**Presentamos una nueva experiencia de consola para AWS WAF**
Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración de la protección en AWS WAF
En esta página se explica qué son los paquetes de protección (web ACLs) y cómo funcionan.
Un paquete de protección (ACL web) le proporciona un control detallado de todas las solicitudes web HTTP(S) a las que responde su recurso protegido. Puede proteger los recursos de Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner AWS Amplify, CloudWatch Amazon AWS y Verified Access.
Puede utilizar criterios como los siguientes para permitir o bloquear solicitudes:
+ Origen de la dirección IP de la solicitud
+ País de origen de la solicitud
+ Coincidencia de cadena o expresión regular (regex) en una parte de la solicitud
+ Tamaño de una parte determinada de la solicitud
+ Detección de código SQL o secuencias de comandos malintencionados
También puede probar cualquier combinación de estas condiciones. Puede bloquear o contar solicitudes web que no solo cumplan las condiciones especificadas, sino que también superen un número determinado de solicitudes en un solo minuto. Puede combinar condiciones mediante el uso de operadores lógicos. También puede ejecutar rompecabezas de CAPTCHA y desafíos silenciosos a las sesiones de los clientes para las solicitudes.
En las declaraciones de AWS WAF reglas, usted proporciona sus criterios de coincidencia y las medidas que debe tomar en caso de que se produzcan coincidencias. Puede definir las instrucciones de las reglas directamente en su paquete de protección (ACL web) y en los grupos de reglas reutilizables que use en su paquete de protección (ACL web). Para obtener una lista completa de opciones, consulte [Uso de enunciados de reglas en AWS WAF](waf-rule-statements.md) y [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).
Cuando se crea un paquete de protección (ACL web), se especifican los tipos de recursos con los que se desea usar. Para obtener información, consulte [Creación de un paquete de protección (ACL web) en AWS WAF](web-acl-creating.md). Después de definir un paquete de protección (ACL web), puede asociarlo con sus recursos para comenzar a proporcionarles protección. Para obtener más información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).
**nota**
En algunas ocasiones, AWS WAF es posible que se produzca un error interno que retrase la respuesta a AWS los recursos asociados para decidir si se debe permitir o bloquear una solicitud. En esas ocasiones, CloudFront normalmente permite la solicitud o entrega el contenido, mientras que los servicios regionales suelen denegar la solicitud y no entregar el contenido.
**Riesgo de tráfico de producción**
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**nota**
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
**Incoherencias temporales durante las actualizaciones**
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos.
A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios:
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible.
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros.
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.
**Topics**
+ [Creación de un paquete de protección (ACL web) en AWS WAF](web-acl-creating.md)
+ [Edición de un paquete de protección (ACL web) en AWS WAF](web-acl-editing.md)
+ [Administrar el comportamiento de un grupo de reglas](web-acl-rule-group-settings.md)
+ [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md)
+ [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md)
+ [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md)
+ [Consideraciones para gestionar la inspección corporal en AWS WAF](web-acl-setting-body-inspection-limit.md)
+ [Configuración de CAPTCHA, desafío y tokens en AWS WAF](web-acl-captcha-challenge-token-domains.md)
+ [Ver las métricas de tráfico web en AWS WAF](web-acl-working-with.md)
+ [Cómo eliminar un paquete de protección (ACL web)](web-acl-deleting.md)
# Creación de un paquete de protección (ACL web) en AWS WAF
------
#### [ Using the new console ]
En esta sección se proporcionan los procedimientos para crear paquetes de protección (web ACLs) a través de la nueva AWS consola.
Para crear un nuevo paquete de protección (web ACL), utilice el asistente de creación siguiendo el procedimiento indicado en esta página.
**Riesgo de tráfico de producción**
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**nota**
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
1. Inicie sesión en la nueva consola Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro).
1. En el panel de navegación, selecciona **Recursos y paquetes de protección** (web). ACLs
1. En la página **Recursos y paquetes de protección (web ACLs)**, elija **Agregar paquete de protección (ACL web)**.
1. En **Háblenos de su aplicación**, en **Categoría de la aplicación**, seleccione una o más categorías de aplicaciones.
1. En **Fuente de tráfico**, elija el tipo de tráfico con el que interactúa la aplicación: **API**, **web** o **API y web**.
1. En **Recursos que proteger**, seleccione **Agregar recursos**.
1. Elija la categoría de AWS recurso que desee asociar a este paquete de protección (ACL web), ya sean CloudFront distribuciones de Amazon o recursos regionales. Para obtener más información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).
1. En **Elegir las protecciones iniciales,** seleccione el nivel de protección que prefiera: **Recomendado**, **Esencial** o **Usted lo construye**.
1. (Opcional) Si eliges **Usted lo construye**, configure sus reglas.
1. (Opcional) Si quiere agregar su propia regla, en la página **Añadir reglas**, seleccione **Regla personalizada** y, a continuación, **Siguiente**.
1. Seleccione el tipo de regla.
1. En **Action (Acción)**, seleccione la acción que desea que realice la regla cuando coincida con una solicitud web. Para obtener más información acerca de sus opciones, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md) y [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md).
Si utiliza la acción **CAPTCHA** o **Challenge**, ajuste la configuración del **tiempo de inmunidad** según sea necesario para la regla. Si no especifica el valor, la regla hereda el del paquete de protección (web ACL). Para modificar el tiempo de inmunidad del paquete de protección (web ACL), edite el paquete después de crearlo. Para obtener más información sobre los tiempos de inmunidad, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).
**nota**
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
Si quiere personalizar la solicitud o la respuesta, elija las opciones correspondientes y complete los detalles de la personalización. Para obtener más información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).
Si quiere que su regla añada etiquetas a las solicitudes web coincidentes, elija las opciones correspondientes y rellene los detalles de la etiqueta. Para obtener más información, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).
1. En **Name (Nombre)**, introduzca el nombre que desea utilizar para identificar esta regla. No utilice nombres que comiencen por `AWS`, `Shield`, `PreFM` o `PostFM`. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted.
1. Introduzca la definición de la regla en función de sus necesidades. Puede combinar reglas en instrucciones de reglas lógicas `AND` y `OR`. El asistente le guía a través de las opciones para cada regla según el contexto. Para obtener información sobre las opciones de reglas, consulte [AWS WAF reglas](waf-rules.md).
1. Seleccione **Creación de regla**.
**nota**
Si agrega más de una regla a un paquete de protección (ACL web), AWS WAF evalúa las reglas en el orden en que aparecen en el paquete de protección (ACL web). Para obtener más información, consulte [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md).
1. (Opcional) Si desea agregar grupos de reglas administradas, en la página **Agregar reglas**, seleccione **Grupo de reglas administradas por AWS** o **Grupo de reglas de Marketplace AWS ** y, luego, seleccione **Siguiente**. Realice lo siguiente para cada grupo de reglas administradas que desee agregar:
1. En la página **Añadir reglas**, amplía el listado para ver los grupos de reglas AWS gestionados o para el AWS Marketplace vendedor.
1. Seleccione la versión del grupo de reglas.
1. Para personalizar cómo su paquete de protección utiliza el grupo de reglas, seleccione **Editar**. A continuación se muestra la configuración de personalización común:
+ Reduzca el alcance de las solicitudes mediante una instrucción de reducción de alcance en la sección **Inspección**. Para obtener más información acerca de esta opción, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).
+ Sobrescriba acciones de reglas específicas en **Anulación de acciones de reglas**. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener más información acerca de esta opción, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md).
+ Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica sobre los grupos de reglas de reglas AWS gestionadas, consulta[AWS Reglas administradas para AWS WAF](aws-managed-rule-groups.md).
1. Elija **Siguiente**.
1. (Opcional) Si quiere agregar su propio grupo de reglas, en la págin **Añadir reglas**, seleccione **Regla personalizada** y, a continuación, **Siguiente**. Realice lo siguiente para cada grupo de reglas que desee agregar:
1. En **Nombre**, ingrese el nombre que desea usar para el grupo de reglas dentro de este paquete de protección (web ACL). No utilice nombres que comiencen por `AWS`, `Shield`, `PreFM` o `PostFM`. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted. Consulte [Reconocimiento de grupos de reglas proporcionados por otros servicios](waf-service-owned-rule-groups.md).
1. Seleccione el grupo de reglas de la lista.
1. (Opcional) En **Configuración de reglas**, elija una **Anulación de regla**. Puede sustituir las acciones de la regla por cualquier configuración de acción válida, del mismo modo que puede hacerlo con los grupos de reglas administradas.
1. (Opcional) En **Añadir etiquetas**, seleccione **Añadir etiqueta** y, a continuación, ingrese las etiquetas que desee añadir a las solicitudes que coincidan con la regla. Las reglas que se evalúen posteriormente en el mismo paquete de protección (web ACL) pueden hacer referencia a las etiquetas que agrega esta regla.
1. Seleccione **Creación de regla**.
1. En **Nombre y descripción**, ingrese un nombre para su paquete de protección (web ACL). Si lo desea, introduzca una descripción.
**nota**
No podrá cambiar el nombre después de crear el paquete de protección (web ACL).
1. (Opcional) En **Personalizar el paquete de protección (ACL web)**, configure las acciones predeterminadas de las reglas, las configuraciones y el destino de registro:
1. (Opcional) En **Acciones predeterminadas de las reglas**, seleccione la acción predeterminada para el paquete de protección (web ACL). Se trata de la acción que AWS WAF se realiza en respuesta a una solicitud cuando las reglas del paquete de protección (ACL web) no realizan ninguna acción de forma explícita. Para obtener más información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).
1. (Opcional) En Configuración de reglas, personalice la configuración para las reglas del paquete de protección (web ACL):
+ **Límites de velocidad predeterminados**: establezca límites de velocidad para bloquear ataques de denegación de servicio (DoS) que puedan afectar la disponibilidad, comprometer la seguridad o consumir recursos en exceso. Esta regla por velocidad bloquea las solicitudes por dirección IP que superen la tasa permitida para su aplicación. Para obtener más información, consulte [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md)
+ **Direcciones IP**: ingrese direcciones IP para bloquear o permitir. Esta configuración tiene prioridad sobre otras reglas.
+ **Orígenes específicos de cada país**: bloquee solicitudes de países específicos o contabilice todo el tráfico.
1. Para el **destino del registro**, configure el tipo de destino de registro y el lugar donde almacenar los registros. Para obtener más información, consulte [AWS WAF destinos de registro](logging-destinations.md).
1. Revise su configuración y elija **Agregar paquete de protección (ACL web)**.
------
#### [ Using the standard console ]
En esta sección se proporcionan los procedimientos para crear una web ACLs a través de la AWS consola.
Para crear una nueva ACL web, utilice el asistente de creación de ACL web siguiendo el procedimiento de esta página.
**Riesgo de tráfico de producción**
Antes de implementar cambios en su ACL web para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**nota**
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
**Para crear una ACL web**
1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala desde [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. Elija **web ACLs** en el panel de navegación y, a continuación, elija **Crear ACL web**.
1. En **Name (Nombre)**, escriba el nombre que desea utilizar para identificar esta ACL web.
**nota**
No se puede cambiar el nombre después de crear la ACL web.
1. (Opcional) En **Description - optional (Descripción: opcional)**, introduzca una descripción más larga para la ACL web si lo desea.
1. En **CloudWatch metric name (Nombre de métrica de CW)**, cambie el nombre predeterminado, si procede. Siga las instrucciones de la consola para ver los caracteres válidos. El nombre no puede contener caracteres especiales, espacios en blanco ni nombres métricos reservados AWS WAF, como «Todos» y «Default\$1Action».
**nota**
No puede cambiar el nombre de la CloudWatch métrica después de crear la ACL web.
1. En **Tipo de recurso**, elija la categoría de AWS recurso que desee asociar a esta ACL web, ya sea CloudFront distribuciones de Amazon o recursos regionales. Para obtener más información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).
1. En el caso de **la región**, si ha elegido un tipo de recurso regional, elija la región en la que desee AWS WAF almacenar la ACL web.
Solo tiene que elegir esta opción para los tipos de recursos regionales. En el caso de CloudFront las distribuciones, la región está codificada como región EE. UU. Este (Virginia del Norte) y`us-east-1`, en el caso de las aplicaciones globales (CloudFront).
1. (CloudFront, API Gateway, Amazon Cognito, App Runner y Verified Access) Para **solicitudes web, límite de tamaño de inspección (opcional**), si desea especificar un límite de tamaño de inspección corporal diferente, seleccione el límite. Inspeccionar tamaños de cuerpo superiores al valor predeterminado de 16 KB puede implicar costos adicionales. Para obtener más información acerca de esta opción, consulte [Consideraciones para gestionar la inspección corporal en AWS WAF](web-acl-setting-body-inspection-limit.md).
1. (Opcional) Para ** AWS los recursos asociados: opcional**, si desea especificar sus recursos ahora, seleccione **Agregar AWS recursos**. En el cuadro de diálogo, elija los recursos que desee asociar y, a continuación, elija **Agregar**. AWS WAF vuelve a la página **Describa la ACL web y AWS los recursos asociados**.
**nota**
Si decide asociar un Application Load Balancer a su ACL web, se habilita la protección a **nivel de recurso DDo S.** Para obtener más información, consulte [AWS WAF Prevención de denegación de servicio (DDoS) distribuida](waf-anti-ddos.md).
1. Elija **Siguiente**.
1. (Opcional) Si desea agregar grupos de reglas administradas, en la página **Add rules and rule groups (Añadir reglas y grupos de reglas)**, seleccione **Add rules (Añadir reglas)** y, a continuación, haga clic en **Add managed rule groups (Añadir grupos de reglas administradas)**. Realice lo siguiente para cada grupo de reglas administradas que desee agregar:
1. En la página **Añadir grupos de reglas gestionados**, amplía la lista para ver los grupos de reglas AWS gestionados o el AWS Marketplace vendedor que elijas.
1. En el grupo de reglas que desea agregar, en la columna **Acción**, active la opción **Añadir a la ACL web**.
Para personalizar la forma en que su ACL web utiliza el grupo de reglas, seleccione **Editar**. A continuación se muestra la configuración de personalización común:
+ Anule las acciones de reglas para algunas o todas las reglas. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener más información acerca de esta opción, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md).
+ Reduzca el alcance de las solicitudes web que inspecciona el grupo de reglas agregando una instrucción de restricción de acceso. Para obtener más información acerca de esta opción, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).
+ Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica sobre los grupos de reglas de reglas AWS administradas, consulta[AWS Reglas administradas para AWS WAF](aws-managed-rule-groups.md).
Cuando haya terminado con la configuración, seleccione **Guardar regla**.
Seleccione **Add rules (Añadir reglas)** para terminar de agregar reglas administradas y volver a la página **Add rules and rule groups (Añadir reglas y grupos de reglas)**.
**nota**
Si agrega más de una regla a una ACL web, AWS WAF evalúa las reglas en el orden en que aparecen en la ACL web. Para obtener más información, consulte [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md).
1. (Opcional) Si desea agregar su propio grupo de reglas, en la página **Add rules and rule groups (Añadir reglas y grupos de reglas)**, elija **Add rules (Añadir reglas)** y, a continuación, seleccione **Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas)**. Realice lo siguiente para cada grupo de reglas que desee agregar:
1. En la página **Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas)**, elija **Rule group (Grupo de reglas)**.
1. En **Nombre**, introduzca el nombre que desee usar para la regla del grupo de reglas en esta ACL web. No utilice nombres que comiencen por `AWS`, `Shield`, `PreFM` o `PostFM`. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted. Consulte [Reconocimiento de grupos de reglas proporcionados por otros servicios](waf-service-owned-rule-groups.md).
1. Seleccione el grupo de reglas de la lista.
**nota**
Si desea anular las acciones de la regla para un grupo de reglas propio, guárdelo primero en la ACL web y, a continuación, edite la ACL web y la declaración de referencia del grupo de reglas en la lista de reglas de la ACL web. Puede sustituir las acciones de la regla por cualquier configuración de acción válida, del mismo modo que puede hacerlo con los grupos de reglas administradas.
1. Seleccione **Agregar regla**.
1. (Opcional) Si desea agregar su propia regla, en la página **Add rules and rule groups (Añadir reglas y grupos de reglas)**, elija **Add rules (Añadir reglas)**, **Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas)**, **Rule builder (Generador, de reglas)** y, a continuación, **Rule visual editor (Editor visual de reglas)**.
**nota**
El **Rule visual editor (Editor visual de reglas)** de la consola admite un nivel de anidamiento. Por ejemplo, puede utilizar una sola instrucción lógica `AND` o `OR` y anidar otro nivel de instrucciones en ella, pero no puede anidar instrucciones lógicas dentro de instrucciones lógicas. Para administrar instrucciones de regla más complejas, utilice el **Rule JSON editor (Editor de JSON de reglas)**. Para obtener información sobre todas las opciones de reglas, consulte [AWS WAF reglas](waf-rules.md).
Este procedimiento abarca el **Rule visual editor (Editor visual de reglas)**.
1. En **Name (Nombre)**, introduzca el nombre que desea utilizar para identificar esta regla. No utilice nombres que comiencen por `AWS`, `Shield`, `PreFM` o `PostFM`. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted.
1. Introduzca la definición de la regla en función de sus necesidades. Puede combinar reglas en instrucciones de reglas lógicas `AND` y `OR`. El asistente le guía a través de las opciones para cada regla según el contexto. Para obtener información sobre las opciones de reglas, consulte [AWS WAF reglas](waf-rules.md).
1. En **Action (Acción)**, seleccione la acción que desea que realice la regla cuando coincida con una solicitud web. Para obtener más información acerca de sus opciones, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md) y [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md).
Si utiliza la acción **CAPTCHA** o **Challenge**, ajuste la configuración del **tiempo de inmunidad** según sea necesario para la regla. Si no especifica la configuración, la regla la hereda de la ACL web. Para modificar la configuración del tiempo de inmunidad de la ACL web, edite la ACL web después de crearla. Para obtener más información sobre los tiempos de inmunidad, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).
**nota**
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
Si quiere personalizar la solicitud o la respuesta, elija las opciones correspondientes y complete los detalles de la personalización. Para obtener más información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).
Si quiere que su regla añada etiquetas a las solicitudes web coincidentes, elija las opciones correspondientes y rellene los detalles de la etiqueta. Para obtener más información, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).
1. Seleccione **Agregar regla**.
1. Elija la acción predeterminada para ACL web, cualquiera de Block o Allow. Esta es la acción que AWS WAF se lleva a cabo cuando las reglas de la ACL web no la permiten ni bloquean de forma explícita. Para obtener más información, consulte [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md).
Si desea personalizar la acción predeterminada, elija las opciones correspondientes y rellene los detalles de su personalización. Para obtener más información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).
1. Puede definir una **lista de dominios de token** para permitir el intercambio de tokens entre aplicaciones protegidas. Los tokens los utilizan Challenge las acciones CAPTCHA y la integración de aplicaciones SDKs que se implementan cuando se utilizan los grupos de reglas de AWS Managed Rules para el control del AWS WAF fraude, la creación de cuentas, la prevención del fraude (ACFP), el control del AWS WAF fraude, la prevención del robo de cuentas (ATP) y el control de AWS WAF bots.
No se admiten sufijos públicos. Por ejemplo, no puede usar `gov.au` o `co.uk` como dominio de token.
De forma predeterminada, solo AWS WAF acepta los tokens del dominio del recurso protegido. Si agrega dominios simbólicos a esta lista, AWS WAF acepta los tokens para todos los dominios de la lista y para el dominio del recurso asociado. Para obtener más información, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists).
1. Elija **Siguiente**.
1. En la página **Definir la prioridad** de las reglas, seleccione y mueva las reglas y los grupos de reglas AWS WAF al orden en que desee procesarlos. AWS WAF procesa las reglas empezando por la parte superior de la lista. Al guardar la ACL web, AWS WAF asigna una configuración de prioridad numérica a las reglas en el orden en el que las haya colocado en la lista. Para obtener más información, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md).
1. Elija **Siguiente**.
1. En la página **Configurar métricas**, revise las opciones y aplique las actualizaciones que necesite. Puede combinar métricas de varias fuentes proporcionándoles el mismo **nombre de CloudWatch métrica**.
1. Elija **Siguiente**.
1. Revise las definiciones en la página **Review and create web ACL (Revisar y crear ACL web)**. Si desea cambiar cualquier área, elija el área y seleccione **Edit (Editar)**. Esto le devuelve a la página en el asistente de ACL web. Realice los cambios y, a continuación, haga clic en **Next (Siguiente)** para pasar las páginas hasta volver a la página **Review and create web ACL (Revisar y crear ACL Web)**.
1. Elija **Create web ACL (Crear ACL web)**. Su nueva ACL web aparece en la ACLs página **web**.
------
# Edición de un paquete de protección (ACL web) en AWS WAF
------
#### [ Using the new console ]
En esta sección se proporcionan los procedimientos para editar los paquetes de protección (web ACLs) a través de la AWS consola.
Para agregar o eliminar reglas de una ACL web o cambiar los ajustes de configuración, acceda al paquete de protección (web ACL) mediante el procedimiento de esta página. Al actualizar un paquete de protección (ACL web), AWS WAF proporciona una cobertura continua a los recursos que tiene asociados al paquete de protección (ACL web).
**Riesgo de tráfico de producción**
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**nota**
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
**Cómo editar un paquete de protección (ACL web)**
1. Inicie sesión en la nueva consola Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro).
1. En el panel de navegación, selecciona **Recursos y paquetes de protección** (web). ACLs
1. Elija el paquete de protección (ACL web) que desea editar. La consola permite editar la tarjeta del paquete de protección (ACL web) principal y también abre un panel lateral con detalles que puede editar.
1. Edite el paquete de protección (web ACL) según sea necesario.
A continuación se enumeran los componentes configurables del paquete de protección (web ACL) que pueden editarse.
En esta sección se proporcionan los procedimientos para editar la web ACLs a través de la AWS consola.
Para agregar o eliminar reglas de una ACL web o cambiar los ajustes de configuración, acceda a la ACL web mediante el procedimiento de esta página. Al actualizar una ACL web, AWS WAF proporciona una cobertura continua a los recursos que tiene asociados a la ACL web.
**Riesgo de tráfico de producción**
Antes de implementar cambios en su ACL web para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**nota**
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
**Incoherencias temporales durante las actualizaciones**
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos.
A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios:
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible.
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros.
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.
------
#### [ Using the standard console ]
En esta sección se proporcionan los procedimientos para editar la web ACLs a través de la AWS consola.
Para agregar o eliminar reglas de una ACL web o cambiar los ajustes de configuración, acceda a la ACL web mediante el procedimiento de esta página. Al actualizar una ACL web, AWS WAF proporciona una cobertura continua a los recursos que tiene asociados a la ACL web.
**Riesgo de tráfico de producción**
Antes de implementar cambios en su ACL web para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**nota**
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
**Para editar una ACL web**
1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala desde [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. **En el panel de navegación, selecciona web. ACLs**
1. Elegir el nombre de la ACL web que desea editar. La consola le lleva a la descripción de la ACL web.
1. Edite la ACL web según sea necesario. Seleccione las pestañas de las áreas de configuración que le interesen y edite las configuraciones mutables. Para cada configuración que edite, al seleccionar **Guardar** y volver a la página de descripción de la ACL web, la consola guardará los cambios en la ACL web.
A continuación, se enumeran las pestañas que contienen los componentes de configuración de la ACL web.
+ Pestaña **Reglas**
+ **Reglas definidas en la ACL web**: puede editar y administrar las reglas que ha definido en la ACL web de forma similar a como lo hizo durante la creación de la ACL web.
**nota**
No cambie los nombres de ninguna regla que no haya agregado manualmente a su ACL web. Si utilizas otros servicios para gestionar las reglas por ti, cambiar sus nombres podría eliminar o reducir su capacidad de proporcionar las protecciones previstas. AWS Shield Advanced y AWS Firewall Manager ambos pueden crear reglas en su ACL web. Para obtener información, consulte [Reconocimiento de grupos de reglas proporcionados por otros servicios](waf-service-owned-rule-groups.md).
**nota**
Si cambia el nombre de una regla y desea que el nombre de la métrica de la regla refleje el cambio, también debe actualizar el nombre de la métrica. AWS WAF no actualiza automáticamente el nombre de la métrica de una regla cuando se cambia el nombre de la regla. Puede cambiar el nombre de la métrica al editar la regla en la consola mediante el editor de reglas de JSON. También puede cambiar ambos nombres en cualquier lista de APIs JSON que utilice para definir su paquete de protección (ACL web) o grupo de reglas.
Para obtener información sobre la configuración de las reglas y los grupos de reglas, consulte [AWS WAF reglas](waf-rules.md) y [AWS WAF grupos de reglas](waf-rule-groups.md).
+ **Unidades de capacidad de reglas de la ACL web utilizadas**: el uso de la capacidad actual de su ACL web. Esto es solo para visualización.
+ **Acción de ACL web predeterminada para las solicitudes que no coinciden con ninguna regla**: para obtener información sobre esta configuración, consulte [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md).
+ **Configuraciones de CAPTCHA y desafíos de ACL web**: estos tiempos de inmunidad determinan cuánto tiempo permanece válido un token de CAPTCHA o desafío después de su adquisición. Solamente puede modificar esta configuración aquí, después de crear la ACL web. Para obtener más información sobre esta configuración, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).
+ **Lista de dominios simbólicos**: AWS WAF acepta identificadores para todos los dominios de la lista y para el dominio del recurso asociado. Para obtener más información, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists).
+ Pestaña de ** AWS recursos asociados**
+ **Límite de tamaño de inspección de las solicitudes web**: se incluye solo para las páginas web ACLs que protegen CloudFront las distribuciones. El límite de tamaño para la inspección de la carrocería determina qué parte del componente de la carrocería se envía AWS WAF para su inspección. Para obtener más información sobre esta configuración, consulte [Consideraciones para gestionar la inspección corporal en AWS WAF](web-acl-setting-body-inspection-limit.md).
+ **Recursos asociados de AWS **: la lista de recursos a los que la ACL web está asociada actualmente y que protege. Puede localizar los recursos que se encuentran dentro de la misma región que la ACL web y asociarlos a la ACL web. Para obtener más información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).
+ Pestaña **Cuerpos de respuesta personalizados**
+ Cuerpos de respuesta personalizados que están disponibles para que los utilicen las reglas de ACL web que tienen la acción establecida en Block. Para obtener más información, consulte [Envío de respuestas personalizadas para las acciones Block](customizing-the-response-for-blocked-requests.md).
+ Pestaña **Registro y métricas**
+ **Registro**: registro del tráfico que evalúa la ACL web. Para obtener información, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).
+ **Integración de Security Lake**: el estado de la recopilación de datos configurada para la web ACL en Amazon Security Lake. Para obtener más información, consulte [Recopilación de datos de AWS los servicios](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) en la *guía del usuario de Amazon Security Lake*.
+ **Solicitudes de muestra**: información sobre las reglas que coinciden con las solicitudes web. Para obtener información sobre cómo ver las solicitudes muestreadas, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md).
+ **Configuración de protección de datos**: puede configurar la redacción y el filtrado de los datos de tráfico web para todos los datos que están disponibles para la ACL web y solo para los datos que AWS WAF envía al destino de registro de la ACL web configurado. Para obtener información sobre la protección de datos, consulte [Protección de datos y registro del tráfico AWS WAF del paquete de protección (ACL web)](waf-data-protection-and-logging.md).
+ **CloudWatch métricas**: métricas de las reglas de su ACL web. Para obtener información sobre CloudWatch las métricas de Amazon, consulta[Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md).
**Incoherencias temporales durante las actualizaciones**
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos.
A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios:
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible.
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros.
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.
------
# Administrar el comportamiento de un grupo de reglas
En esta sección ,se describen las opciones para modificar cómo se utiliza un grupo de reglas en su paquete de protección (ACL web). Esta información se aplica a todos los tipos de grupos de reglas. Después de agregar un grupo de reglas a un paquete de protección (ACL web), puede sustituir las acciones de reglas individuales del grupo de reglas por Count o por cualquier otra configuración de acción de regla válida. También puede sustituir la acción resultante del grupo de reglas por Count, lo que no afecta a la forma en que se evalúan las reglas dentro del grupo de reglas.
Para obtener información sobre estas opciones, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md).
## Invalidar acciones de reglas en un grupo de reglas
Para cada grupo de reglas de un paquete de protección (ACL web), puede anular las acciones de la regla contenida para algunas o todas las reglas.
El caso de uso más común es sustituir las acciones de la regla por Count para probar reglas nuevas o actualizadas. Si tiene las métricas habilitadas, recibirá métricas por cada regla que invalide. Para obtener más información acerca las pruebas, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
Puede hacer estos cambios agregando un grupo de reglas administradas al paquete de protección (ACL web) y puede implementarlos en cualquier tipo de grupo de reglas cuando edite el paquete de protección (ACL web). Estas instrucciones son para un grupo de reglas que ya se ha agregado al paquete de protección (ACL web). Consulte información adicional sobre esta opción en [Anulación de acciones de reglas de un grupo de reglas](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).
------
#### [ Using the new console ]
**Acciones de anular regla en un grupo de reglas**
1. Elija el paquete de protección (ACL web) que desea editar. La consola permite editar la tarjeta del paquete de protección (ACL web) principal y también abre un panel lateral con detalles que puede editar.
1. En la tarjeta del paquete de protección (ACL web), seleccione el enlace **Editar** situado junto a **Reglas** para abrir el panel **Administrar reglas**.
1. En la sección **Administrar reglas** del grupo de reglas, elija la regla administrada para abrir su configuración de acciones.
+ **Anular el grupo de reglas**: cambia la acción del grupo de reglas al modo Recuento, pero mantiene inalteradas todas las acciones de las reglas individuales.
+ **Anular todas las acciones de la regla**: aplica una acción de regla a todas las reglas, anulando su estado actual.
+ **Anulación de una sola regla**: aplica una acción de regla a una regla individual.
1. Cuando haya terminado de realizar los cambios, seleccione **Guardar regla**.
------
#### [ Using the standard console ]
**Acciones de anular regla en un grupo de reglas**
1. Edite la ACL web.
1. En la pestaña **Reglas** de la página ACL web, seleccione el grupo de reglas y, a continuación, elija **Editar**.
1. En la sección **Reglas** del grupo de reglas, administre la configuración de las acciones según sea necesario.
+ **Todas las reglas**: para establecer una acción de anulación para todas las reglas del grupo de reglas, abra el menú desplegable **Anular todas las acciones de reglas** y seleccione la acción de anulación. Para eliminar las anulaciones de todas las reglas, seleccione **Eliminar todas las anulaciones**.
+ **Regla única**: para configurar una acción de anulación para una sola regla, abra el menú desplegable de la regla y seleccione la acción de anulación. Para eliminar una anulación de una regla, abra el menú desplegable de la regla y seleccione **Eliminar la anulación**.
1. Cuando haya terminado de realizar los cambios, seleccione **Guardar regla**. La configuración de la acción de regla y de la acción de anulación se muestra en la página del grupo de reglas.
------
El siguiente ejemplo de lista JSON muestra una instrucción de grupo de reglas dentro de un paquete de protección (ACL web) que sustituye por Count las acciones de reglas `CategoryVerifiedSearchEngine` y `CategoryVerifiedSocialMedia`. En la JSON, se anulan todas las acciones de reglas proporcionando una entrada de `RuleActionOverrides` para cada regla individual.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "CategoryVerifiedSearchEngine"
},
{
"ActionToUse": {
"Count": {}
},
"Name": "CategoryVerifiedSocialMedia"
}
],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
## Sustitución del resultado de la evaluación de un grupo de reglas por Count
Puede anular la acción derivada de la evaluación de un grupo de reglas sin alterar la forma en que se configuran o evalúan las reglas del grupo de reglas. Esta opción no se utiliza habitualmente. Si alguna regla del grupo de reglas da como resultado una coincidencia, esta anulación establece la acción resultante del grupo de reglas en Count.
**nota**
Este es un caso de uso poco común. La mayoría de las anulaciones de acciones se realizan por regla, dentro del grupo de reglas, como se describe en [Invalidar acciones de reglas en un grupo de reglas](#web-acl-rule-group-rule-action-override).
Puede anular la acción resultante del grupo de reglas en el paquete de protección (ACL web) al agregar o editar el grupo de reglas. En la consola, abra el panel **Anular la acción del grupo de reglas (opcional)** del grupo de reglas y habilite la anulación. En la JSON, establezca `OverrideAction` en la instrucción del grupo de reglas, tal y como se muestra en la siguiente lista de ejemplo:
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet"
}
},
"OverrideAction": {
"Count": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
# Asociar o disociar la protección a un recurso AWS
Puede utilizarlas AWS WAF para crear las siguientes asociaciones entre los paquetes de protección (web ACLs) y sus recursos:
+ Asocie un paquete de protección (ACL web) regional a cualquiera de los recursos regionales que se indican a continuación. Para esta opción, el paquete de protección (ACL web) debe estar en la misma región que el recurso.
+ API de REST de Amazon API Gateway
+ Equilibrador de carga de aplicación
+ AWS AppSync API GraphQL
+ Grupo de usuarios de Amazon Cognito
+ AWS App Runner servicio
+ AWS Instancia de acceso verificado
+ AWS Amplify
+ Asocie un paquete de protección global (ACL web) a una CloudFront distribución de Amazon. El paquete de protección (ACL web) global tendrá una región con codificación rígida del Este de EE. UU. (Norte de Virginia).
También puede asociar un paquete de protección (ACL web) a una CloudFront distribución al crear o actualizar la propia distribución. Para obtener más información, [consulta AWS WAF Cómo controlar el acceso a tu contenido](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) en la *Guía para CloudFront desarrolladores de Amazon*.
**Restricciones a varias asociaciones**
Puede asociar un único paquete de protección (ACL web) a uno o más AWS recursos, de acuerdo con las siguientes restricciones:
+ Puede asociar cada AWS recurso a un solo paquete de protección (ACL web). La relación entre el paquete de protección (ACL web) y AWS los recursos es one-to-many.
+ Puede asociar un paquete de protección (ACL web) a una o más CloudFront distribuciones. No puede asociar un paquete de protección (ACL web) que haya asociado a una CloudFront distribución con ningún otro tipo de AWS recurso.
**Restricciones adicionales**
Se aplican las siguientes restricciones adicionales a las asociaciones de paquetes de protección (ACL web):
+ Solamente puede asociar un paquete de protección (ACL web) a un equilibrador de carga de aplicación que se encuentre en Regiones de AWS. Por ejemplo, solamente puede asociar un paquete de protección (ACL web) a un equilibrador de carga de aplicación que se encuentre en AWS Outposts.
+ No puede asociar un grupo de usuarios de Amazon Cognito a un paquete de protección (ACL web) que utilice el grupo de reglas gestionado por la prevención del AWS WAF fraude de creación de cuentas (ACFP) de Fraud Control `AWSManagedRulesACFPRuleSet` o el grupo de reglas gestionado por la prevención de apropiación de cuentas (ATP) de AWS WAF Fraud Control. `AWSManagedRulesATPRuleSet` Para obtener información sobre la prevención del fraude en la creación de cuentas, consulte [AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)](waf-acfp.md). Para obtener información sobre la prevención de apropiación de cuentas, consulte [AWS WAF Control de fraudes y prevención de apropiación de cuentas (ATP)](waf-atp.md).
**Riesgo de tráfico de producción**
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste sus reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
# Asociar la protección a un recurso AWS
------
#### [ Using the new console ]
1. Elija el paquete de protección (ACL web) que desea editar. La consola permite editar la tarjeta del paquete de protección (ACL web) principal y también abre un panel lateral con detalles que puede editar.
1. En la tarjeta del paquete de protección (ACL web), seleccione el enlace **Editar** situado junto a **Recursos** para abrir el panel **Administrar recursos**.
1. En la sección **Administrar recursos** del grupo de reglas, elija **Agregar recursos regionales** o **Agregar recursos globales**.
1. Elija los recursos y, después, **Agregar**.
------
#### [ Using the standard console ]
Para asociar una ACL web a un AWS recurso, lleve a cabo el siguiente procedimiento.
**Para asociar una ACL web a un AWS recurso**
1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. **En el panel de navegación, selecciona web. ACLs**
1. Elija el nombre de la ACL web que desee asociar a un recurso. La consola le lleva a la descripción de la ACL web, donde puede editarla.
1. En la pestaña ** AWS Recursos asociados**, elija **Agregar AWS recursos**.
1. Cuando se le solicite, elija el tipo de recurso, seleccione el botón de opción situado junto al recurso que desea asociar y, a continuación, elija **Agregar**.
------
# Disociar una protección de un recurso AWS
------
#### [ Using the new console ]
1. Elija el paquete de protección (ACL web) que desea editar. La consola permite editar la tarjeta del paquete de protección (ACL web) principal y también abre un panel lateral con detalles que puede editar.
1. En la tarjeta del paquete de protección (ACL web), seleccione el enlace **Editar** situado junto a **Recursos** para abrir el panel **Administrar recursos**.
1. En la sección **Administrar recursos** del grupo de reglas, elija el recurso que desee desasociar y, luego, elija **Desasociar**.
**nota**
Debe desasociar un recurso a la vez. No elija varios recursos.
1. En la página de confirmación, escriba “desasociar” y, a continuación, seleccione **Desasociar**.
------
#### [ Using the standard console ]
Para disociar una ACL web de un AWS recurso, lleve a cabo el siguiente procedimiento.
**Para desasociar una ACL web de un recurso AWS**
1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. **En el panel de navegación, selecciona web. ACLs**
1. Elija el nombre de la ACL web que desee desasociar del recurso. La consola le lleva a la descripción de la ACL web, donde puede editarla.
1. En la pestaña ** AWS Recursos asociados**, seleccione el recurso del que desee desasociar esta ACL web.
**nota**
Debe desasociar un recurso a la vez. No elija varios recursos.
**nota**
Si decide asociar un Application Load Balancer a su WebACL, se habilita la protección de **nivel de recursos DDo** S. Para obtener más información, consulte [AWS WAF Prevención de denegación de servicio (DDoS) distribuida](waf-anti-ddos.md).
1. Elija **Desasociar**. La consola abrirá un cuadro de diálogo de confirmación. Confirme su elección de desasociar la ACL web del recurso. AWS
------
# Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF
En esta sección se presenta cómo ACLs funcionan los paquetes de protección (web ACLs) y web con las reglas y los grupos de reglas.
La forma en la que un paquete de protección (ACL web) gestione una solicitud web dependerá de lo siguiente:
+ La configuración de prioridad numérica de las reglas en el paquete de protección (ACL web) y dentro de los grupos de reglas
+ La configuración de la acción en las reglas y en el paquete de protección (ACL web)
+ Cualquier anulación que repercuta en las reglas y en los grupos de reglas que agregue
Para obtener una lista de la configuración de las acciones de reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).
Puede personalizar la gestión de solicitudes y respuestas en la configuración de la acción de su regla y en la configuración de acción predeterminada del paquete de protección (ACL web). Para obtener información, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).
**Topics**
+ [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md)
+ [Cómo AWS WAF gestiona las acciones de las reglas y los grupos de reglas](web-acl-rule-actions.md)
+ [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md)
# Cómo establecer la prioridad de las reglas
En esta sección se explica cómo se AWS WAF utiliza la configuración de prioridad numérica para establecer el orden de evaluación de las reglas.
En un paquete de protección (ACL web) y dentro de cualquier grupo de reglas, el orden de evaluación de las reglas se determina mediante la configuración de la prioridad numérica. A cada regla de un paquete de protección (ACL web) debe asignarle una configuración de prioridad única dentro de ese paquete de protección (ACL web), y a cada regla de un grupo de reglas debe asignarle una configuración de prioridad única dentro de ese grupo de reglas.
**nota**
Al administrar grupos de reglas, los paquetes de protección (web ACLs), a través de la consola, le AWS WAF asignan una configuración de prioridad numérica exclusiva en función del orden de las reglas de la lista. AWS WAF asigna la prioridad numérica más baja a la regla de la parte superior de la lista y la prioridad numérica más alta a la regla de la parte inferior.
Al AWS WAF evaluar cualquier grupo de reglas, paquete de protección (ACL web) con respecto a una solicitud web, evalúa las reglas desde la configuración de prioridad numérica más baja hasta que encuentra una coincidencia que finalice la evaluación o agote todas las reglas.
Por ejemplo, supongamos que tiene las siguientes reglas y grupos de reglas en su paquete de protección (ACL web), priorizados como se muestra:
+ Regla 1: prioridad 0
+ RuleGroupA: prioridad 100
+ Regla A1: prioridad 10 000
+ Regla A2: prioridad 20 000
+ Regla 2: prioridad 200
+ RuleGroupB: prioridad 300
+ Regla B1: prioridad 0
+ Regla B2: prioridad 1
AWS WAF evaluaría las reglas de este paquete de protección (ACL web) en el siguiente orden:
+ Rule1
+ RuleGroupUna regla A1
+ RuleGroupUna regla A2
+ Rule2
+ RuleGroupRegla B B1
+ RuleGroupRegla B: B2
# Cómo AWS WAF gestiona las acciones de las reglas y los grupos de reglas
En esta sección se explica cómo se AWS WAF utilizan las reglas y los grupos de reglas para gestionar las acciones.
Al configurar las reglas y los grupos de reglas, usted elige cómo AWS WAF quiere gestionar las solicitudes web coincidentes:
+ **Allow y Block son acciones de finalización**; las acciones Allow y Block detienen todos los demás procesamientos del paquete de protección (ACL web) en la solicitud web coincidente. Si una regla de un paquete de protección (ACL web) encuentra una coincidencia para una solicitud y la acción de la regla es Allow oBlock, esa coincidencia determina la disposición final de la solicitud web del paquete de protección (ACL web). AWS WAF no procesa ninguna otra regla del paquete de protección (ACL web) que venga después de la correspondiente. Esto se cumple en el caso de las reglas que agrega directamente al paquete de protección (ACL web) y las reglas que se encuentran en un grupo de reglas añadido. Con la acción Block, el recurso protegido no recibe ni procesa la solicitud web.
+ **Count es una acción no terminal**: cuando una regla con una acción de Count coincide con una solicitud, AWS WAF cuenta la solicitud y, a continuación, continúa procesando las siguientes reglas del conjunto de reglas del paquete de protección (ACL web).
+ **CAPTCHAy Challenge pueden ser acciones que no terminan o terminan**: cuando una regla con una de estas acciones coincide con una solicitud, AWS WAF comprueba el estado de su token. Si la solicitud tiene un token válido, AWS WAF trata la coincidencia de forma similar a una Count coincidencia y, a continuación, continúa procesando las reglas que figuran en el conjunto de reglas del paquete de protección (ACL web). Si la solicitud no tiene un token válido, AWS WAF finaliza la evaluación y envía al cliente un acertijo de CAPTCHA o un desafío silencioso de sesión de cliente en segundo plano para que lo resuelva.
Si la evaluación de la regla no da lugar a ninguna acción de finalización, se AWS WAF aplica la acción predeterminada del paquete de protección (ACL web) a la solicitud. Para obtener información, consulte [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md).
En su paquete de protección (ACL web), puede anular la configuración de acciones de reglas de un grupo de reglas y puede anular la acción que devuelve un grupo de reglas. Para obtener información, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md).
**Interacción entre las acciones y la configuración de prioridades**
Las acciones que AWS WAF se aplican a una solicitud web se ven afectadas por la configuración de prioridad numérica de las reglas del paquete de protección (ACL web). Por ejemplo, supongamos que su paquete de protección (ACL web) tiene una regla con una acción Allow y una prioridad numérica de 50, y otra regla con una acción Count y una prioridad numérica de 100. AWS WAF evalúa las reglas de un paquete de protección (ACL web)b por orden de prioridad, empezando por la configuración más baja, por lo que evaluará la regla de permiso antes que la regla de recuento. Una solicitud web que cumpla ambas reglas coincidirá primero con la regla de permiso. Dado que Allow se trata de una acción de finalización, AWS WAF detendrá la evaluación en este momento y no evaluará la solicitud según la regla de recuento.
+ Si solo quiere incluir las solicitudes que no coincidan con la regla de permiso en las métricas de las reglas de recuento, entonces, la configuración de prioridades de las reglas podría funcionar.
+ Por otro lado, si quiere métricas de recuento de la regla de recuento incluso para las solicitudes que coincidan con la regla de permiso, tendrá que darle a la regla de recuento una prioridad numérica inferior a la de la regla de permiso, de modo que se ejecute primero.
Para obtener más información acerca de la configuración de prioridad, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md).
# Supervisar las acciones de un grupo de reglas en AWS WAF
Esta sección explica cómo anular las acciones de un grupo de reglas.
Cuando agrega un grupo de reglas a su paquete de protección (ACL web), puede anular las acciones que realiza cuando las solicitudes web coinciden. Si se anulan las acciones de un grupo de reglas en la configuración del paquete de protección (ACL web), no se altera el grupo de reglas en sí. Solo altera la forma en que se AWS WAF usa el grupo de reglas en el contexto del paquete de protección (ACL web).
## Anulación de acciones de reglas de un grupo de reglas
Puede anular las acciones de las reglas dentro de un grupo de reglas para cualquier acción de regla válida. Al hacerlo, las solicitudes coincidentes se gestionan exactamente como si la acción de regla configurada fuera la configuración de anulación.
**nota**
Las acciones de la regla pueden ser de finalización o no. Una acción de finalización detiene la evaluación de la solicitud por parte del paquete de protección (ACL web) y permite que continúe con la aplicación protegida o la bloquea.
Estas son las opciones de la acción de la regla:
+ **Allow**— AWS WAF permite reenviar la solicitud al AWS recurso protegido para su procesamiento y respuesta. Se trata de una acción de finalización. En las reglas que defina, puede insertar encabezados personalizados en la solicitud antes de reenviarla al recurso protegido.
+ **Block**— AWS WAF bloquea la solicitud. Se trata de una acción de finalización. De forma predeterminada, el AWS recurso protegido responde con un código de `403 (Forbidden)` estado HTTP. En las reglas que defina, puede personalizar la respuesta. Cuando AWS WAF bloquea una solicitud, la configuración de la Block acción determina la respuesta que el recurso protegido envía al cliente.
+ **Count**— AWS WAF cuenta la solicitud pero no determina si se permite o se bloquea. Se trata de una acción no terminal. AWS WAF continúa procesando las reglas restantes en el paquete de protección (ACL web). En las reglas que defina, puede insertar encabezados personalizados en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas.
+ **CAPTCHAy Challenge**: AWS WAF usa acertijos CAPTCHA y desafíos silenciosos para verificar que la solicitud no proviene de un bot, y AWS WAF usa fichas para rastrear las respuestas recientes de los clientes que han obtenido buenos resultados.
Los rompecabezas de CAPTCHA y los desafíos silenciosos solo se pueden ejecutar cuando los navegadores acceden a los puntos de conexión HTTPS. Los clientes del navegador deben ejecutarse en contextos seguros para poder adquirir los tókenes.
**nota**
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
Estas acciones de regla pueden ser de finalización o no, según el estado del token de la solicitud:
+ No se **cancela para un token válido y no caducado: si el token** es válido y no ha caducado según el CAPTCHA configurado o el tiempo de inmunidad de impugnación, AWS WAF tramita la solicitud de forma similar a la acción. Count AWS WAF continúa inspeccionando la solicitud web en función de las demás reglas del paquete de protección (ACL web). Al igual que en la configuración de Count, en las reglas que defina, puede configurar opcionalmente estas acciones con encabezados personalizados para insertarlos en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas.
+ **Finalizar con una solicitud bloqueada de un token no válido o caducado**: si el token no es válido o la marca de tiempo indicada ha caducado, AWS WAF finaliza la inspección de la solicitud web y bloquea la solicitud, de forma similar a como se ha hecho antes. Block AWS WAF a continuación, responde al cliente con un código de respuesta personalizado. PuesCAPTCHA, si el contenido de la solicitud indica que el navegador del cliente puede gestionarla, AWS WAF envía un acertijo CAPTCHA en un JavaScript intersticial, diseñado para distinguir a los clientes humanos de los bots. Para elloChallenge, AWS WAF envía un JavaScript intersticial con un desafío silencioso diseñado para distinguir los navegadores normales de las sesiones ejecutadas por bots.
Para obtener información adicional, consulta [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).
Para obtener información acerca de cómo utilizar esta acción, consulte [Invalidar acciones de reglas en un grupo de reglas](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).
### Anulación de la acción de regla para Count
El caso de uso más común para anular las acciones de reglas es anular algunas o todas las acciones de la regla para Count, con el fin de probar y supervisar el comportamiento de un grupo de reglas antes de ponerlo en producción.
También puede utilizar esto para solucionar problemas relacionados con un grupo de reglas que esté generando falsos positivos. Los falsos positivos se producen cuando un grupo de reglas bloquea el tráfico que no se espera que bloquee. Si identifica una regla dentro de un grupo de reglas que bloquee solicitudes que desea permitir, puede mantener la anulación de la acción de recuento en esa regla para evitar que actúe sobre sus solicitudes.
Para obtener más información acerca de cómo utilizar la anulación de la acción de las reglas en las pruebas, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
### Lista de JSON: `RuleActionOverrides` reemplaza a `ExcludedRules`
Si configuró las acciones de las reglas del grupo de reglas Count en la configuración de su paquete de protección (ACL web) antes del 27 de octubre de 2022, AWS WAF guarde las anulaciones en el JSON del paquete de protección (ACL web) como. `ExcludedRules` Ahora la configuración JSON para anular una regla en Count se encuentra en la configuración `RuleActionOverrides`.
Le recomendamos que actualice todas las configuraciones de `ExcludedRules` de sus listas JSON a las configuraciones de `RuleActionOverrides` con la acción establecida en Count. La API acepta cualquier configuración, pero si solo utiliza la nueva configuración de `RuleActionOverrides`, conseguirá coherencia en sus listas JSON entre el trabajo de la consola y el de la API.
**nota**
En la AWS WAF consola, la pestaña de **solicitudes muestreadas** del paquete de protección (ACL web) no muestra ejemplos de reglas con la configuración anterior. Para obtener más información, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md).
Al utilizar la AWS WAF consola para editar la configuración del grupo de reglas existente, la consola convierte automáticamente cualquier `ExcludedRules` configuración del JSON en `RuleActionOverrides` configuración, con la acción de anulación establecida en. Count
+ Ejemplo de configuración actual:
```
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAdminProtectionRuleSet",
"RuleActionOverrides": [
{
"Name": "AdminProtection_URIPATH",
"ActionToUse": {
"Count": {}
}
}
]
```
+ Ejemplo de configuración anterior:
```
OLD SETTING
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAdminProtectionRuleSet",
"ExcludedRules": [
{
"Name": "AdminProtection_URIPATH"
}
]
OLD SETTING
```
## Anulación de la acción de retorno del grupo de reglas para Count
Puede anular la acción que devuelve el grupo de reglas, configurándola en Count.
**nota**
Esta no es una buena opción para probar las reglas de un grupo de reglas, ya que no altera la forma en que AWS WAF se evalúa el propio grupo de reglas. Solo afecta a la forma en AWS WAF que se gestionan los resultados que se devuelven al paquete de protección (ACL web) tras la evaluación del grupo de reglas. Si desea probar las reglas de un grupo de reglas, utilice la opción descrita en la sección anterior, [Anulación de acciones de reglas de un grupo de reglas](#web-acl-rule-group-override-options-rules).
Al anular la acción del grupo de reglas paraCount, AWS WAF procesa la evaluación del grupo de reglas con normalidad.
Si ninguna regla del grupo de reglas coincide o si todas las reglas coincidentes tienen una acción Count, esta anulación no afecta al procesamiento del grupo de reglas ni al paquete de protección (ACL web).
La primera regla del grupo de reglas que coincide con una solicitud web y que tiene una acción de regla de finalización hace AWS WAF que deje de evaluar el grupo de reglas y devuelva el resultado de la acción de finalización al nivel de evaluación del paquete de protección (ACL web). En este punto, en la evaluación del paquete de protección (ACL web), entra en vigor esta anulación. AWS WAF anula la acción de finalización para que el resultado de la evaluación del grupo de reglas sea solo una acción. Count AWS WAF a continuación, continúa procesando el resto de las reglas del paquete de protección (ACL web).
Para obtener información acerca de cómo utilizar esta acción, consulte [Sustitución del resultado de la evaluación de un grupo de reglas por Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override).
# Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF
En esta sección se explica cómo funcionan las acciones predeterminadas del paquete de protección (ACL web).
Al crear y configurar un paquete de protección (ACL web), debe establecer la acción predeterminada del paquete de protección (ACL web). AWS WAF aplica esta acción a cualquier solicitud web que supere todas las evaluaciones de reglas del paquete de protección (ACL web) sin que se le aplique una acción de finalización. Una acción de finalización detiene la evaluación de la solicitud por parte del paquete de protección (ACL web) y permite que continúe con la aplicación protegida o la bloquea. Para obtener información sobre las acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).
La acción predeterminada del paquete de protección (ACL web) debe determinar la disposición final de la solicitud web, por lo que se trata de una acción de finalización:
+ **Allow**: si desea permitir que la mayoría de los usuarios pueda acceder a su sitio web, pero desea bloquear el acceso a atacantes cuyas solicitudes provienen de direcciones IP específicas o cuyas solicitudes parecen contener código SQL malicioso o valores específicos, elija Allow como la acción predeterminada. A continuación, cuando agregue reglas a su paquete de protección (ACL web), agregue reglas que identifiquen y bloqueen las solicitudes específicas que desea bloquear. Con esta acción puede insertar encabezados personalizados en la solicitud antes de reenviarla al recurso protegido.
+ **Block**: si desea evitar que la mayoría de posibles usuarios acceda a su sitio web, pero desea permitir el acceso a los usuarios cuyas solicitudes provienen de direcciones IP específicas o cuyas solicitudes contienen valores específicos, elija Block como la acción predeterminada. A continuación, cuando agregue reglas a su paquete de protección (ACL web), agregue reglas que identifiquen y permitan las solicitudes específicas que desea permitir. De forma predeterminada, para la Block acción, el AWS recurso responde con un código de `403 (Forbidden)` estado HTTP, pero puede personalizar la respuesta.
Para obtener información sobre cómo personalizar las solicitudes y las respuestas, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).
La configuración de sus propias reglas y grupos de reglas depende en parte de si desea permitir o bloquear la mayoría de las solicitudes web. Por ejemplo, si desea *permitir* la mayoría de las solicitudes, tiene que configurar la acción predeterminada del paquete de protección (ACL web) en Allow y, a continuación, agregar reglas que identifiquen las solicitudes web que desea *bloquear*, como las siguientes:
+ Las solicitudes que provengan de direcciones IP que realizan un número excesivo de solicitudes
+ Las solicitudes que proceden de países en los que no opera o que con frecuencia son origen de ataques
+ Las solicitudes que incluyen valores falsos en el encabezado `User-agent`
+ Las solicitudes que parecen incluir código SQL malicioso
Las reglas de los grupos de reglas administradas suelen utilizar la acción Block, pero no todas. Por ejemplo, algunas reglas que se utilizan para el control de bots utilizan la configuración de la acciones de CAPTCHA y Challenge. Para obtener información acerca de los grupos de reglas administradas, consulte [Uso de grupos de reglas gestionados en AWS WAF](waf-managed-rule-groups.md).
# Consideraciones para gestionar la inspección corporal en AWS WAF
El límite de tamaño corporal para la inspección es el tamaño corporal máximo solicitado que AWS WAF se puede inspeccionar. Cuando el cuerpo de una solicitud web supera el límite, el servicio de alojamiento subyacente solo reenvía el contenido que se encuentra dentro del límite AWS WAF para su inspección.
+ Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB (8.192 bytes).
+ Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB (16 384 bytes) y puede aumentarlo para cualquiera de los tipos de recursos en incrementos de 16 KB, hasta 64 KB. Las opciones de configuración son 16 KB, 32 KB, 48 KB y 64 KB.
**importante**
AWS WAF no admite las normas de inspección del organismo solicitante para el tráfico de gRPC. Si habilitaste estas reglas en el paquete de protección (ACL web) de una CloudFront distribución o Application Load Balancer, cualquier solicitud que utilice gRPC ignorará las reglas de inspección del cuerpo de la solicitud. Se seguirán aplicando todas AWS WAF las demás reglas. Para obtener más información, consulte [Habilitar AWS WAF para distribuciones](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) en la *Guía para CloudFront desarrolladores de Amazon*.
**Gestión de cuerpos sobredimensionados**
Si el tráfico web incluye cuerpos que superan el límite, se aplicará la gestión de sobredimensionamiento configurada. Para obtener información sobre sus opciones de gestión de cuerpos sobredimensionados, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md).
**Consideraciones de precio para aumentar el límite**
AWS WAF cobra una tarifa base por inspeccionar el tráfico que está dentro del límite predeterminado para el tipo de recurso.
CloudFrontEn el caso de los recursos de API Gateway, Amazon Cognito, App Runner y Verified Access, si aumentas el límite establecido, el tráfico que AWS WAF se puede inspeccionar incluye el tamaño de las personas hasta el nuevo límite. Solo se le cobrará un suplemento por la inspección de las solicitudes que tengan un tamaño de cuerpo superior al predeterminado de 16 KB. Para obtener más información sobre los precios, consulte [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
**Opciones para modificar el límite de tamaño de la inspección del cuerpo**
Puede configurar el límite de tamaño de la inspección corporal para los CloudFront recursos de API Gateway, Amazon Cognito, App Runner o Verified Access.
Al crear o editar un paquete de protección (ACL web), puede modificar el límite de tamaño de la inspección del cuerpo en las configuraciones de asociación de recursos. Para la API, consulte la configuración de asociación del paquete de protección (ACL web) en [AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html). En el caso de la consola, consulte la configuración en la página en la que se especifican los recursos asociados del paquete de protección (ACL web). Para obtener instrucciones sobre la configuración de la consola, consulte [Ver las métricas de tráfico web en AWS WAF](web-acl-working-with.md).
# Configuración de CAPTCHA, desafío y tokens en AWS WAF
Puede configurar las opciones de su paquete de protección (ACL web) para las reglas que utilizan las acciones de las reglas CAPTCHA o Challenge reglas y para la integración de aplicaciones SDKs que gestionan los desafíos silenciosos de los clientes en materia de protecciones AWS WAF gestionadas.
Estas características mitigan la actividad de los bots al desafiar a los usuarios finales con rompecabezas de CAPTCHA y al plantear a las sesiones de los clientes desafíos silenciosos. Cuando el cliente responde correctamente, AWS WAF proporciona un token para que lo utilice en su solicitud web, con una marca de tiempo con las últimas respuestas acertadas a rompecabezas y desafíos. Para obtener más información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).
En la configuración de su paquete de protección (ACL web), puede configurar la forma en que AWS WAF administra estos tokens:
+ **Tiempos de inmunidad de un CAPTCHA y un desafío**: especifican durante cuánto tiempo sigue siendo válido una marca de tiempo de un CAPTCHA o desafío. La configuración del paquete de protección (ACL web) la heredan todas las reglas que no tienen configurados sus propios ajustes de tiempo de inmunidad y también se heredan de la integración de la aplicación SDKs. Para obtener más información, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).
+ **Dominios simbólicos**: de forma predeterminada, solo AWS WAF acepta los tokens del dominio del recurso al que está asociado el paquete de protección (ACL web). Si configura una lista de dominios simbólicos, AWS WAF acepta los tokens de todos los dominios de la lista y del dominio del recurso asociado. Para obtener más información, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists).
# Ver las métricas de tráfico web en AWS WAF
En esta sección se explica cómo acceder a los resúmenes de las métricas de tráfico web.
Para cualquier paquete de protección (ACL web) que utilice, puede acceder a los resúmenes de las métricas de tráfico web en la página del paquete de protección (ACL web) de la AWS WAF consola, en la pestaña **Descripción general del tráfico**. Los paneles de la consola proporcionan resúmenes casi en tiempo real de las CloudWatch métricas de Amazon que AWS WAF recopila cuando evalúa el tráfico web de tu aplicación. Para obtener más información acerca de los paneles, consulte [Paneles de información general sobre el tráfico para paquetes de protección (web ACLs)](web-acl-dashboards.md). Para obtener información adicional sobre la supervisión del tráfico del paquete de protección (ACL web), consulte [Supervisión y ajuste de sus AWS WAF protecciones](web-acl-testing-activities.md).
# Cómo eliminar un paquete de protección (ACL web)
En esta sección se proporcionan los procedimientos para eliminar paquetes de protección (web ACLs) a través de la AWS consola.
**importante**
La eliminación de un paquete de protección (ACL web) es permanente y no se puede deshacer.
Para eliminar un paquete de protección (ACL web), primero debe desasociar todos los AWS recursos del paquete de protección (ACL web). Realice el siguiente procedimiento.
------
#### [ Using the new console ]
1. Inicie sesión en el nuevo archivo Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro).
1. En el panel de navegación, selecciona **Recursos y paquetes de protección** (web). ACLs
1. En la tarjeta del paquete de protección (ACL web), seleccione el enlace **Editar** situado junto a **Recursos** para abrir el panel **Administrar recursos**.
1. En la sección **Administrar recursos** del grupo de reglas, elija el recurso que desee desasociar y, luego, elija **Desasociar**.
**nota**
Debe desasociar un recurso a la vez. No elija varios recursos.
1. En la página de confirmación, escriba “desasociar” y, a continuación, seleccione **Desasociar**. Repita este procedimiento para desasociar cada recurso del paquete de protección (ACL web).
1. Elija el paquete de protección (ACL web) que desea eliminar. La consola permite editar la tarjeta del paquete de protección (ACL web) principal y también abre un panel lateral con detalles que puede editar.
1. En el panel de detalles, elija el icono de la papelera.
1. En el cuadro de confirmación, ingrese «Eliminar» y, a continuación, elija **Eliminar**.
------
#### [ Using the standard console ]
1. Inicie sesión en Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. **En el panel de navegación, selecciona web. ACLs**
1. Seleccione el nombre de la ACL web que desea eliminar. La consola le lleva a la descripción de la ACL web, donde puede editarla.
**nota**
Si no ve la ACL web que desea eliminar, asegúrese de que la región seleccionada en la ACLs sección web sea correcta. Todas las webs ACLs que protegen CloudFront las distribuciones de Amazon están en **Global (CloudFront).**
1. En la pestaña ** AWS Recursos asociados**, para cada recurso asociado, selecciona el botón de radio situado junto al nombre del recurso y, a continuación, selecciona **Desasociar**. Esto disocia el paquete de protección (ACL web) de sus AWS recursos.
1. En el panel de navegación, elija **web ACLs**.
1. Seleccione el botón de opción situado junto a la ACL web que va a eliminar y, a continuación, elija **Delete (Eliminar)**.
------