本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 Route 53 Global Resolver 的帳戶存取權
開始使用 Route 53 Global Resolver 之前,您需要 AWS 帳戶和適當的許可才能存取 Route 53 Global Resolver 資源。這包括建立具有必要許可的 IAM 使用者和角色。
本節會引導您完成設定使用者和角色以存取 Route 53 Global Resolver 所需的步驟。
建立政策和角色
設定 AWS Identity and Access Management (IAM) 許可,讓您的團隊可以部署和管理 Route 53 Global Resolver 資源。您可以使用管理許可進行完整存取,或將唯讀許可用於監控和檢視組態。
所有 Route 53 Global Resolver API 操作都需要適當的 IAM 許可。如果您沒有所需的許可,API 呼叫將傳回 AccessDeniedException(401) 或 UnauthorizedException(401) 錯誤。
管理許可
如果您是第一次設定 Route 53 Global Resolver 或管理服務的所有層面,則需要管理許可。您可以使用這些 AWS 受管政策:
-
AmazonRoute53GlobalResolverFullAccess- 提供 Route 53 Global Resolver 資源的完整存取權,包括建立、更新和刪除全域解析程式、DNS 檢視、防火牆規則和網域清單 -
AmazonRoute53FullAccess- 如果您計劃使用私有託管區域轉送,則為必要項目 -
CloudWatchLogsFullAccess- 如果您計劃將日誌傳送至 Amazon CloudWatch,則為必要項目 -
AmazonS3FullAccess- 如果您計劃從 Amazon S3 匯入防火牆網域清單或將日誌傳送至 Amazon S3,則為必要項目
唯讀許可
如果您只需要檢視 Route 53 Global Resolver 組態和日誌,則可以使用這些 AWS 受管政策:
-
AmazonRoute53GlobalResolverReadOnlyAccess- 提供 Route 53 Global Resolver 資源的唯讀存取權,包括檢視全域解析程式、DNS 檢視、防火牆規則、網域清單和存取來源 -
AmazonRoute53ReadOnlyAccess- 檢視私有託管區域關聯時需要 -
CloudWatchReadOnlyAccess- 在 Amazon CloudWatch 中檢視日誌時需要 -
AmazonS3ReadOnlyAccess- 檢視存放在 Amazon S3 中的防火牆網域清單檔案時需要
網路考量
在實作 Route 53 Global Resolver 之前,請考慮下列網路需求:
- 用戶端 IP 範圍
-
這只有在使用存取來源型身分驗證時才需要。識別將使用 Route 53 Global Resolver 的所有用戶端的 IP 地址範圍 (CIDR 區塊)。您需要這些來設定存取來源的規則。
- DNS 通訊協定
-
決定您的用戶端將使用哪些 DNS 通訊協定:
-
Do53 - 透過連接埠 53 的標準 DNS (UDP/TCP)
-
DoH - 加密查詢的 DNS-over-HTTPS
-
DoT - 加密查詢的 DNS-over-TLS
-
- 防火牆和安全群組
-
確保您的網路防火牆和安全群組允許傳出流量到適當連接埠上的 Route 53 Global Resolver 任何廣播 IP 地址 (Do53 為 53,DoH 為 443,DoT 為 853)。