Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Transférer les DNS requêtes entrantes à votre VPCs
Pour transférer les DNS requêtes de votre réseau vers Resolver, vous devez créer un point de terminaison entrant. Un point de terminaison entrant indique les adresses IP (à partir de la plage d'adresses IP dont vous disposezVPC) auxquelles vous souhaitez que DNS les résolveurs de votre réseau transmettent les DNS requêtes. Ces adresses IP ne sont pas des adresses IP publiques. Par conséquent, pour chaque point de terminaison entrant, vous devez vous connecter VPC à votre réseau à l'aide d'une AWS Direct Connect connexion ou d'une VPN connexion.
Rubriques
Configuration du réacheminement entrant
Pour créer un point de terminaison entrant, utilisez la procédure suivante.
Créer un point de terminaison entrant
Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/
. Dans le panneau de navigation, choisissez Inbound endpoints (Points de terminaison entrants).
Dans la barre de navigation, choisissez la région dans laquelle vous voulez créer un point de terminaison entrant.
Choisissez Create inbound endpoint (Créer point de terminaison entrant).
Entrez les valeurs applicables. Pour plus d'informations, veuillez consulter Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants.
Sélectionnez Créer.
Configurez DNS des résolveurs sur votre réseau pour transférer les DNS requêtes applicables aux adresses IP de votre point de terminaison entrant. Pour plus d'informations, reportez-vous à la documentation de votre DNS application.
Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants
Lorsque vous créez ou modifiez un point de terminaison entrant, spécifiez les valeurs suivantes :
- ID Outpost
Si vous créez le point de terminaison d'un résolveur sur un AWS Outposts VPC, il s'agit de l' AWS Outposts ID.
- Nom du point de terminaison
Un nom convivial vous permettant de retrouver facilement le point de terminaison entrant sur le tableau de bord.
- VPCdans la région portant le nom de la région
Toutes les DNS requêtes entrantes provenant de votre réseau passent par ce canal avant d'être VPC acheminées vers Resolver.
- Groupe de sécurité de ce point de terminaison
L'ID d'un ou de plusieurs groupes de sécurité que vous souhaitez utiliser pour contrôler l'accès à ce groupeVPC. Le groupe de sécurité que vous spécifiez doit inclure une ou plusieurs règles entrantes. Les règles de trafic entrant doivent autoriser TCP l'UDPaccès au port 53. Vous ne pouvez pas modifier cette valeur après avoir créé un point de terminaison.
Certaines règles de groupe de sécurité entraînent le suivi de votre connexion et le nombre maximum de requêtes par seconde et par adresse IP pour un point de terminaison entrant peut être inférieur à 1 500. Pour éviter le suivi des connexions causé par un groupe de sécurité, consultez la section Connexions non suivies.
Note
Pour ajouter plusieurs groupes de sécurité, utilisez la AWS CLI commande
create-resolver-endpoint. Pour plus d'informations, voir create-resolver-endpointPour plus d'informations, consultez la section Groupes de sécurité qui vous VPC concernent dans le guide de VPC l'utilisateur Amazon.
- Type de point de terminaison
Le type de point de terminaison peut être soit IPv4 IPv6 des adresses IP à double pile. Pour un point de terminaison à double pile, le point de terminaison disposera à la fois IPv4 d'une IPv6 adresse à laquelle votre DNS résolveur sur votre réseau pourra transférer les DNS requêtes.
Note
Pour des raisons de sécurité, nous refusons l'accès direct au IPv6 trafic depuis l'Internet public pour toutes les adresses IPv6 IP et à double pile.
- Adresses IP
Les adresses IP auxquelles vous souhaitez que DNS les résolveurs de votre réseau transmettent les DNS requêtes. Nous vous demandons de spécifier au moins deux adresses IP pour la redondance. Notez ce qui suit :
- Plusieurs zones de disponibilité
Nous vous recommandons de spécifier des adresses IP dans au moins deux zones de disponibilité. Si vous le souhaitez, vous pouvez spécifier des adresses IP supplémentaires dans ces zones de disponibilité ou dans d'autres.
- Adresses IP et interfaces réseau Amazon VPC Elastic
Pour chaque combinaison de zone de disponibilité, de sous-réseau et d'adresse IP que vous spécifiez, Resolver crée une interface Amazon VPC Elastic network. Pour connaître le nombre maximal actuel de DNS requêtes par seconde et par adresse IP sur un point de terminaison, consultezQuotas sur Route 53 Resolver. Pour plus d'informations sur la tarification pour chaque interface réseau Elastic, veuillez consulter la section « Amazon Route 53 » sur la page de tarification d'Amazon Route 53
.
Note
Le point de terminaison Resolver possède une adresse IP privée. Ces adresses IP ne changeront pas au cours de la durée de vie d'un point de terminaison.
Pour chaque adresse IP, spécifiez les valeurs suivantes. Chaque adresse IP doit se trouver dans une zone de disponibilité de celle VPC que vous avez spécifiée VPCdans la région du nom de région.
- Zone de disponibilité
La zone de disponibilité par laquelle vous souhaitez que les DNS requêtes soient transmises avant d'être acheminées vers votreVPC. La zone de disponibilité que vous spécifiez doit être configurée avec un sous-réseau.
- Sous-réseau
Le sous-réseau qui contient les adresses IP que vous souhaitez attribuer à votre point de terminaison Resolver. ENIs Voici les adresses auxquelles vous allez envoyer DNS vos demandes. Le sous-réseau doit avoir une adresse IP disponible.
L'adresse IP du sous-réseau doit correspondre au type de point de terminaison.
- Adresse IP
Adresse IP à laquelle vous souhaitez transférer DNS les requêtes.
Choisissez si vous souhaitez que Resolver choisisse une adresse IP pour vous parmi les adresses IP disponibles dans le sous-réseau indiqué, ou si vous voulez indiquer l'adresse IP vous-même.
Si vous choisissez de spécifier vous-même l'adresse IP, entrez une IPv6 adresse IPv4 ou, ou les deux.
- Protocoles
Le protocole de point de terminaison détermine la manière dont les données sont transmises à un point de terminaison entrant. Choisissez un ou plusieurs protocoles en fonction du niveau de sécurité requis.
Do53 : (Par défaut) Les données sont relayées à l'aide du Route 53 Resolver sans chiffrement supplémentaire. Bien que les données ne puissent pas être lues par des parties externes, elles peuvent être consultées au sein des réseaux AWS .
DoH : Les données sont transmises via une HTTPS session cryptée. Le DoH ajoute un niveau de sécurité supplémentaire selon lequel les données ne peuvent pas être déchiffrées par des utilisateurs non autorisés et ne peuvent être lues par personne d'autre que le destinataire prévu.
DoH- FIPS : Les données sont transmises via une HTTPS session cryptée conforme à la norme cryptographique FIPS 140-2. Pris en charge uniquement pour les points de terminaison entrants. Pour plus d'informations, consultez la section FIPSPUB140-2
.
Pour un point de terminaison entrant, vous pouvez appliquer les protocoles comme suit :
Do53 et DoH en combinaison.
Do53 et DoH- FIPS en combinaison.
Do53 uniquement.
DoH uniquement.
DoH- FIPS seul.
Aucun, qui est traité comme Do53.
Important
Vous ne pouvez pas modifier le protocole d'un point de terminaison entrant directement de Do53 à DoH uniquement, ou DoH-. FIPS Cela permet d'éviter une interruption soudaine du trafic entrant qui repose sur Do53. Pour changer le protocole de Do53 à DoH, ou DoH-FIPS, vous devez d'abord activer Do53 et DoH, ou Do53 et DoH-FIPS, pour vous assurer que tout le trafic entrant a été transféré vers le protocole DoH, ou DoH-, puis supprimer le Do53. FIPS
- Balises
Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez indiquer Cost center (Centre de coûts) pour Key (Clé) et 456 pour Value (Valeur).
