Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Was ist Route 53 VPC Resolver?
<a name="resolver"></a>

Route 53 VPC Resolver reagiert rekursiv auf DNS-Abfragen von AWS Ressourcen für öffentliche Aufzeichnungen, Amazon VPC-spezifische DNS-Namen und private gehostete Zonen von Amazon Route 53 und ist standardmäßig in allen verfügbar. VPCs 

**Anmerkung**  
Route 53 VPC Resolver hieß früher Route 53 Resolver, wurde aber mit der Einführung von Route 53 Global Resolver umbenannt.

Eine Amazon VPC stellt über eine VPC\$12-IP-Adresse eine Verbindung zu einem VPC-Resolver her. Diese VPC\$12-Adresse stellt eine Verbindung zu einem VPC-Resolver innerhalb einer Availability Zone her. 

Ein VPC-Resolver beantwortet automatisch DNS-Anfragen für:
+ Lokale VPC-Domainnamen für EC2-Instances (zum Beispiel ec2-192-0-2-44.compute-1.amazonaws.com).

  
+ Datensätze in privaten gehosteten Zonen (z. B. acme.example.com).
+ Für öffentliche Domainnamen führt VPC Resolver rekursive Suchvorgänge auf öffentlichen Nameservern im Internet durch.

 

Wenn Sie über Workloads verfügen, die VPCs sowohl lokale als auch lokale Ressourcen nutzen, müssen Sie auch lokal gehostete DNS-Einträge auflösen. In ähnlicher Weise müssen diese lokalen Ressourcen möglicherweise Namen auflösen, die auf gehostet werden. AWS Mithilfe von Resolver-Endpunkten und bedingten Weiterleitungsregeln können Sie DNS-Abfragen zwischen Ihren lokalen Ressourcen lösen und VPCs ein Hybrid-Cloud-Setup über VPN oder Direct Connect (DX) erstellen. Das heißt:
+ Eingehende Resolver-Endpunkte ermöglichen DNS-Abfragen an Ihre VPC von Ihrem On-Premises-Netzwerk oder einer anderen VPC.
+ Ausgehende Resolver-Endpunkte ermöglichen DNS-Abfragen von Ihrer VPC an Ihr On-Premises-Netzwerk oder eine andere VPC. 
+ Mit Resolver-Regeln können Sie eine Weiterleitungsregel für alle Domainnamen erstellen und den Namen der Domain angeben, für die Sie DNS-Abfragen von Ihrer VPC an einen On-Premises-DNS-Resolver und von Ihrem On-Premises-Netzwerk an Ihre VPC weiterleiten möchten. Regeln werden direkt auf Ihre VPC angewendet und können von mehreren Konten gemeinsam genutzt werden. 

Das folgende Diagramm zeigt die hybride DNS-Auflösung mit Resolver-Endpunkten. Beachten Sie, dass das Diagramm vereinfacht ist, sodass nur eine Availability Zone angezeigt wird.

![\[Konzeptgrafik, die den Pfad einer DNS-Abfrage von Ihrer VPC zu Ihrem lokalen Datenspeicher über einen ausgehenden Route 53 53-VPC-Resolver-Endpunkt und den Pfad von einem DNS-Resolver auf Ihrem eingehenden Netzwerkendpunkt zurück zur VPC zeigt.\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/images/Resolver-routing.png)


Die Abbildung zeigt die folgenden Schritte:

**Ausgehend (durchgezogene Pfeile 1–5):**

1. Eine Amazon–EC2-Instance muss eine DNS-Abfrage an die Domain internal.example.com auflösen. Der autoritative DNS-Server befindet sich im On-Premises-Rechenzentrum. Diese DNS-Abfrage wird an die VPC\$12 in der VPC gesendet, die eine Verbindung zum VPC Resolver herstellt.

1. Eine VPC Resolver-Weiterleitungsregel ist so konfiguriert, dass Abfragen an internal.example.com im lokalen Rechenzentrum weitergeleitet werden.

1. Die Abfrage wird an einen ausgehenden Endpunkt weitergeleitet.

1. Der ausgehende Endpunkt leitet die Anfrage über eine private Verbindung zwischen und dem Rechenzentrum an den lokalen DNS-Resolver weiter. AWS Die Verbindung kann entweder Direct Connect oder sein AWS Site-to-Site VPN, dargestellt als virtuelles privates Gateway.

1. Der On-Premises-DNS-Resolver löst die DNS-Abfrage für internal.example.com auf und gibt die Antwort über denselben Pfad in umgekehrter Reihenfolge an die Amazon-EC2-Instance zurück.

**Eingehend (gestrichelte Pfeile a—d):**

1. Ein Client im lokalen Rechenzentrum muss eine DNS-Abfrage an eine AWS Ressource für die Domain dev.example.com auflösen. Er sendet die Abfrage an den On-Premises-DNS-Resolver. 

1. Der On-Premises-DNS-Resolver verfügt über eine Weiterleitungsregel, die Abfragen an dev.example.com an einen eingehenden Endpunkt weiterleitet. 

1. Die Abfrage erreicht den eingehenden Endpunkt über eine private Verbindung, z. B. Direct Connect oder AWS Site-to-Site VPN, die als virtuelles Gateway dargestellt wird.

1. Der eingehende Endpunkt sendet die Anfrage an VPC Resolver, und VPC Resolver löst die DNS-Abfrage für dev.example.com auf und gibt die Antwort über denselben Pfad in umgekehrter Reihenfolge an den Client zurück.

**Topics**
+ [

# Auflösen von DNS-Abfragen zwischen und Ihrem Netzwerk VPCs
](resolver-overview-DSN-queries-to-vpc.md)
+ [

# Verfügbarkeit und Skalierung von Route 53 VPC Resolver
](resolver-availability-scaling.md)
+ [

# Erste Schritte mit Route 53 VPC Resolver
](resolver-getting-started.md)
+ [

# Weiterleiten eingehender DNS-Anfragen an Ihren VPCs
](resolver-forwarding-inbound-queries.md)
+ [

# Weiterleiten von ausgehenden DNS-Abfragen an Ihr Netzwerk
](resolver-forwarding-outbound-queries.md)
+ [

# Tutorial zu Resolver-Delegierungsregeln
](outbound-delegation-tutorial.md)
+ [

# Aktivieren der DNSSEC-Validierung in Amazon Route 53
](resolver-dnssec-validation.md)

# Auflösen von DNS-Abfragen zwischen und Ihrem Netzwerk VPCs
<a name="resolver-overview-DSN-queries-to-vpc"></a>

Der VPC Resolver enthält Endpoints, die Sie so konfigurieren, dass sie DNS-Anfragen an und von Ihrer lokalen Umgebung beantworten.

**Anmerkung**  
 Die Weiterleitung von privaten DNS-Abfragen an eine beliebige VPC CIDR \$1 2-Adresse von lokalen oder anderen VPC-DNS-Servern wird nicht unterstützt und kann zu instabilen Ergebnissen führen. Stattdessen empfehlen wir Ihnen, einen eingehenden Resolver-Endpunkt zu verwenden.

Sie können die DNS-Auflösung auch zwischen VPC-Resolver und DNS-Resolvern in Ihrem Netzwerk integrieren, indem Sie Weiterleitungsregeln konfigurieren. *Ihr Netzwerk* kann jedes Netzwerk umfassen, das von Ihrer VPC aus erreichbar ist, z. B. die folgenden:
+ Die VPC selbst
+ Eine weitere per Peering verbundene VPC
+ Ein lokales Netzwerk, das AWS mit einem VPN oder einem Direct Connect NAT-Gateway (Network Address Translation) verbunden ist

Bevor Sie mit der Weiterleitung von Abfragen beginnen, erstellen Sie Resolver-Endpunkte für eingehenden und and/or ausgehenden Datenverkehr in der verbundenen VPC. Diese Endpunkte bieten einen Pfad für eingehende oder ausgehende Abfragen:

**Eingehender Endpunkt: DNS-Resolver in Ihrem Netzwerk können DNS-Anfragen über diesen Endpunkt an Route 53 VPC Resolver weiterleiten**  
Es gibt zwei Arten von Eingangsendpunkten: einen **standardmäßigen Eingangsendpunkt, der an IP-Adressen weiterleitet, und einen eingehenden** **Delegationsendpunkt, der die Autorität für eine Subdomain, die in der privaten Hosted Zone Route 53 gehostet wird, an** den Route 53 VPC Resolver delegiert. Eingehende Endpunkte ermöglichen es Ihren DNS-Resolvern, Domainnamen für AWS Ressourcen wie EC2-Instances oder Datensätze in einer privaten gehosteten Route 53-Zone einfach aufzulösen. Weitere Informationen finden Sie unter [Wie DNS-Resolver in Ihrem Netzwerk DNS-Abfragen an Resolver-Endpunkte weiterleiten](resolver-overview-forward-network-to-vpc.md).

**Ausgehender Endpunkt: VPC Resolver leitet Anfragen über diesen Endpunkt bedingt an Resolver in Ihrem Netzwerk weiter**  
Zum Weiterleiten ausgewählter Abfragen erstellen Sie Resolver-Regeln, die die Domainnamen für die DNS-Abfragen angeben, die Sie weiterleiten möchten (z. B. example.com), und die IP-Adressen der DNS-Resolver in Ihrem Netzwerk, an die die Abfragen weitergeleitet werden sollen. Wenn eine Abfrage mehreren Regeln entspricht (example.com, acme.example.com), wählt VPC Resolver die Regel mit der genauesten Übereinstimmung (acme.example.com) und leitet die Abfrage an die IP-Adressen weiter, die Sie in dieser Regel angegeben haben. ****Es gibt drei Arten von Regeln: **Weiterleitung**, System und Delegierung.**** Weitere Informationen finden Sie unter [Wie Resolver-Endpunkte DNS-Anfragen von Ihrem an Ihr Netzwerk weiterleiten VPCs](resolver-overview-forward-vpc-to-network.md). 

Wie Amazon VPC ist auch VPC Resolver regional. In jeder Region, in der Sie tätig sind VPCs, können Sie wählen, ob Sie Anfragen von Ihrem Netzwerk VPCs an Ihr Netzwerk (ausgehende Anfragen), von Ihrem Netzwerk an Ihr VPCs (eingehende Anfragen) oder beides weiterleiten möchten.

Sie können keine Resolver-Endpunkte in einer VPC erstellen, die nicht Ihnen gehört. Nur der VPC Besitzer kann Ressourcen wie eingehende Endpunkte auf VPC-Ebene erstellen.

**Anmerkung**  
Wenn Sie einen Resolver-Endpunkt erstellen, können Sie keine VPC angeben, für die das Instance-Tenancy-Attribut auf `dedicated` festgelegt ist. Weitere Informationen finden Sie unter [Verwenden von VPC Resolver in VPCs , die für dedizierte Instance-Tenancy konfiguriert sind](resolver-choose-vpc.md#resolver-considerations-dedicated-instance-tenancy).

Erstellen Sie zur Verwendung eingehender oder ausgehender Weiterleitungen einen Resolver-Endpunkt in Ihrer VPC. Im Rahmen der Definition eines Endpunkts geben Sie die IP-Adressen oder die DNS-Delegierung an, an die Sie eingehende DNS-Anfragen weiterleiten möchten, oder die IP-Adressen, von denen ausgehende Anfragen stammen sollen. Für jede IP-Adresse und Delegierung, die Sie angeben, erstellt VPC Resolver automatisch eine elastische VPC-Netzwerkschnittstelle.

Das folgende Diagramm zeigt den Pfad einer DNS-Abfrage von einem DNS-Resolver in Ihrem Netzwerk zum Route 53-Resolver an.

![\[Konzeptionelle Grafik, die den Pfad einer DNS-Abfrage von einem DNS-Resolver in Ihrem Netzwerk zum Route 53-DNS-Resolver anzeigt.\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/images/Resolver-inbound-endpoint.png)


Das folgende Diagramm zeigt den Pfad einer DNS-Abfrage von einer EC2-Instance in einer Ihrer Instances VPCs zu einem DNS-Resolver in Ihrem Netzwerk. Die Domain jyo.example.com verwendet eine Weiterleitungsregel, wohingegen die Subdomain ric.example.com die Weiterleitungsberechtigung an VPC Resolver delegiert hat.

![\[Konzeptgrafik, die den Pfad einer DNS-Abfrage von Ihrem Netzwerk zum Route 53 VPC Resolver zeigt.\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/images/Resolver-outbound-endpoint.png)


Eine Übersicht über VPC Netzwerkschnittstellen finden Sie unter[Elastic Network-Schnittstelle](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html)im* Amazon VPC User Guide*aus.

**Topics**
+ [Wie DNS-Resolver in Ihrem Netzwerk DNS-Abfragen an Resolver-Endpunkte weiterleiten](resolver-overview-forward-network-to-vpc.md)
+ [Wie Resolver-Endpunkte DNS-Anfragen von Ihrem an Ihr Netzwerk weiterleiten VPCs](resolver-overview-forward-vpc-to-network.md)
+ [Erwägungen beim Erstellen von ein- und ausgehenden Endpunkten](resolver-choose-vpc.md)

# Wie DNS-Resolver in Ihrem Netzwerk DNS-Abfragen an Resolver-Endpunkte weiterleiten
<a name="resolver-overview-forward-network-to-vpc"></a>

Um DNS-Abfragen von Ihrem Netzwerk an den Route 53 VPC Resolver weiterzuleiten, erstellen Sie eingehende Endpunkte in einer Region. AWS ****Es gibt zwei Kategorien von Eingangsendpunkten: Standard- und Delegationsendpunkte.****

**Schritte zum Erstellen von Standardendpunkten für eingehenden Datenverkehr**

1. Sie erstellen einen standardmäßigen Resolver-Eingangsendpunkt in einer VPC und geben die IP-Adressen an, an die die Resolver in Ihrem Netzwerk DNS-Anfragen weiterleiten, zusammen mit einer VPC-Sicherheitsgruppe, die Regeln für eingehenden Datenverkehr enthält, die den TCP- und UDP-Zugriff auf Port 53 zulassen. Anweisungen finden Sie unter [Konfigurieren von Weiterleitungen eingehender Abfragen](resolver-forwarding-inbound-queries-configuring.md).

   Für jede IP-Adresse, die Sie für den eingehenden Endpunkt angeben, erstellt VPC Resolver eine VPC-Elastic elastic network interface in der VPC, in der Sie den eingehenden Endpunkt erstellt haben. 

1. Sie konfigurieren Resolver in Ihrem Netzwerk, um DNS-Abfragen für die entsprechenden Domainnamen an die im eingehenden Endpunkt angegebenen IP-Adressen weiterzuleiten. Weitere Informationen finden Sie unter [Erwägungen beim Erstellen von ein- und ausgehenden Endpunkten](resolver-choose-vpc.md).

**So löst VPC Resolver DNS-Anfragen, die aus Ihrem Netzwerk stammen, über einen standardmäßigen Eingangsendpunkt auf:**

1. Ein Webbrowser oder eine andere Anwendung in Ihrem Netzwerk sendet eine DNS-Anfrage für einen Domainnamen, den Sie an VPC Resolver weitergeleitet haben.

1. Ein Resolver in Ihrem Netzwerk leitet die Abfrage an die IP-Adressen in Ihrem eingehenden Endpunkt weiter.

1. Der eingehende Endpunkt leitet die Abfrage an VPC Resolver weiter.

1. VPC Resolver ruft den entsprechenden Wert für den Domainnamen in der DNS-Abfrage ab, entweder intern oder durch eine rekursive Suche auf öffentlichen Nameservern.

1. VPC Resolver gibt den Wert an den eingehenden Endpunkt zurück.

1. Der eingehende Endpunkt gibt den Wert an den Resolver in Ihrem Netzwerk zurück.

1. Der Resolver in Ihrem Netzwerk gibt den Wert an die Anwendung zurück.

1. Unter Verwendung des von VPC Resolver zurückgegebenen Werts sendet die Anwendung eine Anfrage, z. B. eine Anfrage für ein Objekt in einem Amazon S3 S3-Bucket.

**Schritte zur Erstellung eingehender Delegationsendpunkte**

1. Sie erstellen einen eingehenden Delegierungs-Resolver-Endpunkt in einer VPC. Anweisungen finden Sie unter [Konfigurieren von Weiterleitungen eingehender Abfragen](resolver-forwarding-inbound-queries-configuring.md).

   Für jede IP-Adresse, die Sie für den eingehenden Endpunkt angeben, erstellt VPC Resolver eine VPC-Elastic elastic network interface in der VPC, in der Sie den eingehenden Endpunkt erstellt haben. 

1. Sie konfigurieren Resolver in Ihrem Netzwerk so, dass sie DNS-Abfragen für die entsprechenden Domainnamen an VPC Resolver delegieren. Für die Glue-Records müssen Sie die IP-Adressen für die eingehenden Endpunkte eingeben. Weitere Informationen finden Sie unter [Erwägungen beim Erstellen von ein- und ausgehenden Endpunkten](resolver-choose-vpc.md).

**So löst VPC Resolver DNS-Anfragen, die von Ihrem Netzwerk stammen, über einen eingehenden Delegationsendpunkt auf:**

1. Als Voraussetzung müssen Sie die Subdomain, die in der privaten Hosting-Zone gehostet wird, lokal delegieren. Da Sie die Subdomain über den Endpunkt für die eingehende Delegierung delegieren, verwenden Sie die IP-Adressen der eingehenden Endpunkte als Glue-Records für die Subdomain, die delegiert wird.
**Anmerkung**  
Möglicherweise müssen Sie auch die Glue-Datensätze hinzufügen, um sicherzustellen, dass die DNS-Abfrage aufgelöst werden kann. Wenn Sie eine Subdomain an Nameserver delegieren, die sich in derselben Zone wie die übergeordnete Domain befinden, sind Glue-Datensätze erforderlich.

1. Ein Webbrowser oder eine andere Anwendung in Ihrem Netzwerk sendet eine DNS-Abfrage für einen Domainnamen, den Sie an den VPC Resolver delegiert haben.

1. Ein Resolver in Ihrem Netzwerk leitet die Abfrage an die IP-Adressen in Ihrem eingehenden Endpunkt weiter.

1. Der eingehende Endpunkt delegiert die Abfrage an VPC Resolver.

1. VPC Resolver gibt die Adresse an die AWS Ressource von der privaten Hosting-Zone an den eingehenden Endpunkt zurück.

1. Der eingehende Endpunkt gibt den Wert an den Resolver in Ihrem Netzwerk zurück.

1. Der Resolver in Ihrem Netzwerk gibt den Wert an die Anwendung zurück.

1. Unter Verwendung des von VPC Resolver zurückgegebenen Werts sendet die Anwendung eine Anfrage, z. B. eine Anfrage für ein Objekt in einem Amazon S3 S3-Bucket.

Das Erstellen eines Eingangsendpunkts ändert nichts am Verhalten von VPC Resolver, sondern stellt lediglich einen Pfad von einem Standort außerhalb des AWS Netzwerks zum VPC Resolver bereit.

# Wie Resolver-Endpunkte DNS-Anfragen von Ihrem an Ihr Netzwerk weiterleiten VPCs
<a name="resolver-overview-forward-vpc-to-network"></a>

Wenn Sie DNS-Abfragen von den EC2-Instances in einer oder mehreren VPCs in einer AWS Region an Ihr Netzwerk weiterleiten möchten, führen Sie die folgenden Schritte aus.

1. Sie erstellen einen ausgehenden Resolver-Endpunkt in einer VPC und geben mehrere Werte an:
   + Die VPC, die DNS-Abfragen auf dem Weg zu den Resolvern in Ihrem Netzwerk durchlaufen sollen. 
   + Eine [VPC-Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), die Regeln für ausgehenden Datenverkehr enthält, die den TCP- und UDP-Zugriff auf Port 53 (oder den Port, den Sie für DNS-Abfragen in Ihrem Netzwerk verwenden) ermöglichen

   Für jede IP-Adresse, die Sie für den ausgehenden Endpunkt angeben, erstellt VPC Resolver eine Amazon VPC elastic network interface in der von Ihnen angegebenen VPC. Weitere Informationen finden Sie unter [Erwägungen beim Erstellen von ein- und ausgehenden Endpunkten](resolver-choose-vpc.md).

1. Sie erstellen eine oder mehrere Regeln, die die Domainnamen der DNS-Abfragen angeben, die Sie an VPC Resolver delegieren möchten, um sie weiterzuleiten, oder die VPC Resolver an Resolver in Ihrem Netzwerk weiterleiten soll. Für Weiterleitungsregeln geben Sie auch die IP-Adressen der Resolver an. Weitere Informationen finden Sie unter [Verwenden von Regeln zum Steuern, welche Abfragen an Ihr Netzwerk weitergeleitet werden](resolver-overview-forward-vpc-to-network-using-rules.md).

1. Sie ordnen jede Regel der Regel zu, VPCs für die Sie DNS-Abfragen an Ihr Netzwerk weiterleiten möchten.

# Verwenden von Regeln zum Steuern, welche Abfragen an Ihr Netzwerk weitergeleitet werden
<a name="resolver-overview-forward-vpc-to-network-using-rules"></a>

Regeln steuern, welche DNS-Anfragen der Resolver-Endpunkt an DNS-Resolver in Ihrem Netzwerk weiterleitet und welche Anfragen VPC Resolver selbst beantwortet. 

Es gibt mehrere Möglichkeiten zum Kategorisieren von Regeln. Eine Möglichkeit ist die Kategorisierung nach Ersteller der Regeln:
+ **Automatisch definierte Regeln** — VPC Resolver erstellt automatisch automatisch definierte Regeln und ordnet die Regeln Ihren zu. VPCs Die meisten dieser Regeln gelten für die AWS-spezifischen Domainnamen, für die VPC Resolver Anfragen beantwortet. Weitere Informationen finden Sie unter [Domainnamen, für die VPC Resolver automatisch definierte Systemregeln erstellt](resolver-overview-forward-vpc-to-network-autodefined-rules.md).
+ **Benutzerdefinierte Regeln** — Sie erstellen benutzerdefinierte Regeln und verknüpfen die Regeln mit. VPCs Derzeit können Sie zwei Arten von benutzerdefinierten Regeln erstellen: Regeln für **bedingte Weiterleitungen**, auch bekannt als Weiterleitungsregeln, und **Delegierungsregeln**. **Weiterleitungsregeln** veranlassen VPC Resolver, DNS-Anfragen von Ihnen VPCs an die IP-Adressen für DNS-Resolver in Ihrem Netzwerk weiterzuleiten.

  Wenn Sie eine Weiterleitungsregel für dieselbe Domain wie eine automatisch definierte Regel erstellen, leitet VPC Resolver Anfragen für diesen Domainnamen auf der Grundlage der Einstellungen in der Weiterleitungsregel an DNS-Resolver in Ihrem Netzwerk weiter.

  **Delegierungsregeln** leiten DNS-Abfragen mit den Delegierungsdatensätzen in der Delegierungsregel weiter, die mit den NS-Einträgen als Antwort auf die Resolver in Ihrem Netzwerk übereinstimmen.

Eine weitere Möglichkeit ist die Kategorisierung von Regeln nach Funktion:
+ **Bedingte Weiterleitungsregeln** – Sie erstellen bedingte Weiterleitungsregeln (auch einfach als Weiterleitungsregeln bezeichnet), wenn Sie DNS-Abfragen für angegebene Domainnamen an DNS-Resolver in Ihrem Netzwerk weiterleiten möchten.
+ **Systemregeln** — Systemregeln bewirken, dass VPC Resolver das in einer Weiterleitungsregel definierte Verhalten selektiv überschreibt. Wenn Sie eine Systemregel erstellen, löst VPC Resolver DNS-Abfragen für bestimmte Subdomänen auf, die andernfalls von DNS-Resolvern in Ihrem Netzwerk aufgelöst würden.

  Standardmäßig gelten Weiterleitungsregeln für einen Domainnamen und alle entsprechenden Subdomains. Wenn Sie Abfragen für eine Domain an einen Resolver in Ihrem Netzwerk weiterleiten möchten, Abfragen für einige Subdomains hingegen nicht, erstellen Sie eine Systemregel für die Subdomains. Wenn Sie beispielsweise eine Weiterleitungsregel für example.com erstellen, Abfragen für acme.example.com jedoch nicht weiterleiten möchten, erstellen Sie eine Systemregel und geben für den Domainnamen acme.example.com an.
+ **Rekursive Regel** **— VPC Resolver erstellt automatisch eine rekursive Regel mit dem Namen Internet Resolver.** Diese Regel bewirkt, dass Route 53 VPC Resolver als rekursiver Resolver für alle Domainnamen fungiert, für die Sie keine benutzerdefinierten Regeln erstellt haben und für die VPC Resolver keine automatisch definierten Regeln erstellt hat. Informationen zum Überschreiben dieses Verhaltens finden Sie unter „Weiterleiten aller Abfragen an Ihr Netzwerk“ später in diesem Thema.

Sie können benutzerdefinierte Regeln erstellen, die für bestimmte Domainnamen (Ihre oder die meisten Domainnamen), für öffentliche AWS Domainnamen oder für alle AWS Domainnamen gelten. 

**Weiterleiten von Abfragen für spezifische Domainnamen an Ihr Netzwerk**  
Um Abfragen für einen spezifischen Domainnamen wie beispielsweise example.com an Ihr Netzwerk weiterzuleiten, erstellen Sie eine Regel und geben diesen Domainnamen an. Für **Weiterleitungsregeln** geben Sie auch die IP-Adressen der DNS-Resolver in Ihrem Netzwerk an, an die Sie die Anfragen weiterleiten möchten, oder für **Delegierungsregeln** erstellen Sie den Delegierungsdatensatz, für den Sie die Autorität an lokale Resolver delegieren möchten. Anschließend ordnen Sie jede Regel der Regel zu, VPCs für die Sie DNS-Abfragen an Ihr Netzwerk weiterleiten möchten. Beispielsweise können Sie separate Regeln für example.com, example.org und example.net erstellen. Anschließend können Sie die Regeln VPCs in einer beliebigen Kombination einer AWS Region zuordnen.

**Weiterleiten von Abfragen für amazonaws.com an Ihr Netzwerk**  
Der Domainname amazonaws.com ist der öffentliche Domainname für AWS Ressourcen wie EC2-Instances und S3-Buckets. Wenn Sie Anfragen für amazonaws.com an Ihr Netzwerk weiterleiten möchten, erstellen Sie eine Regel, geben Sie amazonaws.com als Domainnamen an und geben Sie für den Regeltyp **Weiterleiten** oder **Delegieren** an, je nachdem, welche Methode Sie verwenden möchten.  
VPC Resolver leitet DNS-Abfragen für einige Amazonaws.com-Subdomains nicht automatisch weiter, selbst wenn Sie eine Weiterleitungsregel für amazonaws.com erstellen. Weitere Informationen finden Sie unter [Domainnamen, für die VPC Resolver automatisch definierte Systemregeln erstellt](resolver-overview-forward-vpc-to-network-autodefined-rules.md). Informationen zum Überschreiben dieses Verhaltens finden Sie im direkt folgenden Abschnitt „Weiterleiten aller Abfragen an Ihr Netzwerk“.

**Weiterleiten aller Abfragen an Ihr Netzwerk**  
  
Wenn Sie alle Anfragen an Ihr Netzwerk weiterleiten möchten, erstellen Sie eine Regel und geben Sie „“ an. (Punkt) für den Domainnamen und ordnen Sie die Regel der Regel zu, VPCs für die Sie alle DNS-Abfragen an Ihr Netzwerk weiterleiten möchten. VPC Resolver leitet immer noch nicht alle DNS-Anfragen an Ihr Netzwerk weiter, da die Verwendung eines DNS-Resolvers außerhalb von einige Funktionen beeinträchtigen AWS würde. Beispielsweise haben einige interne AWS Domainnamen interne IP-Adressbereiche, auf die von außerhalb nicht zugegriffen werden kann. AWS Eine Liste der Domainnamen, für die Abfragen nicht an Ihr Netzwerk weitergeleitet werden, wenn Sie eine Regel für "." erstellen, finden Sie unter [Domainnamen, für die VPC Resolver automatisch definierte Systemregeln erstellt](resolver-overview-forward-vpc-to-network-autodefined-rules.md).  
Automatisch definierte Systemregeln für Reverse-DNS können jedoch deaktiviert werden, sodass die "."-Regel alle Reverse-DNS-Abfragen an Ihr Netzwerk weiterleiten kann. Weitere Informationen zum Deaktivieren der automatisch definierten Regeln finden Sie unter [Weiterleitungsregeln für Reverse-DNS-Abfragen in VPC Resolver](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns).  
Wenn Sie versuchen möchten, DNS-Abfragen für alle Domainnamen an Ihr Netzwerk weiterzuleiten, einschließlich der Domainnamen, die standardmäßig von Weiterleitungen ausgeschlossen sind, erstellen Sie eine "."-Regel und führen Sie einen der folgenden Schritte aus:  
+ Legen Sie den Flag `enableDnsHostnames` für die VPC auf `false` fest.
+ Erstellen Sie Regeln für die Domainnamen, die in [Domainnamen, für die VPC Resolver automatisch definierte Systemregeln erstellt](resolver-overview-forward-vpc-to-network-autodefined-rules.md)aufgeführt sind.
Wenn Sie alle Domainnamen an Ihr Netzwerk weiterleiten, einschließlich der Domainnamen, die VPC Resolver ausschließt, wenn Sie eine „.“ -Regel erstellen, funktionieren einige Funktionen möglicherweise nicht mehr.

# So bestimmt VPC Resolver, ob der Domainname in einer Abfrage irgendwelchen Regeln entspricht
<a name="resolver-overview-forward-vpc-to-network-domain-name-matches"></a>

Route 53 VPC Resolver vergleicht den Domänennamen in der DNS-Abfrage mit dem Domänennamen in den Regeln, die der VPC zugeordnet sind, von der die Abfrage stammt. VPC Resolver betrachtet die Domainnamen in den folgenden Fällen als übereinstimmend:
+ Der Domainname stimmt genau überein.
+ Bei dem Domainnamen in der Abfrage handelt es sich um eine Subdomain der Domain in der Regel.

Wenn der Domainname in der Regel beispielsweise acme.example.com lautet, betrachtet VPC Resolver die folgenden Domainnamen in einer DNS-Abfrage als übereinstimmend:
+ acme.example.com
+ zenith.acme.example.com

Bei den folgenden Domainnamen handelt es sich nicht um Übereinstimmungen:
+ example.com
+ nadir.example.com

Wenn der Domainname in einer Abfrage mit dem Domainnamen in mehr als einer Regel übereinstimmt (z. B. example.com und www.example.com), leitet VPC Resolver ausgehende DNS-Abfragen mit der Regel weiter, die den spezifischsten Domainnamen enthält (www.example.com).

# Wie VPC Resolver bestimmt, wohin DNS-Abfragen weitergeleitet werden sollen
<a name="resolver-overview-forward-vpc-to-network-where-to-forward-queries"></a>

Wenn eine Anwendung, die auf einer EC2-Instance in einer VPC ausgeführt wird, eine DNS-Abfrage sendet, führt Route 53 VPC Resolver die folgenden Schritte aus:

1. Resolver führt Prüfungen auf Domainnamen in Regeln aus.

   Wenn der Domänenname in einer Abfrage mit dem Domänennamen in einer Standardweiterleitungsregel übereinstimmt, leitet VPC Resolver die Abfrage an die IP-Adresse weiter, die Sie bei der Erstellung des ausgehenden Endpunkts angegeben haben. Der ausgehende Endpunkt leitet die Abfrage anschließend an die IP-Adressen von Resolvern in Ihrem Netzwerk weiter, die Sie beim Erstellen der Regel angegeben haben.

   Wenn der Delegierungsdatensatz als Antwort mit der Delegierungsregel übereinstimmt, delegiert der Resolver die Autorität über den ausgehenden Endpunkt, der der Delegierungsregel zugeordnet ist, an lokale Resolver.

   Weitere Informationen finden Sie unter [So bestimmt VPC Resolver, ob der Domainname in einer Abfrage irgendwelchen Regeln entspricht](resolver-overview-forward-vpc-to-network-domain-name-matches.md). 

1. Resolver Endpunkt leitet DNS-Abfragen basierend auf den Einstellungen in der "."-Regel weiter.

   Wenn der Domainname in einer Abfrage nicht mit dem Domainnamen in anderen Regeln übereinstimmt, leitet VPC Resolver die Abfrage auf der Grundlage der Einstellungen im automatisch definierten Feld „“ weiter. (Punkt-) Regel. Die Punktregel gilt für alle Domainnamen mit Ausnahme einiger AWS interner Domainnamen und Datensatznamen in privaten Hosting-Zonen. Diese Regel veranlasst VPC Resolver, DNS-Anfragen an öffentliche Nameserver weiterzuleiten, wenn die Domainnamen in den Abfragen nicht mit den Namen in Ihren benutzerdefinierten Weiterleitungsregeln übereinstimmen. Wenn Sie alle Abfragen an die DNS-Resolver in Ihrem Netzwerk weiterleiten möchten, können Sie eine benutzerdefinierte Weiterleitungsregel erstellen und für den Domainnamen „.“ angeben. Wählen Sie **Weiterleitung** für **Typ** und legen Sie die IP-Adressen dieser Resolver fest. 

1. VPC Resolver gibt die Antwort an die Anwendung zurück, die die Anfrage gesendet hat.

# Verwenden von Regeln in mehreren Regionen
<a name="resolver-overview-forward-vpc-to-network-using-rules-multiple-regions"></a>

Route 53 VPC Resolver ist ein regionaler Dienst, sodass Objekte, die Sie in einer AWS Region erstellen, nur in dieser Region verfügbar sind. Wenn Sie dieselbe Regel in mehr als einer Region verwenden möchten, müssen Sie die Regel in allen Regionen erstellen.

Das AWS Konto, das eine Regel erstellt hat, kann die Regel mit anderen AWS Konten gemeinsam nutzen. Weitere Informationen finden Sie unter [Resolver-Regeln mit anderen AWS Konten teilen und gemeinsame Regeln verwenden](resolver-rules-managing.md#resolver-rules-managing-sharing).

# Domainnamen, für die VPC Resolver automatisch definierte Systemregeln erstellt
<a name="resolver-overview-forward-vpc-to-network-autodefined-rules"></a>

Der Resolver erstellt automatisch definierte Systemregeln, die definieren, wie Abfragen für ausgewählte Domains standardmäßig aufgelöst werden:
+ Für private gehostete Zonen und für Amazon EC2 spezifische Domainnamen (z. B. compute.amazonaws.com und compute.internal) stellen automatisch definierte Regeln sicher, dass Ihre privat gehosteten Zonen und EC2-Instances weiterhin aufgelöst werden, wenn Sie bedingte Weiterleitungsregeln für weniger spezifische Domainnamen wie "." (Punkt) oder "com" erstellen.
+ Für öffentlich reservierte Domainnamen (z. B. localhost und 10.in-addr.arpa) wird in den bewährten Methoden für DNS empfohlen, Abfragen lokal zu beantworten, anstatt sie an öffentliche Nameserver weiterzuleiten. Weitere Informationen finden Sie unter [RFC 6303, Locally Served DNS Zones](https://tools.ietf.org/html/rfc6303).

**Anmerkung**  
Wenn Sie eine bedingte Weiterleitungsregel für "." (Punkt) oder "com" erstellen, empfehlen wir, auch eine Systemregel für amazonaws.com zu erstellen. (Systemregeln veranlassen VPC Resolver, DNS-Abfragen für bestimmte Domänen und Subdomänen lokal aufzulösen.) Die Erstellung dieser Systemregel verbessert die Leistung, reduziert die Anzahl der Anfragen, die an Ihr Netzwerk weitergeleitet werden, und senkt die VPC-Resolver-Gebühren.

Wenn Sie eine automatisch definierte Regel überschreiben möchten, können Sie eine bedingte Weiterleitungsregel für denselben Domainnamen erstellen. 

Einige der automatisch definierten Regeln können auch deaktiviert werden. Weitere Informationen finden Sie unter [Weiterleitungsregeln für Reverse-DNS-Abfragen in VPC Resolver](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns). 

VPC Resolver erstellt die folgenden automatisch definierten Regeln.

**Regeln für privat gehostete Zonen**  
Für jede private gehostete Zone, die Sie einer VPC zuordnen, erstellt VPC Resolver eine Regel und ordnet sie der VPC zu. Wenn Sie die private gehostete Zone mehreren zuordnen VPCs, ordnet VPC Resolver die Regel derselben zu. VPCs  
Die Regel verfügt über einen Typ von **Forward (Weiterleiten)**.

**Regeln für verschiedene AWS interne Domainnamen**  
Alle Regeln für die internen Domainnamen in diesem Abschnitt verfügen über einen Typ von **Forward**. VPC Resolver leitet DNS-Abfragen für diese Domainnamen an die autoritativen Nameserver für die VPC weiter.  
VPC Resolver erstellt die meisten dieser Regeln, wenn Sie das `enableDnsHostnames` Flag für eine VPC auf setzen. `true` VPC Resolver erstellt die Regeln auch dann, wenn Sie keine Resolver-Endpoints verwenden.
VPC Resolver erstellt die folgenden automatisch definierten Regeln und ordnet sie einer VPC zu, wenn Sie das `enableDnsHostnames` Flag für die VPC auf setzen: `true`   
+ *Region-name*.compute.internal, zum Beispiel eu-west-1.compute.internal. Die Region us-east-1 verwendet diesen Domainnamen nicht.
+ *Region-name*.rechnen. *amazon-domain-name*, zum Beispiel eu-west-1.compute.amazonaws.com oder cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. Die Region us-east-1 verwendet diesen Domainnamen nicht.
+ ec2.internal. Nur die Region us-east-1 verwendet diesen Domainnamen.
+ compute-1.internal. Nur die Region us-east-1 verwendet diesen Domainnamen.
+ compute-1.amazonaws.com. Nur die Region us-east-1 verwendet diesen Domänennamen.
Die folgenden automatisch definierten Regeln gelten für die umgekehrte DNS-Suche nach den Regeln, die VPC Resolver erstellt, wenn Sie das `enableDnsHostnames` Flag für die VPC auf setzen. `true`  
+ 10.in-addr.arpa
+ 16.172.in-addr.arpa bis 31.172.in-addr.arpa 
+ 168.192.in-addr.arpa
+ 254.169.254.169.in-addr.arpa
+ Regeln für jede der CIDR-Bereiche für die VPC. Wenn eine VPC beispielsweise einen CIDR-Bereich von 10.0.0.0/23 hat, erstellt VPC Resolver die folgenden Regeln: 
  + 0.0.10.in-addr.arpa
  + 1.0.10.in-addr.arpa
Die folgenden automatisch definierten Regeln für localhost-bezogene Domains werden ebenfalls erstellt und mit einer VPC verknüpft, wenn für das Flag `enableDnsHostnames` `true` festgelegt wird:  
+ localhost
+ localdomain
+ 127.in-addr.arpa
+ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
+ 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
VPC Resolver erstellt die folgenden automatisch definierten Regeln und ordnet sie Ihrer VPC zu, wenn Sie die VPC über Transit-Gateway oder VPC-Peering mit einer anderen VPC verbinden und die DNS-Unterstützung aktiviert ist:  
+ Die Reverse-DNS-Suche für die IP-Adressbereiche der Peer-VPC, z. B. 0.192.in-addr.arpa

  Wenn Sie einer VPC einen IPv4 CIDR-Block hinzufügen, fügt VPC Resolver eine automatisch definierte Regel für den neuen IP-Adressbereich hinzu.
+ Wenn sich die andere VPC in einer anderen Region befindet, die folgenden Domainnamen:
  + *Region-name*.compute.internal. Die Region us-east-1 verwendet diesen Domainnamen nicht.
  + *Region-name*. berechnen. *amazon-domain-name*. Die Region us-east-1 verwendet diesen Domainnamen nicht.
  + ec2.internal. Nur die Region us-east-1 verwendet diesen Domainnamen.
  + compute-1.amazonaws.com. Nur die Region us-east-1 verwendet diesen Domainnamen.

**Eine Regel für alle anderen Domains**  
VPC Resolver erstellt ein „.“ (Punkt-) Regel, die für alle Domainnamen gilt, die nicht weiter oben in diesem Thema angegeben wurden. Die Regel „.“ hat den Typ **Rekursiv**, was bedeutet, dass die Regel bewirkt, dass VPC Resolver als rekursiver Resolver fungiert.

# Erwägungen beim Erstellen von ein- und ausgehenden Endpunkten
<a name="resolver-choose-vpc"></a>

Bevor Sie Resolver-Endpoints für eingehenden und ausgehenden Datenverkehr in einer AWS Region erstellen, sollten Sie die folgenden Punkte berücksichtigen.

**Topics**
+ [

## Anzahl der eingehenden und ausgehenden Endpunkte in den einzelnen -Regionen
](#resolver-considerations-number-of-endpoints)
+ [

## Verwenden Sie dieselbe VPC für eingehende und ausgehende Endpunkte
](#resolver-considerations-same-vpc-inbound-outbound)
+ [

## Eingehende Endpunkte und privat gehostete Zonen
](#resolver-considerations-inbound-endpoint-private-zone)
+ [

## VPC-Peering
](#resolver-considerations-vpc-peering)
+ [

## IP-Adressen in freigegebenen Subnetzen
](#resolver-considerations-shared-subnets)
+ [

## Verbindung zwischen Ihrem Netzwerk und dem VPCs , in dem Sie Endpoints erstellen
](#resolver-considerations-connection-between-network-and-vpcs)
+ [

## Wenn Sie Regeln freigeben, geben Sie auch ausgehende Endpunkte frei
](#resolver-considerations-share-rules-share-outbound-endpoints)
+ [

## Auswählen von Protokollen für die Endpunkte
](#resolver-endpoint-protocol-considerations)
+ [

## Verwenden von VPC Resolver in VPCs , die für dedizierte Instance-Tenancy konfiguriert sind
](#resolver-considerations-dedicated-instance-tenancy)

## Anzahl der eingehenden und ausgehenden Endpunkte in den einzelnen -Regionen
<a name="resolver-considerations-number-of-endpoints"></a>

Wenn Sie DNS für eine AWS Region mit DNS für Ihr Netzwerk integrieren möchten, benötigen Sie VPCs in der Regel einen Resolver-Endpunkt für eingehende Anfragen (für DNS-Abfragen, die Sie an Ihren weiterleiten VPCs) und einen ausgehenden Endpunkt (für Anfragen, die Sie von Ihrem zu Ihrem Netzwerk weiterleiten). VPCs Sie können mehrere eingehende und mehrere ausgehende Endpunkte erstellen, aber ein eingehender oder ausgehender Endpunkt reicht aus, um die DNS-Abfragen für die jeweilige Richtung zu verarbeiten. Beachten Sie Folgendes:
+ Für jeden Resolver-Endpunkt legen Sie zwei oder mehr IP-Adressen in verschiedenen Availability Zones fest. Jede IP-Adresse in einem Endpunkt kann eine große Anzahl von DNS-Abfragen pro Sekunde verarbeiten. (Informationen zu dem aktuellen Höchstwerten für die Anzahl der Abfragen pro Sekunde und IP-Adresse in einem Endpunkt finden Sie unter [Kontingente auf Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver).) Wenn Sie VPC Resolver benötigen, um mehr Abfragen zu verarbeiten, können Sie Ihrem vorhandenen Endpunkt mehr IP-Adressen hinzufügen, anstatt einen weiteren Endpunkt hinzuzufügen.
+ Die Preise für VPC Resolver basieren auf der Anzahl der IP-Adressen in Ihren Endpunkten und auf der Anzahl der DNS-Abfragen, die der Endpunkt verarbeitet. Jeder Endpunkt enthält mindestens zwei IP-Adressen. Weitere Informationen zu den Preisen für VPC Resolver finden Sie unter [Amazon Route 53-Preise](https://aws.amazon.com/route53/pricing/).
+ Jede Regel gibt den ausgehenden Endpunkt an, von dem DNS-Abfragen weitergeleitet werden. Wenn Sie mehrere ausgehende Endpunkte in einer AWS -Region erstellen und einige oder alle Resolver-Regeln mit einzelnen VPCs in Bezug setzen möchten, müssen Sie mehrere Kopien dieser Regeln erstellen.

## Verwenden Sie dieselbe VPC für eingehende und ausgehende Endpunkte
<a name="resolver-considerations-same-vpc-inbound-outbound"></a>

Sie können eingehende und ausgehende Endpoints in derselben VPC oder in verschiedenen VPCs in derselben Region erstellen.

Weitere Informationen finden Sie unter [Bewährte Methoden für Amazon Route 53](best-practices.md). 

## Eingehende Endpunkte und privat gehostete Zonen
<a name="resolver-considerations-inbound-endpoint-private-zone"></a>

Wenn Sie möchten, dass VPC Resolver eingehende DNS-Abfragen mithilfe von Einträgen in einer privaten gehosteten Zone auflöst, ordnen Sie die private gehostete Zone der VPC zu, in der Sie den eingehenden Endpunkt erstellt haben. Informationen zum Zuordnen von privat gehosteten Zonen zu finden Sie unter. VPCs [Arbeiten mit privat gehosteten Zonen](hosted-zones-private.md)

## VPC-Peering
<a name="resolver-considerations-vpc-peering"></a>

Sie können jede VPC in einer AWS Region für einen eingehenden oder ausgehenden Endpunkt verwenden, unabhängig davon, ob die von Ihnen gewählte VPC mit anderen gepeert wird. VPCs Weitere Informationen finden Sie unter [Amazon Virtual Private Cloud VPC Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).

## IP-Adressen in freigegebenen Subnetzen
<a name="resolver-considerations-shared-subnets"></a>

Wenn Sie einen eingehenden oder ausgehenden Endpunkt erstellen, können Sie nur dann eine IP-Adresse in einem freigegebenen Subnetz angeben, wenn das aktuelle Konto die VPC erstellt hat. Wenn ein anderes Konto eine VPC erstellt und ein Subnetz in der VPC für Ihr Konto freigibt, können Sie keine IP-Adresse in diesem Subnetz angeben. Weitere Informationen zu gemeinsam genutzten Subnetzen finden Sie unter [Arbeiten mit geteilten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) Subnetzen VPCs im *Amazon VPC-Benutzerhandbuch*.

## Verbindung zwischen Ihrem Netzwerk und dem VPCs , in dem Sie Endpoints erstellen
<a name="resolver-considerations-connection-between-network-and-vpcs"></a>

Sie benötigen eine der folgenden Verbindungen zwischen Ihrem Netzwerk und dem Netzwerk VPCs , in dem Sie Endgeräte erstellen:
+ **Eingehende Endpunkte** - Sie müssen entweder eine [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)-Verbindung oder eine [VPN-Verbindung](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) zwischen Ihrem Netzwerk und jeder VPC einrichten, für die Sie einen eingehenden Endpunkt erstellen.
+ **Ausgehende Endpunkte** - Sie müssen eine [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)-Verbindung, eine [VPN-Verbindung](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) oder ein [Network Address Translation NAT-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) zwischen Ihrem Netzwerk und jeder VPC einrichten, für die Sie einen ausgehenden Endpunkt erstellen.

## Wenn Sie Regeln freigeben, geben Sie auch ausgehende Endpunkte frei
<a name="resolver-considerations-share-rules-share-outbound-endpoints"></a>

Wenn Sie eine Regel erstellen, geben Sie den ausgehenden Endpunkt an, den VPC Resolver verwenden soll, um DNS-Abfragen an Ihr Netzwerk weiterzuleiten. Wenn Sie die Regel mit einem anderen AWS Konto teilen, teilen Sie indirekt auch den ausgehenden Endpunkt, den Sie in der Regel angeben. Wenn Sie für die Erstellung VPCs in einer AWS Region mehr als ein AWS Konto verwendet haben, können Sie wie folgt vorgehen:
+ Einen ausgehenden Endpunkt in der Region erstellen.
+ Erstellen Sie Regeln mit einem AWS Konto.
+ Teilen Sie die Regeln mit allen AWS Konten, die VPCs in der Region erstellt wurden.

Auf diese Weise können Sie einen ausgehenden Endpunkt in einer Region verwenden, um DNS-Anfragen von mehreren an Ihr Netzwerk weiterzuleiten, VPCs auch wenn diese mit unterschiedlichen AWS Konten erstellt VPCs wurden.

## Auswählen von Protokollen für die Endpunkte
<a name="resolver-endpoint-protocol-considerations"></a>

Endpunktprotokolle bestimmen, wie Daten an einen eingehenden Endpunkt und von einem ausgehenden Endpunkt übertragen werden. Die Verschlüsselung von DNS-Abfragen für den VPC-Datenverkehr ist nicht erforderlich, da jeder Paketfluss im Netzwerk einzeln anhand einer Regel autorisiert wird, um die korrekte Quelle und das korrekte Ziel zu überprüfen, bevor er übertragen und zugestellt wird. Es ist höchst unwahrscheinlich, dass Informationen willkürlich zwischen Entitäten ausgetauscht werden, ohne dass dies von der sendenden und der empfangenden Entität ausdrücklich genehmigt wurde. Wenn ein Paket an ein Ziel geleitet wird, für das es keine passende Regel gibt, wird das Paket verworfen. Weitere Informationen finden Sie unter [VPC-Features](https://docs.aws.amazon.com/whitepapers/latest/logical-separation/vpc-and-accompanying-features.html).

Die verfügbaren Protokolle sind:
+ **Do53:** DNS über Port 53. Die Daten werden mithilfe des VPC Resolvers ohne zusätzliche Verschlüsselung weitergeleitet. Die Daten können zwar nicht von externen Parteien gelesen werden, können aber innerhalb der Netzwerke eingesehen werden. AWS Verwendet entweder UDP oder TCP, um die Pakete zu senden. Do53 wird hauptsächlich für den Verkehr innerhalb und zwischen Amazon VPCs verwendet. Derzeit ist dies das einzige Protokoll, das für die Delegierung eingehender Endpunkte verfügbar ist.
+ **DoH:** Die Daten werden über eine verschlüsselte HTTPS-Sitzung übertragen. DoH fügt eine zusätzliche Sicherheitsstufe hinzu, bei der die Daten nicht von unbefugten Benutzern entschlüsselt werden können und von niemandem außer dem vorgesehenen Empfänger gelesen werden können. Nicht verfügbar für Delegierung eingehender Endpunkte.
+ **DoH-FIPS:** Die Daten werden über eine verschlüsselte HTTPS-Sitzung übertragen, die mit dem Verschlüsselungsstandard FIPS 140-2 konform ist. Wird nur für eingehende Endpunkte unterstützt. Weitere Informationen finden Sie unter [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2). Nicht verfügbar für Delegierung eingehender Endpunkte.

Für einen eingehenden Endpunkt vom Typ **Forward** können Sie die Protokolle wie folgt anwenden:
+  Do53 und DoH in Kombination.
+ Do53 und DoH-FIPS in Kombination.
+ Nur Do53.
+ Nur DoH.
+ Nur DoH-FIPS.
+ Keins, was als Do53 behandelt wird.

Für einen ausgehenden Endpunkt können Sie die Protokolle wie folgt anwenden:
+  Do53 und DoH in Kombination.
+ Nur Do53.
+ Nur DoH.
+ Keins, was als Do53 behandelt wird.

Weitere Informationen finden Sie auch unter [Werte, die Sie beim Erstellen oder Bearbeiten von eingehenden Endpunkten angeben](resolver-forwarding-inbound-queries-values.md) und [Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben](resolver-forwarding-outbound-queries-endpoint-values.md).

## Verwenden von VPC Resolver in VPCs , die für dedizierte Instance-Tenancy konfiguriert sind
<a name="resolver-considerations-dedicated-instance-tenancy"></a>

Wenn Sie einen Resolver-Endpunkt erstellen, können Sie keine VPC angeben, für die das [Instance-Tenancy-Attribut](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) auf `dedicated` festgelegt ist. VPC Resolver läuft nicht auf Single-Tenant-Hardware.

Sie können VPC Resolver weiterhin verwenden, um DNS-Abfragen aufzulösen, die ihren Ursprung in einer VPC haben. Erstellen Sie mindestens eine VPC, deren Instance-Tenancy-Attribut auf `default` festgelegt ist, und geben Sie diese VPC beim Erstellen von eingehenden und ausgehenden Endpunkten an.

Wenn Sie eine Weiterleitungsregel erstellen, können Sie diese mit einer beliebigen VPC verknüpfen, unabhängig von der Einstellung für das Instance-Tenancy-Attribut.

# Verfügbarkeit und Skalierung von Route 53 VPC Resolver
<a name="resolver-availability-scaling"></a>

Route 53 VPC Resolver, der auf der Amazon VPC CIDR \$1 2-Adresse und fd00:ec2: :253 ausgeführt wird, ist standardmäßig in allen verfügbar und reagiert rekursiv auf DNS-Abfragen für öffentliche Aufzeichnungen VPCs, Amazon VPC-spezifische DNS-Namen und Route 53-private gehostete Zonen. Der Route 53 VPC Resolver besteht aus zwei hochverfügbaren, für Benutzer transparenten Komponenten: dem Nitro Resolver-Service und der Zonal Resolver-Flotte. Der Nitro Resolver Service ist ein Dienst, der auf Nitro-Instanzen auf der Nitro-Karte und in Instanzen der älteren Generation in Dom0 ausgeführt wird und Pakete, die an den Route 53 VPC Resolver adressiert sind, lokal auf dem Hostserver verarbeitet. [Weitere Informationen finden Sie unter Das Sicherheitsdesign des Nitro-Systems. AWS](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html) 

Der Nitro Resolver-Dienst verfügt über einen lokalen Cache, der dazu beitragen kann, die Latenz zu reduzieren, indem er auf wiederholte Anfragen reagiert, die über einen kurzen Zeitraum von einer Instanz gestellt werden. Wenn der Nitro Resolver-Dienst eine Anfrage empfängt, für die er keine zwischengespeicherte Antwort hat, leitet er die Anfrage an die Zonal Resolver-Flotte weiter, eine hochverfügbare Flotte von Resolvern, die sich normalerweise in derselben Availability Zone wie die Instance befindet. Wenn bei der Verarbeitung von Abfragen durch Upstream-Nameserver oder andere Komponenten im Pfad Fehler auftreten, ist der Nitro Resolver-Dienst häufig in der Lage, diese Fehler transparent zu behandeln, ohne dass sich dies auf die Workloads auswirkt, die auf der Instanz ausgeführt werden. Wenn der Resolver außerdem auf Abfrage-Timeouts, abgelehnte Verbindungen oder SERVFAILS von den Nameservern der Domain stößt, kann er mit einer zwischengespeicherten Antwort antworten, die über dem (TTL) -Wert liegt, um die Time-To-Live Verfügbarkeit zu verbessern. Abfragen zwischen dem Nitro Resolver-Service und der Zonal Resolver-Flotte sind auf ein streng kontrolliertes Netzwerk außerhalb der Kunden-VPC beschränkt, das für Kunden nicht zugänglich ist und strengen Sicherheitskontrollen unterliegt. Durch die Bearbeitung von Anfragen zwischen dem Nitro Resolver-Service und der Zonal Resolver-Flotte außerhalb der VPC werden Kunden daran gehindert, DNS-Abfragen innerhalb ihrer VPC abzufangen. Anfragen, die an Nameserver außerhalb von gerichtet sind, durchqueren das öffentliche Internet und stammen von AWS öffentlichen IP-Adressen, die zur Zonal Resolver-Flotte gehören. Wir unterstützen derzeit nicht das Attribut EDNS0 -Client Subnet, was bedeutet, dass alle Anfragen, die an öffentliche DNS-Nameserver gerichtet sind, keine Informationen über die ursprüngliche Kunden-IP-Adresse enthalten. 

Der Nitro Resolver-Dienst ist Teil der Link-Local-Dienste auf der Instanz. Zu den Link-Local-Services gehören Route 53 VPC Resolver, Amazon Time Service (NTP), Instance Metadata Service (IMDS) und Windows Licensing Service (für Windows-Instances). Diese Dienste skalieren mit jeder elastic network interface, die Sie in Ihrer VPC erstellen, und jede Netzwerkschnittstelle erlaubt 1024 Pakete pro Sekunde (PPS), die für Link-Local-Services bestimmt sind. Pakete, die dieses Limit überschreiten, werden zurückgewiesen. Anhand des von ethtool zurückgegebenen `linklocal_allowance_exceeded` Werts können Sie feststellen, ob Sie dieses Limit überschritten haben. Weitere Informationen zum Ethtool finden Sie unter [Überwachen der Netzwerkleistung für Ihre Amazon EC2 EC2-Instance im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-network-performance-ena.html) *EC2-Benutzerhandbuch*. Diese Metrik kann vom Agenten auch an CloudWatch Metriken gemeldet werden. CloudWatch Da der Route 53 VPC Resolver pro Netzwerkschnittstelle implementiert wird, skaliert er und wird zuverlässiger, je mehr Instances in mehr Availability Zones hinzugefügt werden. Es gibt kein aggregiertes Limit pro VPC für die Anzahl der Abfragen, sodass der Route 53 VPC Resolver innerhalb der Grenzen einer VPC skalieren kann, die inhärent auf der Netzwerkadressnutzung (NAU) basiert. Weitere Informationen finden Sie unter [Verwendung der Netzwerkadresse für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/network-address-usage.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.

Das folgende Diagramm zeigt einen Überblick darüber, wie Route 53 VPC Resolver DNS-Abfragen innerhalb von Availability Zones auflöst.

![\[Konzeptgrafik, die zeigt, wie Route 53 VPC Resolver DNS-Abfragen innerhalb von Availability Zones auflöst.\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/images/Resolver-scale-availability2.png)


# Erste Schritte mit Route 53 VPC Resolver
<a name="resolver-getting-started"></a>

Die Route 53 VPC Resolver-Konsole enthält einen Assistenten, der Sie durch die folgenden Schritte für die ersten Schritte mit VPC Resolver führt:
+ Endpunkte erstellen: eingehend, ausgehend oder beides.
+ Erstellen Sie für ausgehende Endpunkte eine oder mehrere Weiterleitungsregeln, die die Domainnamen angeben, für die Sie DNS-Abfragen an Ihr Netzwerk weiterleiten möchten.
+ Wenn Sie einen ausgehenden Endpunkt erstellt haben, wählen Sie die VPC aus, mit der Sie die Regeln verknüpfen möchten.<a name="resolver-getting-started-procedure"></a>

**So konfigurieren Sie Route 53 VPC Resolver mit dem Assistenten**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die VPC Resolver-Konsole unter. [https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/)

1. Wählen Sie auf der Seite **Willkommen bei Route 53 VPC Resolver** die Option Endpoints **konfigurieren** aus.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie einen Resolver-Endpunkt erstellen möchten.

1. Wählen Sie unter **Basic configuration (Grundlegende Konfiguration)**, in welche Richtung DNS-Abfragen weitergeleitet werden sollen:
   + **Eingehend und ausgehend**: Der Assistent führt Sie durch die Einstellungen, mit denen Sie sowohl DNS-Anfragen von Resolvern in Ihrem Netzwerk an den VPC-Resolver in einer VPC weiterleiten als auch bestimmte Abfragen (wie example.com oder example.net) von einer VPC an Resolver in Ihrem Netzwerk weiterleiten können. 
   + **Nur eingehend**: Der Assistent führt Sie durch die Einstellungen, mit denen Sie DNS-Abfragen von Resolvern in Ihrem Netzwerk an den VPC-Resolver in einer VPC weiterleiten können.
   + **Outbound only (Nur ausgehend)**: Der Assistent führt Sie durch die Einstellungen, mit denen Sie bestimmte Abfragen von einer VPC an Resolver in Ihrem Netzwerk weiterleiten können.

1. Wählen Sie **Weiter** aus.

1. Wenn Sie **Inbound and outbound (Eingehend und ausgehend)** oder **Inbound only (Nur eingehend)** ausgewählt haben, geben Sie die entsprechenden Werte für die Konfiguration eines eingehenden Endpunkts an. Fahren Sie danach mit Schritt 7 fort. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von eingehenden Endpunkten angeben](resolver-forwarding-inbound-queries-values.md).

   Wenn Sie **Outbound only (Nur ausgehend)** ausgewählt haben, fahren Sie mit Schritt 7 fort.

1. Geben Sie die entsprechenden Werte für die Konfiguration eines ausgehenden Endpunkts an. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben](resolver-forwarding-outbound-queries-endpoint-values.md).

1. Wenn Sie **Inbound and outbound (Eingehend und ausgehend)** oder **Outbound only (Nur ausgehend)** ausgewählt haben, geben Sie die entsprechenden Werte für die Erstellung einer Regel an. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben](resolver-forwarding-outbound-queries-rule-values.md).

1. Vergewissern Sie sich auf der Seite **Review and create (Überprüfen und erstellen)**, dass die Einstellungen, die Sie auf den vorherigen Seiten angegeben haben, korrekt sind. Wählen Sie ggf. **Edit (Bearbeiten)** für den entsprechenden Abschnitt aus und aktualisieren Sie die Einstellungen. Wenn Sie mit den Einstellungen zufrieden sind, klicken Sie auf **Submit (Absenden)**.
**Anmerkung**  
Die Erstellung eines ausgehenden Endpunkt nimmt ein oder zwei Minuten in Anspruch. Sie können erst einen anderen ausgehenden Endpunkt erstellen, wenn der erste erstellt wurde.

1. Wenn Sie weitere Regeln erstellen möchten, informieren Sie sich unter [Verwalten von Weiterleitungsregeln](resolver-rules-managing.md).

1. Wenn Sie einen eingehenden Endpunkt erstellt haben, konfigurieren Sie DNS-Resolver in Ihrem Netzwerk so, dass die entsprechenden DNS-Abfragen an die IP-Adressen für Ihren eingehenden Endpunkt weitergeleitet werden. Weitere Informationen finden Sie in der Dokumentation zu Ihrer DNS-Anwendung.

# Weiterleiten eingehender DNS-Anfragen an Ihren VPCs
<a name="resolver-forwarding-inbound-queries"></a>

Um DNS-Anfragen von Ihrem Netzwerk an VPC Resolver weiterzuleiten, erstellen Sie einen eingehenden Endpunkt. Ein eingehender Endpunkt gibt die IP-Adressen (aus dem Bereich der für Ihre VPC verfügbaren IP-Adressen) an, an die DNS-Resolver im Netzwerk DNS-Abfragen weiterleiten sollen. Diese IP-Adressen sind keine öffentlichen IP-Adressen. Daher müssen Sie für jeden eingehenden Endpunkt Ihre VPC entweder über eine Direct Connect Verbindung oder eine VPN-Verbindung mit Ihrem Netzwerk verbinden.

Bei der Implementierung eingehender Delegierung delegieren Sie die DNS-Autorität für eine Subdomain von Ihrer lokalen DNS-Infrastruktur an VPC Resolver. Um diese Delegierung ordnungsgemäß zu konfigurieren, müssen Sie die IP-Adressen des eingehenden Endpunkts als Glue-Records (NS-Einträge) auf Ihrem lokalen Nameserver für die Subdomain verwenden, die delegiert wird. Wenn Sie beispielsweise die Subdomain „aws.example.com“ über einen eingehenden Delegierungsendpunkt mit den IP-Adressen 10.0.1.100 und 10.0.1.101 an VPC Resolver delegieren, würden Sie auf Ihrem lokalen DNS-Server NS-Einträge erstellen, die „aws.example.com“ auf diese IP-Adressen verweisen. Dadurch wird sichergestellt, dass DNS-Abfragen für die delegierte Subdomain ordnungsgemäß über den Eingangsendpunkt an den VPC-Resolver weitergeleitet werden, sodass der VPC-Resolver mit Datensätzen aus der zugehörigen privaten Hosting-Zone antworten kann.

# Konfigurieren von Weiterleitungen eingehender Abfragen
<a name="resolver-forwarding-inbound-queries-configuring"></a>

Gehen Sie wie folgt vor, um einen eingehenden Endpunkt zu erstellen.<a name="resolver-forwarding-inbound-queries-configuring-procedure"></a>

**So erstellen Sie einen eingehenden Endpunkt**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Klicken Sie im Navigationsbereich auf **Inbound endpoints (Eingehende Endpunkte)**.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie einen eingehenden Endpunkt erstellen möchten.

1. Klicken Sie auf **Create inbound endpoint (Eingehenden Endpunkt erstellen)**.

1. Geben Sie die entsprechenden Werte ein. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von eingehenden Endpunkten angeben](resolver-forwarding-inbound-queries-values.md).

1. Wählen Sie **Erstellen** aus.

1. Konfigurieren Sie DNS-Resolver in Ihrem Netzwerk so, dass die entsprechenden DNS-Abfragen an die IP-Adressen für Ihren eingehenden Endpunkt weitergeleitet werden. Weitere Informationen finden Sie in der Dokumentation zu Ihrer DNS-Anwendung.

# Werte, die Sie beim Erstellen oder Bearbeiten von eingehenden Endpunkten angeben
<a name="resolver-forwarding-inbound-queries-values"></a>

Wenn Sie einen eingehenden Endpunkt erstellen oder bearbeiten, geben Sie die folgenden Werte an:

**ID des Außenpostens**  
Wenn Sie den Endpunkt für einen VPC-Resolver auf einer AWS Outposts VPC erstellen, ist dies die ID. AWS Outposts 

**Endpoint name (Endpunktname)**  
Ein Anzeigename, mit dem Sie ganz einfach einen eingehenden Endpunkt auf dem Dashboard finden können.

**Endpunktkategorie**  
**Wählen Sie entweder **Standard oder Delegierung**.** Wenn die Kategorie **Standard** ist, leitet der Resolver in Ihrem Netzwerk die DNS-Anfragen an die IP-Adresse des eingehenden Endpunkts weiter. Wenn die Kategorie **Delegierung** lautet, wird die Autorität für eine Domain an den VPC Resolver delegiert.

**VPC in der Region *region-name***  
Alle eingehenden DNS-Anfragen aus Ihrem Netzwerk passieren diese VPC auf dem Weg zum VPC Resolver.

**Sicherheitsgruppe für diesen Endpunkt**  
Die ID einer oder mehrerer Sicherheitsgruppen, die Sie verwenden möchten, um den Zugriff auf diese VPC zu steuern. Die von Ihnen angegebene Sicherheitsgruppe muss eine oder mehrere eingehende Regeln enthalten. Eingehende Regeln müssen TCP- und UDP-Zugriff auf Port 53 zulassen. Wenn Sie das DoH-Protokoll verwenden, müssen Sie auch Port 443 in der Sicherheitsgruppe zulassen. Sie können diesen Wert nicht ändern, nachdem Sie den Endpunkt erstellt haben.  
Einige Sicherheitsgruppenregeln sorgen dafür, dass Ihre Verbindung nachverfolgt wird, und die maximale Gesamtzahl der Abfragen pro Sekunde pro IP-Adresse für einen eingehenden Endpunkt kann bis zu 1500 betragen. Informationen zur Vermeidung der durch eine Sicherheitsgruppe verursachten Verbindungsverfolgung finden Sie unter Verbindungen [ohne Nachverfolgung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).  
Verwenden Sie den AWS CLI Befehl`create-resolver-endpoint`, um mehrere Sicherheitsgruppen hinzuzufügen. Weitere Informationen finden Sie unter [create-resolver-endpoint](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html).
Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon VPC-Benutzerhandbuch*.

**Endpunkttyp**  
Der Endpunkttyp kann entweder IPv4 IPv6, oder Dual-Stack-IP-Adressen sein. Bei einem Dual-Stack-Endpunkt hat der Endpunkt IPv4 sowohl eine Adresse als auch eine IPv6 Adresse, an die Ihr DNS-Resolver in Ihrem Netzwerk DNS-Anfragen weiterleiten kann.   
Aus Sicherheitsgründen verweigern wir allen Dual-Stack- und IP-Adressen den direkten IPv6 Datenzugriff aus dem öffentlichen Internet. IPv6 

**IP-Adressen**  
Die IP-Adressen, an die DNS-Resolver in Ihrem Netzwerk DNS-Abfragen weiterleiten sollen. Aus Redundanzgründen müssen Sie mindestens zwei IP-Adressen angeben. Wenn Sie einen eingehenden Delegationsendpunkt erstellt haben, verwenden Sie diese IP-Adressen als Glue-NS-Einträge für die Subdomain, für die Sie die Autorität an VPC Resolver delegieren möchten. Beachten Sie Folgendes:    
**Mehrere Availability Zones**  
Wir empfehlen, IP-Adressen in mindestens zwei Availability Zones festzulegen. Wahlweise können Sie zusätzliche IP-Adressen in diesen oder anderen Availability Zones angeben.  
**IP-Adressen und Amazon VPC Elastic Network-Schnittstellen**  
Für jede Kombination aus Availability Zone, Subnetz und IP-Adresse, die Sie angeben, erstellt VPC Resolver eine Amazon VPC elastic network interface. Informationen zu dem aktuellen Höchstwerten für die Anzahl der DNS-Abfragen pro Sekunde und IP-Adresse in einem Endpunkt finden Sie unter [Kontingente auf Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver). Weitere Informationen zu den Preisen für die einzelnen Elastic Network-Schnittstellen finden Sie unter "Amazon Route 53" auf der Seite [Amazon Route 53 Preise](https://aws.amazon.com/route53/pricing/). 
Der Resolver-Endpunkt hat eine private IP-Adresse. Diese IP-Adressen ändern sich im Laufe der Lebensdauer eines Endpunkts nicht.
Geben Sie für jede IP-Adresse die folgenden Werte an. Jede IP-Adresse muss in einer Availability Zone in der VPC vorhanden sein, die Sie in **VPC in der Region *region-name*** angegeben haben.    
**Availability Zone**  
Die Availability Zone, die DNS-Abfragen auf dem Weg zu Ihrer VPC durchlaufen sollen. Die angegebene Availability Zone muss mit einem Subnetz konfiguriert sein.  
**Subnetz**  
Das Subnetz, das die IP-Adressen enthält, die Sie Ihrem Resolver-Endpunkt zuweisen möchten. ENIs Dies sind die Adressen, an die Sie DNS-Anfragen senden werden. Das Subnetz muss eine verfügbare IP-Adresse enthalten.  
Die Subnetz-IP-Adresse muss dem **Endpunkttyp** entsprechen.  
**IP-Adresse**  
Die IP-Adresse, die Sie den eingehenden Endpunkten zuweisen möchten.  
Wählen Sie aus, ob VPC Resolver aus den verfügbaren IP-Adressen im angegebenen Subnetz eine IP-Adresse für Sie auswählen soll, oder ob Sie die IP-Adresse selbst angeben möchten.  
Wenn Sie die IP-Adresse selbst angeben möchten, geben Sie entweder eine IPv6 Oder-Adresse IPv4 oder beide ein.

**Protokolle**  
Das Endpunktprotokoll bestimmt, wie die Daten an den eingehenden Endpunkt übertragen werden. Wählen Sie ein oder mehrere Protokolle, je nachdem, welche Sicherheitsstufe Sie benötigen.  
+ **Do53:** (Standard) Die Daten werden mit dem Route 53 VPC Resolver ohne zusätzliche Verschlüsselung weitergeleitet. Die Daten können zwar nicht von externen Parteien gelesen werden, können aber innerhalb der Netzwerke eingesehen werden. AWS Dies ist das einzige Protokoll, das derzeit für die Kategorie eingehende **Delegationsendpunkte** verfügbar ist.
+ **DoH:** Die Daten werden über eine verschlüsselte HTTPS-Sitzung übertragen. DoH fügt eine zusätzliche Sicherheitsstufe hinzu, bei der die Daten nicht von unbefugten Benutzern entschlüsselt werden können und von niemandem außer dem vorgesehenen Empfänger gelesen werden können.
+ **DoH-FIPS:** Die Daten werden über eine verschlüsselte HTTPS-Sitzung übertragen, die mit dem Verschlüsselungsstandard FIPS 140-2 konform ist. Wird nur für eingehende Endpunkte unterstützt. Weitere Informationen finden Sie unter [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2).
**Anmerkung**  
Bei eingehenden DOH/DOH-FIPS-Endpunkten ist ein Problem bekannt, bei dem eine falsche Quell-IP in der VPC Resolver-Abfrageprotokollierung veröffentlicht wird.
Für einen eingehenden Endpunkt können Sie die Protokolle wie folgt anwenden:  
+  Do53 und DoH in Kombination.
+ Do53 und DoH-FIPS in Kombination.
+ Nur Do53.
+ Nur DoH.
+ Nur DoH-FIPS.
+ Keins, was als Do53 behandelt wird.
 Sie können das Protokoll eines eingehenden Endpunkts nicht direkt von nur Do53 auf nur DoH oder DoH-FIPS ändern. Damit soll eine plötzliche Unterbrechung des eingehenden Datenverkehrs verhindert werden, der auf Do53 angewiesen ist. Um das Protokoll von Do53 auf DoH oder DoH-FIPS zu ändern, müssen Sie zunächst sowohl Do53 als auch DoH oder Do53 und DoH-FIPS aktivieren, um sicherzustellen, dass der gesamte eingehende Datenverkehr auf das DoH-Protokoll oder DoH-FIPS umgestellt wurde, und dann Do53 entfernen.

**Tags (Markierungen)**  
Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. **Cost center (Kostenstelle)** als **Key (Schlüssel)** und **456** als **Value (Wert)** angeben.

# Verwalten von eingehenden Endpunkten
<a name="resolver-forwarding-inbound-queries-managing"></a>

Um eingehende Endpunkte zu verwalten, führen Sie die entsprechenden Schritte aus.

**Topics**
+ [

## Anzeigen und Bearbeiten von eingehenden Endpunkten
](#resolver-forwarding-inbound-queries-managing-viewing)
+ [

## Anzeigen des Status für eingehende Endpunkte
](#resolver-forwarding-inbound-queries-managing-viewing-status)
+ [

## Löschen von eingehenden Endpunkten
](#resolver-forwarding-inbound-queries-managing-deleting)

## Anzeigen und Bearbeiten von eingehenden Endpunkten
<a name="resolver-forwarding-inbound-queries-managing-viewing"></a>

Führen Sie zum Anzeigen und Bearbeiten von Einstellungen für einen eingehenden Endpunkt die folgenden Schritte aus.<a name="resolver-forwarding-inbound-queries-managing-viewing-procedure"></a>

**Anzeigen und Bearbeiten von Einstellungen für einen eingehenden Endpunkt**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Klicken Sie im Navigationsbereich auf **Inbound endpoints (Eingehende Endpunkte)**.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie den eingehenden Endpunkt erstellt haben.

1. Wählen Sie die Option für den Endpunkt, für den Sie Einstellungen anzeigen oder den Sie bearbeiten möchten.

1. Wählen Sie **View details (Details anzeigen)** oder **Edit (Bearbeiten)**.

   Informationen zu den Werten für eingehende Endpunkte finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von eingehenden Endpunkten angeben](resolver-forwarding-inbound-queries-values.md).

1. Wenn Sie **Edit (Bearbeiten)** gewählt haben, geben Sie die entsprechenden Werte ein und klicken Sie anschließend auf **Save (Speichern)**.

## Anzeigen des Status für eingehende Endpunkte
<a name="resolver-forwarding-inbound-queries-managing-viewing-status"></a>

Gehen Sie folgendermaßen vor, um den Status eines eingehenden Endpunkts anzuzeigen.<a name="resolver-forwarding-inbound-queries-managing-viewing-status-procedure"></a>

**So zeigen Sie den Status eines eingehenden Endpunkts an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Klicken Sie im Navigationsbereich auf **Inbound endpoints (Eingehende Endpunkte)**.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie den eingehenden Endpunkt erstellt haben. Die Spalte **Status** enthält einen der folgenden Werte:  
**Erstellen**  
VPC Resolver erstellt und konfiguriert eine oder mehrere Amazon VPC-Netzwerkschnittstellen für diesen Endpunkt.  
**Betriebsbereit**  
Die Amazon VPC-Netzwerkschnittstellen für diesen Endpunkt sind korrekt konfiguriert und können eingehende oder ausgehende DNS-Abfragen zwischen Ihrem Netzwerk und VPC Resolver weiterleiten.  
**Aktualisieren**  
VPC Resolver verknüpft oder trennt eine oder mehrere Netzwerkschnittstellen mit diesem Endpunkt.  
**Automatische Wiederherstellung**  
VPC Resolver versucht, eine oder mehrere der Netzwerkschnittstellen wiederherzustellen, die diesem Endpunkt zugeordnet sind. Während der Wiederherstellung funktioniert der Endpunkt aufgrund des Limits für die Anzahl der DNS-Abfragen pro IP-Adresse (pro Netzwerkschnittstelle) mit begrenzter Kapazität. Das aktuelle Limit finden Sie unter [Kontingente auf Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver).  
**Aktion erforderlich**  
Dieser Endpunkt ist fehlerhaft und VPC Resolver kann ihn nicht automatisch wiederherstellen. Um das Problem zu beheben, empfehlen wir, dass Sie jede IP-Adresse überprüfen, die Sie diesem Endpunkt zugeordnet haben. Fügen Sie für jede IP-Adresse, die nicht verfügbar ist, eine andere IP-Adresse hinzu und löschen Sie dann die nicht verfügbare IP-Adresse. (Ein Endpunkt muss immer mindestens zwei IP-Adressen enthalten.) Ein Status von **Aktion erforderlich** kann verschiedene Ursachen haben. Hier sind zwei häufige Ursachen:  
   + Eine oder mehrere Netzwerkschnittstellen, die diesem Endpunkt zugeordnet sind, wurden mit Amazon VPC gelöscht.
   + Die Netzwerkschnittstelle konnte aus einem Grund nicht erstellt werden, der nicht der Kontrolle von VPC Resolver unterliegt.  
**Löschen**  
VPC Resolver löscht diesen Endpunkt und die zugehörigen Netzwerkschnittstellen.

## Löschen von eingehenden Endpunkten
<a name="resolver-forwarding-inbound-queries-managing-deleting"></a>

Gehen Sie wie folgt vor, um einen eingehenden Endpunkt zu löschen.

**Wichtig**  
Wenn Sie einen eingehenden Endpunkt löschen, werden DNS-Anfragen aus Ihrem Netzwerk nicht mehr an den VPC Resolver in der VPC weitergeleitet, die Sie im Endpunkt angegeben haben. <a name="resolver-forwarding-inbound-queries-managing-deleting-procedure"></a>

**So löschen Sie einen eingehenden Endpunkt**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. Klicken Sie im Navigationsbereich auf **Inbound endpoints (Eingehende Endpunkte)**.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie den eingehenden Endpunkt erstellt haben.

1. Wählen Sie die Option für den Endpunkt, den Sie löschen möchten.

1. Wählen Sie **Löschen** aus.

1. Um zu bestätigen, dass Sie den Endpunkt löschen möchten, geben Sie den Namen des Endpunkts ein und wählen Sie **Submit (Senden)**.

# Weiterleiten von ausgehenden DNS-Abfragen an Ihr Netzwerk
<a name="resolver-forwarding-outbound-queries"></a>

Um DNS-Abfragen, die von Amazon EC2 EC2-Instances in einer oder mehreren Instances stammen, VPCs an Ihr Netzwerk weiterzuleiten, erstellen Sie einen ausgehenden Endpunkt und eine oder mehrere Regeln:

**Ausgehender Endpunkt**  
Um DNS-Anfragen von Ihrem VPCs an Ihr Netzwerk weiterzuleiten, erstellen Sie einen ausgehenden Endpunkt. Ein ausgehender Endpunkt gibt die IP-Adressen an, von denen Abfragen stammen. Diese aus dem Bereich der IP-Adressen ausgewählten IP-Adressen, die Ihrer VPC zur Verfügung stehen, sind keine öffentlichen IP-Adressen. Dies bedeutet, dass Sie für jeden ausgehenden Endpunkt Ihre VPC über eine Direct Connect VPC-Verbindung oder ein NAT-Gateway (Network Address Translation) mit Ihrem Netzwerk verbinden müssen. Beachten Sie, dass Sie denselben ausgehenden Endpunkt für mehrere Endpunkte VPCs in derselben Region verwenden oder mehrere ausgehende Endpunkte erstellen können. Wenn Sie möchten, dass Ihr ausgehender Endpunkt verwendet wird DNS64, können Sie die DNS64 Verwendung von Amazon Virtual Private Cloud aktivieren. Weitere Informationen finden Sie unter [DNS64 und NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-nat64-dns64) im *Amazon VPC-Benutzerhandbuch*.  
Die Ziel-IP aus der VPC-Resolver-Regel wird vom VPC Resolver nach dem Zufallsprinzip ausgewählt, und die Auswahl einer bestimmten Ziel-IP gegenüber der anderen wird nicht bevorzugt. Wenn eine Ziel-IP nicht auf die weitergeleitete DNS-Anfrage reagiert, versucht der VPC-Resolver erneut, eine zufällige IP-Adresse unter den Zielen auszuwählen. IPs  
Stellen Sie sicher, dass alle Ziel-IP-Adressen von den Resolver-Endpunkten aus erreichbar sind. Wenn VPC Resolver ausgehende DNS-Anfragen nicht an eine der Ziel-IP-Adressen weiterleiten kann, kann dies zu längeren DNS-Auflösungszeiten führen. 

**Regeln**  
Sie erstellen eine oder mehrere Regeln, um die Domainnamen der Abfragen anzugeben, die Sie an die DNS-Resolver in Ihrem Netzwerk weiterleiten möchten. Jede Weiterleitungsregel spezifiziert einen Domainnamen. Anschließend ordnen Sie den Personen, VPCs für die Sie Abfragen an Ihr Netzwerk weiterleiten möchten, Regeln zu.   
Die Regeln für die Delegierung ausgehender Nachrichten folgen bestimmten Delegierungsprinzipien, die sich von den Standardweiterleitungsregeln unterscheiden. Wenn Sie eine Delegierungsregel erstellen, vergleicht VPC Resolver die Delegierungsdatensätze in der Regel mit den NS-Einträgen in DNS-Antworten, um festzustellen, ob eine Delegierung erfolgen soll. Der VPC-Resolver delegiert die Autorität nur dann an Ihre lokalen Resolver, wenn eine Übereinstimmung zwischen der Konfiguration der Delegierungsregeln und den tatsächlichen NS-Einträgen besteht, die in der DNS-Antwort zurückgegeben wurden. Im Gegensatz zu Weiterleitungsregeln, die Anfragen auf der Grundlage des Abgleichs von Domainnamen umleiten, respektieren Delegierungsregeln die DNS-Delegierungskette und werden nur aktiviert, wenn die autoritativen Nameserver in der Antwort mit der Delegierungskonfiguration übereinstimmen.  
Weitere Informationen finden Sie unter den folgenden Themen:  
+ [Private hosted zones that have overlapping namespaces](hosted-zone-private-considerations.md#hosted-zone-private-considerations-private-overlapping)
+ [Private hosted zones and Route 53 VPC Resolver rules](hosted-zone-private-considerations.md#hosted-zone-private-considerations-resolver-rules)

# Konfigurieren von Weiterleitungen ausgehender Abfragen
<a name="resolver-forwarding-outbound-queries-configuring"></a>

Gehen Sie wie folgt vor, um VPC Resolver so zu konfigurieren, dass DNS-Abfragen, die von Ihrer VPC stammen, an Ihr Netzwerk weitergeleitet werden.

**Wichtig**  
Nachdem Sie einen ausgehenden Endpunkt erstellt haben, müssen Sie eine oder mehrere Regeln erstellen und diese einer oder mehreren Regeln zuordnen. VPCs Regeln geben die Domainnamen der DNS-Abfragen an, die Sie an Ihr Netzwerk weiterleiten möchten.<a name="resolver-forwarding-outbound-queries-configuring-create-endpoint-procedure"></a>

**So erstellen Sie einen ausgehenden Endpunkt**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Klicken Sie im Navigationsbereich auf **Outbound endpoints (Ausgehende Endpunkte)**.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie einen ausgehenden Endpunkt erstellen möchten.

1. Klicken Sie auf **Create outbound endpoint (Ausgehenden Endpunkt erstellen)**.

1. Geben Sie die entsprechenden Werte ein. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben](resolver-forwarding-outbound-queries-endpoint-values.md).

1. Wählen Sie **Erstellen** aus.
**Anmerkung**  
Die Erstellung eines ausgehenden Endpunkt nimmt ein oder zwei Minuten in Anspruch. Sie können erst einen anderen ausgehenden Endpunkt erstellen, wenn der erste erstellt wurde.

1. Erstellen Sie eine oder mehrere Regeln, um die Domainnamen der DNS-Abfragen anzugeben, die Sie an Ihr Netzwerk weiterleiten möchten. Weitere Informationen finden Sie im nächsten Verfahren .

Führen Sie die folgenden Schritte aus, um eine oder mehrere Weiterleitungsregeln zu erstellen.<a name="resolver-forwarding-outbound-queries-configuring-create-rule-procedure"></a>

**Um Weiterleitungsregeln zu erstellen und die Regeln einer oder mehreren zuzuordnen VPCs**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Wählen Sie im Navigationsbereich **Regeln** aus.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

1. Wählen Sie **Regel erstellen** aus.

1. Geben Sie die entsprechenden Werte ein. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben](resolver-forwarding-outbound-queries-rule-values.md).

1. Wählen Sie **Save (Speichern)** aus.

1. Um eine weitere Regel hinzuzufügen, wiederholen Sie die Schritte 4 bis 6. 

# Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben
<a name="resolver-forwarding-outbound-queries-endpoint-values"></a>

Wenn Sie einen ausgehenden Endpunkt erstellen oder bearbeiten, geben Sie die folgenden Werte an:

**ID des Außenpostens**  
Wenn Sie den Endpunkt für einen VPC-Resolver auf einer AWS Outposts VPC erstellen, ist dies die ID. AWS Outposts 

**Endpoint name (Endpunktname)**  
Ein Anzeigename, mit dem Sie ganz einfach einen ausgehenden Endpunkt auf dem Dashboard finden können.

**VPC in der Region *region-name***  
Alle ausgehenden DNS-Abfragen durchlaufen diese VPC auf dem Weg zu Ihrem Netzwerk.

**Sicherheitsgruppe für diesen Endpunkt**  
Die ID einer oder mehrerer Sicherheitsgruppen, die Sie verwenden möchten, um den Zugriff auf diese VPC zu steuern. Die von Ihnen angegebene Sicherheitsgruppe muss eine oder mehrere ausgehende Regeln enthalten. Ausgehende Regeln müssen TCP- und UDP-Zugriff auf dem Port zulassen, den Sie für DNS-Abfragen in Ihrem Netzwerk verwenden. Sie können diesen Wert nicht ändern, nachdem Sie ein Portal erstellt haben.   
Einige Sicherheitsgruppenregeln sorgen dafür, dass Ihre Verbindung nachverfolgt wird, und wirken sich möglicherweise auf die maximale Anzahl von Abfragen pro Sekunde vom ausgehenden Endpunkt zum Ziel-Nameserver aus. Informationen zur Vermeidung der durch eine Sicherheitsgruppe verursachten Verbindungsverfolgung finden Sie unter Verbindungen [ohne Nachverfolgung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).  
Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon VPC-Benutzerhandbuch*.

**Endpunkttyp**  
Der Endpunkttyp kann entweder IPv4 IPv6, oder Dual-Stack-IP-Adressen sein. Bei einem Dual-Stack-Endpunkt hat der Endpunkt IPv4 sowohl eine Adresse als auch eine IPv6 Adresse, an die Ihr DNS-Resolver in Ihrem Netzwerk DNS-Anfragen weiterleiten kann.   
Aus Sicherheitsgründen verweigern wir allen Dual-Stack- und IP-Adressen den direkten IPv6 Datenzugriff auf das öffentliche Internet. IPv6 

**IP-Adressen**  
Die IP-Adressen in Ihrer VPC, an die VPC Resolver DNS-Abfragen auf dem Weg zu Resolvern in Ihrem Netzwerk weiterleiten soll. Dies sind nicht die IP-Adressen der DNS-Resolver in Ihrem Netzwerk. Sie geben die Resolver-IP-Adressen an, wenn Sie die Regeln erstellen, die Sie einem oder mehreren zuordnen. VPCs Aus Redundanzgründen müssen Sie mindestens zwei IP-Adressen angeben.   
Der Resolver-Endpunkt hat eine private IP-Adresse. Diese IP-Adressen ändern sich im Laufe der Lebensdauer eines Endpunkts nicht.
Beachten Sie Folgendes:    
**Mehrere Availability Zones**  
Wir empfehlen, IP-Adressen in mindestens zwei Availability Zones festzulegen. Wahlweise können Sie zusätzliche IP-Adressen in diesen oder anderen Availability Zones angeben.  
**IP-Adressen und Amazon VPC Elastic Network-Schnittstellen**  
Für jede Kombination aus Availability Zone, Subnetz und IP-Adresse, die Sie angeben, erstellt VPC Resolver eine Amazon VPC elastic network interface. Informationen zu dem aktuellen Höchstwerten für die Anzahl der DNS-Abfragen pro Sekunde und IP-Adresse in einem Endpunkt finden Sie unter [Kontingente auf Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver). Weitere Informationen zu den Preisen für die einzelnen Elastic Network-Schnittstellen finden Sie unter "Amazon Route 53" auf der Seite [Amazon Route 53 Preise](https://aws.amazon.com/route53/pricing/).  
**Reihenfolge der IP-Adressen**  
Sie können IP-Adressen in beliebiger Reihenfolge angeben. Bei der Weiterleitung von DNS-Abfragen wählt VPC Resolver IP-Adressen nicht anhand der Reihenfolge aus, in der die IP-Adressen aufgeführt sind.
Geben Sie für jede IP-Adresse die folgenden Werte an. Jede IP-Adresse muss in einer Availability Zone in der VPC vorhanden sein, die Sie in **VPC in der Region *region-name*** angegeben haben.    
**Availability Zone**  
Die Availability Zone, die DNS-Abfragen auf dem Weg zu Ihrem Netzwerk durchlaufen sollen. Die angegebene Availability Zone muss mit einem Subnetz konfiguriert sein.  
**Subnetz**  
Das Subnetz mit der IP-Adresse, aus denen die DNS-Abfragen auf dem Weg zu Ihrem Netzwerk stammen sollen. Das Subnetz muss eine verfügbare IP-Adresse enthalten.  
Die Subnetz-IP-Adresse muss dem **Endpunkttyp** entsprechen.  
**IP-Adresse**  
Die IP-Adresse, von der die DNS-Abfragen auf dem Weg zu Ihrem Netzwerk stammen sollen.  
Wählen Sie aus, ob VPC Resolver aus den verfügbaren IP-Adressen im angegebenen Subnetz eine IP-Adresse für Sie auswählen soll, oder ob Sie die IP-Adresse selbst angeben möchten.  
Wenn Sie die IP-Adresse selbst angeben möchten, geben Sie eine IPv6 Oder-Adresse IPv4 oder beide ein.

**Protokolle**  
Das Endpunktprotokoll bestimmt, wie die Daten vom ausgehenden Endpunkt übertragen werden. Wählen Sie ein oder mehrere Protokolle, je nachdem, welche Sicherheitsstufe Sie benötigen.  
+ **Do53:** (Standard) Die Daten werden mit dem Route 53 VPC Resolver ohne zusätzliche Verschlüsselung weitergeleitet. Die Daten können zwar nicht von externen Parteien gelesen werden, aber sie können innerhalb der AWS -Netzwerke eingesehen werden.
+ **DoH:** Die Daten werden über eine verschlüsselte HTTPS-Sitzung übertragen. DoH fügt eine zusätzliche Sicherheitsstufe hinzu, bei der die Daten nicht von unbefugten Benutzern entschlüsselt werden können und von niemandem außer dem vorgesehenen Empfänger gelesen werden können.
Für einen ausgehenden Endpunkt können Sie die Protokolle wie folgt anwenden:  
+  Do53 und DoH in Kombination.
+ Nur Do53.
+ Nur DoH.
+ Keins, was als Do53 behandelt wird.

**Tags (Markierungen)**  
Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. **Cost center (Kostenstelle)** als **Key (Schlüssel)** und **456** als **Value (Wert)** angeben.

# Werte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben
<a name="resolver-forwarding-outbound-queries-rule-values"></a>

Wenn Sie eine Weiterleitungsregel erstellen oder bearbeiten, geben Sie die folgenden Werte an:

**Regelname**  
Ein Anzeigename, mit dem Sie ganz einfach eine Regel auf dem Dashboard finden können.

**Art der Regel**  
Wählen Sie einen geeignete Wert aus:  
+ **Forward (Weiterleiten)** – Wählen Sie diese Option, wenn Sie DNS-Abfragen für einen angegebenen Domainnamen an Resolver in Ihrem Netzwerk weiterleiten möchten.
+ **Delegieren** — Wählen Sie diese Option, wenn Sie die Autorität für eine Subdomain, die in einer privaten Hosting-Zone gehostet wird, an Ihren lokalen Resolver (oder an einen VPC-Resolver auf einer anderen VPC) delegieren möchten.
+ **System** — Wählen Sie diese Option, wenn Sie möchten, dass VPC Resolver das in einer Weiterleitungsregel definierte Verhalten selektiv überschreibt. Wenn Sie eine Systemregel erstellen, löst VPC Resolver DNS-Abfragen für bestimmte Subdomänen auf, die andernfalls von DNS-Resolvern in Ihrem Netzwerk aufgelöst würden.
Standardmäßig gelten Weiterleitungsregeln für einen Domainnamen und alle entsprechenden Subdomains. Wenn Sie Abfragen für eine Domain an einen Resolver in Ihrem Netzwerk weiterleiten möchten, Abfragen für einige Subdomains hingegen nicht, erstellen Sie eine Systemregel für die Subdomains. Wenn Sie beispielsweise eine Weiterleitungsregel für example.com erstellen, Abfragen für acme.example.com jedoch nicht weiterleiten möchten, erstellen Sie eine Systemregel und geben für den Domainnamen acme.example.com an.

**Delegierungsdatensatz — nur für die Delegiertenregel**  
DNS-Abfragen, die zu dieser Domain passen, werden an die Resolver in Ihrem Netzwerk weitergeleitet.  
Als Voraussetzung für eine Delegiertregel müssen Sie NS-Einträge in der privaten Hosting-Zone erstellen, wenn Sie eine private gehostete Zone für die ausgehende Delegierung verwenden. Der Datensatz lautet: NS — Nameserver zum Delegieren über den Resolver-Outbound-Endpunkt mit Delegate-Regel. Weitere Informationen finden Sie unter [NS-Datensatztyp](ResourceRecordTypes.md#NSFormat).

**VPCs die diese Regel verwenden**  
Diejenigen VPCs , die diese Regel verwenden, um DNS-Abfragen für den oder die angegebenen Domainnamen weiterzuleiten. Sie können eine Regel auf so viele anwenden, VPCs wie Sie möchten.

**Domainname — nur für die Weiterleitungsregel**  
DNS-Abfragen für diesen Domainnamen werden an die IP-Adressen weitergeleitet, die Sie in **Target IP addresses (Ziel-IP-Adressen)** festlegen. Sie können beispielsweise eine bestimmte Domain (example.com), eine Top-Level-Domain (com) oder einen Punkt (.) angeben, um alle DNS-Anfragen weiterzuleiten. Weitere Informationen finden Sie unter [So bestimmt VPC Resolver, ob der Domainname in einer Abfrage irgendwelchen Regeln entspricht](resolver-overview-forward-vpc-to-network-domain-name-matches.md).

**Ausgehender Endpunkt**  
**VPC Resolver leitet DNS-Abfragen über den ausgehenden Endpunkt, den Sie hier angeben, an die IP-Adressen weiter, die Sie in Ziel-IP-Adressen angeben.**

**Ziel-IP-Adressen**  
Wenn eine DNS-Abfrage dem im Feld **Domain name (Domainname)** angegebenen Namen entspricht, leitet der ausgehende Endpunkt die Abfrage an die IP-Adressen weiter, die Sie hier angeben. Dies sind in der Regel die IP-Adressen für DNS-Resolver in Ihrem Netzwerk.  
**Target IP-Adressen (Ziel-IP-Adressen)** ist nur verfügbar, wenn der Wert für **Rule type (Regeltyp)** **Forward (Weiterleiten)** lautet.  
Geben Sie IPv4 unsere IPv6 Adressen und die Protokolle an, die ServerNameIndication Sie für den Endpunkt verwenden möchten. ServerNameIndication ist nur anwendbar, wenn das gewählte Protokoll DoH ist.  
Das Auflösen der Ziel-IP-Adresse des FQDN eines DoH-Resolvers in Ihrem Netzwerk über den ausgehenden Endpunkt wird nicht unterstützt. Ausgehende Endpunkte benötigen die Ziel-IP-Adresse des DoH-Resolvers in Ihrem Netzwerk, an den die DoH-Anfragen weitergeleitet werden können. Wenn der DoH-Resolver in Ihrem Netzwerk den FQDN im TLS-SNI und im HTTP-Host-Header benötigt, muss dieser angegeben werden. ServerNameIndication 

**ServerNameIndication**  
Die Servernamensangabe des DoH-Servers, an den Sie Anfragen weiterleiten möchten. Dies wird nur verwendet, wenn das Protokoll DoH ist.

**Tags (Markierungen)**  
Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. **Cost center (Kostenstelle)** als **Key (Schlüssel)** und **456** als **Value (Wert)** angeben.  
Dies sind die Tags, mit AWS Fakturierung und Kostenmanagement denen Sie Ihre AWS Rechnung organisieren können. Weitere Informationen zur Verwendung von Tags für die Kostenzuordnung finden Sie unter [Verwenden von Kostenzuordnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) im *AWS Billing -Benutzerhandbuch*.

# Verwalten von ausgehenden Endpunkten
<a name="resolver-forwarding-outbound-queries-managing"></a>

Um ausgehende Endpunkte zu verwalten, führen Sie die entsprechenden Schritte aus.

**Topics**
+ [

## Anzeigen und Bearbeiten von ausgehenden Endpunkten
](#resolver-forwarding-outbound-queries-managing-viewing)
+ [

## Anzeigen des Status für ausgehende Endpunkte
](#resolver-forwarding-outbound-queries-managing-viewing-status)
+ [

## Löschen von ausgehenden Endpunkten
](#resolver-forwarding-outbound-queries-managing-deleting)

## Anzeigen und Bearbeiten von ausgehenden Endpunkten
<a name="resolver-forwarding-outbound-queries-managing-viewing"></a>

Führen Sie zum Anzeigen und Bearbeiten von Einstellungen für einen ausgehenden Endpunkt die folgenden Schritte aus.<a name="resolver-forwarding-outbound-queries-managing-viewing-procedure"></a>

**Anzeigen und Bearbeiten von Einstellungen für einen ausgehenden Endpunkt**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Klicken Sie im Navigationsbereich auf **Outbound endpoints (Ausgehende Endpunkte)**.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie den ausgehenden Endpunkt erstellt haben.

1. Wählen Sie die Option für den Endpunkt, für den Sie Einstellungen anzeigen oder den Sie bearbeiten möchten.

1. Wählen Sie **View details (Details anzeigen)** oder **Edit (Bearbeiten)**.

   Informationen zu den Werten für ausgehende Endpunkte finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von ausgehenden Endpunkten angeben](resolver-forwarding-outbound-queries-endpoint-values.md).

1. Wenn Sie **Edit (Bearbeiten)** gewählt haben, geben Sie die entsprechenden Werte ein und klicken Sie anschließend auf **Save (Speichern)**.

## Anzeigen des Status für ausgehende Endpunkte
<a name="resolver-forwarding-outbound-queries-managing-viewing-status"></a>

Gehen Sie folgendermaßen vor, um den Status eines ausgehenden Endpunkts anzuzeigen.<a name="resolver-forwarding-outbound-queries-managing-viewing-status-procedure"></a>

**So zeigen Sie den Status eines ausgehenden Endpunkts an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Klicken Sie im Navigationsbereich auf **Outbound endpoints (Ausgehende Endpunkte)**.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie den ausgehenden Endpunkt erstellt haben. Die Spalte **Status** enthält einen der folgenden Werte:  
**Erstellen**  
VPC Resolver erstellt und konfiguriert eine oder mehrere Amazon VPC-Netzwerkschnittstellen für diesen Endpunkt.  
**Betriebsbereit**  
Die Amazon VPC-Netzwerkschnittstellen für diesen Endpunkt sind korrekt konfiguriert und können eingehende oder ausgehende DNS-Abfragen zwischen Ihrem Netzwerk und VPC Resolver weiterleiten.  
**Aktualisieren**  
VPC Resolver verknüpft oder trennt eine oder mehrere Netzwerkschnittstellen mit diesem Endpunkt.  
**Automatische Wiederherstellung**  
VPC Resolver versucht, eine oder mehrere der Netzwerkschnittstellen wiederherzustellen, die diesem Endpunkt zugeordnet sind. Während der Wiederherstellung funktioniert der Endpunkt aufgrund des Limits für die Anzahl der DNS-Abfragen pro IP-Adresse (pro Netzwerkschnittstelle) mit begrenzter Kapazität. Das aktuelle Limit finden Sie unter [Kontingente auf Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver).  
**Aktion erforderlich**  
Dieser Endpunkt ist fehlerhaft und VPC Resolver kann ihn nicht automatisch wiederherstellen. Um das Problem zu beheben, empfehlen wir, dass Sie jede IP-Adresse überprüfen, die Sie diesem Endpunkt zugeordnet haben. Fügen Sie für jede IP-Adresse, die nicht verfügbar ist, eine andere IP-Adresse hinzu und löschen Sie dann die nicht verfügbare IP-Adresse. (Ein Endpunkt muss immer mindestens zwei IP-Adressen enthalten.) Ein Status von **Aktion erforderlich** kann verschiedene Ursachen haben. Hier sind zwei häufige Ursachen:  
   + Eine oder mehrere Netzwerkschnittstellen, die diesem Endpunkt zugeordnet sind, wurden mit Amazon VPC gelöscht.
   + Die Netzwerkschnittstelle konnte aus einem Grund nicht erstellt werden, der nicht der Kontrolle von VPC Resolver unterliegt.  
**Löschen**  
VPC Resolver löscht diesen Endpunkt und die zugehörigen Netzwerkschnittstellen.

## Löschen von ausgehenden Endpunkten
<a name="resolver-forwarding-outbound-queries-managing-deleting"></a>

Bevor Sie einen Endpunkt löschen können, müssen Sie zunächst alle Regeln löschen, die einer VPC zugeordnet sind.

Gehen Sie wie folgt vor, um einen ausgehenden Endpunkt zu löschen.

**Wichtig**  
Wenn Sie einen ausgehenden Endpunkt löschen, beendet VPC Resolver die Weiterleitung von DNS-Anfragen von Ihrer VPC an Ihr Netzwerk für Regeln, die den gelöschten ausgehenden Endpunkt angeben.<a name="resolver-forwarding-outbound-queries-managing-deleting-procedure"></a>

**So löschen Sie einen ausgehenden Endpunkt**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. Klicken Sie im Navigationsbereich auf **Outbound endpoints (Ausgehende Endpunkte)**.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie den ausgehenden Endpunkt erstellt haben.

1. Wählen Sie die Option für den Endpunkt, den Sie löschen möchten.

1. Wählen Sie **Löschen** aus.

1. Um zu bestätigen, dass Sie den Endpunkt löschen möchten, geben Sie den Namen des Endpunkts ein und wählen Sie dann **Submit (Senden)**.

# Verwalten von Weiterleitungsregeln
<a name="resolver-rules-managing"></a>

Wenn Sie möchten, dass VPC Resolver Abfragen für bestimmte Domainnamen an Ihr Netzwerk weiterleitet, erstellen Sie eine Weiterleitungsregel für jeden Domainnamen und geben den Namen der Domain an, für die Sie Abfragen weiterleiten möchten.

**Topics**
+ [

## Anzeigen und Bearbeiten von Weiterleitungsregeln
](#resolver-rules-managing-viewing)
+ [

## Erstellen von Weiterleitungsregeln
](#resolver-rules-managing-creating-rules)
+ [

## Hinzufügen von Regeln für die umgekehrte Suche
](#add-reverse-lookup)
+ [

## Zuordnen von Weiterleitungsregeln zu einer VPC
](#resolver-rules-managing-associating-rules)
+ [

## Aufheben der Zuordnung der Weiterleitungsregeln zu einer VPC
](#resolver-rules-managing-disassociating-rules)
+ [

## Resolver-Regeln mit anderen AWS Konten teilen und gemeinsame Regeln verwenden
](#resolver-rules-managing-sharing)
+ [

## Löschen von Weiterleitungsregeln
](#resolver-rules-managing-deleting)
+ [

## Weiterleitungsregeln für Reverse-DNS-Abfragen in VPC Resolver
](#resolver-automatic-forwarding-rules-reverse-dns)

## Anzeigen und Bearbeiten von Weiterleitungsregeln
<a name="resolver-rules-managing-viewing"></a>

Führen Sie zum Anzeigen und Bearbeiten einer Weiterleitungsregel die folgenden Schritte aus.<a name="resolver-rules-managing-viewing-procedure"></a>

**So können Sie Einstellungen für eine Weiterleitungsregel anzeigen und bearbeiten**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. Wählen Sie im Navigationsbereich **Regeln** aus.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

1. Wählen Sie die Option für die Regel, für die Sie Einstellungen anzeigen oder die Sie bearbeiten möchten.

1. Wählen Sie **View details (Details anzeigen)** oder **Edit (Bearbeiten)**.

   Informationen zu den Werten für Weiterleitungsregeln finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben](resolver-forwarding-outbound-queries-rule-values.md).

1. Wenn Sie **Edit (Bearbeiten)** gewählt haben, geben Sie die entsprechenden Werte ein und klicken Sie anschließend auf **Save (Speichern)**.

## Erstellen von Weiterleitungsregeln
<a name="resolver-rules-managing-creating-rules"></a>

Führen Sie die folgenden Schritte aus, um eine oder mehrere Weiterleitungsregeln zu erstellen.<a name="resolver-rules-managing-creating-rules-procedure"></a>

**Um Weiterleitungsregeln zu erstellen und die Regeln einer oder mehreren zuzuordnen VPCs**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Wählen Sie im Navigationsbereich **Regeln** aus.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

1. Wählen Sie **Regel erstellen** aus.

1. Geben Sie die entsprechenden Werte ein. Weitere Informationen finden Sie unter [Werte, die Sie beim Erstellen oder Bearbeiten von Regeln angeben](resolver-forwarding-outbound-queries-rule-values.md).

1. Wählen Sie **Save (Speichern)** aus.

1. Um eine weitere Regel hinzuzufügen, wiederholen Sie die Schritte 4 bis 6. 

## Hinzufügen von Regeln für die umgekehrte Suche
<a name="add-reverse-lookup"></a>

Wenn Sie Reverse-Lookups in Ihrer VPC steuern müssen, können Sie dem ausgehenden Resolverendpunkt Regeln hinzufügen.

**So erstellen Sie die Reverse-Lookup-Regel**

1. Führen Sie die Schritte aus, die Sie bis zu Schritt 5 beschrieben haben.

1. Wenn Sie Ihre Regel angeben, geben Sie diePTR-Datensatz für die IP-Adresse oder die Adressen, für die Sie eine Reverse-Lookup-Weiterleitungsregel verwenden möchten.

   Wenn Sie beispielsweise Suchbegriffe für Adressen im Bereich 10.0.0.0/23 weiterleiten müssen, geben Sie zwei Regeln ein:
   + 0.0.10.in-addr.arpa
   + 1.0.10.in-addr.arpa

   Jede IP-Adresse in diesen Subnetzen wird als Subdomain dieser PTR-Datensätze referenziert, z. B. 10.0.1.161 hat die umgekehrte Lookup-Adresse 161.1.0.10.in-addr.apra, die eine Subdomain von 1.0.10.in-addra.apra ist.

1. Geben Sie den Server an, an den diese Suchbegriffe weitergeleitet werden sollen

1. Fügen Sie diese Regeln zu Ihrem ausgehenden Resolver-Endpunkt hinzu.

Beachten Sie, dass `enableDNSHostNames` für Ihre VPC fügt automatisch PTR-Datensätze hinzu. Siehe [Was ist Route 53 VPC Resolver?](resolver.md). Das vorherige Verfahren ist nur erforderlich, wenn Sie explizit einen Resolver für bestimmte IP-Bereiche angeben möchten, z. B. beim Weiterleiten von Abfragen an einen Active Directory-Server.

## Zuordnen von Weiterleitungsregeln zu einer VPC
<a name="resolver-rules-managing-associating-rules"></a>

Nachdem Sie eine Weiterleitungsregel erstellt haben, müssen Sie die Regel einer oder mehreren zuordnen VPCs. Die Regeln funktionieren erst, nachdem sie einer VPC zugeordnet wurden. Wenn Sie einer VPC eine Regel zuordnen, leitet VPC Resolver DNS-Abfragen für den in der Regel angegebenen Domänennamen an die DNS-Resolver weiter, die Sie in der Regel angegeben haben. Die Abfragen durchlaufen den ausgehenden Endpunkt, den Sie beim Erstellen der Regel angegeben haben.<a name="resolver-rules-managing-associating-procedure"></a>

**Um eine Weiterleitungsregel einer oder mehreren zuzuordnen VPCs**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Wählen Sie im Navigationsbereich **Regeln** aus.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

1. Wählen Sie den Namen der Regel, die Sie einer oder mehreren Regeln zuordnen möchten VPCs.

1. Wählen Sie **Associate VPC (VPC zuordnen)** aus.

1. Wählen Sie unter **Diese Regel verwenden VPCs die** Regel aus VPCs , der Sie die Regel zuordnen möchten.

1. Wählen Sie **Hinzufügen** aus.

## Aufheben der Zuordnung der Weiterleitungsregeln zu einer VPC
<a name="resolver-rules-managing-disassociating-rules"></a>

Sie heben die Zuordnung einer Weiterleitungsregel zu einer VPC in den folgenden Fällen auf:
+ Für DNS-Abfragen, die ihren Ursprung in dieser VPC haben, möchten Sie, dass VPC Resolver die Weiterleitung von Anfragen für den in der Regel angegebenen Domainnamen an Ihr Netzwerk beendet. 
+ Sie möchten die Weiterleitungsregel löschen. Wenn eine Regel derzeit einer oder mehreren Regeln zugeordnet ist VPCs, müssen Sie die Zuordnung der Regel zu allen Regeln aufheben, VPCs bevor Sie sie löschen können.

Wenn Sie die Zuordnung einer Weiterleitungsregel zu einer oder mehreren Regeln aufheben möchten VPCs, gehen Sie wie folgt vor.<a name="resolver-rules-managing-disassociating-procedure"></a>

**So heben Sie die Zuordnung einer Weiterleitungsregeln zu einer VPC auf**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Wählen Sie im Navigationsbereich **Regeln** aus.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

1. Wählen Sie den Namen der Regel aus, die Sie von einer oder mehreren VPCs Regeln trennen möchten.

1. Wählen Sie die Option für die VPC aus, von der Sie die Zuordnung der Regel trennen möchten.

1. Wählen Sie **Disassociate (Zuordnung aufheben)** aus.

1. Geben Sie zur Bestätigung **Disassociate (Zuordnung aufheben)** ein.

1. Wählen Sie **Absenden** aus.

## Resolver-Regeln mit anderen AWS Konten teilen und gemeinsame Regeln verwenden
<a name="resolver-rules-managing-sharing"></a>

Sie können die Resolver-Regeln, die Sie mit einem AWS Konto erstellt haben, mit anderen AWS Konten teilen. Um Regeln gemeinsam zu nutzen, ist die Route 53 VPC Resolver-Konsole in AWS Resource Access Manager integriert. Weitere Informationen zu Resource Access Manager finden Sie im [Benutzerhandbuch zu Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Beachten Sie Folgendes:

**Verknüpfen von gemeinsamen Regeln mit VPCs**  
Wenn ein anderes AWS Konto eine oder mehrere Regeln mit Ihrem Konto geteilt hat, können Sie die Regeln Ihrem VPCs Konto zuordnen, genauso wie Sie Regeln verknüpfen, die Sie mit Ihrem VPCs erstellt haben. Weitere Informationen finden Sie unter [Zuordnen von Weiterleitungsregeln zu einer VPC](#resolver-rules-managing-associating-rules).

**Löschen oder Aufheben der Freigabe einer Regel**  
Wenn Sie eine Regel mit anderen Konten teilen und dann entweder die Regel löschen oder die gemeinsame Nutzung beenden und wenn die Regel mit einem oder mehreren Konten verknüpft war VPCs, beginnt Route 53 VPC Resolver, DNS-Abfragen für diejenigen zu verarbeiten, die auf den verbleibenden Regeln VPCs basieren. Das Verhalten ist identisch mit dem Verhalten nach dem Aufheben der Zuordnung zu der VPC.  
Wenn eine Regel für eine Organisationseinheit (OE) freigegeben ist und ein Konto in der OE in eine andere OE verschoben wird, werden alle Zuordnungen der freigegebenen Regel zu einem beliebigen VPC im Konto gelöscht. Wenn die VPC-Resolver-Regel jedoch bereits mit der Ziel-OU geteilt wurde, bleibt die VPC-Zuordnung erhalten und wird nicht getrennt.

**Maximale Anzahl von Regeln und Zuordnungen**  
Wenn ein Konto eine Regel erstellt und sie mit einem oder mehreren anderen Konten gemeinsam nutzt, gilt die maximale Anzahl von Regeln pro AWS Region für das Konto, mit dem die Regel erstellt wurde.  
Wenn ein Konto, für das eine Regel gemeinsam genutzt wird, die Regel mit einer oder mehreren verknüpft VPCs, gilt die maximale Anzahl von Verknüpfungen zwischen Regeln und VPCs pro Region für das Konto, mit dem die Regel geteilt wird.  
Aktuelle VPC-Resolver-Kontingente finden Sie unter. [Kontingente auf Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver)

**Berechtigungen**  
Um eine Regel mit einem anderen AWS Konto zu teilen, benötigen Sie die Berechtigung, die [PutResolverRulePolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverRulePolicy.html)Aktion zu verwenden.

**Einschränkungen für das AWS Konto, mit dem eine Regel geteilt wird**  
Das Konto, für das eine Regel freigegeben werden, kann die Regel nicht ändern oder löschen. 

**Tagging**  
Nur das Konto, das eine Regel erstellt hat, kann Tags zu dieser hinzufügen, löschen oder anzeigen.

Führen Sie die folgenden Schritte aus, um den aktuellen Freigabestatus einer Regel (einschließlich des Kontos, das die Regel freigegeben hat, oder des Kontos, für das eine Regel freigegeben wurde) anzuzeigen und um Regeln für ein anderes Konto freizugeben.<a name="resolver-rules-managing-sharing-procedure"></a>

**Um den Freigabestatus und die Regeln für ein anderes AWS Konto einzusehen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Wählen Sie im Navigationsbereich **Regeln** aus.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

   Die Spalte **Sharing status (Freigabestatus)** zeigt den aktuellen Freigabestatus der Regeln, die von dem aktuellen Konto erstellt wurden oder die für das aktuelle Konto freigegeben wurden:
   + **Nicht geteilt**: Das aktuelle AWS Konto hat die Regel erstellt, und die Regel wird nicht mit anderen Konten geteilt.
   + **Shared by me (Von mir freigegeben)**: Das aktuelle Konto hat die Regel erstellt und für ein oder mehrere Konten freigegeben.
   + **Shared with me (Für mich freigegeben)**: Ein anderes Konto hat die Regel erstellt und für das aktuelle Konto freigegeben.

1. Wählen Sie den Namen der Regel, für die Sie Freigabeinformationen anzeigen möchten oder die Sie für ein anderes Konto freigeben möchten.

   Auf der *rule name* Seite **Regel:** zeigt der Wert unter **Besitzer** die ID des Kontos an, mit dem die Regel erstellt wurde. Dies ist das aktuelle Konto, sofern der Wert unter **Sharing Status (Freigabestatus)** nicht **Shared with me (Für mich freigegeben)** lautet. In diesem Fall handelt es sich bei **Owner (Eigentümer)** um das Konto, das die Regel erstellt und für das aktuelle Konto freigegeben hat.

1. Wählen Sie **Share (Freigeben)**, um zusätzliche Informationen anzuzeigen oder die Regel für ein anderes Konto freizugeben. Je nach dem Wert unter **Sharing status (Freigabestatus)** wird eine der folgenden Seite in der Resource Access Manager-Konsole angezeigt:
   + **Not shared (Nicht freigegeben)**: Die Seite **Create resource share (Ressourcenfreigabe erstellen)** wird angezeigt. Informationen zur Freigabe der Regel für ein anderes Konto, eine andere Organisationseinheit oder Organisation, finden Sie unter Schritt 6 beschrieben.
   + **Shared by me (Von mir freigegeben)**: Die Seite **Shared resources (Freigegebene Ressourcen)** zeigt die Regeln und andere Ressourcen, die zu dem aktuellen Konto gehören und für andere Konten freigegeben wurden.
   + **Shared with me (Für mich freigegeben)**: Die Seite **Shared resources (Freigegebene Ressourcen)** zeigt die Regeln und andere Ressourcen, die zu anderen Konten gehören und für das aktuelle Konto freigegeben wurden.

1. Um eine Regel mit einem anderen AWS Konto, einer anderen Organisationseinheit oder Organisation zu teilen, geben Sie die folgenden Werte an.
**Anmerkung**  
Sie können keine Freigabeeinstellungen aktualisieren. Wenn Sie eine der folgenden Einstellungen ändern möchten, müssen Sie eine Regel mit den neuen Einstellungen freigeben und die alten Freigabeeinstellungen anschließend entfernen.  
**Description**  
Geben Sie eine Kurzbeschreibung ein, mit der Sie sich den Grund für die Freigabe der Regel merken können.  
**Ressourcen**  
Aktivieren Sie das Kontrollkästchen für die Regel, die Sie freigeben möchten.  
**Prinzipale**  
Geben Sie die AWS Kontonummer, den Namen der Organisationseinheit oder den Namen der Organisation ein.  
**Tags (Markierungen)**  
Geben Sie einen oder mehrere Schlüssel und die entsprechenden Werte an. Sie können z. B. **Cost center (Kostenstelle)** als **Key (Schlüssel)** und **456** als **Value (Wert)** angeben.  
Dies sind die Tags, mit AWS Fakturierung und Kostenmanagement denen Sie Ihre AWS Rechnung organisieren können. Sie können Tags auch für andere Zwecke verwenden. Weitere Informationen zur Verwendung von Tags für die Kostenzuordnung finden Sie unter [Verwenden von Kostenzuordnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) im *AWS Billing -Benutzerhandbuch*.

## Löschen von Weiterleitungsregeln
<a name="resolver-rules-managing-deleting"></a>

Gehen Sie wie folgt vor, um eine Weiterleitungsregel zu löschen.

Beachten Sie Folgendes:
+ Wenn die Weiterleitungsregel mit einer anderen verknüpft ist VPCs, müssen Sie die Verknüpfung zwischen der Regel und der Regel trennen, VPCs bevor Sie die Regel löschen können. Weitere Informationen finden Sie unter [Aufheben der Zuordnung der Weiterleitungsregeln zu einer VPC](#resolver-rules-managing-disassociating-rules).
+ Sie können die Standardregel **Internet-Resolver** nicht löschen, die einen Wert von **Recursive** für **Type** hat. Diese Regel bewirkt, dass Route 53 VPC Resolver als rekursiver Resolver für alle Domainnamen fungiert, für die Sie keine benutzerdefinierten Regeln erstellt haben und für die VPC Resolver keine automatisch definierten Regeln erstellt hat. Weitere Informationen darüber, wie Regeln kategorisiert werden, finden Sie unter [Verwenden von Regeln zum Steuern, welche Abfragen an Ihr Netzwerk weitergeleitet werden](resolver-overview-forward-vpc-to-network-using-rules.md).<a name="resolver-rules-managing-deleting-procedure"></a>

**So löschen Sie eine Weiterleitungsregel**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. Wählen Sie im Navigationsbereich **Regeln** aus.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

1. Wählen Sie die Option für die Regel, die Sie löschen möchten.

1. Wählen Sie **Löschen** aus.

1. Um zu bestätigen, dass Sie die Regel löschen möchten, geben Sie den Namen der Regel ein und wählen Sie **Submit (Senden)**.

## Weiterleitungsregeln für Reverse-DNS-Abfragen in VPC Resolver
<a name="resolver-automatic-forwarding-rules-reverse-dns"></a>

Wenn die `enableDnsHostnames` und `true` für eine Virtual Private Cloud (VPC) von Amazon VPC auf gesetzt `enableDnsSupport` sind, erstellt VPC Resolver automatisch automatisch definierte Systemregeln für Reverse-DNS-Abfragen. Weitere Informationen zu diesen Einstellungen finden Sie unter [DNS-Attribute in Ihrem VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)im *Entwicklerhandbuch für Amazon VPC*.

Weiterleitungsregeln für Reverse-DNS-Abfragen sind besonders nützlich für Dienste wie SSH oder Active Directory, die in der Lage sind, Benutzer zu authentifizieren, indem sie eine Reverse-DNS-Suche nach der IP-Adresse durchführen, von der aus ein Kunde versucht, eine Verbindung zu einer Ressource herzustellen. Weitere Informationen zu automatisch definierten Systemregeln finden Sie unter [Domainnamen, für die VPC Resolver automatisch definierte Systemregeln erstellt](resolver-overview-forward-vpc-to-network-autodefined-rules.md). 

Sie können diese Regeln deaktivieren und alle Reverse-DNS-Abfragen so ändern, dass sie beispielsweise zur Lösung an Ihre On-Premises-Nameserver weitergeleitet werden.

Nachdem Sie die automatischen Regeln deaktiviert haben, erstellen Sie Regeln, um die Abfragen nach Bedarf an Ihre On-Premises-Ressourcen weiterzuleiten. Weitere Informationen über die Verwaltung von Weiterleitungsregeln finden Sie unter [Verwalten von Weiterleitungsregeln](#resolver-rules-managing).<a name="resolver-automatic-reverse-rules-disable-procedure"></a>

**So deaktivieren Sie automatisch definierte Regeln**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. Wählen **VPCs**Sie im Navigationsbereich unter **VPC Resolver** und anschließend eine VPC-ID aus.

1. Deaktivieren Sie das Kontrollkästchen unter **Autodefined rules for reverse DNS resolution (Automatisch definierte Regeln für die umgekehrte DNS-Auflösung)**. Wenn das Kontrollkästchen bereits deaktiviert ist, können Sie es auswählen, um die automatisch definierte Reverse-DNS-Auflösung zu aktivieren.

Weitere Informationen finden Sie APIs unter Konfiguration des [VPC-Resolvers](https://docs.aws.amazon.com/Route53/latest/APIReference/API-actions-by-function.html#actions-by-function-resolver-configuration). APIs

# Tutorial zu Resolver-Delegierungsregeln
<a name="outbound-delegation-tutorial"></a>

 Die Delegierungsregel ermöglicht es dem VPC-Resolver, die Nameserver, die die delegierte Zone hosten, über den angegebenen ausgehenden Endpunkt zu erreichen. Während die Weiterleitungsregel den VPC-Resolver darüber informiert, die DNS-Anfragen über den ausgehenden Endpunkt an die Nameserver weiterzuleiten, die der angegebenen Domain entsprechen, informiert die Delegierungsregel den VPC Resolver, die delegierten Nameserver über den ausgehenden Endpunkt zu erreichen, der bei der Rückgabe der delegierten NS-Einträge angegeben wurde. VPC Resolver sendet eine Anfrage an die delegierten Nameserver, wenn die NS-Einträge in der DNS-Antwort mit dem im Delegierungseintrag angegebenen Domainnamen übereinstimmen. 

## Schritte zur Verwendung der ausgehenden Delegierung des Resolver-Endpunkts
<a name="delegation-steps"></a>

1. Erstellen Sie einen ausgehenden Resolver-Endpunkt in der VPC, von dem aus DNS-Abfragen an die Resolver in Ihrem Netzwerk gesendet werden sollen. 

   Sie können entweder die folgende API oder den CLI-Befehl verwenden:
   + [`CreateResolverEndpoint`-API](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html)
   + [`create-resolver-endpoint`-CLI](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)

1. Erstellen Sie eine oder mehrere Delegierungsregeln, die die Domainnamen angeben, für die die Abfragen über den angegebenen ausgehenden Endpunkt an Ihr Netzwerk delegiert werden sollen.

   Beispiel für die Erstellung einer Delegierungsregel mit CLI:

   ```
   aws route53resolver create-resolver-rule \
   --region REGION \
   --creator-request-id delegateruletest \
   --delegation-record example.com \
   --name delegateruletest \
   --rule-type DELEGATE \
   --resolver-endpoint-id outbound endpoint ID
   ```

1. Ordnen Sie die Delegierungsregel der Regel zu, VPCs für die Sie die Abfragen delegieren möchten.

   Sie können entweder die folgende API oder den CLI-Befehl verwenden:
   + [AssociateResolverRule](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_AssociateResolverRule.html)API.
   + [associate-resolver-rules](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/associate-resolver-rule.html)CLI-Befehl.

## Arten der Delegierung, die vom ausgehenden Resolver-Endpunkt unterstützt werden
<a name="delegation-types"></a>

VPC Resolver unterstützt zwei Arten der ausgehenden Delegierung:
+ Leiten Sie die private gehostete Zone 53 an die ausgehende VPC Resolver-Delegierung weiter:

   Delegiert mithilfe der ausgehenden Delegierung eine Subdomain von einer privaten Hosting-Zone entweder an einen lokalen DNS-Server oder eine öffentliche gehostete Zone im Internet. Diese ausgehende Delegierung ermöglicht es Ihnen, die Verwaltung Ihrer DNS-Einträge zwischen der privaten Hosting-Zone und der delegierten Zone aufzuteilen. Die Delegierung kann mit oder ohne Glue-Record in einer privaten Hosting-Zone erfolgen, je nach Ihrem DNS-Setup. Weitere Informationen finden Sie unter. [Private gehostete Zone für ausgehenden Datenverkehr](#phz-to-outbound-delegation) 
+ Delegierung von ausgehender zu ausgehender VPC Resolver:

   Delegiert eine Subdomain von Ihrem lokalen DNS-Server an einen anderen lokalen Server an demselben oder einem anderen Standort mithilfe der Delegierung von ausgehendem zu ausgehendem Datenverkehr. Dies ist vergleichbar mit der Delegierung von einer privaten gehosteten Zone an einen ausgehenden Endpunkt, wo Sie an eine Zone delegieren können, die auf Ihrem lokalen Nameserver gehostet wird. Weitere Informationen finden Sie unter [Ausgehend bis ausgehend](#outbound-to-outbound-delegation). 

### Beispiel für eine Konfiguration für die ausgehende Delegierung von Route 53 an die private gehostete Zone von VPC Resolver
<a name="phz-to-outbound-delegation"></a>

 Gehen wir von einem DNS-Setup aus, bei dem die übergeordnete gehostete Zone in einer privaten Hosting-Zone auf Route 53 in einer Amazon-VPC gehostet wird und Subdomains an Nameserver delegiert werden, die in Europa, Asien und Nordamerika gehostet werden. Alle DNS-Abfragen werden über den VPC Resolver weitergeleitet. 

Folgen Sie den Beispielschritten, um Ihre private gehostete Zone und Ihren VPC-Resolver zu konfigurieren.

**Konfigurieren Sie die private gehostete Zone für die ausgehende Delegierung**

1. Für die Einrichtung der privaten gehosteten Zone:

   Übergeordnete gehostete Zone: `hr.example.com`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   eu.hr.example.com IN NS ns1.eu.hr.example.com.
   apac.hr.example.com IN NS ns2.apac.hr.example.com.
   na.hr.example.com IN NS ns3.na.hr.example.net. # Out of Zone Delegation
   
   ns1.eu.hr.example.com IN A 10.0.0.30 # Glue Record
   ns2.apac.hr.example.com IN A 10.0.0.40 # Glue Record
   ```

1. Für den lokalen Nameserver in der lokalen Region Europa:
   + Gehostete Zone: `eu.hr.example.com` NS IP: `10.0.0.30`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN eu.hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   
   test.eu.hr.example.com IN A 1.2.3.4
   ```

1. Für den lokalen Nameserver in der lokalen Region Asien:

   Gehostete Zone:, `apac.hr.example.com` `10.0.0.40`

   Der APAC-Nameserver kann die Subdomain an andere Nameserver delegieren.

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN apac.hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   
   test.apac.hr.example.com IN A 5.6.7.8
   engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
   sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
   ns1.engineering.apac.hr.example.com IN A 10.0.0.80
   ns2.sales.apac.hr.example.com IN A 10.0.0.90
   ```

   Gehostete Zone:, `engineering.apac.hr.example.com` `10.0.0.80`

   ```
   $TTL 86400 ; 24 hours
   $ORIGIN engineering.apac.hr.example.com
   @ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
   @ 1D IN NS @
   test.engineering.apac.hr.example.com IN A 1.1.1.1
   ```

1. Für den lokalen Nameserver in der lokalen Region Nordamerika:

   Gehostete Zone: `na.hr.example.net` NS IP: `10.0.0.50`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN na.hr.example.net
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   ns3.na.hr.example.net. IN A 10.0.0.50
   test.na.hr.example.com  IN A 9.10.11.12
   ```

**Einrichtung des VPC-Resolvers**
+ Für den VPC Resolver müssen Sie eine Weiterleitungsregel und zwei Delegierungsregeln einrichten:

  **Weiterleitungsregel**

  1. Für die Weiterleitung des out-of-zone Delegierungsdatensatzes, sodass der Route 53 VPC Resolver die IP des delegierten NS kennt, um die erste Anfrage weiterzuleiten.

     Domänenname: Ziel-IPs: `hr.example.net` `10.0.0.50`

  **Regeln für die Delegierung**

  1. Delegierungsregel für die Delegierung innerhalb der Zone:

     Delegationsdatensatz: `hr.example.com`

  1. Delegierungsregel für die Delegierung außerhalb der Zone:

     Delegationsdatensatz: `hr.example.net`

### Beispielkonfiguration für die Delegierung von ausgehendem zu ausgehendem Datenverkehr
<a name="outbound-to-outbound-delegation"></a>

 Anstatt die übergeordnete gehostete Zone in einer Amazon-VPC zu haben, gehen wir von einem DNS-Setup aus, bei dem sich die übergeordnete gehostete Zone am zentralen lokalen Standort befindet und Subdomains an Nameserver delegiert werden, die in Europa, Asien und Nordamerika gehostet werden. Alle DNS-Abfragen werden über den VPC Resolver weitergeleitet. 

Folgen Sie den Beispielschritten, um Ihr lokales DNS und den VPC-Resolver zu konfigurieren.

**Konfigurieren Sie lokales DNS**

1. Für den lokalen Nameserver in der zentralen lokalen Region:
   + **Übergeordnete gehostete Zone:** `hr.example.com`

     Gehostete Zone`hr.example.com`, NS-IP: `10.0.0.20`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   eu.hr.example.com IN NS ns1.eu.hr.example.com.
   apac.hr.example.com IN NS ns2.apac.hr.example.com.
   na.hr.example.com IN NS ns3.na.hr.example.net. # Out of zone delegation
   
   ns1.eu.hr.example.com IN A 10.0.0.30 # Glue record
   ns2.apac.hr.example.com IN A 10.0.0.40 # Glue record
   ```

1.  Für den lokalen Nameserver in der lokalen Region Europa (die Konfiguration für die Nameserver Europa, Asien und Nordamerika ist dieselbe wie für die private gehostete Zone zur ausgehenden Delegierung):
   + Gehostete Zone: NS IP: `eu.hr.example.com` `10.0.0.30`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN eu.hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   
   test.eu.hr.example.com IN A 1.2.3.4
   ```

1. Für den lokalen Nameserver in der lokalen Region Asien:

   Gehostete Zone:, `apac.hr.example.com` `10.0.0.40`

   Der APAC-Nameserver kann die Subdomain an andere Nameserver delegieren.

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN apac.hr.example.com
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   
   test.apac.hr.example.com IN A 5.6.7.8
   engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
   sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
   ns1.engineering.apac.hr.example.com IN A 10.0.0.80
   ns2.sales.apac.hr.example.com IN A 10.0.0.90
   ```

   Gehostete Zone:, `engineering.apac.hr.example.com` `10.0.0.80`

   ```
   $TTL 86400 ; 24 hours
   $ORIGIN engineering.apac.hr.example.com
   @ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
   @ 1D IN NS @
   test.engineering.apac.hr.example.com IN A 1.1.1.1
   ```

1. Für den lokalen Nameserver in der lokalen Region Nordamerika:

   Gehostete Zone: `na.hr.example.net` NS IP: `10.0.0.50`

   ```
   $TTL    86400 ; 24 hours
   $ORIGIN na.hr.example.net
   @  1D  IN     SOA @    root (20200322001 3H 15 1w 3h)
   @  1D  IN  NS @
   ns3.na.hr.example.net. IN A 10.0.0.50
   test.na.hr.example.com  IN A 9.10.11.12
   ```

**Einrichtung des VPC-Resolvers**
+ Für den VPC Resolver müssen Sie Weiterleitungsregeln und Delegierungsregeln einrichten:

  **Regeln weiterleiten**

  1. Gehen Sie wie folgt vor, um die ursprüngliche Anfrage weiterzuleiten, sodass die Anfragen an die übergeordnete gehostete Zone `hr.example.com` am zentralen Standort weitergeleitet werden:

     Domänenname: Ziel-IPs: `hr.example.com` `10.0.0.20`

  1. Für die Weiterleitung des out-of-zone Delegierungsdatensatzes, sodass der VPC Resolver die IP-Adresse des delegierten Nameservers kennt, um die erste Anfrage weiterzuleiten:

     Domänenname: Ziel-IPs: `hr.example.net` `10.0.0.50`

  **Regeln für die Delegierung**

  1. Delegierungsregel für die Delegierung innerhalb der Zone:

     Delegierungsdatensatz: `hr.example.com`

  1. Delegierungsregel für die Delegierung außerhalb der Zone:

     Delegationsdatensatz: `hr.example.net`

# Aktivieren der DNSSEC-Validierung in Amazon Route 53
<a name="resolver-dnssec-validation"></a>

Wenn Sie die DNSSEC-Validierung für eine Virtual Private Cloud (VPC) in Amazon Route 53 aktivieren, werden DNSSEC-Signaturen kryptografisch überprüft, um sicherzustellen, dass die Antwort nicht manipuliert wurde. Sie aktivieren die DNSSEC-Validierung auf Ihrer VPC Detailseite. 

Die DNSSEC-Validierung wird von VPC Resolver auf öffentlich signierte Namen angewendet, wenn er eine rekursive DNS-Auflösung durchführt. 

Wenn der VPC-Resolver jedoch an einen anderen DNS-Resolver weiterleitet, führt dieser Resolver eine rekursive DNS-Auflösung durch und muss daher auch die DNSSEC-Validierung anwenden.

**Wichtig**  
Die Aktivierung der DNSSEC-Validierung kann sich auf die DNS-Auflösung für öffentliche DNS-Einträge aus AWS -Ressourcen in einer VPC, was zu einem Nutzungsausfall führen könnte. Beachten Sie, dass die Aktivierung oder Deaktivierung der DNSSEC-Validierung einige Minuten dauern kann. 

**Anmerkung**  
Derzeit ignoriert der Route 53 VPC Resolver in Ihrer VPC (auch bekannt als AmazonProvided DNS) das DO (DNSSEC OK) EDNS-Header-Bit und das CD-Bit (Checking Disabled) in der DNS-Abfrage. Wenn Sie DNSSEC konfiguriert haben, bedeutet dies, dass der VPC-Resolver zwar eine DNSSEC-Validierung durchführt, aber weder DNSSEC-Einträge zurückgibt noch das AD-Bit in der Antwort festlegt. Daher wird die Durchführung Ihrer eigenen DNSSEC-Validierung derzeit vom VPC Resolver nicht unterstützt. Wenn Sie dies ausführen müssen, müssen Sie Ihre eigene rekursive DNS-Auflösung durchführen.<a name="resolver-dnssec-validation-procedure"></a>

**So aktivieren Sie die DNSSEC-Validierung für eine VPC**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. Wählen Sie im Navigationsbereich unter **VPC Resolver** die Option. **VPCs**

1. Aktivieren Sie das Kontrollkästchen unter **DNSSEC-Validierung**. Wenn das Kontrollkästchen bereits aktiviert ist, können Sie es deaktivieren, um die DNSSEC-Validierung zu deaktivieren.

   Beachten Sie, dass die Aktivierung oder Deaktivierung der DNSSEC-Validierung einige Minuten dauern kann.