Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kontozugriff für Route 53 Global Resolver einrichten
Bevor Sie Route 53 Global Resolver verwenden können, benötigen Sie ein AWS Konto und die entsprechenden Berechtigungen für den Zugriff auf Route 53 Global Resolver-Ressourcen. Dazu gehört das Erstellen von IAM-Benutzern und -Rollen mit den erforderlichen Berechtigungen.
Dieser Abschnitt führt Sie durch die Schritte, die zur Konfiguration von Benutzern und Rollen für den Zugriff auf Route 53 Global Resolver erforderlich sind.
Richtlinien und Rollen erstellen
Konfigurieren Sie AWS Identity and Access Management (IAM) -Berechtigungen, damit Ihr Team Route 53 Global Resolver-Ressourcen bereitstellen und verwalten kann. Sie können Administratorberechtigungen für vollen Zugriff oder Leseberechtigungen für die Überwachung und Anzeige von Konfigurationen verwenden.
Für alle Route 53 Global Resolver API-Operationen sind entsprechende IAM-Berechtigungen erforderlich. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, geben API-Aufrufe (401) - oder AccessDeniedException UnauthorizedException (401) Fehler zurück.
Administrative Berechtigungen
Wenn Sie Route 53 Global Resolver zum ersten Mal einrichten oder alle Aspekte des Dienstes verwalten, benötigen Sie Administratorrechte. Sie können diese AWS verwalteten Richtlinien verwenden:
-
AmazonRoute53GlobalResolverFullAccess- Bietet vollen Zugriff auf Route 53 Global Resolver-Ressourcen, einschließlich der Erstellung, Aktualisierung und Löschung globaler Resolver, DNS-Ansichten, Firewallregeln und Domänenlisten -
AmazonRoute53FullAccess- Erforderlich, wenn Sie die private gehostete Zonenweiterleitung verwenden möchten -
CloudWatchLogsFullAccess- Erforderlich, wenn Sie Logs an Amazon senden möchten CloudWatch -
AmazonS3FullAccess- Erforderlich, wenn Sie Firewall-Domänenlisten aus Amazon S3 importieren oder Protokolle an Amazon S3 senden möchten
Read-only Berechtigungen
Wenn Sie nur die Konfigurationen und Protokolle von Route 53 Global Resolver anzeigen müssen, können Sie diese AWS verwalteten Richtlinien verwenden:
-
AmazonRoute53GlobalResolverReadOnlyAccess- Bietet schreibgeschützten Zugriff auf Route 53 Global Resolver-Ressourcen, einschließlich der Anzeige globaler Resolver, DNS-Ansichten, Firewallregeln, Domänenlisten und Zugriffsquellen -
AmazonRoute53ReadOnlyAccess- Erforderlich, um private gehostete Zonenzuordnungen anzuzeigen -
CloudWatchReadOnlyAccess- Erforderlich, um Protokolle in Amazon anzuzeigen CloudWatch -
AmazonS3ReadOnlyAccess- Erforderlich, um in Amazon S3 gespeicherte Firewall-Domänenlistendateien anzuzeigen
Überlegungen zu Netzwerken
Beachten Sie vor der Implementierung von Route 53 Global Resolver die folgenden Netzwerkanforderungen:
- IP-Bereiche der Clients
-
Dies ist nur erforderlich, wenn die Authentifizierung auf Basis der Zugriffsquelle verwendet wird. Identifizieren Sie die IP-Adressbereiche (CIDR-Blöcke) für alle Clients, die Route 53 Global Resolver verwenden werden. Sie benötigen diese für die Konfiguration der Regeln für Ihre Zugriffsquelle.
- DNS-Protokolle
-
Ermitteln Sie, welche DNS-Protokolle Ihre Clients verwenden werden:
-
Do53 — Standard-DNS über Port 53 () UDP/TCP
-
DoH — DNS-over-HTTPS für verschlüsselte Abfragen
-
DoT - DNS-over-TLS für verschlüsselte Abfragen
-
- Firewall und Sicherheitsgruppen
-
Stellen Sie sicher, dass Ihre Netzwerk-Firewalls und Sicherheitsgruppen ausgehenden Datenverkehr zu Route 53 Global Resolver Anycast-IP-Adressen an den entsprechenden Ports zulassen (53 für Do53, 443 für DoH, 853 für DoT).