Políticas de DNS firewall de Amazon Route 53 Resolver - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas de DNS firewall de Amazon Route 53 Resolver

Puede utilizar las políticas de firewall de AWS Firewall Manager DNS para administrar las asociaciones entre los grupos de reglas de firewall de DNS de Amazon Route 53 Resolver y sus VPC de Amazon Virtual Private Cloud en toda la organización en AWS Organizations. Puede aplicar grupos de reglas controlados centralmente a toda su organización o a un subconjunto selecto de sus cuentas y VPC.

DNS Firewall proporciona filtrado y regulación del tráfico DNS saliente para sus VPC. Crea colecciones reutilizables de reglas de filtrado en grupos de reglas de DNS Firewall y asocia los grupos de reglas a sus VPC. Al aplicar la política de Firewall Manager para cada cuenta y VPC que se encuentra dentro del alcance de la política, Firewall Manager crea una asociación entre cada grupo de reglas de DNS firewall en la política y cada VPC que se encuentra dentro del alcance de la política, utilizando la configuración de prioridad de asociación que especifique en la política de Firewall Manager.

Para obtener información sobre el uso de DNS Firewall, consulte DNS Firewall de Amazon Route 53 Resolver, en la Guía para desarrolladores de Amazon Route 53.

En las siguientes secciones se describen los requisitos para usar las políticas de DNS firewall de Firewall Manager y se describe cómo funcionan las políticas. Para conocer el procedimiento para crear la política, consulte Creación de una AWS Firewall Manager política para Amazon Route 53 Resolver DNS Firewall.

Debe habilitar el uso compartido de recursos

Una política de DNS firewall comparte los grupos de reglas de DNS firewall entre las cuentas de su organización. Para que esto funcione, debe tener activado el uso compartido de recursos con AWS Organizations. Para obtener información acerca de cómo habilitar el uso compartido de recursos, consulte Uso compartido de recursos para las políticas de Network Firewall y DNS Firewall.

Debe tener definidos los grupos de reglas de DNS Firewall

Cuando especifica una nueva política de DNS firewall, define los grupos de reglas de la misma manera que cuando utiliza directamente el DNS firewall de Amazon Route 53 Resolver. Sus grupos de reglas deben existir ya en la cuenta de administrador del Firewall Manager para que pueda incluirlos en la política. Para obtener información sobre la creación de grupos de reglas del DNS Firewall, consulte Reglas y grupos de reglas de DNS Firewall.

Defina las asociaciones de grupos de reglas de prioridad más baja y más alta

Las asociaciones de grupos de reglas de DNS Firewall que administra mediante las políticas de Firewall Manager de DNS Firewall contienen las asociaciones de menor prioridad y las asociaciones de mayor prioridad para sus VPC. En la configuración de políticas, aparecen como primer y último grupo de reglas.

DNS firewall filtra el tráfico de DNS de la VPC en el siguiente orden:

  1. Primeros grupos de reglas, definidos por usted en la política de DNS Firewall Manager. Los valores válidos se encuentran entre 1 y 99.

  2. Grupos de reglas de DNS firewall que los administradores de cuentas individuales asocian a través del DNS firewall.

  3. Últimos grupos de reglas, definidos por usted en la política de DNS Firewall Manager. Los valores válidos están entre 9.901 y 10.000.

Eliminar un grupo de reglas

Para eliminar un grupo de reglas de una política DNS firewall de Firewall Manager, debe realizar los siguientes pasos:

  1. Elimine el grupo de reglas de la política de DNS Firewall Manager.

  2. Deje de compartir el grupo de reglas en. AWS Resource Access Manager Para dejar de compartir un grupo de reglas de su propiedad, debe quitarlo del recurso compartido. Puede hacerlo mediante la AWS RAM consola o la AWS CLI. Para obtener más información sobre como dejar de compartir un recurso, consulte Actualizar un recurso compartido en AWS RAM en la Guía del usuario de AWS RAM .

  3. Elimine el grupo de reglas mediante la consola del firewall DNS o la AWS CLI.

Cómo nombra Firewall Manager las asociaciones de grupos de reglas que crea

Al guardar la política de firewall de DNS, si ha habilitado la corrección automática, Firewall Manager crea una asociación de DNS firewall entre los grupos de reglas que proporcionó en la política y las VPC que están dentro del alcance de la política. Firewall Manager nombra estas asociaciones concatenando los siguientes valores:

  • La cadena fija, FMManaged_.

  • ID de la política de Firewall Manager. Este es el ID AWS de recurso de la política del Firewall Manager.

A continuación se muestra un nombre de ejemplo para un firewall administrado por Firewall Manager:

FMManaged_EXAMPLEDNSFirewallPolicyId

Tras crear la política, si los propietarios de las cuentas de las VPC anulan la configuración de su política de firewall o las asociaciones de su grupo de reglas, Firewall Manager marcará la política como no compatible e intentará proponer una acción correctiva. Los propietarios de las cuentas pueden asociar otros grupos de reglas de DNS firewall a las VPC que estén dentro del alcance de la política de DNS firewall. Cualquier asociación creada por los propietarios de cuentas individuales debe tener una configuración de prioridad entre la primera y la última asociación del grupo de reglas.