本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 AWS Firewall Manager DNS防火牆政策
若要使用 AWS Firewall Manager 在整個組織中啟用 Amazon Route 53 Resolver DNS Firewall,請依序執行下列步驟。如需 Firewall Manager DNS Firewall 政策的相關資訊,請參閱 在 Firewall Manager 中使用 Amazon Route 53 Resolver DNS Firewall 政策。
步驟 1:完成先決條件
為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。AWS Firewall Manager 前提 說明這些步驟。在繼續下一個步驟之前,請先完成所有先決條件。
步驟 2:建立要在政策中使用的DNS防火牆規則群組
若要遵循本教學課程,您應該熟悉 Amazon Route 53 Resolver DNS Firewall,並了解如何設定其規則群組。
您必須在DNS防火牆中至少有一個規則群組,該群組將用於您的 AWS Firewall Manager 政策。如果您尚未在 DNS Firewall 中建立規則群組,請立即執行此操作。如需有關使用DNS防火牆的資訊,請參閱 Amazon Route 53 開發人員指南 DNS 中的 Amazon Route 53 Resolver Firewall。 https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html
步驟 3:建立和套用DNS防火牆政策
完成先決條件後,您可以建立 AWS Firewall Manager DNS防火牆政策。DNS 防火牆政策為您的整個 AWS 組織提供一組集中控制的DNS防火牆規則群組關聯。它還定義防火牆套用的 AWS 帳戶 和資源。
如需 Firewall Manager 如何管理DNS防火牆規則群組關聯的詳細資訊,請參閱 在 Firewall Manager 中使用 Amazon Route 53 Resolver DNS Firewall 政策。
若要建立 Firewall Manager DNS Firewall 政策 (主控台)
-
AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ,然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2
。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提。 -
在導覽窗格中,選擇 Security policies (安全群組政策)。
-
如果您尚未符合先決條件,主控台會顯示如何修正任何問題的指示。遵循指示,然後返回此步驟以建立DNS防火牆政策。
-
選擇建立安全政策 。
-
針對政策類型 ,選擇 Amazon Route 53 Resolver DNS Firewall 。
-
針對區域 ,選擇 AWS 區域。
-
選擇 Next (下一步)。
-
針對政策名稱 ,輸入描述性名稱。
-
政策組態可讓您定義要從 DNS Firewall Manager 管理的防火牆規則群組關聯。您可以新增要在政策中使用的規則群組。您可以定義一個關聯,先評估您的 VPCs,然後定義一個關聯來評估最後一個。對於本教學課程,根據您的需求新增一或兩個規則群組關聯。
-
選擇 Next (下一步)。
-
AWS 帳戶 受此政策影響的 可讓您指定要包含或排除的帳戶,以縮小政策的範圍。在本教學課程中,請選擇 Include all accounts under my organization. (納入我組織下的所有帳戶。)。
DNS 防火牆政策的資源類型一律為 VPC。
-
對於資源 ,您可以使用標記來縮小政策的範圍,方法是使用您指定的標籤來包含或排除資源。您可以使用納入或排除,而不是兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器。
如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。
資源標籤只能有非空值。如果您省略標籤的值,Firrate Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。
-
選擇 Next (下一步)。
-
對於政策標籤 ,新增任何您要新增至 Firewall Manager 政策資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器。
-
選擇 Next (下一步)。
-
檢閱新的政策設定,並返回任何您需要調整的頁面。
請務必確定 Policy action (政策動作) 已設為 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)。這可讓您在啟用政策之前檢閱政策所做的變更。
-
當您滿意時,選擇 建立政策。
在AWS Firewall Manager 政策窗格中,應列出您的政策。它可能會指出帳戶標題下的待定,並指出自動修復設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊。
-
當您完成探索時,如果您不想保留為本教學課程建立的政策,請選擇政策名稱、選擇刪除 、選擇清除此政策建立的資源,最後選擇刪除 。
如需 Firewall Manager DNS Firewall 政策的詳細資訊,請參閱 在 Firewall Manager 中使用 Amazon Route 53 Resolver DNS Firewall 政策。