View a markdown version of this page

Configurando o acesso à conta para o Route 53 Global Resolver - Amazon Route 53

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando o acesso à conta para o Route 53 Global Resolver

Antes de começar a usar o Route 53 Global Resolver, você precisa de uma AWS conta e das permissões apropriadas para acessar os recursos do Route 53 Global Resolver. Isso inclui criar usuários e funções do IAM com as permissões necessárias.

Esta seção orienta você pelas etapas necessárias para configurar usuários e funções para acessar o Route 53 Global Resolver.

Criação de políticas e funções

Configure as permissões do AWS Identity and Access Management (IAM) para que sua equipe possa implantar e gerenciar os recursos do Route 53 Global Resolver. Você pode usar permissões administrativas para acesso total ou permissões somente de leitura para monitorar e visualizar configurações.

Todas as operações da API do Route 53 Global Resolver exigem permissões apropriadas do IAM. Se você não tiver as permissões necessárias, as chamadas de API retornarão AccessDeniedException erros (401) ou UnauthorizedException (401).

Permissões administrativas

Se você estiver configurando o Route 53 Global Resolver pela primeira vez ou gerenciando todos os aspectos do serviço, precisará de permissões administrativas. Você pode usar essas políticas AWS gerenciadas:

  • AmazonRoute53GlobalResolverFullAccess- Fornece acesso total aos recursos do Route 53 Global Resolver, incluindo criação, atualização e exclusão de resolvedores globais, visualizações de DNS, regras de firewall e listas de domínio

  • AmazonRoute53FullAccess- Obrigatório se você planeja usar o encaminhamento de zona hospedada privada

  • CloudWatchLogsFullAccess- Obrigatório se você planeja enviar registros para a Amazon CloudWatch

  • AmazonS3FullAccess- Obrigatório se você planeja importar listas de domínios de firewall do Amazon S3 ou enviar registros para o Amazon S3

Read-only permissões

Se você só precisar visualizar as configurações e os registros do Route 53 Global Resolver, poderá usar estas políticas AWS gerenciadas:

  • AmazonRoute53GlobalResolverReadOnlyAccess- Fornece acesso somente de leitura aos recursos do Route 53 Global Resolver, incluindo visualização de resolvedores globais, visualizações de DNS, regras de firewall, listas de domínios e fontes de acesso

  • AmazonRoute53ReadOnlyAccess- Necessário para visualizar associações de zonas hospedadas privadas

  • CloudWatchReadOnlyAccess- Necessário para visualizar registros na Amazon CloudWatch

  • AmazonS3ReadOnlyAccess- Necessário para visualizar os arquivos da lista de domínios do firewall armazenados no Amazon S3

Considerações sobre a rede

Antes de implementar o Route 53 Global Resolver, considere os seguintes requisitos de rede:

Intervalos de IP do cliente

Isso só é necessário ao usar a autenticação baseada na fonte de acesso. Identifique os intervalos de endereços IP (blocos CIDR) para todos os clientes que usarão o Route 53 Global Resolver. Você precisará deles para configurar regras para sua fonte de acesso.

Protocolos DNS

Determine quais protocolos DNS seus clientes usarão:

  • Do53 - DNS padrão pela porta 53 () UDP/TCP

  • DoH - DNS-over-HTTPS para consultas criptografadas

  • DoT - DNS-over-TLS para consultas criptografadas

Firewall e grupos de segurança

Garanta que seus firewalls de rede e grupos de segurança permitam tráfego de saída para endereços IP anycast do Route 53 Global Resolver nas portas apropriadas (53 para Do53, 443 para DoH, 853 para DoT).