Unidades de capacidad de ACL web (WCU) en AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Determinación de las WCU para un grupo de reglas, paquete de protección (ACL web) o ACL web

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Unidades de capacidad de ACL web (WCU) en AWS WAF

En esta sección se explica qué son las unidades de capacidad de ACL web (WCU) y cómo funcionan.

AWS WAF usa las WCU para calcular y controlar los recursos operativos necesarios para ejecutar sus reglas, grupos de reglas y las ACL web. AWS WAF impone los límites de las WCU al configurar los grupos de reglas y las ACL web. Las WCU no afectan a la forma en que AWS WAF inspecciona el tráfico web.

AWS WAF administra la capacidad de las reglas, grupos de reglas y ACL web.

WCU de reglas

AWS WAF calcula la capacidad de las reglas al crear o actualizar una regla. AWS WAF calcula la capacidad de manera diferente para cada tipo de regla, para reflejar el coste relativo de cada regla. Las reglas simples cuya ejecución supone un bajo coste utilizan menos WCU que las reglas más complejas que utilizan más potencia de procesamiento. Por ejemplo, una instrucción de regla de restricción de tamaño utiliza menos WCU que una instrucción que inspecciona las solicitudes mediante un conjunto de patrones de expresiones regex.

Los requisitos de capacidad de las reglas suelen empezar con un coste base para el tipo de regla y aumentan con la complejidad, por ejemplo, cuando se agregan transformaciones de texto antes de la inspección o si se inspecciona el cuerpo JSON. Para obtener información sobre los requisitos de capacidad de las reglas, consulte la lista de instrucciones de reglas en Uso de instrucciones de reglas en AWS WAF.

WCU de grupos de reglas

Los requisitos de WCU para un grupo de reglas vienen determinados por las reglas que defina dentro del grupo de reglas. La capacidad máxima de un grupo de reglas es de 5000 WCU.

Cada grupo de reglas tiene una configuración de capacidad inmutable, que el propietario asigna en el momento de la creación. Esto se aplica a los grupos de reglas administradas y los grupos de reglas que cree con AWS WAF. Al modificar un grupo de reglas, los cambios deben mantener la WCU del grupo de reglas dentro de su capacidad. Esto garantiza que los paquetes de protección (ACL web) que utilizan el grupo de reglas permanezcan dentro de sus requisitos de capacidad.

Las WCU que se utilizan en un grupo de reglas son la suma de las WCU de las reglas menos las optimizaciones de procesamiento que AWS WAF puede obtener al combinar el comportamiento de las reglas. Por ejemplo, si define dos reglas para examinar el mismo componente de solicitud web y cada una de las reglas aplica una transformación concreta al componente antes de inspeccionarlo, es posible que AWS WAF solo le cobre una vez por aplicar la transformación. El coste de la WCU para usar un grupo de reglas en un paquete de protección (ACL web) es siempre la configuración fija de la WCU que se definió al crear el grupo de reglas.

Al crear un grupo de reglas, asegúrese de establecer una capacidad lo suficientemente alta como para dar cabida a las reglas que quiera utilizar durante toda la vida útil del grupo de reglas.

WCU del paquete de protección o la ACL web

Los requisitos de la WCU para un paquete de protección (ACL web) se determinan en función de las reglas y los grupos de reglas que use dentro del paquete de protección (ACL web).

  • El coste de usar un grupo de reglas en un paquete de protección (ACL web) es la configuración de la capacidad del grupo de reglas.

  • El coste de usar una regla es la WCU calculada de la regla menos cualquier optimización de procesamiento que AWS WAF pueda obtener de la combinación de reglas del paquete de protección (ACL web). Por ejemplo, si define dos reglas para examinar el mismo componente de solicitud web y cada una de las reglas aplica una transformación concreta al componente antes de inspeccionarlo, es posible que AWS WAF solo le cobre una vez por aplicar la transformación.

El precio básico de un paquete de protección (ACL web) incluye hasta 1500 WCU. El uso de más de 1500 WCU implica tarifas adicionales, según un modelo de precios escalonado. AWS WAF ajusta automáticamente los precios del paquete de protección (ACL web) a medida que cambia el uso de las WCU del paquete de protección (ACL web). Para obtener más información sobre precios, consulte precios de AWS WAF.

La capacidad máxima de un paquete de protección (ACL web) es de 5000 WCU.

Determinación de las WCU para un grupo de reglas, paquete de protección (ACL web) o ACL web

Como se ha indicado en las secciones anteriores, el total de las WCU que se usan en un grupo de reglas, paquete de protección (ACL web) o ACL web será igual o inferior a la suma de las WCU de todas las reglas definidas en el grupo de reglas, paquete de protección (ACL web) o ACL web.

En la consola de AWS WAF puede ver la capacidad consumida al agregar reglas a su paquete de protección (ACL web), ACL web o grupo de reglas. La consola muestra las unidades de capacidad actuales utilizadas al agregar las reglas.

A través de la API puede comprobar los requisitos de capacidad máxima de las reglas que desee usar en un paquete de protección (ACL web), ACL web o grupo de reglas. Para ello, proporcione la lista de JSON de las reglas a la llamada de verificación de capacidad. Para obtener más información, consulte CheckCapacity en la Guía de referencia de la API V2 de AWS WAF.