本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 3:创建和应用 DNS 防火墙策略
完成先决条件后,您可以创建 Amazon Firewall Manager DNS 防火墙策略。DNS 防火墙策略为您的整个 Amazon 组织提供了一组集中控制的 DNS 防火墙规则组关联。它还定义了防火墙适用的 Amazon Web Services 账户 和资源。
有关 Firewall Manager 如何管理您的 DNS 防火墙规则组关联的更多信息,请参阅 Amazon Route 53 Resolver DNS 防火墙策略。
创建 Firewall Manager DNS 防火墙策略(控制台)
-
Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。 -
在导航窗格中,选择 安全策略。
-
如果您未满足先决条件,控制台会显示有关如何解决任何问题的说明。按照说明操作,然后返回此步骤以创建 DNS 防火墙策略。
-
选择创建安全策略。
-
对于策略类型,请选择 Amazon Route 53 Resolver DNS 防火墙。
-
对于区域,选择一个 Amazon Web Services 区域。
-
选择下一步。
-
对于策略名称,请键入策略的描述性名称。
-
策略配置允许您定义要通过 Firewall Manager 管理的 DNS 防火墙规则组关联。添加要在策略中使用的规则组。您可以定义一个关联来先评估您的 VPC,然后再定义一个关联进行评估。在本教程中,根据需要添加一两个规则组关联。
-
选择下一步。
-
Amazon Web Services 账户 受此政策影响允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程,选择 包括我的组织下的所有账户。
DNS 防火墙策略的资源类型始终是 VPC。
-
对于资源,您可以使用标记来缩小策略的范围,方法是包括或排除带有您指定标签的资源。您可以使用 “包含” 或 “排除”,但不能两者兼而有之。有关标签的更多信息,请参阅使用标签编辑器。
如果输入多个标签,则资源必须具有要包括或排除的所有标签。
资源标签只能有非空值。如果省略标签的值,Firewall Manager 会使用空字符串值保存标记:“”。资源标签仅与具有相同密钥和相同值的标签匹配。
-
选择下一步。
-
对于策略标记,添加要添加到 Firewall Manager 策略资源的所有标识标记。有关标签的更多信息,请参阅使用标签编辑器。
-
选择下一步。
-
查看新的政策设置,然后返回需要进行任何调整的页面。
进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用策略之前查看策略将要做出的更改。
-
若您满意所创建的策略,请选择 创建策略。
Amazon Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下显示 “待处理”,并指示 “自动修复” 设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 Amazon Firewall Manager 策略的合规性信息
-
在探索完成后,如果您不希望保留为本教程创建的策略,请依次选择策略名称、删除、清除此策略创建的资源,最后选择删除。
有关 Firewall Manager DNS 防火墙策略的更多信息,请参阅 Amazon Route 53 Resolver DNS 防火墙策略。