本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Firewall Manager 中使用 Amazon Route 53 Resolver DNS 防火牆政策
此頁面說明如何使用 AWS Firewall Manager DNS 防火牆政策來管理 Amazon Route 53 Resolver DNS 防火牆規則群組與組織中 Amazon Virtual Private Cloud VPCs 之間的關聯 AWS Organizations。您可以將集中控制的規則群組套用到整個組織,或套用到帳戶和 VPCs的選取子集。
DNS Firewall 為您的 VPCs 提供傳出 DNS 流量的篩選和調節。您可以在 DNS 防火牆規則群組中建立可重複使用的篩選規則集合,並將規則群組與 VPCs建立關聯。當您套用 Firewall Manager 政策時,針對政策範圍內的每個帳戶和 VPC,Firenet Manager 會使用您在 Firewall Manager 政策中指定的關聯優先順序設定,在政策中的每個 DNS 防火牆規則群組與政策範圍內的每個 VPC 之間建立關聯。
如需使用 DNS 防火牆的相關資訊,請參閱《Amazon Route 53 開發人員指南》中的 Amazon Route 53 Resolver DNS 防火牆。 https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html
下列各節涵蓋使用 Firewall Manager DNS Firewall 政策的要求,並說明政策的運作方式。如需建立政策的程序,請參閱 建立 Amazon Route 53 Resolver DNS 防火牆 AWS Firewall Manager 的政策。
重要
您必須啟用資源共用。DNS 防火牆政策會與您組織中的帳戶共用 DNS 防火牆規則群組。若要讓此項目運作,您必須啟用 資源共用 AWS Organizations。如需如何啟用資源共用的資訊,請參閱Network Firewall 和 DNS Firewall 政策的資源共用。
重要
您必須定義 DNS 防火牆規則群組。當您指定新的 DNS 防火牆政策時,您可以定義規則群組,就像直接使用 Amazon Route 53 Resolver DNS 防火牆一樣。您的規則群組必須已存在於 Firewall Manager 管理員帳戶中,您才能將規則群組包含在政策中。如需建立 DNS 防火牆規則群組的詳細資訊,請參閱 DNS 防火牆規則群組和規則。
您可以定義最低和最高優先順序的規則群組關聯
您透過 Firewall Manager DNS Firewall 政策管理的 DNS 防火牆規則群組關聯包含 VPCs 的最低優先順序關聯和最高優先順序關聯。在您的政策組態中,這些顯示為第一個和最後一個規則群組。
DNS 防火牆會依下列順序篩選 VPC 的 DNS 流量:
第一個規則群組,由您在 Firewall Manager DNS Firewall 政策中定義。有效值介於 1 到 99 之間。
個別帳戶管理員透過 DNS 防火牆相關聯的 DNS 防火牆規則群組。
最後一個規則群組,由您在 Firewall Manager DNS Firewall 政策中定義。有效值介於 9,901 和 10,000 之間。
Firewall Manager 如何為其建立的規則群組關聯命名
當您儲存 DNS 防火牆政策時,如果您啟用自動修復,則 Firewall Manager 會在政策中提供的規則群組與政策範圍內的 VPCs 之間建立 DNS 防火牆關聯。Firewall Manager 透過串連下列值來命名這些關聯:
-
固定字串
FMManaged_。 -
Firewall Manager 政策 ID。這是 Firewall Manager 政策 AWS 的資源 ID。
以下顯示由 Firewall Manager 管理之防火牆的範例名稱:
FMManaged_EXAMPLEDNSFirewallPolicyId
建立政策後,如果 VPCs 中的帳戶擁有者覆寫您的防火牆政策設定或規則群組關聯,則 Firewall Manager 會將政策標記為不合規,並嘗試提議補救動作。帳戶擁有者可以將其他 DNS 防火牆規則群組與 DNS 防火牆政策範圍內的 VPCs 建立關聯。由個別帳戶擁有者建立的任何關聯,都必須在第一個和最後一個規則群組關聯之間具有優先順序設定。
