Politiche del firewall DNS di Amazon Route 53 Resolver - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Politiche del firewall DNS di Amazon Route 53 Resolver

Puoi utilizzare le policy AWS Firewall Manager DNS Firewall per gestire le associazioni tra i gruppi di regole di Amazon Route 53 Resolver DNS Firewall e i tuoi VPC Amazon Virtual Private Cloud in tutta l'organizzazione in. AWS Organizations Puoi applicare gruppi di regole controllati centralmente all'intera organizzazione o a un sottoinsieme selezionato di account e VPC.

DNS Firewall fornisce il filtraggio e la regolazione del traffico DNS in uscita per i tuoi VPC. Crei raccolte riutilizzabili di regole di filtraggio nei gruppi di regole del firewall DNS e associ i gruppi di regole ai tuoi VPC. Quando si applica la politica di Firewall Manager, per ogni account e VPC che rientra nell'ambito della policy, Firewall Manager crea un'associazione tra ogni gruppo di regole DNS Firewall nella policy e ogni VPC che rientra nell'ambito della policy, utilizzando le impostazioni di priorità di associazione specificate nella policy di Firewall Manager.

Per informazioni sull'uso di DNS Firewall, consulta Amazon Route 53 Resolver DNS Firewall nella Amazon Route 53 Developer Guide.

Le seguenti sezioni trattano i requisiti per l'utilizzo delle politiche firewall DNS di Firewall Manager e descrivono come funzionano le politiche. Per la procedura di creazione della policy, vedereCreazione di una AWS Firewall Manager policy per Amazon Route 53 Resolver Firewall DNS.

È necessario abilitare la condivisione delle risorse

Una policy DNS Firewall condivide i gruppi di regole del firewall DNS tra gli account dell'organizzazione. Affinché funzioni, è necessario che la condivisione delle risorse sia abilitata con. AWS Organizations Per informazioni su come abilitare la condivisione delle risorse, vedereCondivisione delle risorse per le politiche Network Firewall e DNS Firewall.

È necessario che i gruppi di regole del firewall DNS siano definiti

Quando specifichi una nuova policy DNS Firewall, definisci i gruppi di regole nello stesso modo in cui utilizzi direttamente Amazon Route 53 Resolver DNS Firewall. I gruppi di regole devono già esistere nell'account amministratore di Firewall Manager per poterli includere nella policy. Per informazioni sulla creazione di gruppi di regole del firewall DNS, consulta Gruppi e regole del firewall DNS.

L'utente definisce le associazioni dei gruppi di regole con priorità più bassa e più alta

Le associazioni dei gruppi di regole del firewall DNS che gestisci tramite le politiche del firewall DNS di Firewall Manager contengono le associazioni con priorità più bassa e le associazioni con priorità più alta per i tuoi VPC. Nella configurazione delle policy, queste appaiono come primo e ultimo gruppo di regole.

DNS Firewall filtra il traffico DNS per il VPC nel seguente ordine:

  1. Primi gruppi di regole, definiti dall'utente nella politica Firewall DNS Firewall di Firewall Manager. I valori validi sono compresi tra 1 e 99.

  2. Gruppi di regole DNS Firewall associati dai singoli account manager tramite DNS Firewall.

  3. Ultimi gruppi di regole, definiti dall'utente nella politica Firewall DNS Firewall di Firewall Manager. I valori validi sono compresi tra 9.901 e 10.000.

Eliminazione di un gruppo di regole

Per eliminare un gruppo di regole da una policy Firewall DNS Firewall Manager, è necessario effettuare le seguenti operazioni:

  1. Rimuovi il gruppo di regole dalla politica del firewall DNS di Firewall Manager.

  2. Annulla la condivisione del gruppo di regole in. AWS Resource Access Manager Per annullare la condivisione di un gruppo di regole di cui sei proprietario, devi rimuoverlo dalla condivisione di risorse. Puoi farlo usando la AWS RAM console o la AWS CLI. Per informazioni sull'annullamento della condivisione di una risorsa, consulta Aggiornare una condivisione di risorse AWS RAM nella Guida per l'AWS RAM utente.

  3. Eliminare il gruppo di regole utilizzando la console DNS Firewall o la AWS CLI.

Come Firewall Manager nomina le associazioni di gruppi di regole che crea

Quando salvi la policy DNS Firewall, se hai abilitato il ripristino automatico, Firewall Manager crea un'associazione DNS Firewall tra i gruppi di regole forniti nella policy e i VPC che rientrano nell'ambito della policy. Firewall Manager assegna un nome a queste associazioni concatenando i seguenti valori:

  • La stringa fissa,. FMManaged_

  • L'ID della politica di Firewall Manager. Questo è l'ID della AWS risorsa per la policy Firewall Manager.

Di seguito viene illustrato un esempio di nome per un firewall gestito da Firewall Manager:

FMManaged_EXAMPLEDNSFirewallPolicyId

Dopo aver creato la policy, se i proprietari degli account nei VPC sovrascrivono le impostazioni delle policy del firewall o le associazioni dei gruppi di regole, Firewall Manager contrassegnerà la policy come non conforme e proverà a proporre un'azione correttiva. I proprietari degli account possono associare altri gruppi di regole DNS Firewall ai VPC che rientrano nell'ambito della politica DNS Firewall. Tutte le associazioni create dai singoli proprietari degli account devono avere impostazioni di priorità tra la prima e l'ultima associazione dei gruppi di regole.