View a markdown version of this page

Configuración del acceso a la cuenta para Route 53 Global Resolver - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del acceso a la cuenta para Route 53 Global Resolver

Antes de empezar a usar Route 53 Global Resolver, necesita una AWS cuenta y los permisos adecuados para acceder a los recursos de Route 53 Global Resolver. Esto incluye la creación de usuarios y roles de IAM con los permisos necesarios.

Esta sección lo guía a través de los pasos necesarios para configurar los usuarios y las funciones para acceder a Route 53 Global Resolver.

Creación de políticas y funciones

Configure los permisos de AWS Identity and Access Management (IAM) para que su equipo pueda implementar y administrar los recursos de Route 53 Global Resolver. Puede usar permisos administrativos para un acceso total o permisos de solo lectura para supervisar y ver las configuraciones.

Todas las operaciones de la API Global Resolver de Route 53 requieren los permisos de IAM adecuados. Si no tiene los permisos necesarios, las llamadas a la API devolverán errores AccessDeniedException (401) o UnauthorizedException (401).

Permisos administrativos

Si configura Route 53 Global Resolver por primera vez o administra todos los aspectos del servicio, necesitará permisos administrativos. Puede usar estas políticas AWS administradas:

  • AmazonRoute53GlobalResolverFullAccess- Proporciona acceso completo a los recursos de Route 53 Global Resolver, incluida la creación, actualización y eliminación de resolutores globales, vistas de DNS, reglas de firewall y listas de dominios

  • AmazonRoute53FullAccess- Necesario si va a utilizar el reenvío de zonas alojadas de forma privada

  • CloudWatchLogsFullAccess- Necesario si planeas enviar registros a Amazon CloudWatch

  • AmazonS3FullAccess- Necesario si tiene previsto importar listas de dominios de firewall desde Amazon S3 o enviar registros a Amazon S3

Read-only permisos

Si solo necesita ver las configuraciones y los registros de Route 53 Global Resolver, puede usar estas políticas AWS administradas:

  • AmazonRoute53GlobalResolverReadOnlyAccess- Proporciona acceso de solo lectura a los recursos de Route 53 Global Resolver, incluida la visualización de resoluciones globales, vistas de DNS, reglas de firewall, listas de dominios y fuentes de acceso

  • AmazonRoute53ReadOnlyAccess- Necesario para ver las asociaciones de zonas alojadas privadas

  • CloudWatchReadOnlyAccess- Necesario para ver los registros en Amazon CloudWatch

  • AmazonS3ReadOnlyAccess- Necesario para ver los archivos de la lista de dominios del firewall almacenados en Amazon S3

Consideraciones sobre la red

Antes de implementar Route 53 Global Resolver, tenga en cuenta los siguientes requisitos de red:

Intervalos de IP de clientes

Esto solo es necesario cuando se utiliza la autenticación basada en la fuente de acceso. Identifique los rangos de direcciones IP (bloques CIDR) de todos los clientes que utilizarán Route 53 Global Resolver. Los necesitará para configurar las reglas de su fuente de acceso.

Protocolos DNS

Determine qué protocolos de DNS utilizarán sus clientes:

  • Do53: DNS estándar a través del puerto 53 () UDP/TCP

  • DoH: DNS-over-HTTPS para consultas cifradas

  • DoT: DNS-over-TLS para consultas cifradas

Grupos de firewall y seguridad

Asegúrese de que los firewalls y grupos de seguridad de su red permitan el tráfico saliente a las direcciones IP anycast de Route 53 Global Resolver en los puertos correspondientes (53 para Do53, 443 para DoH, 853 para DoT).