-kms"></a>

Si el destino del registro usa el cifrado del lado del servidor con claves almacenadas en AWS Key Management Service (SSE-KMS) y usted usa una clave administrada por el cliente (clave KMS), debe dar AWS WAF permiso para usar su clave KMS. Para ello, añada una política de claves a la clave KMS del destino que elija. Esto permite que el registro de AWS WAF escriba los archivos de registro en el destino. 

Añada la siguiente política clave a su clave de KMS AWS WAF para poder iniciar sesión en su bucket de Amazon S3.

```
{
    "Sid": "Allow AWS WAF to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "delivery.logs.amazonaws.com"
        ]
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}
```

## Permisos requeridos para acceder a los archivos de registro de Amazon S3
<a name="logging-s3-log-file-access"></a>

Amazon S3 usa listas de control de acceso (ACLs) para administrar el acceso a los archivos de registro creados por un AWS WAF registro. De forma predeterminada, el propietario del bucket tiene los permisos `FULL_CONTROL` en cada archivo log. El propietario de la entrega de logs, si es diferente del propietario del bucket, no tiene permisos. La cuenta de entrega de registros tiene los permisos `READ` y `WRITE`. Para obtener más información, consulte [Access Control List (ACL) Overview](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) (Información general de la Lista de control de acceso [ACL]) en la *Guía del usuario de Amazon Simple Storage Service*.

# Envío de registros de tráfico del paquete de protección (ACL web) a un flujo de entrega de Amazon Data Firehose
<a name="logging-kinesis"></a>

Esta sección proporciona información para enviar los registros de tráfico del paquete de protección (ACL web) a un flujo de entrega de Amazon Data Firehose. 

**nota**  
Se le cobrará por el registro además de los cargos por su uso de AWS WAF. Para obtener información, consulte [Precios para registrar la información de tráfico del paquete de protección (ACL web)](logging-pricing.md).

Para enviar registros a Amazon Data Firehose, debe enviar los registros desde su paquete de protección (ACL web) a un flujo de entrega de Amazon Data Firehose que configura en Firehose. Después de habilitar el registro, AWS WAF entrega los registros a su destino de almacenamiento a través del punto de conexión HTTPS de Firehose. 

Un AWS WAF registro equivale a un registro de Firehose. Si suele recibir 10 000 solicitudes por segundo y habilita registros completos, debería tener una configuración de 10 000 registros por segundo en Firehose. Si no configuras Firehose correctamente, no AWS WAF registrará todos los registros. Para obtener más información, consulte [Amazon Kinesis Data Firehose quotas](https://docs.aws.amazon.com/firehose/latest/dev/limits.html). 

Para obtener información acerca de cómo crear un flujo de entrega de Amazon Data Firehose y revisar los registros almacenados, consulte [¿Qué es Amazon Data Firehose?](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) 

Para obtener más información sobre cómo crear su flujo de entrega, consulte [Creating an Amazon Data Firehose delivery stream](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).

## Configuración de un flujo de entrega de Amazon Data Firehose para su paquete de protección (ACL web)
<a name="logging-kinesis-configuration"></a>

Configure un flujo de entrega de Amazon Data Firehose para su paquete de protección (ACL web) de la siguiente forma.
+ Créelo con la misma cuenta que usa para administrar el paquete de protección (ACL web).
+ Créelo en la misma región que el paquete de protección (ACL web). Si está capturando troncos para Amazon CloudFront, cree la manguera de incendios en la región EE.UU. Este (Norte de Virginia),`us-east-1`.
+ Asigne a Data Firehose un nombre que comience con el prefijo `aws-waf-logs-`. Por ejemplo, `aws-waf-logs-us-east-2-analytics`.
+ Configúrela para la colocación directa, lo que permite a las aplicaciones acceder directamente al flujo de envío. En la [consola de Amazon Data Firehose](https://console.aws.amazon.com/firehose), para la configuración del **Origen** del flujo de entrega, elija **PUT directo y otros orígenes**. A través de la API, defina la propiedad `DeliveryStreamType` de flujo de envío en `DirectPut`.
**nota**  
No utilice `Kinesis stream` como origen.

## Permisos necesarios para publicar registros en un flujo de entrega de Amazon Data Firehose
<a name="logging-kinesis-permissions"></a>

Para conocer los permisos necesarios para la configuración de Kinesis Data Firehose, consulte [Controlling Access with Amazon Kinesis Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html).

Debe tener los siguientes permisos para habilitar correctamente el registro del paquete de protección (ACL web) con un flujo de entrega de Amazon Data Firehose.
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

Para obtener información acerca de los roles vinculados a servicios y el permiso `iam:CreateServiceLinkedRole`, consulte [Uso de roles vinculados a servicios para AWS WAF](using-service-linked-roles.md).

# Configuración del registro de un paquete de protección (ACL web)
<a name="logging-management-configure"></a>

En esta sección, se proporcionan instrucciones para configurar la protección de datos para un paquete de protección (ACL web).

**nota**  
Se le cobrará por el registro además de los cargos por su uso de AWS WAF. Para obtener información, consulte [Precios para registrar la información de tráfico del paquete de protección (ACL web)](logging-pricing.md).

Para habilitar el registro de un paquete de protección (ACL web), es necesario haber configurado el destino de registro que va a usar. Para obtener información sobre las opciones de destino y los requisitos de cada una de ellas, consulte [AWS WAF destinos de registro](logging-destinations.md).

**Configuración del registro de un paquete de protección (ACL web)**

1. Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, selecciona los **paquetes de protección (web ACLs)**.

1. Elija el nombre del paquete de protección (ACL web) para la que desea habilitar el registro. La consola lo lleva a la descripción del paquete de protección (ACL web), donde puede editarla.

1. En la pestaña **Registro y métricas**, elija **Habilitar el registro**.

1. Elija el tipo de destino del registro y, a continuación, elija el destino del registro que haya configurado. Debe elegir un destino de registro cuyo nombre comience con `aws-waf-logs-`.

1. (Opcional) Si no quiere que se incluyan algunos campos en los registros, redáctelos. Elija el campo que se va a redactar y, a continuación, elija **Add (Añadir)**. Repita según sea necesario para redactar campos adicionales. Los campos redactados aparecen como `xxx` en los registros.
**nota**  
Esta configuración no afecta al muestreo de solicitudes. Puede excluir los campos del muestreo de solicitudes mediante la configuración de la protección de datos del paquete de protección (ACL web) o la inhabilitación del muestreo del paquete de protección (ACL web). 

1. (Opcional) Si no desea enviar todas las solicitudes a los registros, agregue sus criterios de filtrado y su comportamiento. En **Filtrar registros**, para cada filtro que desee aplicar, elija **Agregar filtro** y, a continuación, elija sus criterios de filtrado y especifique si desea conservar o eliminar las solicitudes que coincidan con los criterios. Cuando termine de añadir filtros, si es necesario, modifique el **comportamiento de registro predeterminado**. 
**nota**  
Si añade varios filtros, AWS WAF los evalúa empezando por arriba.

1. Elija **Enable logging (Habilitar el registro)**.
**nota**  
Cuando habilites correctamente el registro, AWS WAF se creará un rol vinculado al servicio con los permisos necesarios para escribir los registros en el destino del registro. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS WAF](using-service-linked-roles.md).

# Cómo encontrar los registros de su paquete de protección (ACL web)
<a name="logging-management"></a>

En esta sección se explica cómo buscar los registros de su paquete de protección (ACL web).

**nota**  
Se le cobrará por el registro además de los cargos por su uso de AWS WAF. Para obtener información, consulte [Precios para registrar la información de tráfico del paquete de protección (ACL web)](logging-pricing.md).

**Si no puede encontrar una entrada de registro en sus registros**  
En raras ocasiones, es posible que la entrega de AWS WAF troncos caiga por debajo del 100%, y que los troncos se entreguen haciendo todo lo posible. La AWS WAF arquitectura prioriza la seguridad de las aplicaciones por encima de todas las demás consideraciones. En algunas situaciones, como cuando los flujos de registro sufren una limitación del tráfico, puede haber una pérdida de registros. Esto no debería afectar a muchos registros. Si observa que faltan varias entradas de registro, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).

En la configuración de registro de su paquete de protección (ACL web), puede personalizar lo que se AWS WAF envía a los registros.
+ **Redacción de campos**: puede redactar los siguientes campos de los registros para las reglas que utilizan la configuración de coincidencia correspondiente: **ruta de URI**, **cadena de consulta**, **encabezado único** y **método HTTP**. Los campos redactados aparecen como `REDACTED` en los registros. Por ejemplo, si redacta el campo de **cadena de consulta**, en los registros, aparecerá como `REDACTED` para todas las reglas que utilizan la configuración del componente de coincidencia de **cadena de consulta**. La redacción solo se aplica al componente de solicitud que especifique para que coincida en la regla, por lo que la redacción del componente de **encabezado único** no se aplica a las reglas que coinciden con los **encabezados**. Para obtener una lista de los campos de registro, consulte [Campos de registro para el tráfico del paquete de protección (ACL web)](logging-fields.md).
**nota**  
Esta configuración no afecta al muestreo de solicitudes. Puede excluir los campos del muestreo de solicitudes mediante la configuración de la protección de datos del paquete de protección (ACL web) o la inhabilitación del muestreo del paquete de protección (ACL web). 
+ **Filtrado de registros**: puede agregar filtros para especificar qué solicitudes web se conservan en los registros y cuáles se eliminan. Puede filtrar los ajustes que AWS WAF se aplican durante la evaluación de la solicitud web. Puede añadir filtros según las siguientes configuraciones: 
  + **Etiqueta completa**: las etiquetas completas tienen un prefijo, espacios de nombres opcionales y un nombre de etiqueta. El prefijo identifica el grupo de reglas o el contexto del paquete de protección (ACL web) de la regla que agregó la etiqueta. Para obtener información acerca de las etiquetas, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).
  + **Acción de regla**: puede filtrar por cualquier configuración de acción de regla normal y también por la opción de anulación `EXCLUDED_AS_COUNT` heredada para las reglas de los grupos de reglas. Para obtener información sobre la configuración de las acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md). Para obtener información sobre las anulaciones de acciones de regla actuales y heredadas para las reglas de grupos de reglas, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md). 
    + Los filtros de acción de regla normales se aplican a las acciones que se configuran en las reglas y también a las acciones que se configuran mediante la opción actual para anular una acción de regla de un grupo de reglas. 
    + El filtro de registro `EXCLUDED_AS_COUNT` se superpone con el filtro de registro de acciones `Count`. `EXCLUDED_AS_COUNT` filtra las opciones actuales y heredadas para anular la acción de una regla de un grupo de reglas a Count. 

# Campos de registro para el tráfico del paquete de protección (ACL web)
<a name="logging-fields"></a>

En la siguiente lista se describen los posibles campos del registro. 

**acción**  
La acción de finalización que AWS WAF se aplicó a la solicitud. Esto indica permitir, bloquear, CAPTCHA o desafío. Las acciones CAPTCHA y Challenge son de finalización cuando la solicitud web no contiene un token válido.

**args**  
La cadena de consulta.

**captchaResponse**  
El estado de la acción del CAPTCHA para la solicitud se rellena cuando se aplica una acción CAPTCHA a la solicitud. Este campo se rellena para cualquier acción CAPTCHA, ya sea de terminación o no. Si en una solicitud se aplica la acción CAPTCHA varias veces, este campo se rellena desde la última vez que se aplicó la acción.   
La acción CAPTCHA finaliza la inspección de la solicitud web cuando la solicitud no incluye un token o si el token no es válido o ha vencido. Si la acción CAPTCHA está terminada, este campo incluye un código de respuesta y un motivo de error. Si la acción no está terminada, este campo incluye una marca de tiempo de resolución. Para diferenciar entre una acción terminada y una que no lo está, puede filtrar para ver un atributo `failureReason` que no esté vacío en este campo.

**cfDistributionTenantID**  
El identificador del arrendatario de CloudFront distribución asociado a la solicitud web. Este campo es opcional y solo se aplica a los paquetes de protección (web ACLs) asociados a los arrendatarios CloudFront de distribución.

**challengeResponse**  
El estado de la acción de desafío para la solicitud se rellena cuando se aplica una acción Challenge a la solicitud. Este campo se rellena para cualquier acción Challenge, ya sea de terminación o no. Si en una solicitud se aplica la acción Challenge varias veces, este campo se rellena desde la última vez que se aplicó la acción.   
La acción Challenge finaliza la inspección de la solicitud web cuando la solicitud no incluye un token o si el token no es válido o ha vencido. Si la acción Challenge está terminada, este campo incluye un código de respuesta y un motivo de error. Si la acción no está terminada, este campo incluye una marca de tiempo de resolución. Para diferenciar entre una acción terminada y una que no lo está, puede filtrar para ver un atributo `failureReason` que no esté vacío en este campo.

**clientAsn**  
El número de sistema autónomo (ASN) asociado a la dirección IP del origen de la solicitud web.  
**ClientASN** inicia sesión en AWS WAF los registros solo cuando se utiliza una sentencia de coincidencia de ASN. De lo contrario, este campo no se registra.

**clientIp**  
La dirección IP del cliente que envía la solicitud.

**country**  
El país de origen de la solicitud. Si AWS WAF no puede determinar el país de origen, establece este campo en. `-` 

**country**  
El país de origen de la solicitud. Si AWS WAF no puede determinar el país de origen, establece este campo en`-`. 

**excludedRules**  
Se usa solo para reglas del grupo de reglas. La lista de reglas del grupo de reglas que ha excluido. La acción para estas reglas se establece en Count.   
Si anula una regla para contabilizarla mediante la opción de acción de anular regla, las coincidencias no se muestran aquí. Se muestran como parejas de acción `action` y `overriddenAction`.    
exclusionType  
Un tipo que indica que la regla excluida tiene la acción Count.  
ruleId  
El ID de la regla del grupo de reglas que se ha excluido.

**formatVersion**  
La versión de formato para el registro.

**forwardedAsn**  
El número de sistema autónomo (ASN) asociado a la dirección IP de la entidad que reenvió la solicitud web.

**headers**  
La lista de encabezados.

**httpMethod**  
El método HTTP en la solicitud.

**httpRequest**  
Los metadatos sobre la solicitud.

**httpSourceId**  
El identificador del recurso asociado:   
+ En el caso de una CloudFront distribución de Amazon, el ID es el que `distribution-id` aparece en la sintaxis del ARN: 

  `arn:partitioncloudfront::account-id:distribution/distribution-id` 
+ En el caso de un Equilibrador de carga de aplicación, el identificador corresponde al `load-balancer-id` en la sintaxis del ARN: 

  `arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id`
+ En el caso de una API de REST de Amazon API Gateway, el identificador corresponde al `api-id` en la sintaxis del ARN: 

  `arn:partition:apigateway:region::/restapis/api-id/stages/stage-name`
+ Para una API de AWS AppSync GraphQL, el ID es el de `GraphQLApiId` la sintaxis del ARN: 

  `arn:partition:appsync:region:account-id:apis/GraphQLApiId`
+ En el caso de un grupo de usuarios de Amazon Cognito, el identificador corresponde al `user-pool-id` en la sintaxis del ARN: 

  `arn:partition:cognito-idp:region:account-id:userpool/user-pool-id`
+ Para un AWS App Runner servicio, el ID es el de `apprunner-service-id` la sintaxis del ARN: 

  `arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id`

**httpSourceName**  
El origen de la solicitud. Valores posibles: `CF` para Amazon CloudFront, `APIGW` para Amazon API Gateway, `ALB` para Application Load Balancer, `APPSYNC` para Amazon Cognito AWS AppSync`APPRUNNER`, `COGNITOIDP` para App Runner `VERIFIED_ACCESS` y para Verified Access.

**httpVersion**  
La versión de HTTP.

**ja3Fingerprint**  
La JA3 huella digital de la solicitud.  
JA3 la inspección de huellas dactilares solo está disponible para CloudFront las distribuciones de Amazon y los balanceadores de carga de aplicaciones.
La JA3 huella digital es un hash de 32 caracteres derivado del protocolo TLS Hello de una solicitud entrante. Esta huella digital sirve como identificador único para la configuración de TLS del cliente. AWS WAF calcula y registra esta huella digital para cada solicitud que contenga suficiente información de TLS Client Hello para el cálculo.   
Este valor se proporciona al configurar una coincidencia de JA3 huellas digitales en las reglas del paquete de protección (ACL web). Para obtener información sobre cómo crear una coincidencia con la JA3 huella digital, consulte [JA3 huella digital](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint) [Solicita componentes en AWS WAF](waf-rule-statement-fields-list.md) la declaración de reglas.

**ja4Fingerprint**  
La JA4 huella digital de la solicitud.  
JA4 la inspección de huellas dactilares solo está disponible para CloudFront las distribuciones de Amazon y los balanceadores de carga de aplicaciones.
La JA4 huella digital es un hash de 36 caracteres derivado del protocolo TLS Hello de una solicitud entrante. Esta huella digital sirve como identificador único para la configuración de TLS del cliente. AWS WAF calcula y registra esta huella digital para cada solicitud que contenga suficiente información de TLS Client Hello para el cálculo.   
Este valor se proporciona al configurar una coincidencia de JA4 huellas digitales en las reglas del paquete de protección (ACL web). Para obtener información sobre cómo crear una coincidencia con la JA4 huella digital, consulte [JA4 huella digital](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint) [Solicita componentes en AWS WAF](waf-rule-statement-fields-list.md) la declaración de reglas.

**etiquetas**  
Las etiquetas de la solicitud web. Estas etiquetas se aplicaban mediante reglas que se utilizaban para evaluar la solicitud. AWS WAF registra las 100 primeras etiquetas. 

**nonTerminatingMatchingReglas**  
La lista de reglas de no terminación que coincidieron con la solicitud. Cada elemento en la lista contiene la siguiente información.     
acción  
La acción que AWS WAF se aplicó a la solicitud. Esto indica el recuento, el CAPTCHA o el desafío. Las CAPTCHA y Challenge son de no finalización cuando la solicitud web contiene un token válido.  
ruleId  
El ID de la regla que coincide con la solicitud y no era de finalización.   
ruleMatchDetails  
Información detallada sobre la regla que coincide con la solicitud. Este campo solo se rellena para las instrucciones de reglas de coincidencia de inyección de código SQL y scripting entre sitios (XSS). Una regla de coincidencia puede requerir una coincidencia para más de un criterio de inspección, por lo que estos detalles de coincidencia se proporcionan como una matriz de criterios de coincidencia. 
La información adicional proporcionada para cada regla varía en función de factores como la configuración de la regla, el tipo de coincidencia de la regla y los detalles de la coincidencia. Por ejemplo, en el caso de las reglas con una acción CAPTCHA o Challenge, se mostrará la `captchaResponse` o `challengeResponse`. Si la regla coincidente está en un grupo de reglas y anuló la acción de regla configurada, la acción configurada aparecerá en `overriddenAction`. 

**oversizeFields**  
La lista de campos de la solicitud web que fueron inspeccionados por el paquete de protección (ACL web) y que superan el límite de AWS WAF inspección. Si un campo es demasiado grande pero el paquete de protección (ACL web) no lo inspecciona, no aparecerá aquí.   
Esta lista puede contener cero o más de los siguientes valores: `REQUEST_BODY`, `REQUEST_JSON_BODY`, `REQUEST_HEADERS` y `REQUEST_COOKIES`. Para obtener más información acerca de los campos sobredimensionados, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).

**rateBasedRuleLista**  
La lista de reglas basadas en frecuencia que actuaron en la solicitud. Para obtener información acerca de las reglas basadas en tasas, consulte [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md).    
rateBasedRuleID  
El ID de la regla basada en frecuencia que actuó en la solicitud. Si esto ha terminado la solicitud, el ID de `rateBasedRuleId` es el mismo que el ID de `terminatingRuleId`.  
rateBasedRuleNombre  
El nombre de la regla basada en tasas que actuó en la solicitud.   
limitKey  
El tipo de agregación que utiliza la regla. Los valores posibles son `IP` para el origen de la solicitud web, `FORWARDED_IP` para una IP reenviada en un encabezado de la solicitud, `CUSTOMKEYS` para la configuración personalizada de las claves agregadas y `CONSTANT` para el recuento conjunto de todas las solicitudes, sin agregación.   
limitValue  
Se usa solo cuando se limita la tasa a un solo tipo de dirección IP. Si una solicitud contiene una dirección IP que no es válida, el `limitvalue` es `INVALID`.  
maxRateAllowed  
El número máximo de solicitudes permitido en el período especificado para una instancia de agregación específica. La instancia de agregación se define mediante la `limitKey` sumado a cualquier especificación clave adicional que haya proporcionado en la configuración de la regla basada en tasas.   
evaluationWindowSec  
La cantidad de tiempo AWS WAF incluida en su solicitud cuenta, en segundos.   
customValues  
Valores únicos identificados por la regla basada en tasas de la solicitud. En el caso de los valores de cadena, los registros imprimen los primeros 32 caracteres del valor de cadena. Según el tipo de clave, estos valores pueden ser solo para una clave, como para un método HTTP o una cadena de consulta, o pueden ser para una clave y un nombre, como para el encabezado y el nombre del encabezado. 

**requestHeadersInserted**  
La lista de encabezados insertados para la gestión personalizada de las solicitudes.

**ID de solicitud**  
El ID de la solicitud, que es generado por el servicio de alojamiento subyacente. Para el equilibrador de carga de aplicación, este es el identificador de rastro. Para el resto, este el el identificador de la solicitud. 

**responseCodeSent**  
El código de respuesta enviado con una respuesta personalizada.

**ruleGroupId**  
El ID del grupo de reglas. Si la regla bloqueó la solicitud, el ID de `ruleGroupID` es el mismo que el ID de `terminatingRuleId`. 

**ruleGroupList**  
La lista de grupos de reglas que actuaron en esta solicitud, que coinciden con la información.

**terminatingRule**  
La regla que terminó la solicitud. Si esta regla está presente, contiene la siguiente información.     
acción  
La acción de finalización que AWS WAF se aplicó a la solicitud. Esto indica permitir, bloquear, CAPTCHA o desafío. Las acciones CAPTCHA y Challenge son de finalización cuando la solicitud web no contiene un token válido.  
ruleId  
El identificador de la regla que coincide con la solicitud.   
ruleMatchDetails  
Información detallada sobre la regla que coincide con la solicitud. Este campo solo se rellena para las instrucciones de reglas de coincidencia de inyección de código SQL y scripting entre sitios (XSS). Una regla de coincidencia puede requerir una coincidencia para más de un criterio de inspección, por lo que estos detalles de coincidencia se proporcionan como una matriz de criterios de coincidencia. 
La información adicional proporcionada para cada regla varía en función de factores como la configuración de la regla, el tipo de coincidencia de la regla y los detalles de la coincidencia. Por ejemplo, en el caso de las reglas con una acción CAPTCHA o Challenge, se mostrará la `captchaResponse` o `challengeResponse`. Si la regla coincidente está en un grupo de reglas y anuló la acción de regla configurada, la acción configurada aparecerá en `overriddenAction`. 

**terminatingRuleId**  
El ID de la regla que terminó la solicitud. Si nada termina la solicitud, el valor es `Default_Action`.

**terminatingRuleMatchDetalles**  
Información detallada sobre la regla de finalización que coincide con la solicitud. Una regla de finalización tiene una acción que finaliza el proceso de inspección ante una solicitud web. Entre las posibles acciones de una regla de finalización se incluyen Allow, Block, CAPTCHA y Challenge. Durante la inspección de una solicitud web, la primera regla que coincida con la solicitud y que tenga una acción de finalización, AWS WAF detiene la inspección y aplica la acción. La solicitud web puede contener otras amenazas, además de la que aparece en el registro de la regla de finalización coincidente.  
Esto solo se rellena para las instrucciones de reglas de coincidencia de inyección de código SQL y scripting entre sitios (XSS). La regla de coincidencia puede requerir una coincidencia para más de un criterio de inspección, por lo que estos detalles de coincidencia se proporcionan como una matriz de criterios de coincidencia. 

**terminatingRuleType**  
El tipo de regla que terminó la solicitud. Valores posibles: RATE\$1BASED, REGULAR, GROUP y MANAGED\$1RULE\$1GROUP.

**timestamp**  
La marca de tiempo en milisegundos.

**uri**  
El URI de la solicitud. 

**fragment**  
La parte de una URL que sigue al símbolo “\$1” y que proporciona información adicional sobre el recurso, por ejemplo, \$1section2.

**webaclId**  
El GUID del paquete de protección (ACL web).

# Ejemplos de registro del tráfico del paquete de protección (ACL web)
<a name="logging-examples"></a>

En esta sección, se proporcionan ejemplos para registrar el tráfico del paquete de protección (ACL web).

**Example Regla basada en tasas 1: configuración de la regla con una clave, establecida en `Header:dogname`**  

```
    {
      "Name": "RateBasedRule",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "Header": {
                "Name": "dogname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RateBasedRule"
      }
    }
```

**Example Regla basada en tasas 1: entrada de registro de la solicitud bloqueada por la regla basada en tasas**  

```
{
   "timestamp":1683355579981,
   "formatVersion":1,
   "webaclId": ...,
   "terminatingRuleId":"RateBasedRule",
   "terminatingRuleType":"RATE_BASED",
   "action":"BLOCK",
   "terminatingRuleMatchDetails":[
      
   ],
   "httpSourceName":"APIGW",
   "httpSourceId":"EXAMPLE11:rjvegx5guh:CanaryTest",
   "ruleGroupList":[
      
   ],
   "rateBasedRuleList":[
      {
         "rateBasedRuleId": ...,
         "rateBasedRuleName":"RateBasedRule",
         "limitKey":"CUSTOMKEYS",
         "maxRateAllowed":100,
         "evaluationWindowSec":"120",
         "customValues":[
            {
               "key":"HEADER",
               "name":"dogname",
               "value":"ella"
            }
         ]
      }
   ],
   "nonTerminatingMatchingRules":[
      
   ],
   "requestHeadersInserted":null,
   "responseCodeSent":null,
   "httpRequest":{
      "clientIp":"52.46.82.45",
      "country":"FR",
      "headers":[
         {
            "name":"X-Forwarded-For",
            "value":"52.46.82.45"
         },
         {
            "name":"X-Forwarded-Proto",
            "value":"https"
         },
         {
            "name":"X-Forwarded-Port",
            "value":"443"
         },
         {
            "name":"Host",
            "value":"rjvegx5guh.execute-api.eu-west-3.amazonaws.com"
         },
         {
            "name":"X-Amzn-Trace-Id",
            "value":"Root=1-645566cf-7cb058b04d9bb3ee01dc4036"
         },
         {
            "name":"dogname",
            "value":"ella"
         },
         {
            "name":"User-Agent",
            "value":"RateBasedRuleTestKoipOneKeyModulePV2"
         },
         {
            "name":"Accept-Encoding",
            "value":"gzip,deflate"
         }
      ],
      "uri":"/CanaryTest",
      "args":"",
      "httpVersion":"HTTP/1.1",
      "httpMethod":"GET",
      "requestId":"Ed0AiHF_CGYF-DA="
   }
}
```

**Example Regla basada en tasas 2: configuración de la regla con dos claves, establecidas en `Header:dogname` y `Header:catname`**  

```
    {
      "Name": "RateBasedRule",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "Header": {
                "Name": "dogname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            },
            {
              "Header": {
                "Name": "catname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RateBasedRule"
      }
    }
```

**Example Regla basada en tasas 2: entrada de registro de la solicitud bloqueada por la regla basada en tasas**  

```
{
   "timestamp":1633322211194,
   "formatVersion":1,
   "webaclId":...,
   "terminatingRuleId":"RateBasedRule",
   "terminatingRuleType":"RATE_BASED",
   "action":"BLOCK",
   "terminatingRuleMatchDetails":[
      
   ],
   "httpSourceName":"APIGW",
   "httpSourceId":"EXAMPLE11:rjvegx5guh:CanaryTest",
   "ruleGroupList":[
      
   ],
   "rateBasedRuleList":[
      {
         "rateBasedRuleId":...,
         "rateBasedRuleName":"RateBasedRule",
         "limitKey":"CUSTOMKEYS",
         "maxRateAllowed":100,
         "evaluationWindowSec":"120",
         "customValues":[
            {
               "key":"HEADER",
               "name":"dogname",
               "value":"ella"
            },
            {
               "key":"HEADER",
               "name":"catname",
               "value":"goofie"
            }
         ]
      }
   ],
   "nonTerminatingMatchingRules":[
      
   ],
   "requestHeadersInserted":null,
   "responseCodeSent":null,
   "httpRequest":{
      "clientIp":"52.46.82.35",
      "country":"FR",
      "headers":[
         {
            "name":"X-Forwarded-For",
            "value":"52.46.82.35"
         },
         {
            "name":"X-Forwarded-Proto",
            "value":"https"
         },
         {
            "name":"X-Forwarded-Port",
            "value":"443"
         },
         {
            "name":"Host",
            "value":"23llbyn8v3.execute-api.eu-west-3.amazonaws.com"
         },
         {
            "name":"X-Amzn-Trace-Id",
            "value":"Root=1-64556629-17ac754c2ed9f0620e0f2a0c"
         },
         {
            "name":"catname",
            "value":"goofie"
         },
         {
            "name":"dogname",
            "value":"ella"
         },
         {
            "name":"User-Agent",
            "value":"Apache-HttpClient/UNAVAILABLE (Java/11.0.19)"
         },
         {
            "name":"Accept-Encoding",
            "value":"gzip,deflate"
         }
      ],
      "uri":"/CanaryTest",
      "args":"",
      "httpVersion":"HTTP/1.1",
      "httpMethod":"GET",
      "requestId":"EdzmlH5OCGYF1vQ="
   }
}
```

**Example Salida de registro de una regla que se activó al SQLi detectarse (finalizar)**  

```
{
    "timestamp": 1576280412771,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:ap-southeast-2:111122223333:regional/webacl/STMTest/1EXAMPLE-2ARN-3ARN-4ARN-123456EXAMPLE",
    "terminatingRuleId": "STMTest_SQLi_XSS",
    "terminatingRuleType": "REGULAR",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [
        {
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "HEADER",
            "matchedData": [
                "10",
                "AND",
                "1"
            ]
        }
    ],
    "httpSourceName": "-",
    "httpSourceId": "-",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "httpRequest": {
        "clientIp": "1.1.1.1",
        "country": "AU",
        "headers": [
            {
                "name": "Host",
                "value": "localhost:1989"
            },
            {
                "name": "User-Agent",
                "value": "curl/7.61.1"
            },
            {
                "name": "Accept",
                "value": "*/*"
            },
            {
                "name": "x-stm-test",
                "value": "10 AND 1=1"
            }
        ],
        "uri": "/myUri",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Resultado de registro de una regla que se activó al SQLi detectarse (sin finalizar)**  

```
{
    "timestamp":1592357192516
    ,"formatVersion":1
    ,"webaclId":"arn:aws:wafv2:us-east-1:123456789012:global/webacl/hello-world/5933d6d9-9dde-js82-v8aw-9ck28nv9"
    ,"terminatingRuleId":"Default_Action"
    ,"terminatingRuleType":"REGULAR"
    ,"action":"ALLOW"
    ,"terminatingRuleMatchDetails":[]
    ,"httpSourceName":"-"
    ,"httpSourceId":"-"
    ,"ruleGroupList":[]
    ,"rateBasedRuleList":[]
    ,"nonTerminatingMatchingRules":
    [{
        "ruleId":"TestRule"
        ,"action":"COUNT"
        ,"ruleMatchDetails":
        [{
            "conditionType":"SQL_INJECTION"
            ,"sensitivityLevel": "HIGH"
            ,"location":"HEADER"
            ,"matchedData":[
                "10"
                ,"and"
                ,"1"]
            }]
    }]
    ,"httpRequest":{
        "clientIp":"3.3.3.3"
        ,"country":"US"
        ,"headers":[
            {"name":"Host","value":"localhost:1989"}
            ,{"name":"User-Agent","value":"curl/7.61.1"}
            ,{"name":"Accept","value":"*/*"}
            ,{"name":"myHeader","myValue":"10 AND 1=1"}
            ]
            ,"uri":"/myUri","args":""
            ,"httpVersion":"HTTP/1.1"
            ,"httpMethod":"GET"
            ,"requestId":"rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Resultado de registro de varias reglas que se activaron dentro de un grupo de reglas (RuleA-XSS es de finalización y la Rule-B, no)**  

```
{
    "timestamp":1592361810888,
    "formatVersion":1,
    "webaclId":"arn:aws:wafv2:us-east-1:123456789012:global/webacl/hello-world/5933d6d9-9dde-js82-v8aw-9ck28nv9"
    ,"terminatingRuleId":"RG-Reference"
    ,"terminatingRuleType":"GROUP"
    ,"action":"BLOCK",
    "terminatingRuleMatchDetails":
    [{
        "conditionType":"XSS"
        ,"location":"HEADER"
        ,"matchedData":["<","frameset"]
    }]
    ,"httpSourceName":"-"
    ,"httpSourceId":"-"
    ,"ruleGroupList":
    [{
        "ruleGroupId":"arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/hello-world/c05lb698-1f11-4m41-aef4-99a506d53f4b"
        ,"terminatingRule":{
            "ruleId":"RuleA-XSS"
            ,"action":"BLOCK"
            ,"ruleMatchDetails":null
            }
        ,"nonTerminatingMatchingRules":
        [{
            "ruleId":"RuleB-SQLi"
            ,"action":"COUNT"
            ,"ruleMatchDetails":
            [{
                "conditionType":"SQL_INJECTION"
                ,"sensitivityLevel": "LOW"
                ,"location":"HEADER"
                ,"matchedData":[
                    "10"
                    ,"and"
                    ,"1"]
            }]
        }]
        ,"excludedRules":null
    }]
    ,"rateBasedRuleList":[]
    ,"nonTerminatingMatchingRules":[]
    ,"httpRequest":{
        "clientIp":"3.3.3.3"
        ,"country":"US"
        ,"headers":
        [
            {"name":"Host","value":"localhost:1989"}
            ,{"name":"User-Agent","value":"curl/7.61.1"}
            ,{"name":"Accept","value":"*/*"}
            ,{"name":"myHeader1","value":"<frameset onload=alert(1)>"}
            ,{"name":"myHeader2","value":"10 AND 1=1"}
            ]
        ,"uri":"/myUri"
        ,"args":""
        ,"httpVersion":"HTTP/1.1"
        ,"httpMethod":"GET"
        ,"requestId":"rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Resultado de registro de una regla que se activó para inspeccionar el cuerpo de la solicitud con el tipo de contenido JSON**  
AWS WAF actualmente informa que la ubicación de la inspección corporal en JSON es. `UNKNOWN`  

```
{
    "timestamp": 1576280412771,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:ap-southeast-2:123456789012:regional/webacl/test/111",
    "terminatingRuleId": "STMTest_SQLi_XSS",
    "terminatingRuleType": "REGULAR",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [
        {
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "LOW",
            "location": "UNKNOWN",
            "matchedData": [
                "10",
                "AND",
                "1"
            ]
        }
    ],
    "httpSourceName": "ALB",
    "httpSourceId": "alb",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted":null,
    "responseCodeSent":null,
    "httpRequest": {
        "clientIp": "1.1.1.1",
        "country": "AU",
        "headers": [],
        "uri": "",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "POST",
        "requestId": "null"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Resultado de registro de una regla de CAPTCHA para una solicitud web con un token de CAPTCHA válido y vigente**  
La siguiente lista de registros corresponde a una solicitud web que asoció una regla con una acción CAPTCHA. La solicitud web tiene un token de CAPTCHA válido y no caducado, y solo se anota cuando coincide con el CAPTCHA AWS WAF, de forma similar al comportamiento de la acción. Count Esta coincidencia de CAPTCHA se indica en `nonTerminatingMatchingRules`.  

```
{
  "timestamp": 1632420429309,
  "formatVersion": 1,
  "webaclId": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/captcha-web-acl/585e38b5-afce-4d2a-b417-14fb08b66c67",
  "terminatingRuleId": "Default_Action",
  "terminatingRuleType": "REGULAR",
  "action": "ALLOW",
  "terminatingRuleMatchDetails": [],
  "httpSourceName": "APIGW",
  "httpSourceId": "123456789012:b34myvfw0b:pen-test",
  "ruleGroupList": [],
  "rateBasedRuleList": [],
  "nonTerminatingMatchingRules": [
    {
      "ruleId": "captcha-rule",
      "action": "CAPTCHA",
      "ruleMatchDetails": [],
      "captchaResponse": {
        "responseCode": 0,
        "solveTimestamp": 1632420429
      }
    }
  ],
  "requestHeadersInserted": [
    {
      "name": "x-amzn-waf-test-header-name",
      "value": "test-header-value"
    }
  ],
  "responseCodeSent": null,
  "httpRequest": {
    "clientIp": "72.21.198.65",
    "country": "US",
    "headers": [
      {
        "name": "X-Forwarded-For",
        "value": "72.21.198.65"
      },
      {
        "name": "X-Forwarded-Proto",
        "value": "https"
      },
      {
        "name": "X-Forwarded-Port",
        "value": "443"
      },
      {
        "name": "Host",
        "value": "b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com"
      },
      {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-614cc24d-5ad89a09181910c43917a888"
      },
      {
        "name": "cache-control",
        "value": "max-age=0"
      },
      {
        "name": "sec-ch-ua",
        "value": "\"Chromium\";v=\"94\", \"Google Chrome\";v=\"94\", \";Not A Brand\";v=\"99\""
      },
      {
        "name": "sec-ch-ua-mobile",
        "value": "?0"
      },
      {
        "name": "sec-ch-ua-platform",
        "value": "\"Windows\""
      },
      {
        "name": "upgrade-insecure-requests",
        "value": "1"
      },
      {
        "name": "user-agent",
        "value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.54 Safari/537.36"
      },
      {
        "name": "accept",
        "value": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
      },
      {
        "name": "sec-fetch-site",
        "value": "same-origin"
      },
      {
        "name": "sec-fetch-mode",
        "value": "navigate"
      },
      {
        "name": "sec-fetch-user",
        "value": "?1"
      },
      {
        "name": "sec-fetch-dest",
        "value": "document"
      },
      {
        "name": "referer",
        "value": "https://b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com/pen-test/pets"
      },
      {
        "name": "accept-encoding",
        "value": "gzip, deflate, br"
      },
      {
        "name": "accept-language",
        "value": "en-US,en;q=0.9"
      },
      {
        "name": "cookie",
        "value": "aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
      }
    ],
    "uri": "/pen-test/pets",
    "args": "",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "GINMHHUgoAMFxug="
  }
}
```

**Example Resultado de registro de una regla de CAPTCHA para una solicitud web que no tiene un token de CAPTCHA**  
La siguiente lista de registros corresponde a una solicitud web que asoció una regla con una acción CAPTCHA. La solicitud web no tenía un token CAPTCHA y estaba bloqueada por. AWS WAF  

```
{
  "timestamp": 1632420416512,
  "formatVersion": 1,
  "webaclId": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/captcha-web-acl/585e38b5-afce-4d2a-b417-14fb08b66c67",
  "terminatingRuleId": "captcha-rule",
  "terminatingRuleType": "REGULAR",
  "action": "CAPTCHA",
  "terminatingRuleMatchDetails": [],
  "httpSourceName": "APIGW",
  "httpSourceId": "123456789012:b34myvfw0b:pen-test",
  "ruleGroupList": [],
  "rateBasedRuleList": [],
  "nonTerminatingMatchingRules": [],
  "requestHeadersInserted": null,
  "responseCodeSent": 405,
  "httpRequest": {
    "clientIp": "72.21.198.65",
    "country": "US",
    "headers": [
      {
        "name": "X-Forwarded-For",
        "value": "72.21.198.65"
      },
      {
        "name": "X-Forwarded-Proto",
        "value": "https"
      },
      {
        "name": "X-Forwarded-Port",
        "value": "443"
      },
      {
        "name": "Host",
        "value": "b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com"
      },
      {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-614cc240-18b57ff33c10e5c016b508c5"
      },
      {
        "name": "sec-ch-ua",
        "value": "\"Chromium\";v=\"94\", \"Google Chrome\";v=\"94\", \";Not A Brand\";v=\"99\""
      },
      {
        "name": "sec-ch-ua-mobile",
        "value": "?0"
      },
      {
        "name": "sec-ch-ua-platform",
        "value": "\"Windows\""
      },
      {
        "name": "upgrade-insecure-requests",
        "value": "1"
      },
      {
        "name": "user-agent",
        "value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.54 Safari/537.36"
      },
      {
        "name": "accept",
        "value": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
      },
      {
        "name": "sec-fetch-site",
        "value": "cross-site"
      },
      {
        "name": "sec-fetch-mode",
        "value": "navigate"
      },
      {
        "name": "sec-fetch-user",
        "value": "?1"
      },
      {
        "name": "sec-fetch-dest",
        "value": "document"
      },
      {
        "name": "accept-encoding",
        "value": "gzip, deflate, br"
      },
      {
        "name": "accept-language",
        "value": "en-US,en;q=0.9"
      }
    ],
    "uri": "/pen-test/pets",
    "args": "",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "GINKHEssoAMFsrg="
  },
  "captchaResponse": {
    "responseCode": 405,
    "solveTimestamp": 0,
    "failureReason": "TOKEN_MISSING"
  }
}
```

# Protección de datos
<a name="data-protection-masking"></a>

AWS WAF La configuración de protección de datos le permite implementar una protección personalizada y detallada de la información confidencial (contraseñas, claves de API, identificadores de autenticación y otros datos confidenciales) en campos de datos específicos, como los encabezados, los parámetros y el contenido del cuerpo.

Puede configurar la protección de datos en:
+ El nivel del paquete de protección (ACL web), que se aplica a todos los destinos de salida.
+ Solo el registro, lo que solo afecta a los datos que se AWS WAF envían al destino de registro configurado. 

La protección de los datos se puede especificar como sustitución o como hashing. 

La sustitución se refiere a reemplazar el contenido por la palabra `REDACTED`. 

 El hashing se refiere a reemplazar el contenido, desde una cadena hasta un binario SHA-256 o Base64:

1. En primer lugar, el algoritmo crea una cadena a partir de account\$1number y content.

1. A continuación, aplica el SHA-256 para producir un hash binario.

1. Por último, codifica esos bytes mediante Base64.

**sugerencia**  
 Debe revisar las características del hash SHA-256 para determinar si cumple con sus requisitos antes de seleccionar el método de protección de datos adecuado. No recomendamos usar el hash SHA-256 si se pretende conseguir un resultado equivalente al cifrado o la tokenización.

**Topics**
+ [

# Habilitar la protección de datos
](enable-protection.md)
+ [

# Excepciones de protección de datos
](data-protection-exceptions.md)
+ [

# Limitaciones de la protección de datos
](data-protection-limitations.md)
+ [

# Ejemplos de protección de datos
](data-protection-examples.md)
+ [

# Configuración de la protección de datos para un paquete de protección (ACL web)
](data-protection-configure.md)

# Habilitar la protección de datos
<a name="enable-protection"></a>

En esta sección, se explican las opciones de protección de datos y configuración de registros que puede seleccionar en la consola. Puede proteger los datos que aparecen en los registros mediante la habilitación de la protección de datos en determinados campos. La protección de datos se puede aplicar para transformar la información confidencial en varios tipos de resultados, que incluyen los registros completos, las solicitudes de muestras y Security Lake.

**Para habilitar la protección de datos en la AWS WAF consola**

Navegue a la página de **paquetes de protección (web ACLs)** de la consola para **activar la configuración de protección**. Para habilitar la protección de datos para sus registros, elija si desea aplicarla a todos los registros o a un destino de registro específico. Para obtener información, consulte [Campos de registro para el tráfico del paquete de protección (ACL web)](logging-fields.md).

**nota**  
No es necesario habilitar el registro para aplicar la protección de datos en todos los registros. La protección de datos se aplicará en todos los destinos de salida, independientemente de si el registro está habilitado. 

En la parte inferior de la página **Habilitar la configuración de protección**, seleccione el botón **Agregar campo** en el panel **Campos de protección de datos**. Seleccione el tipo de campo en el menú desplegable. Para obtener información sobre cómo se protegen los datos de cada campo mediante la protección de datos, consulte la tabla siguiente.


| Tipo de campo | Details | 
| --- | --- | 
|  `Single header`  |  Transforma permanentemente el valor clave de encabezado especificado según la opción especificada (hashing o sustitución). El valor transformado también se reflejará en registros completos.  | 
|  `Body`  |  Transforma permanentemente el valor del cuerpo. Aplicable únicamente para `RuleMatchDetails` en el registro.  | 
|  `Query string`  |  Transforma permanentemente la cadena de consulta según la opción especificada (hashing o sustitución). El valor transformado también se reflejará en registros completos.  | 
|  `Single query argument`  |  Transforma permanentemente el valor del argumento de consulta especificado según la opción especificada (hashing o sustitución). El valor transformado también se reflejará en registros completos.  | 
|  `Single cookie`  |  Transforma permanentemente el valor de la cookie según la opción especificada (hashing o sustitución). El valor transformado también se reflejará en registros completos.  | 

# Excepciones de protección de datos
<a name="data-protection-exceptions"></a>

Cuando está habilitada, la protección de datos se aplicará a los campos en los que esté habilitada, lo que incluye `RuleMatchDetails` y `rateBasedRuleList`. Sin embargo, hay casos en los que es posible que desee incluir los datos y el contenido protegidos en `RuleMatchDetails` y `rateBasedRuleList` con fines de resolución de problemas y visibilidad. En estos escenarios, puede especificar excepciones a la protección de datos para ese campo.
+ **`ExcludeRuleMatchDetails`**: si especifica esta excepción para un campo específico, `RuleMatchDetails` mostrará el valor del campo y no se incluirá en el ámbito de la protección de datos. 
+ **`ExcludeRateBasedDetails`**: si especifica esta excepción para un campo específico, `rateBasedRuleList` mostrará el valor del campo y no se incluirá en el ámbito de la protección de datos.

  Ejemplo: la regla `ExcludeRateBasedDetails` está habilitada en **SINGLE\$1HEADER** y **HEADER\$1NAME** para “dogname”.

  Si no se aplica ninguna excepción a la regla, el valor de “dogname” aparecerá como `REDACTED`.

  ```
  "rateBasedRuleList":[ {"rateBasedRuleId": ...,
                          "rateBasedRuleName":"RateBasedRule", "limitKey":"CUSTOMKEYS",
                          "maxRateAllowed":100, "evaluationWindowSec":"120", "customValues":[
                          {"key":"HEADER", "name":"dogname", "value":"REDACTED" } ] } ]
  ```

  Si se habilita una excepción en la regla, el valor “dogname” aparecerá en el registro.

  ```
   "rateBasedRuleList":[ {"rateBasedRuleId": ...,
                          "rateBasedRuleName":"RateBasedRule", "limitKey":"CUSTOMKEYS",
                          "maxRateAllowed":100, "evaluationWindowSec":"120", "customValues":[
                          {"key":"HEADER", "name":"dogname", "value":"ELLA" } ] } ]
  ```

**aviso**  
La función de protección de datos podría afectar a AWS WAF las capacidades de solución de problemas. Estos ajustes pueden provocar comportamientos de detección y mitigación inesperados. Limite la protección de datos de parámetros específicos a solo aquellos que sean absolutamente necesarios.

# Limitaciones de la protección de datos
<a name="data-protection-limitations"></a>

A continuación, se describen las limitaciones que se deben tener en cuenta al utilizar la protección de datos.

## QueryString y SingleQueryArg
<a name="queries"></a>

**QueryString Protección**
+ La protección de datos activada `QueryString` se aplica a todos los argumentos de consulta, substituting/hashing tanto a las claves como a los valores, según la configuración especificada.

**QueryString en `RuleMatch` detalles y listas de `RateBased` reglas**
+ Si la protección de datos se aplica a un argumento de consulta única, toda la cadena de consulta estará substituted/hashed en la `RateBasedRule` sección `RuleMatchDetails` y de los registros completos.
+ Si se especifican diferentes métodos de protección (sustitución y hashing) en varios argumentos de una sola consulta, el método más estricto, la sustitución, se aplicará a toda la cadena de consulta en las secciones `RuleMatchDetails` y `RateBasedRule` de los registros completos.

## Cookies
<a name="cookies"></a>

**nota**  
 La protección de datos solo se aplica a los valores de la cookie cuando la cookie de encabezado único está protegida. 

**Cookie única en listas `RuleMatchDetails` y `RateBasedRule`**
+ Si la protección de datos se aplica a una sola cookie, todo el encabezado de la cookie aparecerá substituted/hashed en la `RateBasedRule` sección `RuleMatchDetails` y de los registros completos.
+ Si se especifican diferentes métodos de protección (sustitución y hashing), el método más estricto, la sustitución, se aplicará a toda la cookie en las secciones `RuleMatchDetails` y `RateBasedRule` de los registros completos.

# Ejemplos de protección de datos
<a name="data-protection-examples"></a>

En esta sección, se proporcionan ejemplos de registro de protección de datos del tráfico de paquetes de protección (ACL web).

## DataProtection hash
<a name="dataprotection-hashing"></a>

Webacl config

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_QUERY_ARGUMENT",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Ejemplo DataProtection de hash: entrada de registro protegida con el SingleQuery argumento «hoppy».

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM=" ],
                "matchedFieldName": "hoppy"
        }]
    }],
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }],
    "uri": "/CanaryTest",
    "args": "hoppy=z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM=&yellow=hello&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## DataProtection sustitución
<a name="dataprotection-substitution"></a>

Webacl config

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_QUERY_ARGUMENT",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "SUBSTITUTION",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Ejemplo de DataProtection sustitución: entrada de registro con el argumento de consulta única «hoppy» protegido

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": []
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }],
    "uri": "/CanaryTest",
    "args": "hoppy=REDACTED&yellow=hello&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## Retención de datos en RuleMatchDetails
<a name="rulematchdetails-retain-data"></a>

Webacl config

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_HEADER",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": true,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Ejemplo de retención de datos en RuleMatchDetails: entrada de registro con un único `Header` «hoppy» protegido, pero el valor solo se conserva en`RuleMatchDetails`.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "HEADER",
                "matchedData": [ "10", "AND", "1" ],
                "matchedFieldName": "hoppy"
        }]
    }],
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "hoppy",
        "value": "zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }, {
        "name": "hoppy",
        "value": "z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM="
    }],
    "uri": "/CanaryTest",
    "args": "happy=true",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## Retención de datos en rateBasedRule
<a name="ratebasedrule-retain-data"></a>

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_HEADER",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": true
                }
             ]
           }
```

Ejemplo de retención de datos en rateBasedRule una lista: entrada de registro con el único `Header` «hoppy» protegido, pero el valor solo se conserva en `rateBasedRuleList`

```
{
    "timestamp": 1683355579981,
    "formatVersion": 1,
    "webaclId": ...,
    "terminatingRuleId": "RateBasedRule",
    "terminatingRuleType": "RATE_BASED",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "EXAMPLE11:rjvegx5guh:CanaryTest",
    "ruleGroupList": [],
    "rateBasedRuleList": [{
        "rateBasedRuleId": ...,
        "rateBasedRuleName": "RateBasedRule",
        "limitKey": "CUSTOMKEYS",
        "maxRateAllowed": 100,
        "evaluationWindowSec": "120",
        "customValues": [{
            "key": "HEADER",
            "name": "hoppy",
            "value": "ella"
        }]
    }],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "52.46.82.45",
        "country": "FR",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "52.46.82.45"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "rjvegx5guh.execute-api.eu-west-3.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-645566cf-7cb058b04d9bb3ee01dc4036"
        }, {
            "name": "hoppy",
            "value": "zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="
        }, {
            "name": "User-Agent",
            "value": "RateBasedRuleTestKoipOneKeyModulePV2"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip,deflate"
        }],
        "uri": "/CanaryTest",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "Ed0AiHF_CGYF-DA="
    }
}
```

## Protección de datos para el cuerpo
<a name="dataprotection-body"></a>

AWS WAF registre solo subconjuntos de Body. `RuleMatchDetails`

Webacl config

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "BODY"
                    },
                    "action": "SUBSTITUTE",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Ejemplo DataProtection de cuerpo: entrada de registro con cuerpo sustituido. `ruleMatchDetails`

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIBody",
        "action": "COUNT",
        "ruleMatchDetails": [{
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "BODY",
            "matchedData": ["REDACTED"]
        }]
    }],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=dog;"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=abc&hoppy-query=xyz&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Protección de datos para `SINGLE_COOKIE`
<a name="single-cookie-data-protection"></a>

Webacl config

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_COOKIE",
                        "field_keys": [
                            "MILO"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Ejemplo DataProtection para`SINGLE_COOKIE`: entrada de registro protegida con un `SINGLE_COOKIE` nombre «MILO».

El registro completo muestra que la cookie denominada MILO está protegida en `ruleMatchDetails` y el encabezado de la cookie. Solo se protegen los valores de las cookies y se excluyen los nombres de las claves.

**nota**  
Todos los campos protegidos (encabezado único, cookie, argumento de consulta) no distinguen mayúsculas de minúsculas. Por lo tanto, en este ejemplo, “MILO” coincide con “milo”.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "COOKIE",
            "matchedData": ["zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="],
            "matchedFieldName": "milo"
        }]
    }],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=dog;milo=zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE=;aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
        }],
        "uri": "/CanaryTest",
        "args": "baloo=abc&hoppy-query=xyz&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Protección de datos para todas las cookies
<a name="all-cookies-data-protection"></a>

Puede configurar la protección de datos para las cookies mediante el uso de `SINGLE_HEADER`. Solo se protegen los valores de las cookies y se excluyen los nombres de las claves.

```
"DataProtectionConfig": {
    "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_HEADER",
                "FieldKeys": ["cookie"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Ejemplo DataProtection de `header ` «COOKIE»: entrada de registro con el encabezado de la cookie protegido.

**nota**  
El nombre de la cookie `AWS-WAF-TOKEN` está fuera del alcance de la protección de datos.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=REDACTED;milo=REDACTED;aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
        }],
        "uri": "/CanaryTest",
        "args": "baloo=xyz=&hoppy-query=abc&x-hoppy-extra=abc",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Protección de datos para argumentos de consulta única
<a name="single-query-argument"></a>

Puede configurar la protección de datos para una cadena de consulta mediante `SINGLE_QUERY_ARGUMENT`. Esto afecta a las claves y los valores de todos los argumentos de consulta. En los siguientes ejemplos, la cadena de consulta original era `baloo=10 AND 1=1&hoppy=10 AND 1=1&x-hoppy-extra=generic-%3Cwords`.

Webacl config

```
"DataProtectionConfig": {
   "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["hoppy"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Ejemplo DataProtection de`SINGLE_QUERY_ARGUEMENT`: entrada de registro con cadena de consulta «hoppy» protegida con sustituciones.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["REDACTED"],
                "matchedFieldName": "hoppy"
            }]
      },
      {
        "ruleId": "FullQueryStringInspectionWhichDetectsTheFirstFieldWithSQLi_Baloo_IsAlsoMaskedMasked",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_ARGS",
                "matchedData": ["REDACTED"],
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "10", "AND", "1" ],
                "matchedFieldName": "baloo"
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=10 AND 1=1&hoppy=REDACTED&x-hoppy-extra=generic-%3Cwords",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Protección de datos para cadenas de consulta
<a name="data-protection-query-string"></a>

Puede configurar la protección de datos para una cadena de consulta mediante `QUERY_STRING`. Esto afecta a las claves y los valores de todos los argumentos de consulta. En los siguientes ejemplos, la cadena de consulta original era `baloo=10 AND 1=1&hoppy-query=10 AND 1=1&x-hoppy-extra=generic-%3Cwords`.

Webacl config

```
"DataProtectionConfig": {
 "DataProtections": [
 {
 "Field": {
 "FieldType": "QUERY_STRING"
 },
 "Action": "SUBSTITUTION",
 "ExcludeRuleMatchDetails": false,
 "ExcludeRateBasedDetails": false
 }
 ]
}
```

Ejemplo DataProtection de`QUERY_STRING`: entrada de registro con una cadena de consulta protegida con sustituciones.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_STRING",
                "matchedData": ["REDACTED"]
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "REDACTED" ],
                "matchedFieldName": "REDACTED"
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "REDACTED",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Protección de datos para múltiples argumentos de consulta
<a name="data-protection-multiple-query-arguments"></a>

Puede configurar la protección de datos para argumentos de consulta individuales mediante `SINGLE_QUERY_ARGUMENT`. Al reportar información local, usamos protecciones locales. Sin embargo, las cadenas que coinciden en la cadena de consulta y en el encabezado de la cookie tienen muchas configuraciones de protección que podrían aplicarse. Para simplificar, se aplica la protección más estricta para `RuleMatchDetails`, incluso si no se superpone con el rango de datos específico correspondiente.

En los siguientes ejemplos, la cadena de consulta original era `baloo=is_a_good_boy&hoppy=likes_to_sleep&x-hoppy-extra=10 AND 1=1`.

```
"DataProtectionConfig": {
    "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["hoppy"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        },
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["baloo"]
            },
            "Action": "HASH",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Ejemplo DataProtection de varios argumentos de consulta.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["REDACTED"],
                "matchedFieldName": "hoppy"
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="],
                "matchedFieldName": "baloo"
            }]
      },
      {
        "ruleId": "FullQueryStringDetects_x-hoppy-extra_IsSubstituted",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_ARGS",
                "matchedData": ["REDACTED"],  // Harshest of Protection Config
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE=&hoppy=REDACTED&x-hoppy-extra=10 AND 1=1",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

**nota**  
No puede especificar tanto el **QueryString enmascaramiento como el** **enmascaramiento de argumento de consulta única en la misma WebACL**.

# Configuración de la protección de datos para un paquete de protección (ACL web)
<a name="data-protection-configure"></a>

En esta sección, se proporcionan instrucciones para configurar la protección de datos para un paquete de protección (ACL web).

**Configuración de la protección de datos para un paquete de protección (ACL web)**

1. Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, selecciona los **paquetes de protección (web ACLs)**.

1. Elija el nombre del paquete de protección (ACL web) para el que desea habilitar la protección de datos. La consola lo lleva a la descripción del paquete de protección (ACL web), donde puede editarla.

1. En la pestaña **Registro y métricas**, en el panel **Configuración de protección de datos**, seleccione **Habilitar** o **Editar**.

1. Elija el ámbito **Global** y, a continuación, haga sus selecciones de protección de datos de campo. Para cada configuración de protección de datos de campo, también puede especificar excepciones para excluirlas del comportamiento de protección. 

1. Cuando haya terminado de seleccionar opciones, elija **Guardar**. La interfaz vuelve a la pestaña **Registro y métricas**, donde se resumen las selecciones.

# Probando y ajustando sus AWS WAF protecciones
<a name="web-acl-testing"></a>

En esta sección se proporcionan instrucciones para probar y ajustar los paquetes de AWS WAF protección (web ACLs), las reglas, los grupos de reglas, los conjuntos de IP y los conjuntos de patrones de expresiones regulares.

Le recomendamos que pruebe y ajuste los cambios introducidos en su paquete de AWS WAF protección (ACL web) antes de aplicarlos al tráfico de su sitio web o aplicación web. 

**Riesgo de tráfico de producción**  
Antes de implementar su paquete de protección (ACL web) para el tráfico de producción, pruébelo y ajústelo en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. 

En esta sección, también se proporcionan instrucciones generales para probar el uso de grupos de reglas administradas por otra persona. Estos incluyen los grupos de reglas AWS AWS Marketplace administradas, los grupos de reglas administradas y los grupos de reglas que otra cuenta comparte con usted. Para estos grupos de reglas, siga también las instrucciones que le dé el proveedor del grupo de reglas.
+ Para ver el grupo de reglas AWS administradas de control de bots, consulte también[Prueba e implementación de AWS WAF Bot Control](waf-bot-control-deploying.md). 
+ Para ver el grupo de reglas de reglas AWS administradas para prevenir la apropiación de cuentas, consulte [Pruebas e implementación de la ATP](waf-atp-deploying.md) también. 
+ Para ver el grupo de reglas AWS administradas para la prevención del fraude en la creación de cuentas, consulte [Pruebas implementación de la ACFP](waf-acfp-deploying.md) también. 

**Incoherencias temporales durante las actualizaciones**  
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. 

A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios: 
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible. 
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros. 
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.

# Comprobación y ajuste de los pasos de alto nivel
<a name="web-acl-testing-high-level"></a>

Esta sección proporciona una lista de verificación de los pasos para probar los cambios en la ACL web, incluidas las reglas o grupos de reglas que utilice. 

**nota**  
Para seguir las instrucciones de esta sección, debe comprender cómo crear y administrar AWS WAF protecciones, como paquetes de protección (web ACLs), reglas y grupos de reglas. Esta información se describe en secciones anteriores de esta guía.

**Prueba y ajuste de su paquete de protección (ACL web)**

Realice estos pasos primero en un entorno de prueba y, después, en producción.

1. 

**Preparativos para la prueba**

   Prepare su entorno de supervisión, cambie AWS WAF las nuevas protecciones al modo de recuento para realizar pruebas y cree las asociaciones de recursos que necesite. 

   Consulte [Preparándose para probar sus AWS WAF protecciones](web-acl-testing-prep.md). 

1. 

**Monitorización y ajuste de los entornos de prueba y producción**

   Supervise y ajuste sus AWS WAF protecciones primero en un entorno de prueba o ensayo y, después, en producción, hasta que esté convencido de que pueden gestionar el tráfico tal y como lo necesita. 

   Consulte [Supervisión y ajuste de sus AWS WAF protecciones](web-acl-testing-activities.md). 

1. 

**Habilitación de sus protecciones en la producción**

   Cuando esté satisfecho con las protecciones de prueba, cámbielas al modo de producción, elimine los artefactos de prueba innecesarios y continúe con la monitorización.

   Consulte [Habilitación de sus protecciones en la producción](web-acl-testing-enable-production.md). 

Cuando haya terminado de implementar los cambios, continúe monitorizando el tráfico web y las protecciones en producción para asegurarse de que funcionan como desee. Los patrones de tráfico web pueden cambiar con el tiempo, por lo que es posible que tenga que ajustar las protecciones de vez en cuando.

# Preparándose para probar sus AWS WAF protecciones
<a name="web-acl-testing-prep"></a>

En esta sección se describe cómo prepararse para probar y ajustar sus AWS WAF protecciones. 

**nota**  
Para seguir las instrucciones de esta sección, debe comprender en general cómo crear y administrar AWS WAF protecciones, como los paquetes de protección (web ACLs), las reglas y los grupos de reglas. Esta información se describe en secciones anteriores de esta guía.

**Prepararse para la prueba**

1. 

**Habilite el registro del paquete de protección (ACL web), CloudWatch las métricas de Amazon y el muestreo de solicitudes web para el paquete de protección (ACL web)**

   Utilice el registro, las métricas y el muestreo para monitorizar la interacción de las reglas del paquete de protección (ACL web) con el tráfico web. 
   + **Registro**: puede configurarlo AWS WAF para registrar las solicitudes web que evalúa un paquete de protección (ACL web). Puede enviar registros a CloudWatch registros, a un bucket de Amazon S3 o a una transmisión de entrega de Amazon Data Firehose. Puede redactar campos y aplicar filtros. Para obtener más información, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 
   + **Amazon Security Lake**: puede configurar Security Lake para recopilar datos del paquete de protección (ACL web). Security Lake recopila datos de registros y eventos de diversos orígenes de para su normalización, análisis y administración. Para obtener información sobre esta opción, consulte [¿Qué es Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) y [Recopilación de datos de AWS los servicios de](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) la *guía del usuario de Amazon Security Lake*. 
   + ** CloudWatch Métricas de Amazon**: en la configuración de su paquete de protección (ACL web), proporcione especificaciones métricas para todo lo que desee supervisar. Puede ver las métricas a través de las CloudWatch consolas AWS WAF y. Para obtener más información, consulte [Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md). 
   + **Muestreo de solicitudes web**: puede ver una muestra de todas las solicitudes web que evalúa el paquete de protección (ACL web). Para obtener información sobre cómo el muestreo de las solicitudes de web, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). 

1. 

**Configuración de las protecciones en modo Count**

   En su configuración del paquete de protección (ACL web), cambie todo lo que desee probar al modo de recuento. Esto hace que las protecciones de prueba registren las coincidencias con las solicitudes web sin alterar la forma en que se gestionan las solicitudes. Podrá ver las coincidencias en sus métricas, registros y solicitudes muestreadas para verificar los criterios de coincidencia y comprender cuáles podrían ser los efectos en el tráfico web. Las reglas que agregan etiquetas a las solicitudes coincidentes agregarán etiquetas independientemente de la acción de regla. 
   + **Regla definida en el paquete de protección (ACL web)**: edite las reglas en el paquete de protección (ACL web) y establezca sus acciones para Count. 
   + **Grupo de reglas**: en su configuración del paquete de protección (ACL web), edite la instrucción de reglas del grupo de reglas y, en el panel **Reglas**, abra el menú desplegable **Anular todas las acciones de regla** y elija **Count**. Si administra el paquete de protección (ACL web) en JSON, agregue las reglas a la configuración `RuleActionOverrides` de la instrucción de referencia del grupo de reglas, con `ActionToUse` establecido en Count. En la siguiente lista de ejemplos, se muestran las anulaciones de dos reglas del grupo de reglas `AWSManagedRulesAnonymousIpList` AWS administradas. 

     ```
       "ManagedRuleGroupStatement": {
         "VendorName": "AWS",
         "Name": "AWSManagedRulesAnonymousIpList",
           "RuleActionOverrides": [
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "AnonymousIPList"
             },
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "HostingProviderIPList"
             }
           ],
           "ExcludedRules": []
         }
       },
     ```

     Para obtener más información sobre la anulación de las acciones de las reglas, consulte [Invalidar acciones de reglas en un grupo de reglas](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

     Para su propio grupo de reglas, no modifique las acciones de regla en el propio grupo de reglas. Las reglas de los grupos de reglas con acción Count no generan las métricas u otros artefactos que se necesitan para las pruebas. Además, el cambio de un grupo de reglas afecta a todos los paquetes de protección (web ACLs) que lo utilizan, mientras que los cambios en la configuración del paquete de protección (ACL web) solo afectan al paquete de protección único (ACL web). 
   + **paquete de protección (ACL web)**: si está probando un nuevo paquete de protección (ACL web), defina la acción predeterminada para que el paquete de protección (ACL web) permita las solicitudes. Esto le permite probar la ACL web sin afectar al tráfico de ninguna manera. 

   En general, el modo de recuento genera más coincidencias que el de producción. Esto se debe a que una regla que cuenta las solicitudes no detiene la evaluación de la solicitud por parte del paquete de protección (ACL web), por lo que las reglas que se ejecutan más adelante en el paquete de protección (ACL web) también pueden coincidir con la solicitud. Cuando cambie las acciones de regla a su configuración de producción, las reglas que permiten o bloquean las solicitudes finalizarán la evaluación de las solicitudes que coincidan. Como resultado, las solicitudes coincidentes generalmente se inspeccionarán mediante un menor número de reglas en el paquete de protección (ACL web). Para obtener más información acerca de los efectos de las acciones de regla en la evaluación general de una solicitud web, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md). 

   Con esta configuración, las nuevas protecciones no alterarán el tráfico web, sino que generarán información de coincidencia en las métricas, los registros del paquete de protección (ACL web) y los ejemplos de solicitudes. 

1. 

**Asociar el paquete de protección (ACL web) con un recurso**

   Si el paquete de protección (ACL web) aún no está asociado al recurso, asócielo. 

   Consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).

Ahora está listo para monitorizar y ajustar el paquete de protección (ACL web). 

# Supervisión y ajuste de sus AWS WAF protecciones
<a name="web-acl-testing-activities"></a>

Supervise y ajuste sus AWS WAF protecciones.

**nota**  
Para seguir las instrucciones de esta sección, debe comprender en general cómo crear y administrar AWS WAF protecciones, como paquetes de protección (web ACLs), reglas y grupos de reglas. Esta información se describe en secciones anteriores de esta guía.

Supervise el tráfico web y las coincidencias de reglas para verificar el comportamiento del paquete de protección (ACL web). Si encuentra problemas, ajuste las reglas para corregirlas y, a continuación, supervise para verificar los ajustes. 

Repita el siguiente procedimiento hasta que el paquete de protección (ACL web) administre su tráfico web como lo necesite. 

**Monitorizar y ajustar**

1. 

**Supervise el tráfico y las coincidencias de reglas**

   Asegúrese de que el tráfico fluya y de que las reglas de prueba encuentren solicitudes coincidentes. 

   Busque la siguiente información sobre las protecciones que está probando: 
   + **Registros**: acceda a la información sobre las reglas que coinciden con una solicitud web: 
     + **Sus reglas**: las reglas del paquete de protección (ACL web) que requieren la acción Count se enumeran en `nonTerminatingMatchingRules`. Las reglas con Allow o Block se enumeran en `terminatingRule`. Las reglas con CAPTCHA o Challenge pueden ser de finalización o no, y, por lo tanto, se incluyen en una de las dos categorías, según el resultado de la coincidencia de reglas.
     + **Grupos de reglas**: los grupos de reglas se identifican en el campo `ruleGroupId` y sus coincidencias de reglas se clasifican de la misma manera que en el caso de las reglas independientes. 
     + **Etiquetas**: las etiquetas que las reglas han aplicado a la solicitud aparecen en el campo `Labels`.

     Para obtener más información, consulte [Campos de registro para el tráfico del paquete de protección (ACL web)](logging-fields.md).
   + ** CloudWatch Métricas de Amazon**: puede acceder a las siguientes métricas para evaluar su solicitud de paquete de protección (ACL web). 
     + **Sus reglas**: las métricas se agrupan según la acción de la regla. Por ejemplo, si prueba una regla en modo Count, sus coincidencias se enumeran como métricas de `Count` para el paquete de protección (ACL web). 
     + **Sus grupos de reglas**: las métricas para sus grupos de reglas aparecen en las métricas de los grupos de reglas. 
     + **Grupos de reglas que son propiedad de otra cuenta**: las métricas de los grupos de reglas suelen ser visibles solo para el propietario del grupo de reglas. Sin embargo, si anula la acción de la regla para una regla, las métricas para esa regla aparecerán en las métricas del paquete de protección (ACL web). Además, las etiquetas que agrega cualquier grupo de reglas aparecen en las métricas de su paquete de protección (ACL web). 

       Las reglas de acción de recuento de los grupos de reglas NO emiten métricas de dimensiones de ACL web RuleGroup, solo las dimensiones de reglas y regiones. Esto se aplica incluso cuando se hace referencia al grupo de reglas en una ACL web.

       Los grupos de reglas de esta categoría son [AWS Reglas administradas para AWS WAF](aws-managed-rule-groups.md), [AWS Marketplace grupos de reglas](marketplace-rule-groups.md), [Reconocimiento de grupos de reglas proporcionados por otros servicios](waf-service-owned-rule-groups.md) y los grupos de reglas que otra cuenta comparte con usted. Cuando se implementa un paquete de protección (ACL web) a través del Firewall Manager, las reglas de la WebACL que tengan una acción de recuento no mostrarán sus métricas en la cuenta de miembro.
     + **Etiquetas**: las etiquetas que se agregaron a una solicitud web durante la evaluación aparecen en las métricas de etiquetas del paquete de protección (ACL web). Puede acceder a las métricas de todas las etiquetas, sin importar si las agregaron sus reglas y grupos de reglas o por reglas en un grupo de reglas que es propiedad de otra cuenta. 

     Para obtener más información, consulte [Visualización de las métricas para la ACL web](web-acl-testing-view-metrics.md).
   + **Paneles de información general sobre el tráfico de los paquetes de protección (ACL web)**: para acceder a los resúmenes del tráfico web que ha evaluado un paquete de protección (ACL web), vaya a la página del paquete de protección (ACL web) de la AWS WAF consola y abra la pestaña de **información general sobre el tráfico**. 

     Los paneles de información general del tráfico proporcionan resúmenes casi en tiempo real de CloudWatch las métricas de Amazon que AWS WAF recopila cuando evalúa el tráfico web de tu aplicación. 

     Para obtener más información, consulte [Paneles de información general sobre el tráfico para paquetes de protección (web ACLs)](web-acl-dashboards.md).
   + **Solicitudes web muestreadas**: acceda a la información de las reglas que coinciden con una muestra de solicitudes web. La información de muestra identifica las reglas coincidentes por el nombre de la métrica de la regla en el paquete de protección (ACL web). En el caso de los grupos de reglas, la métrica identifica la instrucción de referencia del grupo de reglas. En el caso de las reglas incluidas en los grupos de reglas, la muestra indica el nombre de la regla coincidente en `RuleWithinRuleGroup`. 

     Para obtener más información, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md).

1. 

**Configuración de las mitigaciones para abordar los falsos positivos**

   Si determina que una regla genera falsos positivos al hacer coincidir las solicitudes web cuando no debería, las siguientes opciones pueden ayudarlo a ajustar las protecciones de los paquetes de protección (ACL web) para mitigarlos. 

**Corrección de los criterios de inspección de las reglas**  
Para sus propias reglas, a menudo solo necesita ajustar la configuración que utiliza para inspeccionar las solicitudes web. Algunos ejemplos incluyen cambiar las especificaciones de un conjunto de patrones de regex, ajustar las transformaciones de texto que se aplican a un componente de la solicitud antes de la inspección o cambiar a una dirección IP reenviada. Consulte la guía sobre el tipo de regla que está causando problemas en [Uso de enunciados de reglas en AWS WAF](waf-rule-statements.md). 

**Corrección de problemas más complejos**  
En el caso de los criterios de inspección que no controla y de algunas reglas complejas, es posible que tenga que realizar otros cambios, como agregar reglas que permitan o bloqueen las solicitudes de forma explícita, o que eliminen las solicitudes de la evaluación por la regla problemática. Los grupos de reglas administradas suelen necesitar este tipo de mitigación, pero otras reglas, también. Los ejemplos incluyen la instrucción de regla basada en tasas y la instrucción de reglas de los ataques de inyección de código SQL. 

   Lo que haga para mitigar los falsos positivos depende de su caso de uso. A continuación, se muestran algunos enfoques comunes:
   + **Añadir una regla de mitigación**: añada una regla que se ejecute antes que la nueva regla y que permita de forma explícita las solicitudes que provoquen falsos positivos. Para obtener más información sobre el orden de evaluación de las reglas en una ACL web, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md).

     Con este enfoque, las solicitudes permitidas se envían al recurso protegido, por lo que nunca llegan a la nueva regla para su evaluación. Si la nueva regla es un grupo de reglas administradas de pago, este enfoque también puede ayudar a contener el coste de usar el grupo de reglas. 
   + **Agregar una regla lógica con una regla de mitigación**: utilice enunciados de reglas lógicas para combinar la nueva regla con una regla que excluya los falsos positivos. Para obtener información, consulte [Uso de enunciados de reglas lógicas en AWS WAF](waf-rule-statements-logical.md).

     Por ejemplo, supongamos que va a agregar una instrucción de coincidencia de un ataque de inyección de código SQL que genera falsos positivos para una categoría de solicitudes. Cree una regla que coincida con esas solicitudes y, a continuación, combine las reglas mediante instrucciones de reglas lógicas para que solo coincidan con las solicitudes que no coincidan con los criterios de falsos positivos y sí con los criterios de ataque de inyección de código SQL. 
   + **Agregar una instrucción de restricción de acceso**: en el caso de las instrucciones basadas en tasas y las instrucciones de referencia de grupos de reglas administradas, excluya de la evaluación las solicitudes que den como resultado falsos positivos agregando una instrucción de restricción de acceso dentro de la instrucción principal. 

     Las solicitudes que no coincidan con la instrucción de restricción de acceso nunca llegan al grupo de reglas ni a la evaluación basada en tasas. Para obtener información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md). Para ver un ejemplo, consulta [Exclusión de un rango de IP de la administración de bots](waf-bot-control-example-scope-down-ip.md). 
   + **Agregar una regla de coincidencia de etiquetas**: en el caso de los grupos de reglas que utilizan el etiquetado, identifique la etiqueta que la regla problemática aplica a las solicitudes. Es posible que primero deba configurar las reglas del grupo de reglas en el modo de recuento si aún no lo ha hecho. Añada una regla de coincidencia de etiquetas, posicionada de forma que se ejecute después del grupo de reglas, que coincida con la etiqueta que está agregando la regla problemática. En la regla de coincidencia de etiquetas, puede filtrar las solicitudes que quiere permitir de las que quiere bloquear. 

     Si utiliza este enfoque, cuando termine de realizar las pruebas, mantenga la regla problemática en modo de recuento en el grupo de reglas y conserve su regla de coincidencia de etiquetas personalizada. Para obtener información sobre las instrucciones del control de bots, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md). Para ver ejemplos, consulte [Permisión de un bot bloqueado específico](waf-bot-control-example-allow-blocked-bot.md) y [Ejemplo de ATP: gestión personalizada de las credenciales faltantes o comprometidas](waf-atp-control-example-user-agent-exception.md). 
   + **Cambiar la versión de un grupo de reglas administradas**: en el caso de los grupos de reglas administradas con control de versiones, cambie la versión que esté usando. Por ejemplo, puede volver a la última versión estática que utilizó correctamente. 

     Por lo general, se trata de una solución temporal. Puede cambiar la versión de su tráfico de producción mientras continúa probando la última versión en su entorno de prueba o ensayo, o mientras espera a que el proveedor proporcione una versión más compatible. Para obtener información acerca de las versiones de los grupos de reglas administradas, consulte [Uso de grupos de reglas gestionados en AWS WAF](waf-managed-rule-groups.md).

Cuando esté seguro de que las nuevas reglas coinciden con las solicitudes que necesita, pase a la siguiente fase de las pruebas y repita este procedimiento. Realice la fase final de pruebas y ajustes en su entorno de producción.

# Visualización de las métricas para la ACL web
<a name="web-acl-testing-view-metrics"></a>

En esta sección, se describe cómo ver las métricas de su paquete de protección (ACL web).

Después de asociar un paquete de protección (ACL web) a uno o más AWS recursos, puede ver las métricas resultantes de la asociación en un CloudWatch gráfico de Amazon. 

Para obtener información sobre AWS WAF las métricas, consulte[AWS WAF métricas y dimensiones](waf-metrics.md). Para obtener información sobre CloudWatch las métricas, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html). 

Para cada una de las reglas de un paquete de protección (ACL web) y para todas las solicitudes a las que se remite un recurso asociado AWS WAF para un paquete de protección (ACL web), CloudWatch le permite hacer lo siguiente:
+ Ver los datos correspondientes a la hora anterior o a las tres horas anteriores.
+ Cambiar el intervalo entre puntos de datos.
+ Cambie el cálculo que se CloudWatch realiza con los datos, como el máximo, el mínimo, el promedio o la suma.

**nota**  
AWS WAF with CloudFront es un servicio global y las métricas solo están disponibles si eliges la región **EE. UU. Este (Virginia del Norte)** en Consola de administración de AWS. Si eliges otra región, no aparecerá ninguna AWS WAF métrica en la CloudWatch consola.

**Para ver los datos de las reglas de un paquete de protección (ACL web)**

1. Inicia sesión en Consola de administración de AWS y abre la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Si es necesario, cambia la región por aquella en la que se encuentran tus AWS recursos. Para CloudFront, elija la región EE.UU. Este (Virginia del Norte).

1. En el panel de navegación, en **Métricas**, elija **Todas las métricas** y, a continuación, busque en la pestaña **Examinar** para `AWS::WAFV2`. 

1. Seleccione la casilla de verificación del paquete de protección (ACL web) cuyos datos quiera ver.

1. Cambie la configuración aplicable:  
**Estadística**  
Elija el cálculo que se CloudWatch realizará con los datos.  
**Intervalo de tiempo**  
Elija si desea ver los datos correspondientes a la hora anterior o a las tres horas anteriores.  
**Periodo**  
Elija el intervalo entre puntos de datos del gráfico.  
**Reglas**  
Elija las reglas cuyos datos quiera ver.  
Si cambia el nombre de una regla y desea que el nombre de la métrica de la regla refleje el cambio, también debe actualizar el nombre de la métrica. AWS WAF no actualiza automáticamente el nombre de la métrica de una regla cuando se cambia el nombre de la regla. Puede cambiar el nombre de la métrica al editar la regla en la consola mediante el editor de reglas de JSON. También puede cambiar ambos nombres en cualquier lista de APIs JSON que utilice para definir su paquete de protección (ACL web) o grupo de reglas.

   Tenga en cuenta lo siguiente:
   + Si asoció recientemente un paquete de protección (ACL web) a un AWS recurso, puede que tenga que esperar unos minutos para que los datos aparezcan en el gráfico y para que la métrica del paquete de protección (ACL web) aparezca en la lista de métricas disponibles.
   + Si asocia más de un recurso a un paquete de protección (ACL web), los CloudWatch datos incluirán las solicitudes de todos ellos.
   + Puede colocar el cursor sobre un punto de datos para obtener más información.
   + El gráfico no se actualiza por su cuenta de forma automática. Para actualizar la pantalla, elija el icono de actualización (![\[Icon to refresh the CloudWatch graph\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/cloudwatch-refresh-icon.png)).

Para obtener más información sobre CloudWatch las métricas, consulte[Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md). 

# Paneles de información general sobre el tráfico para paquetes de protección (web ACLs)
<a name="web-acl-dashboards"></a>

Esta sección describe los paneles de resumen de tráfico del paquete de protección (ACL web) en la consola de AWS WAF . Tras asociar un paquete de protección (ACL web) a uno o más AWS recursos y habilitar las métricas del paquete de protección (ACL web), puede acceder a los resúmenes del tráfico web que evalúa el paquete de protección (ACL web) desde la consola, en la pestaña de **descripción general del tráfico** del paquete de protección (ACL web). AWS WAF Los paneles incluyen resúmenes casi en tiempo real de las CloudWatch métricas de Amazon que AWS WAF recopila cuando evalúa el tráfico web de tu aplicación, incluido un análisis especializado de la actividad de los bots y agentes de IA.

**nota**  
Si no ve contenido en los paneles, asegúrese de tener habilitadas las métricas del paquete de protección (ACL web). 

La pestaña **Resumen del tráfico** del paquete de protección (ACL web) contiene paneles con pestañas organizados en las siguientes categorías de información: 
+ **Información clave sobre seguridad**: información sobre sus AWS WAF protecciones que se AWS WAF obtiene consultando directamente los registros de Amazon CloudWatch . El resto del panel usa las CloudWatch métricas. Esta información proporciona información más detallada, pero conlleva los costes adicionales de consultar los CloudWatch registros. Para obtener información sobre los costes adicionales, consulta los [precios de Amazon CloudWatch Logs](https://aws.amazon.com/cloudwatch/pricing/). 
+ **Análisis del tráfico de IA**: se analizan las solicitudes web para determinar la actividad de los bots y agentes de IA, incluida la identificación de los bots, la clasificación de intenciones, los patrones de acceso y las tendencias temporales. Esta pestaña está disponible cuando su paquete de protección (ACL web) recibe tráfico de bots de IA
+ **Todo el tráfico**: todas las solicitudes web que evalúa el paquete de protección (ACL web). 

  El panel se centra en finalizar las acciones, pero puede ver las coincidencias con las reglas de recuento en las siguientes ubicaciones: 
  + Panel de **Las 10 reglas principales** de este panel. Active **Cambio para contar las acciones** para mostrar las coincidencias de las reglas de conteo. 
  + **Solicitudes muestreadas**: pestaña de la página del paquete de protección (ACL web). Esta nueva pestaña incluye un gráfico de todas las coincidencias de las reglas. Para obtener información, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). 
+ **Anti- DDo S**: Web solicita que el paquete de protección (ACL web) lo evalúe mediante el grupo de reglas gestionado por `AntiDDoSRuleSet` Anti- DDo S.

  Esta pestaña solo está disponible si está usando este grupo de reglas en su paquete de protección (ACL web).
+ **Control de bots**: solicitudes web evaluadas mediante el grupo de reglas administradas Control de bots. 
+ Si no usa este grupo de reglas en su paquete de protección (ACL web), esta pestaña muestra los resultados de evaluar una muestra de su tráfico web con las reglas de Control de bots. Esto le da una idea del tráfico de bots que recibe su aplicación y es gratuito. 

  Este grupo de reglas forma parte de las opciones inteligentes de mitigación de amenazas que AWS WAF ofrece. Para obtener más información, consulte [AWS WAF Control de bots](waf-bot-control.md) y [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).
+ **Prevención de apropiación de cuentas**: Web solicita que el paquete de protección (ACL web) la evalúe utilizando el grupo de reglas gestionado para la prevención de apropiación de cuentas (ATP) de AWS WAF Fraud Control. Esta pestaña solo está disponible si está usando este grupo de reglas en su paquete de protección (ACL web). 

  Este grupo de reglas de ATP forma parte de las opciones de mitigación de amenazas inteligentes que ofrece AWS WAF . Para obtener más información, consulte [AWS WAF Control de fraudes y prevención de apropiación de cuentas (ATP)](waf-atp.md) y [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md).
+ **Prevención del fraude en la creación de cuentas**: Web solicita que el paquete de protección (ACL web) se evalúe mediante el grupo de reglas gestionado por AWS WAF Fraud Control y prevención del fraude en la creación de cuentas (ACFP). Esta pestaña solo está disponible si está usando este grupo de reglas en su paquete de protección (ACL web). 

  Este grupo de reglas de ACFP forma parte de las opciones de mitigación de amenazas inteligentes que ofrece AWS WAF . Para obtener más información, consulte [AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)](waf-acfp.md) y [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md).

Los paneles se basan en las métricas del paquete de protección (ACL web) y los gráficos proporcionan acceso a las CloudWatch métricas correspondientes. CloudWatch En el caso de los paneles de mitigación de amenazas inteligentes, como en el control de bots, las métricas utilizadas son principalmente las métricas de etiquetas. 
+ Para obtener una lista de las métricas que AWS WAF proporciona, consulte[AWS WAF métricas y dimensiones](waf-metrics.md).
+ Para obtener información sobre CloudWatch las métricas, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html). 

Los paneles proporcionan resúmenes de sus patrones de tráfico para las acciones de finalización y el intervalo de fechas que seleccione. Los paneles de mitigación de amenazas inteligentes incluyen solicitudes que evaluó el grupo de reglas administradas correspondiente, independientemente de si el propio grupo de reglas administradas aplicó la acción de finalización. Por ejemplo, si se selecciona Block, el panel de control **Prevención de apropiación de cuentas** incluye información sobre todas las solicitudes web que fueron evaluadas por el grupo de reglas administradas de la ATP y bloqueadas en algún momento durante la evaluación de la ACL web. Las solicitudes pueden bloquearse mediante el grupo de reglas administradas de la ATP, mediante una regla que se ejecute después del grupo de reglas en la ACL web o mediante la acción predeterminada de la ACL web. 

# Visualización de los paneles de control de un paquete de protección (ACL web)
<a name="web-acl-dashboards-accessing"></a>

Siga el procedimiento de esta sección para acceder a los paneles de control del paquete de protección (ACL web) y establecer los criterios de filtrado de datos. Si asoció recientemente un paquete de protección (ACL web) a un AWS recurso, es posible que tenga que esperar unos minutos para que los datos estén disponibles en los paneles.

Los paneles de control incluyen las solicitudes de todos los recursos que ha asociado al paquetes de protección (ACL web). 

**Visualización de los paneles de control de **Resumen del tráfico** de un paquete de protección (ACL web)**

1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala desde [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, elija los **paquetes de protección (web ACLs)** y, a continuación, busque la ACL web que le interese. 

1. Seleccione el paquete de protección (ACL web). La consola lo lleva a la página del paquete de protección (ACL web). La pestaña **Resumen del tráfico** está seleccionada de manera predeterminada.

1. Cambie la configuración de **Filtros de datos** según sea necesario. 
   + **Acciones de reglas de finalización**: seleccione las acciones de finalización para incluirlas en los paneles de control. Los paneles resumen las métricas de las solicitudes web a las que se aplicó una de las acciones seleccionadas en la evaluación del paquete de protección (ACL web). Si selecciona todas las acciones disponibles, los paneles incluyen todas las solicitudes web evaluadas. Para obtener información acerca de las acciones , consulte [Cómo AWS WAF gestiona las acciones de las reglas y los grupos de reglas](web-acl-rule-actions.md). 
   + **Intervalo de tiempo**: seleccione el intervalo de tiempo que desee ver en los paneles de control. Puede elegir ver un período de tiempo relativo al momento actual, por ejemplo, las últimas 3 horas o la última semana, y puede seleccionar un rango de tiempo absoluto de un calendario. 
   + **Zona horaria**: esta configuración se aplica cuando se especifica un rango de tiempo absoluto. Puede utilizar la zona horaria local de su navegador o UTC (hora universal coordinada). 

Revise la información de las pestañas que le interese. Las selecciones de filtros de datos se aplican a todos los paneles. En los paneles de gráficos, puede colocar el cursor sobre un punto de datos o un área para ver cualquier detalle adicional. 

**Reglas de acción Count**  
Puede ver la información sobre las coincidencias de las acciones de recuento en uno de estos dos lugares. 
+ En esta pestaña **Resumen del tráfico**, en el panel **Todo el tráfico**, encuentre el panel de **Las 10 reglas principales** y presione **Cambiar para contar las acciones**. Cuando esto está activado, el panel mostrará todas las coincidencias de reglas en lugar de las coincidencias de reglas de finalización.
+ En la pestaña **Solicitudes muestreadas** del paquete de protección (ACL web), consulte un gráfico de todas las coincidencias y acciones de las reglas para el intervalo de tiempo que haya establecido en la pestaña **Resumen del tráfico**. Para obtener información sobre la pestaña **Solicitudes muestreadas**, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md). 

**CloudWatch Métricas de Amazon**  
En los paneles de gráficos del panel de control, puedes acceder a las CloudWatch métricas de los datos graficados. Elija la opción que se encuentra en la parte superior del panel gráfico o en el **⋮** (puntos suspensivos verticales) menú desplegable que se encuentra dentro del panel. 

**Actualización de los paneles**  
Los paneles no se actualizan automáticamente. Para actualizar la pantalla, elija el icono de actualización ![\[Icon to refresh the dashboard graph\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/cloudwatch-refresh-icon.png).

# Ejemplos de paneles de información general sobre el tráfico para paquetes de protección (web ACLs)
<a name="web-acl-dashboards-screenshots"></a>

En esta sección se muestran pantallas de ejemplo de los paneles de información general sobre el tráfico de los paquetes de protección (web ACLs). 

**nota**  
Si ya los utiliza AWS WAF para proteger sus recursos de aplicaciones, puede ver los paneles de control de cualquiera de sus paquetes de protección (web ACLs) en la página correspondiente de la AWS WAF consola. Para obtener información, consulte [Visualización de los paneles de control de un paquete de protección (ACL web)](web-acl-dashboards-accessing.md).

**Pantalla de ejemplo: filtros de datos y recuentos de acciones del panel de control **Todo el tráfico****  
La siguiente captura de pantalla muestra la información del tráfico de un paquete de protección (ACL web) con la pestaña **Todo el tráfico** seleccionada. Los filtros de datos están configurados en los valores predeterminados: todas las acciones de finalización durante las últimas tres horas. 

En el panel de control de todo el tráfico se encuentran los totales de las distintas acciones de finalización. Cada panel muestra el recuento de solicitudes y muestra una up/down flecha que indica el cambio respecto al intervalo de tres horas anterior. 

![\[La AWS WAF consola muestra la pestaña de descripción general del tráfico de la página del paquete de protección (ACL web) con los filtros de datos predeterminados seleccionados. Las opciones de acción de regla de finalización son Block, Allow, CAPTCHA y Challenge. Debajo de la sección de filtros de datos hay pestañas para todo el tráfico, el control de bots y la prevención de la apropiación de cuentas.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/web-acl-dashboard-data-filters-default-top-actions.png)


**Pantalla de ejemplo: recuentos de acciones del panel de control **Control de bots****  
En la siguiente captura de pantalla, se muestran los recuentos de acciones del panel de control de bots. Se muestran los mismos paneles de totales para el intervalo de tiempo, pero los recuentos se refieren únicamente a las solicitudes evaluadas por el grupo de reglas de control de bots. Más abajo, en el panel **Totales de acciones**, puede ver los recuentos de acciones en el intervalo de tiempo especificado de tres horas. Durante este intervalo de tiempo, la acción CAPTCHA no se aplicó a ninguna de las solicitudes evaluadas por el grupo de reglas.

![\[La AWS WAF consola muestra la parte superior del panel de control de bots, con los totales de acciones del intervalo de tiempo y los totales de acciones de todo el intervalo de tiempo.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/web-acl-dashboard-bot-action-totals.png)


**Pantalla de ejemplo: recuentos de acciones del **panel de control de AI Traffic Analysis****  
La siguiente captura de pantalla muestra el panel de análisis de tráfico de IA para un paquete de protección (ACL web). El panel muestra la actividad de los bots de IA durante el intervalo de tiempo seleccionado con filtros según la organización de los bots, el tipo de intención y el estado de verificación.

![\[La AWS WAF consola muestra la parte superior del panel de análisis del tráfico de IA, con los rastreadores principales y las rutas principales para el intervalo de tiempo y el total de acciones a lo largo del intervalo de tiempo.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/waf-phantom-edge-dashboard.png)


El panel de control incluye:
+ **Panel de identidad de bots**: muestra los bots de IA detectados con nombres y organizaciones
+ **Clasificación de intenciones**: clasifica los propósitos de los bots (rastreo, indexación, investigación, etc.)
+ **Patrones de acceso: los** agentes de IA son los más URLs visitados por los agentes de IA con recuentos de
+ **Análisis temporal**: tendencias de actividad diarias y por hora con una vista histórica de 14 días
+ **Desglose de la organización**: volumen de tráfico por organización propietaria del bot

**Pantalla de ejemplo: gráficos de resumen del estado de los tokens del panel de control **Control de bots****  
La siguiente captura de pantalla muestra dos de los gráficos de resumen disponibles en el panel de control de bots. El panel **Estado de token** muestra los recuentos de las distintas etiquetas de estado del token, junto con la acción de regla que se aplicó a la solicitud. El panel de **umbrales ausentes del token de IP** muestra los datos de las solicitudes desde las IPs que se enviaban demasiadas solicitudes sin un token. 

Al pasar el ratón sobre cualquier área del gráfico, aparecen los detalles de la información disponible. En el panel **Estado de token** de esta captura de pantalla, el ratón pasa sobre un punto en el tiempo sin situarse sobre ninguna línea del gráfico, por lo que la consola muestra los datos de todas las líneas en ese momento. 

![\[La AWS WAF consola muestra dos paneles para los umbrales de estado del token y ausencia de token de IP, con líneas gráficas similares para las solicitudes bloqueadas y impugnadas en cada panel. El panel Estado de token también incluye un gráfico de las solicitudes permitidas.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/web-acl-dashboard-bot-token-panes.png)


Esta sección muestra solo algunos de los resúmenes de tráfico que se proporcionan en los paneles de información general sobre el tráfico de los paquetes de protección (ACL web). Para ver los paneles de cualquiera de sus paquetes de protección (web ACLs), abra la página del paquete de protección (ACL web) en la consola. Para obtener información acerca de cómo hacerlo, consulte las orientaciones en [Visualización de los paneles de control de un paquete de protección (ACL web)](web-acl-dashboards-accessing.md).

# Visualizar una muestra de solicitudes web
<a name="web-acl-testing-view-sample"></a>

En esta sección se describe la pestaña de **solicitudes muestreadas** del paquete de protección (ACL web) de la AWS WAF consola. En esta pestaña, puede ver un gráfico de todas las coincidencias de reglas de las solicitudes web que se AWS WAF han inspeccionado. Además, si ha activado el muestreo de solicitudes para el paquete de protección (ACL web), puede ver una vista en tabla de un ejemplo de las solicitudes web que se AWS WAF han inspeccionado. También puede recuperar información de solicitud muestreada a través de la llamada `GetSampledRequests` a la API.

La muestra contiene hasta 100 solicitudes que coincidieron con los criterios de una regla del paquete de protección (ACL web) y otras 100 solicitudes que no coincidieron con ninguna regla y recibieron la acción predeterminada del paquete de protección (ACL web). Las solicitudes del ejemplo vienen de todos los recursos protegidos que han recibido solicitudes de su contenido en las tres horas anteriores. 

Cuando una solicitud web coincide con los criterios de una regla y la acción correspondiente a esa regla no finaliza la evaluación de la solicitud, AWS WAF continúa inspeccionando la solicitud web utilizando las reglas siguientes del paquete de protección (ACL web). Por este motivo, una solicitud web podría aparecer varias veces. Para obtener información sobre los comportamientos de las acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).

**Para ver el gráfico de todas las reglas y las solicitudes muestreadas**

1. Inicie sesión en Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. En el panel de navegación, selecciona los **paquetes de protección (web ACLs)**.

1. Seleccione el nombre del paquete de protección (ACL web) para el cual desea ver las solicitudes. La consola lo lleva a la descripción del paquete de protección (ACL web), donde puede editarla.

1. En la pestaña **Solicitudes muestreadas**, puede ver lo siguiente: 
   + **Gráfico de todas las reglas**: este gráfico muestra las reglas coincidentes y las acciones de estas para todas las evaluaciones de solicitudes web que se realizaron durante el intervalo de tiempo indicado. 
**nota**  
El intervalo de tiempo de este gráfico se establece en la pestaña **Descripción general del tráfico** del paquete de protección (ACL web), en la sección de **Filtros de datos**. Para obtener información, consulte [Visualización de los paneles de control de un paquete de protección (ACL web)](web-acl-dashboards-accessing.md). 
   + **Tabla de solicitudes muestreadas**: esta tabla muestra los datos de las solicitudes muestreadas de las últimas 3 horas. 
**nota**  
Si no está viendo las muestras que espera para un grupo de reglas administradas, consulte la sección siguiente a este procedimiento. 

     Para cada entrada, la tabla muestra los siguientes datos:  
**Nombre de métrica**  
El nombre de la CloudWatch métrica de la regla del paquete de protección (ACL web) que coincidió con la solicitud. Si una solicitud no coincide con ninguna regla del paquete de protección (ACL web), este valor es **Predeterminado**.  
Si cambia el nombre de una regla y desea que el nombre de la métrica de la regla refleje el cambio, también debe actualizar el nombre de la métrica. AWS WAF no actualiza automáticamente el nombre de la métrica de una regla cuando se cambia el nombre de la regla. Puede cambiar el nombre de la métrica al editar la regla en la consola mediante el editor de reglas de JSON. También puede cambiar ambos nombres en cualquier lista de APIs JSON que utilice para definir su paquete de protección (ACL web) o grupo de reglas.  
**IP de origen**  
La dirección IP desde la que se originó la solicitud o, si el espectador ha usado un proxy HTTP o un equilibrador de carga de aplicación para enviar la solicitud, la dirección IP del proxy o el equilibrador de carga de aplicación.   
**URI**  
Es la parte de una URL que identifica un recurso, por ejemplo, `/images/daily-ad.jpg`.  
**Regla dentro de un grupo de reglas**  
Si el nombre de la métrica identifica una instrucción de referencia de un grupo de reglas, identifica la regla dentro del grupo de reglas que coincidió con la solicitud.   
**Action**  
Indica la acción de la regla correspondiente. Para obtener información sobre las acciones posibles de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).  
Los ejemplos de solicitudes de reglas con la acción Contar en grupos de reglas no están disponibles en la vista de ACL web. Las métricas de recuento y las solicitudes muestreadas de reglas de grupos de reglas solo están visibles para el propietario del grupo de reglas.  
**Time**  
La hora a la que se AWS WAF recibió la solicitud del recurso protegido. 

     Para mostrar información adicional sobre los componentes de una solicitud web, elija el nombre del URI en la fila de la solicitud.

**Solicitudes muestreadas para reglas en grupos de reglas administrados**  
La consola muestra las métricas de los grupos de reglas con la expresión «regla dentro del grupo de reglas» que especifica la regla que se activó. Puedes ver las métricas de los conjuntos de reglas de acción predeterminados y de las reglas utilizando la configuración más reciente`RuleActionOverrides`. Para las reglas que utilizan la `ExcludedRules` configuración anterior, selecciona la regla específica dentro del conjunto de reglas en el menú desplegable de reglas de métricas de solicitudes **muestreadas**.

Si ve configuraciones antiguas, reemplácelas por las nuevas para que las solicitudes muestreadas comiencen a aparecer en la consola. Puede hacerlo desde la consola editando el grupo de reglas administradas dentro del paquete de protección (ACL web) y guardándolo. AWS WAF reemplaza automáticamente cualquier configuración `RuleActionOverrides` anterior por la nueva y establece la anulación de acción de regla en Count. Para obtener más información sobre estas dos configuraciones, consulte [Lista de JSON: `RuleActionOverrides` reemplaza a `ExcludedRules`](web-acl-rule-group-override-options.md#web-acl-rule-group-override-replaces-exclude).

Puedes acceder a las solicitudes de muestra de una regla que tenga la anulación anterior a través de la API AWS WAF REST o de la línea de comandos. SDKs Para obtener más información, consulta la [GetSampledRequests](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetSampledRequests.html)referencia de la *AWS WAF API*.

A continuación, se muestra la sintaxis para la solicitud desde la línea de comandos: 

```
aws wafv2 get-sampled-requests \
  --web-acl-arn webACL ARN \
  --rule-metric-name Metric name of the rule in the managed rule group \
  --scope=REGIONAL or CLOUDFRONT \
  --time-window StartTime=UTC timestamp,EndTime=UTC timestamp \
  --max-items 100
```

# Habilitación de sus protecciones en la producción
<a name="web-acl-testing-enable-production"></a>

En esta sección se proporcionan instrucciones para habilitar sus protecciones adaptadas en la producción.

Cuando haya terminado la fase final de pruebas y ajustes en su entorno de producción, active las protecciones en modo de producción.

**Riesgo de tráfico de producción**  
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. Pruébelo también y ajústelo en modo recuento con su tráfico de producción antes de habilitar sus protecciones para el tráfico de producción. 

**nota**  
Para seguir las instrucciones de esta sección, debe comprender en general cómo crear y administrar AWS WAF protecciones, como paquetes de protección (web ACLs), reglas y grupos de reglas. Esta información se describe en secciones anteriores de esta guía.

Realice estos pasos primero en su entorno de prueba y, después, en producción.

**Habilite sus AWS WAF protecciones en producción**

1. 

**Cambio de sus protecciones de producción**

   Actualice su paquete de protección (ACL web) y cambie la configuración de producción. 

   1. 

**Eliminación de las reglas de prueba que no necesite**

      Si ha agregado reglas de prueba que no necesita en producción, elimínelas. Si utiliza alguna regla de coincidencia de etiquetas para filtrar los resultados de las reglas de los grupos de reglas administradas, asegúrese de mantenerlas en su lugar. 

   1. 

**Cambio a acciones de producción**

      Cambie la configuración de las acciones de sus nuevas reglas por la configuración de producción prevista. 
      + **Regla definida en el paquete de protección (ACL web)**: edite las reglas en el paquete de protección (ACL web) y cambie sus acciones de Count a sus acciones de producción. 
      + **Grupo de reglas**: en la configuración del paquete de protección (ACL web) del grupo de reglas, cambie las reglas para que usen sus propias acciones o déjelas con la anulación de la acción Count, en función de los resultados de sus actividades de prueba y ajuste. Si utiliza alguna regla de coincidencia de etiquetas para filtrar los resultados de las reglas de un grupos de reglas, asegúrese de mantener la anulación de dicha regla. 

        Para pasar a utilizar la acción de una regla, en la configuración del paquete de protección (ACL web), edite la instrucción de la regla para el grupo de reglas y elimine la anulación de Count para la regla. Si administra el paquete de protección (ACL web) en JSON, en la instrucción de referencia del grupo de reglas, elimine la entrada de la regla de la lista `RuleActionOverrides`. 
      + **Paquete de protección (ACL web)**: si cambió la acción predeterminada del paquete de protección (ACL web) para sus pruebas, cámbiela a su configuración de producción. 

      Con esta configuración, sus nuevas protecciones administrarán el tráfico web según lo previsto. 

   Cuando guarde su paquete de protección (ACL web), los recursos a los que se asocia utilizarán su configuración de producción. 

1. 

**Monitorización y ajuste**

   Para asegurarse de que las solicitudes web se gestionen como desea, monitorice de cerca el tráfico después de activar la nueva funcionalidad. Supervisará las métricas y los registros de monitorización de las acciones de reglas de producción en lugar de las acciones de recuento que estaba monitorizando durante el trabajo de ajuste. Siga monitorizando y ajustando el comportamiento según sea necesario para adaptarlo a los cambios en el tráfico web. 

# Uso AWS WAF con Amazon CloudFront
<a name="cloudfront-features"></a>

Obtén información sobre cómo utilizarlas AWS WAF con CloudFront las funciones de Amazon.

Al crear un paquete de protección (ACL web), puede especificar una o más CloudFront distribuciones que desee AWS WAF inspeccionar. CloudFront admite dos tipos de distribuciones: distribuciones estándar que protegen a los inquilinos individuales y distribuciones multiusuario que protegen a varios inquilinos mediante una única plantilla de configuración compartida. AWS WAF inspecciona las solicitudes web para ambos tipos de distribución en función de las reglas que defina en sus paquetes de protección (web ACLs), con patrones de implementación diferentes para cada tipo.

**Topics**
+ [

## ¿Cómo AWS WAF funciona con los distintos tipos de distribución
](#cloudfront-features-distribution-types)
+ [

## Utilizándolo AWS WAF con planes CloudFront de precios de tarifa fija
](#waf-cf-pricing-plans)
+ [

# Casos de uso comunes para proteger CloudFront distribuciones con AWS WAF
](cloudfront-waf-use-cases.md)

## ¿Cómo AWS WAF funciona con los distintos tipos de distribución
<a name="cloudfront-features-distribution-types"></a>

### Tipos de distribución
<a name="distribution-types-overview"></a>

AWS WAF proporciona capacidades de firewall de aplicaciones web para distribuciones de distribución estándar y multiusuario. CloudFront 

#### Distribuciones estándar
<a name="standard-distribution-overview"></a>

En el caso de las distribuciones estándar, AWS WAF añade protección mediante un único paquete de protección (ACL web) para cada distribución. Puede habilitar esta protección asociando un paquete de protección existente (ACL web) a una CloudFront distribución o utilizando la protección con un solo clic en la consola. CloudFront Esto le permite administrar los controles de seguridad de cada una de sus distribuciones de forma independiente, ya que cualquier cambio en un paquete de protección (ACL web) solo afectará a la distribución asociada a él.

Este sencillo método de protección de CloudFront las distribuciones es óptimo para proporcionar a los dominios individuales protecciones específicas a partir de un único paquete de protección (ACL web).

##### Consideraciones de distribución estándar
<a name="standard-waf-considerations"></a>
+ Los cambios en un paquete de protección (ACL web) afectan únicamente a su distribución asociada
+ Cada distribución requiere una configuración de paquete de protección (ACL web) independiente
+ Las reglas y los grupos de reglas se administran por separado para cada distribución

#### Distribuciones de varios inquilinos
<a name="tenant-distribution-overview"></a>

En el caso de las distribuciones con varios usuarios, AWS WAF añade protección en varios dominios mediante un único paquete de protección (ACL web). Los dominios que se administran mediante distribuciones de varios inquilinos se conocen como inquilinos de distribución. Solo puede habilitar la AWS WAF protección de las distribuciones con varios inquilinos en la CloudFront consola, ya sea durante o después del proceso de creación de la distribución con varios inquilinos. Sin embargo, los cambios en un paquete de protección (ACL web) se siguen gestionando a través de la AWS WAF consola o la API. 

Las distribuciones multiusuario ofrecen la flexibilidad necesaria para habilitar AWS WAF las protecciones en dos niveles:
+ **Nivel de distribución multiusuario**: los paquetes de protección asociados (web ACLs) proporcionan controles de seguridad básicos que se aplican a todas las aplicaciones que comparten esa distribución
+ **Nivel de inquilino de distribución**: los inquilinos individuales de una distribución con varios inquilinos pueden tener sus propios paquetes de protección (web ACLs) para implementar controles de seguridad adicionales o anular la configuración de distribución con varios inquilinos

Estos dos niveles hacen que las distribuciones multiusuario sean óptimas para compartir AWS WAF protecciones en varios dominios sin perder la capacidad de personalizar la seguridad de una distribución individual. 

#### Consideraciones de la distribución de varios inquilinos
<a name="tenant-waf-considerations"></a>
+ Los arrendatarios de distribución individuales heredan los cambios realizados en los paquetes de protección (web ACLs) asociados a distribuciones multiusuario relacionadas
+ Los paquetes de protección (web ACLs) asociados a arrendatarios de distribución específicos pueden anular los ajustes configurados en el nivel del paquete de protección multiusuario (ACL web)
+ Los grupos de reglas administradas se pueden implementar tanto en las distribuciones como en los inquilinos de distribución.
+ Los identificadores de las aplicaciones se pueden ubicar en los registros para rastrear los eventos de seguridad por distribución.

### AWS WAF funciones por tipo de distribución
<a name="distribution-types-comparison"></a>


**Comparación de las implementaciones del paquete de protección (ACL web)**  

| AWS WAF Característica | Distribuciones estándar | Distribuciones de varios inquilinos | 
| --- | --- | --- | 
| Asociación de paquetes de protección (web ACLs) | Un paquete de protección (ACL web) por distribución | Puede compartir los paquetes de protección (web ACLs) entre los inquilinos, con los paquetes de protección opcionales específicos para cada inquilino (web) ACLs | 
| Administración de reglas | Las reglas afectan a una única distribución | Las reglas de distribución para varios inquilinos afectan a todos los inquilinos asociados; las reglas de distribución específicas para cada inquilino afectan solo a ese inquilino | 
| grupos de reglas administradas | Se aplica a distribuciones individuales | Se puede aplicar en la distribución de varios inquilinos para todos los inquilinos o en el inquilino para aplicaciones específicas. | 
| Registro | Registros estándar AWS WAF  | Los registros incluyen identificadores de inquilinos para la atribución de eventos de seguridad | 

## Utilizándolo AWS WAF con planes CloudFront de precios de tarifa fija
<a name="waf-cf-pricing-plans"></a>

CloudFront los planes de precios fijos combinan la red CloudFront global de entrega de contenido (CDN) de Amazon con múltiples funciones Servicios de AWS y en un precio mensual sin cargos por exceso, independientemente de los picos de tráfico o los ataques.

Los planes de precios fijos incluyen lo siguiente Servicios de AWS y funciones por un simple precio mensual:
+ CloudFront CDN
+ AWS WAF y protección DDo S
+ Administración y análisis de bots
+ DNS de Amazon Route 53
+ Ingestión CloudWatch de Amazon Logs
+ Certificado TLS
+ Computación de periferia sin servidor
+ Créditos de almacenamiento de Amazon S3 cada mes

Los planes están disponibles en los niveles Free, Pro, Business y Premium para adaptarse a las necesidades de la aplicación. Los planes no necesitan un compromiso anual para obtener las mejores tarifas disponibles. Comience con el plan gratuito y actualícelo para acceder a más capacidades y mayores límites de uso.

Para obtener más información y una lista completa de planes y funciones, consulta los [planes CloudFront de precios](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/flat-rate-pricing-plan.html) fijos en la *Guía para CloudFront desarrolladores de Amazon*.

**importante**  
Al utilizar cualquier plan de precios, debe permanecer asociado a su CloudFront distribución un paquete de AWS WAF protección válido (ACL web). No puede eliminar la asociación del paquete de protección (ACL web) a menos que vuelva a establecer pay-as-you-go los precios.  
Si bien una ACL AWS WAF web debe permanecer asociada a su distribución, usted mantiene el control total sobre su configuración de seguridad. Puede personalizar su protección ajustando las reglas que están habilitadas o deshabilitadas en su ACL web y modificar la configuración de las reglas para que se ajuste a sus requisitos de seguridad. Para obtener información sobre la administración de las reglas de ACL web, consulte [AWS WAF Reglas](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rules.html).

# Casos de uso comunes para proteger CloudFront distribuciones con AWS WAF
<a name="cloudfront-waf-use-cases"></a>

Las siguientes AWS WAF funciones funcionan de la misma manera en todas las CloudFront distribuciones. Las consideraciones para las distribuciones de varios inquilinos se enumeran después de cada escenario de característica.

## Se utiliza AWS WAF con páginas CloudFront de error personalizadas
<a name="cloudfront-features-custom-error-pages"></a>

De forma predeterminada, cuando AWS WAF bloquea una solicitud web en función de los criterios que especifiques CloudFront, devuelve el código `403 (Forbidden)` de estado HTTP y lo CloudFront devuelve al espectador. El visor muestra un breve mensaje predeterminado con formato elemental similar al que se muestra a continuación:

```
Forbidden: You don't have permission to access /myfilename.html on this server.
```

Puede anular este comportamiento en las reglas del paquete de AWS WAF protección (ACL web) definiendo respuestas personalizadas. Para obtener más información sobre cómo personalizar el comportamiento de las respuestas mediante AWS WAF reglas, consulte. [Envío de respuestas personalizadas para las acciones Block](customizing-the-response-for-blocked-requests.md)

**nota**  
Las respuestas que personalice mediante AWS WAF reglas tienen prioridad sobre cualquier especificación de respuesta que defina en las páginas de error CloudFront personalizadas.

Si prefieres mostrar un mensaje de error personalizado CloudFront, posiblemente con el mismo formato que el resto del sitio web, puedes configurarlo para que devuelva CloudFront al espectador un objeto (por ejemplo, un archivo HTML) que contenga tu mensaje de error personalizado.

**nota**  
CloudFront no puedes distinguir entre un código de estado HTTP 403 que devuelve tu origen y otro que devuelve AWS WAF cuando se bloquea una solicitud. Esto significa que no puede devolver diferentes páginas de error personalizadas en función de las diferentes causas de un código de estado HTTP 403.

Para obtener más información sobre las páginas de error CloudFront personalizadas, consulta [Generar respuestas de error personalizadas](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) en la *Guía para CloudFront desarrolladores de Amazon*.

### Páginas de error personalizadas en distribuciones de varios inquilinos
<a name="custom-error-pages-template-distributions"></a>

Para las CloudFront distribuciones multiusuario, puede configurar las páginas de error personalizadas de las siguientes maneras:
+ Para varios inquilinos: estos ajustes se aplican a todas las distribuciones de inquilinos que usan la plantilla de distribución de varios inquilinos.
+ Mediante AWS WAF reglas: las respuestas personalizadas definidas en los paquetes de protección (web ACLs) tienen prioridad sobre la distribución multiusuario y las páginas de error personalizadas a nivel de inquilino

## AWS WAF Utilízalo con aplicaciones CloudFront que se ejecutan en tu propio servidor HTTP
<a name="cloudfront-features-your-own-http-server"></a>

Cuando lo usa AWS WAF con CloudFront, puede proteger las aplicaciones que se ejecutan en cualquier servidor web HTTP, ya sea un servidor web que se ejecute en Amazon Elastic Compute Cloud EC2 (Amazon) o un servidor web que administre de forma privada. También puede configurarlo CloudFront para que requiera HTTPS entre CloudFront y su propio servidor web, así como entre los espectadores y. CloudFront

**Requiere HTTPS entre CloudFront y su propio servidor web**  
Si necesitas HTTPS entre tu servidor web CloudFront y tu propio servidor web, puedes usar la función de origen CloudFront personalizado y configurar la **política de protocolo de origen** y los ajustes del **nombre de dominio de origen** para orígenes específicos. En tu CloudFront configuración, puedes especificar el nombre DNS del servidor junto con el puerto y el protocolo que quieres usar CloudFront para recuperar objetos de tu origen. También debes asegurarte de que el SSL/TLS certificado de tu servidor de origen personalizado coincida con el nombre de dominio de origen que has configurado. Si utilizas tu propio servidor web HTTP fuera de él AWS, debes usar un certificado firmado por una entidad emisora de certificados (CA) externa de confianza, por ejemplo, Comodo o DigiCert Symantec. Para obtener más información sobre cómo se requiere HTTPS para la comunicación entre CloudFront y su propio servidor web, consulte el tema [Requerir HTTPS para la comunicación entre CloudFront y su origen personalizado](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) en la *Guía para CloudFront desarrolladores de Amazon*.

**Requerir HTTPS entre un espectador y CloudFront**  
Para requerir HTTPS entre los espectadores y CloudFront, puede cambiar la **política de protocolo de visualización** para uno o más comportamientos de caché en su CloudFront distribución. Para obtener más información sobre el uso de HTTPS entre espectadores CloudFront, consulte el tema [Exigir HTTPS para la comunicación entre espectadores y CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) en la *Guía para CloudFront desarrolladores de Amazon*. También puedes traer tu propio certificado SSL para que los espectadores puedan conectarse a tu CloudFront distribución a través de HTTPS con tu propio nombre de dominio, por ejemplo *https://www.mysite.com*. Para obtener más información, consulte el tema [Configuración de nombres de dominio alternativos y HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) en la *Guía para CloudFront desarrolladores de Amazon*.

En el caso de las distribuciones de varios inquilinos, las configuraciones de los métodos HTTP siguen esta jerarquía:
+ La configuración por plantilla define los métodos HTTP de referencia permitidos para todas las distribuciones de inquilinos.
+ Las distribuciones de inquilinos pueden anular esta configuración para lo siguiente:
  + Permita menos métodos que la distribución multiusuario (utilice AWS WAF reglas para bloquear métodos adicionales)
  + Permitir más métodos si la distribución de varios inquilinos está configurada para admitirlos
+ AWS WAF las reglas tanto a nivel de distribución multiusuario como de inquilino pueden restringir aún más los métodos HTTP, independientemente de la configuración CloudFront 

## Elegir los métodos HTTP que CloudFront respondan a
<a name="cloudfront-features-allowed-http-methods"></a>

Cuando creas una distribución CloudFront web de Amazon, eliges los métodos HTTP que quieres CloudFront procesar y reenviar a tu origen. Puede elegir entre las siguientes opciones:
+ **`GET`, `HEAD`** — CloudFront Solo puedes usarlos para obtener objetos de tu origen o para obtener encabezados de objetos.
+ **`GET`,`HEAD`, `OPTIONS`** — CloudFront Solo puedes usarlo para obtener objetos de tu origen, obtener encabezados de objetos o recuperar una lista de las opciones que admite tu servidor de origen.
+ **`GET`,`HEAD`,`OPTIONS`,`PUT`,, `POST``PATCH`, `DELETE`** — Se puede utilizar CloudFront para obtener, añadir, actualizar y eliminar objetos, así como para obtener encabezados de objetos. Además, puede realizar otras operaciones de `POST` como enviar datos desde un formulario web.

También puede usar sentencias de reglas de coincidencia de AWS WAF bytes para permitir o bloquear las solicitudes según el método HTTP, tal y como se describe en[Instrucción de regla de coincidencia de cadenas](waf-rule-statement-type-string-match.md). Si desea utilizar una combinación de métodos CloudFront compatibles, como `GET` y`HEAD`, no necesita configurarla AWS WAF para bloquear las solicitudes que utilizan los otros métodos. Si desea permitir una combinación de métodos que CloudFront no sea compatible, por ejemplo, y `GET` `HEAD``POST`, puede configurarla para que responda CloudFront a todos los métodos y, a continuación, utilizarla AWS WAF para bloquear las solicitudes que utilizan otros métodos.

Para obtener más información sobre cómo elegir los métodos CloudFront adecuados, consulte [Métodos HTTP permitidos](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) en el tema [Valores que se especifican al crear o actualizar una distribución web](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) de la *Guía para CloudFront desarrolladores de Amazon*.

**Configuraciones de métodos HTTP permitidas en distribuciones de varios inquilinos**  
En el caso de las distribuciones de varios inquilinos, las configuraciones de los métodos HTTP establecidas por distribución de varios inquilinos se aplican a todas las distribuciones de inquilino de forma predeterminada. Las distribuciones de inquilino pueden anular esta configuración si es necesario.
+ Si desea utilizar una combinación de métodos CloudFront compatibles, como `GET` y`HEAD`, no necesita configurarla AWS WAF para bloquear las solicitudes que utilizan otros métodos.
+ Si quieres permitir una combinación de métodos que CloudFront no es compatible de forma predeterminada, como, y `GET` `HEAD``POST`, puedes configurarla para que responda CloudFront a todos los métodos y, después, utilizarla AWS WAF para bloquear las solicitudes que utilizan otros métodos.

Al implementar encabezados de seguridad en distribuciones de varios inquilinos, tenga en cuenta lo siguiente:
+ Los encabezados de seguridad por plantilla proporcionan una protección básica en todas las distribuciones de inquilino.
+ Las distribuciones de inquilino pueden:
  + Agregar nuevos encabezados de seguridad no definidos en la distribución de varios inquilinos
  + Modificar los valores de los encabezados específicos de cada inquilino
  + No se pueden eliminar ni anular los encabezados de seguridad establecidos por distribución de varios inquilinos.
+ Considere la posibilidad de utilizar encabezados por distribución de varios inquilinos para los controles de seguridad críticos que deberían aplicarse a todos los inquilinos.

## Consideraciones sobre el registro
<a name="cloudfront-features-logging"></a>

Tanto las distribuciones estándar como las multiusuario admiten el AWS WAF registro, pero existen diferencias importantes en la forma en que se estructuran y administran los registros:


**Comparación de registros**  

| Distribuciones estándar | Distribuciones de varios inquilinos | 
| --- | --- | 
| Una configuración de registro por distribución | Plantilla y opciones de registro por inquilino | 
| Campos de registro estándar | Campos de identificación de inquilinos adicionales | 
| Destino único por distribución | Destinos individuales posibles para registros de distribuciones de varios inquilinos y de inquilino | 

## Recursos adicionales
<a name="cloudfront-saas-additional-resources"></a>
+ Para obtener más información sobre las distribuciones multiusuario, consulte [Configurar distribuciones en la Guía](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html) para desarrolladores de *Amazon CloudFront *.
+ Para obtener más información sobre el uso AWS WAF con CloudFront, consulte [Uso de la AWS WAF protección](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) en la *Guía para CloudFront desarrolladores de Amazon*.
+ Para obtener más información sobre AWS WAF los registros, consulte[Campos de registro para el tráfico del paquete de protección (ACL web)](logging-fields.md).

# Seguridad en el uso del AWS WAF servicio
<a name="security"></a>

En esta sección se explica cómo se aplica el modelo de responsabilidad compartida a AWS WAF.

La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.

**nota**  
Esta sección proporciona una guía AWS de seguridad estándar para el uso del AWS WAF servicio y sus AWS recursos, como los paquetes de AWS WAF protección (web ACLs) y los grupos de reglas.   
Para obtener información sobre cómo proteger sus AWS recursos mediante el uso AWS WAF, consulte el resto de la AWS WAF guía. 

La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de conformidad aplicables AWS WAF, consulte los [AWS servicios incluidos en el ámbito de aplicación por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. Usted también es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables. 

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AWS WAF. Los siguientes temas muestran cómo configurarlo AWS WAF para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus AWS WAF recursos. 

**Topics**
+ [

# Protección de sus datos en AWS WAF
](data-protection.md)
+ [

# Uso de IAM con AWS WAF
](security-iam.md)
+ [

# Inicio de sesión y supervisión AWS WAF
](waf-incident-response.md)
+ [

# Validación del cumplimiento en AWS WAF
](waf-compliance.md)
+ [

# Construir para la resiliencia en AWS WAF
](disaster-recovery-resiliency.md)
+ [

# Seguridad de infraestructura en AWS WAF
](infrastructure-security.md)

# Protección de sus datos en AWS WAF
<a name="data-protection"></a>

El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS WAF. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con AWS WAF o Servicios de AWS utiliza la consola, la API o. AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

AWS WAF las entidades, como los paquetes de protección (web ACLs), los grupos de reglas y los conjuntos de IP, se cifran en reposo, excepto en determinadas regiones donde el cifrado no está disponible, como China (Pekín) y China (Ningxia). Para cada región se utilizan claves de cifrado únicas. 

## Eliminar recursos AWS WAF
<a name="deleting-resources"></a>

Puede eliminar los recursos que creó en AWS WAF. Consulte las directrices para cada tipo de recurso en las siguientes secciones.
+ [Cómo eliminar un paquete de protección (ACL web)](web-acl-deleting.md)
+ [Eliminación de un grupo de reglas](waf-rule-group-deleting.md)
+ [Eliminar un conjunto de IP](waf-ip-set-managing.md#waf-ip-set-deleting)
+ [Eliminar un conjunto de patrones de expresiones regex](waf-regex-pattern-set-managing.md#waf-regex-pattern-set-deleting)

# Uso de IAM con AWS WAF
<a name="security-iam"></a>

En esta sección se explica cómo usar IAM con. AWS WAF



AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos. AWS WAF La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.

**Topics**
+ [

## Público
](#security_iam_audience)
+ [

## Autenticación con identidades
](#security_iam_authentication)
+ [

## Administración del acceso con políticas
](#security_iam_access-manage)
+ [

# Cómo AWS WAF funciona con IAM
](security_iam_service-with-iam.md)
+ [

# Ejemplos de políticas basadas en la identidad para AWS WAF
](security_iam_id-based-policy-examples.md)
+ [

# AWS políticas gestionadas para AWS WAF
](security-iam-awsmanpol.md)
+ [

# Solución de problemas AWS WAF de identidad y acceso
](security_iam_troubleshoot.md)
+ [

# Uso de roles vinculados a servicios para AWS WAF
](using-service-linked-roles.md)

## Público
<a name="security_iam_audience"></a>

La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas AWS WAF de identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo AWS WAF funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad para AWS WAF](security_iam_id-based-policy-examples.md)).

## Autenticación con identidades
<a name="security_iam_authentication"></a>

La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.

Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.

Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.

### Cuenta de AWS usuario root
<a name="security_iam_authentication-rootuser"></a>

 Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*. 

### Identidad federada
<a name="security_iam_authentication-federated"></a>

Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.

Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.

Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.

### Usuarios y grupos de IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.

### Roles de IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.

Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

## Administración del acceso con políticas
<a name="security_iam_access-manage"></a>

El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.

Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.

De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.

### Políticas basadas en identidades
<a name="security_iam_access-manage-id-based-policies"></a>

Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.

### Políticas basadas en recursos
<a name="security_iam_access-manage-resource-based-policies"></a>

Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.

Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.

### Otros tipos de políticas
<a name="security_iam_access-manage-other-policies"></a>

AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.

### Varios tipos de políticas
<a name="security_iam_access-manage-multiple-policies"></a>

Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.

# Cómo AWS WAF funciona con IAM
<a name="security_iam_service-with-iam"></a>

En esta sección se explica cómo utilizar las funciones de IAM con. AWS WAF

Antes de utilizar IAM para gestionar el acceso AWS WAF, infórmese sobre las funciones de IAM disponibles para su uso. AWS WAF






**Funciones de IAM que puede utilizar con AWS WAF**  

| Característica de IAM | AWS WAF soporte | 
| --- | --- | 
|  [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies)  |   Sí  | 
|  [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies)  |   Sí  | 
|  [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions)  |   Sí  | 
|  [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources)  |   Sí  | 
|  [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sí  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   No   | 
|  [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags)  |   Parcial  | 
|  [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds)  |   Sí  | 
|  [Sesiones de acceso directo (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sí  | 
|  [Roles de servicio](#security_iam_service-with-iam-roles-service)  |   Sí  | 
|  [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked)  |   Sí  | 

Para obtener una visión general de cómo AWS WAF funcionan otros AWS servicios con la mayoría de las funciones de IAM, consulte [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.

## Políticas basadas en la identidad para AWS WAF
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Compatibilidad con las políticas basadas en identidad:** sí

Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.

Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS WAF](security_iam_id-based-policy-examples.md)

## Políticas basadas en recursos incluidas AWS WAF
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Compatibilidad con las políticas basadas en recursos:** sí

Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS

Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

AWS WAF utiliza políticas basadas en recursos para permitir el uso compartido de grupos de reglas entre cuentas. Para compartir un grupo de reglas de su propiedad con otra AWS cuenta, debe proporcionar la configuración de políticas basada en recursos a la llamada a la AWS WAF API `PutPermissionPolicy` o a una llamada de CLI o SDK equivalente. Para obtener información adicional, incluidos ejemplos y enlaces a la documentación de los demás idiomas disponibles, consulta la referencia de [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html)la AWS WAF API. Esta funcionalidad no está disponible a través de otros medios, como la consola o. CloudFormation

## Acciones políticas para AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Compatibilidad con las acciones de políticas:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.



Para ver una lista de AWS WAF acciones y permisos para cada una de ellas, consulta [las acciones definidas por la AWS WAF versión 2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) en la *Referencia de autorización de servicios*.

Las acciones políticas AWS WAF utilizan el siguiente prefijo antes de la acción:

```
wafv2
```

Para especificar varias acciones en una única instrucción, sepárelas con comas.

```
"Action": [
      "wafv2:action1",
      "wafv2:action2"
         ]
```



Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones AWS WAF que comiencen por`List`, incluya la siguiente acción:

```
"Action": "wafv2:List*"
```

Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS WAF](security_iam_id-based-policy-examples.md)

### Acciones que requieren configuraciones de permisos adicionales
<a name="security_iam_action-additions"></a>

Algunas acciones requieren permisos que no se pueden describir completamente en [las acciones definidas por la AWS WAF versión 2 de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) la *Referencia de autorización de servicios*. En esta sección, se proporciona información adicional sobre los permisos.

**Topics**
+ [

#### Permisos para `AssociateWebACL`
](#security_iam_action-AssociateWebACL)
+ [

#### Permisos para `DisassociateWebACL`
](#security_iam_action-DisassociateWebACL)
+ [

#### Permisos para `GetWebACLForResource`
](#security_iam_action-GetWebACLForResource)
+ [

#### Permisos para `ListResourcesForWebACL`
](#security_iam_action-ListResourcesForWebACL)

#### Permisos para `AssociateWebACL`
<a name="security_iam_action-AssociateWebACL"></a>

En esta sección, se enumeran los permisos necesarios para asociar un paquete de protección (ACL web) a un recurso mediante la acción `AssociateWebACL` de AWS WAF . 

Para CloudFront las distribuciones de Amazon, usa la acción en lugar de esta CloudFront acción`UpdateDistribution`. Para obtener más información, consulta [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)la *referencia de la CloudFront API de Amazon*. 

**API de REST de Amazon API Gateway**  
Requiere permiso para llamar a API Gateway `SetWebACL` en el tipo de recurso de API REST y para llamar AWS WAF `AssociateWebACL` a un paquete de protección (ACL web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Equilibrador de carga de aplicación**  
Requiere permiso para realizar una `elasticloadbalancing:SetWebACL` acción en el tipo de recurso Application Load Balancer y para llamar AWS WAF `AssociateWebACL` a un paquete de protección (ACL web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync API GraphQL**  
Requiere permiso para llamar al tipo AWS AppSync `SetWebACL` de recurso de la API GraphQL y a un paquete AWS WAF `AssociateWebACL` de protección (ACL web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Grupo de usuarios de Amazon Cognito**  
Requiere permiso para ejecutar la `AssociateWebACL` acción de Amazon Cognito en el tipo de recurso del grupo de usuarios y para AWS WAF `AssociateWebACL` invocar un paquete de protección (ACL web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner servicio**  
Requiere permiso para llamar a la `AssociateWebACL` acción de App Runner en el tipo de recurso de servicio de App Runner y para llamar AWS WAF `AssociateWebACL` a una ACL web. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:AssociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instancia de acceso verificado**  
Requiere permiso para ejecutar la `ec2:AssociateVerifiedAccessInstanceWebAcl` acción en el tipo de recurso de la instancia de acceso verificado y para llamar AWS WAF `AssociateWebACL` a una ACL web. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:AssociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Permisos para `DisassociateWebACL`
<a name="security_iam_action-DisassociateWebACL"></a>

En esta sección, se enumeran los permisos necesarios para desasociar un paquete de protección (ACL web) de un recurso mediante la acción `DisassociateWebACL` de AWS WAF . 

Para CloudFront las distribuciones de Amazon, en lugar de esta acción, usa la CloudFront acción `UpdateDistribution` con un ID de paquete de protección (ACL web) vacío. Para obtener más información, consulta [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)la *referencia de la CloudFront API de Amazon*. 

**API de REST de Amazon API Gateway**  
Requiere permiso para llamar a API Gateway `SetWebACL` en el tipo de recurso de API de REST. No requiere permiso para llamar AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Equilibrador de carga de aplicación**  
Requiere permiso para llamar a la acción `elasticloadbalancing:SetWebACL` en el tipo de recurso equilibrador de carga de aplicación. No requiere permiso para llamar AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync API GraphQL**  
Requiere permiso para invocar el AWS AppSync `SetWebACL` tipo de recurso de la API GraphQL. No requiere permiso para llamar AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Grupo de usuarios de Amazon Cognito**  
Requiere permiso para ejecutar la `DisassociateWebACL` acción de Amazon Cognito en el tipo de recurso del grupo de usuarios y para realizar la llamada. AWS WAF `DisassociateWebACL` 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:DisassociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner servicio**  
Requiere permiso para ejecutar la `DisassociateWebACL` acción de App Runner en el tipo de recurso de servicio de App Runner y realizar la llamada AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DisassociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instancia de acceso verificado**  
Requiere permiso para ejecutar la `ec2:DisassociateVerifiedAccessInstanceWebAcl` acción en el tipo de recurso de la instancia de Verified Access y para realizar la llamada AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DisassociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Permisos para `GetWebACLForResource`
<a name="security_iam_action-GetWebACLForResource"></a>

En esta sección, se enumeran los permisos necesarios para obtener el paquete de protección (ACL web) para un recurso protegido mediante la acción `GetWebACLForResource` de AWS WAF . 

Para CloudFront las distribuciones de Amazon, usa la acción en lugar de esta CloudFront acción`GetDistributionConfig`. Para obtener más información, consulta [GetDistributionConfig](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_GetDistributionConfig.html)la *referencia de la CloudFront API de Amazon*. 

**nota**  
`GetWebACLForResource` requiere el permiso para llamar a `GetWebACL`. En este contexto, se AWS WAF utiliza `GetWebACL` únicamente para comprobar que su cuenta tiene el permiso que necesita para acceder al paquete de protección (ACL web) que `GetWebACLForResource` aparece. Cuando llames`GetWebACLForResource`, es posible que aparezca un error que indique que tu cuenta no está autorizada a `wafv2:GetWebACL` utilizar el recurso. AWS WAF no añade este tipo de error al historial de AWS CloudTrail eventos. 

**API REST, Application Load Balancer y AWS AppSync GraphQL de Amazon API Gateway**  
Se requiere permiso para llamar AWS WAF `GetWebACLForResource` y `GetWebACL` para obtener un paquete de protección (ACL web). 

```
{
    "Sid": "GetWebACLForResource",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Grupo de usuarios de Amazon Cognito**  
Requiere permiso para llamar a la `GetWebACLForResource` acción de Amazon Cognito en el tipo de recurso del grupo de usuarios y para llamar AWS WAF `GetWebACLForResource` a y. `GetWebACL` 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [ 
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:GetWebACLForResource"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner servicio**  
Requiere permiso para llamar a la `DescribeWebAclForService` acción de App Runner en el tipo de recurso de servicio de App Runner y para llamar a AWS WAF `GetWebACLForResource` y`GetWebACL`. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DescribeWebAclForService"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instancia de acceso verificado**  
Requiere permiso para ejecutar la `ec2:GetVerifiedAccessInstanceWebAcl` acción en el tipo de recurso de la instancia de acceso verificado y para llamar a AWS WAF `GetWebACLForResource` y`GetWebACL`. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "ec2:GetVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Permisos para `ListResourcesForWebACL`
<a name="security_iam_action-ListResourcesForWebACL"></a>

En esta sección, se enumeran los permisos necesarios para recuperar la lista de recursos protegidos para un paquete de protección (ACL web) mediante la acción `ListResourcesForWebACL` de AWS WAF . 

Para CloudFront las distribuciones de Amazon, usa la acción en lugar de esta CloudFront acción`ListDistributionsByWebACLId`. Para obtener más información, consulta [ListDistributionsByWebACLId](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListDistributionsByWebACLId.html)la *referencia de la CloudFront API de Amazon*. 

**API REST, Application Load Balancer y AWS AppSync GraphQL de Amazon API Gateway**  
Se requiere permiso AWS WAF `ListResourcesForWebACL` para solicitar una ACL web. 

```
{
    "Sid": "ListResourcesForWebACL",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Grupo de usuarios de Amazon Cognito**  
Requiere permiso para llamar a la acción `ListResourcesForWebACL` de Amazon Cognito en el tipo de recurso de grupo de usuarios y para llamar a `ListResourcesForWebACL` de AWS WAF . 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner servicio**  
Requiere permiso para ejecutar la `ListAssociatedServicesForWebAcl` acción de App Runner en el tipo de recurso de servicio de App Runner y realizar la llamada AWS WAF `ListResourcesForWebACL`. 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:ListAssociatedServicesForWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instancia de acceso verificado**  
Requiere permiso para llamar a la acción `ec2:DescribeVerifiedAccessInstanceWebAclAssociations` en el tipo de recurso de instancia de acceso verificado y llamar a `ListResourcesForWebACL` de AWS WAF . 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DescribeVerifiedAccessInstanceWebAclAssociations"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

## Recursos de políticas para AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Compatibilidad con los recursos de políticas:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.

```
"Resource": "*"
```

Para ver la lista de tipos de AWS WAF recursos y sus tipos ARNs, consulte [los recursos definidos por la AWS WAF versión 2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-resources-for-iam-policies) en la *Referencia de autorización de servicios*. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) V2. Para permitir o denegar el acceso a un subconjunto de AWS WAF recursos, incluya el ARN del recurso en el elemento de `resource` la política.

Los ARNs AWS WAF `wafv2` recursos tienen el siguiente formato:

```
arn:partition:wafv2:region:account-id:scope/resource-type/resource-name/resource-id
```

Para obtener información general sobre las especificaciones del ARN, consulte [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en el. Referencia general de Amazon Web Services

A continuación se enumeran los requisitos específicos ARNs de los `wafv2` recursos: 
+ *region*: En el caso de AWS WAF los recursos que utilizas para proteger CloudFront las distribuciones de Amazon, establézcalo en. `us-east-1` De lo contrario, establézcalo en la región que esté utilizando con sus recursos regionales protegidos. 
+ *scope*: establece el alcance `global` para usarlo con una CloudFront distribución de Amazon o `regional` para usarlo con cualquiera de los recursos regionales AWS WAF compatibles. Los recursos regionales son una API REST de Amazon API Gateway, un Application Load Balancer, una API de AWS AppSync GraphQL, un grupo de usuarios de Amazon Cognito, un AWS App Runner servicio y una instancia de Verified Access. AWS 
+ *resource-type*: especifique uno de los siguientes valores:`webacl`,, `rulegroup``ipset`, `regexpatternset` o. `managedruleset`
+ *resource-name*: especifique el nombre que asignó al AWS WAF recurso o especifique un comodín (`*`) para indicar todos los recursos que cumplen las demás especificaciones del ARN. Debe especificar el nombre y el identificador del recurso, o especificar un comodín para ambos. 
+ *resource-id*: especifique el ID del AWS WAF recurso o especifique un comodín (`*`) para indicar todos los recursos que cumplen las demás especificaciones del ARN. Debe especificar el nombre y el identificador del recurso, o especificar un comodín para ambos.

Por ejemplo, el siguiente ARN especifica todos los paquetes de protección (web ACLs) con alcance regional para la cuenta `111122223333` en Región: `us-west-1`

```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```

El siguiente ARN especifica el grupo de reglas denominado `MyIPManagementRuleGroup` con un alcance global para la cuenta `111122223333` en la región `us-east-1`:

```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```

Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS WAF](security_iam_id-based-policy-examples.md)

## Claves de condición de la política para AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Compatibilidad con claves de condición de políticas específicas del servicio:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.

Además, AWS WAF admite las siguientes claves de condición que puede utilizar para proporcionar un filtrado detallado a sus políticas de IAM:
+ **wafv2: LogDestinationResource**

  Esta clave de condición usa una especificación de nombre de recurso de Amazon (ARN) para el destino del registro. Este es el ARN que proporciona para el destino del registro cuando utiliza la llamada `PutLoggingConfiguration` a la API de REST. 

  Puede especificar un ARN de forma explícita, así como también el filtrado del ARN. El siguiente ejemplo especifica el filtrado de los buckets de Amazon S3 ARNs que tienen una ubicación y un prefijo específicos. 

  ```
  "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-suffix/custom-prefix/*" } }
  ```
+ **wafv2: LogScope**

  Esta clave de condición define el origen de la configuración de registro en una cadena. En la actualidad, siempre tiene el valor predeterminado `Customer`, lo que indica que el destino del registro es de su propiedad y está administrado por usted. 

Para ver una lista de claves de AWS WAF condición, consulte las claves de [condición de la AWS WAF versión 2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-policy-keys) en la Referencia de *autorización de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por la AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions).

Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS WAF](security_iam_id-based-policy-examples.md)

## ACLs in AWS WAF
<a name="security_iam_service-with-iam-acls"></a>

**Soporta ACLs**: No 

Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.

## ABAC con AWS WAF
<a name="security_iam_service-with-iam-tags"></a>

**Compatibilidad con ABAC (etiquetas en las políticas):** parcial

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.

Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.

*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

## Utilizar credenciales temporales con AWS WAF
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Compatibilidad con credenciales temporales:** sí

Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente al utilizar la federación o al cambiar de función. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.

## Reenvíe las sesiones de acceso para el servicio AWS WAF
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Admite sesiones de acceso directo (FAS):** sí

 Las sesiones de acceso directo (FAS) utilizan los permisos del operador principal que realiza la llamada Servicio de AWS, junto con los de solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Funciones de servicio para AWS WAF
<a name="security_iam_service-with-iam-roles-service"></a>

**Compatible con roles de servicio:** sí

 Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*. 

**aviso**  
Cambiar los permisos de un rol de servicio podría interrumpir AWS WAF la funcionalidad. Edite las funciones de servicio solo cuando se AWS WAF proporcionen instrucciones para hacerlo.

## Funciones vinculadas al servicio para AWS WAF
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Compatible con roles vinculados al servicio:** sí

 Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios. 

Para obtener más información sobre la creación o la administración de funciones AWS WAF vinculadas al servicio, consulte. [Uso de roles vinculados a servicios para AWS WAF](using-service-linked-roles.md)

# Ejemplos de políticas basadas en la identidad para AWS WAF
<a name="security_iam_id-based-policy-examples"></a>

En esta sección se proporcionan ejemplos de políticas basadas en la identidad para. AWS WAF

De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AWS WAF . Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.

Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las acciones y los tipos de recursos definidos AWS WAF, incluido el formato de cada uno ARNs de los tipos de recursos, consulte [las claves de condición, recursos y acciones de la AWS WAF versión 2 en la Referencia](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html) de *autorización de servicios*.

**Topics**
+ [

## Prácticas recomendadas sobre las políticas
](#security_iam_service-with-iam-policy-best-practices)
+ [

## Uso de la consola AWS WAF
](#security_iam_id-based-policy-examples-console)
+ [

## Cómo permitir a los usuarios consultar sus propios permisos
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [

## Otorgue acceso de solo lectura a, y AWS WAF CloudFront CloudWatch
](#security_iam_id-based-policy-examples-read-only1)
+ [

## Conceda acceso completo a AWS WAF CloudFront, y CloudWatch
](#security_iam_id-based-policy-examples-full-access1)
+ [

## Conceda acceso a una sola Cuenta de AWS
](#security_iam_id-based-policy-examples-access-to-account)
+ [

## Concesión de acceso a un único paquete de protección (ACL web)
](#security_iam_id-based-policy-examples-access-to-web-acl)
+ [

## Concesión de acceso a la CLI a un paquete de protección (ACL web) y a un grupo de reglas
](#security_iam_id-based-policy-examples-cli-access-to-web-acl)

## Prácticas recomendadas sobre las políticas
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Las políticas basadas en la identidad determinan si alguien puede crear AWS WAF recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.

## Uso de la consola AWS WAF
<a name="security_iam_id-based-policy-examples-console"></a>

Para acceder a la AWS WAF consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS WAF recursos de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.

No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.

Para garantizar que los usuarios y los roles puedan usar la AWS WAF consola, adjunte también al menos la política AWS WAF `AWSWAFConsoleReadOnlyAccess` AWS administrada a las entidades. Para obtener información sobre esta política administrada, consulte [AWS política gestionada: AWSWAFConsole ReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess). Para obtener más información sobre cómo agregar una política administrada a un usuario, consulte [Agregar permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*.

## Cómo permitir a los usuarios consultar sus propios permisos
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Otorgue acceso de solo lectura a, y AWS WAF CloudFront CloudWatch
<a name="security_iam_id-based-policy-examples-read-only1"></a>

La siguiente política otorga a los usuarios acceso de solo lectura a AWS WAF los recursos, a las distribuciones CloudFront web de Amazon y a las métricas de Amazon. CloudWatch Resulta útil para los usuarios que necesitan permiso para ver la configuración de los paquetes de AWS WAF condiciones, reglas y protección (web ACLs) para ver qué distribución está asociada a un paquete de protección (ACL web) y para monitorizar las métricas y una muestra de solicitudes. CloudWatch Estos usuarios no pueden crear, actualizar ni eliminar recursos de AWS WAF .

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:Get*",
                "wafv2:List*",
                "cloudfront:GetDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:GetDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

## Conceda acceso completo a AWS WAF CloudFront, y CloudWatch
<a name="security_iam_id-based-policy-examples-full-access1"></a>

La siguiente política permite a los usuarios realizar cualquier AWS WAF operación, realizar cualquier operación en distribuciones CloudFront web y monitorear las métricas y una muestra de solicitudes en CloudWatch ellas. Es útil para los usuarios que son AWS WAF administradores.

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:*",
                "cloudfront:CreateDistribution",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:UpdateDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:GetDistribution",
                "cloudfront:DisassociateDistributionTenantWebACL",
                "cloudfront:DisassociateDistributionWebACL",
                "cloudfront:AssociateDistributionTenantWebACL",
                "cloudfront:AssociateDistributionWebACL",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:DeleteDistribution",
                "cloudfront:GetDistributionTenant",
                "cloudfront:DeleteDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "pricingplanmanager:UpdateSubscription",
                "pricingplanmanager:CancelSubscription",
                "pricingplanmanager:CancelSubscriptionChange",
                "pricingplanmanager:AssociateResourcesToSubscription",
                "pricingplanmanager:DisassociateResourcesFromSubscription",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

Recomendamos encarecidamente que configure la autenticación multifactor (MFA) para los usuarios que tienen permisos administrativos. Para obtener más información, consulte [Uso de la autenticación multifactor (MFA) en dispositivos con AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html) en la *Guía del usuario de IAM*. 

## Conceda acceso a una sola Cuenta de AWS
<a name="security_iam_id-based-policy-examples-access-to-account"></a>

Esta política concede los siguientes permisos a la cuenta 444455556666:
+ Acceso total a todas AWS WAF las operaciones y recursos.
+ Lea y actualice el acceso a todas CloudFront las distribuciones, lo que le permite asociar paquetes de protección (web ACLs) y CloudFront distribuciones.
+ Acceda a todas las CloudWatch métricas y estadísticas métricas para poder ver CloudWatch los datos y una muestra de las solicitudes en la AWS WAF consola. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
            "arn:aws:wafv2:us-east-1:444455556666:*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudfront:UpdateDistribution",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics",
            "ec2:DescribeRegions"
         ],
         "Resource": [
            "*"
         ]
      }
   ]
}
```

------

## Concesión de acceso a un único paquete de protección (ACL web)
<a name="security_iam_id-based-policy-examples-access-to-web-acl"></a>

La siguiente política permite a los usuarios realizar cualquier AWS WAF operación a través de la consola en un paquete de protección específico (ACL web) de la cuenta`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

## Concesión de acceso a la CLI a un paquete de protección (ACL web) y a un grupo de reglas
<a name="security_iam_id-based-policy-examples-cli-access-to-web-acl"></a>

La siguiente política permite a los usuarios realizar cualquier AWS WAF operación a través de la CLI en un paquete de protección específico (ACL web) y en un grupo de reglas específico de la cuenta`444455556666`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
        "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example",
        "arn:aws:wafv2:us-east-1:444455556666:regional/rulegroup/test123rulegroup/555555555-6666-1234-abcd-00d11example"
         ]
      }
   ]
}
```

------

La siguiente política permite a los usuarios realizar cualquier AWS WAF operación a través de la consola en un paquete de protección específico (ACL web) de la cuenta`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

# AWS políticas gestionadas para AWS WAF
<a name="security-iam-awsmanpol"></a>

En esta sección se explica cómo usar las políticas AWS administradas para AWS WAF.

Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.

## AWS política gestionada: AWSWAFRead OnlyAccess
<a name="security-iam-awsmanpol-AWSWAFReadOnlyAccess"></a>

Esta política otorga permisos de solo lectura que permiten a los usuarios acceder a AWS WAF recursos y recursos para servicios integrados, como Amazon CloudFront, Amazon API Gateway, Application Load Balancer, AWS AppSync Amazon Cognito AWS App Runner AWS Amplify, CloudWatch Amazon y Verified Access. AWS Puede adjuntar esta política a sus identidades de IAM. AWS WAF también vincula esta política a un rol de servicio que le permite AWS WAF realizar acciones en su nombre.

Para obtener más información sobre esta política, consulte [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)en la consola de IAM.

## AWS política gestionada: Acceso AWSWAFFull
<a name="security-iam-awsmanpol-AWSWAFFullAccess"></a>

Esta política otorga acceso total a AWS WAF los recursos y recursos de los servicios integrados, como Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner AWS Amplify, CloudWatch AWS Amazon y Verified Access. Puede adjuntar esta política a sus identidades de IAM. AWS WAF también vincula esta política a un rol de servicio que le permite AWS WAF realizar acciones en su nombre.

Para obtener más información sobre esta política, consulte [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary) en la consola de IAM.

## AWS política gestionada: AWSWAFConsole ReadOnlyAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess"></a>

Esta política concede permisos de solo lectura a la AWS WAF consola, que incluyen recursos para AWS WAF y para servicios integrados, como Amazon, Amazon CloudFront API Gateway, Application Load Balancer, AWS AppSync Amazon Cognito AWS App Runner AWS Amplify, CloudWatch Amazon y Verified Access. AWS Puede adjuntar esta política a sus identidades de IAM.

Para obtener más información sobre esta política, consulte [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)la consola de IAM.

## AWS política gestionada: AWSWAFConsole FullAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleFullAccess"></a>

Esta política otorga acceso total a la AWS WAF consola, que incluye recursos para AWS WAF y para servicios integrados, como Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner AWS Amplify, CloudWatch AWS Amazon y Verified Access. Puede adjuntar esta política a sus identidades de IAM. AWS WAF también vincula esta política a un rol de servicio que le permite AWS WAF realizar acciones en su nombre.

Para obtener más información sobre esta política, consulte [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)en la consola de IAM.

## AWS política gestionada: WAFV2 LoggingServiceRolePolicy
<a name="security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy"></a>

Esta política permite AWS WAF escribir registros en Amazon Data Firehose. Esta política solo se utiliza si habilita el inicio de sesión AWS WAF. Esta política se adjunta al rol vinculado al servicio de `AWSServiceRoleForWAFV2Logging`. Para obtener más información sobre el rol vinculado a servicios, consulte [Uso de roles vinculados a servicios para AWS WAF](using-service-linked-roles.md). 

Para obtener más información sobre esta política, consulte [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary)en la consola de IAM.

## AWS WAF actualizaciones de las políticas AWS gestionadas
<a name="security-iam-awsmanpol-updates"></a>



Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas AWS WAF desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS WAF documento en[Historial de documentos](doc-history.md).




| Política | Descripción del cambio | Date | 
| --- | --- | --- | 
|  `AWSWAFConsoleFullAccess` Esta política le permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Se agregaron los siguientes permisos para los planes CloudFront de precios. Para obtener más información, consulte [Utilizándolo AWS WAF con planes CloudFront de precios de tarifa fija](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html)  | 18-11-2020  | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Se agregaron los siguientes permisos para los planes CloudFront de precios. Para obtener más información, consulte [Utilizándolo AWS WAF con planes CloudFront de precios de tarifa fija](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html)  | 18-11-2020 | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Se han actualizado los siguientes permisos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) Se han añadido los siguientes permisos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html)  | 03/11/2025 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Se han actualizado los siguientes permisos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) Se han añadido los siguientes permisos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html)  | 03/11/2025 | 
| `AWSWAFFullAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Se agregaron los permisos para los AssociateWeb que se requieren DisassociateWeb ACL, ACL, GetWeb ACLFor Resource y ListResourcesForWeb ACL. AWS Amplify  | 05-05-2020 | 
| `AWSWAFReadOnlyAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Para obtener más información sobre esta política, consulte [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)en la consola de IAM. |  Se han añadido permisos para los que se requieren el GetWeb ACLFor recurso y la ListResourcesForWeb ACL. AWS Amplify  | 05-05-2020 | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Se han añadido los siguientes permisos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html)  | 05-05-05 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Se han añadido los siguientes permisos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html)  | 05-05-05 | 
| `WAFV2LoggingServiceRolePolicy` Esta política permite AWS WAF escribir registros en Amazon Data Firehose. Solo se utiliza si habilita el registro.  Detalles en la consola de IAM:. [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary) |  Se agregó una declaración IDs (SID) a la configuración de permisos del rol vinculado al servicio al que está asociada esta política.   | 03 de junio de 2024 | 
| `AWSServiceRoleForWAFV2Logging` Esta función vinculada a un servicio proporciona políticas de permisos que permiten AWS WAF escribir registros en Amazon Data Firehose.  [Detalles en la consola de IAM: registro. AWSService RoleFor WAFV2](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging) |  Se agregó una declaración IDs (SIDS) a la configuración de permisos.   | 03 de junio de 2024 | 
|  AWS WAF adiciones al seguimiento de cambios  |  AWS WAF comenzó a realizar un seguimiento de los cambios en la política gestionada `WAFV2LoggingServiceRolePolicy` y en la función vinculada al servicio. `AWSServiceRoleForWAFV2Logging`   | 2024-06-03 | 
| `AWSWAFFullAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Se ampliaron los permisos para añadir instancias de acceso AWS verificado a los tipos de recursos con AWS WAF los que puede protegerse.  | -17 de junio de 2023 | 
| `AWSWAFReadOnlyAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para agregar instancias de acceso AWS verificado a los tipos de recursos con AWS WAF los que puede protegerse.  | -17 de junio de 2023 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Permisos ampliados para agregar instancias de acceso AWS verificado a los tipos de recursos con AWS WAF los que puede protegerse.  | -17 de junio de 2023 | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para agregar instancias de acceso AWS verificado a los tipos de recursos con AWS WAF los que puede protegerse.  | -17 de junio de 2023 | 
| `AWSWAFFullAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Se ampliaron los permisos para corregir la configuración de acceso a los AWS App Runner servicios.  | 06-06-2020 | 
| `AWSWAFReadOnlyAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en AWS WAF los servicios integrados y dentro de ellos. Detalles en la consola de IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para corregir la configuración de acceso a los AWS App Runner servicios.  | 06-06-2020 | 
|  `AWSWAFConsoleFullAccess` Esta política le permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en AWS WAF los servicios integrados y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Permisos ampliados para corregir la configuración de acceso a los AWS App Runner servicios.  | 06-06-2020 | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política le permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en AWS WAF los servicios integrados y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para corregir la configuración de acceso a los AWS App Runner servicios.  | 06-06-2020 | 
| `AWSWAFFullAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en AWS WAF los servicios integrados y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Permisos ampliados para añadir AWS App Runner servicios a los tipos de recursos con AWS WAF los que puede protegerse.  | 30 de marzo de 2023 | 
| `AWSWAFReadOnlyAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para agregar AWS App Runner servicios a los tipos de recursos con AWS WAF los que puede protegerse.  | 30 de marzo de 2023 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Permisos ampliados para agregar AWS App Runner servicios a los tipos de recursos con AWS WAF los que puede protegerse.  | 30 de marzo de 2023 | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para agregar AWS App Runner servicios a los tipos de recursos con AWS WAF los que puede protegerse.  | 30 de marzo de 2023 | 
| `AWSWAFFullAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Permisos ampliados para añadir grupos de usuarios de Amazon Cognito a los tipos de recursos con los que puede protegerse. AWS WAF  | 25/08/2022 | 
| `AWSWAFReadOnlyAccess` Esta política permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para añadir grupos de usuarios de Amazon Cognito a los tipos de recursos con los que puede protegerse. AWS WAF  | 25/08/2022 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Permisos ampliados para añadir grupos de usuarios de Amazon Cognito a los tipos de recursos con los que puede protegerse. AWS WAF  | 25/08/2022 | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para añadir grupos de usuarios de Amazon Cognito a los tipos de recursos con los que puede protegerse. AWS WAF  | 25/08/2022 | 
| `AWSWAFFullAccess` Esta política permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Se corrigió la configuración de permisos para la entrega de registros para Amazon Simple Storage Service (Amazon S3) y Amazon CloudWatch Logs. Este cambio resuelve los errores de acceso denegado que se produjeron durante la configuración del registro. Para obtener información sobre cómo registrar el tráfico de su paquete de protección (ACL web), consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).  | 11/01/2022 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Se corrigió la configuración de permisos para la entrega de registros para Amazon Simple Storage Service (Amazon S3) y Amazon CloudWatch Logs. Este cambio resuelve los errores de acceso que se produjeron durante la configuración del registro. Para obtener información sobre cómo registrar el tráfico de su paquete de protección (ACL web), consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).  | 11/01/2022 | 
|  `AWSWAFFullAccess` Esta política permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Se agregaron nuevos permisos para ampliar las opciones de registro. Este cambio da AWS WAF acceso a los destinos de registro adicionales Amazon Simple Storage Service (Amazon S3) y Amazon CloudWatch Logs. Para obtener información sobre cómo registrar el tráfico de su paquete de protección (ACL web), consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).  | 15-11-2021 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Se agregaron nuevos permisos para ampliar las opciones de registro. Este cambio da AWS WAF acceso a los destinos de registro adicionales Amazon Simple Storage Service (Amazon S3) y Amazon CloudWatch Logs. Para obtener información sobre cómo registrar el tráfico de su paquete de protección (ACL web), consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).  | 15-11-2021 | 
|  AWS WAF comenzó a rastrear los cambios  |  AWS WAF comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.  | 2021-3-01 | 

# Solución de problemas AWS WAF de identidad y acceso
<a name="security_iam_troubleshoot"></a>

Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas habituales que pueden surgir al trabajar con un AWS WAF IAM.

**Topics**
+ [

## No estoy autorizado a realizar ninguna acción en AWS WAF
](#security_iam_troubleshoot-no-permissions)
+ [

## No estoy autorizado a realizar tareas como: PassRole
](#security_iam_troubleshoot-passrole)
+ [

## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AWS WAF recursos
](#security_iam_troubleshoot-cross-account-access)

## No estoy autorizado a realizar ninguna acción en AWS WAF
<a name="security_iam_troubleshoot-no-permissions"></a>

Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.

En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `wafv2:GetWidget`.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wafv2:GetWidget on resource: my-example-widget
```

En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `wafv2:GetWidget`.

Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## No estoy autorizado a realizar tareas como: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a AWS WAF.

Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en AWS WAF. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.

Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AWS WAF recursos
<a name="security_iam_troubleshoot-cross-account-access"></a>

Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan las políticas basadas en recursos o las listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.

Para obtener más información, consulte lo siguiente:
+ Para saber si AWS WAF es compatible con estas funciones, consulte. [Cómo AWS WAF funciona con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

# Uso de roles vinculados a servicios para AWS WAF
<a name="using-service-linked-roles"></a>

En esta sección, se explica cómo usar los roles vinculados al servicio para dar AWS WAF acceso a los recursos de tu cuenta. AWS 

AWS WAF [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS WAF Los roles vinculados al servicio están predefinidos AWS WAF e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. 

Un rol vinculado a un servicio facilita la configuración AWS WAF , ya que no es necesario añadir manualmente los permisos necesarios. AWS WAF define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS WAF puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del rol. Esto protege sus AWS WAF recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

## Permisos de rol vinculados al servicio para AWS WAF
<a name="slr-permissions"></a>

AWS WAF usa la función vinculada al servicio `AWSServiceRoleForWAFV2Logging` para escribir registros en Amazon Data Firehose. Esta función solo se utiliza si habilita el inicio de sesión. AWS WAF Para obtener más información acerca del registro, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).

Esta función vinculada al servicio está asociada a la política AWS gestionada. `WAFV2LoggingServiceRolePolicy` Para obtener más información sobre la política administrada, consulte [AWS política gestionada: WAFV2 LoggingServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy).

El rol vinculado a servicios `AWSServiceRoleForWAFV2Logging` confía en el servicio `wafv2.amazonaws.com` para asumir el rol. 

Las políticas de permisos del rol permiten AWS WAF realizar las siguientes acciones en los recursos especificados:
+ Acciones de Amazon Data Firehose: `PutRecord` y `PutRecordBatch` en los recursos del flujo de datos de Firehose con un nombre que comience por `aws-waf-logs-`. Por ejemplo, `aws-waf-logs-us-east-2-analytics`.
+ AWS Organizations acción: `DescribeOrganization` sobre los recursos de las organizaciones de Organizations. 

[Consulte la función completa vinculada al servicio en la consola de IAM: Registrar. AWSService RoleFor WAFV2](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging)

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

## Crear un rol vinculado a un servicio para AWS WAF
<a name="create-slr"></a>

No necesita crear manualmente un rol vinculado a servicios. Cuando habilita el AWS WAF inicio de sesión Consola de administración de AWS, o realiza una `PutLoggingConfiguration` solicitud en la AWS WAF CLI o la AWS WAF API, AWS WAF crea el rol vinculado al servicio para usted. 

Debe tener el permiso `iam:CreateServiceLinkedRole` para habilitar el registro.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar el AWS WAF registro, vuelve a AWS WAF crear el rol vinculado al servicio para usted. 

## Edición de un rol vinculado a un servicio para AWS WAF
<a name="edit-slr"></a>

AWS WAF no permite editar el rol vinculado al `AWSServiceRoleForWAFV2Logging` servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminar un rol vinculado a un servicio para AWS WAF
<a name="delete-slr"></a>

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

**nota**  
Si el AWS WAF servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

**Para eliminar AWS WAF los recursos utilizados por el `AWSServiceRoleForWAFV2Logging`**

1. En la AWS WAF consola, elimine el registro de todas las ACL web. Para obtener más información, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).

1. Mediante la API o la CLI, envíe una solicitud `DeleteLoggingConfiguration` para cada ACL web que tenga habilitado el registro. Para obtener más información, consulte [Referencia de la API de AWS WAF](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).

**Para eliminar manualmente el rol vinculado a servicios mediante IAM**

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios `AWSServiceRoleForWAFV2Logging`. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

## Regiones compatibles para funciones AWS WAF vinculadas al servicio
<a name="slr-regions"></a>

AWS WAF admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS WAF](https://docs.aws.amazon.com/general/latest/gr/waf.html).

# Inicio de sesión y supervisión AWS WAF
<a name="waf-incident-response"></a>

En esta sección se explica cómo utilizar AWS las herramientas para supervisar y responder a los eventos en AWS WAF.

La supervisión es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de AWS WAF sus AWS soluciones. Debe recopilar los datos de supervisión de todas las partes de la AWS solución para poder depurar con mayor facilidad una falla multipunto en caso de que se produzca. AWS proporciona varias herramientas para supervisar sus AWS WAF recursos y responder a posibles eventos:

** CloudWatch Alarmas Amazon**  
Al usar CloudWatch las alarmas, puede observar una única métrica durante un período de tiempo que especifique. Si la métrica supera un umbral determinado, CloudWatch envía una notificación a un tema o AWS Auto Scaling política de Amazon SNS. Para obtener más información, consulte [Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md).

**AWS CloudTrail registros**  
CloudTrail proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en AWS WAF. Con la información recopilada CloudTrail, puede determinar el destinatario de la solicitud AWS WAF, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo se realizó y detalles adicionales. Para obtener más información, consulte [Registro de llamadas a la API de AWS CloudTrail con](logging-using-cloudtrail.md). 

**AWS WAF registro de tráfico del paquete de protección (ACL web)**  
AWS WAF ofrece un registro del tráfico que analizan sus paquetes de protección (web ACLs). Los registros incluyen información como la hora a la que se AWS WAF recibió la solicitud del AWS recurso protegido, información detallada sobre la solicitud y la configuración de la acción de la regla con la que coincidió la solicitud. Para obtener más información, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 

# Validación del cumplimiento en AWS WAF
<a name="waf-compliance"></a>

En esta sección se explica su responsabilidad de cumplimiento al utilizarlos AWS WAF.

Para saber si un programa de cumplimiento Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa](https://aws.amazon.com/compliance/services-in-scope/) de de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .

Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).

# Construir para la resiliencia en AWS WAF
<a name="disaster-recovery-resiliency"></a>

En esta sección se explica cómo la AWS arquitectura admite la redundancia de datos para. AWS WAF

La infraestructura AWS global se basa en zonas Regiones de AWS de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples. 

[Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)

# Seguridad de infraestructura en AWS WAF
<a name="infrastructure-security"></a>

En esta sección se explica cómo AWS WAF aísla el tráfico de servicio.

Como servicio gestionado, AWS WAF está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.

Utiliza las llamadas a la API AWS publicadas para acceder a AWS WAF través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

# AWS WAF cuotas
<a name="limits"></a>

**nota**  
Esta es la versión más reciente de AWS WAF. Para la AWS WAF versión clásica, consulte[AWS WAF Clásico](classic-waf-chapter.md).

AWS WAF está sujeto a las siguientes cuotas (anteriormente denominadas límites). Estas cuotas son las mismas para todas las regiones en las que AWS WAF está disponible. Cada región está sujeta a estas cuotas de manera individual. Las cuotas no se acumulan en diferentes regiones.

AWS WAF tiene cuotas predeterminadas para el número máximo de entidades que puede tener por cuenta. Puede [solicitar un aumento](https://console.aws.amazon.com/servicequotas/home/services/wafv2/quotas) de dichas cuotas.


| Recurso | Cuota predeterminada por cuenta y región | 
| --- | --- | 
|  Número máximo de paquetes de protección (web ACLs)  |  100  | 
|  Número máximo de grupos de reglas   |  100  | 
| Número máximo de conjuntos de IP  |  100  | 
| Número máximo de solicitudes por segundo por paquete de protección (ACL web)  |  100 000  | 
| Número máximo de encabezados de solicitud personalizados por paquete de protección (ACL web) o grupo de reglas | 100 | 
| Número máximo de encabezados de respuesta personalizados por paquete de protección (ACL web) o grupo de reglas | 100 | 
| Número máximo de cuerpos de respuesta personalizados por paquete de protección (ACL web) o grupo de reglas | 50 | 
| Número máximo de dominios de tokens en una lista de dominios de tokens del paquete de protección (ACL web) | 10 | 
| Número máximo de conjuntos de patrones de expresiones regulares  |  10  | 
| Número máximo de asociaciones del Equilibrador de carga de aplicación por paquete de protección (ACL web) | 100  | 

[El número máximo de solicitudes por segundo (RPS) permitido para AWS WAF on CloudFront se establece CloudFront y describe en la CloudFront Guía para desarrolladores.](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cloudfront-limits.html)

AWS WAF tiene cuotas fijas en las siguientes configuraciones de entidades por cuenta y región. Estas cuotas no se pueden cambiar.


| Recurso | Cuota por cuenta y región | 
| --- | --- | 
|  Unidades de capacidad máxima del paquete de protección (ACL webWCUs) () por paquete de protección (ACL web) \$1  |  5 000  | 
| Máximo WCUs por grupo de reglas |  5 000  | 
| Número máximo de instrucciones de referencia por grupo de reglas. En un grupo de reglas, una instrucción de referencia puede hacer referencia a un conjunto de direcciones IP o a un conjunto de patrones de regex. |  50  | 
| Número máximo de instrucciones de referencia por paquete de protección (ACL web). En un paquete de protección (ACL web), una instrucción de referencia puede hacer referencia a un grupo de reglas, un conjunto de direcciones IP o a un conjunto de patrones de expresiones regulares. |  50  | 
| Número máximo de direcciones IP en notación CIDR por conjunto de IP |  10 000  | 
| Número máximo de reglas basadas en tasas por paquete de protección (ACL web)  |  10  | 
| Número máximo de reglas basadas en tasas |  4  | 
| Frecuencia de solicitudes mínima que se puede definir para una regla basada en frecuencia |  10  | 
| Número máximo de direcciones IP únicas a las que se puede limitar las tasas mediante una regla basada en tasas |  10 000  | 
| Máximo de caracteres para una instrucción de coincidencia de cadena |  200  | 
| Máximo de caracteres permitidos para cada patrón de expresión regular |  200  | 
| Número máximo de patrones de expresiones regulares únicos por conjunto de patrones de expresiones regulares |  10  | 
| Tamaño máximo del cuerpo de una solicitud web que se puede inspeccionar para comprobar si Application Load Balancer y sus protecciones AWS AppSync  |  8 KB  | 
| Tamaño máximo del cuerpo de una solicitud web que se puede inspeccionar CloudFront, así como protecciones de API Gateway, Amazon Cognito, App Runner y Verified Access\$1\$1 |  64 KB  | 
| Número máximo de transformaciones de texto por instrucción de regla |  10  | 
| Tamaño máximo del contenido del cuerpo de la respuesta personalizada para una única definición de respuesta personalizada |  4 KB  | 
| Número máximo de encabezados personalizados para una única definición de respuesta personalizada |  10  | 
| Número máximo de encabezados personalizados para una única definición de solicitud |  10  | 
| Tamaño máximo combinado de todo el contenido del cuerpo de la respuesta para un solo grupo de reglas o un único paquete de protección (ACL web) |  50 KB  | 
| Número máximo de códigos de país que coinciden geográficamente dentro de una sola regla  |  50  | 

\$1El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

\$1\$1De forma predeterminada, el límite de inspección corporal está establecido en 16 KB para CloudFront los recursos de API Gateway, Amazon Cognito, App Runner y Verified Access, pero puede aumentarlo para cualquiera de estos recursos en la configuración del paquete de protección (ACL web), hasta el máximo indicado. Para obtener más información, consulte [Consideraciones para gestionar la inspección corporal en AWS WAF](web-acl-setting-body-inspection-limit.md).

AWS WAF tiene las siguientes cuotas fijas de llamadas por cuenta y región. Estas cuotas se aplican al total de llamadas al servicio a través de cualquier medio disponible, incluida la consola, la CLI AWS CloudFormation, la API REST y la SDKs. Estas cuotas no se pueden cambiar.


| Tipo de llamada | Cuota por cuenta y región | 
| --- | --- | 
| Número máximo de llamadas a AssociateWebACL |  Una solicitud cada 2 segundos   | 
| Número máximo de llamadas a DisassociateWebACL |  Una solicitud cada 2 segundos   | 
| Número máximo de llamadas a GetWebACLForResource  |  Una solicitud por segundo  | 
| Número máximo de llamadas a ListResourcesForWebACL |  Una solicitud por segundo  | 
| Número máximo de llamadas a GetDecryptedAPIKey |  Una solicitud cada 2 segundos  | 
| Número máximo de llamadas a cualquier acción Get o List individual, si no se define ninguna otra cuota.  |  Cinco solicitudes por segundo  | 
| Número máximo de llamadas a cualquier acción Create, Put o Update individual, si no se define ninguna otra cuota.  |  Una solicitud por segundo  | 

AWS WAF tiene las siguientes cuotas fijas en las llamadas de todas las cuentas de una misma organización en AWS Organizations. Estas cuotas se aplican al total de llamadas al servicio a través de cualquier medio disponible, incluida la consola, la CLI AWS CloudFormation, la API REST y la SDKs. Estas cuotas no se pueden cambiar.


| Tipo de llamada | Cuota por organización en una sola región | 
| --- | --- | 
| Cantidad máxima de llamadas realizadas por todas las cuentas de una organización a ListResourcesForWebACL en una sola región, como por ejemplo las regiones Este de EE. UU. (Norte de Virginia) (us-east-1), Oeste de EE. UU. (Oregón) (us-west-2) o Europa (Irlanda) (eu-west-1).  |  12 solicitudes por segundo  | 
| Cantidad máxima de llamadas realizadas por todas las cuentas de una organización a ListResourcesForWebACL, en una sola región que no tenga una cuota diferente en esta tabla.  |  6 solicitudes por segundo  | 

# Migración de sus recursos AWS WAF clásicos a AWS WAF
<a name="waf-migrating-from-classic"></a>

**aviso**  
AWS WAF Classic está pasando por un end-of-life proceso planificado. Consulta tu AWS Health panel de control para ver los hitos y las fechas específicos de tu región.

**nota**  
Esta es la documentación de **AWS WAF**. Solo debes usar esta versión si creaste AWS WAF recursos, como reglas y sitios web ACLs, AWS WAF antes de noviembre de 2019 y aún no los has migrado a la versión más reciente. Para migrar su web ACLs, consulte[Migración de sus recursos AWS WAF clásicos a AWS WAF](#waf-migrating-from-classic).  
**Para obtener la versión más reciente de AWS WAF**, consulte[AWS WAF](waf-chapter.md). 

En esta sección se proporcionan instrucciones para migrar las reglas y los paquetes de protección (web ACLs) de la AWS WAF versión clásica a AWS WAF. AWS WAF se lanzó en noviembre de 2019. Si ha creado recursos como reglas y paquetes de protección (web ACLs) con la versión AWS WAF clásica, tendrá que trabajar con ellos mediante la versión AWS WAF clásica o migrarlos a la última versión. 

**aviso**  
AWS WAF El soporte para la versión clásica finalizará el 30 de septiembre de 2025. 

Antes de comenzar su trabajo de migración, familiarícese con AWS WAF esta lectura[AWS WAF](waf-chapter.md).

**Topics**
+ [

# ¿Por qué migrar a AWS WAF?
](waf-migrating-why-migrate.md)
+ [

# Advertencias y limitaciones de la migración
](waf-migrating-caveats.md)
+ [

# Cómo funciona la migración
](waf-migrating-how-it-works.md)
+ [

# Migración de un paquete de protección (ACL web) de AWS WAF Classic a AWS WAF
](waf-migrating-procedure.md)

# ¿Por qué migrar a AWS WAF?
<a name="waf-migrating-why-migrate"></a>

La última versión de AWS WAF ofrece muchas mejoras con respecto a la versión anterior y, al mismo tiempo, mantiene la mayoría de los conceptos y la terminología a los que está acostumbrado. 

En la lista siguiente, se describen los principales cambios de la última versión de AWS WAF. Antes de continuar con la migración, tómese un tiempo para revisar esta lista y familiarizarse con el resto de la AWS WAF guía. 
+ **Support for AWS WAF Classic finalizará el 30 de septiembre de 2025.** 
+ **AWS Reglas administradas para AWS WAF**: los grupos de reglas que ahora están disponibles en AWS Managed Rules brindan protección contra las amenazas web más comunes. La mayoría de estos grupos de reglas se incluyen de forma gratuita en AWS WAF. Para obtener más información, consulte [AWS Lista de grupos de reglas de Managed Rules](aws-managed-rule-groups-list.md) y la entrada del blog [Anuncie AWS Managed Rules for AWS WAF](https://aws.amazon.com/blogs/aws/announcing-aws-managed-rules-for-aws-waf/).
+ **Nueva AWS WAF API**: la nueva API le permite configurar todos sus AWS WAF recursos mediante un único conjunto de APIs. Para distinguir entre aplicaciones regionales y globales, la nueva API incluye la opción `scope`. Para obtener más información sobre la API, consulta las [AWS WAFV2 acciones](https://docs.aws.amazon.com/waf/latest/APIReference/API_Operations_AWS_WAFV2.html) y [AWS WAFV2 los tipos de datos](https://docs.aws.amazon.com/waf/latest/APIReference/API_Types_AWS_WAFV2.html).

  En APIs, SDKs, y CLIs AWS CloudFormation, AWS WAF Classic conserva sus esquemas de nomenclatura y AWS WAF se hace referencia a esta última versión de con un `V2` o agregado`v2`, según el contexto.
+ **Cuotas de servicio simplificadas (límites)**: AWS WAF ahora permiten más reglas por paquete de protección (ACL web) y permiten expresar patrones de expresiones regulares más largos. Para obtener más información, consulte [AWS WAF cuotas](limits.md).
+ Las **necesidades informáticas determinan los límites de capacidad**: los límites de los paquetes de protección (web ACLs) ahora se basan en las unidades de capacidad de los paquetes de protección (ACL web) (WCUs). AWS WAF calcula una regla en WCUs función de la capacidad operativa requerida. El total WCUs de un paquete de protección (ACL web) es igual a la suma WCUs de todas sus reglas y grupos de reglas.

  Para obtener información general sobre las WCU, consulte [Cómo AWS WAF funciona](how-aws-waf-works.md). Para obtener información sobre el uso de las WCU de cada regla, consulte [Uso de enunciados de reglas en AWS WAF](waf-rule-statements.md).
+ **Redacción de reglas basada en documentos**: ahora puede escribir y expresar reglas, grupos de reglas y paquetes de protección (web ACLs) en formato JSON. Ya no es necesario utilizar llamadas individuales a las API para crear condiciones diferentes y asociarlas después a una regla. Esto simplifica enormemente la forma en que escribe y se mantiene el código. Puede acceder al formato JSON de sus paquetes de protección (web ACLs) a través de la consola cuando esté viendo el paquete de protección (ACL web); para ello, seleccione **Descargar el paquete de protección (ACL web) como JSON**. Cuando cree su propia regla, podrá acceder a su representación JSON con la opción **Rule JSON editor (Editor JSON de reglas)**.
+ **Anidación de reglas y compatibilidad total con las operaciones lógicas**: puede escribir reglas combinadas complejas mediante instrucciones de reglas lógicas y mediante la anidación. Puede crear instrucciones como `[A AND NOT(B OR C)]`. Para obtener más información, consulte [Uso de enunciados de reglas lógicas en AWS WAF](waf-rule-statements-logical.md).
+ **Reglas mejoradas basadas en tarifas**: en la última versión de AWS WAF, puedes personalizar el intervalo de tiempo que evalúa la regla y la forma en que la regla agrega las solicitudes. Puede personalizar la agregación mediante combinaciones de una serie de características de las solicitudes web. Además, las reglas basadas en tasas más recientes reaccionan más rápido a los cambios en el tráfico. Para obtener más información, consulte [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md). 
+ **Compatibilidad de rangos de CIDR variable para conjuntos de IP**: las especificaciones de conjuntos de IP ahora tienen más flexibilidad en los rangos de IP. Para IPv4, AWS WAF admite. `/1` `/32` Para IPv6, AWS WAF apoya `/1` a`/128`. Para obtener más información sobre los conjuntos de IP, consulte [Instrucción de regla de coincidencia de conjuntos de IP](waf-rule-statement-type-ipset-match.md).
+ **Transformaciones de texto encadenables**: AWS WAF puede realizar múltiples transformaciones de texto en el contenido de las solicitudes web antes de inspeccionarlo. Para obtener más información, consulte [Uso de transformaciones de texto en AWS WAF](waf-rule-statement-transformation.md).
+ **Experiencia de consola mejorada**: la nueva AWS WAF consola incluye un generador visual de reglas y un diseño de consola más intuitivo para el usuario. 
+ **Opciones ampliadas para AWS WAF las políticas del Firewall Manager**: en la administración de paquetes de AWS WAF protección de Firewall Manager (web ACLs), ahora puede crear un conjunto de grupos de reglas que AWS WAF procesen primero y un conjunto de grupos de reglas que AWS WAF procese en último lugar. Tras aplicar la AWS WAF política, los propietarios de las cuentas locales pueden añadir sus propios grupos de reglas que se AWS WAF procesarán entre estos dos conjuntos. Para obtener más información acerca de las políticas de Firewall Manager de AWS WAF , consulte [Uso de AWS WAF políticas con Firewall Manager](waf-policies.md). 
+ **AWS CloudFormation admite todos los tipos de declaraciones de reglas**: AWS WAF AWS CloudFormation admite todos los tipos de declaraciones de reglas compatibles con la AWS WAF consola y la API. Además, puede convertir fácilmente a YAML las reglas que cree en formato JSON. 



# Advertencias y limitaciones de la migración
<a name="waf-migrating-caveats"></a>

La migración solo gestiona las configuraciones del paquete de protección (ACL web) y la migración del paquete de protección (ACL web) no incluye todos los ajustes exactamente como los tenía en la AWS WAF versión clásica. Algunos elementos de configuración requieren una configuración manual en AWS WAF la versión 2. Algunas cosas no se corresponden exactamente entre las dos versiones, y tendrás que decidir cómo quieres configurar la funcionalidad en AWS WAF (v2). Algunas opciones, como las asociaciones del paquete de protección (ACL web) con los recursos de AWS , al principio están deshabilitadas en la versión nueva para que pueda agregarlas cuando esté todo listo. 

En la lista siguiente, se describen las advertencias de la migración y los pasos que tal vez desee realizar en respuesta. Utilice esta información general para planificar la migración. Más adelante, encontrará pasos detallados sobre la migración, que le servirán de ayuda para efectuar las operaciones de mitigación recomendadas. 
+ **Migración de una sola cuenta**: solo puedes migrar los recursos AWS WAF clásicos de cualquier cuenta a AWS WAF los recursos de la misma cuenta. 
+ **Solo configuraciones de paquetes de protección (ACL web)**: la migración solo migra los paquetes de protección (web ACLs) y los recursos que utilizan los paquetes de protección (web ACLs). Para migrar un recurso, como un grupo de reglas o un conjunto de IP, que no utilice ninguna ACL web migrada, cree el recurso manualmente en AWS WAF (v2).
+ **Sin reglas AWS Marketplace administradas**: la migración no incorpora ninguna regla administrada por parte de AWS Marketplace los vendedores. Algunos AWS Marketplace vendedores tienen reglas de gestión equivalentes a las AWS WAF que puedes volver a suscribirte. Antes de hacerlo, consulta las reglas AWS gestionadas que se incluyen en la versión más reciente de AWS WAF. La mayoría de ellas son gratuitas para AWS WAF los usuarios. Para obtener información sobre las reglas administradas, consulte [Uso de grupos de reglas gestionados en AWS WAF](waf-managed-rule-groups.md). 
+ **Sin asociaciones del paquete de protección (ACL web)**: la migración no implica ninguna asociación entre el paquete de protección (ACL web) y los recursos protegidos. Esto es así por diseño, para evitar que la carga de trabajo de producción se vea afectada. Cuando compruebe que todo se ha migrado correctamente, asocie el nuevo paquete de protección (ACL web) con los recursos.
+ **Registro deshabilitado**: el registro del paquete de protección (ACL web) migrado está deshabilitado de forma predeterminada. Este comportamiento es así por diseño. Habilite el registro cuando esté listo para cambiar de la AWS WAF versión clásica a AWS WAF.
+ **Sin grupos de AWS Firewall Manager reglas**: la migración no gestiona los grupos de reglas que administra Firewall Manager. Puede migrar un paquete de protección (ACL web) que administra Firewall Manager, pero el grupo de reglas no se migrará. En lugar de utilizar la herramienta de migración para estos paquetes de protección (web ACLs), vuelva a crear la política del nuevo AWS WAF en Firewall Manager. 
**nota**  
Los grupos de reglas que administraba Firewall Manager para la AWS WAF versión clásica eran grupos de reglas de Firewall Manager. Con la nueva versión de AWS WAF, los grupos de reglas son grupos de AWS WAF reglas. Desde el punto de vista funcional, esto no supone ningún cambio. 
+ **AWS WAF Advertencia sobre las automatizaciones de seguridad**: no intente migrar ninguna automatización de AWS WAF seguridad. La migración no convierte las funciones Lambda, que podrían estar utilizándose en las automatizaciones. Considere la posibilidad de implementar las automatizaciones para la versión más reciente. Para obtener más información, consulte [Automatizaciones de seguridad de AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/).

# Cómo funciona la migración
<a name="waf-migrating-how-it-works"></a>

Puede migrar su web ACLs de la AWS WAF versión 2 AWS WAF Classic a la versión 2 mediante varios métodos. Siga estos pasos para completar la migración.

**Para migrar de AWS WAF Classic a la AWS WAF v2**

1. Identifica tu AWS WAF Classic web ACLs:
   + Consulta una lista de tu web ACLs en el AWS Health panel de control.
   + Utilice el [script de limpieza de ACL AWS WAF Classic web](         https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-cleanup          ) para obtener una lista de todos sus sitios web ACLs y sus asociaciones. Esto le ayuda a identificar qué sitios web protegen activamente ACLs los recursos y le permite eliminar los sitios web ACLs no utilizados.

1. Migre una web individual ACLs:
   + Siga el proceso de migración en la [Guía para desarrolladores de AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-migrating-procedure.html).
   + Utilice el asistente de migración para analizar su ACL AWS WAF Classic web y generar una AWS CloudFormation plantilla.
   + Utilice la plantilla generada para crear una ACL web AWS WAF de la versión 2 equivalente y completar la migración.

1. Para múltiples sitios web aptos ACLs:
   + Usa el [script de migración AWS WAF masiva](https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-migration          ) para migrar ACLs simultáneamente varios AWS WAF Classic sitios web aptos.

1. Para sitios web ACLs gestionados por AWS Firewall Manager:
   + Las políticas de Firewall Manager utilizan la AWS WAF Classic web ACLs con AWS WAF Classic las políticas. Para las políticas de Shield Advanced creadas antes de enero de 2022, Firewall Manager también utiliza la AWS WAF Classic web ACLs. Debe migrar estas políticas para usar la AWS WAF versión web de la versión 2 ACLs.

     Siga las instrucciones de [Migración de la AWS WAF Classic Web ACLs en Firewall Manager](migrate-waf-classic-fms.md).

**importante**  
Te recomendamos revisar cada web migrada ACLto para asegurarte de que cumple tus requisitos de seguridad antes de asociarla a tus recursos.

# Migración de un paquete de protección (ACL web) de AWS WAF Classic a AWS WAF
<a name="waf-migrating-procedure"></a>

La migración automática transfiere la mayor parte de la configuración del paquete de protección AWS WAF clásico (ACL web), lo que deja algunas cosas que debe gestionar manualmente.

**nota**  
Algunas configuraciones de protección no se pueden migrar automáticamente y requieren una configuración manual en la versión AWS WAF 2. Consulte la lista en [Advertencias y limitaciones de la migración](waf-migrating-caveats.md).

A continuación, se indican los pasos generales para migrar un paquete de protección (ACL web). 

1. La migración automática lee todo lo relacionado con su paquete de protección actual (ACL web), sin modificar ni eliminar nada en la AWS WAF versión clásica. Crea una representación de la ACL web y sus recursos relacionados, compatible con AWS WAF. Genera una plantilla de CloudFormation para el nuevo paquete de protección (ACL web) y la almacena en un bucket de Amazon S3. 

1. La plantilla se despliega en CloudFormation, para volver a crear el paquete de protección (ACL web) y los recursos relacionados en AWS WAFél. 

1. Revise el paquete de protección (ACL web) y complete manualmente la migración Asegúrese de que el nuevo paquete de protección (ACL web) aproveche al máximo las funcionalidades de la última versión de AWS WAF. 

1. Cambie manualmente los recursos protegidos al nuevo paquete de protección (ACL web). 

**Topics**
+ [

# Migración de un paquete de protección (ACL web): migración automatizada
](waf-migrating-procedure-automatic.md)
+ [

# Migración de un paquete de protección (ACL web): seguimiento manual
](waf-migrating-procedure-manual-finish.md)
+ [

# Migración de un paquete de protección (ACL web): consideraciones adicionales
](waf-migrating-procedure-additional.md)
+ [

# Migración de un paquete de protección (ACL web): transición
](waf-migrating-procedure-switchover.md)

# Migración de un paquete de protección (ACL web): migración automatizada
<a name="waf-migrating-procedure-automatic"></a>

**Para migrar automáticamente la configuración de un paquete de protección (ACL web) de AWS WAF Classic a AWS WAF**

1. Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Elija **Cambiar a la AWS WAF versión clásica** y revise los ajustes de configuración del paquete de protección (ACL web). Anote los valores atendiendo a las advertencias y limitaciones que se indican en la sección anterior, [Advertencias y limitaciones de la migración](waf-migrating-caveats.md).

1. En el cuadro de diálogo informativo de la parte superior, busque la frase que comienza con los **paquetes de protección de Migrate (web ACLs)** y elija el enlace al **asistente de migración**. Al hacerlo, se abrirá el asistente de migración.

   Si no ve el cuadro de diálogo informativo, es posible que lo haya cerrado desde que lanzó la consola AWS WAF clásica. En la barra de navegación, selecciona **Cambiar a nueva** y, a AWS WAF continuación, selecciona **Cambiar a AWS WAF clásica** y volverá a aparecer el cuadro de diálogo informativo.

1. Seleccione el paquete de protección (ACL web) que desee migrar. 

1. En **Configuración de la migración**, indique un bucket de Amazon S3 que desee usar con la plantilla. Necesita un bucket de Amazon S3 que esté configurado correctamente para la API de migración para almacenar la AWS CloudFormation plantilla que genera. 
   + Si el bucket está cifrado, debe utilizar claves de Amazon S3 (SSE-S3). La migración no admite el cifrado con claves AWS Key Management Service (SSE-KMS).
   + El nombre del bucket debe comenzar por `aws-waf-migration-`. Por ejemplo, `aws-waf-migration-my-web-acl`.
   + El bucket debe estar en la región en la que se va a implementar la plantilla. Por ejemplo, en un paquete de protección (ACL web) de `us-west-2`, deberá usar un bucket de Amazon S3 que esté en `us-west-2` y debe implementar la pila de la plantilla en `us-west-2`. 

1. En la **política del bucket de S3**, es recomendable elegir **Auto apply the bucket policy required for migration (Aplicar automáticamente la política de bucket necesaria para la migración)**. Si lo desea, también puede administrar el bucket por su cuenta. Para ello, debe aplicar manualmente la siguiente política de bucket: 
   + Para CloudFront aplicaciones globales de Amazon (`waf`):

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": "apiv2migration.waf.amazonaws.com"
                 },
                 "Action": "s3:PutObject",
                 "Resource": "arn:aws:s3:::<BUCKET_NAME>/AWSWAF/<CUSTOMER_ACCOUNT_ID>/*"
             }
         ]
     }
     ```

------
   + Para aplicaciones regionales de Amazon API Gateway o el equilibrador de carga de aplicación (`waf-regional`):

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": "apiv2migration.waf-regional.amazonaws.com"
                 },
                 "Action": "s3:PutObject",
                 "Resource": "arn:aws:s3:::<BUCKET_NAME>/AWSWAF/<CUSTOMER_ACCOUNT_ID>/*"
             }
         ]
     }
     ```

------

1. En **Choose how to handle rules that cannot be migrated (Elija cómo desea administrar las reglas que no se pueden migrar)**, elija si desea excluir las reglas que no se pueden migrar o detener la migración. Para obtener más información sobre las reglas que no se pueden migrar, consulte [Advertencias y limitaciones de la migración](waf-migrating-caveats.md). 

1. Elija **Siguiente**. 

1. En **Crear CloudFormation plantilla**, verifica la configuración y, a continuación, selecciona **Empezar a crear CloudFormation plantilla** para iniciar el proceso de migración. Esto puede tardar unos minutos, en función de la complejidad del paquete de protección (ACL web).

1. En **Crear y ejecutar una CloudFormation pila para completar la migración**, puede optar por ir a la AWS CloudFormation consola para crear una pila a partir de la plantilla y crear el nuevo paquete de protección (ACL web) y sus recursos. Para ello, elija **Crear CloudFormation pila**. 

Cuando se complete el proceso de migración automática, estará todo listo para continuar con los pasos manuales. Consulte [Migración de un paquete de protección (ACL web): seguimiento manual](waf-migrating-procedure-manual-finish.md).

# Migración de un paquete de protección (ACL web): seguimiento manual
<a name="waf-migrating-procedure-manual-finish"></a>

Una vez finalizada la migración automatizada, revise el paquete de protección (ACL web) recién creado y complete los componentes que no se pudieron migrar. El siguiente procedimiento cubre los aspectos de la administración del paquete de protección (ACL web) que la migración no abarca. Para ver la lista, consulte [Advertencias y limitaciones de la migración](waf-migrating-caveats.md).

**Para finalizar la migración básica (pasos manuales)**

1. Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. La consola debería usar automáticamente la última versión de. AWS WAF Para comprobarlo, en el panel de navegación, compruebe que puede ver la opción **Cambiar a la AWS WAF versión clásica**. Si aparece **Cambiar a una versión nueva AWS WAF**, selecciónela para cambiar a la versión más reciente. 

1. En el panel de navegación, selecciona **paquetes de protección (web ACLs)**. 

1. En la página de **paquetes de protección (web ACLs)**, busque el nuevo paquete de protección (ACL web) en la lista de la región en la que lo creó. Elija el nombre del paquete de protección (ACL web) para abrir la configuración. 

1. Revise todos los ajustes del nuevo paquete de protección (ACL web) comparándolos con su ACL web AWS WAF clásica anterior. De forma predeterminada, el registro y las asociaciones de recursos protegidos estarán deshabilitados. Se habilitarán cuando esté todo listo para cambiar a la nueva versión. 

1. Si su paquete de protección AWS WAF clásico (ACL web) tenía un grupo de reglas administrado, la inclusión del grupo de reglas no se incorporó en la migración. Puede agregar grupos de reglas administradas al nuevo paquete de protección (ACL web). Consulte la información sobre los grupos de reglas administrados, incluida la lista de reglas AWS administradas que están disponibles con la nueva versión de AWS WAF, en[Uso de grupos de reglas gestionados en AWS WAF](waf-managed-rule-groups.md). Para agregar un grupo de reglas administradas, haga lo siguiente:

   1. En la página de configuración del paquete de protección (ACL web), elija la pestaña **Reglas** del paquete de protección (ACL web). 

   1. Elija **Add Rules (Agregar reglas)** y **Add managed rule groups (Agregar grupos de reglas administradas)**.

   1. Expanda el listado del proveedor que prefiera y seleccione los grupos de reglas que desee agregar. En el AWS Marketplace caso de los vendedores, puede que tengas que suscribirte a los grupos de reglas. Para obtener más información sobre el uso de grupos de reglas administradas en el paquete de protección (ACL web), consulte [Uso de grupos de reglas gestionados en AWS WAF](waf-managed-rule-groups.md) y [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md).

Una vez finalizado el proceso básico de migración, le recomendamos que revise sus necesidades y considere otras opciones para asegurarse de que la nueva configuración es lo más eficiente posible y que está utilizando las últimas opciones de seguridad disponibles. Consulte [Migración de un paquete de protección (ACL web): consideraciones adicionales](waf-migrating-procedure-additional.md).

# Migración de un paquete de protección (ACL web): consideraciones adicionales
<a name="waf-migrating-procedure-additional"></a>

Revise su nuevo paquete de protección (ACL web) y considere las opciones disponibles en el nuevo AWS WAF para asegurarse de que la configuración sea lo más eficiente posible y de que utilice las últimas opciones de seguridad disponibles. 

**Reglas AWS administradas adicionales**  
Considere la posibilidad de implementar reglas AWS administradas adicionales en su paquete de protección (ACL web) para aumentar la seguridad de su aplicación. Se incluyen sin AWS WAF coste adicional. AWS Las reglas administradas incluyen los siguientes tipos de grupos de reglas: 
+ Los grupos de reglas base proporcionan protección general contra una serie de amenazas comunes, como impedir que se realicen entradas incorrectas conocidas en la aplicación o impedir el acceso a la página de administración. 
+ Los grupos de reglas específicos para los casos de uso proporcionan mayor protección para diversos y numerosos escenarios y entornos.
+ Las listas de reputación de IP proporcionan información sobre las amenazas en función de la IP de origen del cliente.

Para obtener más información, consulte [AWS Reglas administradas para AWS WAF](aws-managed-rule-groups.md).

**Optimización y limpieza de reglas**  
Vuelva a revisar las reglas antiguas y considere la posibilidad de optimizarlas reescribiéndolas o eliminando las que estén obsoletas. Por ejemplo, si en el pasado implementó una AWS CloudFormation plantilla del documento técnico sobre las 10 principales vulnerabilidades de aplicaciones web de OWASP, [Prepare for the OWASP Top 10 Vulnerability Vulnerability Using AWS WAF y Our New White Paper](https://aws.amazon.com/blogs/aws/prepare-for-the-owasp-top-10-web-application-vulnerabilities-using-aws-waf-and-our-new-white-paper/), debería considerar la posibilidad de sustituirla por reglas administradas. AWS Si bien el concepto incluido en el documento sigue siendo aplicable y puede ayudarle a redactar sus propias reglas, las reglas creadas por la plantilla han sido reemplazadas en gran medida por las reglas administradas. AWS 

**CloudWatch Métricas y alarmas de Amazon**  
Revisa tus CloudWatch estadísticas de Amazon y configura las alarmas según sea necesario. La migración no incluye las alarmas de CloudWatch y es posible que los nombres de las métricas no sean los que usted desea. 

**Revisión con el equipo de aplicaciones**  
Trabaje con su equipo de aplicaciones y compruebe su enfoque en materia de seguridad. Averigüe qué campos analiza con frecuencia la aplicación y agregue reglas para limpiar la entrada como corresponda. Compruebe si hay casos perimetrales y agregue reglas para detectar estos casos si la lógica de negocio de la aplicación no puede procesarlos. 

**Planificación del cambio**  
Planifique el momento en que se va a realizar el cambio con el equipo de aplicaciones. El cambio de la antigua asociación del paquete de protección (ACL web) a la nueva puede tardar un poco en propagarse a todas las áreas en las que se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. Durante este tiempo, el antiguo paquete de protección (ACL web) procesará algunas solicitudes y el nuevo paquete de protección (ACL web) procesará otras. Sus recursos estarán protegidos durante todo el cambio, pero es posible que observe incoherencias en la gestión de las solicitudes mientras el cambio esté en marcha. 

Cuando todo esté listo para realizar el cambio, siga el procedimiento que se indica en [Migración de un paquete de protección (ACL web): transición](waf-migrating-procedure-switchover.md).

# Migración de un paquete de protección (ACL web): transición
<a name="waf-migrating-procedure-switchover"></a>

Tras comprobar la nueva configuración del paquete de protección (ACL web), puede comenzar a usarlo en lugar del paquete de protección (ACL web) de AWS WAF Classic. 

**Para empezar a usar su nuevo paquete AWS WAF de protección (ACL web)**

1. Asocie el paquete de AWS WAF protección (ACL web) a los recursos que desee proteger, siguiendo las instrucciones que se indican en[Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md). De este modo, se interrumpirá automáticamente la asociación de los recursos con el antiguo paquete de protección (ACL web). 

   El cambio puede tardar en propagarse entre unos segundos y varios minutos. Durante este tiempo, el antiguo paquete de protección (ACL web) podrá procesar algunas solicitudes y el nuevo paquete de protección (ACL web) podrá procesar otras. Sus recursos estarán protegidos durante todo el cambio, pero es posible que observe incoherencias en la gestión de las solicitudes hasta que esté completo. 

1. Configure el registro del nuevo paquete de protección (ACL web) y siga las instrucciones de [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 

1. (Opcional) Si su paquete de protección AWS WAF clásico (ACL web) ya no está asociado a ningún recurso, considere eliminarlo por completo de AWS WAF Classic. Para obtener información, consulte [Eliminación de una ACL web](classic-web-acl-deleting.md).