**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced
<a name="ddos-automatic-app-layer-response"></a>

**nota**  
A partir del 26 de marzo de 2026, el DDo Anti-S Managed Rule Group (Anti-DDoS AMR) pasará a AWS WAF ser la solución predeterminada de protección contra los ataques por inundación de solicitudes HTTP (consulte el blog de lanzamiento de [DDoAnti-S AMR](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/)). Sustituye a la función de mitigación automática de nivel 7 (L7AM). Si ya es cliente de Shield Advanced, puede seguir utilizando la solución antigua con AWS cuentas nuevas o existentes. Sin embargo, le recomendamos que adopte el grupo de reglas gestionadas contra DDo S. El grupo de reglas gestionadas DDo Anti-S detecta y mitiga los ataques en cuestión de segundos en lugar de minutos. Si es un cliente nuevo de Shield Advanced y necesita acceso a la solución anterior, póngase en contacto con AWS Support.

En esta página se presenta el tema de la mitigación automática de la capa DDo S de aplicación y se enumeran las advertencias asociadas.

Puede configurar Shield Avanzado para que responda automáticamente y mitigue los ataques de capa de aplicación (capa 7) contra recursos protegidos de la capa de aplicaciones mediante el conteo o el bloqueo de las solicitudes web que formen parte del ataque. Esta opción es una adición a la protección de la capa de aplicación que se agrega a través de Shield Advanced con una ACL AWS WAF web y su propia regla basada en la tasa. 

Cuando la mitigación automática está habilitada para un recurso, Shield Avanzado mantiene un grupo de reglas en la ACL web asociada al recurso, donde administra las reglas de mitigación en su nombre. El grupo de reglas contiene una regla basada en la velocidad que rastrea el volumen de solicitudes de direcciones IP que se sabe que son fuentes de ataques DDo S. 

Además, Shield Advanced compara los patrones de tráfico actuales con las líneas de base de tráfico históricas para detectar desviaciones que puedan indicar un ataque DDo S. Shield Advanced responde a los ataques DDo S detectados mediante la creación, evaluación e implementación de AWS WAF reglas personalizadas adicionales en el grupo de reglas. 

## Advertencias sobre el uso de la mitigación automática de la capa DDo S de aplicación
<a name="ddos-automatic-app-layer-response-caveats"></a>

La siguiente lista describe las advertencias de la mitigación automática de la capa DDo S de aplicaciones de Shield Advanced y describe los pasos que puede tomar en respuesta.
+ La mitigación automática de la capa DDo S de aplicaciones solo funciona con los paquetes de protección (web ACLs) que se crearon con la última versión de AWS WAF (v2). 
+ Shield Avanzado necesita tiempo para establecer una línea de referencia del tráfico normal e histórico de la aplicación, que aprovecha para detectar y aislar el tráfico de ataque del tráfico normal, a fin de mitigar el tráfico de ataques. El tiempo necesario para establecer una línea de referencia es de 24 horas a 30 días a partir del momento en que se asocia una ACL web al recurso de aplicación protegido. Para obtener más información acerca de las líneas de referencia de tráfico, consulte [Lista de factores que afectan a la detección y mitigación de eventos de la capa de aplicación con Shield Avanzado](ddos-app-layer-detection-mitigation.md).
+ Al habilitar la mitigación automática de la capa DDo S de aplicaciones, se agrega un grupo de reglas al paquete de protección (ACL web) que utiliza 150 unidades de capacidad de ACL web (WCUs). Esto se WCUs descuenta del uso de la WCU en su paquete de protección (ACL web). Para obtener más información, consulte [Protección de la capa de aplicaciones con el grupo de reglas de Shield Avanzado](ddos-automatic-app-layer-response-rg.md) y [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md).
+ El grupo de reglas Shield Advanced genera AWS WAF métricas, pero no se pueden ver. Esto es igual que para cualquier otro grupo de reglas que utilice en su paquete de protección (ACL web) pero que no sea de su propiedad, como los grupos de reglas de reglas AWS administradas. Para obtener más información sobre AWS WAF las métricas, consulte[AWS WAF métricas y dimensiones](waf-metrics.md). Para obtener información acerca de esta opción de protección de Shield Avanzado, consulte [Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced](#ddos-automatic-app-layer-response). 
+ En el caso de sitios web ACLs que protegen varios recursos, la mitigación automática solo implementa mitigaciones personalizadas que no afectan negativamente a ninguno de los recursos protegidos. 
+ El tiempo que transcurre entre el inicio de un ataque DDo S y el momento en que Shield Advanced aplica reglas de mitigación automática personalizadas varía según el evento. Es posible que algunos ataques DDo S finalicen antes de que se implementen las reglas personalizadas. Otros ataques pueden producirse cuando ya existe una mitigación y, por lo tanto, podrían mitigarse con esas reglas desde el inicio del evento. Además, las reglas basadas en tasas del grupo de reglas ACL web y Shield Avanzado pueden mitigar el tráfico de ataques antes de que se detecte como un posible evento. 
+ En el caso de los balanceadores de carga de aplicaciones que reciben tráfico a través de una red de entrega de contenido (CDN), como Amazon CloudFront, se reducirán las capacidades de mitigación automática de la capa de aplicaciones de Shield Advanced para esos recursos del Application Load Balancer. Shield Advanced utiliza los atributos de tráfico del cliente para identificar y aislar el tráfico de ataque del tráfico normal hacia su aplicación, y no CDNs puede conservar ni reenviar los atributos de tráfico del cliente originales. Si lo usa CloudFront, le recomendamos que habilite la mitigación automática en la CloudFront distribución.
+ La mitigación automática de la capa de aplicación DDo S no interactúa con los grupos de protección. Puede habilitar la mitigación automática para los recursos que se encuentran en grupos de protección, pero Shield Avanzado no aplica automáticamente mitigaciones de ataques en función de los resultados de los grupos de protección. Shield Avanzado aplica mitigaciones de ataque automáticas a recursos individuales.

**Contents**
+ [Advertencias sobre el uso de la mitigación automática de la capa DDo S de aplicación](#ddos-automatic-app-layer-response-caveats)
+ [Mejores prácticas para utilizar la mitigación automática de la capa DDo S de aplicación](ddos-automatic-app-layer-response-bp.md)
+ [Habilitación de la mitigación automática de la capa DDo S de aplicación](ddos-automatic-app-layer-response-config.md)
  + [Qué ocurre cuando se habilita la mitigación automática](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Cómo administra Shield Avanzado la mitigación automática](ddos-automatic-app-layer-response-behavior.md)
  + [Cómo responde Shield Advanced a los ataques DDo S con mitigación automática](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
  + [Cómo Shield Avanzado administra la configuración de acciones de las reglas](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
  + [Cómo administra Shield Avanzado las mitigaciones cuando un ataque remite](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
  + [Qué ocurre cuando se deshabilita la mitigación automática](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [Protección de la capa de aplicaciones con el grupo de reglas de Shield Avanzado](ddos-automatic-app-layer-response-rg.md)
+ [Visualización de la configuración de mitigación automática de la capa DDo S de aplicación para un recurso](view-automatic-app-layer-response-configuration.md)
+ [Activación y desactivación de la mitigación automática de la capa DDo S de aplicación](enable-disable-automatic-app-layer-response.md)
+ [Cambiar la acción utilizada para la mitigación automática de la capa DDo S de aplicación](change-action-of-automatic-app-layer-response.md)
+ [Uso AWS CloudFormation con mitigación automática de la capa DDo S de aplicación](manage-automatic-mitigation-in-cfn.md)

# Mejores prácticas para utilizar la mitigación automática de la capa DDo S de aplicación
<a name="ddos-automatic-app-layer-response-bp"></a>

Siga las instrucciones que se proporcionan en esta sección cuando utilice la mitigación automática.

**Administración de protecciones generales**  
Siga estas pautas para planificar e implementar sus protecciones de mitigación automática.
+ Administre todas sus protecciones de mitigación automática a través de Shield Advanced o, si las utiliza AWS Firewall Manager para administrar la configuración de mitigación automática de Shield Advanced, a través de Firewall Manager. No mezcle el uso de Shield Avanzado y Firewall Manager para administrar estas protecciones.
+ Administre recursos similares utilizando la misma configuración web ACLs y de protección, y administre recursos diferentes utilizando una web ACLs diferente. Cuando Shield Advanced mitiga un ataque DDo S a un recurso protegido, define las reglas para la ACL web asociada al recurso y, a continuación, las compara con el tráfico de todos los recursos asociados a la ACL web. Shield Avanzado solo aplicará las reglas si no afectan negativamente a ninguno de los recursos asociados. Para obtener más información, consulte [Cómo administra Shield Avanzado la mitigación automática](ddos-automatic-app-layer-response-behavior.md).
+ En el caso de los balanceadores de carga de aplicaciones que tienen todo su tráfico de Internet redirigido mediante proxy a través de una CloudFront distribución de Amazon, solo habilita la mitigación automática en la CloudFront distribución. La CloudFront distribución siempre tendrá la mayor cantidad de atributos de tráfico originales, que Shield Advanced aprovecha para mitigar los ataques. 

**Optimización de la detección y mitigación**  
Siga estas pautas para optimizar las protecciones que la mitigación automática proporciona a los recursos protegidos. Para obtener una descripción general de la detección y mitigación de la capa de aplicación, consulte [Lista de factores que afectan a la detección y mitigación de eventos de la capa de aplicación con Shield Avanzado](ddos-app-layer-detection-mitigation.md).
+ Configure la comprobación de estado de sus recursos protegidos y utilícelos para habilitar la detección basada en el estado en sus protecciones de Shield Avanzado. Para obtener instrucciones, consulte [Detección basada en el estado mediante comprobaciones de estado con Shield Avanzado y Route 53](ddos-advanced-health-checks.md).
+ Active la mitigación automática en el modo Count hasta que Shield Avanzado haya establecido una línea base para el tráfico normal e histórico. Shield Avanzado requiere de 24 horas a 30 días para establecer una referencia. 

  Para establecer una base de patrones de tráfico normales se requiere lo siguiente: 
  + La asociación de una ACL web con el recurso protegido. Puede utilizarla AWS WAF directamente para asociar su ACL web o puede hacer que Shield Advanced la asocie cuando active la protección de la capa de aplicaciones de Shield Advanced y especifique la ACL web que desee utilizar. 
  + Flujo de tráfico normal hacia su aplicación protegida. Si su aplicación no experimenta un tráfico normal, por ejemplo, antes de que se inicie, o si no cuenta con tráfico de producción durante períodos prolongados, no se podrán recopilar los datos históricos.

**Administración de ACL web**  
Siga estas pautas para administrar la web ACLs que utiliza con la mitigación automática.
+ Si necesita reemplazar la ACL web asociada al recurso protegido, realice los siguientes cambios en este orden: 

  1. En Shield Avanzado, active la mitigación automática. 

  1. En AWS WAF, desasocie la antigua ACL web y asocie la nueva ACL web. 

  1. En Shield Avanzado, active la mitigación automática. 

  Shield Avanzado no transfiere automáticamente la mitigación automática de la antigua ACL web a la nueva. 
+ No elimine ninguna regla de grupo de reglas de la web ACLs cuyo nombre comience por. `ShieldMitigationRuleGroup` Si elimina este grupo de reglas, deshabilite las protecciones que proporciona la mitigación automática de Shield Avanzado para cada recurso asociado a la ACL web. Además, Shield Avanzado puede tardar algún tiempo en recibir la notificación del cambio y actualizar su configuración. Durante este tiempo, las páginas de la consola de Shield Avanzado proporcionarán información incorrecta. 

  Para obtener más información acerca de este grupo de reglas, consulte [Protección de la capa de aplicaciones con el grupo de reglas de Shield Avanzado](ddos-automatic-app-layer-response-rg.md). 
+ No modifique el nombre de una regla del grupo de reglas que comience por `ShieldMitigationRuleGroup`. Si lo hace, puede interferir en las protecciones que proporciona la mitigación automática de Shield Avanzado a través de la ACL web. 
+ Al crear reglas y grupos de reglas, no utilice nombres que comiencen por `ShieldMitigationRuleGroup`. Shield Avanzado utiliza esta cadena para gestionar las mitigaciones automáticas. 
+ Al administrar sus reglas de ACL web, no asigne una configuración de prioridad de 10.000.000. Shield Avanzado asigna esta configuración de prioridad a su regla del grupo de reglas de mitigación automática cuando la agrega. 
+ Mantenga la prioridad de la regla `ShieldMitigationRuleGroup` en relación con las demás reglas de su ACL web para que se ejecute cuando desee. Shield Avanzado añade la regla del grupo de reglas a la ACL web con una prioridad de 10.000.000 para que se ejecute después de las demás reglas. Si usa el asistente de AWS WAF consola para administrar su ACL web, ajuste la configuración de prioridad según sea necesario después de agregar reglas a la ACL web. 
+ Si lo utiliza AWS CloudFormation para administrar su web ACLs, no necesita administrar la `ShieldMitigationRuleGroup` regla del grupo de reglas. Siga las instrucciones de [Uso AWS CloudFormation con mitigación automática de la capa DDo S de aplicación](manage-automatic-mitigation-in-cfn.md).

# Habilitación de la mitigación automática de la capa DDo S de aplicación
<a name="ddos-automatic-app-layer-response-config"></a>

Esta página explica cómo configurar Shield Avanzado para que responda automáticamente a ataques en la capa de aplicación.

Habilita la mitigación automática de Shield Advanced como parte de las protecciones de la capa DDo S de aplicación para su recurso. Para obtener información sobre cómo hacer esto con la consola, consulte [Configure las protecciones de la capa DDo S de aplicación](manage-protection.md#configure-app-layer-protection).

La función de mitigación automática requiere que haga lo siguiente:
+ **Asociar una ACL web al recurso**: esto se requiere para cualquier protección de la capa de aplicación de Shield Avanzado. Puede utilizar la misma ACL web para varios recursos. Recomendamos hacer esto solo para los recursos que tienen un tráfico similar. Para obtener información sobre la webACLs, incluidos los requisitos para utilizarla con varios recursos, consulte[Cómo AWS WAF funciona](how-aws-waf-works.md).
+ **Habilite y configure la mitigación automática de la capa DDo S de aplicaciones de Shield Advanced**: al habilitarla, especifique si desea que Shield Advanced bloquee o cuente automáticamente las solicitudes web que determine que forman parte de un ataque DDo S. Shield Advanced agrega un grupo de reglas a la ACL web asociada y lo usa para administrar dinámicamente su respuesta a los ataques DDo S al recurso. Para obtener información sobre las opciones de acción de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).
+ **(Opcional, pero recomendable) Añada una regla basada en la velocidad a la ACL web**: de forma predeterminada, la regla basada en la velocidad proporciona a su recurso una protección básica contra los ataques DDo S al evitar que cualquier dirección IP individual envíe demasiadas solicitudes en poco tiempo. Para obtener información sobre las reglas basadas en tasas, incluidas las opciones de agregación de solicitudes personalizadas y algunos ejemplos, consulte [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md).

## Qué ocurre cuando se habilita la mitigación automática
<a name="ddos-automatic-app-layer-response-enable"></a>

Al habilitar la mitigación automática, Shield Avanzado hace lo siguiente: 
+ **Según sea necesario, agrega un grupo de reglas para el uso avanzado de Shield**: si la ACL AWS WAF web que ha asociado al recurso aún no tiene una AWS WAF regla de grupo de reglas dedicada a la mitigación automática de la capa DDo S de aplicación, Shield Advanced agrega una. 

  El nombre del grupo de reglas comienza con `ShieldMitigationRuleGroup`. El grupo de reglas siempre contiene una regla denominada «basada en la velocidad»`ShieldKnownOffenderIPRateBasedRule`, que limita el volumen de solicitudes procedentes de direcciones IP que se sabe que son fuentes de ataques DDo tipo S. Para obtener información adicional sobre el grupo de reglas de Shield Avanzado y la regla ACL web en la que se referencia, consulte [Protección de la capa de aplicaciones con el grupo de reglas de Shield Avanzado](ddos-automatic-app-layer-response-rg.md).
+ **Comienza a responder a los ataques DDo S contra el recurso**: Shield Advanced responde automáticamente a los ataques DDo S del recurso protegido. Además de la regla basada en la velocidad, que siempre está presente, Shield Advanced usa su grupo de reglas para implementar AWS WAF reglas personalizadas para la mitigación de DDo los ataques S. Shield Avanzado adapta estas reglas a su aplicación y a los ataques que sufre, y las comprueba con el tráfico histórico del recurso antes de implementarlas. 

Shield Avanzado utiliza una única regla del grupo de reglas en cualquier ACL web que utilice para la mitigación automática. Si Shield Avanzado ya ha agregado el grupo de reglas para otro recurso protegido, no agrega un grupo de reglas adicional a la ACL web. 

La mitigación automática de la capa de aplicación DDo S depende de la presencia del grupo de reglas para mitigar los ataques. Si el grupo de reglas se elimina de la ACL AWS WAF web por algún motivo, la eliminación deshabilita la mitigación automática de todos los recursos asociados a la ACL web.

# Cómo administra Shield Avanzado la mitigación automática
<a name="ddos-automatic-app-layer-response-behavior"></a>

Los temas de esta sección describen cómo Shield Advanced gestiona los cambios de configuración para la mitigación automática de la capa DDo S de aplicación y cómo gestiona los ataques DDo S cuando la mitigación automática está habilitada. 

**Topics**
+ [Cómo responde Shield Advanced a los ataques DDo S con mitigación automática](#ddos-automatic-app-layer-response-ddos-attack)
+ [Cómo Shield Avanzado administra la configuración de acciones de las reglas](#ddos-automatic-app-layer-response-rule-action)
+ [Cómo administra Shield Avanzado las mitigaciones cuando un ataque remite](#ddos-automatic-app-layer-response-after-attack)
+ [Qué ocurre cuando se deshabilita la mitigación automática](#ddos-automatic-app-layer-response-disable)

## Cómo responde Shield Advanced a los ataques DDo S con mitigación automática
<a name="ddos-automatic-app-layer-response-ddos-attack"></a>

Cuando tiene habilitada la mitigación automática en un recurso protegido, la regla basada `ShieldKnownOffenderIPRateBasedRule` en la velocidad del grupo de reglas Shield Advanced responde automáticamente a los volúmenes de tráfico elevados procedentes de fuentes DDo S conocidas. Este límite de tasas se aplica de forma rápida y actúa como defensa de primera línea contra los ataques. 

Cuando Shield Avanzado detecta un ataque, hace lo siguiente:

1. Intenta identificar una firma de ataque que aísle el tráfico de ataque del tráfico normal que llega a su aplicación. El objetivo es crear reglas de mitigación de DDo S de alta calidad que, una vez implementadas, solo afecten al tráfico de ataques y no al tráfico normal de la aplicación.

1. Evalúa la firma del ataque identificada comparándola con los patrones de tráfico históricos del recurso que está siendo atacado, así como de cualquier otro recurso que esté asociado a la misma ACL web. Shield Avanzado realiza esta acción antes de implementar cualquier regla en respuesta al evento. 

   Dependiendo de los resultados de la evaluación, Shield Avanzado realiza una de las siguientes acciones: 
   + Si Shield Advanced determina que la firma del ataque aísla solo el tráfico implicado en el ataque DDo S, implementa la firma en AWS WAF las reglas del grupo de reglas de mitigación de Shield Advanced de la ACL web. Shield Avanzado proporciona a estas reglas la configuración de acción que haya configurado para la mitigación automática del recurso, ya sea Count o Block.
   + De lo contrario, Shield Avanzado no aplica ninguna mitigación.

Durante un ataque, Shield Avanzado envía las mismas notificaciones y proporciona la misma información de eventos que las protecciones básicas de la capa de aplicación de Shield Avanzado. Puedes ver la información sobre los eventos y los ataques DDo S, así como sobre cualquier mitigación de los ataques de Shield Advanced, en la consola de eventos de Shield Advanced. Para obtener información, consulte [Visibilidad de DDo los eventos S con Shield Advanced](ddos-viewing-events.md). 

Si ha configurado la mitigación automática para usar la acción de la regla de Block y las reglas de mitigación que Shield Avanzado ha implementado dan falsos positivos, puede cambiar la acción de la regla a Count. Para obtener información acerca de cómo hacerlo, consulte [Cambiar la acción utilizada para la mitigación automática de la capa DDo S de aplicación](change-action-of-automatic-app-layer-response.md). 

## Cómo Shield Avanzado administra la configuración de acciones de las reglas
<a name="ddos-automatic-app-layer-response-rule-action"></a>

Puede configurar la acción de la regla para sus mitigaciones automáticas hacia Block o Count. 

Al cambiar la configuración de la acción de la regla de mitigación automática de un recurso protegido, Shield Avanzado actualiza la configuración de todas las reglas del recurso. Actualiza todas las reglas que estén actualmente en vigor para el recurso en el grupo de reglas de Shield Avanzado y utiliza la nueva configuración de acciones cuando crea nuevas reglas. 

Para los recursos que utilizan la misma ACL web, si especifica acciones diferentes, Shield Avanzado utiliza la configuración de acciones Block para la regla basada en tasas `ShieldKnownOffenderIPRateBasedRule` del grupo de reglas. Shield Avanzado crea y administra otras reglas del grupo de reglas en nombre de un recurso protegido específico y usa la configuración de acciones que especificó para el recurso. Todas las reglas del grupo de reglas de Shield Avanzado de una ACL web se aplican al tráfico web de todos los recursos asociados. 

Un cambio en la configuración de acción puede tardar unos segundos en propagarse. Durante este tiempo, es posible que vea la configuración anterior en algunos lugares donde se usa el grupo de reglas y la nueva en otros lugares. 

Puede cambiar la configuración de las acciones de las reglas de la configuración de mitigación automática en la página de eventos de la consola y en la página de configuración de la capa de aplicación. Para obtener información sobre la página de eventos, consulte [Respondiendo a DDo los eventos S en AWS](ddos-responding.md). Para obtener información sobre la página de configuración, consulte [Configure las protecciones de la capa DDo S de aplicación](manage-protection.md#configure-app-layer-protection).

## Cómo administra Shield Avanzado las mitigaciones cuando un ataque remite
<a name="ddos-automatic-app-layer-response-after-attack"></a>

Cuando Shield Avanzado determina que las reglas de mitigación que se desplegaron para un ataque concreto ya no son necesarias, las elimina del grupo de reglas de mitigación de Shield Avanzado. 

La eliminación de las reglas de mitigación no coincidirá necesariamente con el final del ataque. Shield Avanzado supervisa los patrones de ataque que detecta en sus recursos protegidos. Podría defenderse de forma proactiva contra la repetición de un ataque con una firma específica manteniendo en vigor las reglas que ha aplicado contra la primera incidencia de este ataque. Según sea necesario, Shield Avanzado aumenta el período de tiempo durante el que mantiene las reglas en vigor. De esta forma, Shield Avanzado podría mitigar los ataques repetidos con una firma específica antes de que afecten a los recursos protegidos. 

Shield Advanced nunca elimina la regla basada en la velocidad`ShieldKnownOffenderIPRateBasedRule`, que limita el volumen de solicitudes de direcciones IP que se sabe que son fuentes de ataques DDo S. 

## Qué ocurre cuando se deshabilita la mitigación automática
<a name="ddos-automatic-app-layer-response-disable"></a>

Al deshabilitar la mitigación automática de un recurso, Shield Avanzado hace lo siguiente: 
+ **Deja de responder automáticamente a los ataques DDo S**: Shield Advanced interrumpe sus actividades de respuesta automática para el recurso.
+ **Elimina las reglas innecesarias del grupo de reglas de Shield Avanzado**: si Shield Avanzado mantiene alguna regla en su grupo de reglas administradas en nombre del recurso protegido, la elimina. 
+ **Elimina el grupo de reglas de Shield Avanzado, si ya no está en uso**: si la ACL web que ha asociado al recurso no está asociada a ningún otro recurso que tenga habilitada la mitigación automática, Shield Avanzado elimina su regla del grupo de reglas de la ACL web. 

# Protección de la capa de aplicaciones con el grupo de reglas de Shield Avanzado
<a name="ddos-automatic-app-layer-response-rg"></a>

En esta página, se explica cómo funciona el grupo de reglas de Shield Avanzado en su ACL web.

Shield Avanzado administra las actividades de mitigación automáticas mediante reglas de un grupo de reglas del que es propietario y que administra por usted. Shield Avanzado hace referencia al grupo de reglas con una regla de la ACL web que ha asociado a su recurso protegido. 

**La regla del grupo de reglas de su ACL web**  
La regla de grupo de reglas de Shield Avanzado de su ACL web presenta las siguientes propiedades:
+ **Nombre**: `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Unidades de capacidad de ACL web (WCU)**: 150. Esto se WCUs descuenta del uso de la WCU en su ACL web. 

Shield Advanced crea esta regla en la ACL web con una configuración de prioridad de 10 000 000, de modo que se ejecute después de las demás reglas y grupos de reglas de la ACL web. AWS WAF ejecuta las reglas en una ACL web desde la configuración de prioridad numérica más baja hacia arriba. Durante la administración de la ACL web, esta configuración de prioridad puede cambiar. 

La funcionalidad de mitigación automática no consume ningún AWS WAF recurso adicional de su cuenta, aparte de los que WCUs utiliza el grupo de reglas de su ACL web. Por ejemplo, el grupo de reglas de Shield Avanzado no se cuenta como uno de los grupos de reglas de su cuenta. Para obtener información sobre los límites de las cuentas AWS WAF, consulte[AWS WAF cuotas](limits.md).

**Reglas en el grupo de reglas**  
Dentro del grupo de reglas Shield Advanced al que se hace referencia, Shield Advanced mantiene una regla basada en la velocidad`ShieldKnownOffenderIPRateBasedRule`, que limita el volumen de solicitudes de direcciones IP que se sabe que son fuentes de ataques DDo S. Esta regla sirve como primera línea de defensa contra cualquier ataque, ya que siempre está presente en el grupo de reglas y no se basa en el análisis de los patrones de tráfico para contener los ataques. La acción de esta regla se establece en la acción que elija para las mitigaciones automáticas, al igual que las demás reglas del grupo de reglas. Para obtener información acerca de las reglas basadas en tasas, consulte [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md).

**nota**  
La regla basada en tasas `ShieldKnownOffenderIPRateBasedRule` funciona independientemente de la detección de eventos de Shield Avanzado. Si bien la mitigación automática está habilitada, esta regla limita la frecuencia de las direcciones IP que se sabe que son fuentes de ataques DDo S. Para estas direcciones IP, la limitación de velocidad de la regla puede evitar los ataques y también evitar que los ataques aparezcan en la información de detección de Shield Avanzado. Esta compensación favorece la prevención por encima de la visibilidad total de los patrones de ataque. 

Además de la regla permanente basada en la tasa descrita anteriormente, el grupo de reglas contiene todas las reglas que Shield Advanced esté utilizando actualmente para mitigar los ataques DDo S. Shield Avanzado agrega, modifica y elimina estas reglas según sea necesario. Para obtener información, consulte [Cómo administra Shield Avanzado la mitigación automática](ddos-automatic-app-layer-response-behavior.md).

**Métricas**  
El grupo de reglas genera AWS WAF métricas, pero como este grupo de reglas es propiedad de Shield Advanced, estas métricas no están disponibles para su visualización. Para obtener más información, consulte [AWS WAF métricas y dimensiones](waf-metrics.md).

# Visualización de la configuración de mitigación automática de la capa DDo S de aplicación para un recurso
<a name="view-automatic-app-layer-response-configuration"></a>

Puede ver la configuración de mitigación automática de la capa DDo S de aplicación de un recurso en la página **Recursos protegidos** y en las páginas de protecciones individuales. 

**Para ver la configuración de mitigación automática de la capa DDo S de aplicación**

1. Inicie sesión en la Consola de administración de AWS consola AWS WAF & Shield y ábrala en [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. En el panel AWS Shield de navegación, elija **Recursos protegidos**. En la lista de recursos protegidos, la columna **Mitigación automática de la capa DDo S de aplicación** indica si la mitigación automática está habilitada y, si está habilitada, la acción que Shield Advanced utilizará en sus mitigaciones. 

   También puede seleccionar cualquier recurso de la capa de aplicación para ver la misma información que aparece en la página de protecciones del recurso. 

# Activación y desactivación de la mitigación automática de la capa DDo S de aplicación
<a name="enable-disable-automatic-app-layer-response"></a>

En el siguiente procedimiento, se muestra cómo habilitar o deshabilitar la respuesta automática de un recurso protegido. 

**Para habilitar o deshabilitar la mitigación automática de la capa DDo S de aplicación para un solo recurso**

1. Inicie sesión en la Consola de administración de AWS consola AWS WAF & Shield y ábrala en [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. En el panel AWS Shield de navegación, elija **Recursos protegidos**.

1. En la pestaña **Protecciones**, seleccione el recurso de capa de aplicación para el que desee habilitar la mitigación automática. Se abre la página de protecciones del recurso. 

1. En la página de protecciones del recurso, elija **Editar**. 

1. En la página **Configurar la mitigación de la capa 7 DDo para los recursos globales *(opcional)***, para la **mitigación automática de la capa DDo S de aplicaciones**, elija la opción que desee utilizar para las mitigaciones automáticas. Las opciones de la consola son las siguientes: 
   + **Mantener la configuración actual**: no se realizan cambios en la configuración de mitigación automática del recurso protegido. 
   + **Habilitar**: se habilita la mitigación automática para el recurso protegido. Al elegir esta opción, seleccione también la acción de regla que desee que utilicen las mitigaciones automáticas en las reglas de ACL web. Para obtener información sobre la configuración de las acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).

     Si su recurso protegido aún no tiene un historial del tráfico de aplicaciones habitual, active la mitigación automática en el modo Count hasta que Shield Avanzado pueda establecer una línea de base. Shield Avanzado comienza a recopilar información para la línea de base cuando asocia una ACL web a su recurso protegido, y puede demorar entre 24 horas y 30 días en establecer una buena línea de base del tráfico normal.
   + **Deshabilitar**: se deshabilita la mitigación automática del recurso protegido. 

1. Recorra el resto de páginas hasta que termine y guarde la configuración. 

En la página **Protecciones**, se actualiza la configuración de mitigación automática del recurso.

# Cambiar la acción utilizada para la mitigación automática de la capa DDo S de aplicación
<a name="change-action-of-automatic-app-layer-response"></a>

Puede cambiar la acción que Shield Avanzado utiliza para la respuesta automática de la capa de aplicación en varias ubicaciones de la consola:
+ **Configuración de mitigación automática**: cambie la acción al configurar la mitigación automática para su recurso. Para conocer el procedimiento, consulte la sección anterior [Activación y desactivación de la mitigación automática de la capa DDo S de aplicación](enable-disable-automatic-app-layer-response.md).
+ **Página de detalles del evento**: cambie la acción en la página de detalles del evento cuando vea la información del evento en la consola. Para obtener información, consulte [Visualización de los detalles del AWS Shield Advanced evento](ddos-event-details.md).

Si tiene dos recursos protegidos que comparten una ACL web y establece la acción Count en uno y Block en el otro, Shield Avanzado establece la acción de la regla basada en tasas del grupo de reglas `ShieldKnownOffenderIPRateBasedRule` a Block.

# Uso AWS CloudFormation con mitigación automática de la capa DDo S de aplicación
<a name="manage-automatic-mitigation-in-cfn"></a>

En esta página, se explica CloudFormation cómo administrar sus protecciones y su AWS WAF web ACLs. 

**Activación o desactivación de la mitigación automática de la capa DDo S de aplicación**  
Puede activar y desactivar la mitigación automática de la capa DDo S de aplicación mediante el `AWS::Shield::Protection` recurso. AWS CloudFormation El efecto es el mismo que cuando se habilita o deshabilita la característica a través de la consola o cualquier otra interfaz. Para obtener información sobre el CloudFormation recurso, consulte [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)la *guía del AWS CloudFormation usuario*.

**Gestión de la web ACLs utilizada con mitigación automática**  
Shield Advanced administra la mitigación automática de su recurso protegido mediante una regla de grupo de reglas en la ACL AWS WAF web del recurso protegido. A través de la AWS WAF consola APIs, verá la regla incluida en las reglas de su ACL web, con un nombre que comience por`ShieldMitigationRuleGroup`. Esta regla está dedicada a la mitigación automática de la capa DDo S de aplicación y Shield Advanced y Shield Advanced y AWS WAF. Para obtener más información, consulte [Protección de la capa de aplicaciones con el grupo de reglas de Shield Avanzado](ddos-automatic-app-layer-response-rg.md) y [Cómo administra Shield Avanzado la mitigación automática](ddos-automatic-app-layer-response-behavior.md).

Si lo usa CloudFormation para administrar su web ACLs, no agregue la regla de grupo de reglas Shield Advanced a su plantilla de ACL web. Cuando actualizas una ACL web que se está utilizando con tus protecciones de mitigación automática, administra AWS WAF automáticamente la regla del grupo de reglas en la ACL web. 

Verás las siguientes diferencias en comparación con otras páginas web a través de las ACLs que gestionas CloudFormation:
+ CloudFormation no mostrará ningún desfase en el estado de desviación de la pila entre la configuración real de la ACL web, con la regla del grupo de reglas Shield Advanced, y la plantilla de ACL web, sin la regla. La regla de Shield Avanzado no aparecerá en los detalles de desviación de la lista del recurso. 

  Podrá ver la regla del grupo de reglas Shield Advanced en las listas de ACL web de las que accede AWS WAF, por ejemplo, a través de la AWS WAF consola o AWS WAF APIs.
+ Si modifica la plantilla de ACL web de una pila AWS WAF y Shield Advanced mantiene automáticamente la regla de mitigación automática de Shield Advanced en la ACL web actualizada. Las protecciones de mitigación automática ofrecidas por Shield Avanzado no se ven interrumpidas por la actualización de la ACL web.

No administre la regla Shield Advanced en su plantilla de ACL CloudFormation web. La plantilla de la ACL web no debe incluir la regla de Shield Avanzado. Siga las prácticas recomendadas para la administración de ACL web en [Mejores prácticas para utilizar la mitigación automática de la capa DDo S de aplicación](ddos-automatic-app-layer-response-bp.md).