**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Con AWS Shield Advanced figuración
<a name="getting-started-ddos"></a>

En este tutorial se explica cómo empezar a AWS Shield Advanced utilizar la consola Shield Advanced. 

**nota**  
Shield Advanced requiere una suscripción, pero AWS Shield Standard no la necesita. Las protecciones proporcionadas por Shield Standard están disponibles de forma gratuita para todos los clientes de AWS .

Shield Advanced proporciona una protección avanzada de detección y mitigación de DDo S para ataques de capa de red (capa 3), capa de transporte (capa 4) y capa de aplicación (capa 7). Para obtener más información sobre Shield Avanzado, consulte [Descripción general de AWS Shield Advanced](ddos-advanced-summary.md).

La comunidad AWS técnica ha publicado un ejemplo de un proceso automatizado para configurar Shield Advanced utilizando las herramientas de infraestructura como código (IaC) AWS CloudFormation y Terraform. Puede utilizarla AWS Firewall Manager con esta solución si sus cuentas forman parte de una organización AWS Organizations y si está protegiendo algún tipo de recurso, excepto Amazon Route 53 o AWS Global Accelerator. [Para explorar esta opción, consulte el repositorio de código en [aws-samples/ aws-shield-advanced-one-click-deployment y el tutorial en One-click deployment](https://github.com/aws-samples/aws-shield-advanced-one-click-deployment) of Shield Advanced.](https://youtu.be/LCA3FwMk_QE) 

**nota**  
Es importante que configure completamente Shield Advanced antes de que se produzca un evento de denegación de servicio (DDoS) distribuida. Complete la configuración para garantizar que su aplicación esté protegida y que esté preparado para responder en caso de que su aplicación se vea afectada por un ataque DDo S.

Siga los siguientes pasos en orden para empezar a utilizar Shield Avanzado. 

**Contents**
+ [Suscribirse a AWS Shield Advanced](enable-ddos-prem.md)
+ [Cómo agregar y configurar protecciones de recursos con Shield Avanzado](ddos-choose-resources.md)
  + [Configuración de las protecciones de la capa de aplicación (capa 7) DDo S con AWS WAF](ddos-get-started-web-acl-rbr.md)
  + [Configuración de la detección basada en el estado para las protecciones con Shield Avanzado y Route 53](ddos-get-started-health-checks.md)
  + [Configuración de alarmas y notificaciones con Shield Avanzado y Amazon SNS](ddos-get-started-create-alarms.md)
  + [Revisión y finalización de la configuración de protección en Shield Avanzado](ddos-get-started-review-and-configure.md)
+ [Configuración del soporte AWS del Shield Response Team (SRT) para la respuesta a eventos DDo S](authorize-srt.md)
+ [Creación de un panel DDo S CloudWatch y configuración de CloudWatch alarmas](deploy-waf-dashboard.md)

# Suscribirse a AWS Shield Advanced
<a name="enable-ddos-prem"></a>

En esta página se explica cómo suscribir sus cuentas a Shield Avanzado para empezar a utilizar el servicio.

Debe suscribirse a Shield Advanced para cada uno de los productos Cuenta de AWS que desee proteger. No es necesario suscribirse a Shield Standard.

**Facturación de suscripciones de Shield Avanzado**  
Si es distribuidor de AWS canales, póngase en contacto con su equipo de cuentas para obtener información y orientación. Esta información de facturación es para clientes que no son distribuidores de AWS canal. 

Para todos los demás, se aplican las siguientes pautas de suscripción y facturación:
+ En el caso de las cuentas que son miembros de una AWS Organizations organización, AWS factura las suscripciones de Shield Advanced a la cuenta de pagador de la organización, independientemente de si la propia cuenta de pagador está suscrita. 
+ Al suscribir varias cuentas que pertenezcan a la misma [familia de cuentas de facturación de AWS Organizations consolidada](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html), un único precio de suscripción cubre todas las cuentas suscritas de la familia. La organización debe ser propietaria de todas las Cuentas de AWS y de todos sus recursos. 
+ Si suscribe varias cuentas para varias organizaciones, puede seguir pagando una única cuota de suscripción para todas las organizaciones, cuentas y recursos, siempre que sea el propietario de todos ellos. Póngase en contacto con su administrador de cuentas o con el servicio de AWS asistencia y solicite una exención de las tarifas de AWS Shield Advanced suscripción para todas las organizaciones excepto una. 

Para obtener ejemplos e información detallada sobre precios, consulte [Precios de AWS Shield](https://aws.amazon.com/shield/pricing/). 

**Considere la posibilidad de simplificar las suscripciones con AWS Firewall Manager**  
Si sus cuentas forman parte de una organización, le recomendamos que utilice AWS Firewall Manager si puede, para automatizar las suscripciones y las protecciones de la organización. Firewall Manager admite todos los tipos de recursos protegidos, excepto Amazon Route 53 y AWS Global Accelerator. Para usar Firewall Manager, consulte [AWS Firewall Manager](fms-chapter.md) y [Configuración de AWS Firewall Manager AWS Shield Advanced políticas](getting-started-fms-shield.md). 

Si no usa el Firewall Manager, suscríbase y agregue protecciones para cada cuenta con recursos que proteger mediante los siguientes procedimientos. 

**Para suscribir una cuenta a AWS Shield Advanced**

1. Inicie sesión en la Consola de administración de AWS consola AWS WAF & Shield y ábrala en [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. En la barra de navegación de **AWS Shield**, seleccione **Introducción**. Seleccione **Suscribirse a Shield Avanzado**. 

1. En la página **Suscribirse a Shield Avanzado**, lea cada término del acuerdo y, a continuación, marque todas las casillas de verificación para indicar que acepta los términos. En el caso de una familia de facturación consolidada, debe aceptar los términos de cada cuenta. 
**importante**  
Cuando esté suscrito, para cancelar la suscripción, debe ponerse en contacto con [AWS Support](https://console.aws.amazon.com/support).   
[Para deshabilitar la renovación automática de su suscripción, debe usar la operación Shield API o el comando de CLI [UpdateSubscription](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateSubscription.html)update-subscription.](https://docs.aws.amazon.com/cli/latest/reference/shield/update-subscription.html)

   Seleccione **Suscribirse a Shield Avanzado**. De este modo suscribe su cuenta a Shield Avanzado y activa el servicio.

Su cuenta está suscrita. Siga estos pasos para proteger los recursos de su cuenta con Shield Avanzado. 

**nota**  
Shield Avanzado no protege automáticamente los recursos después de suscribirse. Debe especificar los recursos que desea que Shield Avanzado proteja. 

# Cómo agregar y configurar protecciones de recursos con Shield Avanzado
<a name="ddos-choose-resources"></a>

En esta página, se proporcionan instrucciones para agregar y configurar la protección para sus recursos. 

Shield Avanzado solo protege los recursos que se especifiquen, ya sea mediante Shield Avanzado o en una política Shield Advanced de Firewall Manager. No protege automáticamente los recursos de una cuenta suscrita. 

**nota**  
Si utilizas una póliza AWS Firewall Manager Shield Advanced para tus protecciones, no necesitas realizar este paso. La política se configura con los tipos de recursos que se van a proteger y Firewall Manager agrega automáticamente protecciones a los recursos que se encuentren dentro del ámbito de la política. 

Si no usa Firewall Manager, siga los siguientes procedimientos para toda cuenta donde tenga recursos que proteger.

**Elección de los recursos que se van a proteger con Shield Avanzado**

1. Seleccione **Agregar recursos que se protegerán** en la página de confirmación de la suscripción del procedimiento anterior o en la página **Recursos protegidos** u **Información general**. 

1. En la página **Elegir los recursos que se protegerán con Shield Avanzado**, en **Especificar la región y los tipos de recursos**, proporcione las especificaciones de región y de tipo de recurso de los recursos que desea proteger. Puede proteger los recursos de varias regiones seleccionando **Todas las regiones** y puede limitar la selección a los recursos globales seleccionando **Global**. Puede deseleccionar cualquier tipo de recurso que no desee proteger. Para obtener información sobre las protecciones de sus tipos de recursos, consulte [Lista de recursos que AWS Shield Advanced protegen](ddos-protections-by-resource-type.md).

1. Elija **Cargar recursos**. Shield Avanzado rellena la sección **Seleccionar recursos** con los recursos de AWS que coinciden con sus criterios. 

1. En la sección **Seleccionar recursos**, puede filtrar la lista de recursos introduciendo una cadena para buscarla en las listas de recursos. 

   Seleccione los recursos que desea proteger.

1. En la sección **Etiquetas**, si desea agregar etiquetas a las protecciones Shield Avanzado que está creando, especifíquelas. Para obtener información acerca de cómo etiquetar los recursos de AWS , consulte [Uso de Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html). 

1. Elija **Proteger con Shield Avanzado**. Esto agrega las protecciones de Shield Avanzado a los recursos.

Continúe recorriendo las pantallas del asistente de la consola para completar la configuración de las protecciones de sus recursos. 

**Topics**
+ [Configuración de las protecciones de la capa de aplicación (capa 7) DDo S con AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [Configuración de la detección basada en el estado para las protecciones con Shield Avanzado y Route 53](ddos-get-started-health-checks.md)
+ [Configuración de alarmas y notificaciones con Shield Avanzado y Amazon SNS](ddos-get-started-create-alarms.md)
+ [Revisión y finalización de la configuración de protección en Shield Avanzado](ddos-get-started-review-and-configure.md)

# Configuración de las protecciones de la capa de aplicación (capa 7) DDo S con AWS WAF
<a name="ddos-get-started-web-acl-rbr"></a>

Esta página proporciona instrucciones para configurar las protecciones de la capa de aplicación con la AWS WAF web ACLs. 

Para proteger un recurso de la capa de aplicación, Shield Advanced utiliza una ACL AWS WAF web con una regla basada en la velocidad como punto de partida. AWS WAF es un firewall de aplicaciones web que permite supervisar las solicitudes HTTP y HTTPS que se reenvían a los recursos de la capa de aplicaciones y controlar el acceso al contenido en función de las características de las solicitudes. Una regla basada en la velocidad limita el volumen de tráfico en función de los criterios de agregación de solicitudes, lo que proporciona DDo una protección S básica a la aplicación. Para obtener más información, consulte [Cómo AWS WAF funciona](how-aws-waf-works.md) y [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md).

Si lo desea, también puede activar la mitigación automática de la capa DDo S de aplicaciones de Shield Advanced, para recibir solicitudes de límite de velocidad de Shield Advanced procedentes de fuentes DDo S conocidas y proporcionarle automáticamente protecciones específicas para cada incidente. 

**importante**  
Si administra sus protecciones de Shield Advanced AWS Firewall Manager mediante una política de Shield Advanced, no podrá administrar las protecciones de la capa de aplicación aquí. Debe administrarlas en su política de Shield Avanzado de Firewall Manager.

**Suscripciones y AWS WAF costos de Shield Advanced**  
Su suscripción a Shield Advanced cubre los costes de uso de AWS WAF las capacidades estándar para los recursos que proteja con Shield Advanced. Las AWS WAF tarifas estándar que cubren las protecciones Shield Advanced son el costo por paquete de protección (ACL web), el costo por regla y el precio base por millón de solicitudes de inspección de solicitudes web, hasta 1500 WCUs y hasta el tamaño corporal predeterminado.

Al habilitar la mitigación automática de la capa DDo S de aplicaciones de Shield Advanced, se añade un grupo de reglas al paquete de protección (ACL web) que utiliza 150 unidades de capacidad de ACL web (WCUs). Esto se WCUs descuenta del uso de la WCU en su paquete de protección (ACL web). Para obtener más información, consulte [Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced](ddos-automatic-app-layer-response.md), [Protección de la capa de aplicaciones con el grupo de reglas de Shield Avanzado](ddos-automatic-app-layer-response-rg.md) y [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md).

Su suscripción a Shield Advanced no cubre el uso AWS WAF de recursos que no proteja con Shield Advanced. Tampoco cubre ningún AWS WAF coste adicional no estándar de los recursos protegidos. Algunos ejemplos de AWS WAF costes no estándar son los del control de bots, la acción de la CAPTCHA regla, la web ACLs que utiliza más de 1500 WCUs usuarios y la inspección del cuerpo de la solicitud por encima del tamaño predeterminado. La lista completa se encuentra en la página de AWS WAF precios. Su suscripción a Shield Advanced incluye el acceso al grupo de reglas gestionadas por Amazon DDo Anti-S de capa 7. Como parte de su suscripción, recibirá hasta 50 000 millones de solicitudes a los AWS WAF recursos protegidos de Shield Advanced en un mes natural. Las solicitudes superiores a 50 000 millones se facturarán según la página de AWS Shield Advanced precios.

Para obtener la información completa y ejemplos de precios, consulte [Precios de Shield](https://aws.amazon.com/shield/pricing/) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).

**Para configurar las protecciones de capa 7 DDo S para una región**

Shield Advanced le ofrece la opción de configurar la mitigación de capa 7 DDo S para cada región en la que se encuentren los recursos que elija. Si va a agregar protecciones en varias regiones, el asistente le guiará por el siguiente procedimiento para cada región. 

1. La página **Configurar las protecciones de la capa 7 DDo S** muestra todos los recursos que aún no están asociados a una ACL web. Para cada uno de ellos, elija una ACL web existente o cree una ACL web nueva. En el caso de cualquier recurso que ya tenga una ACL web asociada, puede cambiar de web ACLs desasociando primero la ACL actual mediante ella. AWS WAF Para obtener más información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).

   En el caso de sitios web ACLs que aún no tengan una regla basada en la velocidad, el asistente de configuración le pedirá que agregue una. Una regla basada en tasas limita el tráfico de las direcciones IP cuando estas envían un gran volumen de solicitudes. Las reglas basadas en tarifas ayudan a proteger tu aplicación contra la avalancha de solicitudes web y pueden proporcionar alertas sobre picos repentinos de tráfico que podrían indicar un posible ataque S. DDo Para agregar una regla basada en tasas a una ACL web, seleccione **Agregar regla de límite de tasas** y, a continuación, especifique una acción para limitar la tasa y establecer una regla. Puede configurar protecciones adicionales en la ACL web mediante. AWS WAF

   Para obtener información sobre el uso de reglas web ACLs y basadas en tarifas en sus protecciones Shield Advanced, incluidas las opciones de configuración adicionales para las reglas basadas en tarifas, consulte. [Protección de la capa de aplicaciones con AWS WAF web ACLs y Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md)

1. Para la **mitigación automática de la capa de aplicación DDo S**, si desea que Shield Advanced mitigue automáticamente los ataques DDo S contra los recursos de la capa de aplicación, elija **Activar** y, a continuación, seleccione la acción de AWS WAF regla que quiere que Shield Advanced utilice en sus reglas personalizadas. Esta configuración se aplica a toda la web ACLs para los recursos que gestione en esta sesión del asistente. 

   Con la mitigación automática de la capa DDo S de aplicación, Shield Advanced mantiene una regla basada en la tasa en la ACL AWS WAF web del recurso que limita el volumen de solicitudes de fuentes DDo S conocidas. Además, Shield Advanced compara los patrones de tráfico actuales con las líneas de base de tráfico históricas para detectar desviaciones que puedan indicar un ataque DDo S. Cuando Shield Advanced detecta un ataque DDo S, responde creando, evaluando e implementando AWS WAF reglas personalizadas para responder. Especifique si las reglas personalizadas cuentan o bloquean los ataques en su nombre. 
**nota**  
La mitigación automática de la capa de aplicación DDo S solo funciona con los paquetes de protección (web ACLs) que se crearon con la última versión de AWS WAF (v2). 

   Para obtener más información sobre la mitigación automática de la capa DDo S de aplicaciones de Shield Advanced, incluidas las advertencias y las mejores prácticas para el uso de esta función, consulte[Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced](ddos-automatic-app-layer-response.md).

1. Elija **Siguiente**. El asistente de la consola pasa a la página de detección basada en el estado. 

# Configuración de la detección basada en el estado para las protecciones con Shield Avanzado y Route 53
<a name="ddos-get-started-health-checks"></a>

En esta página se incluyen las instrucciones para configurar Shield Avanzado para que utilice la detección basada en el estado. Esto puede ayudar a mejorar la capacidad de respuesta y la precisión en la detección y la mitigación de ataques.

Para lograr una detección precisa de los eventos, es esencial que las comprobaciones de estado estén bien configuradas. Puede configurar la detección basada en el estado para cualquier tipo de recurso, excepto para las zonas alojadas en Route 53. 

Para utilizar la detección basada en el estado, defina una comprobación de estado para su recurso en Route 53 y luego, asocie la comprobación de estado con su protección de Shield Avanzado. Es importante que la comprobación de estado que configure refleje con precisión el estado del recurso. Para obtener información y ejemplos sobre cómo configurar las comprobaciones de estado para utilizarlas con Shield Avanzado, consulte [Detección basada en el estado mediante comprobaciones de estado con Shield Avanzado y Route 53](ddos-advanced-health-checks.md). 

Se requieren comprobaciones de estado para poder contar con el apoyo proactivo del equipo de respuesta de Shield (SRT). Para obtener información sobre la interacción proactiva, consulte [Configuración de una interacción proactiva para que el SRT se ponga en contacto con usted directamente](ddos-srt-proactive-engagement.md).

**nota**  
Las comprobaciones de estado deben declararse en buen estado cuando las asocie a sus protecciones de Shield Avanzado.

**Configuración de una detección basada en el estado**

1. En **Associated Health Check (Comprobación de estado asociada)**, elija el identificador de la comprobación de estado que desea asociar a la protección. 
**nota**  
Si no ve la comprobación de estado que necesita, vaya a la consola de Route 53 y verifique la comprobación de estado y su ID. Para obtener más información, consulte [Creación y actualización de comprobaciones de estado](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html).

1. Elija **Siguiente**. El asistente de la consola pasa a la página de alarmas y notificaciones. 

# Configuración de alarmas y notificaciones con Shield Avanzado y Amazon SNS
<a name="ddos-get-started-create-alarms"></a>

En esta página se proporcionan instrucciones para configurar de forma opcional las notificaciones de Amazon Simple Notification Service para las CloudWatch alarmas de Amazon detectadas y la actividad de las reglas basadas en tasas. Puede utilizarlos para recibir notificaciones cuando Shield detecte un evento en un recurso protegido o cuando se supere un límite de tasa configurado en una regla basada en tasas. 

Para obtener información sobre las CloudWatch métricas de Shield Advanced, consulte[AWS Shield Advanced métricas](shield-metrics.md). Para obtener información sobre Amazon SNS, consulte la [Guía para desarrolladores de Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/). 

**Configuración de alarmas y notificaciones**

1. Seleccione los temas de Amazon SNS para los que desea recibir notificaciones. Puede usar un solo tema de Amazon SNS para todos los recursos protegidos y las reglas basadas en tasas, o puede elegir diferentes temas, personalizados para su organización. Por ejemplo, puede crear un tema de SNS para cada equipo responsable de la respuesta a incidentes para un conjunto específico de recursos.

1. Elija **Siguiente**. El asistente de la consola pasa a la página de revisión de la protección de recursos.

# Revisión y finalización de la configuración de protección en Shield Avanzado
<a name="ddos-get-started-review-and-configure"></a>

**Para revisar y finalizar la configuración**

1. En la página **Revisar y configurar la mitigación y la visibilidad de DDo S**, revise sus ajustes. Para realizar modificaciones, elija **Editar** en el área que desee modificar. Esto lo lleva de vuelta a la página asociada del asistente de consola. Realice los cambios y, a continuación, seleccione **Siguiente** en las páginas siguientes hasta que vuelva a la página **Revisar y configurar la mitigación y la visibilidad de DDo S.**

1. Seleccione **Finalizar la configuración**. La página **Recursos protegidos** muestra los recursos recién protegidos.

# Configuración del soporte AWS del Shield Response Team (SRT) para la respuesta a eventos DDo S
<a name="authorize-srt"></a>

Esta página proporciona instrucciones para configurar el soporte del equipo de respuesta de Shield (SRT).

El SRT incluye ingenieros de seguridad que se especializan en la respuesta a DDo los eventos S. Si lo desea, puede añadir permisos que le permitan al SRT gestionar los recursos en su nombre durante un evento DDo S. Además, puede configurar el SRT para que interactúe con usted de forma proactiva si las comprobaciones de estado de Route 53 asociadas a sus recursos protegidos no funcionan correctamente durante un evento detectado. Estas dos incorporaciones a sus protecciones permiten responder más rápidamente a DDo los eventos S. 

**nota**  
Para utilizar los servicios del equipo de respuesta de Shield (SRT), debe haberse registrado en el [plan de soporte Business](https://aws.amazon.com/premiumsupport/business-support/) o en el [plan de soporte Enterprise](https://aws.amazon.com/premiumsupport/enterprise-support/). 

El SRT puede monitorear los datos y registros de las AWS WAF solicitudes durante los eventos de la capa de aplicación para identificar el tráfico anómalo. Pueden ayudar a elaborar AWS WAF reglas personalizadas para mitigar las fuentes de tráfico infractoras. Según sea necesario, el SRT podría hacer recomendaciones de arquitectura para ayudarlo a alinear mejor sus recursos con AWS las recomendaciones. 

Para obtener más información sobre la SRT, consulte [Respuesta a eventos DDo S gestionada con el soporte del Shield Response Team (SRT)](ddos-srt-support.md).

**Cómo conceder permisos al SRT**

1. En la página de **descripción general** de la AWS Shield consola, en **Configurar la compatibilidad con AWS SRT**, selecciona **Editar el acceso a SRT**. Se abre la página de **acceso al equipo de respuesta de Edit AWS Shield (SRT)**.

1. Para **Configuración de acceso de SRT**, seleccione una de las siguientes opciones: 
   + **No conceder al SRT acceso a mi cuenta**: Shield elimina cualquier permiso que se haya otorgado anteriormente al SRT para acceder a su cuenta y sus recursos.
   + **Crear un nuevo rol para que el SRT acceda a mi cuenta**: Shield crea un rol que confía en la entidad principal del servicio `drt.shield.amazonaws.com`, que representa al SRT, y le asocia la política administrada `AWSShieldDRTAccessPolicy`. La política gestionada permite al SRT realizar AWS Shield Advanced llamadas a la AWS WAF API en tu nombre y acceder a tus AWS WAF registros. Para obtener más información sobre la política administrada, consulte [AWS política gestionada: AWSShield DRTAccess política](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy).
   + **Elija un rol existente para que el SRT pueda acceder a mis cuentas**. Para elegir esta opción, debe modificar la configuración del rol en AWS Identity and Access Management (IAM) de la siguiente manera: 
     + Asocie la política `AWSShieldDRTAccessPolicy` administrada al rol. Esta política gestionada permite al SRT realizar AWS Shield Advanced llamadas a la AWS WAF API en tu nombre y acceder a tus registros. AWS WAF Para obtener más información sobre la política administrada, consulte [AWS política gestionada: AWSShield DRTAccess política](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy). Para obtener información sobre cómo asociar la política administrada a su rol, consulte [Cómo asociar y desasociar políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html). 
     + Modifique el rol para confiar en la entidad principal de servicio `drt.shield.amazonaws.com`. Esta es la entidad principal de servicio que representa el SRT. Para obtener más información, consulte [Elemento de la política de JSON de IAM: Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). 

1. Elija **Guardar** para guardar los cambios. 

Para obtener más información sobre cómo permitir que el SRT acceda a sus protecciones y datos, consulte [Concesión del acceso al SRT](ddos-srt-access.md). 

**Habilitación de la interacción proactiva de SRT**

1. En la página de **información general** de la AWS Shield consola, en **Interacción proactiva y contactos**, en el área de contactos, selecciona **Editar**.

   En la página **Editar contactos**, proporcione la información de contacto de las personas con las que desea que el SRT se ponga en contacto para tener una interacción proactiva. 

   Si proporciona más de un contacto, en **Notas**, indique las circunstancias en las que debe utilizarse cada contacto. Incluya las designaciones de los contactos principales y secundarios y proporcione los horarios de disponibilidad y las zonas horarias de cada contacto. 

   Ejemplos de notas de contacto: 
   + Esta es una línea directa que cuenta con personal las 24 horas del día, todos los días de la semana, todos los días del año. Trabaje con el analista que le responda, le dirigirá a la persona adecuada en la llamada. 
   + Póngase en contacto conmigo si la línea directa no responde en 5 minutos.

1. Seleccione **Save (Guardar)**. 

   La página **Información general** refleja la información de contacto actualizada.

1. Seleccione **Editar característica de interacción proactiva**, seleccione **Habilitar** y, a continuación, seleccione **Guardar** para habilitar la interacción proactiva. 

Para obtener más información sobre la interacción proactiva, consulte [Configuración de una interacción proactiva para que el SRT se ponga en contacto con usted directamente](ddos-srt-proactive-engagement.md).

# Creación de un panel DDo S CloudWatch y configuración de CloudWatch alarmas
<a name="deploy-waf-dashboard"></a>

En esta página, se proporcionan instrucciones para crear un panel DDo S CloudWatch y configurar CloudWatch las alarmas.

Puedes monitorizar la posible actividad de DDo S con Amazon CloudWatch, que recopila datos sin procesar de Shield Advanced y los procesa en métricas legibles prácticamente en tiempo real. Puede utilizar las estadísticas CloudWatch para obtener una perspectiva del rendimiento de su aplicación o servicio web. Para obtener más información sobre el uso CloudWatch, consulta [Qué hay CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) en la *Guía del CloudWatch usuario de Amazon*.
+ Para obtener instrucciones sobre cómo crear un CloudWatch panel de control, consulte[Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md). 
+ Para obtener descripciones de las métricas de Shield Avanzado que puede agregar a su panel, consulte [AWS Shield Advanced métricas](shield-metrics.md). 

Shield Advanced informa de las métricas de recursos con CloudWatch más frecuencia durante los eventos DDo S que cuando no hay ningún evento en curso. Shield Avanzado informa de las métricas una vez por minuto durante un evento y, después, una vez finalizado el evento. Aunque no haya eventos en curso, Shield Avanzado notifica las métricas una vez al día, a una hora asignada al recurso. Este informe periódico mantiene las métricas activas y disponibles para usarlas en tus CloudWatch alarmas personalizadas. 

Con esto se completa el tutorial de introducción a Shield Avanzado. Para aprovechar al máximo las protecciones que ha elegido, siga explorando las características y opciones de Shield Avanzado. Para empezar, familiarícese con las opciones para ver y responder a los eventos en [Visibilidad de DDo los eventos S con Shield Advanced](ddos-viewing-events.md) y [Respondiendo a DDo los eventos S en AWS](ddos-responding.md).