Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo delle policy DNS Firewall di Amazon Route 53 Resolver in Firewall Manager
Questa pagina descrive come utilizzare le policy del AWS Firewall Manager DNS firewall per gestire le associazioni tra i gruppi di regole di Amazon Route 53 Resolver DNS Firewall e il tuo Amazon Virtual Private Cloud VPCsin tutta l'organizzazione in. AWS Organizations Puoi applicare gruppi di regole controllati centralmente all'intera organizzazione o a un sottoinsieme selezionato dei tuoi account e. VPCs
DNSIl firewall fornisce il filtraggio e la regolazione del DNS traffico in uscita per te. VPCs Crei raccolte riutilizzabili di regole di filtraggio nei gruppi di regole DNS del firewall e associ i gruppi di regole ai tuoi. VPCs Quando si applica la politica di Firewall Manager, per ogni account VPC che rientra nell'ambito della politica, Firewall Manager crea un'associazione tra ogni gruppo di regole DNS Firewall nella politica e ciascuno VPC che rientra nell'ambito della politica, utilizzando le impostazioni di priorità di associazione specificate nella politica di Firewall Manager.
Per informazioni sull'uso di DNS Firewall, consulta Amazon Route 53 Resolver DNS Firewall nella Amazon Route 53 Developer Guide.
Le seguenti sezioni trattano i requisiti per l'utilizzo delle politiche DNS firewall di Firewall Manager e ne descrivono il funzionamento. Per la procedura di creazione della policy, vedereCreazione di una AWS Firewall Manager policy per Amazon Route 53 Resolver Firewall DNS.
Importante
È necessario abilitare la condivisione delle risorse. Una politica DNS DNS firewall condivide i gruppi di regole del firewall tra gli account dell'organizzazione. Affinché funzioni, è necessario che la condivisione delle risorse sia abilitata con AWS Organizations. Per informazioni su come abilitare la condivisione delle risorse, vedereCondivisione delle risorse per le politiche Network Firewall e DNS Firewall.
Importante
È necessario che i gruppi di regole DNS del firewall siano definiti. Quando specifichi una nuova policy DNS firewall, definisci i gruppi di regole nello stesso modo in cui utilizzi direttamente Amazon Route 53 Resolver DNS Firewall. I gruppi di regole devono già esistere nell'account amministratore di Firewall Manager per poterli includere nella policy. Per informazioni sulla creazione di gruppi di regole DNS del firewall, vedere Gruppi di regole e regole del DNS firewall.
L'utente definisce le associazioni dei gruppi di regole con la priorità più bassa e quella più alta
Le associazioni dei gruppi di regole del DNS firewall gestite tramite Firewall Manager Le politiche DNS firewall contengono le associazioni con la priorità più bassa e le associazioni con la priorità più alta per le tueVPCs. Nella configurazione delle politiche, queste vengono visualizzate come primo e ultimo gruppo di regole.
DNSIl firewall filtra il DNS traffico per i VPC nel seguente ordine:
Primi gruppi di regole, definiti dall'utente nella politica Firewall Manager DNS Firewall. I valori validi sono compresi tra 1 e 99.
DNSGruppi di regole del firewall associati dai singoli account manager tramite DNS Firewall.
Ultimi gruppi di regole, definiti dall'utente nella politica Firewall Manager DNS Firewall. I valori validi sono compresi tra 9.901 e 10.000.
Come Firewall Manager nomina le associazioni di gruppi di regole che crea
Quando si salva la politica DNS Firewall, se è stata abilitata la riparazione automatica, Firewall Manager crea un'associazione DNS Firewall tra i gruppi di regole forniti nella policy e quelli VPCs che rientrano nell'ambito della policy. Firewall Manager assegna un nome a queste associazioni concatenando i seguenti valori:
-
La stringa fissa,.
FMManaged_ -
L'ID della politica di Firewall Manager. Questo è l'ID della AWS risorsa per la policy Firewall Manager.
Di seguito viene illustrato un esempio di nome per un firewall gestito da Firewall Manager:
FMManaged_EXAMPLEDNSFirewallPolicyId
Dopo aver creato la politica, se i proprietari degli account VPCs sostituiscono le impostazioni delle politiche del firewall o le associazioni dei gruppi di regole, Firewall Manager contrassegnerà la politica come non conforme e cercherà di proporre un'azione correttiva. I proprietari degli account possono associare altri gruppi di regole DNS Firewall a quelli VPCs che rientrano nell'ambito della policy Firewall. DNS Tutte le associazioni create dai singoli proprietari degli account devono avere impostazioni di priorità tra la prima e l'ultima associazione dei gruppi di regole.
