Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli del Security Hub per Elastic Load Balancing

Questi AWS Security Hub controlli valutano il servizio e le risorse Elastic Load Balancing.

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[ELB.1] Application Load Balancer deve essere configurato per HTTP reindirizzare tutte le richieste a HTTPS

Requisiti correlati: PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3) NIST.800-53.r5 AC-4, 3, 3 NIST.800-53.r5 IA-5 (3), 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 .800-53.r5 NIST.800-53.r5 SC-8 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8 NIST

Categoria: Rilevamento > Servizi di rilevamento

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : alb-http-to-https-redirection-check

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se il HTTP HTTPS reindirizzamento è configurato su tutti i HTTP listener di Application Load Balancers. Il controllo ha esito negativo se non è necessario configurare il reindirizzamento per nessuno dei HTTP listener di Application Load Balancers. HTTP HTTPS

Prima di iniziare a utilizzare Application Load Balancer, è necessario aggiungere uno o più listener. Un listener è un processo che utilizza il protocollo e la porta configurati per verificare la presenza di richieste di connessione. I listener supportano entrambi i protocolli and. HTTP HTTPS È possibile utilizzare un HTTPS listener per affidare il lavoro di crittografia e decrittografia al sistema di bilanciamento del carico. Per applicare la crittografia in transito, è necessario utilizzare le azioni di reindirizzamento con Application Load Balancers per reindirizzare le richieste dei client a una richiesta sulla porta 443. HTTP HTTPS

Per ulteriori informazioni, consulta Listeners for your Application Load Balancers nella User Guide for Application Load Balancers.

Correzione

Per reindirizzare HTTP le richieste aHTTPS, è necessario aggiungere una regola listener Application Load Balancer o modificare una regola esistente.

Per istruzioni sull'aggiunta di una nuova regola, consulta Aggiungere una regola nella Guida per l'utente di Application Load Balancers. Per Protocollo: Porta, scegliete HTTP, quindi immettete. 80 In Aggiungi azione, Reindirizza a HTTPS, scegli e quindi inserisci443.

Per istruzioni sulla modifica di una regola esistente, consulta Modificare una regola nella Guida utente di Application Load Balancers. Per Protocollo: Porta, scegliete HTTP, quindi immettete. 80 In Aggiungi azione, Reindirizza a HTTPS, scegli e quindi inserisci443.

[ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager

Requisiti correlati: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 3 (5), (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

Regola AWS Config : elb-acm-certificate-required

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il Classic Load Balancer utilizza i SSL certificatiHTTPS/forniti da AWS Certificate Manager ()ACM. Il controllo fallisce se il Classic Load Balancer configurato conHTTPS/SSLlistener non utilizza un certificato fornito da. ACM

Per creare un certificato, puoi utilizzare uno dei due ACM o uno strumento che supporti i TLS protocolli SSL and, come Open. SSL Security Hub consiglia di ACM utilizzarlo per creare o importare certificati per il sistema di bilanciamento del carico.

ACMsi integra con Classic Load Balancers in modo da poter distribuire il certificato sul sistema di bilanciamento del carico. È inoltre necessario rinnovare automaticamente questi certificati.

Correzione

Per informazioni su come associare un TLS certificato ACMSSL/a un Classic Load Balancer, consulta l'articolo del AWS Knowledge Center Come posso associare un TLS certificato ACMSSL/a un Classic, Application o Network Load Balancer?

[ELB.3] I listener Classic Load Balancer devono essere configurati con o terminazione HTTPS TLS

Requisiti correlati: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

Regola AWS Config : elb-tls-https-listeners-only

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i listener Classic Load Balancer sono configurati con HTTPS o con un TLS protocollo per le connessioni front-end (da client a load balancer). Il controllo è applicabile se un Classic Load Balancer dispone di ascoltatori. Se il Classic Load Balancer non dispone di un listener configurato, il controllo non riporta alcun risultato.

Il controllo passa se i listener Classic Load Balancer sono configurati con TLS o HTTPS per connessioni front-end.

Il controllo fallisce se il listener non è configurato con TLS o per connessioni front-end. HTTPS

Prima di iniziare a utilizzare un sistema di bilanciamento del carico, è necessario aggiungere uno o più listener. Un listener è un processo che utilizza il protocollo e la porta configurati per verificare la presenza di richieste di connessione. Gli ascoltatori possono supportare entrambi i protocolli HTTP e HTTPS /. TLS È necessario utilizzare sempre un TLS listener HTTPS or, in modo che il load balancer esegua il lavoro di crittografia e decrittografia in transito.

Correzione

Per risolvere questo problema, aggiorna i tuoi ascoltatori all'utilizzo del protocollo or. TLS HTTPS

[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide

Requisiti correlati: NIST.800-53.r5 SC-7 (4), (2) NIST.800-53.r5 SC-8

Categoria: Proteggi > Sicurezza di rete

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : alb-http-drop-invalid-header-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo valuta se un Application Load Balancer è configurato per eliminare HTTP le intestazioni non valide. Il controllo ha esito negativo se il valore di routing.http.drop_invalid_header_fields.enabled è impostato su. false

Per impostazione predefinita, gli Application Load Balancer non sono configurati per eliminare valori di intestazione non validiHTTP. La rimozione di questi valori di intestazione previene gli attacchi di desincronizzazione. HTTP

Correzione

Per risolvere questo problema, configura il sistema di bilanciamento del carico in modo da eliminare i campi di intestazione non validi.

[ELB.5] La registrazione di Application e Classic Load Balancers deve essere abilitata

Requisiti correlati: NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)

Categoria: Identificazione > Registrazione

Gravità: media

AWS::ElasticLoadBalancing::LoadBalancerTipo di risorsa:, AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : elb-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se l'Application Load Balancer e il Classic Load Balancer hanno la registrazione abilitata. Se lo è, il controllo fallisce. access_logs.s3.enabled false

Elastic Load Balancing fornisce log di accesso che acquisiscono informazioni dettagliate sulle richieste inviate al tuo load balancer. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. Puoi utilizzare questi log per analizzare i modelli di traffico e risolvere i problemi che potresti incontrare.

Per ulteriori informazioni, consulta i registri di accesso per il tuo Classic Load Balancer nella Guida per l'utente dei Classic Load Balancer.

Correzione

Per abilitare i log di accesso, consulta la Fase 3: Configurazione dei log di accesso nella Guida utente per Application Load Balancers.

[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : elb-deletion-protection-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'applicazione, un gateway o un Network Load Balancer ha la protezione da eliminazione abilitata. Il controllo ha esito negativo se la protezione da eliminazione è disattivata.

Abilita la protezione dall'eliminazione per proteggere l'applicazione, il gateway o il Network Load Balancer dall'eliminazione.

Correzione

Per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente, è possibile abilitare la protezione da eliminazione. Per impostazione predefinita, la protezione da eliminazioni è disabilitata nel sistema di bilanciamento del carico.

Se si abilita la protezione da eliminazione per il sistema di bilanciamento del carico, è necessario disabilitare la protezione da eliminazione prima di poter eliminare il sistema di bilanciamento del carico.

Per abilitare la protezione da eliminazione per un Application Load Balancer, vedere Protezione da eliminazione nella User Guide for Application Load Balancer. Per abilitare la protezione da eliminazione per un Gateway Load Balancer, vedere Protezione da eliminazione nella Guida utente di Gateway Load Balancer. Per abilitare la protezione da eliminazione per un Network Load Balancer, vedere Protezione da eliminazione nella Guida dell'utente per Network Load Balancer.

[ELB.7] I Classic Load Balancer devono avere abilitato il drenaggio della connessione

Requisiti correlati: NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST

Categoria: Recupero > Resilienza

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config regola: elb-connection-draining-enabled (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i Classic Load Balancer hanno abilitato il drenaggio della connessione.

L'abilitazione del drenaggio della connessione sui Classic Load Balancer garantisce che il sistema di bilanciamento del carico interrompa l'invio di richieste alle istanze che non sono registrate o non sono funzionanti. Mantiene aperte le connessioni esistenti. Ciò è particolarmente utile per le istanze nei gruppi di Auto Scaling, per garantire che le connessioni non vengano interrotte bruscamente.

Correzione

Per abilitare il drenaggio della connessione sui Classic Load Balancer, consulta Configurare il drenaggio della connessione per Classic Load Balancer nella Guida dell'utente per Classic Load Balancer.

[ELB.8] I sistemi Classic Load Balancer con SSL listener devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config

Requisiti correlati: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

Regola AWS Config : elb-predefined-security-policy-ssl-check

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se i tuoi Classic Load BalancerHTTPS/SSLlistener utilizzano la politica predefinita. ELBSecurityPolicy-TLS-1-2-2017-01 Il controllo fallisce se i SSL listener Classic Load BalancerHTTPS/non lo utilizzano. ELBSecurityPolicy-TLS-1-2-2017-01

Una politica di sicurezza è una combinazione di SSL protocolli, cifrari e l'opzione Server Order Preference. Le policy predefinite controllano i codici, i protocolli e gli ordini di preferenza da supportare durante le SSL negoziazioni tra un client e un sistema di bilanciamento del carico.

L'utilizzo ELBSecurityPolicy-TLS-1-2-2017-01 può aiutarti a soddisfare gli standard di conformità e sicurezza che richiedono la disabilitazione di versioni specifiche di e. SSL TLS Per ulteriori informazioni, consulta Policy di SSL sicurezza predefinite per Classic Load Balancers nella Guida per l'utente di Classic Load Balancers.

Correzione

Per informazioni su come utilizzare la politica di sicurezza predefinita ELBSecurityPolicy-TLS-1-2-2017-01 con un Classic Load Balancer, consulta Configure security settings in User Guide for Classic Load Balancer.

[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

Regola AWS Config : elb-cross-zone-load-balancing-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il bilanciamento del carico tra zone è abilitato per Classic Load Balancers (). CLBs Il controllo fallisce se il bilanciamento del carico tra zone non è abilitato per a. CLB

Un nodo di bilanciamento del carico distribuisce il traffico solo tra le destinazioni registrate nella relativa zona di disponibilità. Se il bilanciamento del carico tra zone è disabilitato, ogni nodo del sistema di bilanciamento del carico distribuisce il traffico solo tra le destinazioni registrate nella sua zona di disponibilità. Se il numero di destinazioni registrate non è lo stesso nelle zone di disponibilità, il traffico non verrà distribuito in modo uniforme e le istanze in una zona potrebbero finire per essere utilizzate in modo eccessivo rispetto alle istanze in un'altra zona. Con il bilanciamento del carico tra zone abilitato, ogni nodo di load balancer per Classic Load Balancer distribuisce le richieste in modo uniforme tra le istanze registrate in tutte le zone di disponibilità abilitate. Per i dettagli, consulta il bilanciamento del carico tra zone nella Elastic Load Balancing User Guide.

Correzione

Per abilitare il bilanciamento del carico tra zone in un Classic Load Balancer, consulta Abilita il bilanciamento del carico tra zone nella Guida utente per Classic Load Balancer.

[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

Regola AWS Config : clb-multiple-az

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un Classic Load Balancer è stato configurato per coprire almeno il numero specificato di zone di disponibilità (). AZs Il controllo fallisce se il Classic Load Balancer non copre almeno il numero specificato di. AZs A meno che non si fornisca un valore di parametro personalizzato per il numero minimo diAZs, Security Hub utilizza un valore predefinito pari a dueAZs.

È possibile configurare un Classic Load Balancer per distribuire le richieste in entrata tra EC2 le istanze Amazon in una singola zona di disponibilità o più zone di disponibilità. Un Classic Load Balancer che non si estende su più zone di disponibilità non è in grado di reindirizzare il traffico verso destinazioni in un'altra zona di disponibilità se l'unica zona di disponibilità configurata non è disponibile.

Correzione

Per aggiungere zone di disponibilità a un Classic Load Balancer, consulta Aggiungere o rimuovere sottoreti per il Classic Load Balancer nella Guida utente per Classic Load Balancer.

[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

Requisiti correlati: NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 .800-53.r5 CM-2 NIST

Categoria: Protezione > Protezione dei dati > Integrità dei dati

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : alb-desync-mode-check

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un Application Load Balancer è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa. Il controllo fallisce se un Application Load Balancer non è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa.

HTTPI problemi di desincronizzazione possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili all'avvelenamento della coda o della cache. A loro volta, queste vulnerabilità possono portare al furto di credenziali o all'esecuzione di comandi non autorizzati. Gli Application Load Balancer configurati con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa proteggono l'applicazione dai problemi di sicurezza che potrebbero essere causati da Desync. HTTP

Correzione

Per aggiornare la modalità di mitigazione della desincronizzazione di un Application Load Balancer, consulta la modalità di mitigazione Desync nella User Guide for Application Load Balancers.

[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : elbv2-multiple-az

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un Elastic Load Balancer V2 (Application, Network o Gateway Load Balancer) ha istanze registrate da almeno il numero specificato di zone di disponibilità (). AZs Il controllo fallisce se un Elastic Load Balancer V2 non ha istanze registrate almeno nel numero specificato di. AZs A meno che non si fornisca un valore di parametro personalizzato per il numero minimo diAZs, Security Hub utilizza un valore predefinito pari a dueAZs.

Elastic Load Balancing distribuisce automaticamente il traffico in entrata su più destinazioni, come EC2 istanze, contenitori e indirizzi IP, in una o più zone di disponibilità. Elastic Load Balancing ridimensiona il load balancer di volta in volta, in quanto il traffico in ingresso varia nel corso del tempo. Si consiglia di configurare almeno due zone di disponibilità per garantire la disponibilità dei servizi, poiché Elastic Load Balancer sarà in grado di indirizzare il traffico verso un'altra zona di disponibilità se una non è disponibile. La configurazione di più zone di disponibilità contribuirà a eliminare la presenza di un unico punto di errore per l'applicazione.

Correzione

Per aggiungere una zona di disponibilità a un Application Load Balancer, consulta Availability Zones for your Application Load Balancer nella User Guide for Application Load Balancer. Per aggiungere una zona di disponibilità a un Network Load Balancer, consulta Network Load Balancer nella User Guide for Network Load Balancer. Per aggiungere una zona di disponibilità a un Gateway Load Balancer, vedere Create a Gateway Load Balancer nella Guida utente per Gateway Load Balancer.

[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

Requisiti correlati: NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 .800-53.r5 CM-2 NIST

Categoria: Protezione > Protezione dei dati > Integrità dei dati

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancing::LoadBalancer

Regola AWS Config : clb-desync-mode-check

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un Classic Load Balancer è configurato con la modalità difensiva o la più rigorosa di mitigazione della desincronizzazione. Il controllo fallisce se il Classic Load Balancer non è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa.

HTTPI problemi di desincronizzazione possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili all'avvelenamento della coda o della cache. A loro volta, queste vulnerabilità possono portare al dirottamento delle credenziali o all'esecuzione di comandi non autorizzati. I Classic Load Balancer configurati con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa proteggono l'applicazione dai problemi di sicurezza che potrebbero essere causati da Desync. HTTP

Correzione

Per aggiornare la modalità di mitigazione della desincronizzazione su un Classic Load Balancer, consulta Modify desync mitigation mode nella User Guide for Classic Load Balancer.

[ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

Requisiti correlati: NIST.800-53.r5 AC-4 (21)

Categoria: Proteggi > Servizi di protezione

Gravità: media

Tipo di risorsa: AWS::ElasticLoadBalancingV2::LoadBalancer

Regola AWS Config : alb-waf-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un Application Load Balancer è associato a una lista di controllo degli accessi AWS WAF classica o AWS WAF web (webACL). Il controllo fallisce se il Enabled campo per la AWS WAF configurazione è impostato false su.

AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web e APIs dagli attacchi. Con AWS WAF, puoi configurare un WebACL, ovvero un insieme di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili da te definite. Ti consigliamo di associare l'Application Load Balancer a AWS WAF un ACL Web per proteggerlo da attacchi dannosi.

Correzione

Per associare un Application Load Balancer a un WebACL, consulta Associating or dissociating a Web ACL with an AWS resource nella Developer Guide.AWS WAF