Etiquetado de solicitudes web en AWS WAF

En esta sección se explica qué son las etiquetas de AWS WAF.

Una etiqueta es un metadato que una regla agrega a una solicitud web cuando la regla coincide con la solicitud. Una vez agregada, la etiqueta permanece disponible en la solicitud hasta que finaliza la evaluación del paquete de protección (ACL web). Puede acceder a las etiquetas de las reglas que se ejecutan más adelante en la evaluación del paquete de protección (ACL web) mediante una instrucción de coincidencia de etiquetas. Para obtener más información, consulte Instrucción de regla de coincidencia de etiquetas.

Las etiquetas de las solicitudes web generan métricas de etiquetas de Amazon CloudWatch. Para ver una lista de las métricas y dimensiones, consulte Etiquetar métricas y dimensiones. Para obtener información sobre el acceso a las métricas y los resúmenes de métricas a través de CloudWatch y la consola de AWS WAF, consulte Supervisión y ajustes de sus protecciones de AWS WAF.

Casos de uso del etiquetado

Entre los casos de uso comunes de etiquetas de AWS WAF se incluyen los siguientes:

Evaluación de una solicitud web por comparación con varias instrucciones de reglas antes de tomar acciones con respecto a la solicitud: después de encontrar una coincidencia con una regla en un paquete de protección (ACL web), AWS WAF continúa la evaluación de la solicitud en función del paquete de protección (ACL web) si la acción de regla no finaliza la evaluación del paquete de protección (ACL web). Puede usar etiquetas para evaluar y recopilar información de varias reglas antes de decidir permitir o bloquear la solicitud. Para ello, cambie las acciones de reglas existentes a Count y configúrelas para que añadan etiquetas a las solicitudes coincidentes. A continuación, agregue una o más reglas nuevas para que se ejecuten después del resto de reglas, y configúrelas para evaluar las etiquetas y administrar las solicitudes de acuerdo con las combinaciones de coincidencias de etiquetas.
Administración de las solicitudes web por región geográfica: puede usar solo la regla de coincidencia geográfica para administrar las solicitudes web por país de origen. Para ajustar la ubicación en cuanto a la región, se utiliza la regla de coincidencia geográfica con una acción Count seguida de una regla de coincidencia de etiquetas. Para obtener información sobre la regla de coincidencia geográfica, consulte Instrucción de regla de coincidencia geográfica.
Reutilización de la lógica en varias reglas: si necesita reutilizar la misma lógica en varias reglas, puede usar etiquetas para obtener la lógica de un solo origen y comprobar los resultados. Cuando tiene varias reglas complejas que utilizan un subconjunto común de instrucciones de reglas anidadas, duplicar el conjunto de reglas común en todas las reglas complejas puede llevar mucho tiempo y llevar a errores. Con las etiquetas, puede crear una nueva regla con el subconjunto de reglas común que cuenta las solicitudes coincidentes y les agrega una etiqueta. Agregue la nueva regla a su paquete de protección (ACL web) para que se ejecute antes que las complejas reglas originales. A continuación, en las reglas originales, se reemplaza el subconjunto de reglas compartidas por una sola regla que comprueba la etiqueta.

Por ejemplo, supongamos que tiene varias reglas que desea aplicar únicamente a sus rutas de inicio de sesión. En lugar de hacer que cada regla especifique la misma lógica para que coincida con las posibles rutas de inicio de sesión, puede implementar una sola regla nueva que contenga esa lógica. Haga que la nueva regla añada una etiqueta a las solicitudes coincidentes para indicar que la solicitud se encuentra en una ruta de inicio de sesión. En su paquete de protección (ACL web), asigne a esta nueva regla una prioridad numérica inferior a la de las reglas originales para que se ejecute primero. A continuación, en las reglas originales, sustituya la lógica compartida por una comprobación de la presencia de la etiqueta. Para obtener información acerca de la configuración de prioridad, consulte Cómo establecer la prioridad de las reglas.
Creación de excepciones a las reglas en los grupos de reglas: esta opción resulta especialmente útil para los grupos de reglas administradas, que no se pueden ver ni modificar. Muchas reglas de grupos de reglas administradas agregan etiquetas a las solicitudes web coincidentes para indicar las reglas que coinciden y, posiblemente, para proporcionar información adicional sobre la coincidencia. Cuando usa un grupo de reglas que agrega etiquetas a las solicitudes, puede anular las reglas del grupo de reglas para contar las coincidencias y, a continuación, ejecutar una regla después del grupo de reglas que gestiona la solicitud web en función de las etiquetas del grupo de reglas. Todas las reglas administradas de AWS agregan etiquetas a las solicitudes web coincidentes. Para ver los detalles, consulte las descripciones de las reglas en Lista de grupos de reglas administradas de AWS.
Uso de métricas de etiquetas para supervisar los patrones de tráfico: puede acceder a las métricas de las etiquetas que agregue a través de sus reglas y a las métricas que se agreguen por medio de cualquier grupo de reglas administradas que utilice en su paquete de protección (ACL web). Todos los grupos de reglas administradas AWS agregan etiquetas a las solicitudes web que evalúan. Para ver una lista de las métricas y dimensiones de las etiquetas, consulte Etiquetar métricas y dimensiones. Puede acceder a las métricas y a los resúmenes de métricas a través de CloudWatch y de la página del paquete de protección (ACL web) en la consola de AWS WAF. Para obtener más información, consulte Supervisión y ajustes de sus protecciones de AWS WAF.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Códigos de estado para la respuesta compatibles

Funcionamiento del etiquetado