As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando o acesso à conta para o Route 53 Global Resolver
Antes de começar a usar o Route 53 Global Resolver, você precisa de uma AWS conta e das permissões apropriadas para acessar os recursos do Route 53 Global Resolver. Isso inclui criar usuários e funções do IAM com as permissões necessárias.
Esta seção orienta você pelas etapas necessárias para configurar usuários e funções para acessar o Route 53 Global Resolver.
Criação de políticas e funções
Configure as permissões do AWS Identity and Access Management (IAM) para que sua equipe possa implantar e gerenciar os recursos do Route 53 Global Resolver. Você pode usar permissões administrativas para acesso total ou permissões somente de leitura para monitorar e visualizar configurações.
Todas as operações da API do Route 53 Global Resolver exigem permissões apropriadas do IAM. Se você não tiver as permissões necessárias, as chamadas de API retornarão AccessDeniedException erros (401) ou UnauthorizedException (401).
Permissões administrativas
Se você estiver configurando o Route 53 Global Resolver pela primeira vez ou gerenciando todos os aspectos do serviço, precisará de permissões administrativas. Você pode usar essas políticas AWS gerenciadas:
-
AmazonRoute53GlobalResolverFullAccess- Fornece acesso total aos recursos do Route 53 Global Resolver, incluindo criação, atualização e exclusão de resolvedores globais, visualizações de DNS, regras de firewall e listas de domínio -
AmazonRoute53FullAccess- Obrigatório se você planeja usar o encaminhamento de zona hospedada privada -
CloudWatchLogsFullAccess- Obrigatório se você planeja enviar registros para a Amazon CloudWatch -
AmazonS3FullAccess- Obrigatório se você planeja importar listas de domínios de firewall do Amazon S3 ou enviar registros para o Amazon S3
Read-only permissões
Se você só precisar visualizar as configurações e os registros do Route 53 Global Resolver, poderá usar estas políticas AWS gerenciadas:
-
AmazonRoute53GlobalResolverReadOnlyAccess- Fornece acesso somente de leitura aos recursos do Route 53 Global Resolver, incluindo visualização de resolvedores globais, visualizações de DNS, regras de firewall, listas de domínios e fontes de acesso -
AmazonRoute53ReadOnlyAccess- Necessário para visualizar associações de zonas hospedadas privadas -
CloudWatchReadOnlyAccess- Necessário para visualizar registros na Amazon CloudWatch -
AmazonS3ReadOnlyAccess- Necessário para visualizar os arquivos da lista de domínios do firewall armazenados no Amazon S3
Considerações sobre a rede
Antes de implementar o Route 53 Global Resolver, considere os seguintes requisitos de rede:
- Intervalos de IP do cliente
-
Isso só é necessário ao usar a autenticação baseada na fonte de acesso. Identifique os intervalos de endereços IP (blocos CIDR) para todos os clientes que usarão o Route 53 Global Resolver. Você precisará deles para configurar regras para sua fonte de acesso.
- Protocolos DNS
-
Determine quais protocolos DNS seus clientes usarão:
-
Do53 - DNS padrão pela porta 53 () UDP/TCP
-
DoH - DNS-over-HTTPS para consultas criptografadas
-
DoT - DNS-over-TLS para consultas criptografadas
-
- Firewall e grupos de segurança
-
Garanta que seus firewalls de rede e grupos de segurança permitam tráfego de saída para endereços IP anycast do Route 53 Global Resolver nas portas apropriadas (53 para Do53, 443 para DoH, 853 para DoT).