Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon Route 53 Resolver DNS 防火墙策略

您可以使用 Amazon Firewall Manager DNS 防火墙策略来管理 Amazon Route 53 Resolver DNS 防火墙规则组与您的组织中的亚马逊虚拟私有云 VPC 之间的关联。 Amazon Organizations您可以将集中控制的防火墙应用于整个组织，也可以应用于选定的账户和 VPC 子集。

DNS Firewall 为您的 VPC 提供出站 DNS 流量筛选和监管。您可以在 DNS Firewall 规则组中创建可重复使用的筛选规则集合，并将规则组关联到您的 VPC。当您应用 Firewall Manager 策略时，对于策略范围内的每个账户和 VPC，Firewall Manager 会使用您在 Firewall Manager 策略中指定的关联优先级设置，在策略中的每个 DNS 防火墙规则组与策略范围内的每个 VPC 之间创建关联。

有关使用 DNS 防火墙的信息，请参阅 Amazon Route 53 开发人员指南中的 Amazon Route 53 Resolver DNS 防火墙。

以下各节介绍使用 Firewall Manager DNS 防火墙策略的要求，并描述了这些策略的工作原理。有关创建策略的过程，请参阅 为 Amazon Route 53 解析器 DNS 防火墙创建 Amazon Firewall Manager 策略。

您必须启用资源共享

DNS 防火墙策略在您组织中的账户之间共享 DNS 防火墙规则组。要使此功能起作用，必须使用启用资源共享 Amazon Organizations。有关如何启用资源共享的信息，请参阅 Network Firewall 和 DNS 防火墙策略的资源共享。

您必须定义 DNS Firewall 规则组

当您指定新的 DNS 防火墙策略时，您可以如同直接使用 Amazon Route 53 Resolver DNS 防火墙一样定义规则组。您的规则组必须已存在于 Firewall Manager 管理员账户中，才能将其包含在策略中。有关创建 DNS 防火墙规则组的信息，请参阅 DNS 防火墙规则组和规则。

您可以定义优先级最低和最高的规则组关联

通过 Firewall Manager DNS 防火墙策略管理的 DNS 防火墙规则组关联包含 VPC 的最低优先级关联和最高优先级关联。在您的策略配置中，这些规则组显示为第一个和最后一个规则组。

DNS 防火墙按以下顺序筛选 VPC 的 DNS 流量：

删除规则组

如需从 Firewall Manager DNS 防火墙策略中删除规则组，必须执行以下步骤：

Firewall Manager 如何命名其创建的规则组关联

保存 DNS 防火墙策略时，如果您启用了自动修正，Firewall Manager 将在您在策略中提供的规则组与策略范围内的 VPC 之间创建 DNS 防火墙关联。Firewall Manager 通过连接以下值来命名这些关联：

以下是由 Firewall Manager 管理的防火墙的名称示例：

FMManaged_EXAMPLEDNSFirewallPolicyId

创建策略后，如果 VPC 中的账户所有者覆盖了您的防火墙策略设置或规则组关联，则 Firewall Manager 会将该策略标记为不合规并尝试提出补救措施。账户所有者可以将其他 DNS 防火墙规则组关联到 DNS 防火墙策略范围内的 VPC。个人账户所有者创建的任何关联都必须在第一个和最后一个规则组关联之间设置优先级。