**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Firewall Manager 使用 Amazon Route 53 Resolver DNS Firewall 策略
<a name="dns-firewall-policies"></a>

本页介绍如何使用 AWS Firewall Manager DNS 防火墙策略来管理 Amazon Route 53 Resolver DNS 防火墙规则组与您的*组织*中的 AWS Organizations亚马逊虚拟私有*VPCs*云之间的关联。您可以将集中控制的规则组应用于整个组织，也可以应用于您的部分账户和 VPCs。

DNS 防火墙为您的出站 DNS 流量提供过滤和监管 VPCs。您可以在 DNS 防火墙规则组中创建可重复使用的过滤规则集合，并将这些规则组与您的规则组相关联 VPCs。当您应用 Firewall Manager 策略时，对于策略范围内的每个账户和 VPC，Firewall Manager 会使用您在 Firewall Manager 策略中指定的关联优先级设置，在策略中的每个 DNS 防火墙规则组与策略范围内的每个 VPC 之间创建关联。

有关使用 DNS 防火墙的信息，请参阅 [Amazon Route 53 开发人员指南](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)中的 [Amazon Route 53 Resolver DNS 防火墙](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)。

以下各节介绍使用 Firewall Manager DNS 防火墙策略的要求，并描述了这些策略的工作方式。有关创建策略的过程，请参阅 [为 Amazon Route 53 解析器 DNS 防火墙创建 AWS Firewall Manager 策略](create-policy.md#creating-firewall-manager-policy-for-dns-firewall)。

**重要**  
**您必须启用资源共享。**DNS 防火墙策略在您组织中的账户之间共享 DNS 防火墙规则组。要使此功能起作用，必须使用启用资源共享 AWS Organizations。有关如何启用资源共享的信息，请参阅 [Network Firewall 和 DNS 防火墙策略的资源共享](resource-sharing.md)。

**重要**  
**您必须定义 DNS Firewall 规则组。**当您指定新的 DNS 防火墙策略时，您可以如同直接使用 Amazon Route 53 Resolver DNS 防火墙一样定义规则组。您的规则组必须已存在于 Firewall Manager 管理员账户中，才能将其包含在策略中。有关创建 DNS 防火墙规则组的信息，请参阅 [DNS 防火墙规则组和规则](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html)。

**您可以定义优先级最低和最高的规则组关联**  
您通过 Firewall Manager DNS 防火墙策略管理的 DNS 防火墙规则组关联包含优先级最低的关联和优先级最高的关联 VPCs。在您的策略配置中，这些规则组显示为第一个和最后一个规则组。

DNS 防火墙按以下顺序筛选 VPC 的 DNS 流量：

1. 第一个规则组，由您在 Firewall Manager DNS Firewall 策略中定义。有效值在 1 到 99 之间。

1. 由个人账户管理员通过 DNS 防火墙关联的 DNS 防火墙规则组。

1. 最后一个规则组，由您在 Firewall Manager DNS Firewall 策略中定义。有效值在 9901 到 10000 之间。

**Firewall Manager 如何命名其创建的规则组关联**  
保存 DNS 防火墙策略时，如果您启用了自动修复，Firewall Manager 将在您在策略中提供的规则组和策略范围内的规则组之间创建 DNS 防火墙关联。 VPCs Firewall Manager 通过连接以下值来命名这些关联：
+ 固定字符串，`FMManaged_`。
+ Firewall Manager 策略 ID。这是 Firewall Manager 策略的 AWS 资源 ID。

以下是由 Firewall Manager 管理的防火墙的名称示例：

```
FMManaged_EXAMPLEDNSFirewallPolicyId
```

创建策略后，如果中的帐户所有者 VPCs 覆盖了您的防火墙策略设置或规则组关联，则 Firewall Manager 会将该策略标记为不合规，并尝试提出补救措施。账户所有者可以将其他 DNS 防火墙规则组与 DNS 防火墙策略范围内的规则组相关联。 VPCs 个人账户所有者创建的任何关联都必须在第一个和最后一个规则组关联之间设置优先级。

# 从 Firewall Manager DNS Firewall 策略中删除规则组
<a name="fms-delete-rule-group"></a>

**删除规则组**  
如需从 Firewall Manager DNS 防火墙策略中删除规则组，必须执行以下步骤：

**重要**  
无论您是否还从 DNS 防火墙规则组中删除规则组 VPCs ，从 Firewall Manager DNS 防火墙策略中删除该规则组都会使其对应用该策略的规则组产生影响。删除规则组是一项永久性操作，无法撤消。

1. 从 Firewall Manager DNS Firewall 策略中删除规则组。

1. 取消共享中的规则组。 AWS Resource Access Manager要取消共享自己拥有的规则组，必须从资源共享中将其删除。您可以使用 AWS RAM 控制台或 AWS CLI 执行此操作。有关取消资源共享的信息，请参阅*AWS RAM 用户指南*中的[更新资源共享 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)。

1. 使用 DNS 防火墙控制台或 AWS CLI 删除规则组。