**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS Firewall Manager upDNS 防火牆政策
若要使用 AWS Firewall Manager 在整個組織中啟用 Amazon Route 53 Resolver DNS Firewall,請依序執行下列步驟。如需 Firewall Manager DNS Firewall 政策的詳細資訊,請參閱 [在 Firewall Manager 中使用 Amazon Route 53 Resolver DNS 防火牆政策](dns-firewall-policies.md)。
**Topics**
+ [步驟 1:完成先決條件](#complete-prereq-dns-firewall)
+ [步驟 2:建立要在政策中使用的 DNS 防火牆規則群組](#get-started-fms-create-dns-firewall-association)
+ [步驟 3:建立和套用 DNS 防火牆政策](#get-started-fms-dns-firewall-create-policy)
## 步驟 1:完成先決條件
為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。[AWS Firewall Manager 先決條件](fms-prereq.md) 說明這些步驟。在繼續下一個步驟之前,請先完成所有先決條件。
## 步驟 2:建立要在政策中使用的 DNS 防火牆規則群組
若要遵循本教學課程,您應該熟悉 Amazon Route 53 Resolver DNS 防火牆,並了解如何設定其規則群組。
您必須在 DNS 防火牆中至少有一個規則群組將用於您的 AWS Firewall Manager 政策。如果您尚未在 DNS 防火牆中建立規則群組,請現在執行此操作。如需有關使用 DNS 防火牆的資訊,請參閱《[Amazon Route 53 開發人員指南》中的 Amazon Route 53 Resolver DNS 防火牆](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)。 [ ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
## 步驟 3:建立和套用 DNS 防火牆政策
完成先決條件後,您可以建立 AWS Firewall Manager DNS 防火牆政策。DNS 防火牆政策為您的整個 AWS 組織提供一組集中控制的 DNS 防火牆規則群組關聯。它也會定義防火牆套用的 AWS 帳戶 和資源。
如需 Firewall Manager 如何管理 DNS Firewall 規則群組關聯的詳細資訊,請參閱 [在 Firewall Manager 中使用 Amazon Route 53 Resolver DNS 防火牆政策](dns-firewall-policies.md)。
**建立 Firewall Manager DNS Firewall 政策 (主控台)**
1. AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ,然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊,請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
1. 在導覽窗格中,選擇 **Security policies (安全群組政策)**。
1. 如果您尚未符合先決條件,主控台會顯示如何修正任何問題的指示。遵循指示,然後返回此步驟來建立 DNS 防火牆政策。
1. 選擇**建立安全政策**。
1. 針對**政策類型**,選擇 **Amazon Route 53 Resolver DNS Firewall**。
1. 針對**區域**,選擇 AWS 區域。
1. 選擇**下一步**。
1. 針對**政策名稱**,輸入描述性名稱。
1. 政策組態可讓您定義要從 Firewall Manager 管理的 DNS Firewall 規則群組關聯。您可以新增要在政策中使用的規則群組。您可以定義要先評估 VPCs的關聯,以及要評估最後的關聯。在本教學課程中,根據您的需求新增一或兩個規則群組關聯。
1. 選擇**下一步**。
1. **AWS 帳戶 受此政策影響**的 可讓您透過指定要包含或排除的帳戶來縮小政策的範圍。在本教學課程中,請選擇 **Include all accounts under my organization. (納入我組織下的所有帳戶。)**。
DNS 防火牆政策**的資源類型**一律為 **VPC**。
1. 對於 **資源**,您可以使用標記來縮小政策的範圍,方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除,但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊,請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。
資源標籤只能有非空值。如果您省略標籤的值, Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。
1. 選擇**下一步**。
1. 針對**政策標籤**,新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊,請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 選擇**下一步**。
1. 檢閱新的政策設定,並返回您需要進行任何調整的任何頁面。
請務必確定 **Policy action (政策動作)** 已設為 **Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)**。這可讓您檢閱政策在啟用變更之前所做的變更。
1. 當您滿意時,選擇 **建立政策**。
在**AWS Firewall Manager 政策**窗格中,應該列出您的政策。它可能會在帳戶標題下指出**待定**,並指出**自動修復**設定的狀態。原則可能需要幾分鐘的時間建立。在 **Pending (待定)** 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱[檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。
1. 當您完成探索時,如果您不想保留為此教學課程建立的政策,請選擇政策名稱、選擇**刪除**、選擇**清除此政策建立的資源,**最後選擇**刪除**。
如需 Firewall Manager DNS Firewall 政策的詳細資訊,請參閱 [在 Firewall Manager 中使用 Amazon Route 53 Resolver DNS 防火牆政策](dns-firewall-policies.md)。