Можем ли мы создать один ACL с одним правилом и связать его с одним условием, включая несколько IP-адресов, которые мы хотим заблокировать?
Да, условие сопоставления IP может соответствовать до 10000 IPдиапазоны адресов или CIDR.
В условии соответствия IP-адресов перечислены до 10000 IP-адресов или диапазонов IP-адресов, из которых исходят ваши запросы.Позже, когда вы создаете веб-ACL, вы указываете, разрешать или блокировать запросы с этих IP-адресов.
https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-ip-conditions.html
Можем ли мы назначитьодин и тот же ACL для ELB и CloudFront или нам нужно создать независимые ACL и / или правила?
Это зависит от того, используете ли вы AWS Firewall Manager .Если вы это сделаете, то вы можете управлять ими в одном месте.
В противном случае вам придется делать это отдельно, потому что WAF для CloudFront и WAF для ALB на самом деле являются несколькими независимыми службами - есть один «глобальный регион»."сервис для CloudFront и один сервис для каждого региона EC2.Когда вы создаете условия и списки ACL, вы определяете их в конкретной службе, где вы хотите их использовать (или Firewall Manager развертывает их там, где вы настраиваете).
В любом случае, WAF будет взимать плату за каждый регион, где действуют правила и правила.Списки управления доступом развернуты, но вы можете повторно использовать их в нескольких ресурсах региона без дополнительных затрат.