Menggunakan kebijakan Amazon Route 53 Resolver DNS Firewall di Firewall Manager - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan Amazon Route 53 Resolver DNS Firewall di Firewall Manager

Halaman ini menjelaskan bagaimana Anda dapat menggunakan kebijakan AWS Firewall Manager DNS Firewall untuk mengelola asosiasi antara grup aturan Amazon Route 53 Resolver DNS Firewall dan Amazon Virtual Private Cloud VPCsdi seluruh organisasi Anda di. AWS Organizations Anda dapat menerapkan grup aturan yang dikontrol secara terpusat ke seluruh organisasi Anda, atau ke subset tertentu dari akun Anda dan. VPCs

DNSFirewall menyediakan penyaringan dan pengaturan DNS lalu lintas keluar untuk Anda. VPCs Anda membuat koleksi aturan pemfilteran yang dapat digunakan kembali di grup aturan DNS Firewall dan Anda mengaitkan grup aturan dengan grup aturan Anda. VPCs Saat Anda menerapkan kebijakan Firewall Manager, untuk setiap akun dan VPC yang berada dalam cakupan kebijakan, Firewall Manager membuat asosiasi antara setiap grup aturan DNS Firewall dalam kebijakan dan masing-masing VPC yang berada dalam cakupan kebijakan, menggunakan setelan prioritas asosiasi yang Anda tentukan dalam kebijakan Firewall Manager.

Untuk informasi tentang menggunakan DNS Firewall, lihat Amazon Route 53 Resolver DNS Firewall di Panduan Pengembang Amazon Route 53.

Bagian berikut mencakup persyaratan untuk menggunakan kebijakan Firewall Manager DNS Firewall dan menjelaskan cara kerja kebijakan. Untuk prosedur pembuatan kebijakan, lihatMembuat AWS Firewall Manager kebijakan untuk Amazon Route 53 Resolver Firewall DNS.

penting

Anda harus mengaktifkan berbagi sumber daya. Kebijakan DNS Firewall membagikan grup aturan DNS Firewall di seluruh akun di organisasi Anda. Agar ini berfungsi, Anda harus mengaktifkan berbagi sumber daya AWS Organizations. Untuk informasi tentang cara mengaktifkan berbagi sumber daya, lihatBerbagi sumber daya untuk kebijakan Network Firewall dan DNS Firewall.

penting

Anda harus memiliki grup aturan DNS Firewall yang ditentukan. Saat menentukan kebijakan DNS Firewall baru, Anda menentukan grup aturan sama seperti yang Anda lakukan saat menggunakan Amazon Route 53 Resolver DNS Firewall secara langsung. Grup aturan Anda harus sudah ada di akun administrator Manajer Firewall agar Anda dapat memasukkannya ke dalam kebijakan. Untuk informasi tentang membuat grup aturan DNS Firewall, lihat Grup dan aturan DNS Firewall.

Anda menentukan asosiasi kelompok aturan prioritas terendah dan tertinggi

Asosiasi grup aturan DNS Firewall yang Anda kelola melalui kebijakan DNS Firewall Manager Firewall berisi asosiasi prioritas terendah dan asosiasi prioritas tertinggi untuk AndaVPCs. Dalam konfigurasi kebijakan Anda, ini muncul sebagai grup aturan pertama dan terakhir.

DNSFirewall menyaring DNS lalu lintas untuk VPC dalam urutan sebagai berikut:

  1. Grup aturan pertama, yang ditentukan oleh Anda dalam kebijakan Firewall Manager DNS Firewall. Nilai yang valid adalah antara 1 dan 99.

  2. DNSGrup aturan firewall yang dikaitkan oleh manajer akun individu melalui DNS Firewall.

  3. Grup aturan terakhir, yang ditentukan oleh Anda dalam kebijakan Firewall Manager DNS Firewall. Nilai yang valid adalah antara 9.901 dan 10.000.

Bagaimana Firewall Manager memberi nama asosiasi grup aturan yang dibuatnya

Saat Anda menyimpan kebijakan DNS Firewall, jika Anda mengaktifkan autoremediation, Firewall Manager akan membuat asosiasi DNS Firewall antara grup aturan yang Anda berikan dalam kebijakan dan VPCs yang ada dalam cakupan kebijakan. Firewall Manager menamai asosiasi ini dengan menggabungkan nilai-nilai berikut:

  • String tetap,FMManaged_.

  • ID kebijakan Manajer Firewall. Ini adalah ID AWS sumber daya untuk kebijakan Firewall Manager.

Berikut ini menunjukkan contoh nama untuk firewall yang dikelola oleh Firewall Manager:

FMManaged_EXAMPLEDNSFirewallPolicyId

Setelah Anda membuat kebijakan, jika pemilik akun VPCs mengganti setelan kebijakan firewall atau asosiasi grup aturan Anda, maka Firewall Manager akan menandai kebijakan tersebut sebagai tidak patuh dan mencoba mengusulkan tindakan perbaikan. Pemilik akun dapat mengaitkan grup aturan DNS Firewall lainnya dengan VPCs yang berada dalam lingkup kebijakan DNS Firewall. Setiap asosiasi yang dibuat oleh pemilik akun individu harus memiliki pengaturan prioritas antara asosiasi grup aturan pertama dan terakhir Anda.