Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation du pare-feu DNS pour filtrer le trafic DNS sortant
<a name="resolver-dns-firewall"></a>

Avec Resolver DNS Firewall, vous pouvez filtrer et réguler le trafic DNS sortant pour votre cloud privé virtuel (VPC). Pour ce faire, créez des collections réutilisables de règles de filtrage dans les groupes de règles de pare-feu DNS, associez les groupes de règles à votre VPC, puis contrôlez l'activité dans les journaux et les métriques du pare-feu DNS. En fonction de l'activité, vous pouvez ajuster le comportement du pare-feu DNS en conséquence. 

Le pare-feu DNS protège les requêtes DNS sortantes provenant de votre VPCs. Ces demandes sont acheminées via VPC Resolver pour la résolution des noms de domaine. Une utilisation principale des protections de pare-feu DNS consiste à empêcher l'exfiltration DNS de vos données. L'exfiltration DNS peut se produire lorsqu'un acteur malveillant compromet une instance d'application dans votre VPC, puis utilise la recherche DNS pour extraire des données du VPC et les envoyer vers un domaine qu'il contrôle. Avec le pare-feu DNS, vous pouvez surveiller et contrôler les domaines que vos applications peuvent interroger. Vous pouvez refuser l'accès aux domaines malveillants et autoriser le passage de toutes les autres requêtes. Vous pouvez également refuser l'accès à tous les domaines, sauf ceux que vous approuvez explicitement. 

Vous pouvez également utiliser le pare-feu DNS pour bloquer les demandes de résolution aux ressources dans des zones hébergées privées (partagées ou locales), y compris les noms de points de terminaison de VPC. Il peut également bloquer les demandes de noms d'instance Amazon EC2 publiques ou privées.

Le pare-feu DNS est une fonctionnalité du résolveur VPC Route 53 et son utilisation ne nécessite aucune configuration de résolveur VPC supplémentaire. 

**AWS Firewall Manager prend en charge le pare-feu DNS**  
Vous pouvez utiliser Firewall Manager pour configurer et gérer de manière centralisée vos associations de groupes de règles de pare-feu DNS pour VPCs l'ensemble de vos comptes dans AWS Organizations. Firewall Manager ajoute automatiquement les associations VPCs qui entrent dans le champ d'application de votre politique de pare-feu DNS Firewall Manager. Pour plus d'informations, consultez [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)le *AWS WAF AWS Firewall Manager, et le Guide AWS Shield Advanced du développeur*.

**Comment fonctionne le pare-feu DNS avec AWS Network Firewall**  
Le pare-feu DNS et Network Firewall offrent tous deux le filtrage des noms de domaine, mais pour différents types de trafic. En utilisant à la fois le pare-feu DNS et Network Firewall, vous pouvez configurer le filtrage basé sur le domaine pour le trafic de la couche d'application sur deux chemins réseau différents. 
+ Le pare-feu DNS permet de filtrer les requêtes DNS sortantes qui transitent par le résolveur VPC Route 53 à partir d'applications internes à votre compte. VPCs Vous pouvez également configurer le pare-feu DNS pour envoyer des réponses personnalisées pour les requêtes adressées à des noms de domaine bloqués. 
+ Network Firewall permet de filtrer le trafic réseau et celui de la couche application, mais n'a aucune visibilité sur les requêtes effectuées par Route 53 VPC Resolver. 

Pour plus d'informations sur Network Firewall, consultez le [Guide du développeur Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html).

# Comment fonctionne le pare-feu DNS Resolver
<a name="resolver-dns-firewall-overview"></a>

Le pare-feu DNS Resolver vous permet de contrôler l'accès aux sites et de bloquer les menaces au niveau du DNS liées aux requêtes DNS provenant de votre VPC via le résolveur VPC Route 53. Avec le pare-feu DNS, vous définissez les règles de filtrage des noms de domaine dans les groupes de règles que vous associez à votre VPCs. Vous pouvez spécifier des listes de noms de domaine à autoriser ou à bloquer, ou des règles avancées de Resolver DNS Firewall qui offrent une protection contre le tunneling DNS et les menaces basées sur l'algorithme de génération de domaines (DGA). Vous pouvez personnaliser les réponses aux requêtes DNS que vous bloquez. Pour les règles contenant une liste de domaines, vous pouvez également affiner la règle pour autoriser certains types de requêtes, tels que les enregistrements MX, à passer. 

Le pare-feu DNS filtre uniquement sur le nom de domaine. Il ne résout pas ce nom en une adresse IP à bloquer. En outre, le pare-feu DNS filtre le trafic DNS, mais il ne filtre pas les autres protocoles de couche application, tels que HTTPS, SSH, TLS, FTP, etc.

## Composants et paramètres du pare-feu DNS Resolver
<a name="resolver-dns-firewall-components"></a>

Vous gérez le pare-feu DNS avec les composants et paramètres centraux suivants.

**Groupe de règles de pare-feu DNS**  
Définit un ensemble nommé et réutilisable de règles de pare-feu DNS pour filtrer les requêtes DNS. Vous renseignez le groupe de règles avec les règles de filtrage, puis vous associez le groupe de règles à une ou plusieurs VPCs d'entre elles. Lorsque vous associez un groupe de règles à un VPC, vous activez le filtrage du pare-feu DNS pour le VPC. Ensuite, lorsque VPC Resolver reçoit une requête DNS pour un VPC auquel est associé un groupe de règles, VPC Resolver transmet la requête au pare-feu DNS pour filtrage.   
Si vous associez plusieurs groupes de règles à un seul VPC, vous indiquez leur ordre de traitement via le paramètre de priorité de chaque association. Le pare-feu DNS traite les groupes de règles pour un VPC en commençant par le paramètre de priorité numérique le plus bas.   
Pour de plus amples informations, veuillez consulter [Règles et groupes de règles de pare-feu DNS](resolver-dns-firewall-rule-groups.md). 

**Règles de pare-feu DNS**  
Définit une règle de filtrage pour les requêtes DNS dans un groupe de règles de pare-feu DNS. Chaque règle spécifie une liste de domaines, ou une protection de pare-feu DNS et une action à effectuer sur les requêtes DNS dont les domaines correspondent aux spécifications de domaine de la liste. Vous pouvez autoriser (règles relatives aux listes de domaines uniquement), bloquer ou alerter en cas de requêtes correspondantes. Dans les règles comportant des listes de domaines, vous pouvez également spécifier des types de requêtes pour les domaines de la liste. Par exemple, vous pouvez bloquer ou autoriser un type de requête MX pour un ou plusieurs domaines spécifiques. Vous pouvez également définir des réponses personnalisées pour les requêtes bloquées.   
En ce qui concerne les règles du pare-feu DNS, vous ne pouvez bloquer ou alerter que si les requêtes correspondent.  
Chaque règle d'un groupe de règles possède un paramètre de priorité qui est unique au sein du groupe de règles. Le pare-feu DNS traite les règles d'un groupe de règles en commençant par le paramètre de priorité numérique le plus bas.   
Les règles de pare-feu DNS existent uniquement dans le contexte du groupe de règles dans lequel elles sont définies. Vous ne pouvez pas réutiliser une règle ou la référencer indépendamment de son groupe de règles.   
Pour de plus amples informations, veuillez consulter [Règles et groupes de règles de pare-feu DNS](resolver-dns-firewall-rule-groups.md). 

**Liste de domaines**  
Définit un ensemble nommé et réutilisable de spécifications de domaine à utiliser dans le filtrage DNS. Chaque règle d'un groupe de règles nécessite une liste de domaines unique. Vous pouvez choisir d'indiquer les domaines auxquels vous souhaitez autoriser l'accès, les domaines auxquels vous souhaitez refuser l'accès ou une combinaison des deux. Vous pouvez créer vos propres listes de domaines et utiliser des listes de domaines AWS gérées pour vous.  
Pour de plus amples informations, veuillez consulter [Listes de domaines du pare-feu DNS Resolver](resolver-dns-firewall-domain-lists.md). 

**Paramètre de redirection de domaines (listes de domaines uniquement)**  
Le paramètre de redirection de domaine vous permet de configurer une règle de pare-feu DNS pour inspecter tous les domaines de la chaîne de redirection DNS (par défaut), tels que CNAME, DNAME, etc., ou simplement le premier domaine et faire confiance au reste. Si vous choisissez d'inspecter l'intégralité de la chaîne de redirection DNS, vous devez ajouter les domaines suivants à une liste de domaines définie sur AUTORISER dans la règle. Si vous choisissez d'inspecter l'ensemble de la chaîne de redirection DNS, vous devez ajouter les domaines suivants à une liste de domaines et définir l'action que vous souhaitez que la règle exécute, soit ALLOW, BLOCK ou ALERT.  
Pour de plus amples informations, veuillez consulter [Paramètres de règles dans le pare-feu DNS](resolver-dns-firewall-rule-settings.md). 

**Type de requête (listes de domaines uniquement)**  
Le paramètre du type de requête vous permet de configurer une règle de pare-feu DNS pour filtrer un type de requête DNS particulier. Si vous ne sélectionnez aucun type de requête, la règle s'applique à tous les types de requêtes DNS. Par exemple, vous souhaiterez peut-être bloquer tous les types de requêtes pour un domaine particulier, mais autoriser les enregistrements MX.  
Pour de plus amples informations, veuillez consulter [Paramètres de règles dans le pare-feu DNS](resolver-dns-firewall-rule-settings.md). 

**Protection avancée du pare-feu DNS**  
Détecte les requêtes DNS suspectes en fonction des signatures de menaces connues dans les requêtes DNS. Chaque règle d'un groupe de règles nécessite un seul paramètre de protection avancée du pare-feu DNS. Vous pouvez choisir une protection parmi :  
+ Algorithmes de génération de domaines (DGAs)

  DGAs sont utilisés par les attaquants pour générer un grand nombre de domaines afin de lancer des attaques de malwares.
+ Tunneling DNS

  Le tunneling DNS est utilisé par les attaquants pour exfiltrer les données du client en utilisant le tunnel DNS sans établir de connexion réseau avec le client.
+ Dictionnaire DGA

   DGAs Les dictionnaires sont utilisés par les attaquants pour générer des domaines à l'aide de mots du dictionnaire afin d'échapper à la détection des command-and-control communications par des logiciels malveillants.
Dans une règle avancée de pare-feu DNS, vous pouvez choisir de bloquer ou d'alerter sur une requête correspondant à la menace. Les algorithmes de protection contre les menaces sont gérés et mis à jour par AWS.  
Pour de plus amples informations, veuillez consulter [Pare-feu DNS Resolver Advanced](firewall-advanced.md). 

**Seuil de confiance (protection avancée du pare-feu DNS uniquement)**  
Le seuil de confiance pour la protection contre les menaces DNS. Vous devez spécifier cette valeur lorsque vous créez une règle DNS Firewall Advanced. Les valeurs du seuil de confiance sont les suivantes :  
+ Élevé : détecte uniquement les menaces les plus corroborées avec un faible taux de faux positifs.
+ Moyen : assure un équilibre entre détection des menaces et faux positifs.
+ Faible : fournit le taux de détection de menaces le plus élevé, mais augmente également le nombre de faux positifs.
Pour de plus amples informations, veuillez consulter [Paramètres de règles dans le pare-feu DNS](resolver-dns-firewall-rule-settings.md). 

**Association entre un groupe de règles de pare-feu DNS et un VPC**  
Définit une protection pour un VPC à l'aide d'un groupe de règles de pare-feu DNS et active la configuration du pare-feu DNS VPC Resolver pour le VPC.   
Si vous associez plusieurs groupes de règles à un seul VPC, vous indiquez leur ordre de traitement via le paramètre de priorité des associations. Le pare-feu DNS traite les groupes de règles pour un VPC en commençant par le paramètre de priorité numérique le plus bas.   
Pour de plus amples informations, veuillez consulter [Activation des protections du pare-feu DNS Resolver pour votre VPC](resolver-dns-firewall-vpc-protections.md). 

**Configuration du pare-feu DNS pour un VPC**  
Spécifie comment VPC Resolver doit gérer les protections du pare-feu DNS au niveau du VPC. Cette configuration est en vigueur chaque fois qu'au moins un groupe de règles de pare-feu DNS est associé au VPC.   
Cette configuration indique comment le résolveur VPC Route 53 gère les requêtes lorsque le pare-feu DNS ne parvient pas à les filtrer. Par défaut, si VPC Resolver ne reçoit pas de réponse du pare-feu DNS pour une requête, il échoue à se fermer et bloque la requête.  
Pour de plus amples informations, veuillez consulter [Configuration de VPC du pare-feu DNS](resolver-dns-firewall-vpc-configuration.md).

**Surveillance des actions du pare-feu DNS**  
Vous pouvez utiliser Amazon CloudWatch pour surveiller le nombre de requêtes DNS filtrées par les groupes de règles du pare-feu DNS. CloudWatch collecte et traite les données brutes pour en faire des indicateurs lisibles en temps quasi réel.   
Pour de plus amples informations, veuillez consulter [Surveillance des groupes de règles du pare-feu DNS Resolver avec Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md).  
Vous pouvez utiliser Amazon EventBridge, un service sans serveur qui utilise des événements pour connecter les composants de l'application entre eux, afin de créer des applications évolutives pilotées par des événements.  
Pour de plus amples informations, veuillez consulter [Gestion des événements du pare-feu DNS Resolver à l'aide de Amazon EventBridge](dns-firewall-eventbridge-integration.md).

## Comment le pare-feu DNS Resolver filtre les requêtes DNS
<a name="resolver-dns-firewall-behavior"></a>

Lorsqu'un groupe de règles de pare-feu DNS est associé au résolveur VPC Route 53 de votre VPC, le trafic suivant est filtré par le pare-feu :
+ Requêtes DNS provenant de ce VPC et passant par le DNS du VPC.
+ Requêtes DNS qui passent par les points de terminaison de Resolver à partir de ressources sur site jusqu'au VPC dont le pare-feu DNS est associé à son résolveur.

Lorsque le pare-feu DNS reçoit une requête DNS, il filtre la requête en utilisant les groupes de règles, les règles et les autres paramètres que vous avez configurés et renvoie les résultats à VPC Resolver : 
+ Le pare-feu DNS évalue la requête DNS à l'aide des groupes de règles associés au VPC jusqu'à ce qu'il trouve une correspondance ou qu'il épuise tous les groupes de règles. Le pare-feu DNS évalue les groupes de règles dans l'ordre de priorité que vous définissez dans l'association, en commençant par le paramètre numérique le plus bas. Pour plus d’informations, consultez [Règles et groupes de règles de pare-feu DNS](resolver-dns-firewall-rule-groups.md) et [Activation des protections du pare-feu DNS Resolver pour votre VPC](resolver-dns-firewall-vpc-protections.md).
+ Au sein de chaque groupe de règles, le pare-feu DNS évalue la requête DNS par rapport à la liste de domaines de chaque règle ou aux protections avancées du pare-feu DNS jusqu'à ce qu'il trouve une correspondance ou qu'il épuise toutes les règles. Le pare-feu DNS évalue les règles dans l'ordre de priorité, en commençant par le paramètre numérique le plus bas. Pour de plus amples informations, veuillez consulter [Règles et groupes de règles de pare-feu DNS](resolver-dns-firewall-rule-groups.md).
+ Lorsque le pare-feu DNS trouve une correspondance avec la liste de domaines d'une règle ou des anomalies identifiées par les protections de règles avancées du pare-feu DNS, il met fin à l'évaluation de la requête et répond au résolveur VPC avec le résultat. Si c'est le cas`alert`, le pare-feu DNS envoie également une alerte aux journaux du résolveur VPC configurés. Pour plus d’informations, consultez [Actions de règle dans le pare-feu DNS](resolver-dns-firewall-rule-actions.md), [Listes de domaines du pare-feu DNS Resolver](resolver-dns-firewall-domain-lists.md) et [Pare-feu DNS Resolver Advanced](firewall-advanced.md).
+ Si le pare-feu DNS évalue tous les groupes de règles sans trouver de correspondance, il répond à la requête comme d'habitude. 

Le résolveur VPC achemine la requête en fonction de la réponse du pare-feu DNS. Dans le cas peu probable où le pare-feu DNS ne répondrait pas, VPC Resolver applique le mode d'échec du pare-feu DNS configuré par le VPC. Pour de plus amples informations, veuillez consulter [Configuration de VPC du pare-feu DNS](resolver-dns-firewall-vpc-configuration.md).

## Étapes de haut niveau pour utiliser le pare-feu DNS Resolver
<a name="resolver-dns-firewall-high-level-steps"></a>

Pour implémenter le filtrage du pare-feu DNS Resolver dans votre VPC Amazon Virtual Private Cloud, vous devez suivre les étapes de haut niveau suivantes. 
+ **Définissez votre approche de filtrage, vos listes de domaines ou les protections du pare-feu DNS** : décidez de la manière dont vous souhaitez filtrer les requêtes, identifiez les spécifications de domaine dont vous aurez besoin et définissez la logique que vous utiliserez pour évaluer les requêtes. Par exemple, vous voudrez peut-être autoriser toutes les requêtes, excepté celles qui se trouvent dans une liste de domaines malveillants connus. Ou vous voudrez peut-être faire le contraire et bloquer tous les domaines, sauf ceux qui se trouvent dans une liste approuvée, une approche appelée « walled garden » (jardin fermé). Vous pouvez créer et gérer vos propres listes de spécifications de domaines approuvés ou bloqués et vous pouvez utiliser des listes de domaines AWS gérées pour vous. Pour les protections du pare-feu DNS, vous pouvez filtrer les requêtes en les bloquant toutes, ou vous pouvez émettre une alerte en cas de trafic de requêtes suspect vers des domaines susceptibles de contenir des anomalies associées à des menaces (DGA, tunneling DNS, dictionnaire DGA) afin de tester les paramètres de votre pare-feu DNS. Pour plus d’informations, consultez [Listes de domaines du pare-feu DNS Resolver](resolver-dns-firewall-domain-lists.md) et [Pare-feu DNS Resolver Advanced](firewall-advanced.md).
+ **Créez un groupe de règles de pare-feu** : dans le pare-feu DNS, créez un groupe de règles pour filtrer les requêtes DNS pour votre VPC. Vous devez créer un groupe de règles dans chaque région où vous souhaitez l'utiliser. Vous pouvez également séparer votre comportement de filtrage en plusieurs groupes de règles afin de pouvoir le réutiliser dans plusieurs scénarios de filtrage adaptés à vos différents VPCs. Pour de plus amples informations sur les groupes de règles, reportez-vous à la section [Règles et groupes de règles de pare-feu DNS](resolver-dns-firewall-rule-groups.md). 
+ **Ajoutez et configurez vos règles** : ajoutez une règle à votre groupe de règles pour chaque liste de domaines et comportement de filtrage que vous souhaitez que le groupe de règles fournisse. Définissez les paramètres de priorité de vos règles afin qu'elles soient traitées dans le bon ordre au sein du groupe de règles, en accordant la priorité la plus faible à la règle que vous souhaitez évaluer en premier. Pour de plus amples informations sur les règles, veuillez consulter [Règles et groupes de règles de pare-feu DNS](resolver-dns-firewall-rule-groups.md). 
+ **Associez le groupe de règles à votre VPC** : pour commencer à utiliser votre groupe de règles de pare-feu DNS, associez-le à votre VPC. Si vous utilisez plusieurs groupes de règles pour votre VPC, définissez la priorité de chaque association afin que les groupes de règles soient traités dans le bon ordre, en donnant la priorité la plus faible au groupe de règles que vous souhaitez évaluer en premier. Pour de plus amples informations, veuillez consulter [Gestion des associations entre votre VPC et le groupe de règles Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ **(Facultatif) Modifiez la configuration du pare-feu pour le VPC** — Si vous souhaitez que le résolveur VPC Route 53 bloque les requêtes lorsque le pare-feu DNS ne leur renvoie pas de réponse, dans VPC Resolver, modifiez la configuration du pare-feu DNS du VPC. Pour de plus amples informations, veuillez consulter [Configuration de VPC du pare-feu DNS](resolver-dns-firewall-vpc-configuration.md).

## Utilisation des groupes de règles du pare-feu DNS Resolver dans plusieurs régions
<a name="resolver-dns-firewall-multiple-regions"></a>

Le pare-feu DNS Resolver étant un service régional, les objets que vous créez dans une AWS région ne sont disponibles que dans cette région. Pour utiliser la même règle dans plusieurs régions, vous devez la créer dans chaque région.

Le AWS compte qui a créé un groupe de règles peut le partager avec d'autres AWS comptes. Pour de plus amples informations, veuillez consulter [Partage des groupes de règles du pare-feu DNS Resolver entre les comptes AWS](resolver-dns-firewall-rule-group-sharing.md).

# Disponibilité régionale pour Resolver DNS Firewall
<a name="resolver-dns-firewall-availability"></a>

Le pare-feu DNS est disponible dans les versions suivantes Régions AWS :
+ Afrique (Le Cap) 
+ Asie-Pacifique (Hong Kong)
+ Asie-Pacifique (Hyderabad)
+ Asie-Pacifique (Jakarta) 
+ Asie-Pacifique (Malaisie)
+ Asie-Pacifique (Melbourne)
+ Asie-Pacifique (Mumbai)
+ Région Asie-Pacifique (Osaka)
+ Asie-Pacifique (Séoul)
+ Asie-Pacifique (Singapour)
+ Asie-Pacifique (Sydney)
+ Asie-Pacifique (Thaïlande)
+ Asie-Pacifique (Tokyo)
+ Région Canada (Centre)
+ Canada-Ouest (Calgary)
+ Région Europe (Frankfurt)
+ Région Europe (Irlande)
+ Région Europe (London)
+ Europe (Milan) 
+ Région Europe (Paris)
+ Europe (Espagne)
+ Europe (Stockholm)
+ Europe (Zurich)
+ Israël (Tel Aviv)
+ Mexique (Centre)
+ Middle East (Bahrain)
+ Moyen-Orient (EAU)
+ Amérique du Sud (São Paulo)
+ USA Est (Virginie du Nord)
+ USA Est (Ohio)
+ USA Ouest (Californie du Nord)
+ US West (Oregon)
+ Chine (Beijing) 
+ Chine (Ningxia) 
+ AWS GovCloud (US)

# Commencer à utiliser Resolver DNS Firewall
<a name="resolver-dns-firewall-getting-started"></a>

La console du pare-feu DNS inclut un assistant qui vous guide tout au long des étapes suivantes pour démarrer avec le pare-feu DNS :
+ Créez des groupes de règles pour chaque ensemble de règles que vous souhaitez utiliser.
+ Pour chaque règle, renseignez la liste de domaines que vous souhaitez inspecter. Vous pouvez créer vos propres listes de domaines et utiliser des listes de domaines AWS gérées. 
+ Associez vos groupes de règles à l' VPCs endroit où vous souhaitez les utiliser.

## Exemple de jardin clos avec pare-feu DNS Resolver
<a name="dns-firewall-walled-garden-example"></a>

Dans ce didacticiel, vous allez créer un groupe de règles qui bloque tous les domaines, sauf un groupe de domaines approuvés. C'est ce qu'on appelle une plateforme fermée, ou approche « walled garden » (jardin fermé).

**Pour configurer un groupe de règles de pare-feu DNS à l'aide de l'assistant de la console**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Choisissez **Pare-feu DNS** dans le volet de navigation pour ouvrir la page des **groupes de règles** de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 3.

   - OU - 

   Connectez-vous au AWS Management Console et ouvrez-le 

   la console Amazon VPC située sous. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Dans le volet de navigation, sous **Pare-feu DNS**, choisissez **Groupes de règles**.

1. Dans la barre de navigation, choisissez la région pour le groupe de règles. 

1. Sur la page **Rule groups (Groupes de règles)**, choisissez **Add rule group (Ajouter un groupe de règles)**.

1. Saisissez **WalledGardenExample** comme nom pour le groupe de règles. 

   Dans la section **Tags**, vous pouvez éventuellement saisir une paire clé-valeur pour une balise. Les balises vous aident à organiser et à gérer vos ressources AWS . Pour de plus amples informations, veuillez consulter [Balisage des ressources Amazon Route 53](tagging-resources.md). 

1. Choisissez **Ajouter un groupe de règles**.

1. Sur la page de **WalledGardenExample**détails, choisissez l'**onglet Règles**, puis **Ajouter une règle**.

1. Dans le panneau **Rule details (Détails de la règle)**, saisissez le nom de la règle ** BlockAll**.

1. Dans le panneau **Domain list (Liste des domaines)**, sélectionnez **Add my own domain list (Ajouter ma propre liste de domaines)**. 

1. Sous **Choose or create a new domain list (Choisir ou créer une nouvelle liste de domaines)**, sélectionnez **Create new domain list (Créer une nouvelle liste de domaines)**.

1. Entrez un nom de liste de domaines**AllDomains**, puis dans la zone de texte **Entrez un domaine par ligne**, entrez un astérisque :**\$1**. 

1. Pour le **paramètre de redirection de domaine**, acceptez la valeur par défaut et laissez le **champ Type de requête (facultatif)** vide.

1. Pour l'**action**, sélectionnez **BLOQUER**, puis laissez la réponse à envoyer avec le paramètre par défaut **NODATA**. 

1. Choisissez **Ajouter une règle**. Votre règle **BlockAll**s'affiche dans l'onglet **Règles** de la **WalledGardenExample**page.

1. Sur la **WalledGardenExample**page, choisissez **Ajouter une règle** pour ajouter une deuxième règle à votre groupe de règles. 

1. Dans le volet **Détails de la règle**, entrez le nom de la règle** AllowSelectDomains**.

1. Dans le panneau **Domain list (Liste des domaines)**, sélectionnez **Add my own domain list (Ajouter ma propre liste de domaines)**. 

1. Sous **Choose or create a new domain list (Choisir ou créer une nouvelle liste de domaines)**, sélectionnez **Create new domain list (Créer une nouvelle liste de domaines)**.

1. Saisissez un nom de liste de domaines **ExampleDomains**.

1. Dans la zone de texte **Entrez un domaine par ligne**, sur la première ligne, entrez **example.com** et sur la deuxième ligne, entrez**example.org**. 
**Note**  
Si vous souhaitez que la règle s'applique également aux sous-domaines, vous devez également ajouter ces domaines à la liste. Par exemple, pour ajouter tous les sous-domaines de example.com, ajoutez **\$1.example.com** à la liste.

1. Pour le **paramètre de redirection de domaine**, acceptez la valeur par défaut et laissez le **champ Type de requête (facultatif)** vide.

1. Pour l'**action**, sélectionnez **AUTORISER**. 

1. Choisissez **Ajouter une règle**. Vos règles sont toutes deux affichées dans l'onglet **Règles** de la **WalledGardenExample**page.

1. Dans l'onglet **Règles** de la **WalledGardenExample**page, vous pouvez ajuster l'ordre d'évaluation des règles de votre groupe de règles en sélectionnant le numéro indiqué dans la **colonne Priorité** et en saisissant un nouveau numéro. Le pare-feu DNS évalue les règles en commençant par le paramètre de priorité le plus bas, de sorte que la règle ayant la priorité la plus faible est la première à être évaluée. Dans cet exemple, nous voulons que le pare-feu DNS identifie et autorise d'abord les requêtes DNS pour la liste de domaines sélectionnée, puis bloque les requêtes restantes. 

   Ajustez la priorité de la règle afin qu'**AllowSelectDomains**elle ait une priorité inférieure.

Vous disposez désormais d'un groupe de règles qui autorise uniquement les requêtes de domaines spécifiques. Pour commencer à l'utiliser, associez-le à l' VPCs endroit où vous souhaitez utiliser le comportement de filtrage. Pour de plus amples informations, veuillez consulter [Gestion des associations entre votre VPC et le groupe de règles Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).

## Exemple de liste de blocage du pare-feu DNS Resolver
<a name="dns-firewall-block-list-example"></a>

Dans ce didacticiel, vous allez créer un groupe de règles qui bloque les domaines que vous considérez comme malveillants. Vous allez également ajouter un type de requête DNS autorisé pour les domaines de la liste bloquée. Le groupe de règles autorise toutes les autres requêtes DNS sortantes via le résolveur VPC.

**Pour configurer une liste rouge de pare-feu DNS à l'aide de l'assistant de la console**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Choisissez **Pare-feu DNS** dans le volet de navigation pour ouvrir la page des **groupes de règles** de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 3.

   - OU - 

   Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Dans le volet de navigation, sous **Pare-feu DNS**, choisissez **Groupes de règles**.

1. Dans la barre de navigation, choisissez la région pour le groupe de règles. 

1. Sur la page **Rule groups (Groupes de règles)**, choisissez **Add rule group (Ajouter un groupe de règles)**.

1. Saisissez **BlockListExample** comme nom pour le groupe de règles. 

   Dans la section **Tags**, vous pouvez éventuellement saisir une paire clé-valeur pour une balise. Les balises vous aident à organiser et à gérer vos ressources AWS . Pour de plus amples informations, veuillez consulter [Balisage des ressources Amazon Route 53](tagging-resources.md). 

1. Sur la page de **BlockListExample**détails, choisissez l'onglet **Règles**, puis **Ajouter une règle**.

1. Dans le panneau **Rule details (Détails de la règle)**, saisissez le nom de la règle ** BlockList**.

1. Dans le panneau **Domain list (Liste des domaines)**, sélectionnez **Add my own domain list (Ajouter ma propre liste de domaines)**. 

1. Sous **Choose or create a new domain list (Choisir ou créer une nouvelle liste de domaines)**, sélectionnez **Create new domain list (Créer une nouvelle liste de domaines)**.

1. Saisissez un nom de liste de domaines **MaliciousDomains**, puis dans la zone de texte, saisissez les domaines que vous souhaitez bloquer. Par exemple, ** example.org**. Saisissez un domaine par ligne. 
**Note**  
Si vous souhaitez que la règle s'applique également aux sous-domaines, vous devez également ajouter ces domaines à la liste. Par exemple, pour ajouter tous les sous-domaines de example.org, ajoutez **\$1.example.org** à la liste.

1. Pour le **paramètre de redirection de domaine**, acceptez la valeur par défaut et laissez le **champ Type de requête (facultatif)** vide.

1. Pour l'action, sélectionnez **BLOCK**, puis laissez la réponse à envoyer au paramètre par défaut de **NODATA**. 

1. Choisissez **Ajouter une règle**. Votre règle est affichée dans l'onglet **Règles** de la **BlockListExample**page

1. dans l'onglet **Règles** de la **BlockedListExample**page, vous pouvez ajuster l'ordre d'évaluation des règles de votre groupe de règles en sélectionnant le numéro indiqué dans la **colonne Priorité** et en saisissant un nouveau numéro. Le pare-feu DNS évalue les règles en commençant par le paramètre de priorité le plus bas, de sorte que la règle ayant la priorité la plus faible est la première à être évaluée. 

   Sélectionnez et ajustez la priorité de la règle afin qu'elle **BlockList**soit évaluée avant ou après toute autre règle que vous pourriez avoir. La plupart du temps, les domaines malveillants connus devraient être bloqués en premier. Autrement dit, les règles qui leur sont associées devraient avoir le numéro de priorité le plus bas.

1. Pour ajouter une règle autorisant les enregistrements MX pour les BlockList domaines, sur la page de **BlockedListExample**détails de l'onglet **Règles**, sélectionnez **Ajouter une règle**.

1. Dans le panneau **Rule details (Détails de la règle)**, saisissez le nom de la règle ** BlockList-allowMX**.

1. Dans le panneau **Domain list (Liste des domaines)**, sélectionnez **Add my own domain list (Ajouter ma propre liste de domaines)**. 

1. Sous **Choisir ou créer une nouvelle liste de domaines**, sélectionnez** MaliciousDomains**.

1. Pour le **paramètre de redirection de domaine**, acceptez la valeur par défaut.

1. Dans la liste des **types de requêtes DNS**, sélectionnez **MX : Spécifie les serveurs de messagerie**.

1. Pour l'action, sélectionnez **ALLOW**. 

1. Choisissez **Ajouter une règle**. 

1. dans l'onglet **Règles** de la **BlockedListExample**page, vous pouvez ajuster l'ordre d'évaluation des règles de votre groupe de règles en sélectionnant le numéro indiqué dans la **colonne Priorité** et en saisissant un nouveau numéro. Le pare-feu DNS évalue les règles en commençant par le paramètre de priorité le plus bas, de sorte que la règle ayant la priorité la plus faible est la première à être évaluée. 

   Sélectionnez et ajustez la priorité de la règle afin que **BlockList-AllowMX** soit évalué avant ou après toute autre règle que vous pourriez avoir. Comme vous souhaitez autoriser les requêtes MX, assurez-vous que la règle **BlockList-AllowMX** a une priorité inférieure à. **BlockList**

Vous disposez désormais d'un groupe de règles qui bloque les requêtes de domaine malveillantes spécifiques, mais autorise un type de requête DNS spécifique. Pour commencer à l'utiliser, associez-le à l' VPCsendroit où vous souhaitez utiliser le comportement de filtrage. Pour de plus amples informations, veuillez consulter [Gestion des associations entre votre VPC et le groupe de règles Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).

# Règles et groupes de règles de pare-feu DNS
<a name="resolver-dns-firewall-rule-groups"></a>

Cette section décrit les paramètres que vous pouvez configurer pour les groupes de règles et les règles de votre pare-feu DNS, afin de définir le comportement de votre pare-feu DNS VPCs. Elle décrit également comment gérer les paramètres de vos règles et groupes de règles. 

Une fois vos groupes de règles configurés comme vous le souhaitez, vous les utilisez directement et vous pouvez les partager et les gérer entre les comptes et dans l'ensemble de votre organisation dans AWS Organizations.
+ Vous pouvez associer un groupe de règles à plusieurs VPCs afin de garantir un comportement cohérent au sein de votre organisation. Pour plus d'informations, consultez [Gestion des associations entre votre VPC et le groupe de règles Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).
+ Vous pouvez partager des groupes de règles entre les comptes pour bénéficier d'une gestion cohérente des requêtes DNS dans l'ensemble de votre organisation. Pour plus d'informations, consultez [Partage des groupes de règles du pare-feu DNS Resolver entre les comptes AWS](resolver-dns-firewall-rule-group-sharing.md).
+ Vous pouvez utiliser les groupes de règles au sein de votre organisation AWS Organizations en les gérant dans AWS Firewall Manager des politiques. Pour plus d'informations sur Firewall Manager, consultez [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)le *AWS WAF AWS Firewall Manager, et le Guide AWS Shield Advanced du développeur*.

# Paramètres de groupe de règles dans le pare-feu DNS
<a name="resolver-dns-firewall-rule-group-settings"></a>

Lorsque vous créez ou modifiez un groupe de règles de pare-feu DNS, spécifiez les valeurs suivantes :

**Nom**  
Un nom unique qui vous permet de retrouver facilement un groupe de règles sur le tableau de bord.

**(Facultatif) Description**  
Une brève description qui fournit plus de contexte pour le groupe de règles. 

**Région**  
La AWS région que vous choisissez lorsque vous créez le groupe de règles. Les groupes de règles que vous créez dans une région ne sont disponibles que dans cette région. Pour utiliser la même règle dans plusieurs régions, vous devez la créer dans chaque région.

**Rules**  
Le comportement de filtrage du groupe de règles est contenu dans ses règles. Pour plus d'informations, consultez la section suivante.

**Étiquettes**  
Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez indiquer **Cost center (Centre de coûts)** pour **Key (Clé)** et **456** pour **Value (Valeur)**.  
Ce sont les tags qui AWS Billing and Cost Management permettent d'organiser votre AWS facture. Pour en savoir plus sur l'utilisation des identifications pour la répartition des coûts, consultez [Utilisation des identifications de répartition des coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dans le *Guide de l'utilisateur AWS Billing *.

# Paramètres de règles dans le pare-feu DNS
<a name="resolver-dns-firewall-rule-settings"></a>

Lorsque vous créez ou modifiez une règle dans un groupe de règles de pare-feu DNS, spécifiez les valeurs suivantes :

**Nom**  
Un identifiant unique pour la règle dans le groupe de règles.

**(Facultatif) Description**  
Une brève description qui fournit plus d'informations sur la règle. 

**Liste de domaines**  
La liste des domaines que la règle inspecte. Vous pouvez créer et gérer vos propres listes de domaines ou vous abonner à une liste de domaines qu' AWS gère pour vous. Pour de plus amples informations, veuillez consulter [Listes de domaines du pare-feu DNS Resolver](resolver-dns-firewall-domain-lists.md).   
Une règle peut contenir une liste de domaines ou une protection avancée par pare-feu DNS, mais pas les deux.

**Paramètre de redirection de domaines (listes de domaines uniquement)**  
Vous pouvez choisir que la règle du pare-feu DNS n'inspecte que le premier domaine ou tous les domaines (par défaut) de la chaîne de redirection DNS, tels que CNAME, DNAME, etc. Si vous choisissez d'inspecter tous les domaines, vous devez ajouter les domaines suivants de la chaîne de redirection DNS à la liste des domaines et définir l'action que vous souhaitez que la règle exécute, soit ALLOW, BLOCK ou ALERT. Pour de plus amples informations, veuillez consulter [Composants et paramètres du pare-feu DNS Resolver](resolver-dns-firewall-overview.md#resolver-dns-firewall-components). 

**Type de requête (listes de domaines uniquement)**  
Liste des types de requêtes DNS inspectés par la règle. Les valeurs valides sont les suivantes :  
+  R : Renvoie une IPv4 adresse.
+ AAAA : renvoie une adresse IPv6.
+ CAA : restrictions CAs qui peuvent créer des SSL/TLS certifications pour le domaine.
+ CNAME : renvoie un autre nom de domaine.
+ DS : enregistrement identifiant la clé de signature DNSSEC d'une zone déléguée.
+ MX : Spécifie les serveurs de messagerie.
+ NAPTR : Regular-expression-based réécriture de noms de domaine.
+ NS : serveurs de noms faisant autorité.
+ PTR : associe une adresse IP à un nom de domaine.
+ SOA : Début de l'enregistrement d'autorité pour la zone.
+ SPF : répertorie les serveurs autorisés à envoyer des e-mails depuis un domaine.
+ SRV : valeurs spécifiques à l'application qui identifient les serveurs.
+ TXT : vérifie les expéditeurs d'e-mails et les valeurs spécifiques à l'application.
+ Type de requête que vous définissez à l'aide de l'ID de type DNS, par exemple 28 pour AAAA. Les valeurs doivent être définies comme TYPE* NUMBER*, où elles *NUMBER* peuvent être comprises entre 1 et 65334, par exemple. TYPE28 Pour plus d'informations, consultez la section [Liste des types d'enregistrements DNS](https://en.wikipedia.org/wiki/List_of_DNS_record_types).

  Vous pouvez créer un type de requête par règle.
**Note**  
Si vous configurez une règle BLOCK de pare-feu dont l'action NXDOMAIN sur le type de requête est égale à AAAA, cette action ne sera pas appliquée aux IPv6 adresses synthétiques générées lorsqu'elle DNS64 est activée. 

**Protection avancée du pare-feu DNS**  
Détecte les requêtes DNS suspectes en fonction des signatures de menaces connues dans les requêtes DNS. Vous pouvez choisir une protection parmi :  
+ Algorithmes de génération de domaines (DGAs)

  DGAs sont utilisés par les attaquants pour générer un grand nombre de domaines afin de lancer des attaques de malwares.
+ Tunneling DNS

  Le tunneling DNS est utilisé par les attaquants pour exfiltrer les données du client en utilisant le tunnel DNS sans établir de connexion réseau avec le client.
+ Dictionnaire DGA

   DGAs Les dictionnaires sont utilisés par les attaquants pour générer des domaines à l'aide de mots du dictionnaire afin d'échapper à la détection des command-and-control communications par des logiciels malveillants.
Dans une règle avancée de pare-feu DNS, vous pouvez choisir de bloquer ou d'alerter sur une requête correspondant à la menace.   
Pour de plus amples informations, veuillez consulter [Pare-feu DNS Resolver Advanced](firewall-advanced.md).   
Une règle peut contenir une protection avancée du pare-feu DNS ou une liste de domaines, mais pas les deux.

**Seuil de confiance (DNS Firewall Advanced uniquement)**  
Seuil de confiance pour DNS Firewall Advanced. Vous devez spécifier cette valeur lorsque vous créez une règle DNS Firewall Advanced. Les valeurs du seuil de confiance sont les suivantes :  
+ Élevé : détecte uniquement les menaces les plus corroborées avec un faible taux de faux positifs.
+ Moyen : assure un équilibre entre détection des menaces et faux positifs.
+ Faible : fournit le taux de détection de menaces le plus élevé, mais augmente également le nombre de faux positifs.
Pour de plus amples informations, veuillez consulter [Paramètres de règles dans le pare-feu DNS](#resolver-dns-firewall-rule-settings). 

**Action**  
La manière dont le pare-feu DNS doit gérer une requête DNS dont le nom de domaine correspond aux spécifications de la liste de domaines de la règle. Pour de plus amples informations, veuillez consulter [Actions de règle dans le pare-feu DNS](resolver-dns-firewall-rule-actions.md). 

**Priority**  
Paramètre d'entier positif unique pour la règle au sein du groupe de règles qui détermine l'ordre de traitement. Le pare-feu DNS inspecte les requêtes DNS par rapport aux règles d'un groupe de règles en commençant par le paramètre de priorité numérique le plus bas. Vous pouvez modifier la priorité d'une règle à tout moment, par exemple pour modifier l'ordre de traitement ou créer de l'espace pour d'autres règles. 

# Actions de règle dans le pare-feu DNS
<a name="resolver-dns-firewall-rule-actions"></a>

Lorsque le pare-feu DNS trouve une correspondance entre une requête DNS et une spécification de domaine dans une règle, il applique à la requête l'action indiquée dans la règle. 

Vous devez indiquer l'une des options suivantes dans chaque règle que vous créez : 
+ **Allow**— Arrêtez d'inspecter la requête et autorisez-la à passer. Non disponible pour DNS Firewall Advanced.
+ **Alert**— Arrêtez d'inspecter la requête, autorisez-la à passer et enregistrez une alerte pour la requête dans les journaux du résolveur VPC Route 53. 
+ **Block**— Interrompez l'inspection de la requête, empêchez-la d'atteindre sa destination prévue et enregistrez l'action de blocage de la requête dans les journaux du résolveur VPC Route 53. 

  Répondez avec la réponse de blocage configurée, à partir de la liste suivante : 
  + **NODATA**— Répond indiquant que la requête a abouti, mais qu'aucune réponse n'est disponible pour celle-ci.
  + **NXDOMAIN**— Répondez en indiquant que le nom de domaine de la requête n'existe pas.
  + **OVERRIDE**— Fournissez une dérogation personnalisée dans la réponse. Cette option nécessite les paramètres supplémentaires suivants : 
    + **Record value**— L'enregistrement DNS personnalisé à renvoyer en réponse à la requête. 
    + **Record type**— Le type d'enregistrement DNS. Il détermine le format de la valeur d’enregistrement. Il doit être `CNAME`.
    + **Time to live in seconds**— Durée recommandée pour que le résolveur DNS ou le navigateur Web mettent en cache l'enregistrement de remplacement et l'utilisent en réponse à cette requête, s'il est reçu à nouveau. Par défaut, ce paramètre est défini sur zéro et l'enregistrement n'est pas mis en cache.

Pour en savoir plus sur la configuration et le contenu des journaux de requête, consultez [Journalisation des requêtes Resolver](resolver-query-logs.md) et [Valeurs qui apparaissent dans les journaux de requêtes de VPC Resolver](resolver-query-logs-format.md). 

**Utiliser Alert pour tester les règles de blocage**  
Lorsque vous créez une règle de blocage pour la première fois, vous pouvez la tester en la configurant avec l'action définie sur Alert. Vous pouvez ensuite examiner le nombre de requêtes pour lesquelles la règle crée une alerte afin de voir combien de requêtes seraient bloquées si vous définissez l'action sur Block. 

# Gestion des règles et groupes de règles dans le pare-feu DNS
<a name="resolver-dns-firewall-rule-group-managing"></a>

Pour gérer les groupes de règles et les règles dans la console, suivez les instructions de cette section.

Lorsque vous apportez des modifications aux entités du pare-feu DNS, telles que les règles et les listes de domaines, le pare-feu DNS propage les modifications partout où les entités sont stockées et utilisées. Vos modifications sont appliquées en quelques secondes, mais il peut y avoir une brève période d'incohérence lorsque les modifications arrivent à certains endroits et non à d'autres. Par exemple, si vous ajoutez un domaine à une liste de domaines référencée par une règle de blocage, le nouveau domaine peut être brièvement bloqué dans une zone de votre VPC et être toujours autorisé dans une autre. Cette incohérence temporaire peut se produire lorsque vous configurez vos associations de groupes de règles et de VPC pour la première fois et lorsque vous modifiez des paramètres existants. En règle générale, les incohérences de ce type ne durent que quelques secondes.

# Création d'un groupe de règles et de règles
<a name="resolver-dns-firewall-rule-group-adding"></a>

Pour créer un groupe de règles et y ajouter des règles, suivez les étapes de cette procédure.

**Pour créer un groupe de règles et ses règles**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Choisissez **Pare-feu DNS** dans le volet de navigation pour ouvrir la page des **groupes de règles** de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 3.

   - OU - 

   Connectez-vous à AWS Management Console et ouvrez 

   la console Amazon VPC située sous. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Dans le volet de navigation, sous **Pare-feu DNS**, choisissez **Groupes de règles**.

1. Dans la barre de navigation, choisissez la région pour le groupe de règles. 

1. Choisissez **Add rule group (Ajouter un groupe de règles)**, puis suivez les instructions de l'assistant pour indiquer les paramètres du groupe de règles et des règles.

   Pour plus d'informations sur les valeurs des groupes de règles, consultez [Paramètres de groupe de règles dans le pare-feu DNS](resolver-dns-firewall-rule-group-settings.md).

   Pour plus d'informations sur les valeurs des règles, consultez [Paramètres de règles dans le pare-feu DNS](resolver-dns-firewall-rule-settings.md).

# Affichage et mise à jour d'un groupe de règles et des règles
<a name="resolver-dns-firewall-rule-group-editing"></a>

Utilisez la procédure suivante pour afficher les groupes de règles et les règles qui leur sont assignées. Vous pouvez également mettre à jour le groupe de règles et les paramètres des règles.

**Pour afficher et mettre à jour un groupe de règles**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Choisissez **Pare-feu DNS** dans le volet de navigation pour ouvrir la page des **groupes de règles** de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 3.

   - OU - 

   Connectez-vous à AWS Management Console et ouvrez 

   la console Amazon VPC située sous. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Dans le volet de navigation, sous **Pare-feu DNS**, choisissez **Groupes de règles**.

1. Dans la barre de navigation, choisissez la région pour le groupe de règles. 

1. Sélectionnez le groupe de règles que vous souhaitez afficher ou modifier, puis choisissez **View details (Afficher les détails)**. 

1. Dans la page du groupe de règles, vous pouvez afficher et modifier les paramètres.

   Pour plus d'informations sur les valeurs des groupes de règles, consultez [Paramètres de groupe de règles dans le pare-feu DNS](resolver-dns-firewall-rule-group-settings.md).

   Pour plus d'informations sur les valeurs des règles, consultez [Paramètres de règles dans le pare-feu DNS](resolver-dns-firewall-rule-settings.md).

# Suppression d'un groupe de règles
<a name="resolver-dns-firewall-rule-group-deleting"></a>

Pour supprimer un groupe de règles, suivez la procédure suivante.

**Important**  
Si vous supprimez un groupe de règles associé à un VPC, le pare-feu DNS supprime l'association et arrête les protections que le groupe de règles fournissait au VPC. 

**Suppression des entités du pare-feu DNS**  
Lorsque vous supprimez une entité que vous pouvez utiliser dans le pare-feu DNS, comme une liste de domaines qui peut être utilisée dans un groupe de règles ou un groupe de règles qui peut être associé à un VPC, le pare-feu DNS vérifie si l'entité est actuellement utilisée. S'il constate qu'elle est en cours d'utilisation, le pare-feu DNS vous en avertit. Le pare-feu DNS est presque toujours capable de déterminer si une entité est en cours d'utilisation. Cependant, dans de rares cas, il peut ne pas être en mesure de le faire. Si vous devez vous assurer que rien n'utilise actuellement l'entité, vérifiez si elle se trouve dans vos configurations de pare-feu DNS avant de la supprimer. Si l'entité est une liste de domaines référencée, vérifiez qu'aucun groupe de règles ne l'utilise. Si l'entité est un groupe de règles, vérifiez qu'elle n'est associée à aucun groupe de règles VPCs.

**Pour supprimer un groupe de règles**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Choisissez **Pare-feu DNS** dans le volet de navigation pour ouvrir la page des **groupes de règles** de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 3.

   - OU - 

   Connectez-vous à AWS Management Console et ouvrez 

   la console Amazon VPC située sous. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Dans le volet de navigation, sous **Pare-feu DNS**, choisissez **Groupes de règles**.

1. Dans la barre de navigation, choisissez la région pour le groupe de règles. 

1. Sélectionnez le groupe de règles que vous souhaitez supprimer, puis choisissez **Supprimer** et confirmez la suppression.

# Listes de domaines du pare-feu DNS Resolver
<a name="resolver-dns-firewall-domain-lists"></a>

Une *liste de domaines* est un ensemble réutilisable de spécifications de domaine que vous utilisez dans une règle de pare-feu DNS, à l'intérieur d'un groupe de règles. Lorsque vous associez un groupe de règles à un VPC, le pare-feu DNS compare vos requêtes DNS aux listes de domaines qui sont utilisées dans les règles. S'il trouve une correspondance, il gère la requête DNS en fonction de l'action de la règle correspondante. Pour de plus amples informations sur les règles et les groupes de règles, veuillez consulter [Règles et groupes de règles de pare-feu DNS](resolver-dns-firewall-rule-groups.md). 

Les listes de domaines vous permettent de séparer vos spécifications de domaines explicites des actions que vous souhaitez entreprendre sur elles. Vous pouvez utiliser une seule liste de domaines dans plusieurs règles et toutes les mises à jour que vous apportez à la liste de domaines affectent automatiquement toutes les règles qui l'utilisent. 

Les listes de domaines se répartissent en deux catégories principales : 
+ Des listes de domaines gérées, qui AWS créent et gèrent pour vous.
+ Vos propres listes de domaines, que vous créez et gérez vous-même.

Cette section décrit les types de groupes de listes de domaines gérées disponibles et fournit des conseils pour la création et la gestion de vos propres listes de domaines, si vous le souhaitez. 

# Listes de domaines gérées
<a name="resolver-dns-firewall-managed-domain-lists"></a>

Les listes de domaines gérés contiennent des noms de domaine associés à des activités malveillantes ou à d'autres menaces potentielles. AWS tient à jour ces listes pour permettre aux clients de Route 53 VPC Resolver de vérifier gratuitement les requêtes DNS sortantes par rapport à eux lorsqu'ils utilisent le pare-feu DNS. 

La mise à jour dans le contexte d'un paysage de menaces en constante évolution peut prendre du temps et coûter cher. Les listes de domaines gérés peuvent vous faire gagner du temps lorsque vous implémentez et utilisez un pare-feu DNS. AWS met automatiquement à jour les listes lorsque de nouvelles vulnérabilités et menaces apparaissent. AWS est souvent informé des nouvelles vulnérabilités avant leur divulgation publique, de sorte que DNS Firewall peut déployer des mesures d'atténuation pour vous avant qu'une nouvelle menace ne soit largement connue. 

Les listes de domaines gérées sont conçues pour vous aider à vous protéger contre les menaces Web courantes et elles ajoutent une couche de sécurité supplémentaire à vos applications. Les listes de domaines AWS gérés fournissent leurs données à la fois à partir de AWS sources internes et sont continuellement mises à jour. [RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future) Toutefois, les listes de domaines AWS gérés ne sont pas destinées à remplacer d'autres contrôles de sécurité Amazon GuardDuty, tels que ceux qui sont déterminés par les AWS ressources que vous sélectionnez.

À titre de bonne pratique, avant d'utiliser une liste de domaines gérée en production, testez-la dans un environnement autre que de production, avec l'action de règle définie sur `Alert`. Évaluez la règle à l'aide CloudWatch des métriques Amazon combinées aux requêtes échantillonnées ou aux journaux du pare-feu DNS Resolver. Une fois que le comportement de la règle vous convient, modifiez le paramètre d'action selon vos besoins. 

**Listes de domaines AWS gérés disponibles**  
Cette section décrit les listes de domaines gérées par qui sont actuellement disponibles. Si vous êtes dans une région où ces listes de domaines sont prises en charge, vous pouvez les voir sur la console lorsque vous gérez des listes de domaines et lorsque vous spécifiez la liste de domaines pour une règle. Dans les journaux, la liste de domaines est journalisée dans le fichier `firewall_domain_list_id field`.

AWS fournit les listes de domaines gérés suivantes, dans les régions où elles sont disponibles, pour tous les utilisateurs de Resolver DNS Firewall. 
+ `AWSManagedDomainsMalwareDomainList` : domaines associés à l'envoi, à l'hébergement ou à la distribution de logiciels malveillants.
+ `AWSManagedDomainsBotnetCommandandControl` : domaines associés au contrôle des réseaux d'ordinateurs infectés par des logiciels malveillants de courrier indésirable. 
+ `AWSManagedDomainsAggregateThreatList`— Domaines associés à plusieurs catégories de menaces DNS, notamment les malwares, les ransomwares, les botnets, les logiciels espions et le tunneling DNS pour aider à bloquer plusieurs types de menaces. `AWSManagedDomainsAggregateThreatList`inclut tous les domaines figurant dans les autres listes de domaines AWS gérés répertoriées ici.
+ `AWSManagedDomainsAmazonGuardDutyThreatList`— Domaines associés aux résultats de sécurité GuardDuty du DNS d'Amazon. Les domaines proviennent uniquement des systèmes de GuardDuty renseignement sur les menaces des États-Unis et ne contiennent pas de domaines provenant de sources tierces externes. Plus précisément, cette liste ne bloque actuellement que les domaines générés en interne et utilisés pour les détections suivantes dans GuardDuty : Impact:EC2/ AbusedDomainRequest .Reputation, Impact:EC2/ .Reputation, Impact:EC2/ .Reputation, Impact : BitcoinDomainRequest .Reputation. MaliciousDomainRequest Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, and Impact:Runtime/MaliciousDomainRequest

  Pour plus d'informations, consultez la section [Trouver des types](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) dans le *guide de GuardDuty l'utilisateur Amazon*.

AWS Les listes de domaines gérés ne peuvent pas être téléchargées ni consultées. Pour protéger la propriété intellectuelle, vous ne pouvez pas consulter ou modifier les spécifications de domaines individuels dans une liste de domaines AWS gérés. Cette restriction aide également à empêcher les utilisateurs malveillants de concevoir des menaces qui contournent les listes publiées. 

**Pour tester les listes de domaines gérés**  
Nous fournissons l'ensemble de domaines suivant pour tester les listes de domaines gérées :

**AWSManagedDomainsBotnetCommandandControl**  
+  controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

**AWSManagedDomainsMalwareDomainList**  
+  controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

**AWSManagedDomainsAggregateThreatList et AWSManaged DomainsAmazonGuardDutyThreatList**  
+  controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+  controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

Ces domaines se résoudront en 1.2.3.4 s'ils ne sont pas bloqués. Si vous utilisez les listes de domaines gérées dans un VPC, les requêtes pour ces domaines renverront la réponse indiquant qu'une action de blocage dans la règle est définie sur (par exemple, NODATA). 

Pour plus d'informations sur les listes de domaines gérées, contactez le [Centre AWS Support](https://console.aws.amazon.com/support/home#/). 

Le tableau suivant répertorie la disponibilité des régions pour les listes de domaines AWS gérés.


**Disponibilité régionale des listes de domaines gérées**  

| Région | Les listes de domaines gérées sont-elles disponibles ? | 
| --- | --- | 
|  Afrique (Le Cap)   |  Oui  | 
|  Asie-Pacifique (Hong Kong)  | Oui | 
|  Asie-Pacifique (Hyderabad)  | Oui | 
|  Asie-Pacifique (Jakarta)   |  Oui  | 
|  Asie-Pacifique (Malaisie)  |  Oui  | 
|  Asie-Pacifique (Melbourne)  | Oui | 
|  Asie-Pacifique (Mumbai)  |  Oui  | 
|  Région Asie-Pacifique (Osaka)  |  Oui  | 
|  Asie-Pacifique (Séoul)  |  Oui  | 
|  Asie-Pacifique (Singapour)  |  Oui  | 
|  Asie-Pacifique (Sydney)  |  Oui  | 
|  Asie-Pacifique (Thaïlande)  |  Oui  | 
|  Asie-Pacifique (Tokyo)  |  Oui  | 
|  Région Canada (Centre)  |  Oui  | 
|  Canada-Ouest (Calgary)  |  Oui  | 
|  Région Europe (Francfort)  |  Oui  | 
|  Région Europe (Irlande)  |  Oui  | 
|  Région Europe (Londres)  |  Oui  | 
|  Europe (Milan)   |  Oui  | 
|  Région Europe (Paris)  |  Oui  | 
|  Europe (Espagne)  | Oui | 
|  Europe (Stockholm)  |  Oui  | 
|  Europe (Zurich)  | Oui | 
|  Israël (Tel Aviv)  | Oui | 
|  Middle East (Bahrain)  | Oui | 
|  Moyen-Orient (EAU)  | Oui | 
|  Amérique du Sud (São Paulo)  |  Oui  | 
|  USA Est (Virginie du Nord)  |  Oui  | 
|  USA Est (Ohio)  |  Oui  | 
|  USA Ouest (Californie du Nord)  |  Oui  | 
|  USA Ouest (Oregon)  |  Oui  | 
|  Chine (Pékin)   |  Oui  | 
|  Chine (Ningxia)   |  Oui  | 
|  AWS GovCloud (US)  |  Oui  | 

**Considérations supplémentaires en matière de sécurité**  
AWS Les listes de domaines gérés sont conçues pour vous aider à vous protéger contre les menaces Web les plus courantes. Utilisées conformément à la documentation, ces listes ajoutent une autre couche de sécurité à vos applications. Toutefois, les listes de domaines gérées ne sont pas conçues pour remplacer d'autres contrôles de sécurité qui sont déterminés par les ressources AWS que vous sélectionnez. Pour vous assurer que vos ressources AWS sont correctement protégées, consultez les instructions du [Shared Responsibility Model](https://aws.amazon.com/compliance/shared-responsibility-model/). 

**Atténuation des risques de scénarios de faux positifs**  
Si vous rencontrez des scénarios de faux positifs dans les règles qui utilisent les listes de domaines gérées par pour bloquer les requêtes, effectuez les étapes suivantes : 

1. Dans les journaux du résolveur VPC, identifiez le groupe de règles et la liste de domaines gérés à l'origine du faux positif. Pour ce faire, recherchez le journal de la requête que le pare-feu DNS bloque, mais que vous souhaitez autoriser. L'enregistrement du journal répertorie le groupe de règles, l'action de la règle et la liste de domaines gérée. Pour de plus amples informations sur les journaux, veuillez consulter [Valeurs qui apparaissent dans les journaux de requêtes de VPC Resolver](resolver-query-logs-format.md).

1. Créez une nouvelle règle dans le groupe de règles qui autorise explicitement la requête bloquée. Lorsque vous créez la règle, vous pouvez définir votre propre liste de domaines avec uniquement la spécification de domaine que vous souhaitez autoriser. Suivez les instructions relatives à la gestion des règles et groupes de règles dans [Création d'un groupe de règles et de règles](resolver-dns-firewall-rule-group-adding.md).

1. Définissez la priorité de la nouvelle règle au sein du groupe de règles afin qu'elle s'exécute avant la règle qui utilise la liste de domaines gérée. Pour ce faire, donnez à la nouvelle règle un paramètre de priorité numérique inférieur.

Une fois que vous avez mis à jour votre groupe de règles, la nouvelle règle autorise explicitement le nom de domaine que vous souhaitez autoriser avant l'exécution de la règle de blocage. 

# Gestion de vos propres listes de domaines
<a name="resolver-dns-firewall-user-managed-domain-lists"></a>

Vous pouvez créer vos propres listes de domaines pour indiquer des catégories de domaines que vous ne trouvez pas dans les offres de listes de domaines gérées ou que vous préférez gérer vous-même. 

Outre les procédures décrites dans cette section, dans la console, vous pouvez créer une liste de domaines dans le contexte de la gestion des règles du Resolver DNS Firewall, lorsque vous créez ou mettez à jour une règle. 

Chaque spécification de domaine dans votre liste de domaines doit satisfaire aux exigences suivantes : 
+ Elle peut éventuellement commencer par `*` (astérisque).
+ À l'exception de l'astérisque initial facultatif et d'un point, pour délimiter les libellés, il ne doit contenir que les caractères suivants :`A-Z`,, `a-z``0-9`, `-` (trait d'union).
+ Sa longueur doit être comprise entre 1 et 255 caractères. 

Lorsque vous apportez des modifications aux entités du pare-feu DNS, telles que les règles et les listes de domaines, le pare-feu DNS propage les modifications partout où les entités sont stockées et utilisées. Vos modifications sont appliquées en quelques secondes, mais il peut y avoir une brève période d'incohérence lorsque les modifications arrivent à certains endroits et non à d'autres. Par exemple, si vous ajoutez un domaine à une liste de domaines référencée par une règle de blocage, le nouveau domaine peut être brièvement bloqué dans une zone de votre VPC et être toujours autorisé dans une autre. Cette incohérence temporaire peut se produire lorsque vous configurez vos associations de groupes de règles et de VPC pour la première fois et lorsque vous modifiez des paramètres existants. En règle générale, les incohérences de ce type ne durent que quelques secondes.

**Testez votre liste de domaines avant de l'utiliser en production**  
À titre de bonne pratique, avant d'utiliser une liste de domaines en production, testez-la dans un environnement autre que de production, avec l'action de règle définie sur `Alert`. Évaluez la règle à l'aide CloudWatch des métriques Amazon et des journaux VPC Resolver. Les journaux fournissent le nom de la liste de domaines pour toutes les alertes et actions de blocage. Une fois que la liste de domaines correspond à vos requêtes DNS comme vous le souhaitez, modifiez le paramètre d'action de règle selon vos besoins. Pour plus d'informations sur CloudWatch les métriques et les journaux de requêtes[Surveillance des groupes de règles du pare-feu DNS Resolver avec Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md), reportez-vous aux [Valeurs qui apparaissent dans les journaux de requêtes de VPC Resolver](resolver-query-logs-format.md) sections, et[Gestion des configurations de journalisation des requêtes Resolver](resolver-query-logging-configurations-managing.md). 

**Pour ajouter une liste de domaines**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Choisissez **Pare-feu DNS** dans le volet de navigation pour ouvrir la page des **groupes de règles** de pare-feu DNS sur la console Amazon VPC. Passez à l'étape 2.

   - OU - 

   Connectez-vous à AWS Management Console et ouvrez 

   la console Amazon VPC située sous. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Dans le volet de navigation, sous **Pare-feu DNS**, choisissez **Listes de domaine**. Sur la page **Domain lists (Listes de domaines)**, vous pouvez sélectionner et modifier des listes de domaines existantes et ajouter vos propres listes.

1. Pour ajouter une liste de domaines, choisissez **Add domain list (Ajouter une liste de domaines)**. 

1. Indiquez un nom pour votre liste de domaines, puis saisissez vos spécifications de domaine dans la zone de texte (une spécification par ligne). 

   Si vous définissez **Switch to bulk upload (Passer au téléchargement groupé)** sur **on (activé)**, saisissez l'URI du compartiment Amazon S3 dans lequel vous avez créé une liste de domaines. Cette liste de domaines devrait avoir un nom de domaine par ligne.
**Note**  
Les noms de domaine dupliqués entraîneront l'échec de l'importation en bloc.

1. Choisissez **Add domain list (Ajouter une liste de domaines)**. La page **Domain lists (Listes de domaines)** répertorie votre nouvelle liste de domaines. 

Après avoir créé la liste de domaines, vous pouvez la référencer par son nom à partir de vos règles de pare-feu DNS. 

**Suppression des entités du pare-feu DNS**  
Lorsque vous supprimez une entité que vous pouvez utiliser dans le pare-feu DNS, comme une liste de domaines qui peut être utilisée dans un groupe de règles ou un groupe de règles qui peut être associé à un VPC, le pare-feu DNS vérifie si l'entité est actuellement utilisée. S'il constate qu'elle est en cours d'utilisation, le pare-feu DNS vous en avertit. Le pare-feu DNS est presque toujours capable de déterminer si une entité est en cours d'utilisation. Cependant, dans de rares cas, il peut ne pas être en mesure de le faire. Si vous devez vous assurer que rien n'utilise actuellement l'entité, vérifiez si elle se trouve dans vos configurations de pare-feu DNS avant de la supprimer. Si l'entité est une liste de domaines référencée, vérifiez qu'aucun groupe de règles ne l'utilise. Si l'entité est un groupe de règles, vérifiez qu'elle n'est associée à aucun groupe de règles VPCs.

**Pour supprimer une liste de domaines**

1. Dans le panneau de navigation, choisissez **Domain lists (Listes de domaines)**.

1. Dans la barre de navigation, choisissez la région pour la liste de domaines. 

1. Sélectionnez la liste de domaines que vous souhaitez supprimer, puis choisissez **Supprimer** et confirmez la suppression.

# Pare-feu DNS Resolver Advanced
<a name="firewall-advanced"></a>

DNS Firewall Advanced détecte les requêtes DNS suspectes en fonction des signatures de menaces connues présentes dans les requêtes DNS. Vous pouvez spécifier un type de menace dans une règle que vous utilisez dans une règle de pare-feu DNS, au sein d'un groupe de règles. Lorsque vous associez un groupe de règles à un VPC, DNS Firewall compare vos requêtes DNS aux domaines marqués dans les règles. S’il trouve une correspondance, il gère la requête DNS en fonction de l’action de la règle correspondante.

DNS Firewall Advanced identifie les signatures de menaces DNS suspectes en inspectant une série d'identifiants clés dans la charge utile du DNS, notamment l'horodatage des demandes, la fréquence des demandes et des réponses, les chaînes de requêtes DNS, ainsi que la longueur, le type ou la taille des requêtes DNS sortantes et entrantes. En fonction du type de signature de menace, vous pouvez configurer des politiques pour bloquer ou simplement enregistrer et envoyer une alerte sur la requête. En utilisant un ensemble étendu d'identificateurs de menaces, vous pouvez vous protéger contre les menaces DNS provenant de sources de domaine qui ne sont peut-être pas encore classifiées par les flux de renseignements sur les menaces gérés par l'ensemble de la communauté de sécurité.

À l'heure actuelle, DNS Firewall Advanced offre des protections contre : 
+ Algorithmes de génération de domaines (DGAs)

  DGAs sont utilisés par les attaquants pour générer un grand nombre de domaines afin de lancer des attaques de malwares.
+ Tunneling DNS

  Le tunneling DNS est utilisé par les attaquants pour exfiltrer les données du client en utilisant le tunnel DNS sans établir de connexion réseau avec le client.
+ Dictionnaire DGA

   DGAs Les dictionnaires sont utilisés par les attaquants pour générer des domaines à l'aide de mots du dictionnaire afin d'échapper à la détection des command-and-control communications par des logiciels malveillants.

Pour savoir comment créer des règles, reportez-vous aux sections [Création d'un groupe de règles et de règles](resolver-dns-firewall-rule-group-adding.md) et[Paramètres de règles dans le pare-feu DNS](resolver-dns-firewall-rule-settings.md). 

**Atténuation des risques de scénarios de faux positifs**  
Si vous rencontrez des scénarios faussement positifs dans les règles qui utilisent les protections avancées du pare-feu DNS pour bloquer les requêtes, effectuez les opérations suivantes : 

1. Dans les journaux du résolveur VPC, identifiez le groupe de règles et les protections avancées du pare-feu DNS à l'origine du faux positif. Pour ce faire, recherchez le journal de la requête que le pare-feu DNS bloque, mais que vous souhaitez autoriser. L'enregistrement du journal répertorie le groupe de règles, l'action des règles et la protection avancée du pare-feu DNS. Pour de plus amples informations sur les journaux, veuillez consulter [Valeurs qui apparaissent dans les journaux de requêtes de VPC Resolver](resolver-query-logs-format.md).

1. Créez une nouvelle règle dans le groupe de règles qui autorise explicitement la requête bloquée. Lorsque vous créez la règle, vous pouvez définir votre propre liste de domaines avec uniquement la spécification de domaine que vous souhaitez autoriser. Suivez les instructions relatives à la gestion des règles et groupes de règles dans [Création d'un groupe de règles et de règles](resolver-dns-firewall-rule-group-adding.md).

1. Définissez la priorité de la nouvelle règle au sein du groupe de règles afin qu'elle s'exécute avant la règle qui utilise la liste de domaines gérée. Pour ce faire, donnez à la nouvelle règle un paramètre de priorité numérique inférieur.

Une fois que vous avez mis à jour votre groupe de règles, la nouvelle règle autorise explicitement le nom de domaine que vous souhaitez autoriser avant l'exécution de la règle de blocage. 

# Configuration de la journalisation du pare-feu DNS
<a name="firewall-resolver-query-logs-configuring"></a>

 Vous pouvez évaluer les règles de votre pare-feu DNS à l'aide CloudWatch des métriques Amazon et des journaux de requêtes du Resolver. Les journaux fournissent le nom de la liste de domaines pour toutes les alertes et actions de blocage. Pour plus d'informations sur Amazon CloudWatch, consultez[Surveillance des groupes de règles du pare-feu DNS Resolver avec Amazon CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md).

Lorsque vous activez le pare-feu DNS, que vous l'associez à un VPC et que la journalisation est activée, ` firewall_rule_group_id`, `firewall_rule_action` et ` firewall_domain_list_id` sont les champs spécifiques au pare-feu DNS fournis dans vos journaux.

**Note**  
 Les journaux de requêtes afficheront les champs supplémentaires du pare-feu DNS pour uniquement les requêtes bloquées par les règles du pare-feu DNS.

Pour commencer à enregistrer les requêtes DNS filtrées par les règles de pare-feu DNS qui proviennent de votre VPCs, vous devez effectuer les tâches suivantes dans la console Amazon Route 53 :<a name="firewall-resolver-query-logs-configuring-procedure"></a>

**Pour configurer la journalisation des requêtes Resolver pour le pare-feu DNS**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Développez le menu de la console Route 53. Dans le coin supérieur gauche de la console, sélectionnez l'icone des trois barres horizontales (![\[Menu icon\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/images/menu-icon.png)

1. Dans le menu Resolver, choisissez **Query logging (Journalisation des requêtes)**.

1. Dans le sélecteur de région, choisissez la AWS région dans laquelle vous souhaitez créer la configuration de journalisation des requêtes. 

   Il doit s'agir de la même région dans laquelle vous avez créé la VPCs région associée au pare-feu DNS pour laquelle vous souhaitez enregistrer les requêtes. Si vous avez plusieurs VPCs régions, vous devez créer au moins une configuration de journalisation des requêtes pour chaque région.

1. Choisissez **Configure query logging (Configurer la journalisation des requêtes)**.

1. Indiquez l'une des valeurs suivantes :  
**Nom de la configuration de journalisation des requêtes**  
Saisissez un nom pour votre configuration de journalisation des requêtes. Le nom s'affiche dans la console, dans la liste des configurations de journalisation des requêtes. Saisissez un nom qui vous aidera à retrouver la configuration plus tard.  
**Destination des journaux de requête**  
Choisissez le type de AWS ressource à laquelle vous souhaitez que VPC Resolver envoie les journaux de requêtes. Pour plus d'informations sur le choix entre les options (groupe de CloudWatch journaux, compartiment S3 et flux de diffusion Firehose), consultez. [AWS ressources auxquelles vous pouvez envoyer les journaux de requêtes de VPC Resolver](resolver-query-logs-choosing-target-resource.md)  
Après avoir choisi le type de ressource, vous pouvez créer une autre ressource de ce type ou choisir une ressource existante créée par le AWS compte courant.  
Vous pouvez uniquement choisir uniquement les ressources qui ont été créées dans la région AWS que vous avez choisie à l'étape 4, c'est-à-dire la région dans laquelle vous créez la configuration de journalisation des requêtes. Si vous choisissez de créer une nouvelle ressource, celle-ci sera créée dans la même région.  
**VPCs pour enregistrer les requêtes pour**  
Cette configuration d'enregistrement des requêtes enregistrera les requêtes DNS qui proviennent du fichier VPCs que vous avez choisi. **Cochez la case pour chaque VPC de la région actuelle pour lequel vous souhaitez que VPC Resolver enregistre les requêtes, puis choisissez Choisir.**  
La diffusion des journaux VPC ne peut être activée qu'une seule fois pour un type de destination spécifique. Les journaux ne peuvent pas être diffusés vers plusieurs destinations du même type. Par exemple, les journaux VPC ne peuvent pas être diffusés vers deux destinations Amazon S3.

1. Choisissez **Configure query logging (Configurer la journalisation des requêtes)**.

**Note**  
Vous devriez commencer à voir ces requêtes DNS exécutées par les ressources de votre VPC dans les journaux quelques minutes après avoir créé avec succès la configuration de journalisation.

# Partage des groupes de règles du pare-feu DNS Resolver entre les comptes AWS
<a name="resolver-dns-firewall-rule-group-sharing"></a>

Vous pouvez partager des groupes de règles de pare-feu DNS entre AWS des comptes. Pour partager des groupes de règles, vous utilisez AWS Resource Access Manager (AWS RAM). La console DNS Firewall s'intègre à la AWS RAM console. Pour plus d'informations AWS RAM, consultez le [guide de l'utilisateur de Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Notez ce qui suit :

**Associer des groupes de règles partagés à VPCs**  
Si un autre AWS compte partage un groupe de règles avec le vôtre, vous pouvez l'associer au vôtre de VPCs la même manière que vous associez les groupes de règles que vous avez créés. Pour de plus amples informations, veuillez consulter [Gestion des associations entre votre VPC et le groupe de règles Resolver DNS Firewall](resolver-dns-firewall-vpc-associating-rule-group.md).

**Suppression ou annulation du partage d'un groupe de règles**  
Si vous partagez un groupe de règles avec d'autres comptes, puis que vous supprimez le groupe de règles ou arrêtez de le partager, le pare-feu DNS supprime toutes les associations créées par les autres comptes entre le groupe de règles et le leur VPCs. 

**Paramètres maximaux pour les groupes de règles et les associations**  
Les groupes de règles partagés et leurs associations avec eux VPCs sont inclus dans le décompte des comptes avec lesquels les groupes de règles sont partagés.   
Pour obtenir les quotas de pare-feu DNS actuels, consultez [Quotas sur le pare-feu DNS Resolver](DNSLimitations.md#limits-api-entities-resolver-dns-firewall).

**Permissions**  
Pour partager un groupe de règles avec un autre AWS compte, vous devez être autorisé à utiliser l'[PutFirewallRuleGroupPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutFirewallRuleGroupPolicy.html)action.

**Restrictions relatives au AWS compte avec lequel un groupe de règles est partagé**  
Le compte avec lequel un groupe de règles est partagé ne peut pas modifier ou supprimer le groupe de règles. 

**Identification**  
Seul le compte qui a créé un groupe de règles peut ajouter, supprimer ou consulter les identifications du groupe de règles.

Pour consulter le statut de partage actuel d'un groupe de règles (y compris le compte qui a partagé le groupe de règles ou le compte avec lequel un groupe de règles est partagé) et partager des groupes de règles avec un autre compte, suivez la procédure suivante.

**Pour consulter l'état du partage et partager des groupes de règles avec un autre AWS compte**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Dans le volet de navigation, sélectionnez **Groupes de règles**.

1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé le groupe de règles.

   La colonne **Sharing status (Statut de partage)** affiche le statut de partage actuel des groupes de règles qui ont été créés par le compte actuel ou qui sont partagés avec le compte actuel :
   + **Non partagé** : le AWS compte actuel a créé le groupe de règles, qui n'est partagé avec aucun autre compte.
   + **Shared by me (Partagé par moi)** : le compte actuel a créé le groupe de règles et l'a partagé avec un ou plusieurs comptes.
   + **Shared with me (Partagé avec moi)** : un autre compte a créé le groupe de règles et l'a partagé avec le compte actuel.

1. Choisissez le nom du groupe de règles dont vous souhaitez afficher les informations de partage ou que vous souhaitez partager avec un autre compte.

   Sur la *rule group name* page **Groupe de règles :**, la valeur sous **Propriétaire** affiche l'ID du compte qui a créé le groupe de règles. Il s'agit du compte actuel, à moins que la valeur **Sharing status (Statut de partage)** soit **Shared with me (Partagée avec moi)**. Dans ce cas, le **propriétaire** est le compte qui a créé le groupe de règles et l'a partagé avec le compte actuel.

1. Choisissez **Share (Partager)** pour afficher des informations supplémentaires ou pour partager le groupe de règles avec un autre compte. Une page s'affiche dans la AWS RAM console, en fonction de la valeur de l'**état du partage** :
   + **Not shared (Non partagé)** : la page **Create resource share (Créer partage de ressource)** s'affiche. Pour plus d'informations sur le partage du groupe de règles avec un autre compte, une unité d'organisation (UO) ou une organisation, passez à l'étape suivante.
   + **Shared by me (Partagé par moi)** : la page **Shared resources (Ressources partagées)** affiche les groupes de règles et autres ressources qui sont détenus par le compte actuel et partagés avec d'autres comptes.
   + **Shared with me (Partagé avec moi)** : la page **Shared resources (Ressources partagées)** affiche les groupes de règles et autres ressources qui sont détenus par d'autres comptes et partagés avec le compte actuel.

1. Pour partager un groupe de règles avec un autre AWS compte, unité d'organisation ou organisation, spécifiez les valeurs suivantes.
**Note**  
Vous ne pouvez pas mettre à jour les paramètres de partage. Pour modifier les paramètres suivants, vous devez repartager un groupe de règles avec les nouveaux paramètres, puis supprimer les anciens paramètres de partage.  
**Description**  
Saisissez une courte description qui vous aide à vous rappeler les raisons pour lesquelles vous avez partagé le groupe de règles.  
**Ressources**  
Cochez la case correspondant au groupe de règles à partager.  
**Principaux**  
Entrez le numéro de AWS compte, le nom de l'unité d'organisation ou le nom de l'organisation.  
**Étiquettes**  
Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez spécifier **le centre de coûts** pour **la clé** et **456** pour **la valeur**.  
Ce sont les étiquettes qui AWS Billing and Cost Management permettent d'organiser votre AWS facture ; vous pouvez également les utiliser à d'autres fins. Pour plus d'informations sur l'utilisation de balises pour l'allocation de coûts, consultez [Utilisation des balises d'allocation de coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dans le *Guide de l'utilisateur AWS Billing *.

# Activation des protections du pare-feu DNS Resolver pour votre VPC
<a name="resolver-dns-firewall-vpc-protections"></a>

Vous activez les protections de pare-feu DNS pour votre VPC en associant un ou plusieurs groupes de règles au VPC. Chaque fois qu'un VPC est associé à un groupe de règles de pare-feu DNS, le résolveur VPC Route 53 fournit les protections de pare-feu DNS suivantes : 
+ Le résolveur VPC achemine les requêtes DNS sortantes du VPC via le pare-feu DNS, et le pare-feu DNS filtre les requêtes à l'aide des groupes de règles associés. 
+ VPC Resolver applique les paramètres de la configuration du pare-feu DNS du VPC. 

Pour fournir des protections de pare-feu DNS à votre VPC, procédez comme suit : 
+ Créez et gérez des associations entre vos groupes de règles de pare-feu DNS et votre VPC. Pour de plus amples informations sur les groupes de règles, reportez-vous à la section [Règles et groupes de règles de pare-feu DNS](resolver-dns-firewall-rule-groups.md).
+ Configurez la manière dont vous souhaitez que VPC Resolver gère les requêtes DNS pour le VPC en cas de panne, par exemple si le pare-feu DNS ne fournit pas de réponse à une requête DNS.

# Gestion des associations entre votre VPC et le groupe de règles Resolver DNS Firewall
<a name="resolver-dns-firewall-vpc-associating-rule-group"></a>

**Pour afficher les associations VPC d'un groupe de règles**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   Choisissez **Pare-feu DNS** dans le volet de navigation pour ouvrir la page des **groupes de règles** de pare-feu DNS sur la console Amazon VPC.

   - OU - 

   Connectez-vous à AWS Management Console et ouvrez 

   la console Amazon VPC située sous. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 

1. Dans le volet de navigation, sous **Pare-feu DNS**, choisissez **Groupes de règles**.

1. Dans la barre de navigation, choisissez la région pour le groupe de règles. 

1. Sélectionnez le groupe de règles que vous souhaitez associer.

1. Sélectionnez **Afficher les détails**. La page du groupe de règles s'affiche. 

1. Vers le bas, vous pouvez voir une zone de détails à onglets qui inclut les règles et les informations associées VPCs. Choisissez l'onglet **Associé VPCs**.

**Pour associer un groupe de règles à un VPC**

1. Recherchez les associations VPC du groupe de règles en suivant les instructions de [ la procédure précédente](resolver-dns-firewall-rule-group-sharing.md) **Pour afficher les associations VPC d'un groupe de règles**. 

1. Dans l' VPCsonglet **Associé**, choisissez **Associate VPC**.

1. Recherchez le VPC que vous souhaitez associer au groupe de règles dans la liste déroulante. Sélectionnez-le, puis choisissez **Associate (Associer)**.

Sur la page du groupe de règles, votre VPC est répertorié dans l'onglet **VPCsAssocié**. Dans un premier temps, le **Status (Statut)** de l'association indique **Updating (Mise à jour en cours)**. Une fois l'association terminée, le statut passe à **Complete (Terminée)**. 

**Pour supprimer une association entre un groupe de règles et un VPC**

1. Recherchez les associations VPC du groupe de règles en suivant les instructions de [ la procédure précédente](resolver-dns-firewall-rule-group-sharing.md) **Pour afficher les associations VPC d'un groupe de règles**. 

1. **Sélectionnez le VPC que vous souhaitez supprimer de la liste, puis choisissez Dissocier.** Vérifiez, puis confirmez l'action. 

**Sur la page du groupe de règles, votre VPC est répertorié dans l' VPCsonglet **Associé** avec le statut Dissociation.** Une fois l'opération terminée, le pare-feu DNS met à jour la liste pour supprimer le VPC. 

# Configuration de VPC du pare-feu DNS
<a name="resolver-dns-firewall-vpc-configuration"></a>

La configuration du pare-feu DNS de votre VPC détermine si le résolveur VPC Route 53 autorise les requêtes ou les bloque en cas d'échec, par exemple lorsque le pare-feu DNS est défaillant, ne répond pas ou n'est pas disponible dans la zone. VPC Resolver applique la configuration du pare-feu d'un VPC chaque fois qu'un ou plusieurs groupes de règles de pare-feu DNS sont associés au VPC.

Vous pouvez configurer un VPC pour qu'il échoue et reste ouvert ou qu'il échoue et se ferme. 
+ Par défaut, le mode d'échec est fermé, ce qui signifie que VPC Resolver bloque toutes les requêtes pour lesquelles il ne reçoit pas de réponse du pare-feu DNS et envoie une ` SERVFAIL` réponse DNS. Cette approche favorise la sécurité au détriment de la disponibilité. 
+ Si vous activez l'option Fail Open, VPC Resolver autorise le passage des requêtes s'il ne reçoit pas de réponse du pare-feu DNS. Cette approche favorise la disponibilité au détriment de la sécurité. 

**Pour modifier la configuration du pare-feu DNS pour un VPC (console)**

1. Connectez-vous à la console VPC Resolver AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/)

1. Dans le volet de navigation, sous **Résolveurs**, choisissez **VPCs**. 

1. Dans la **VPCs**page, localisez et modifiez le VPC. Modifiez la configuration du pare-feu DNS pour qu'il échoue et reste ouvert ou qu'il échoue et se ferme, selon vos besoins. 

**Pour modifier le comportement du pare-feu DNS pour un VPC (API)**
+ Mettez à jour la configuration de votre pare-feu VPC en appelant [UpdateFirewallConfig](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateFirewallConfig.html)et en activant ou en désactivant. ` FirewallFailOpen` 

Vous pouvez récupérer une liste de vos configurations de pare-feu VPC via l'API en appelant. [ListFirewallConfigs](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListFirewallConfigs.html)