**Presentamos una nueva experiencia de consola para AWS WAF**
Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Trabajo con grupos de reglas administradas
En esta sección se proporciona orientación para acceder a su grupos de reglas administradas y administrarlos.
Cuando agrega un grupo de reglas administradas a su paquete de protección (ACL web), puede elegir las mismas opciones de configuración que sus propios grupos de reglas, además de configuraciones adicionales.
A través de la consola, puede acceder a la información de los grupos de reglas gestionados durante el proceso de añadir y editar las reglas de sus paquetes de protección (web ACLs). A través de la interfaz de línea de comandos (CLI), puede solicitar directamente información sobre grupos de reglas administrados. APIs
Cuando usa un grupo de reglas administradas en su paquete de protección (ACL web), puede editar las siguientes configuraciones:
+ **Versión**: solo está disponible si el grupo de reglas presenta control de versiones. Para obtener más información, consulte [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md).
+ **Acciones de anular regla**: puede sustituir las acciones de reglas del grupo de reglas por cualquier acción. Definirlas en Count es útil para probar un grupo de reglas antes de usarlo para administrar las solicitudes web. Para obtener más información, consulte [Anulación de acciones de reglas de un grupo de reglas](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).
+ **Declaración de alcance reducido**: puede añadir una declaración de alcance reducido, para filtrar las solicitudes web que no desee evaluar con el grupo de reglas. Para obtener más información, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).
+ **Invalidar la acción del grupo de reglas**: puede anular la acción que se deriva de la evaluación del grupo de reglas y configurarla solo como Count. Esta opción no se utiliza habitualmente. No altera la forma en que AWS WAF se evalúan las reglas del grupo de reglas. Para obtener más información, consulte [Anulación de la acción de retorno del grupo de reglas para Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group).
**Edición de la configuración del grupo de reglas administradas en su paquete de protección (ACL web)**
+ **Consola**
+ (Opción) Cuando agrega el grupo de reglas administradas a su paquete de protección (ACL web), puede elegir **Editar** para ver y editar la configuración.
+ (Opción) Una vez que haya agregado el grupo de reglas administrado a su paquete de protección (ACL web), en la página de **paquetes de protección (web ACLs)**, elija el paquete de protección (ACL web) que acaba de crear. Esto lo lleva a la página web de edición de paquetes de protección (ACL web).
+ Elija **Rules (Reglas)**.
+ Seleccione el grupo de reglas y, a continuación, elija **Editar** para ver y editar la configuración.
+ **APIs y CLI**: fuera de la consola, puede administrar la configuración del grupo de reglas administrado al crear y actualizar el paquete de protección (ACL web).
# Recuperación de la lista de grupos de reglas administradas
Puede recuperar la lista de grupos de reglas administrados que están disponibles para su uso en sus paquetes de protección (web ACLs). La lista incluye lo siguiente:
+ Todos los grupos de reglas de reglas AWS administradas.
+ Los grupos de AWS Marketplace reglas a los que se ha suscrito.
**nota**
Para obtener información sobre la suscripción a grupos de AWS Marketplace reglas, consulte. [AWS Marketplace grupos de reglas](marketplace-rule-groups.md)
Al recuperar la lista de grupos de reglas administradas, la lista que obtenga dependerá de la interfaz que utilice:
+ **Consola**: a través de la consola, puede ver todos los grupos de reglas administrados, incluidos los grupos de AWS Marketplace reglas a los que aún no se ha suscrito. Para aquellos a los que aún no se haya suscrito, la interfaz proporciona enlaces que puede seguir para suscribirse.
+ **APIs y CLI**: fuera de la consola, la solicitud devuelve solo los grupos de reglas que están disponibles para su uso.
**Recuperación de la lista de grupos de reglas administradas**
+ **Consola**: durante el proceso de creación de una ACL web, en la página **Añadir reglas y grupos de reglas**, elija **Añadir grupos de reglas administradas**. En el nivel superior, se enumeran los nombres de los proveedores. Expanda cada descripción de proveedores para ver la lista de grupos de reglas administradas. En el caso de los grupos de reglas con control de versiones, la información que se muestra en este nivel corresponde a la versión predeterminada. Cuando agrega un grupo de reglas administradas al paquete de protección (ACL web), la consola lo agrega a una lista según el esquema de nomenclatura `-`.
+ **API**:
+ `ListAvailableManagedRuleGroups`
+ **CLI**:
+ `aws wafv2 list-available-managed-rule-groups --scope=`
# Cómo recuperar las reglas de un grupo de reglas administradas
Puede recuperar una lista de reglas de un grupo de reglas administradas. Las llamadas a la API y a la CLI devuelven las especificaciones de las reglas a las que puede hacer referencia en el modelo JSON o a través de él AWS CloudFormation.
**Para recuperar la lista de reglas de un grupo de reglas administradas**
+ **Consola**
+ (Opción) Cuando agrega el grupo de reglas administradas a su paquete de protección (ACL web), puede elegir **Editar** para ver las reglas.
+ (Opción) Tras añadir el grupo de reglas gestionado al paquete de protección (ACL web), en la página de **paquetes de protección (web ACLs)**, elija el paquete de protección (ACL web) que acaba de crear. Esto lo lleva a la página web de edición de paquetes de protección (ACL web).
+ Elija **Rules (Reglas)**.
+ Seleccione el grupo de reglas del que desee ver una lista de reglas y, a continuación, elija **Editar**. AWS WAF muestra la lista de reglas del grupo de reglas.
+ **API**: `DescribeManagedRuleGroup`
+ **CLI**: `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
# Recuperación de las versiones disponibles de un grupo de reglas administradas
Las versiones disponibles de un grupo de reglas administradas son versiones cuya caducidad aún no está programada. Las lista indica qué versión es la predeterminada actual para el grupo de reglas.
**Recuperación de una lista de las versiones disponibles de un grupo de reglas administradas**
+ **Consola**
+ (Opción) Cuando agregue el grupo de reglas administradas a su paquete de protección (ACL web), elija **Editar** para ver la información del grupo de reglas. Amplíe el menú desplegable **Versión** para ver la lista de versiones disponibles.
+ (Opción) Tras agregar el grupo de reglas gestionado al paquete de protección (ACL web), seleccione **Editar** en el paquete de protección (ACL web) y, a continuación, seleccione y edite la regla del grupo de reglas. Amplíe el menú desplegable **Versión** para ver la lista de versiones disponibles.
+ **API**:
+ `ListAvailableManagedRuleGroupVersions`
+ **CLI**:
+ `aws wafv2 list-available-managed-rule-group-versions --scope= --vendor-name --name `
# Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola
En esta sección, se explica cómo agregar un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola. Esta guía se aplica a todos los grupos de reglas AWS administradas y a los grupos de AWS Marketplace reglas a los que está suscrito.
**Riesgo de tráfico de producción**
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**nota**
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
**Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola**
**Cómo añadir un grupo de reglas administradas a una ACL web a través de la consola**
1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala desde [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. Elija **los paquetes de protección (web ACLs)** en el panel de navegación.
1. En la página de **paquetes de protección (web ACLs)**, en la lista de paquetes de protección (web ACLs), seleccione aquel al que desee añadir el grupo de reglas. Esto lo lleva a la página del paquete de protección (ACL web) individual.
1. En la página del paquete de protección (ACL web), elija la pestaña **Reglas**.
1. En el panel **Reglas**, seleccione **Agregar reglas** y, a continuación, elija **Agregar grupos de reglas administradas**.
1. En la página **Agregar grupos de reglas administradas**, amplíe la selección del proveedor de grupos de reglas para ver la lista de grupos de reglas disponibles.
1. Para cada grupo de reglas que desee agregar, elija **Agregar al paquete de protección (ACL web)**. Si desea cambiar la configuración del paquete de protección (ACL web) para el grupo de reglas, elija **Editar**, realice los cambios y, a continuación, seleccione **Guardar regla**. Para obtener información sobre las opciones, consulte la guía de control de versiones en [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md) y la guía para usar un grupo de reglas administradas en un paquete de protección (ACL web) en [Uso de sentencias de grupos de reglas gestionados en AWS WAF](waf-rule-statement-type-managed-rule-group.md).
1. En la parte inferior de la página **Agregar grupos de reglas administradas**, elija **Agregar reglas**.
1. En la página **Establecer la prioridad de las reglas**, ajuste el orden en que se ejecutarán las reglas según sea necesario y, a continuación, seleccione **Guardar**. Para obtener más información, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md).
En la página de su paquete de protección (ACL web), los grupos de reglas administradas que ha agregado aparecen en la pestaña **Reglas**.
Pruebe y ajuste cualquier cambio en sus AWS WAF protecciones antes de utilizarlas para el tráfico de producción. Para obtener información, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**Incoherencias temporales durante las actualizaciones**
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos.
A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios:
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible.
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros.
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.
# Recepción de notificaciones sobre nuevas versiones y actualizaciones de un grupo de reglas administradas
En esta sección se explica cómo recibir notificaciones de Amazon SNS sobre nuevas versiones y actualizaciones.
Un proveedor de grupos de reglas gestionados utiliza las notificaciones de SNS para anunciar los cambios en los grupos de reglas, como las próximas nuevas versiones y las actualizaciones de seguridad urgentes.
**Cómo suscribirse a las notificaciones de SNS**
Para suscribirse a las notificaciones de un grupo de reglas, cree una suscripción de Amazon SNS para el ARN del tema de Amazon SNS del grupo de reglas en la región Este de EE. UU. (Norte de Virginia) us-east-1.
Para obtener información sobre cómo suscribirse, consulte la [Guía para desarrolladores de Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/).
**nota**
Cree su suscripción para el tema SNS únicamente en la región us-east-1.
Todos los grupos de reglas de AWS Managed Rules versionados utilizan el mismo tema de SNS: Amazon Resource Name (ARN). Para obtener más información sobre las notificaciones de los grupos de reglas de AWS Managed Rules, consulte. [Notificaciones de implementación](waf-managed-rule-groups-deployments-notifications.md)
**Dónde encontrar el ARN del tema de Amazon SNS para un grupo de reglas administradas**
AWS Los grupos de reglas de reglas administradas utilizan un único ARN de tema de SNS, por lo que puede recuperar el ARN del tema de uno de los grupos de reglas y suscribirse a él para recibir notificaciones de todos los grupos de reglas de reglas de reglas administradas que AWS proporcionan notificaciones de SNS.
+ **Consola**
+ (Opción) Cuando agregar el grupo de reglas administradas a su paquete de protección (ACL web), elija **Editar** para ver la información del grupo de reglas, que incluye el ARN del tema de Amazon SNS del grupo de reglas.
+ (Opción) Tras agregar el grupo de reglas administradas al paquete de protección (ACL web), seleccione **Editar** en el paquete de protección (ACL web) y, a continuación, seleccione y edite la regla del grupo de reglas para ver el ARN del tema de Amazon SNS del grupo de reglas.
+ **API**: `DescribeManagedRuleGroup`
+ **CLI**: `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
Para obtener información general sobre los formatos de notificación de Amazon SNS y cómo filtrar las notificaciones que recibe, consulte [Análisis de formatos de mensajes](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html) y las [Políticas de filtro de suscripciones de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html) en la Guía para desarrolladores de Amazon Simple Notification Service.
# Seguimiento de la caducidad de las versiones de un grupo de reglas
En esta sección se explica cómo supervisar la programación de caducidad de un grupo de reglas gestionado a través de Amazon CloudWatch.
Si usa una versión específica de un grupo de reglas, asegúrese de no seguir usando una versión después de su fecha de caducidad.
**sugerencia**
Suscríbase a las notificaciones de Amazon SNS para los grupos de reglas administradas y manténgase al día con las versiones de los grupos de reglas administradas. Te beneficiarás de la mayor up-to-date protección del grupo de reglas y te anticiparás a la fecha de caducidad. Para obtener información, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones](waf-using-managed-rule-groups-sns-topic.md).
**Para supervisar la programación de caducidad de un grupo de reglas gestionado a través de Amazon CloudWatch**
1. En CloudWatch, localice las métricas de caducidad de su grupo AWS WAF de reglas gestionado. Las métricas tienen los siguientes nombres y dimensiones:
+ Nombre de métrica: DaysToExpiry
+ Dimensiones de métricas: Region, ManagedRuleGroup, Vendor y Version
Si tiene un grupo de reglas administradas en su paquete de protección (ACL web) que evalúa el tráfico, obtendrá una métrica para ello. La métrica no está disponible para los grupos de reglas que no utiliza.
1. Establezca una alarma en las métricas de su interés para recibir una notificación a tiempo para cambiar a una versión más reciente del grupo de reglas.
Para obtener información sobre el uso de CloudWatch las métricas de Amazon y la configuración de alarmas, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
# Ejemplos de configuraciones de grupos de reglas administradas en JSON y YAML
En esta sección se proporcionan algunos ejemplos de configuraciones de grupos de reglas.
Las llamadas a la API y a la CLI devuelven una lista de todas las reglas del grupo de reglas administrado a las que puede hacer referencia en el modelo JSON o a través de él AWS CloudFormation.
**JSON**
Puede hacer referencia a grupos de reglas administradas y modificarlos en una instrucción de regla mediante JSON. En la siguiente lista se muestra el grupo de reglas AWS administradas`AWSManagedRulesCommonRuleSet`, en formato JSON. La especificación de RuleActionOverrides muestra una regla cuya acción se ha sustituido por Count.
```
{
"Name": "AWS-AWSManagedRulesCommonRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesCommonRuleSet",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "NoUserAgent_HEADER"
}
],
"ExcludedRules": []
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesCommonRuleSet"
}
}
```
**YAML**
Puede hacer referencia a grupos de reglas administradas y modificarlos en una instrucción de regla mediante la plantilla de YAML de CloudFormation . En la siguiente lista se muestra el grupo de reglas AWS administradas`AWSManagedRulesCommonRuleSet`, en la CloudFormation plantilla. La especificación de RuleActionOverrides muestra una regla cuya acción se ha sustituido por Count.
```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
ManagedRuleGroupStatement:
VendorName: AWS
Name: AWSManagedRulesCommonRuleSet
RuleActionOverrides:
- ActionToUse:
Count: {}
Name: NoUserAgent_HEADER
ExcludedRules: []
OverrideAction:
None: {}
VisibilityConfig:
SampledRequestsEnabled: true
CloudWatchMetricsEnabled: true
MetricName: AWS-AWSManagedRulesCommonRuleSet
```