在账户之间 AWS 共享 Route 53 解析器 DNS 防火墙规则组

您可以在 AWS 账户之间共享 DNS 防火墙规则组。要共享规则组，请使用 AWS Resource Access Manager (AWS RAM)。DNS 防火墙控制台与 AWS RAM 控制台集成。有关的更多信息 AWS RAM，请参阅 Resource A ccess Manager 用户指南。

请注意以下几点：

将共享规则组与 VPC 关联

如果其他 AWS 账户与您的账户共享了规则组，则您可以像关联已创建的规则组一样将其与您的 VPC 关联。有关更多信息，请参阅管理 VPC 与 Route 53 Resolver DNS Firewall 规则组之间的关联。

删除或取消共享规则组

如果您将某规则组与其它账户共享，然后删除了规则组或者停止了共享，DNS Firewall 会删除其它账户在规则组及其 VPC 之间创建的所有关联。

规则组和关联的最大设置

共享规则组及其与 VPC 的关联包含在规则组共享的账户计数中。

有关当前的 DNS Firewall 配额，请参阅 Route 53 Resolver DNS Firewall 上的配额。

权限

要与其他 AWS 账户共享规则组，您必须拥有使用该PutFirewallRuleGroupPolicy操作的权限。

对与之共享规则组的 AWS 账户的限制

与其共享了规则组的账户无法更改或删除该规则组。

标记

只有创建规则组的账户可以添加、删除或查看规则组上的标签。

要查看规则当前的共享状态（包括共享规则组的账户或与其共享了规则组的账户），以及将规则组与其它账户共享，请执行以下步骤。

查看共享状态并与其他 AWS 账户共享规则组

1. 登录 AWS Management Console 并打开 Route 53 控制台，网址为 https://console.aws.amazon.com/route53/。

2. 在导航窗格中，选择 规则组。

3. 在导航栏上，选择您在其中创建了规则组的区域。

   Sharing status（共享状态）列显示当前账户所创建规则组或者与当前账户所共享规则组的当前共享状态：

   • 未共享：当前 AWS 账户创建了规则组，但该规则组未与任何其他账户共享。

   • Shared by me（由我共享）：当前账户创建了规则组并且已与一个或多个账户共享。

   • Shared With me（与我共享）：其它账户创建了规则组并且已与当前账户共享。

4. 选择您要显示共享信息或者您要与其它账户共享的规则组名称。

   在 Rule group: rule group name（规则组：规则组名称）页面上，Owner（拥有者）下的值显示创建该规则组的账户 ID。除非 Sharing status (共享状态) 的值为 Shared with me (与我共享)，否则这是当前账户。如果是共享的规则组，则 Owner（拥有者）是创建该规则组并与当前账户进行共享的账户。

5. 选择 Share（共享）以查看更多信息或与其它账户共享规则组。 AWS RAM 控制台中会显示一个页面，具体取决于共享状态的值：

   • Not shared (未共享)：显示 Create resource share (创建资源共享) 页面。有关如何与其它账户、组织单位 (OU) 或组织共享规则组的信息，请转到此步骤后的步骤。

   • Shared by me（由我共享）：Shared resources（共享的资源）页面显示由当前账户拥有并与其它账户共享的规则组和其它资源。

   • Shared with me（与我共享）：Shared resources（共享的资源）页面显示由其它账户拥有并与当前账户共享的规则组和其它资源。

6. 要与其他 AWS 账户、组织单位或组织共享规则组，请指定以下值。

   注意

   您无法更新共享设置。要更改任何以下设置，您必须使用新设置重新共享规则组，然后删除旧的共享设置。

   描述

   输入可以帮助您记住为什么共享规则组的简短说明。

   资源

   选中与您要共享的规则组对应的复选框。

   主体

   输入 AWS 账号、OU 名称或组织名称。

   标签

   指定一个或多个键及对应的值。例如，您可以为 Key（密钥）指定 Cost center（成本中心），并为 Value（值）指定 456。

   这些是 AWS Billing and Cost Management 用于整理 AWS 账单的标签；您也可以将标签用于其他目的。有关对成本分配使用标签的更多信息，请参阅 AWS Billing 用户指南中的使用成本分配标签。