View a markdown version of this page

Kontozugriff für Route 53 Global Resolver einrichten - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontozugriff für Route 53 Global Resolver einrichten

Bevor Sie Route 53 Global Resolver verwenden können, benötigen Sie ein AWS Konto und die entsprechenden Berechtigungen für den Zugriff auf Route 53 Global Resolver-Ressourcen. Dazu gehört das Erstellen von IAM-Benutzern und -Rollen mit den erforderlichen Berechtigungen.

Dieser Abschnitt führt Sie durch die Schritte, die zur Konfiguration von Benutzern und Rollen für den Zugriff auf Route 53 Global Resolver erforderlich sind.

Richtlinien und Rollen erstellen

Konfigurieren Sie AWS Identity and Access Management (IAM) -Berechtigungen, damit Ihr Team Route 53 Global Resolver-Ressourcen bereitstellen und verwalten kann. Sie können Administratorberechtigungen für vollen Zugriff oder Leseberechtigungen für die Überwachung und Anzeige von Konfigurationen verwenden.

Für alle Route 53 Global Resolver API-Operationen sind entsprechende IAM-Berechtigungen erforderlich. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, geben API-Aufrufe (401) - oder AccessDeniedException UnauthorizedException (401) Fehler zurück.

Administrative Berechtigungen

Wenn Sie Route 53 Global Resolver zum ersten Mal einrichten oder alle Aspekte des Dienstes verwalten, benötigen Sie Administratorrechte. Sie können diese AWS verwalteten Richtlinien verwenden:

  • AmazonRoute53GlobalResolverFullAccess- Bietet vollen Zugriff auf Route 53 Global Resolver-Ressourcen, einschließlich der Erstellung, Aktualisierung und Löschung globaler Resolver, DNS-Ansichten, Firewallregeln und Domänenlisten

  • AmazonRoute53FullAccess- Erforderlich, wenn Sie die private gehostete Zonenweiterleitung verwenden möchten

  • CloudWatchLogsFullAccess- Erforderlich, wenn Sie Logs an Amazon senden möchten CloudWatch

  • AmazonS3FullAccess- Erforderlich, wenn Sie Firewall-Domänenlisten aus Amazon S3 importieren oder Protokolle an Amazon S3 senden möchten

Read-only Berechtigungen

Wenn Sie nur die Konfigurationen und Protokolle von Route 53 Global Resolver anzeigen müssen, können Sie diese AWS verwalteten Richtlinien verwenden:

  • AmazonRoute53GlobalResolverReadOnlyAccess- Bietet schreibgeschützten Zugriff auf Route 53 Global Resolver-Ressourcen, einschließlich der Anzeige globaler Resolver, DNS-Ansichten, Firewallregeln, Domänenlisten und Zugriffsquellen

  • AmazonRoute53ReadOnlyAccess- Erforderlich, um private gehostete Zonenzuordnungen anzuzeigen

  • CloudWatchReadOnlyAccess- Erforderlich, um Protokolle in Amazon anzuzeigen CloudWatch

  • AmazonS3ReadOnlyAccess- Erforderlich, um in Amazon S3 gespeicherte Firewall-Domänenlistendateien anzuzeigen

Überlegungen zu Netzwerken

Beachten Sie vor der Implementierung von Route 53 Global Resolver die folgenden Netzwerkanforderungen:

IP-Bereiche der Clients

Dies ist nur erforderlich, wenn die Authentifizierung auf Basis der Zugriffsquelle verwendet wird. Identifizieren Sie die IP-Adressbereiche (CIDR-Blöcke) für alle Clients, die Route 53 Global Resolver verwenden werden. Sie benötigen diese für die Konfiguration der Regeln für Ihre Zugriffsquelle.

DNS-Protokolle

Ermitteln Sie, welche DNS-Protokolle Ihre Clients verwenden werden:

  • Do53 — Standard-DNS über Port 53 () UDP/TCP

  • DoH — DNS-over-HTTPS für verschlüsselte Abfragen

  • DoT - DNS-over-TLS für verschlüsselte Abfragen

Firewall und Sicherheitsgruppen

Stellen Sie sicher, dass Ihre Netzwerk-Firewalls und Sicherheitsgruppen ausgehenden Datenverkehr zu Route 53 Global Resolver Anycast-IP-Adressen an den entsprechenden Ports zulassen (53 für Do53, 443 für DoH, 853 für DoT).