**引入全新的主机体验 AWS WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Firewall Manager 配额
AWS Firewall Manager 受以下配额(以前称为限制)的约束。
AWS Firewall Manager 有您可以增加的默认配额和固定配额。
由 Firewall Manager 管理的安全组策略和网络 ACL 策略需要遵循标准 Amazon VPC 限额。有关更多信息,请参阅 [Amazon VPC 用户指南](https://docs.aws.amazon.com/vpc/latest/userguide/)中的 [Amazon VPC 限额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)。
每个 Firewall Manager Network Firewall 策略都会创建一个Network Firewall 防火墙,其中包含相关的防火墙策略及其规则组。这些 Network Firewall 资源遵循 *Network Firewall 开发人员指南*中列出的 [AWS Network Firewall 限额](https://docs.aws.amazon.com/network-firewall/latest/developerguide/quotas.html)。
## 软限额
AWS Firewall Manager 对每个区域的实体数量有默认配额。您可以[请求提高](https://console.aws.amazon.com/servicequotas/home/services/fms/quotas)这些限额。
**所有策略类型**
| 资源 | 每个区域的默认限额 |
| --- | --- |
| 中每个组织的账户数 AWS Organizations | 可变。发送到账户的邀请将计入此限额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期,则撤销此计数。 |
| AWS Organizations中每个组织的 Firewall Manager 策略数 | 50。区域规格 `Global` 和 `US East (N. Virginia) Region` 所指的区域相同,因此此限制适用于这两个区域的总组合策略。 |
| 每个 Firewall Manager 策略在范围内的组织单位数 | 20 |
| 如果您明确包含和排除个人账户,Firewall Manager 策略作用域内的账户。 | 200 |
| 如果您未明确包含或排除个人账户,Firewall Manager 策略作用域内的账户。 | 2,500 |
| 组织中 AWS Organizations 可以包含的帐户,供该组织通过 Firewall Manager 登录。计数包括 Firewall Manager 管理员账户。 | 10000 |
| 每个 Firewall Manager 策略的包含或排除资源的标签数 | 8 |
| 每个账户的资源集数。 | 20 |
| 每个资源集的资源数。 | 100 |
| 每个 Firewall Manager 策略的资源集数。 | 5 |
**AWS WAF 政策**
| 资源 | 每个区域的默认限额 |
| --- | --- |
| AWS WAF 每个 Firewall Manager 管理员帐户的规则组。 | 100 |
| AWS WAF 每个 Firewall Manager 管理员帐户的经典规则组。 | 10 |
| 每个 AWS WAF 策略的规则组。 | 50 |
| 每个 AWS WAF 策略的合作伙伴规则组。 | 1 |
**通用安全组策略**
| 资源 | 每个区域的默认限额 |
| --- | --- |
| 每个策略的主要安全组数 | 3 |
| 每个账户的每个策略范围内的 Amazon VPC 实例,包括共享实例 VPCs。 | 100 |
**内容审核安全组策略**
| 资源 | 每个区域的默认限额 |
| --- | --- |
| 每个策略的审核安全组。 | 1 |
| 每个应用程序列表的应用程序数 | 50 |
| 允许所有流量的规则的自定义托管应用程序列表。 | 1 |
| 每个策略规则的自定义托管应用程序列表数。 | 1 |
| 每个账户的自定义托管式应用程序列表数 | 10 |
| 每个协议列表的协议数 | 5 |
| 策略中任何设置的自定义托管协议列表。 | 1 |
| 每个账户的自定义托管式协议列表数 | 10 |
**网络 ACL 策略**
| 资源 | 每个区域的默认限额 |
| --- | --- |
| 每个网络 ACL 策略的入站规则数,用于第一条或最后一条规则。例如,您可以有 5 个第一条和 0 个最后一条入站规则,或者有 2 个第一条和 3 个最后一条规则,但不能有 4 个第一条规则和 2 个最后一条规则。 | 5 |
| 每个网络 ACL 策略的出站规则数,用于第一条或最后一条规则。例如,您可以有 5 个第一条和 0 个最后一条出站规则,或者有 2 个第一条和 3 个最后一条规则,但不能有 4 个第一条规则和 2 个最后一条规则。 | 5 |
**Network Firewall 策略**
| 资源 | 每个区域的默认限额 |
| --- | --- |
| 您可以为单 IPV4 CIDRs 份保单提供的数量。 | 50 |
| 每个 Network Firewall 策略的有状态规则组容量。 | 30000 |
**DNS 防火墙策略**
| 资源 | 每个区域的默认限额 |
| --- | --- |
| 每个 DNS Firewall 策略的 DNS Firewall 规则组数 | 2 |
## 硬限额
以下与之相关的每个区域的配额 AWS Firewall Manager 无法更改。
**所有策略类型**
| 资源 | 每个区域的限额 |
| --- | --- |
| 一个 AWS Organizations 组织中可以拥有的最大 Firewall Manager 管理员人数。必须有一个默认管理员和多达九个 Firewall Manager 管理员。 | 10 |
**AWS WAF 政策**
| 资源 | 每个区域的限额 |
| --- | --- |
| 一个 AWS WAF 策略中的规则组的总 web ACL 容量单位 (WCU) 数。 | 5000 |
**AWS WAF 经典策略**
| 资源 | 每个区域的限额 |
| --- | --- |
| AWS WAF 每个策略的经典规则组。 | 2:1 个客户创建的规则组和 1 个 AWS Marketplace 规则组。 |
| AWS WAF 每个 Firewall Manager AWS WAF 经典规则组的经典规则。 | 10 |
**Network Firewall 策略**
| 资源 | 每个区域的限额 |
| --- | --- |
| 其中一些 VPCs 可以针对单个策略自动修复。 | 1000 |
| 每个 Network Firewall 策略的无状态规则组数。 | 20 |
| 每个 Network Firewall 策略的有状态规则组数。 | 20 |
| 每个 Network Firewall 策略的无状态规则组容量。 | 30000 |