AWS App Runner dejará de estar abierto a nuevos clientes a partir del 30 de abril de 2026. Si quieres usar App Runner, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cambio en la disponibilidad de AWS App Runner](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html).

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Administrar la AWS WAF web ACLs
<a name="waf-manage"></a>

Administre la AWS WAF web ACLs para su servicio de App Runner mediante uno de los siguientes métodos:
+ [Consola de App Runner](#waf-manage.console)
+ [AWS CLI](#waf-manage.api)

## Consola de App Runner
<a name="waf-manage.console"></a>

Al [crear un servicio](manage-create.md) o [actualizar uno existente](manage-configure.md) en la consola de App Runner, puede asociar o desasociar una ACL AWS WAF web. 

**nota**  
Un servicio de App Runner solo se puede asociar a una ACL web. Sin embargo, puede asociar una ACL web a más de un servicio de App Runner, además de otros AWS recursos. 
Antes de asociar una ACL web, asegúrese de actualizar sus permisos de IAM para AWS WAF. Para obtener más información, consulte [Permisos de ](waf.md#waf.permissions).. 

### Asociar una ACL web AWS WAF
<a name="waf-manage.console.add"></a>

**importante**  
Las reglas de IP de origen para los servicios privados de App Runner que están asociados a la web de WAF ACLs *no cumplen con las reglas basadas en IP*. Esto se debe a que actualmente no admitimos el reenvío de los datos IP de origen de las solicitudes a los servicios privados de App Runner asociados a WAF. Si tu aplicación App Runner requiere reglas de control de tráfico entrante IP/CIDR de origen, debes usar reglas de [grupos de seguridad para los puntos finales privados](network-pl-manage.md) en lugar de usar el WAF web. ACLs

**Para asociar una ACL web AWS WAF**

1. Abre la [consola de App Runner](https://console.aws.amazon.com/apprunner) y, en la lista de **regiones**, selecciona la tuya Región de AWS.

1. En función de si va a crear o actualizar un servicio, lleve a cabo uno de los siguientes pasos:
   + Si va a crear un servicio nuevo, elija **Crear un servicio de App Runner** y vaya a **Configurar el servicio**.
   + Si va a actualizar un servicio existente, seleccione la pestaña **Configuración** y, a continuación, elija **Editar** en **Configurar servicio**.

1. Ve al **firewall de aplicaciones web** en **Seguridad**. 

1. Pulse el botón **Activar** para ver las opciones.   
![\[El diseño de la consola de App Runner, que muestra las opciones del firewall de aplicaciones web.\]](http://docs.aws.amazon.com/es_es/apprunner/latest/dg/images/console-waf.png)

1. Lleve a cabo uno de los siguientes pasos: 
   + **Para asociar una ACL web existente**: elija la ACL web requerida en la tabla **Elija una ACL web** para asociarla a su servicio de App Runner.
   + **Para crear una nueva ACL web**: seleccione **Crear ACL web** para crear una nueva ACL web mediante la AWS WAF consola. Para obtener más información, consulte [Creación de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-creating.html) en la *Guía para AWS WAF desarrolladores*. 

     1. Pulse el botón de actualización para ver la ACL web recién creada en la tabla **Elija una ACL web**. 

     1. Seleccione la ACL web requerida. 

1. Seleccione **Siguiente** si va a crear un servicio nuevo o **Guardar cambios** si va a actualizar un servicio existente. La ACL web seleccionada está asociada a tu servicio App Runner. 

1. Para verificar la asociación de la ACL web, elija la pestaña **Configuración** del servicio y vaya a **Configurar el servicio**. **Diríjase al firewall de aplicaciones web** en **Seguridad** para ver los detalles de la ACL web asociada a su servicio. 
**nota**  
Al crear una ACL web, pasa un tiempo hasta que la ACL web se propague por completo y esté disponible para App Runner. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. AWS WAF devuelve a `WAFUnavailableEntityException` cuando intenta asociar una ACL web antes de que se haya propagado por completo.   
Si actualizas el navegador o sales de la consola de App Runner antes de que la ACL web se propague por completo, la asociación no se produce. Sin embargo, puedes navegar dentro de la consola de App Runner.

### Desasociar una ACL web AWS WAF
<a name="waf-manage.console.disassociate"></a>

Puedes desasociar los AWS WAF sitios web ACl que ya no necesites [actualizando](manage-configure.md) tu servicio App Runner. 

**Para desasociar una web AWS WAF ACl**

1. Abre la [consola de App Runner](https://console.aws.amazon.com/apprunner) y, en la lista de **regiones**, selecciona la tuya Región de AWS.

1. Ve a la pestaña **Configuración** del servicio que deseas actualizar y selecciona **Editar** en **Configurar servicio**. 

1. Vaya al **firewall de aplicaciones web** en **Seguridad**. 

1. **Desactive** el botón de activación. Recibirás un mensaje para confirmar la eliminación.

1. Elija **Confirmar**. La ACL web está disociada del servicio App Runner. 
**nota**  
Si desea asociar su servicio a otra ACL web, seleccione una ACL web en la tabla **Elija una ACL web**. App Runner desasocia la ACL web actual e inicia el proceso de asociación con la ACL web seleccionada. 
Si ningún otro servicio o recurso de App Runner utiliza una ACL web disociada, considere eliminar la ACL web. De lo contrario, seguirá incurriendo en gastos. Para obtener más información sobre los precios, consulte [Precios de AWS WAF](https://aws.amazon.com/waf/pricing). Para obtener instrucciones sobre cómo eliminar una ACL web, consulte la [DeleteWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteWebACL.html) en la *referencia de la AWS WAF API*. 
No puedes eliminar una ACL web que esté asociada a otros servicios activos de App Runner u otros recursos. 

## AWS CLI
<a name="waf-manage.api"></a>

Puede asociar o desasociar una ACL AWS WAF web mediante la AWS WAF pública APIs. El servicio App Runner, con el que desea asociar o desasociar una ACL web, debe estar en un estado válido.

AWS WAF devuelve un `WAFNonexistentItemException` error cuando llamas a una de las siguientes opciones AWS WAF APIs para un servicio de App Runner que se encuentra en un estado no válido: 
+  `AssociateWebACL` 
+  `DisassociateWebACL` 
+  `GetWebACLForResource` 

Los estados no válidos de tu servicio App Runner incluyen:
+  `CREATE_FAILED` 
+  `DELETE_FAILED` 
+  `DELETED` 
+  `OPERATION_IN_PROGRESS ` 
**nota**  
`OPERATION_IN_PROGRESS`el estado no es válido solo si se va a eliminar tu servicio de App Runner. 

Para obtener más información sobre el uso AWS WAF público APIs, consulta la [https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).

**nota**  
Actualice sus permisos de IAM para AWS WAF. Para obtener más información, consulte [Permisos de ](waf.md#waf.permissions).. 

### Asociar una ACL AWS WAF web mediante AWS CLI
<a name="waf-manage.api.add"></a>

**importante**  
Las reglas de IP de origen para los servicios privados de App Runner que están asociados a la web de WAF ACLs *no cumplen con las reglas basadas en IP*. Esto se debe a que actualmente no admitimos el reenvío de los datos IP de origen de las solicitudes a los servicios privados de App Runner asociados a WAF. Si tu aplicación App Runner requiere reglas de control de tráfico entrante IP/CIDR de origen, debes usar reglas de [grupos de seguridad para los puntos finales privados](network-pl-manage.md) en lugar de usar el WAF web. ACLs

**Para asociar una ACL web AWS WAF**

1. Cree una ACL AWS WAF web para su servicio con el conjunto preferido de acciones de reglas `Allow` o `Block` las solicitudes web a su servicio. Para obtener más información AWS WAF APIs, consulte la [CreateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateWebACL.html) en la *Guía de referencia de la AWS WAF API*.  
**Example Crear una ACL web: solicitud**  

   ```
   aws wafv2
   create-web-acl
   --region <region>
   --name <web-acl-name>
   --scope REGIONAL
   --default-action Allow={}
   --visibility-config <file-name.json>
   # This is the file containing the WAF web ACL rules.
   ```

1. Asocie la ACL web que creó al servicio App Runner mediante la API `associate-web-acl` AWS WAF pública. Para obtener más información AWS WAF APIs, consulte la [AssociateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociateWebACL.html) en la *Guía de referencia de la AWS WAF API*.
**nota**  
Al crear una ACL web, pasa un tiempo hasta que la ACL web se propague por completo y esté disponible para App Runner. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. AWS WAF devuelve a `WAFUnavailableEntityException` cuando intenta asociar una ACL web antes de que se haya propagado por completo.   
Si actualizas el navegador o sales de la consola de App Runner antes de que la ACL web se propague por completo, la asociación no se produce. Sin embargo, puedes navegar dentro de la consola de App Runner.  
**Example Asociar una ACL web: solicitud**  

   ```
   aws wafv2 associate-web-acl
   --resource-arn <apprunner_service_arn>
   --web-acl-arn <web_acl_arn>
   --region <region>
   ```

1. Comprueba que la ACL web esté asociada a tu servicio de App Runner mediante la API `get-web-acl-for-resource` AWS WAF pública. Para obtener más información AWS WAF APIs, consulte el [GetWebACLForrecurso](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetWebACLForResource.html) en la *Guía de referencia de la AWS WAF API*.   
**Example Verifique la ACL web para ver el recurso: solicitud**  

   ```
   aws wafv2 get-web-acl-for-resource
   --resource-arn <apprunner_service_arn>
   --region <region>
   ```

   Si no hay ninguna web ACLs asociada a su servicio, recibirá una respuesta en blanco.

### Eliminar una ACL AWS WAF web mediante AWS CLI
<a name="waf-manage.api.disassociate"></a>

No puedes eliminar una ACL AWS WAF web si está asociada a un servicio de App Runner.

**Para eliminar una ACL AWS WAF web**

1. Desasocie la ACL web de su servicio de App Runner mediante la API `disassociate-web-acl` AWS WAF pública. Para obtener más información AWS WAF APIs, consulte la [DisassociateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_DisassociateWebACL.html) en la *Guía de referencia AWS WAF de la API*.   
**Example Desasociar una ACL web: solicitud**  

   ```
   aws wafv2 disassociate-web-acl
   --resource-arn <apprunner_service_arn>
   --region <region>
   ```

1. Comprueba que la ACL web esté desasociada del servicio de App Runner mediante la `get-web-acl-for-resource` AWS WAF API pública.   
**Example Compruebe que la ACL web esté disociada: solicitud**  

   ```
   aws wafv2 get-web-acl-for-resource
   --resource-arn <apprunner_service_arn>
   --region <region>
   ```

   La ACL web disociada no aparece en la lista de tu servicio App Runner. Si no hay ninguna web ACLs asociada a su servicio, recibirá una respuesta en blanco.

1. Elimine la ACL web disociada mediante la API `delete-web-acl` AWS WAF pública. Para obtener más información al respecto AWS WAF APIs, consulte la [DeleteWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteWebACL.html) en la *Guía de referencia de la AWS WAF API*.  
**Example Eliminar una ACL web: solicitud**  

   ```
   aws wafv2 delete-web-acl
   --name <web_acl_name>
   --scope REGIONAL
   --id <web_acl_id>
   --lock-token <web_acl_lock_token>
   --region <region>
   ```

1. Verifique que la ACL web se elimine mediante la API `list-web-acl` AWS WAF pública. Para obtener más información al respecto AWS WAF APIs, consulte [ListWebACLs](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListWebACLs.html)la *Guía de referencia de la AWS WAF API*.  
**Example Compruebe que se haya eliminado la ACL web: solicitud**  

   ```
   aws wafv2 list-web-acls 
   --scope REGIONAL
   --region <region>
   ```

   La ACL web eliminada ya no aparece en la lista.
**nota**  
Si una ACL web está asociada a otros servicios activos de App Runner u otros recursos, como los grupos de usuarios de Amazon Cognito, la ACL web no se puede eliminar. 

### Lista de los servicios de App Runner que están asociados a una ACL web
<a name="waf-manage.api.list"></a>

Una ACL web se puede asociar a varios servicios de App Runner y a otros recursos. Enumere los servicios de App Runner asociados a una ACL web mediante la API `list-resources-for-web-acl` AWS WAF pública. Para obtener más información AWS WAF APIs, consulte la [ListResourcesForWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListResourcesForWebACL.html) en la *Guía de referencia de la AWS WAF API*. 

**Example Enumere los servicios de App Runner asociados a una ACL web: solicitud**  

```
aws wafv2 list-resources-for-web-acl
--web-acl-arn <WEB_ACL_ARN>
--resource-type APP_RUNNER_SERVICE
--region <REGION>
```

**Example Listar los servicios de App Runner asociados a una ACL web: Respuesta**  
El siguiente ejemplo ilustra la respuesta cuando no hay servicios de App Runner asociados a una ACL web.  

```
{
  "ResourceArns": []
}
```

**Example Enumere los servicios de App Runner asociados a una ACL web: Respuesta**  
El siguiente ejemplo ilustra la respuesta cuando hay servicios de App Runner asociados a una ACL web.  

```
{
  "ResourceArns": [
    "arn:aws:apprunner:<region>:<aws_account_id>:service/<service_name>/<service_id>"
  ]
}
```

## Probar y registrar la AWS WAF web ACLs
<a name="waf-manage.testing-and-logging"></a>

Cuando estableces una acción de regla como **Contar** en tu ACL web, AWS WAF agrega la solicitud a un recuento de solicitudes que coinciden con la regla. Para probar una ACL web con tu servicio de App Runner, establece las acciones de la regla en **Count** y considera el volumen de solicitudes que coinciden con cada regla. Por ejemplo, estableces una regla para la `Block` acción que coincide con un gran número de solicitudes que consideras tráfico de usuarios normal. En ese caso, es posible que tengas que volver a configurar la regla. Para obtener más información, consulta [Probar y ajustar tus AWS WAF protecciones](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html) en la *Guía para AWS WAF desarrolladores*. 

También puede configurarlo AWS WAF para registrar los encabezados de las solicitudes en un grupo de CloudWatch registros de Amazon Logs, un bucket de Amazon Simple Storage Service (Amazon S3) o un Amazon Data Firehose. Para obtener más información, consulte [Registro del tráfico de la ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html) en la *Guía para desarrolladores de AWS WAF *. 

Para acceder a los registros relacionados con la ACL web asociada a su servicio App Runner, consulte los siguientes campos de registro: 
+ `httpSourceName`: Contiene `APPRUNNER` 
+ `httpSourceId`: Contiene `customeraccountid-apprunnerserviceid`

Para obtener más información, consulte los [ejemplos de registro](https://docs.aws.amazon.com/waf/latest/developerguide/logging-examples.html) en la *Guía para AWS WAF desarrolladores*. 

**importante**  
Las reglas de IP de origen para los servicios privados de App Runner que están asociados *a la web de WAF ACLs no cumplen con las reglas basadas en IP*. Esto se debe a que actualmente no admitimos el reenvío de los datos IP de origen de las solicitudes a los servicios privados de App Runner asociados a WAF. Si tu aplicación App Runner requiere reglas de control de tráfico entrante IP/CIDR de origen, debes usar reglas de [grupos de seguridad para los puntos finales privados](network-pl-manage.md) en lugar de usar el WAF web. ACLs