Kebijakan Firewall DNS Route 53 Resolver - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan Firewall DNS Route 53 Resolver

Anda dapat menggunakan kebijakan FirewallAWS Firewall Manager DNS untuk mengelola asosiasi antara grup aturan Firewall DNS Resolver Amazon Route 53 dan VPC Amazon Virtual Private Cloud Anda di seluruh organisasi AndaAWS Organizations. Anda dapat menerapkan grup aturan yang dikontrol secara terpusat ke seluruh organisasi Anda, atau ke subset tertentu dari akun dan VPC Anda.

DNS Firewall menyediakan penyaringan dan pengaturan lalu lintas DNS keluar untuk VPC Anda. Anda membuat koleksi aturan pemfilteran yang dapat digunakan kembali di grup aturan DNS Firewall dan Anda mengaitkan grup aturan ke VPC. Saat Anda menerapkan kebijakan Firewall Manager, untuk setiap akun dan VPC yang berada dalam cakupan kebijakan, Firewall Manager membuat hubungan antara setiap grup aturan Firewall DNS dalam kebijakan dan setiap VPC yang berada dalam lingkup kebijakan, menggunakan pengaturan prioritas asosiasi yang Anda tentukan di Firewall Kebijakan manajer.

Untuk informasi tentang penggunaan DNS Firewall, lihat Firewall DNS Resolver Amazon Route 53 di Panduan Pengembang Amazon Route 53.

Bagian berikut mencakup persyaratan untuk menggunakan kebijakan Firewall Manager DNS Firewall dan menjelaskan cara kerja kebijakan. Untuk prosedur pembuatan kebijakan, lihatMembuatAWS Firewall Manager kebijakan untuk Firewall DNS Firewall.

Anda harus mengaktifkan berbagi sumber daya

Kebijakan Firewall DNS membagikan grup aturan Firewall DNS di seluruh akun di organisasi Anda. Agar ini berfungsi, Anda harus mengaktifkan berbagi sumber dayaAWS Organizations. Untuk informasi tentang cara mengaktifkan berbagi sumber daya, lihatBerbagi sumber daya untuk kebijakan Network Firewall dan Firewall DNS.

Anda harus menetapkan grup aturan DNS Firewall

Saat menentukan kebijakan Firewall DNS baru, Anda menentukan grup aturan yang sama seperti yang Anda lakukan saat menggunakan Firewall DNS Resolver Amazon Route 53 secara langsung. Grup aturan Anda harus sudah ada di akun administrator Firewall Manager agar Anda dapat memasukkannya ke dalam kebijakan. Untuk informasi tentang membuat grup aturan Firewall DNS, lihat grup dan aturan aturan Firewall DNS.

Anda menentukan asosiasi kelompok aturan prioritas terendah dan tertinggi

Asosiasi grup aturan Firewall DNS yang Anda kelola melalui kebijakan Firewall Manager DNS Firewall berisi asosiasi prioritas terendah dan asosiasi prioritas tertinggi untuk VPC Anda. Dalam konfigurasi kebijakan Anda, ini muncul sebagai grup aturan pertama dan terakhir.

DNS Firewall menyaring lalu lintas DNS untuk VPC dengan urutan sebagai berikut:

  1. Grup aturan pertama, yang Anda tetapkan dalam kebijakan Firewall DNS Firewall Manager. Nilai yang valid adalah antara 1 dan 99.

  2. Grup aturan Firewall DNS yang diasosiasikan oleh manajer akun individual melalui DNS Firewall.

  3. Grup aturan terakhir, yang Anda tetapkan dalam kebijakan Firewall DNS Firewall Manager. Nilai yang valid adalah antara 9901 dan 10000.

Bagaimana Firewall Manager menamai asosiasi grup aturan yang dibuatnya

Ketika Anda menyimpan kebijakan Firewall DNS, jika Anda mengaktifkan autoremediation, Firewall Manager membuat asosiasi Firewall DNS antara grup aturan yang Anda berikan dalam kebijakan dan VPC yang berada dalam lingkup kebijakan. Firewall Manager menamai asosiasi ini dengan menggabungkan nilai-nilai berikut:

  • String tetap,FMManaged_.

  • ID kebijakan Firewall Manager. Ini adalah IDAWS sumber daya untuk kebijakan Firewall Manager.

Berikut ini menunjukkan contoh nama untuk firewall yang dikelola oleh Firewall Manager:

FMManaged_EXAMPLEDNSFirewallPolicyId

Setelah Anda membuat kebijakan, jika pemilik akun di VPC mengganti pengaturan kebijakan firewall atau asosiasi grup aturan Anda, maka Firewall Manager akan menandai kebijakan tersebut sebagai tidak patuh dan mencoba mengusulkan tindakan perbaikan. Pemilik akun dapat mengaitkan grup aturan Firewall DNS lainnya ke VPC yang berada dalam lingkup kebijakan Firewall DNS. Asosiasi apa pun yang dibuat oleh pemilik akun individu harus memiliki pengaturan prioritas antara asosiasi grup aturan pertama dan terakhir Anda.