Políticas de Firewall DNS do Amazon Route 53 Resolver - AWS WAF, AWS Firewall Manager e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas de Firewall DNS do Amazon Route 53 Resolver

Você pode usar políticas de firewall de AWS Firewall Manager DNS para gerenciar associações entre grupos de regras do Amazon Route 53 Resolver DNS Firewall e suas VPCs da Amazon Virtual Private Cloud em toda a sua organização em. AWS Organizations Você pode aplicar políticas de grupo de segurança controladas centralmente a toda a organização ou a um subconjunto selecionado de suas contas e VPCs.

O Firewall DNS fornece filtragem e regulação do tráfego DNS de saída para suas VPCs. Você cria coleções reutilizáveis de regras de filtragem em grupos de regras do Firewall DNS e associa os grupos de regras às suas VPCs. Quando você aplica a política do Firewall Manager, para cada conta e VPC dentro do escopo da política, o Firewall Manager cria uma associação entre cada grupo de regras do Firewall DNS na política e cada VPC que está dentro do escopo da política, usando as configurações de prioridade de associação que você especifica na política do Firewall Manager.

Para obter mais informações sobre o Firewall DNS, consulte Firewall DNS do Amazon Route 53 Resolver, no Guia do Desenvolvedor do Amazon Route 53.

As seções a seguir abordam os requisitos para usar as políticas de Firewall DNS do Firewall Manager e descrevem como as políticas funcionam. Para obter o procedimento para criar a política, consulte Criação de uma AWS Firewall Manager política para o Amazon Route 53 Resolver DNS Firewall.

Você deve habilitar o compartilhamento de recursos

Uma política de firewall DNS compartilha grupos de regras de Firewall DNS entre as contas da sua organização. Para que isso funcione, você deve ter o compartilhamento de recursos ativado com AWS Organizations. Para obter informações sobre como habilitar o compartilhamento de recursos, consulte Compartilhamento de recursos para políticas de Network Firewall e Firewall DNS.

Você deve ter seus grupos de regras do Firewall DNS

Ao especificar uma nova política de Firewall DNS, você define os grupos de regras da mesma forma que você faz quando está usando o Firewall DNS do Amazon Route 53 Resolver diretamente. Seus grupos de regras já devem existir na conta de administrador do Firewall Manager para que você possa incluí-los na política. Para obter informações sobre a criação de grupos de regras do Firewall DNS, consulte Grupos de regras e regras do Firewall DNS.

Você define as associações de grupos de regras de prioridade mais baixa e mais alta

As associações de grupos de regras do Firewall DNS que você gerencia por meio das políticas do Firewall DNS do Firewall Manager contêm as associações de menor prioridade e as associações de maior prioridade para suas VPCs. Em sua configuração de política, elas aparecem como primeiro e último grupos de regras.

O Firewall DNS filtra o tráfego DNS para a VPC na seguinte ordem:

  1. Primeiros grupos de regras, definidos por você na política de Firewall DNS do Firewall Manager. Os valores válidos estão entre 1 e 99.

  2. Grupos de regras do Firewall DNS associados por gerentes de contas individuais por meio do Firewall DNS.

  3. Últimos grupos de regras, definidos por você na política de Firewall DNS do Firewall Manager. Os valores válidos estão entre 9.901 e 10.000.

Excluir um grupo de regras

Para excluir um grupo de regras de uma política de Firewall DNS do Firewall Manager, você deve executar as seguintes etapas:

  1. Remova o grupo de regras da política de Firewall DNS do Firewall Manager.

  2. Cancele o compartilhamento do grupo de regras em AWS Resource Access Manager. Para cancelar o compartilhamento de um grupo de regras de sua propriedade, é necessário removê-lo do compartilhamento de recursos. Você pode fazer isso usando o AWS RAM console ou a AWS CLI. Para obter informações sobre como cancelar um compartilhamento de recursos, consulte Atualizar um compartilhamento de recursos AWS RAM no Guia do usuário do AWS RAM .

  3. Exclua o grupo de regras usando o console do Firewall DNS ou a AWS CLI.

Como o Firewall Manager nomeia as associações de grupos de regras que ele cria

Quando você salva a política de Firewall DNS, se você habilitou a correção automática, o Firewall Manager cria uma associação de Firewall DNS entre os grupos de regras que você forneceu na política e as VPCs que estão no escopo da política. O Firewall Manager nomeia essas associações concatenando os seguintes valores:

  • A string fixa, FMManaged_.

  • A ID da política do Firewall Manager. Esse é o ID do AWS recurso para a política do Firewall Manager.

Veja a seguir um exemplo de nome para um firewall gerenciado pelo Firewall Manager:

FMManaged_EXAMPLEDNSFirewallPolicyId

Depois de criar a política, se os proprietários da conta nas VPCs substituírem suas configurações de política de firewall ou suas associações de grupos de regras, o Firewall Manager marcará a política como não compatível e tentará propor uma ação corretiva. Os proprietários da conta podem associar outros grupos de regras do Firewall DNS às VPCs que estão no escopo da política do Firewall DNS. Todas as associações criadas pelos proprietários individuais da conta devem ter configurações de prioridade entre a primeira e a última associação do grupo de regras.