Administrar el comportamiento del grupo de reglas en una ACL web - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Invalidar acciones de reglas en un grupo de reglasSustitución del resultado de la evaluación de un grupo de reglas por Count

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrar el comportamiento del grupo de reglas en una ACL web

En esta sección se describen las opciones para modificar cómo se utiliza un grupo de reglas en la ACL web. Esta información se aplica a todos los tipos de grupos de reglas. Después de agregar un grupo de reglas a una ACL web, puede sustituir las acciones de reglas individuales del grupo de reglas por Count o por cualquier otra configuración de acción de regla válida. También puede sustituir la acción resultante del grupo de reglas por Count, lo que no afecta a la forma en que se evalúan las reglas dentro del grupo de reglas.

Para obtener información sobre estas opciones, consulte Supervisar las acciones de un grupo de reglas en AWS WAF.

Invalidar acciones de reglas en un grupo de reglas

Para cada grupo de reglas de una ACL web, puede anular las acciones de la regla contenida para algunas o todas las reglas.

El caso de uso más común es sustituir las acciones de la regla por Count para probar reglas nuevas o actualizadas. Si tiene las métricas habilitadas, recibirá métricas por cada regla que invalide. Para obtener más información acerca las pruebas, consulte Pruebas y ajustes de sus protecciones de AWS WAF.

Acciones de anular regla en un grupo de reglas

Puede hacer estos cambios agregando un grupo de reglas administrado a la ACL web y puede implementarlos en cualquier tipo de grupo de reglas cuando edite la ACL web. Estas instrucciones son para un grupo de reglas que ya se ha agregado a la ACL web. Consulte información adicional sobre esta opción en Anulación de acciones de reglas de un grupo de reglas.

  1. Edite la ACL web.

  2. En la pestaña Reglas de la página ACL web, seleccione el grupo de reglas y, a continuación, elija Editar.

  3. En la sección Reglas del grupo de reglas, administre la configuración de las acciones según sea necesario.

    • Todas las reglas: para establecer una acción de anulación para todas las reglas del grupo de reglas, abra el menú desplegable Anular todas las acciones de reglas y seleccione la acción de anulación. Para eliminar las anulaciones de todas las reglas, seleccione Eliminar todas las anulaciones.

    • Regla única: para configurar una acción de anulación para una sola regla, abra el menú desplegable de la regla y seleccione la acción de anulación. Para eliminar una anulación de una regla, abra el menú desplegable de la regla y seleccione Eliminar la anulación.

  4. Cuando haya terminado de realizar los cambios, seleccione Guardar regla. La configuración de la acción de regla y de la acción de anulación se muestra en la página del grupo de reglas.

El siguiente ejemplo de lista JSON muestra una instrucción de grupo de reglas dentro de una ACL web que sustituye por Count las acciones de reglas CategoryVerifiedSearchEngine y CategoryVerifiedSocialMedia. En la JSON, se anulan todas las acciones de reglas proporcionando una entrada de RuleActionOverrides para cada regla individual.

{
    "Name": "AWS-AWSBotControl-Example",
   "Priority": 5, 
   "Statement": {
    "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesBotControlRuleSet",
        "RuleActionOverrides": [
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSearchEngine"
          },
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSocialMedia"
          }
        ],
        "ExcludedRules": []
    },
   "VisibilityConfig": {
       "SampledRequestsEnabled": true,
       "CloudWatchMetricsEnabled": true,
       "MetricName": "AWS-AWSBotControl-Example"
   }
}

Sustitución del resultado de la evaluación de un grupo de reglas por Count

Puede anular la acción derivada de la evaluación de un grupo de reglas sin alterar la forma en que se configuran o evalúan las reglas del grupo de reglas. Esta opción no se utiliza habitualmente. Si alguna regla del grupo de reglas da como resultado una coincidencia, esta anulación establece la acción resultante del grupo de reglas en Count.

nota

Este es un caso de uso poco común. La mayoría de las anulaciones de acciones se realizan a nivel de regla, dentro del grupo de reglas, como se describe en Invalidar acciones de reglas en un grupo de reglas.

Puede anular la acción resultante del grupo de reglas en la ACL web al agregar o editar el grupo de reglas. En la consola, abra el panel Anular la acción del grupo de reglas (opcional) del grupo de reglas y habilite la anulación. En la JSON, establezca OverrideAction en la instrucción del grupo de reglas, tal y como se muestra en la siguiente lista de ejemplo: 

{
   "Name": "AWS-AWSBotControl-Example",
   "Priority": 5,  
   "Statement": {
    "ManagedRuleGroupStatement": {
     "VendorName": "AWS",
     "Name": "AWSManagedRulesBotControlRuleSet"
     }
   },
    "OverrideAction": {
       "Count": {}
    },
   "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSBotControl-Example"
   }
}