Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
En esta página, se describe cómo puede utilizar las políticas de AWS Firewall Manager DNS firewall para gestionar las asociaciones entre los grupos de reglas de Amazon Route 53 Resolver DNS Firewall y su Amazon Virtual Private Cloud en VPCstoda la organización AWS Organizations. Puede aplicar grupos de reglas controlados de forma centralizada a toda su organización o a un subconjunto selecto de sus cuentas yVPCs.
DNSEl firewall proporciona filtrado y regulación del DNS tráfico saliente para su. VPCs Puede crear conjuntos reutilizables de reglas de filtrado en los grupos de reglas de DNS Firewall y asociar los grupos de reglas a los suyosVPCs. Al aplicar la política del Administrador de Firewall para cada cuenta VPC que esté dentro del ámbito de la política, el Administrador de Firewall crea una asociación entre cada grupo de reglas de DNS firewall de la política y cada uno de los VPC que están dentro del alcance de la política, utilizando la configuración de prioridad de asociación que especifique en la política del Administrador de Firewall.
Para obtener información sobre el uso de DNS Firewall, consulte Amazon Route 53 Resolver DNS Firewall en la Guía para desarrolladores de Amazon Route 53.
En las siguientes secciones se describen los requisitos para usar las políticas de DNS firewall de Firewall Manager y se describe su funcionamiento. Para conocer el procedimiento para crear la política, consulte Creación de una AWS Firewall Manager política para Amazon Route 53 Resolver DNS Firewall.
importante
Debe habilitar el uso compartido de recursos. Una política de DNS DNS firewall comparte los grupos de reglas de firewall entre las cuentas de su organización. Para que esto funcione, debe tener activado el uso compartido de recursos con AWS Organizations. Para obtener información acerca de cómo habilitar el uso compartido de recursos, consulte Uso compartido de recursos para las políticas de Network Firewall y DNS Firewall.
importante
Debe tener definidos los grupos de reglas del DNS firewall. Cuando especifica una nueva política de DNS firewall, define los grupos de reglas de la misma manera que cuando utiliza Amazon Route 53 Resolver DNS Firewall directamente. Sus grupos de reglas deben existir ya en la cuenta de administrador del Firewall Manager para que pueda incluirlos en la política. Para obtener información sobre la creación DNS de grupos de reglas de DNSfirewall, consulte Reglas y grupos de reglas de firewall.
Defina las asociaciones de grupos de reglas de prioridad más baja y más alta
Las asociaciones de grupos de reglas de firewall que administra mediante las políticas de DNS firewall de Firewall Manager contienen las asociaciones de menor prioridad y las asociaciones de mayor prioridad para ustedVPCs. DNS En la configuración de políticas, aparecen como primer y último grupo de reglas.
DNSEl firewall filtra el DNS tráfico VPC en el siguiente orden:
Primeros grupos de reglas, definidos por usted en la política de DNS firewall de Firewall Manager. Los valores válidos se encuentran entre 1 y 99.
DNSGrupos de reglas de firewall que están asociados por administradores de cuentas individuales a través de DNS Firewall.
Últimos grupos de reglas, definidos por usted en la política de DNS firewall de Firewall Manager. Los valores válidos se encuentran entre 9901 y 10 000.
Cómo nombra Firewall Manager las asociaciones de grupos de reglas que crea
Al guardar la política de DNS firewall, si habilitó la corrección automática, Firewall Manager crea una asociación de DNS firewall entre los grupos de reglas que proporcionó en la política y los VPCs que están dentro del ámbito de la política. Firewall Manager nombra estas asociaciones concatenando los siguientes valores:
-
La cadena fija,
FMManaged_. -
ID de la política de Firewall Manager. Este es el ID AWS de recurso de la política del Firewall Manager.
A continuación se muestra un nombre de ejemplo para un firewall administrado por Firewall Manager:
FMManaged_EXAMPLEDNSFirewallPolicyId
Tras crear la política, si los propietarios de las cuentas VPCs anulan la configuración de la política de firewall o las asociaciones de grupos de reglas, Firewall Manager marcará la política como no conforme e intentará proponer una acción correctiva. Los propietarios de las cuentas pueden asociar otros grupos de reglas de DNS firewall a los VPCs que estén incluidos en el ámbito de aplicación de la DNS política de firewall. Cualquier asociación creada por los propietarios de cuentas individuales debe tener una configuración de prioridad entre la primera y la última asociación del grupo de reglas.
