Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅中国的 Amazon Web Services 服务入门。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon Route 53 Rolver DNS

您可以使用Amazon Firewall ManagerDNS 防火墙策略用于管理 Amazon Route 53 Resolver DNS Firewall 规则组和您的Amazon VPCVPC在处登录组织在Amazon Organizations. 您可以将集中控制的规则组应用于整个组织，也可以应用于账户和 VPC 的选定子集。

DNS Firewall 可筛选和管理 VPC 的出站 DNS 流量。您可以在 DNS Firewall 规则组中创建可重复使用的筛选规则集合，并将规则组关联到您的 VPC。当您应用 Firewall Manager 策略时，对于策略范围内的每个账户和 VPC，Firewall Manager 会使用您在防火墙中指定的关联优先级设置，在策略中的每个 DNS 防火墙规则组和策略范围内的每个 VPC 之间创建关联经理策略。

有关使用 DNS Firewall 的信息，请参阅Amazon Route 53 Resolver在Amazon Route 53 开发.

以下各节介绍使用 Firewall Manager DNS 防火墙策略的要求并描述这些策略的工作原理。有关创建策略的过程，请参见创建Amazon Firewall ManagerAmazon Route 53 Resolver DNS F.

必须启用资源共享

DNS 防火墙策略在组织中的账户之间共享 DNS 防火墙规则组。要做到这一点，你必须启用资源共享Amazon Organizations. 有关如何启用资源的共享的信息，请参阅Network Firewall 和 DNS 防火墙策略的资源共享.

您必须定义 DNS Firewall 规则组

当您指定新的 DNS 防火墙策略时，您定义的规则组与直接使用 Amazon Route 53 解析器 DNS 防火墙时相同。您的规则组必须已存在于 Firewall Manager 管理员帐户中，才能将其包含在策略中。有关创建 DNS Firewall 规则组的信息，请参阅DNS Firewall 规则组和规则.

您可以定义优先级最低和最高的规则组关联

您通过 Firewall Manager DNS 防火墙策略管理的 DNS 防火墙规则组关联包含 VPC 的最低优先级关联和最高优先级的关联。在您的策略配置中，这些规则组显示为第一个和最后一个规则组。

DNS 防火墙按以下顺序筛选 VPC 的 DNS 流量：

Firewall Manager 如何命名它创建的规则组关联

保存 DNS 防火墙策略时，如果您启用了自动修复，Firewall Manager 会在您在策略中提供的规则组和策略范围内的 VPC 之间创建 DNS 防火墙关联。Firewall Manager 通过连接以下值来命名这些关联：

以下显示了由Firewall Manager 管理的防火墙的示例名称：

FMManaged_EXAMPLEDNSFirewallPolicyId

创建策略后，如果 VPC 中的账户所有者覆盖了您的防火墙策略设置或规则组关联，则 Firewall Manager 会将该策略标记为不合规并尝试提出补救措施。账户所有者可以将其他 DNS 防火墙规则组关联到 DNS 防火墙策略范围内的 VPC。个人账户所有者创建的任何关联必须在第一个和最后一个规则组关联之间设置优先级。