本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 DNS Firewall Manager 中使用 Amazon Route 53 Resolver Firewall 政策
此頁面說明如何使用 AWS Firewall Manager DNS防火牆政策來管理 Amazon Route 53 Resolver DNS Firewall 規則群組與VPCs組織中 Amazon Virtual Private Cloud 之間的關聯 AWS Organizations。您可以將集中控制的規則群組套用至整個組織,或套用到您帳戶和 的選取子集VPCs。
DNS 防火牆為您的 提供傳出DNS流量的篩選和調節VPCs。您可以在DNS防火牆規則群組中建立可重複使用的篩選規則集合,並將規則群組與您的 建立關聯VPCs。當您套用 Firewall Manager VPC 政策時,針對每個帳戶,且在政策範圍內,防火牆管理員會使用您在 DNS Firewall Manager 政策中指定的關聯優先順序設定,在政策中的每個防火牆規則群組與政策VPC範圍內的每個 之間建立關聯。
如需使用DNS防火牆的相關資訊,請參閱《Amazon Route 53 開發人員指南》中的 Amazon Route 53 Resolver DNS Firewall。 https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html
下列各節涵蓋使用 Firewall Manager DNS Firewall 政策的要求,並說明政策的運作方式。如需建立政策的程序,請參閱 建立 Amazon Route 53 Resolver DNS Firewall AWS Firewall Manager 的政策。
重要
您必須啟用資源共用。DNS 防火牆政策會與您組織中的帳戶共用DNS防火牆規則群組。若要讓此項目運作,您必須啟用 資源共用 AWS Organizations。如需如何啟用資源共用的資訊,請參閱Network Firewall 和 DNS 防火牆策略的資源共用。
重要
您必須定義DNS防火牆規則群組。當您指定新的DNS防火牆政策時,定義規則群組的方式與直接使用 Amazon Route 53 Resolver DNS Firewall 時相同。您的規則群組必須已存在於 Firewall Manager 管理員帳戶中,您才能將規則群組包含在政策中。如需建立DNS防火牆規則群組的詳細資訊,請參閱DNS防火牆規則群組和規則。
您可以定義最低和最高優先順序的規則群組關聯
您透過 DNS Firewall Manager Firewall DNS政策管理的防火牆規則群組關聯包含 的最低優先順序關聯和最高優先順序關聯VPCs。在您的政策組態中,這些顯示為第一個和最後一個規則群組。
DNS 防火牆VPC會依下列順序篩選 的DNS流量:
第一個規則群組,由您在 Firewall Manager DNS Firewall 政策中定義。有效值介於 1 到 99 之間。
DNS 個別帳戶管理員透過 Firewall 相關聯的DNS防火牆規則群組。
最後一個規則群組,由您在 Firewall Manager DNS Firewall 政策中定義。有效值介於 9,901 和 10,000 之間。
Firewall Manager 如何為其建立的規則群組關聯命名
當您儲存DNS防火牆政策時,如果您啟用了自動修復,則 Firewall Manager 會在政策中提供的規則群組與政策範圍內的 VPCs 之間建立DNS防火牆關聯。Firewall Manager 透過串連下列值來命名這些關聯:
-
固定字串
FMManaged_。 -
Firewall Manager 政策 ID。這是 Firewall Manager 政策 AWS 的資源 ID。
以下顯示由 Firewall Manager 管理之防火牆的範例名稱:
FMManaged_EXAMPLEDNSFirewallPolicyId
建立政策後,如果 中的帳戶擁有者VPCs覆寫防火牆政策設定或規則群組關聯,則 Firewall Manager 會將政策標記為不合規,並嘗試提議補救動作。帳戶擁有者可以將其他DNS防火牆規則群組與DNS防火牆政策VPCs範圍內的 建立關聯。由個別帳戶擁有者建立的任何關聯,都必須在第一個和最後一個規則群組關聯之間具有優先順序設定。
