本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Firewall Manager 使用 Amazon Route 53 Resolver DNS Firewall 策略
本页介绍如何使用 AWS Firewall Manager DNS 防火墙策略来管理 Amazon Route 53 Resolver DNS 防火墙规则组与您的组织中的 AWS Organizations亚马逊虚拟私有VPCs云之间的关联。您可以将集中控制的规则组应用于整个组织,也可以应用于您的部分账户和 VPCs。
DNS 防火墙为您的出站 DNS 流量提供过滤和监管 VPCs。您可以在 DNS 防火墙规则组中创建可重复使用的过滤规则集合,并将这些规则组与您的规则组相关联 VPCs。当您应用 Firewall Manager 策略时,对于策略范围内的每个账户和 VPC,Firewall Manager 会使用您在 Firewall Manager 策略中指定的关联优先级设置,在策略中的每个 DNS 防火墙规则组与策略范围内的每个 VPC 之间创建关联。
有关使用 DNS 防火墙的信息,请参阅 Amazon Route 53 开发人员指南中的 Amazon Route 53 Resolver DNS 防火墙。
以下各节介绍使用 Firewall Manager DNS 防火墙策略的要求,并描述了这些策略的工作方式。有关创建策略的过程,请参阅 为 Amazon Route 53 解析器 DNS 防火墙创建 AWS Firewall Manager 策略。
重要
您必须启用资源共享。DNS 防火墙策略在您组织中的账户之间共享 DNS 防火墙规则组。要使此功能起作用,必须使用启用资源共享 AWS Organizations。有关如何启用资源共享的信息,请参阅 Network Firewall 和 DNS 防火墙策略的资源共享。
重要
您必须定义 DNS Firewall 规则组。当您指定新的 DNS 防火墙策略时,您可以如同直接使用 Amazon Route 53 Resolver DNS 防火墙一样定义规则组。您的规则组必须已存在于 Firewall Manager 管理员账户中,才能将其包含在策略中。有关创建 DNS 防火墙规则组的信息,请参阅 DNS 防火墙规则组和规则。
您可以定义优先级最低和最高的规则组关联
您通过 Firewall Manager DNS 防火墙策略管理的 DNS 防火墙规则组关联包含优先级最低的关联和优先级最高的关联 VPCs。在您的策略配置中,这些规则组显示为第一个和最后一个规则组。
DNS 防火墙按以下顺序筛选 VPC 的 DNS 流量:
第一个规则组,由您在 Firewall Manager DNS Firewall 策略中定义。有效值在 1 到 99 之间。
由个人账户管理员通过 DNS 防火墙关联的 DNS 防火墙规则组。
最后一个规则组,由您在 Firewall Manager DNS Firewall 策略中定义。有效值在 9901 到 10000 之间。
Firewall Manager 如何命名其创建的规则组关联
保存 DNS 防火墙策略时,如果您启用了自动修复,Firewall Manager 将在您在策略中提供的规则组和策略范围内的规则组之间创建 DNS 防火墙关联。 VPCs Firewall Manager 通过连接以下值来命名这些关联:
-
固定字符串,
FMManaged_。 -
Firewall Manager 策略 ID。这是 Firewall Manager 策略的 AWS 资源 ID。
以下是由 Firewall Manager 管理的防火墙的名称示例:
FMManaged_EXAMPLEDNSFirewallPolicyId
创建策略后,如果中的帐户所有者 VPCs 覆盖了您的防火墙策略设置或规则组关联,则 Firewall Manager 会将该策略标记为不合规,并尝试提出补救措施。账户所有者可以将其他 DNS 防火墙规则组与 DNS 防火墙策略范围内的规则组相关联。 VPCs 个人账户所有者创建的任何关联都必须在第一个和最后一个规则组关联之间设置优先级。
