Uso de etiquetas en solicitudes web en AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Uso de etiquetas en solicitudes web en AWS WAF

En esta sección se explica qué son las etiquetas de AWS WAF.

Una etiqueta es un metadato que una regla agrega a una solicitud web cuando la regla coincide con la solicitud. Una vez agregada, la etiqueta permanece disponible en la solicitud hasta que finaliza la evaluación de la ACL web. Puede acceder a las etiquetas de las reglas que se ejecutan más adelante en la evaluación de la ACL web mediante una instrucción de coincidencia de etiquetas. Para obtener más información, consulte Instrucción de regla de coincidencia de etiquetas.

Las etiquetas de las solicitudes web generan métricas de etiquetas de Amazon CloudWatch. Para ver una lista de las métricas y dimensiones, consulte Etiquetar métricas y dimensiones. Para obtener información sobre el acceso a las métricas y los resúmenes de métricas a través de CloudWatch y la consola de AWS WAF, consulte Supervisión y ajustes de sus protecciones de AWS WAF.

Casos de uso del etiquetado

Entre los casos de uso comunes de etiquetas de AWS WAF se incluyen los siguientes:

  • Evaluación de una solicitud web comparándola con varias instrucciones de reglas antes de tomar acciones con respecto a la solicitud: después de encontrar una coincidencia con una regla en una ACL web, AWS WAF continúa evaluando la solicitud en función de la ACL web si la acción de regla no finaliza la evaluación de la ACL web. Puede usar etiquetas para evaluar y recopilar información de varias reglas antes de decidir permitir o bloquear la solicitud. Para ello, cambie las acciones de reglas existentes a Count y configúrelas para que añadan etiquetas a las solicitudes coincidentes. A continuación, agregue una o más reglas nuevas para que se ejecuten después del resto de reglas, y configúrelas para evaluar las etiquetas y administrar las solicitudes de acuerdo con las combinaciones de coincidencias de etiquetas.

  • Administración de las solicitudes web por región geográfica: puede usar solo la regla de coincidencia geográfica para administrar las solicitudes web por país de origen. Para ajustar la ubicación en cuanto a la región, se utiliza la regla de coincidencia geográfica con una acción Count seguida de una regla de coincidencia de etiquetas. Para obtener información sobre la regla de coincidencia geográfica, consulte Instrucción de regla de coincidencia geográfica.

  • Reutilización de la lógica en varias reglas: si necesita reutilizar la misma lógica en varias reglas, puede usar etiquetas para obtener la lógica de una sola fuente y comprobar los resultados. Cuando tiene varias reglas complejas que utilizan un subconjunto común de instrucciones de reglas anidadas, duplicar el conjunto de reglas común en todas las reglas complejas puede llevar mucho tiempo y llevar a errores. Con las etiquetas, puede crear una nueva regla con el subconjunto de reglas común que cuenta las solicitudes coincidentes y les agrega una etiqueta. Agregue la nueva regla a su ACL web para que se ejecute antes que las complejas reglas originales. A continuación, en las reglas originales, se reemplaza el subconjunto de reglas compartidas por una sola regla que comprueba la etiqueta.

    Por ejemplo, supongamos que tiene varias reglas que desea aplicar únicamente a sus rutas de inicio de sesión. En lugar de hacer que cada regla especifique la misma lógica para que coincida con las posibles rutas de inicio de sesión, puede implementar una sola regla nueva que contenga esa lógica. Haga que la nueva regla añada una etiqueta a las solicitudes coincidentes para indicar que la solicitud se encuentra en una ruta de inicio de sesión. En su ACL web, asigne a esta nueva regla una prioridad numérica inferior a la de las reglas originales para que se ejecute primero. A continuación, en las reglas originales, sustituya la lógica compartida por una comprobación de la presencia de la etiqueta. Para obtener información acerca de la configuración de prioridad, consulte Configuración de la prioridad de las reglas en una ACL web.

  • Creación de excepciones a las reglas en los grupos de reglas: esta opción resulta especialmente útil para los grupos de reglas administrados, que no se pueden ver ni modificar. Muchas reglas de grupos de reglas administrados agregan etiquetas a las solicitudes web coincidentes para indicar las reglas que coinciden y, posiblemente, para proporcionar información adicional sobre la coincidencia. Cuando usa un grupo de reglas que agrega etiquetas a las solicitudes, puede anular las reglas del grupo de reglas para contar las coincidencias y, a continuación, ejecutar una regla después del grupo de reglas que gestiona la solicitud web en función de las etiquetas del grupo de reglas. Todas las reglas administradas de AWS agregan etiquetas a las solicitudes web coincidentes. Para ver los detalles, consulte las descripciones de las reglas en Lista de grupos de reglas administrados de AWS.

  • Uso de métricas de etiquetas para supervisar los patrones de tráfico: puede acceder a las métricas de las etiquetas que añada a través de sus reglas y a las métricas agregadas por cualquier grupo de reglas administrado que utilice en su ACL web. Todos los grupos de reglas administrados AWS agregan etiquetas a las solicitudes web que evalúan. Para ver una lista de las métricas y dimensiones de las etiquetas, consulte Etiquetar métricas y dimensiones. Puede acceder a las métricas y a los resúmenes de métricas a través de CloudWatch y de la página web de ACL de la consola de AWS WAF. Para obtener más información, consulte Supervisión y ajustes de sus protecciones de AWS WAF.