**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de AWS WAF políticas con Firewall Manager
<a name="waf-policies"></a>

En esta sección se explica cómo utilizar AWS WAF las políticas con el Firewall Manager. En una AWS WAF política de Firewall Manager, usted especifica los grupos de AWS WAF reglas que desea usar para proteger todos los recursos que se encuentran dentro del ámbito de la política. Al aplicar la política, el Firewall Manager comienza a administrar la web ACLs para los recursos incluidos en el ámbito, mediante los grupos de reglas especificados y otras configuraciones de políticas. 

Puede configurar la política para crear y administrar toda la web nueva ACLs para los recursos internos, sustituyendo cualquier web ACLs que ya esté en uso. Como alternativa, puede configurar la política para conservar todos los sitios web ACLs que ya estén asociados a los recursos incluidos en el ámbito de aplicación y adaptarlos para que los utilice la política. Con esta segunda opción, Firewall Manager solo crea una nueva web ACLs para los recursos que aún no tienen una asociación de ACL web. 

Independientemente de cómo se creen, en la web ACLs que administra Firewall Manager, las cuentas individuales pueden administrar sus propias reglas y grupos de reglas, además de los grupos de reglas que defina en la política de Firewall Manager. 

Para obtener información sobre el procedimiento para crear una AWS WAF política de Firewall Manager, consulte[Crear una AWS Firewall Manager política para AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).

# Administración de grupos de reglas para AWS WAF políticas
<a name="waf-policies-rule-groups"></a>

La web ACLs gestionada por AWS WAF las políticas del Firewall Manager contiene tres conjuntos de reglas. Estos conjuntos proporcionan un nivel más alto de priorización para las reglas y grupos de reglas en la ACL web: 
+ Primeros grupos de reglas, definidos por usted en la AWS WAF política del Firewall Manager. AWS WAF evalúa primero estos grupos de reglas.
+ Reglas y grupos de reglas definidos por los administradores de cuentas en la web ACLs. AWS WAF evalúa a continuación cualquier regla o grupo de reglas gestionado por la cuenta. 
+ Últimos grupos de reglas, definidos por usted en la AWS WAF política del Firewall Manager. AWS WAF evalúa estos grupos de reglas en último lugar.

Dentro de cada uno de estos conjuntos de reglas, AWS WAF evalúa las reglas y los grupos de reglas como de costumbre, de acuerdo con su configuración de prioridad dentro del conjunto.

En el primer y último conjunto de grupos de reglas de la política, solo puede agregar grupos de reglas y no reglas individuales. Puedes usar grupos de reglas gestionados, que las reglas AWS gestionadas y AWS Marketplace los vendedores crean y mantienen por ti. También puede administrar y usar sus propios grupos de reglas. Para obtener más información acerca de todas estas opciones, consulte [AWS WAF grupos de reglas](waf-rule-groups.md).

Si desea utilizar sus propios grupos de reglas, créelos antes de crear su política de Firewall Manager de AWS WAF . Para obtener instrucciones, consulte [Administrar sus propios grupos de reglas](waf-user-created-rule-groups.md). Para utilizar una regla personalizada individual, debe definir su propio grupo de reglas, definir la regla dentro de él y, a continuación, utilizar el grupo de reglas en la política.

El primer y el último grupo de AWS WAF reglas que administra a través del Firewall Manager tienen nombres que comienzan con `PREFMManaged-` o`POSTFMManaged-`, respectivamente, seguidos del nombre de la política del Administrador de Firewall y la marca de tiempo de creación del grupo de reglas, en milisegundos UTC. Por ejemplo, `PREFMManaged-MyWAFPolicyName-1621880555123`.

Para obtener información sobre cómo se AWS WAF evalúan las solicitudes web, consulte. [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md)

Firewall Manager permite el muestreo y CloudWatch las métricas de Amazon para los grupos de reglas que defina para la AWS WAF política. 

Los propietarios de las cuentas individuales tienen el control total sobre las métricas y la configuración del muestreo de cualquier regla o grupo de reglas que agreguen a la web gestionada de la políticaACLs. 

**nota**  
Si no tiene una suscripción a los grupos de reglas del AWS WAF mercado en su cuenta de miembro, Firewall Manager no puede propagar los grupos de reglas personalizados o administrados a esa cuenta.

# Administración de ACL web para AWS WAF políticas
<a name="how-fms-manages-web-acls"></a>

Firewall Manager crea y administra la web ACLs para los recursos internos de acuerdo con sus ajustes de configuración y la administración de políticas generales. 

**nota**  
Si un recurso que está configurado con la [mitigación automática avanzada de la capa DDo S mediante otra política de Firewall Manager Shield entra en el ámbito de aplicación](ddos-automatic-app-layer-response.md) de una AWS WAF política en la que la ACL web del recurso la creó esa política de Firewall Manager Shield, Firewall Manager no podrá aplicar las protecciones de la AWS WAF política al recurso y marcará el recurso como no conforme.  
Si un cliente asocia manualmente una ACL web propiedad del cliente al recurso, la AWS WAF política del Firewall Manager seguirá anulando esa ACL web del cliente con la ACL web de la AWS WAF política del Firewall Manager.

**Administre la configuración web no asociada ACLs**  
Parámetro de configuración de políticas que especifica cómo el Firewall Manager administra la web ACLs para las cuentas cuando ningún recurso ACLs va a utilizar la web. Si habilita la administración de sitios web no asociados ACLs, el Firewall Manager crea sitios web ACLs en las cuentas que se encuentran dentro del ámbito de aplicación de la política solo si al menos un recurso ACLs utilizará la web. Si no habilita esta opción, Firewall Manager se asegurará automáticamente de que cada cuenta tenga una ACL web, sin importar si se utilizará o no. 

Si esta opción está activada, cuando una cuenta entra en el ámbito de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web. 

Además, cuando habilita la administración de la web no asociada ACLs, al crear la política, el Firewall Manager realiza una limpieza única de la web ACLs no asociada de su cuenta. Durante esta limpieza, el Firewall Manager omite cualquier elemento web ACLs que haya modificado después de su creación, por ejemplo, si ha añadido un grupo de reglas a la ACL web o ha modificado su configuración. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, el Firewall Manager disociará el recurso de la ACL web, pero no realizará la limpieza de la ACL web no asociada. Firewall Manager solo limpia la web no asociada ACLs cuando se habilita por primera vez la administración de la web no asociada ACLs en una política.

En la API, esta configuración corresponde al tipo `optimizeUnassociatedWebACL` de datos. [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) Ejemplo: `\"optimizeUnassociatedWebACL\":false`

**Configuración de origen de la ACL web: ¿Crear todas nuevas o adaptar las existentes?**  
Parámetro de configuración de políticas que especifica lo ACLs que el Firewall Manager hace con la web existente asociada a los recursos incluidos en el ámbito de aplicación. 

De forma predeterminada, Firewall Manager crea una web completamente nueva ACLs para los recursos incluidos en el ámbito. Con la adaptación, Firewall Manager usa cualquier web existente ACLs que ya esté en uso y solo crea una nueva web ACLs para los recursos que aún no tienen una asociada. 

Cuando se configura una política para su adaptación, todos los sitios web ACLs asociados a los recursos incluidos en el ámbito de aplicación se actualizan o se marcan como no conformes.

Firewall Manager solo adapta una ACL web si cumple los siguientes requisitos: 
+ La ACL web es propiedad de una cuenta de cliente. 
+ La ACL web solo está asociada a los recursos incluidos en el ámbito. 
**sugerencia**  
Antes de configurar una AWS WAF política para la adaptación, asegúrese de que la web ACLs asociada a los recursos incluidos en el ámbito de aplicación de la política no esté asociada a ningún recurso. out-of-scope 
**sugerencia**  
Si desea eliminar un recurso asociado, primero desasócielo de la ACL web. Si una ACL web no es compatible debido a una asociación con un out-of-scope recurso, eliminar el out-of-scope recurso sin desasociarlo primero de la ACL web puede hacer que la ACL web cumpla con las normas, y Firewall Manager puede entonces modernizar la ACL web mediante una corrección, pero la corrección en esta situación puede demorarse hasta 24 horas. 

Para obtener información sobre cómo acceder a los detalles de las infracciones de conformidad, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md).

Si se puede adaptar una ACL web, Firewall Manager la modifica de la siguiente manera: 
+ Firewall Manager inserta los primeros grupos de reglas de la AWS WAF política delante de las reglas existentes de la ACL web y agrega los últimos grupos de reglas de la AWS WAF política al final. Para obtener información acerca de la administración de los grupos de reglas, consulte [Administración de grupos de reglas para AWS WAF políticas](waf-policies-rule-groups.md).
+ Si la política tiene una configuración de registro, Firewall Manager la agrega a la ACL web solo si la ACL web aún no está configurada para el registro. Si la ACL web tiene el registro configurado por la cuenta, Firewall Manager lo deja en su lugar tanto durante la adaptación como para cualquier actualización posterior de la configuración de registro de la política. 
+ Firewall Manager no verifica ni configura ninguna otra propiedad de la ACL web. Por ejemplo, Firewall Manager no modifica la acción predeterminada de la ACL web, los encabezados de las solicitudes personalizadas, las configuraciones CAPTCHA o Challenge ni las listas de dominios de token. Firewall Manager solo configura estas otras propiedades en la web ACLs que crea Firewall Manager. 

Una vez que Firewall Manager actualiza toda la web asociada existente ACLs, para cualquier recurso dentro del ámbito que no tenga una ACL web, Firewall Manager gestiona el recurso siguiendo el comportamiento de la política predeterminada. Si se trata de un recurso que AWS WAF puede proteger, Firewall Manager crea y asocia una ACL web de Firewall Manager a ese recurso.

En la API, la configuración de origen de la ACL web está `webACLSource` en el tipo de [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)datos. Ejemplo: `\"webACLSource\":\"RETROFIT_EXISTING\"` 

**Muestreo y CloudWatch métricas**  
AWS Firewall Manager permite el muestreo y CloudWatch las métricas de Amazon para la web ACLs y los grupos de reglas que crea para una AWS WAF política. 

**Nomenclatura de la ACL web**  
Una ACL web que crea Firewall Manager recibe el nombre de la AWS WAF política de la siguiente manera:`FMManagedWebACLV2-policy name-timestamp`. La marca de tiempo está en milisegundos UTC. Por ejemplo, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.

Una ACL web que Firewall Manager adapta tiene el nombre que la cuenta de cliente especificó al crearla. Los nombres de las ACL web no pueden cambiarse después de su creación.

**nota**  
Si un recurso configurado con la [mitigación automática avanzada de la capa DDo S de aplicaciones entra en el ámbito de aplicación](ddos-automatic-app-layer-response.md) de una AWS WAF política, Firewall Manager no podrá asociar la ACL web creada por la AWS WAF política al recurso.

# Iniciar sesión para una AWS WAF política
<a name="waf-policies-logging-config"></a>

Puede habilitar el registro centralizado de sus AWS WAF políticas para obtener información detallada sobre el tráfico que analiza su ACL web en su organización. AWS Firewall Manager admite esta opción para AWS WAF Classic AWS WAFV2, no para ella.

La información de los registros incluye la hora en que se AWS WAF recibió la solicitud del AWS recurso protegido, la información detallada sobre la solicitud y las medidas adoptadas para establecer la regla de que todas las cuentas incluidas en el ámbito de aplicación coinciden con todas las solicitudes. Para obtener información sobre el AWS WAF registro, consulta [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md) la *Guía para AWS WAF desarrolladores*.

Puede enviar sus registros a un flujo de datos de Amazon Data Firehose o a un bucket de Amazon Simple Storage Service (S3). Cada tipo de destino requiere una configuración adicional para que Firewall Manager pueda gestionar el AWS WAF registro en todos los recursos y cuentas incluidos en el ámbito de aplicación. En las siguientes secciones se brinda más información. 

Si la política tiene habilitada la actualización de las ACL web, Firewall Manager no anula ninguna configuración de registro que esté implementada en la web existente. ACLs Para obtener información acerca de la adaptación, consulte la información de configuración de origen de las ACL web en [Administración de ACL web para AWS WAF políticas](how-fms-manages-web-acls.md).

**nota**  
Modifique o deshabilite el registro de las políticas de Firewall Manager solo a través de la interfaz de Firewall Manager. Si actualiza o elimina la configuración de registro de una ACL web administrada por Firewall Manager, Firewall Manager no detectará el cambio automáticamente. AWS WAF Si lo ha utilizado AWS WAF, puede solicitar manualmente una actualización de la AWS WAF política del Firewall Manager reevaluando la regla de la política. AWS Config Para ello, en la AWS Config consola, busque la AWS Config regla de la política del Firewall Manager y seleccione la acción de reevaluación. 

**Topics**
+ [Destinos de registro](waf-policies-logging-destinations.md)
+ [Habilitar el registro de una AWS WAF política en Firewall Manager](waf-policies-enabling-logging.md)
+ [Inhabilitar el registro de una AWS WAF política en el Firewall Manager](waf-policies-disabling-logging.md)

# Destinos de registro
<a name="waf-policies-logging-destinations"></a>

En esta sección se describen los destinos de registro que puede elegir para enviar los registros AWS WAF de políticas. Cada sección proporciona instrucciones a fin de configurar el registro para el tipo de destino e información sobre cualquier comportamiento específico del tipo de destino. Una vez que haya configurado el destino de registro, puede proporcionar sus especificaciones a la AWS WAF política de Firewall Manager para empezar a iniciar sesión en él.

Firewall Manager no puede ver los errores de registro después de crear la configuración de registro. Es su responsabilidad comprobar que la entrega de registros funciona según lo previsto.

Firewall Manager no modifica ninguna configuración de registro existente en las cuentas de los miembros de su organización. 

**Topics**
+ [Flujos de datos de Amazon Data Firehose](#waf-policies-logging-destinations-kinesis-data-firehose)
+ [Buckets de Amazon Simple Storage Service Batch](#waf-policies-logging-destinations-s3)

## Flujos de datos de Amazon Data Firehose
<a name="waf-policies-logging-destinations-kinesis-data-firehose"></a>

En este tema se proporciona información para enviar los registros de tráfico de ACL web a un flujo de datos de Amazon Data Firehose.

Cuando habilitas el registro de Amazon Data Firehose, Firewall Manager envía los registros desde la web de tu política ACLs a un Amazon Data Firehose donde has configurado un destino de almacenamiento. Tras habilitar el registro, AWS WAF entrega los registros de cada ACL web configurada, a través del punto de enlace HTTPS de Kinesis Data Firehose, al destino de almacenamiento configurado. Antes de usarla, pruebe la transmisión de entrega para asegurarse de que tiene el rendimiento suficiente para alojar los registros de su organización. Para obtener más información acerca de cómo crear en Amazon Kinesis Data Firehose y revisar los registros almacenados, consulte [¿Qué es Amazon Data Firehose?](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)

Debe tener los siguientes permisos para habilitar correctamente el registro con Kinesis:
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

Al configurar un destino de registro de Amazon Data Firehose en una AWS WAF política, Firewall Manager crea una ACL web para la política en la cuenta de administrador de Firewall Manager de la siguiente manera: 
+ Firewall Manager crea la ACL web en la cuenta de administrador de Firewall Manager, independientemente de si la cuenta está dentro del alcance de la política.
+ La ACL web tiene el registro activado, con un nombre de registro `FMManagedWebACLV2-Loggingpolicy name-timestamp`, donde la marca de tiempo es la hora UTC en la que se habilitó el registro para la ACL web, en milisegundos. Por ejemplo, `FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180`. La ACL web no tiene grupos de reglas ni recursos asociados. 
+ Se le cobrará por la ACL web de acuerdo con las pautas AWS WAF de precios. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/). 
+ Firewall Manager elimina la ACL web cuando usted elimina la política. 

Para obtener información acerca de los roles vinculados a servicios y el permiso `iam:CreateServiceLinkedRole`, consulte [Uso de roles vinculados a servicios para AWS WAF](using-service-linked-roles.md).

Para obtener más información acerca de cómo crear su flujo de entrega, consulte [Creación de un flujo de entrega de Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).

## Buckets de Amazon Simple Storage Service Batch
<a name="waf-policies-logging-destinations-s3"></a>

En este tema se proporciona información para enviar los registros de tráfico de ACL web a un bucket de Amazon S3.

El bucket que elija como destino de registro debe ser propiedad de una cuenta de administrador de Firewall Manager. Para obtener información sobre los requisitos para crear su bucket de Amazon S3 para los requisitos de registro y denominación de los buckets, consulte [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) en la *Guía para desarrolladores de AWS WAF *.

**Consistencia final**  
Cuando realiza cambios en AWS WAF las políticas configuradas con un destino de registro de Amazon S3, Firewall Manager actualiza la política del bucket para añadir los permisos necesarios para el registro. Al hacerlo, Firewall Manager sigue los modelos de last-writer-wins semántica y coherencia de datos que sigue Amazon Simple Storage Service. Si realiza simultáneamente varias actualizaciones de políticas en un destino de Amazon S3 en la consola de Firewall Manager o mediante la [PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html)API, es posible que algunos permisos no se guarden. Para obtener más información acerca del modelo de coherencia de Amazon S3, consulte [Modelo de coherencia de datos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#ConsistencyModel) en la *Guía del usuario de Amazon Simple Storage Service*.

### Permisos para publicar registros en un bucket de Amazon S3
<a name="waf-policies-logging-s3-permissions"></a>

La configuración del registro de tráfico de ACL web para un bucket de Amazon S3 en una AWS WAF política requiere los siguientes ajustes de permisos. Firewall Manager adjunta automáticamente estos permisos a su bucket de Amazon S3 cuando usted configura Amazon S3 como su destino de registro para dar permiso al servicio para publicar registros en el bucket. Si desea administrar un acceso más detallado a sus recursos de registro y del Firewall Manager, puede configurar estos permisos. Para obtener información sobre la administración de permisos, consulte [Administración de acceso a recursos de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) en la *Guía del usuario de IAM*. Para obtener información sobre las políticas AWS WAF administradas, consulte[AWS políticas gestionadas para AWS WAF](security-iam-awsmanpol.md). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}
```

------

Para evitar el problema de escalonamiento de privilegios entre servicios, puede agregar las claves de contexto de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) a la política de su bucket. Para agregar estas claves, puede modificar la política que el Firewall Manager crea para usted al configurar el destino del registro o, si desea un control detallado, puede crear su propia política. Si agrega estas condiciones a su política de destino de registro, Firewall Manager no validará ni supervisará la protección de escalonamiento de privilegios. Para obtener información general sobre el problema del suplente confuso, consulte [El problema del escalonamiento de privilegios](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) en la *Guía del usuario de IAM*. 

Cuando agregue `sourceAccount`, agregue las propiedades `sourceArn`, aumentará el tamaño de la política del bucket. Si va a agregar una lista larga de propiedades `sourceArn` agregue `sourceAccount`, procure no superar el límite de [tamaño de la política de bucket](https://docs.aws.amazon.com/general/latest/gr/s3.html#limits_s3) de Amazon S3.

En el siguiente ejemplo se muestra cómo evitar el problema del suplente confuso mediante el uso de las claves de contexto de condición global `aws:SourceArn` y `aws:SourceAccount` en la política de su bucket. *member-account-id*Sustitúyala por la cuenta IDs de los miembros de tu organización.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      }
   ]
}
```

------

#### Uso de cifrado del servidor del bucket de Amazon S3
<a name="waf-policies-logging-s3-kms-permissions"></a>

Puede activar el cifrado del lado del servidor de Amazon S3 o utilizar una clave gestionada por el AWS Key Management Service cliente en su bucket de S3. Si eliges usar el cifrado predeterminado de Amazon S3 en tu bucket de Amazon S3 para AWS WAF los registros, no necesitas realizar ninguna acción especial. Sin embargo, si decide utilizar una clave de cifrado proporcionada por el cliente para cifrar sus datos en reposo de Amazon S3, debe añadir la siguiente declaración de permiso a su AWS Key Management Service política de claves:

```
{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}
```

Para obtener información sobre el uso de claves de cifrado proporcionadas por el cliente con Amazon S3, consulte [Uso del cifrado del servidor con claves proporcionadas por el cliente (SSE-C)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html) en la *Guía del usuario de Amazon Simple Storage Service*.

# Habilitar el registro de una AWS WAF política en Firewall Manager
<a name="waf-policies-enabling-logging"></a>

El siguiente procedimiento describe cómo habilitar el registro de una AWS WAF política en la consola de Firewall Manager.

**Para habilitar el registro de una AWS WAF política**

1. Para poder habilitar el registro, debe configurar los recursos de destino del registro de la siguiente manera:
   + **Amazon Kinesis Data Streams**: cree una Amazon Data Firehose con su cuenta de administrador de Firewall Manager. Utilice un nombre que empiece por el prefijo `aws-waf-logs-`. Por ejemplo, `aws-waf-logs-firewall-manager-central`. Cree la instancia de Data Firehose con un origen `PUT` y en la región en la que opera. Si vas a capturar troncos para Amazon CloudFront, crea la manguera de incendios en EE. UU. Este (Norte de Virginia). Antes de usarla, pruebe la transmisión de entrega para asegurarse de que tiene el rendimiento suficiente para alojar los registros de su organización. Para obtener más información, consulte [Creación de un flujo de entrega de Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
   + **Buckets de Amazon Simple Storage Service**: cree un bucket de Amazon S3 de acuerdo con las directrices del tema [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) en la *Guía para desarrolladores de AWS WAF *. También debe configurar su bucket de Amazon S3 con los permisos que se indican en [Permisos para publicar registros en un bucket de Amazon S3](waf-policies-logging-destinations.md#waf-policies-logging-s3-permissions).

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Políticas de Seguridad**.

1. Elija la AWS WAF política para la que desee habilitar el registro. Para obtener más información acerca del registro en AWS WAF , consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).

1. En la pestaña **Detalles de la política**, en la sección **Reglas de la política**, seleccione **Editar**. 

1. Para la **configuración del registro**, seleccione **Habilitar el registro** para activar el registro. El registro ofrece obtener información detallada sobre el tráfico que analiza su ACL web. Seleccione el **destino del registro** y, a continuación, seleccione el destino del registro que haya configurado. Debe elegir un destino de registro cuyo nombre comience con `aws-waf-logs-`. Para obtener información sobre la configuración de un destino de AWS WAF registro, consulte[Uso de AWS WAF políticas con Firewall Manager](waf-policies.md).

1. (Opcional) Si no desea determinados campos y sus valores incluidos en los registros, redacte esos campos. Elija el campo que se va a redactar y, a continuación, elija **Add (Añadir)**. Repita según sea necesario para redactar campos adicionales. Los campos redactados aparecen como `REDACTED` en los registros. Por ejemplo, si redacta el campo **URI**, el campo **URI** de los registros será `REDACTED`. 

1. (Opcional) Si no desea enviar todas las solicitudes a los registros, agregue sus criterios de filtrado y su comportamiento. En **Filtrar registros**, para cada filtro que desee aplicar, elija **Agregar filtro** y, a continuación, elija sus criterios de filtrado y especifique si desea conservar o eliminar las solicitudes que coincidan con los criterios. Cuando termine de agregar los filtros, si es necesario, modifique el **comportamiento de registro predeterminado**. Para obtener más información, consulte [Cómo encontrar los registros de su paquete de protección (ACL web)](logging-management.md) en la *Guía para desarrolladores de AWS WAF *.

1. Elija **Siguiente**.

1. Revise su configuración y, a continuación, seleccione **Guardar** para guardar los cambios en la política.

# Inhabilitar el registro de una AWS WAF política en el Firewall Manager
<a name="waf-policies-disabling-logging"></a>

El siguiente procedimiento describe cómo deshabilitar el registro de una AWS WAF política en la consola de Firewall Manager.

**Para deshabilitar el registro de una AWS WAF política**

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Políticas de Seguridad**.

1. Elija la AWS WAF política para la que desee deshabilitar el registro.

1. En la pestaña **Detalles de la política**, en la sección **Reglas de la política**, seleccione **Editar**. 

1. En **Estado de configuración de registro**, seleccione **Desactivado**.

1. Elija **Siguiente**.

1. Revise su configuración y, a continuación, seleccione **Guardar** para guardar los cambios en la política.

**nota**  
Modifique o deshabilite el registro de las políticas de Firewall Manager solo a través de la interfaz de Firewall Manager. Si actualiza o elimina la configuración de registro de una ACL web administrada por Firewall Manager, Firewall Manager no detectará el cambio automáticamente. AWS WAF Si lo ha utilizado AWS WAF, puede solicitar manualmente una actualización de la AWS WAF política del Firewall Manager reevaluando la regla de la política. AWS Config Para ello, en la AWS Config consola, busque la AWS Config regla de la política del Firewall Manager y seleccione la acción de reevaluación.