AWS WAF のウェブ ACL キャパシティユニット (WCU) について

このセクションでは、ウェブ ACL キャパシティーユニット (WCU) とは何か、およびそれらの仕組みについて説明します。

AWS WAF は WCU を使用して、ルール、ルールグループ、およびウェブ ACL の実行に必要なオペレーティングリソースを計算および制御します。AWS WAF は、ルールグループとウェブ ACL を設定するときに、WCU 制限を適用します。WCU は、AWS WAF によるウェブトラフィックの検査方法には影響しません。

AWS WAF は、ルール、ルールグループ、およびウェブ ACL の容量を管理します。

ルール WCU

AWS WAF は、ルールを作成または更新するときにルール容量を計算します。AWS WAF は、ルールタイプごとに異なる方法で容量を計算し、各ルールの相対コストを反映させます。実行コストがほとんどない単純なルールでは、処理能力が大きい複雑なルールよりも使用される WCU が少なくなります。例えば、サイズ制約ルールステートメントでは、正規表現パターンセットを使用して検査するステートメントよりも使用する WCU が少なくなります。

ルール容量要件は通常、ルールタイプの基本コストに始まり、検査前にテキスト変換を追加する場合や JSON 本文を検査する場合など、複雑になるほど増えていきます。ルール容量要件については、「AWS WAF でのルールステートメントの使用」にあるルールステートメントのリストを参照してください。

ルールグループ WCU

ルールグループの WCU 要件は、ルールグループ内で定義したルール数によって決まります。ルールグループの最大容量は 5,000 WCU です。

各ルールグループには、所有者が作成時に割り当てるイミュータブルな容量設定があります。これは、AWS WAF を使用して作成したマネージド規則グループおよびルールグループに当てはまります。ルールグループを変更する場合、それらの変更に伴うルールグループの WCU を容量内に収める必要があります。そうすることで、ルールグループを使用しているウェブ ACL が確実に容量要件内にとどまります。

ルールグループで使用されている WCU の数は、ルールの WCU の合計から、ルールの動作を組み合わせることで AWS WAF が得られる処理最適化を差し引いた数です。例えば、同じウェブリクエストコンポーネントを検査するルールを 2 つ定義し、それぞれのルールでコンポーネントを検査する前に特定の変換を適用する場合、AWS WAF は変換の適用に対して 1 回だけ課金する場合があります。ウェブ ACL のルールグループを使用するための WCU コストは、常にルールグループ作成時に定義した固定の WCU 設定です。

ルールグループを作成するときは、ルールグループの有効期間中に使用するルール数に対応できる十分な容量を設定するように注意してください。

ウェブ ACL WCU

ウェブ ACL の WCU 要件は、ウェブ ACL 内で使用するルールとルールグループの数によって決まります。

ウェブ ACL の基本料金には、最大 1,500 WCU の容量が含まれます。1,500 WCU を超える容量を使用すると、階層化された料金モデルに従って追加料金が発生します。AWS WAF は、ウェブ ACL WCU の使用量の変化に応じて、ウェブ ACL の料金を自動的に調整します。料金の詳細については、「AWS WAF の料金」を参照してください。

ウェブ ACL の最大容量は 5,000 WCU です。

ルールグループまたはウェブ ACL の WCU を決定する

前のセクションで説明したように、ルールグループまたはウェブ ACL で使用される WCU の合計は、ルールグループまたはウェブ ACL で定義されているすべてのルールの WCU の合計と同じかそれ以下になります。

AWS WAF コンソールでは、ルールをウェブ ACL またはルールグループに追加したときに消費された容量を確認できます。ルールを追加するときに使用された現在のキャパシティユニットがコンソールに表示されます。

API を介して、ウェブ ACL またはルールグループで使用するルールの最大容量要件を確認できます。確認する場合は、チェックキャパシティコールでルールの JSON リストを指定します。詳細については、「AWS WAF V2 API リファレンス」の「CheckCapacity」を参照してください。