El uso de las ACL web en AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

El uso de las ACL web en AWS WAF

En esta página se explica qué es una lista de control de acceso web (ACL web) y cómo funciona.

Una ACL web le proporciona un control detallado de todas las solicitudes web HTTP(S) a las que responde su recurso protegido. Puede proteger los recursos de Amazon CloudFront, Amazon API Gateway, equilibrador de carga de aplicación, AWS AppSync, Amazon Cognito, AWS App Runner y acceso verificado de AWS.

Puede utilizar criterios como los siguientes para permitir o bloquear solicitudes:

  • Origen de la dirección IP de la solicitud

  • País de origen de la solicitud

  • Coincidencia de cadena o expresión regular (regex) en una parte de la solicitud

  • Tamaño de una parte determinada de la solicitud

  • Detección de código SQL o secuencias de comandos malintencionados

También puede probar cualquier combinación de estas condiciones. Puede bloquear o contar solicitudes web que no solo cumplan las condiciones especificadas, sino que también superen un número determinado de solicitudes en un solo minuto. Puede combinar condiciones mediante el uso de operadores lógicos. También puede ejecutar rompecabezas de CAPTCHA y desafíos silenciosos a las sesiones de los clientes para las solicitudes.

Indique sus criterios que cumplir y la acción que se debe tomar en caso de que se cumplan las instrucciones de las reglas de AWS WAF. Puede definir las instrucciones de las reglas directamente en su ACL web y en los grupos de reglas reutilizables que utilice en su ACL web. Para obtener una lista completa de opciones, consulte Uso de instrucciones de reglas en AWS WAF y Utilización de acciones de reglas en AWS WAF.

Cuando se crea una ACL web, se especifican los tipos de recursos con los que se desea utilizar. Para obtener más información, consulte Creación de una ACL web en AWS WAF. Después de definir una ACL web, puede asociarla con sus recursos para comenzar a proporcionarles protección. Para obtener más información, consulte Asociar o disociar una ACL web con un recurso de AWS.

nota

En raras ocasiones, AWS WAF puede encontrar un error interno que retrase la respuesta a recursos asociados de AWS sobre si desea permitir o bloquear una solicitud. En esas ocasiones, CloudFront normalmente permite la solicitud o publica el contenido, mientras que Regional Services suele denegar la solicitud y no publica el contenido.

Riesgo de tráfico de producción

Antes de implementar cambios en su ACL web para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte Pruebas y ajustes de sus protecciones de AWS WAF.

nota

El uso de más de 1500 WCU en una ACL web conlleva costos superiores al precio de la ACL web básica. Para obtener más información, consulte Comprensión de las unidades de capacidad de ACL web (WCU) de AWS WAF y Precios de AWS WAF.

Incoherencias temporales durante las actualizaciones

Al crear o cambiar una ACL web u otros recursos de AWS WAF, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos.

A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios:

  • Después de crear una ACL web, si intenta asociarla a un recurso, es posible que se produzca una excepción que indique que la ACL web no está disponible.

  • Después de agregar un grupo de reglas a una ACL web, las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa la ACL web y no en otra.

  • Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros.

  • Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.

Temas