本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 管理您自己的域列表 您可以创建自己的域列表,以指定托管域列表产品中没有找到或您希望自行处理的域类别。 除了本节所述的步骤外,在创建或更新规则时,您还可以在控制台中在 Resolver DNS Firewall 规则管理环境中创建域列表。 域列表中的每个域规范必须满足以下要求: + 它可以选择从 `*`(星号)开始。 + 除了可选的起始星号和句点之外,作为标签之间的分隔符,它只能包含以下字符:`A-Z`、、`a-z``0-9`、`-`(连字符)。 + 它的长度必须介于 1 到 255 个字符之间。 当您对 DNS Firewall 实体(如规则和域列表)进行更改时,DNS Firewall 会在存储和使用实体的任何位置传播更改。您的更改将在几秒钟内应用,但是当更改到达某些位置但没有到达其它剩余位置时,可能会短暂地出现不一致的情况。因此,如果您将域添加到阻止规则引用的域列表中,则新域可能会在 VPC 的一个区域中暂时被阻止,而在另一个区域中仍然被允许。当您首次配置规则组和 VPC 关联并更改现有设置时,可能会出现这种临时不一致的情况。通常而言,这种类型的任何不一致情况都只会持续几秒钟。 **在生产环境中使用域列表之前对其进行测试** 最佳实践是在生产环境中使用域列表之前,请在非生产环境中对其进行测试,并将规则操作设置为 `Alert`。使用 Amazon CloudWatch 指标和 VPC 解析器日志评估规则。日志为所有提示和阻止操作提供域列表名称。如果您对域列表与您的 DNS 查询的匹配情况感到满意,请根据需要更改规则操作设置。有关 CloudWatch 指标和查询日志的信息,请参阅[使用 Amazon 监控解析器 DNS 防火墙规则组 CloudWatch](monitoring-resolver-dns-firewall-with-cloudwatch.md)[VPC 解析器查询日志中显示的值](resolver-query-logs-format.md)、和[管理 Resolver 查询日志记录配置](resolver-query-logging-configurations-managing.md)。 **要添加域列表** 1. 登录 Amazon Web Services 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.amazonaws.cn/route53/)。 在导航窗格中选择 **DNS 防火墙**,以在 Amazon VPC 控制台上打开 DNS 防火墙**规则组**页面。继续执行步骤 2。 - 或者 - 登录到 Amazon Web Services 管理控制台 并打开 下方的亚马逊 VPC 控制台[https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/)。 1. 在导航窗格中的 **DNS 防火墙**下,选择**域列表**。在 **Domain list**(域列表)页上,您可以选择并编辑现有域列表,也可以添加自己的域列表。 1. 要添加域列表,请选择 **Add domain list**(添加域列表)。 1. 为您的域列表提供一个名称,然后在文本框中输入域规范,每行一个。 如果您将 **Switch to bulk upload**(切换到批量上载)切换为 **on**(开启),输入您创建域列表所在的 Amazon S3 存储桶 URI。此域列表每行应有一个域名。 **注意** 重复的域名会导致批量导入失败。 1. 选择 **Add domain list**(添加域列表)。**Domain lists**(域列表)页面会列出您的新域列表。 创建域列表后,您可以从 DNS Firewall 规则中按名称引用域列表。 **删除 DNS Firewall 实体** 当您删除可以在 DNS Firewall 中使用的实体(例如规则组中可能正在使用的域列表或可能与 VPC 关联的规则组)时,DNS Firewall 将检查该实体当前是否正在使用。如果发现它正在使用,DNS Firewall 会警告您。DNS Firewall 几乎每次都能确定实体是否正在使用中。但是在极少数情况下,它可能无法确定。如果您需要确保当前没有任何实体正在使用中,请在删除实体之前先在 DNS Firewall 配置中进行检查。如果实体是引用的域列表,请检查是否有规则组正在使用它。如果实体是规则组,请检查它是否已与任何 VPC 关联。 **要删除域列表** 1. 在导航窗格中,选择 **Domain lists**(域列表)。 1. 在导航栏中,选择域列表的区域。 1. 选择要删除的域名列表,然后选择**删除**,并确认删除。