Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon Resolver DNS 防火墙策略

您可以使用Amazon Firewall Manager DNS 防火墙策略来管理组织内的 Amazon Route 53 Resolver DNS 防火墙规则组与您的Amazon Virtual Pri vate Cloud VPC 之间的关联Amazon Organizations。您可以将集中控制的规则组应用于整个组织，也可以应用于账户和 VPC 的选定子集。

DNS 防火墙为您的 VPC 的出站 DNS 流量提供筛选和调节。您可以在 DNS Firewall 规则组中创建可重复使用的筛选规则集合，并将规则组关联到您的 VPC。当您应用Firewall Manager 策略时，对于策略范围内的每个账户和 VPC，Firewall Manager 会使用您在Firewall Manager 策略中指定的关联优先级设置，在策略中的每个 DNS 防火墙规则组与策略范围内的每个 VPC 之间创建关联。

有关使用 DNS 防火墙的信息，请参阅亚马逊 Route 53 开发者指南中的 Amazon Route 53 Resolver DNS 防火墙。

以下部分涵盖了使用Firewall Manager DNS 防火墙策略的要求，并描述了这些策略的工作原理。有关创建策略的过程，请参阅为亚马逊 RoutAmazon Firewall Manager e 53 Resolver DNS Firewall。

必须启用资源共享

DNS 防火墙策略在组织中的账户之间共享 DNS 防火墙规则组。要使此功能起作用，您必须启用资源共享Amazon Organizations。有关如何启用资源共享的信息，请参阅Network Firewall 和 DNS 防火墙策略的资源共享。

您必须定义 DNS Firework 规则组

指定新的 DNS 防火墙策略时，定义规则组的方式与直接使用 Amazon Route 53 Resolver DNS 防火墙时相同。您的规则组必须已经存在于 Firewall Manager 管理员帐户中，您才能将其包含在策略中。有关创建 DNS 防火墙规则组的信息，请参阅 DNS 防火墙规则组和规则。

您可以定义最低和最高优先级的规则组关联

您通过Firewall Manager DNS 防火墙策略管理的 DNS 防火墙规则组关联包含您的 VPC 的最低优先级关联和最高优先级的关联。在您的策略配置中，这些规则组显示为第一个和最后一个规则组。

DNS 防火墙按以下顺序过滤 VPC 的 DNS 流量：

删除规则组

要从 Firewall Manager DNS 防火墙策略中删除规则组，必须执行以下步骤：

Firewall Manager 如何命名其创建的规则组关联

保存 DNS 防火墙策略时，如果您启用了自动修复，Firewall Manager 将在您在策略中提供的规则组与该策略范围内的 VPC 之间创建 DNS 防火墙关联。Firewall Manager 通过连接以下值来命名这些关联：

以下显示了由Firewall Manager 管理的防火墙的示例名称：

FMManaged_EXAMPLEDNSFirewallPolicyId

创建策略后，如果 VPC 中的账户所有者覆盖了您的防火墙策略设置或规则组关联，则 Firewall Manager 会将该策略标记为不合规并尝试提出补救措施。账户所有者可以将其他 DNS 防火墙规则组关联到 DNS 防火墙策略范围内的 VPC。由个人账户所有者创建的任何关联都必须在您的第一个和最后一个规则组关联之间设置优先级。