本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
本页介绍如何使用 AWS Firewall Manager DNS防火墙策略来管理中组织中的 AWS Organizations Amazon Route 53 Resolver DNS 防火墙规则组与您的亚马逊虚拟私有VPCs云之间的关联。您可以将集中控制的规则组应用于整个组织,也可以应用于您的部分账户和VPCs。
DNSFirewall 为您的出站DNS流量提供过滤和监管VPCs。您可以在DNS防火墙规则组中创建可重复使用的过滤规则集合,并将这些规则组与您的规则组相关联VPCs。当您为策略范围内的每个帐户应用 Firewall Manager 策略时,Firewall Manager 会使用您在DNS防火墙管理器策略中指定的关联优先级设置,在策略中的每个VPC防火墙规则组与策略范围内的每个防火墙规则组之间创建关联。VPC
有关使用DNS防火墙的信息,请参阅《亚马逊 Route 53 开发者指南》中的 Amazon Route 53 解析器DNS防火墙。
以下各节介绍使用 Firewall Manager DNS 防火墙策略的要求,并描述了这些策略的工作原理。有关创建策略的过程,请参阅 为 Amazon Route 53 解析器防火墙DNS创建 AWS Firewall Manager 策略。
重要
您必须启用资源共享。DNS防火墙策略在组织中的账户之间共享DNS防火墙规则组。要使此功能起作用,必须使用启用资源共享 AWS Organizations。有关如何启用资源共享的信息,请参阅 Network Firewall 和 DNS 防火墙策略的资源共享。
重要
必须定义DNS防火墙规则组。当您指定新的DNS防火墙策略时,您可以像直接使用 Amazon Route 53 解析器DNS防火墙一样定义规则组。您的规则组必须已存在于 Firewall Manager 管理员账户中,才能将其包含在策略中。有关创建DNS防火墙规则组的信息,请参阅DNS防火墙规则组和规则。
您可以定义优先级最低和最高的规则组关联
您通过 DNS Firewall Manager 防火DNS墙策略管理的防火墙规则组关联包含优先级最低的关联和优先级最高的关联VPCs。在您的策略配置中,这些规则组显示为第一个和最后一个规则组。
DNS防火墙按以下顺序过滤DNS流量:VPC
第一个规则组,由您在 Firewall Manager 防DNS火墙策略中定义。有效值在 1 到 99 之间。
DNS由个人账户管理员通过防火墙关联的DNS防火墙规则组。
最后一个规则组,由您在 Firewall Manager 防DNS火墙策略中定义。有效值在 9901 到 10000 之间。
Firewall Manager 如何命名其创建的规则组关联
保存DNS防火墙策略时,如果您启用了自动修复,Firewall Manager 将在您在策略中提供的规则组和策略范围内的规则组之间创建DNS防火墙关联。VPCsFirewall Manager 通过连接以下值来命名这些关联:
-
固定字符串,
FMManaged_
。 -
Firewall Manager 策略 ID。这是 Firewall Manager 策略的 AWS 资源 ID。
以下是由 Firewall Manager 管理的防火墙的名称示例:
FMManaged_EXAMPLEDNSFirewallPolicyId
创建策略后,如果中的帐户所有者VPCs覆盖了您的防火墙策略设置或规则组关联,则 Firewall Manager 会将该策略标记为不合规,并尝试提出补救措施。账户所有者可以将其他DNS防火墙规则组与防DNS火墙策略范围内的规则组相关联。VPCs个人账户所有者创建的任何关联都必须在第一个和最后一个规则组关联之间设置优先级。