DNS Firewall VPC 組態 - Amazon Route 53

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

DNS Firewall VPC 組態

VPC 的 DNS 防火牆組態會判斷 Route 53 Resolver 是否允許在失敗期間透過 查詢或封鎖查詢,例如 DNS 防火牆受損、無回應或區域中無法使用。每當您有一或多個與 VPC 相關聯的 DNS 防火牆規則群組時,解析程式都會強制執行 VPC 的防火牆組態。

您可以設定 VPC 以失敗開啟或關閉。

  • 根據預設,失敗模式會關閉,這表示 Resolver 會封鎖任何未收到 DNS Firewall 回覆的查詢,並傳送 SERVFAIL DNS 回應。這種方法有利於安全性,而不是可用性。

  • 如果您啟用失敗開啟,則 Resolver 允許查詢未收到來自 DNS Firewall 的回應,透過 進行查詢。這種方法有利於可用性,而不是安全性。

變更 DNS 的 VPC 防火牆組態 (主控台)

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/route53resolver/ 開啟 Resolver 主控台。

  2. 解析器下的導覽窗格中,選擇 VPCs

  3. VPCs 頁面中,尋找並編輯 VPC。將 DNS 防火牆組態變更為視需要開啟或關閉失敗。

若要變更 DNS (VPC) 的 API 防火牆行為

  • 呼叫 VPC 並啟用或停用 ,以更新您的 UpdateFirewallConfig 防火牆組態FirewallFailOpen

您可以透過呼叫 VPC,透過 API 擷取 ListFirewallConfigs 防火牆組態的清單。