Amazon 路線 53 解析器 DNS 防火牆政策

您可以使用 AWS Firewall Manager DNS 防火牆政策來管理 Amazon Route 53 解析器 DNS 防火牆規則群組與您在中組織中的 Amazon Virtual Private Cloud VPC 之間的關聯。 AWS Organizations您可以將集中控制的規則群組套用至整個組織，或套用至特定的帳戶和 VPC 子集。

DNS 防火牆可為您的 VPC 提供對輸出 DNS 流量的篩選和規範。您可以在 DNS 防火牆規則群組中建立可重複使用的篩選規則集合，並將規則群組與 VPC 建立關聯。當您套用 Firewall Manager 員策略時，對於策略範圍內的每個帳戶和 VPC，Firewall Manager 會使用您在 Firewall Manager 員策略中指定的關聯優先順序設定，在策略中的每個 DNS 防火牆規則群組與策略範圍內的每個 VPC 之間建立關聯。

如需有關使用 DNS 防火牆的資訊，請參閱 Amazon 路線 53 開發人員指南中的 Amazon 路由 53 解析器 DNS 防火牆。

以下各節涵蓋使用 Firewall Manager 員 DNS 防火牆策略的需求，並說明策略的運作方式。如需建立策略的程序，請參閱為 Amazon 路線 53 解析器 DNS 防火牆創建 AWS Firewall Manager 策略。

您必須啟用資源共用

DNS 防火牆政策會在組織中的帳戶之間共用 DNS 防火牆規則群組。若要使用此功能，您必須啟用資源共用 AWS Organizations。若要取得有關如何啟用資源共用的資訊，請參閱Network Firewall 和 DNS 防火牆策略的資源共用。

您必須已定義 DNS 防火牆規則群組

當您指定新的 DNS 防火牆政策時，定義規則群組的方式與直接使用 Amazon Route 53 解析器 DNS 防火牆時的方式相同。您的規則群組必須已存在於 Firewall Manager 員管理員帳戶中，您才能將它們包含在策略中。如需建立 DNS 防火牆規則群組的詳細資訊，請參閱 DNS 防火牆規則群組和規則。

您定義最低與最高優先順序的規則群組關聯

您透過 Firewall Manager 員 DNS 防火牆策略管理的 DNS 防火牆規則群組關聯包含最低優先順序的關聯，以及 VPC 的最高優先順序關聯。在您的原則組態中，這些會顯示為第一個和最後一個規則群組。

DNS 防火牆會依下列順序篩選 VPC 的 DNS 流量：

1. 您在 Firewall Manager 員 DNS 防火牆策略中定義的第一個規則群組。有效值介於 1 到 99 之間。

2. 個別帳戶管理員透過 DNS 防火牆關聯的 DNS 防火牆規則群組。

3. 您在 Firewall Manager 員 DNS 防火牆策略中定義的最後一個規則群組。有效值介於 9901 和萬之間。

刪除規則群組

若要從 Firewall Manager 員 DNS 防火牆政策刪除規則群組，您必須執行下列步驟：

1. 從 Firewall Manager 員 DNS 防火牆策略中移除規則群組。

2. 在 AWS Resource Access Manager中取消共用規則群組。若要取消共用您擁有的規則群組，您必須將其從資源共用中移除。您可以使用 AWS RAM 控制台或 AWS CLI 執行此操作。若要取消共用資源的相關資訊，請參閱《使用指南》 AWS RAM中的〈更新資源共AWS RAM用〉。

3. 使用 DNS 防火牆主控台或 AWS CLI 刪除規則群組。

Firewall Manager 員如何命名其建立的規則群組關聯

當您儲存 DNS 防火牆原則時，如果您啟用自動補救，Firewall Manager 會在您在原則中提供的規則群組與原則範圍內的 VPC 之間建立 DNS 防火牆關聯。Firewall Manager 員藉由串連下列值來命名這些關聯：

• 固定字串，FMManaged_。

• Firewall Manager 員策略識別碼。這是 Firewall Manager 員策略的 AWS 資源 ID。

以下顯示由「Firewall Manager 員」管理之防火牆的範例名稱：

FMManaged_EXAMPLEDNSFirewallPolicyId

建立原則後，如果 VPC 中的帳戶擁有者覆寫您的防火牆原則設定或規則群組關聯，則 Firewall Manager 會將該策略標示為不符合標準，並嘗試提出補救動作。帳戶擁有者可以將其他 DNS 防火牆規則群組與 DNS 防火牆策略範圍內的 VPC 建立關聯。個別帳戶擁有者所建立的任何關聯必須在您的第一個和最後一個規則群組關聯之間具有優先順序設定。