Funcionamiento del etiquetado en AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Funcionamiento del etiquetado en AWS WAF

En esta sección, se explica cómo funcionan las etiquetas de AWS WAF.

Cuando una regla coincide con una solicitud web, si la regla tiene etiquetas definidas, AWS WAF agrega las etiquetas a la solicitud al final de la evaluación de la regla. Las reglas que se evalúan después de la regla coincidente en el paquete de protección (ACL web) pueden hacer coincidir las etiquetas que esa regla haya agregado.

Quién añade etiquetas a las solicitudes

Los componentes del paquete de protección (ACL web) que evalúan solicitudes pueden agregar etiquetas a las solicitudes.

  • Cualquier regla que no sea una instrucción de referencia de un grupo de reglas puede agregar etiquetas a las solicitudes web coincidentes. Los criterios de etiquetado forman parte de la definición de la regla y, cuando una solicitud web coincide con la regla, AWS WAF agrega las etiquetas de la regla a la solicitud. Para obtener más información, consulte Reglas AWS WAF que agregan etiquetas.

  • La instrucción de la regla de coincidencia geográfica agrega etiquetas de país y región a todas las solicitudes que inspecciona, independientemente de si encuentra o no una coincidencia. Para obtener más información, consulte Instrucción de regla de coincidencia geográfica.

  • Todas las reglas administradas de AWS para AWS WAF añaden etiquetas a las solicitudes que inspeccionan. Agregan algunas etiquetas en función de las coincidencias de reglas en el grupo de reglas y otras en función de los procesos de AWS que utilizan los grupos de reglas administradas, como el etiquetado de token que se agrega cuando se usa un grupo de reglas de mitigación de amenazas inteligente. Para obtener información sobre las etiquetas que agrega cada grupo de reglas administradas, consulte Lista de grupos de reglas administradas de AWS.

Cómo AWS WAF gestiona las etiquetas

AWS WAF agrega las etiquetas de la regla a la solicitud al final de la inspección de la solicitud por parte de la regla. El etiquetado forma parte de las actividades de coincidencia de una regla, de forma similar a la acción.

Las etiquetas no permanecen con la solicitud web después de que finaliza la evaluación del paquete de protección (ACL web). Para que otras reglas puedan hacer coincidir una etiqueta que su regla agrega, la acción de su regla no debe finalizar la evaluación de la solicitud web por parte del paquete de protección (ACL web). La acción de regla debe estar establecida en Count, CAPTCHA, o Challenge. Cuando la evaluación del paquete de protección (ACL web) no finaliza, las reglas posteriores en el paquete de protección (ACL web) pueden aplicar sus criterios de coincidencia de etiquetas sobre la solicitud. Para obtener más información sobre las acciones de las reglas, consulte Utilización de acciones de reglas en AWS WAF.

Acceso a etiquetas durante la evaluación del paquete de protección (ACL web)

Una vez agregadas, las etiquetas permanecen disponibles en la solicitud siempre que AWS WAF evalúe la solicitud respecto del paquete de protección (ACL web). Cualquier regla de un paquete de protección (ACL web) puede acceder a las etiquetas que han agregado las reglas que ya se han ejecutado en la misma ACL web. Esto incluye reglas definidas directamente dentro del paquete de protección (ACL web) y reglas definidas dentro de grupos de reglas que se utilicen en el paquete de protección (ACL web).

  • Para hacer coincidir los criterios de inspección de la solicitud de la regla con una etiqueta, utilice la instrucción de concordancia de etiquetas. Puede compararla con cualquier etiqueta que se adjunte a la solicitud. Para obtener información detallada sobre la instrucción, consulte Instrucción de regla de coincidencia de etiquetas.

  • La declaración de coincidencia geográfica agrega etiquetas con o sin coincidencia, pero solo están disponibles después de que la instrucción que contiene la regla del paquete de protección (ACL web) haya completado la evaluación de la solicitud.

    • No puede usar una sola regla, por ejemplo, una instrucción lógica AND, para ejecutar una instrucción de concordancia geográfica seguida de una instrucción de concordancia de etiquetas con las etiquetas geográficas. Debe colocar la instrucción de coincidencia de etiquetas en una regla independiente que se ejecute después de la regla que contiene la instrucción de coincidencia geográfica.

    • Si utiliza una instrucción de coincidencia geográfica como una instrucción de restricción de acceso dentro de una instrucción de regla basada en tasas o una instrucción de referencia de un grupo de reglas administradas, las etiquetas que agrega la instrucción de coincidencia geográfica no están disponibles para que las inspeccione la instrucción de la regla contenedora. Si necesita inspeccionar el etiquetado geográfico en una instrucción de regla basada en tasas o en un grupo de reglas, debe ejecutar la instrucción de coincidencia geográfica en una regla independiente que se ejecute de antemano.

Acceso a la información de etiquetas fuera de la evaluación del paquete de protección (ACL web)

Las etiquetas no permanecen con la solicitud web después de que finaliza la evaluación del paquete de protección (ACL web), pero AWS WAF registra la información de las etiquetas en los registros y en las métricas.

La evaluación de su paquete de protección (ACL web) puede aplicar más de 100 etiquetas a una solicitud web y hacer coincidir más de 100 etiquetas, pero AWS WAF solo registra las 100 primeras de los registros y las métricas.