**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Firewall Manager 中使用 Amazon Route 53 Resolver DNS 防火牆政策
此頁面說明如何使用 AWS Firewall Manager DNS 防火牆政策來管理組織中 Amazon Route 53 Resolver DNS 防火牆規則群組與 Amazon Virtual Private Cloud *VPCs*之間的關聯** AWS Organizations。您可以將集中控制的規則群組套用至整個組織,或套用至您帳戶和 VPCs的選取子集。
DNS 防火牆可篩選和調節 VPCs的傳出 DNS 流量。您可以在 DNS 防火牆規則群組中建立可重複使用的篩選規則集合,並將規則群組與 VPCs建立關聯。當您套用 Firewall Manager 政策時,針對政策範圍內的每個帳戶和 VPC, Firewall Manager 會使用您在 Firewall Manager 政策中指定的關聯優先順序設定,在政策中的每個 DNS Firewall 規則群組與政策範圍內的每個 VPC 之間建立關聯。
如需有關使用 DNS 防火牆的資訊,請參閱《[Amazon Route 53 開發人員指南》中的 Amazon Route 53 Resolver DNS 防火牆](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)。 [ ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
下列各節涵蓋使用 Firewall Manager DNS Firewall 政策的要求,並說明政策的運作方式。如需建立政策的程序,請參閱 [建立 Amazon Route 53 Resolver DNS 防火牆 AWS Firewall Manager 的政策](create-policy.md#creating-firewall-manager-policy-for-dns-firewall)。
**重要**
**您必須啟用資源共用。**DNS 防火牆政策會在組織中的帳戶中共用 DNS 防火牆規則群組。若要這麼做,您必須啟用資源共用 AWS Organizations。如需如何啟用資源共用的資訊,請參閱 [Network Firewall 和 DNS Firewall 政策的資源共用](resource-sharing.md)。
**重要**
**您必須定義 DNS 防火牆規則群組。**當您指定新的 DNS 防火牆政策時,定義規則群組的方式與直接使用 Amazon Route 53 Resolver DNS 防火牆時相同。您的規則群組必須已存在於 Firewall Manager 管理員帳戶中,您才能將規則群組包含在政策中。如需建立 DNS 防火牆規則群組的詳細資訊,請參閱 [DNS 防火牆規則群組和規則](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html)。
**您可以定義最低和最高優先順序的規則群組關聯**
您透過 Firewall Manager DNS Firewall 政策管理的 DNS Firewall 規則群組關聯包含 VPCs 的最低優先順序關聯和最高優先順序關聯。在您的政策組態中,這些會顯示為第一個和最後一個規則群組。
DNS 防火牆會依下列順序篩選 VPC 的 DNS 流量:
1. 第一個規則群組,由您在 Firewall Manager DNS Firewall 政策中定義。有效值介於 1 到 99 之間。
1. 個別帳戶管理員透過 DNS 防火牆相關聯的 DNS 防火牆規則群組。
1. 最後一個規則群組,由您在 Firewall Manager DNS Firewall 政策中定義。有效值介於 9,901 和 10,000 之間。
**Firewall Manager 如何為其建立的規則群組關聯命名**
當您儲存 DNS 防火牆政策時,如果您啟用自動修復,防火牆管理員會在政策中提供的規則群組與政策範圍內的 VPCs 之間建立 DNS 防火牆關聯。Firewall Manager 透過串連下列值來命名這些關聯:
+ 固定字串 `FMManaged_`。
+ Firewall Manager 政策 ID。這是 Firewall Manager 政策 AWS 的資源 ID。
以下顯示由 Firewall Manager 管理之防火牆的範例名稱:
```
FMManaged_EXAMPLEDNSFirewallPolicyId
```
建立政策後,如果 VPCs 中的帳戶擁有者覆寫防火牆政策設定或規則群組關聯,則 Firewall Manager 會將政策標記為不合規,並嘗試提議補救動作。帳戶擁有者可以將其他 DNS 防火牆規則群組與 DNS 防火牆政策範圍內的 VPCs 建立關聯。由個別帳戶擁有者建立的任何關聯,都必須在第一個和最後一個規則群組關聯之間具有優先順序設定。
# 從 Firewall Manager DNS Firewall 政策刪除規則群組
**刪除規則群組**
若要從 Firewall Manager DNS Firewall 政策刪除規則群組,您必須執行下列步驟:
**重要**
從 Firewall Manager DNS Firewall 政策中移除規則群組會將其效果從已套用政策VPCs 中移除,無論您是否也從 DNS Firewall 規則群組中刪除規則群組。刪除規則群組是永久動作,無法復原。
1. 從 Firewall Manager DNS Firewall 政策中移除規則群組。
1. 取消共用 中的規則群組 AWS Resource Access Manager。若要取消共用您擁有的規則群組,您必須將其從資源共用中移除。您可以使用 AWS RAM 主控台或 CLI AWS 來執行此操作。如需有關取消共用資源的資訊,請參閱*AWS RAM 《 使用者指南*》中的[在 中更新資源共用 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)。
1. 使用 DNS Firewall 主控台或 CLI AWS 刪除規則群組。