Uso de las políticas de DNS Firewall de Amazon Route 53 Resolver en Firewall Manager

En esta página, se describe cómo puede utilizar las políticas de firewall de AWS Firewall Manager DNS para gestionar las asociaciones entre los grupos de reglas de firewall de DNS de Amazon Route 53 Resolver y su Amazon Virtual Private Cloud en VPCstoda la organización en AWS Organizations. Puede aplicar grupos de reglas controlados de forma centralizada a toda su organización o a un subconjunto selecto de sus cuentas y VPCs.

El firewall de DNS proporciona filtrado y regulación del tráfico DNS saliente para su. VPCs Puede crear conjuntos reutilizables de reglas de filtrado en los grupos de reglas del Firewall de DNS y asociar los grupos de reglas a los suyos VPCs. Al aplicar la política de Firewall Manager para cada cuenta y VPC que se encuentra dentro del alcance de la política, Firewall Manager crea una asociación entre cada grupo de reglas de DNS firewall en la política y cada VPC que se encuentra dentro del alcance de la política, utilizando la configuración de prioridad de asociación que especifique en la política de Firewall Manager.

Para obtener información sobre el uso de DNS Firewall, consulte DNS Firewall de Amazon Route 53 Resolver, en la Guía para desarrolladores de Amazon Route 53.

En las siguientes secciones se describen los requisitos para usar las políticas de DNS firewall de Firewall Manager y se describe cómo funcionan las políticas. Para conocer el procedimiento para crear la política, consulte Creación de una AWS Firewall Manager política para Amazon Route 53 Resolver DNS Firewall.

importante

Debe habilitar el uso compartido de recursos. Una política de DNS firewall comparte los grupos de reglas de DNS firewall entre las cuentas de su organización. Para que esto funcione, debe tener activado el uso compartido de recursos con AWS Organizations. Para obtener información acerca de cómo habilitar el uso compartido de recursos, consulte Uso compartido de recursos para las políticas de Network Firewall y DNS Firewall.

importante

Debe tener definidos los grupos de reglas de DNS Firewall. Cuando especifica una nueva política de DNS firewall, define los grupos de reglas de la misma manera que cuando utiliza directamente el DNS firewall de Amazon Route 53 Resolver. Sus grupos de reglas deben existir ya en la cuenta de administrador del Firewall Manager para que pueda incluirlos en la política. Para obtener información sobre la creación de grupos de reglas del DNS Firewall, consulte Reglas y grupos de reglas de DNS Firewall.

Defina las asociaciones de grupos de reglas de prioridad más baja y más alta

Las asociaciones de grupos de reglas de Firewall de DNS que administra mediante las políticas de Firewall de Firewall Manager contienen las asociaciones de menor prioridad y las asociaciones de mayor prioridad para usted VPCs. En la configuración de políticas, aparecen como primer y último grupo de reglas.

DNS firewall filtra el tráfico de DNS de la VPC en el siguiente orden:

Primeros grupos de reglas, definidos por usted en la política de DNS Firewall Manager. Los valores válidos se encuentran entre 1 y 99.
Grupos de reglas de DNS firewall que los administradores de cuentas individuales asocian a través del DNS firewall.
Últimos grupos de reglas, definidos por usted en la política de DNS Firewall Manager. Los valores válidos se encuentran entre 9901 y 10 000.

Cómo nombra Firewall Manager las asociaciones de grupos de reglas que crea

Al guardar la política de firewall de DNS, si ha habilitado la corrección automática, el Administrador de Firewall crea una asociación de firewall de DNS entre los grupos de reglas que proporcionó en la política y los VPCs que están dentro del ámbito de la política. Firewall Manager nombra estas asociaciones concatenando los siguientes valores:

La cadena fija, FMManaged_.
ID de la política de Firewall Manager. Este es el ID AWS de recurso de la política del Firewall Manager.

A continuación se muestra un nombre de ejemplo para un firewall administrado por Firewall Manager:


FMManaged_EXAMPLEDNSFirewallPolicyId

Tras crear la política, si los propietarios de las cuentas VPCs anulan la configuración de la política de firewall o las asociaciones de grupos de reglas, Firewall Manager marcará la política como no conforme e intentará proponer una acción correctiva. Los propietarios de las cuentas pueden asociar otros grupos de reglas de firewall de DNS a los VPCs que estén dentro del ámbito de aplicación de la política de firewall de DNS. Cualquier asociación creada por los propietarios de cuentas individuales debe tener una configuración de prioridad entre la primera y la última asociación del grupo de reglas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración del registro para una política de Network Firewall

Eliminación de un grupo de reglas