翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Route 53 Global Resolver のアカウントアクセスの設定
Route 53 Global Resolver の使用を開始する前に、Route 53 Global Resolver リソースにアクセスするための AWS アカウントと適切なアクセス許可が必要です。これには、必要なアクセス許可を持つ IAM ユーザーとロールの作成が含まれます。
このセクションでは、Route 53 Global Resolver にアクセスするようにユーザーとロールを設定するために必要な手順について説明します。
ポリシーとロールの作成
AWS Identity and Access Management (IAM) アクセス許可を設定して、チームが Route 53 Global Resolver リソースをデプロイおよび管理できるようにします。フルアクセスには管理アクセス許可を使用し、設定のモニタリングと表示には読み取り専用アクセス許可を使用できます。
すべての Route 53 Global Resolver API オペレーションには、適切な IAM アクセス許可が必要です。必要なアクセス許可がない場合、API コールは AccessDeniedException (401) または UnauthorizedException (401) エラーを返します。
管理者のアクセス許可
Route 53 Global Resolver を初めて設定する場合、またはサービスのすべての側面を管理する場合は、管理アクセス許可が必要です。以下の AWS 管理ポリシーを使用できます。
-
AmazonRoute53GlobalResolverFullAccess- グローバルリゾルバー、DNS ビュー、ファイアウォールルール、ドメインリストの作成、更新、削除など、Route 53 Global Resolver リソースへのフルアクセスを提供します。 -
AmazonRoute53FullAccess- プライベートホストゾーン転送を使用する場合は必須 -
CloudWatchLogsFullAccess- Amazon CloudWatch にログを送信する予定がある場合に必要です -
AmazonS3FullAccess- Amazon S3 からファイアウォールドメインリストをインポートするか、Amazon S3 にログを送信する場合に必要です
読み取り専用のアクセス許可
Route 53 Global Resolver の設定とログのみを表示する必要がある場合は、次の AWS 管理ポリシーを使用できます。
-
AmazonRoute53GlobalResolverReadOnlyAccess- グローバルリゾルバー、DNS ビュー、ファイアウォールルール、ドメインリスト、アクセスソースの表示など、Route 53 Global Resolver リソースへの読み取り専用アクセスを提供します -
AmazonRoute53ReadOnlyAccess- プライベートホストゾーンの関連付けを表示するために必要です -
CloudWatchReadOnlyAccess- Amazon CloudWatch でログを表示するために必要です -
AmazonS3ReadOnlyAccess- Amazon S3 に保存されているファイアウォールドメインリストファイルを表示するために必要です
ネットワークに関する考慮事項
Route 53 Global Resolver を実装する前に、次のネットワーク要件を考慮してください。
- クライアント IP 範囲
-
これは、アクセスソースベースの認証を使用する場合にのみ必要です。Route 53 Global Resolver を使用するすべてのクライアントの IP アドレス範囲 (CIDR ブロック) を特定します。アクセスソースのルールを設定するには、これらが必要です。
- DNS プロトコル
-
クライアントが使用する DNS プロトコルを決定します。
-
Do53 - ポート 53 経由の標準 DNS (UDP/TCP)
-
DoH - 暗号化されたクエリの DNS-over-HTTPS
-
DoT - 暗号化されたクエリの DNS-over-TLS
-
- ファイアウォールとセキュリティグループ
-
ネットワークファイアウォールとセキュリティグループが、適切なポート (Do53 の場合は 53、DoH の場合は 443、DoT の場合は 853) の Route 53 Global Resolver エニーキャスト IP アドレスへのアウトバウンドトラフィックを許可していることを確認します。 Do53 DoH DoT