Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Qu'est-ce que Route 53 VPC Resolver ?
Route 53 VPC Resolver répond de manière récursive aux requêtes DNS provenant AWS des ressources relatives aux archives publiques, aux noms DNS spécifiques à Amazon VPC et aux zones hébergées privées Amazon Route 53. Il est disponible par défaut dans tous les domaines. VPCs
**Note**
Le résolveur VPC Route 53 était auparavant appelé Route 53 Resolver, mais il a été renommé lors de l'introduction de Route 53 Global Resolver.
Un Amazon VPC se connecte à un résolveur VPC via une adresse IP VPC\$12. Cette adresse VPC\$12 se connecte à un résolveur VPC au sein d'une zone de disponibilité.
Un résolveur VPC répond automatiquement aux requêtes DNS pour :
+ Noms de domaine VPC locaux pour les instances EC2 (par exemple, ec2-192-0-2-44.compute-1.amazonaws.com).
+ Enregistrements dans des zones hébergées privées (par exemple, acme.exemple.com).
+ Pour les noms de domaine public, VPC Resolver effectue des recherches récursives sur les serveurs de noms publics sur Internet.
Si vos charges de travail exploitent à la fois les ressources locales VPCs et les ressources locales, vous devez également résoudre les enregistrements DNS hébergés sur site. De même, ces ressources locales peuvent avoir besoin de résoudre les noms hébergés sur AWS. Grâce aux points de terminaison du résolveur et aux règles de transfert conditionnel, vous pouvez résoudre les requêtes DNS entre vos ressources locales et VPCs créer une configuration de cloud hybride via VPN ou Direct Connect (DX). En particulier :
+ Les points de terminaison du Résolveur entrants autorisent les requêtes DNS vers votre VPC à partir de votre réseau sur site ou d'un autre VPC.
+ Les points de terminaison du Résolveur sortants autorisent les requêtes DNS depuis votre VPC vers votre réseau sur site ou vers un autre VPC.
+ Les règles du Résolveur vous permettent de créer une règle de réacheminement pour chaque nom de domaine et de spécifier le nom du domaine pour lequel vous souhaitez réacheminer les requêtes DNS depuis votre VPC vers un résolveur DNS sur site et depuis votre site vers votre VPC. Les règles sont appliquées directement à votre VPC et peuvent être partagées entre plusieurs comptes.
Le schéma suivant montre la résolution DNS hybride avec les points de terminaison du Résolveur. Notez que le diagramme est simplifié pour n'afficher qu'une seule zone de disponibilité.
![\[Graphique conceptuel qui montre le chemin d'une requête DNS depuis votre VPC vers votre stockage de données sur site via un point de terminaison sortant du résolveur VPC Route 53 et le chemin depuis un résolveur DNS sur le point de terminaison entrant de votre réseau vers le VPC.\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/images/Resolver-routing.png)
Le diagramme suivant illustre les étapes suivantes :
**Sortant (flèches pleines 1–5) :**
1. Une instance Amazon EC2 doit résoudre une requête DNS sur le domaine internal.exemple.com. Le serveur DNS faisant autorité se trouve dans le centre de données sur site. Cette requête DNS est envoyée au VPC\$12 dans le VPC qui se connecte au VPC Resolver.
1. Une règle de transfert VPC Resolver est configurée pour transférer les requêtes vers internal.example.com dans le centre de données local.
1. La requête est transmise à un point de terminaison sortant.
1. Le point de terminaison sortant transmet la requête au résolveur DNS local via une connexion privée entre AWS et le centre de données. La connexion peut être l'une Direct Connect ou l'autre AWS Site-to-Site VPN, décrite comme une passerelle privée virtuelle.
1. Le résolveur DNS sur site résout la requête DNS pour internal.exemple.com et renvoie la réponse à l'instance Amazon EC2 via le même chemin en sens inverse.
**Entrant (flèches pointillées a-d) :**
1. Un client du centre de données sur site doit résoudre une requête DNS vers une AWS ressource pour le domaine dev.example.com. Il envoie la requête au résolveur DNS sur site.
1. Le résolveur DNS sur site dispose d'une règle de transfert qui dirige les requêtes vers dev.exemple.com vers un point de terminaison entrant.
1. La requête arrive au point de terminaison entrant via une connexion privée, telle que Direct Connect ou AWS Site-to-Site VPN décrite comme une passerelle virtuelle.
1. Le point de terminaison entrant envoie la requête à VPC Resolver, et VPC Resolver résout la requête DNS pour dev.example.com et renvoie la réponse au client via le même chemin en sens inverse.
**Topics**
+ [
# Résolution des requêtes DNS entre VPCs et votre réseau
](resolver-overview-DSN-queries-to-vpc.md)
+ [
# Disponibilité et évolutivité du résolveur VPC Route 53
](resolver-availability-scaling.md)
+ [
# Démarrage avec Route 53 VPC Resolver
](resolver-getting-started.md)
+ [
# Transfert des requêtes DNS entrantes vers votre VPCs
](resolver-forwarding-inbound-queries.md)
+ [
# Réacheminement des requêtes DNS sortantes vers votre réseau
](resolver-forwarding-outbound-queries.md)
+ [
# Tutoriel sur les règles de délégation Resolver
](outbound-delegation-tutorial.md)
+ [
# Activation de la validation DNSSEC dans Amazon Route 53
](resolver-dnssec-validation.md)
# Résolution des requêtes DNS entre VPCs et votre réseau
Le résolveur VPC contient des points de terminaison que vous configurez pour répondre aux requêtes DNS à destination et en provenance de votre environnement sur site.
**Note**
Le transfert de requêtes DNS privées vers n'importe quelle adresse VPC CIDR \$12 à partir de serveurs DNS VPC locaux ou d'autres serveurs DNS VPC n'est pas pris en charge et peut entraîner des résultats instables. À la place, nous vous recommandons d'utiliser un point de terminaison entrant Resolver.
Vous pouvez également intégrer la résolution DNS entre le résolveur VPC et les résolveurs DNS de votre réseau en configurant des règles de transfert. *Votre réseau* peut inclure tous les réseaux accessibles depuis votre VPC, par exemple :
+ Le VPC lui-même
+ Un autre VPC appairé
+ Réseau sur site connecté à AWS une passerelle VPN ou NAT (Network Address Translation) Direct Connect
Avant de commencer à transférer des requêtes, vous créez les points de terminaison entrants et and/or sortants du résolveur dans le VPC connecté. Ces points de terminaison fournissent un chemin pour les requêtes entrantes ou sortantes :
**Point de terminaison entrant : les résolveurs DNS de votre réseau peuvent transmettre les requêtes DNS au résolveur VPC Route 53 via ce point de terminaison**
Il existe deux types de points de terminaison entrants : un point de **terminaison entrant par défaut** qui transmet aux adresses IP et un point de **terminaison entrant de délégation** qui délègue l'autorité d'un sous-domaine hébergé dans la zone hébergée privée Route 53 au résolveur VPC Route 53. Les points de terminaison entrants permettent à vos résolveurs DNS de résoudre facilement les noms de domaine pour des AWS ressources telles que des instances EC2 ou des enregistrements dans une zone hébergée privée Route 53. Pour de plus amples informations, veuillez consulter [Comment les résolveurs DNS de votre réseau transmettent les requêtes DNS aux points de terminaison du résolveur](resolver-overview-forward-network-to-vpc.md).
**Point de terminaison sortant : VPC Resolver transmet de manière conditionnelle les requêtes aux résolveurs de votre réseau via ce point de terminaison**
Pour transférer les requêtes sélectionnées, vous créez des règles de résolution qui spécifient les noms de domaine des requêtes DNS que vous souhaitez transférer (par exemple, exemple.com), ainsi que les adresses IP des résolveurs DNS de votre réseau vers lesquels vous souhaitez transférer les requêtes. Si une requête correspond à plusieurs règles (exemple.com, acme.exemple.com), VPC Resolver choisit la règle ayant la correspondance la plus spécifique (acme.exemple.com) et réachemine la requête vers les adresses IP que vous avez indiquées dans cette règle. Il existe trois types de règles : les règles **directes**, les règles de **système** et les règles de **délégation**. Pour de plus amples informations, veuillez consulter [Comment les points de terminaison Resolver transfèrent les requêtes DNS de vous VPCs vers votre réseau](resolver-overview-forward-vpc-to-network.md).
Comme Amazon VPC, VPC Resolver est régional. Dans chaque région où vous vous trouvez VPCs, vous pouvez choisir de transférer les requêtes de votre réseau VPCs vers votre réseau (requêtes sortantes), de votre réseau vers le vôtre VPCs (requêtes entrantes), ou les deux.
Vous ne pouvez pas créer de points de terminaison de résolveur dans un VPC dont vous n'êtes pas le propriétaire. Seul le propriétaire du VPC peut créer des ressources de niveau VPC telles que des points de terminaison entrants.
**Note**
Lorsque vous créez un point de terminaison Resolver, vous ne pouvez pas indquer un VPC doté de l'attribut de location d'instance défini sur `dedicated`. Pour plus d'informations, veuillez consulter [Utilisation d'un résolveur VPC configuré pour la VPCs location d'instance dédiée](resolver-choose-vpc.md#resolver-considerations-dedicated-instance-tenancy).
Pour utiliser le réacheminement entrant ou sortant, créez un point de terminaison Resolver dans votre VPC. Dans le cadre de la définition d'un point de terminaison, vous spécifiez les adresses IP, ou délégation DNS, vers lesquelles vous souhaitez transférer les requêtes DNS entrantes ou les adresses IP dont vous souhaitez que les requêtes sortantes proviennent. Pour chaque adresse IP et délégation que vous spécifiez, VPC Resolver crée automatiquement une interface VPC Elastic network.
Le diagramme suivant montre le chemin d'une requête DNS à partir d'un résolveur DNS sur votre réseau vers les points de terminaison Route 53 Resolver.
![\[Graphique conceptuel qui montre le chemin d'une requête DNS à partir d'un résolveur DNS sur votre réseau vers les points de terminaison Route 53 Resolver.\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/images/Resolver-inbound-endpoint.png)
Le schéma suivant montre le chemin d'une requête DNS depuis une instance EC2 de l'un de vous VPCs vers un résolveur DNS de votre réseau. Le domaine jyo.example.com utilise une règle de transfert, tandis que le sous-domaine ric.example.com a délégué l'autorité de transfert à VPC Resolver.
![\[Graphique conceptuel qui montre le chemin d'une requête DNS de votre réseau vers Route 53 VPC Resolver.\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/images/Resolver-outbound-endpoint.png)
Pour une présentation des interfaces réseau VPC, veuillez consulter [Interfaces réseau Elastic](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) dans le *Guide de l'utilisateur Amazon VPC*.
**Rubriques**
+ [Comment les résolveurs DNS de votre réseau transmettent les requêtes DNS aux points de terminaison du résolveur](resolver-overview-forward-network-to-vpc.md)
+ [Comment les points de terminaison Resolver transfèrent les requêtes DNS de vous VPCs vers votre réseau](resolver-overview-forward-vpc-to-network.md)
+ [Considérations lors de la création de points de terminaison entrants et sortants](resolver-choose-vpc.md)
# Comment les résolveurs DNS de votre réseau transmettent les requêtes DNS aux points de terminaison du résolveur
Pour transférer les requêtes DNS de votre réseau vers Route 53 VPC Resolver, vous devez créer des points de terminaison entrants dans une région. AWS **Il existe deux catégories de points de terminaison entrants : les points **par défaut** et les points de terminaison délégués.**
**Étapes de création de points de terminaison entrants par défaut**
1. Vous créez un point de terminaison entrant de résolution par défaut dans un VPC et vous spécifiez les adresses IP auxquelles les résolveurs de votre réseau transmettent les requêtes DNS, ainsi qu'un groupe de sécurité VPC qui inclut des règles entrantes autorisant l'accès TCP et UDP sur le port 53. Pour obtenir des instructions, consultez [Configuration du réacheminement entrant](resolver-forwarding-inbound-queries-configuring.md).
Pour chaque adresse IP que vous spécifiez pour le point de terminaison entrant, VPC Resolver crée une interface réseau élastique VPC dans le VPC où vous avez créé le point de terminaison entrant.
1. Configurez les résolveurs sur votre réseau pour réacheminer les requêtes DNS pour les noms de domaine applicables vers les adresses IP indiquées dans le point de terminaison entrant. Pour de plus amples informations, veuillez consulter [Considérations lors de la création de points de terminaison entrants et sortants](resolver-choose-vpc.md).
**Voici comment VPC Resolver résout les requêtes DNS provenant de votre réseau via un point de terminaison entrant par défaut :**
1. Un navigateur Web ou une autre application de votre réseau envoie une requête DNS pour un nom de domaine que vous avez transféré à VPC Resolver.
1. Un résolveur de votre réseau réachemine la requête vers les adresses IP de votre point de terminaison entrant.
1. Le point de terminaison entrant transmet la requête à VPC Resolver.
1. VPC Resolver obtient la valeur applicable pour le nom de domaine dans la requête DNS, soit en interne, soit en effectuant une recherche récursive sur des serveurs de noms publics.
1. VPC Resolver renvoie la valeur au point de terminaison entrant.
1. Le point de terminaison entrant renvoie la valeur au résolveur de votre réseau.
1. Le résolveur de votre réseau renvoie la valeur à l'application.
1. À l'aide de la valeur renvoyée par VPC Resolver, l'application envoie une demande, par exemple une demande pour un objet dans un compartiment Amazon S3.
**Étapes de création de points de terminaison entrants de délégation**
1. Vous créez un point de terminaison entrant de résolution de délégation dans un VPC. Pour obtenir des instructions, consultez [Configuration du réacheminement entrant](resolver-forwarding-inbound-queries-configuring.md).
Pour chaque adresse IP que vous spécifiez pour le point de terminaison entrant, VPC Resolver crée une interface réseau élastique VPC dans le VPC où vous avez créé le point de terminaison entrant.
1. Vous configurez des résolveurs sur votre réseau pour déléguer les requêtes DNS pour les noms de domaine applicables à VPC Resolver. Pour les enregistrements Glue, vous devez saisir les adresses IP des points de terminaison entrants. Pour de plus amples informations, veuillez consulter [Considérations lors de la création de points de terminaison entrants et sortants](resolver-choose-vpc.md).
**Voici comment VPC Resolver résout les requêtes DNS provenant de votre réseau via un point de terminaison entrant de délégation :**
1. Comme condition préalable, vous devez déléguer le sous-domaine hébergé dans la zone hébergée privée depuis le local. Comme vous déléguez le sous-domaine via le point de terminaison de délégation entrant, vous utilisez les adresses IP du point de terminaison entrant comme enregistrements de référence pour le sous-domaine délégué.
**Note**
Vous devrez peut-être également inclure les enregistrements de colle pour vous assurer que la requête DNS peut être résolue. Si vous déléguez un sous-domaine à des serveurs de noms situés dans la même zone que le domaine parent, des enregistrements collés sont nécessaires.
1. Un navigateur Web ou une autre application de votre réseau envoie une requête DNS pour un nom de domaine que vous avez délégué au résolveur VPC.
1. Un résolveur de votre réseau réachemine la requête vers les adresses IP de votre point de terminaison entrant.
1. Le point de terminaison entrant délègue la requête à VPC Resolver.
1. VPC Resolver renvoie l'adresse de la AWS ressource depuis la zone hébergée privée vers le point de terminaison entrant.
1. Le point de terminaison entrant renvoie la valeur au résolveur de votre réseau.
1. Le résolveur de votre réseau renvoie la valeur à l'application.
1. À l'aide de la valeur renvoyée par VPC Resolver, l'application envoie une demande, par exemple une demande pour un objet dans un compartiment Amazon S3.
La création d'un point de terminaison entrant ne modifie pas le comportement de VPC Resolver, elle fournit simplement un chemin entre un emplacement extérieur au AWS réseau et VPC Resolver.
# Comment les points de terminaison Resolver transfèrent les requêtes DNS de vous VPCs vers votre réseau
Lorsque vous souhaitez transférer des requêtes DNS depuis les instances EC2 d'une ou de plusieurs VPCs instances d'une AWS région vers votre réseau, vous devez effectuer les étapes suivantes.
1. Vous créez un point de terminaison sortant Resolver dans un VPC et vous spécifiez plusieurs valeurs :
+ Le VPC par lequel vous voulez que les requêtes DNS transitent lors de leur transfert vers les résolveurs de votre réseau.
+ Un [groupe de sécurité VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) qui inclut des règles sortantes autorisant l'accès TCP et UDP sur le port 53 (ou le port que vous utilisez pour les requêtes DNS sur votre réseau)
Pour chaque adresse IP que vous spécifiez pour le point de terminaison sortant, VPC Resolver crée une interface Amazon VPC Elastic network dans le VPC que vous spécifiez. Pour de plus amples informations, veuillez consulter [Considérations lors de la création de points de terminaison entrants et sortants](resolver-choose-vpc.md).
1. Vous créez une ou plusieurs règles, qui spécifient les noms de domaine des requêtes DNS que vous souhaitez déléguer à VPC Resolver pour les transférer, ou que vous souhaitez que VPC Resolver transfère aux résolveurs de votre réseau. Pour les règles de transfert, vous spécifiez également les adresses IP des résolveurs. Pour de plus amples informations, veuillez consulter [Utilisation de règles pour contrôler les requêtes qui sont réacheminées vers votre réseau](resolver-overview-forward-vpc-to-network-using-rules.md).
1. Vous associez chaque règle à celle VPCs pour laquelle vous souhaitez transférer les requêtes DNS vers votre réseau.
# Utilisation de règles pour contrôler les requêtes qui sont réacheminées vers votre réseau
Les règles contrôlent les requêtes DNS que le point de terminaison du résolveur transmet aux résolveurs DNS de votre réseau et les requêtes auxquelles VPC Resolver répond lui-même.
Vous pouvez classer les règles de deux façons. Par exemple, par l'auteur des règles :
+ **Règles définies automatiquement** : VPC Resolver crée automatiquement des règles définies automatiquement et les associe à vos. VPCs La plupart de ces règles s'appliquent aux noms de domaine AWS spécifiques pour lesquels VPC Resolver répond aux requêtes. Pour de plus amples informations, veuillez consulter [Noms de domaine pour lesquels VPC Resolver crée des règles système définies automatiquement](resolver-overview-forward-vpc-to-network-autodefined-rules.md).
+ **Règles personnalisées** : vous créez des règles personnalisées et vous les associez à VPCs. Actuellement, vous pouvez créer deux types de règles personnalisées : les règles de **transfert conditionnelles**, également appelées règles de transfert, et les **règles de délégation**. Les règles de **transfert** obligent VPC Resolver à transférer les requêtes DNS de vos adresses IP VPCs vers les résolveurs DNS de votre réseau.
Si vous créez une règle de transfert pour le même domaine en tant que règle définie automatiquement, VPC Resolver transmet les requêtes pour ce nom de domaine aux résolveurs DNS de votre réseau en fonction des paramètres de la règle de transfert.
**Les règles de délégation** transmettent les requêtes DNS avec les enregistrements de délégation figurant dans la règle de délégation qui correspondent aux enregistrements NS en réponse aux résolveurs de votre réseau.
Les règles peuvent aussi être classées selon leur action :
+ **Règles de réacheminement conditionnel** - Vous créez des règles de réacheminement conditionnel (également appelées règles de réacheminement) lorsque vous souhaitez réacheminer les requêtes DNS pour des noms de domaine indiqués vers les résolveurs DNS de votre réseau.
+ **Règles du système** : les règles du système obligent VPC Resolver à remplacer de manière sélective le comportement défini dans une règle de transfert. Lorsque vous créez une règle système, VPC Resolver résout les requêtes DNS pour des sous-domaines spécifiques qui seraient autrement résolues par les résolveurs DNS de votre réseau.
Par défaut, les règles de réacheminement s'appliquent à un nom de domaine et à tous ses sous-domaines. Si vous souhaitez réacheminer les requêtes d'un domaine vers un résolveur de votre réseau, mais pas celles de certains sous-domaines, créez une règle système pour les sous-domaines. Par exemple, si vous créez une règle de réacheminement pour exemple.com, mais que vous ne voulez pas réacheminer les requêtes pour acme.exemple.com, créez une règle système et indiquez acme.exemple.com pour le nom de domaine.
+ **Règle récursive** **: VPC Resolver crée automatiquement une règle récursive nommée Internet Resolver.** Cette règle oblige le résolveur VPC Route 53 à agir comme un résolveur récursif pour tous les noms de domaine pour lesquels vous n'avez pas créé de règles personnalisées et pour lesquels le résolveur VPC n'a pas créé de règles définies automatiquement. Pour plus d'informations sur la façon de remplacer ce comportement, consultez la section « Réacheminement de toutes les requêtes vers votre réseau » dans la suite de cette rubrique.
Vous pouvez créer des règles personnalisées qui s'appliquent à des noms de domaine spécifiques (le vôtre ou la plupart des noms de AWS domaine), aux noms de AWS domaines publics ou à tous les noms de domaine.
**Réacheminement de requêtes pour des noms de domaines spécifiques vers votre réseau**
Pour réacheminer les requêtes pour un nom de domaine spécifique, par exemple exemple.com, vers votre réseau, créez une règle et spécifiez ce nom de domaine. Pour les règles de **transfert**, vous spécifiez également les adresses IP des résolveurs DNS de votre réseau vers lesquels vous souhaitez transférer les requêtes ou, pour les règles de **délégation**, vous créez l'enregistrement de délégation pour lequel vous souhaitez déléguer l'autorité à des résolveurs sur site. Vous associez ensuite chaque règle à celle VPCs pour laquelle vous souhaitez transférer les requêtes DNS vers votre réseau. Par exemple, vous pouvez créer des règles distinctes pour exemple.com, exemple.org et exemple.net. Vous pouvez ensuite associer les règles VPCs à celles d'une AWS région dans n'importe quelle combinaison.
**Réacheminement des requêtes pour amazonaws.com vers votre réseau**
Le nom de domaine amazonaws.com est le nom de domaine public pour les AWS ressources telles que les instances EC2 et les compartiments S3. Si vous souhaitez transférer des requêtes pour amazonaws.com vers votre réseau, créez une règle, spécifiez amazonaws.com pour le nom de domaine et spécifiez **Forward** ou **Delegation** pour le type de règle en fonction de la méthode que vous souhaitez utiliser.
VPC Resolver ne transmet pas automatiquement les requêtes DNS pour certains sous-domaines amazonaws.com, même si vous créez une règle de transfert pour amazonaws.com. Pour de plus amples informations, veuillez consulter [Noms de domaine pour lesquels VPC Resolver crée des règles système définies automatiquement](resolver-overview-forward-vpc-to-network-autodefined-rules.md). Pour plus d'informations sur la façon de remplacer ce comportement, consultez la section "Réacheminement de toutes les requêtes vers votre réseau" ci-dessous.
**Réacheminement de toutes les requêtes vers votre réseau**
Si vous souhaitez transférer toutes les requêtes vers votre réseau, vous devez créer une règle, en spécifiant «. » (point) pour le nom de domaine, et associez la règle à VPCs celle pour laquelle vous souhaitez transférer toutes les requêtes DNS vers votre réseau. Le résolveur VPC ne transmet toujours pas toutes les requêtes DNS à votre réseau, car l'utilisation d'un résolveur DNS extérieur AWS perturberait certaines fonctionnalités. Par exemple, certains noms de AWS domaine internes comportent des plages d'adresses IP internes qui ne sont pas accessibles de l'extérieur AWS. Pour obtenir la liste des noms de domaine pour lesquels les requêtes ne sont pas réacheminées vers votre réseau lorsque vous créez une règle pour « . », consultez [Noms de domaine pour lesquels VPC Resolver crée des règles système définies automatiquement](resolver-overview-forward-vpc-to-network-autodefined-rules.md).
Toutefois, les règles système autodéfinies pour le DNS inverse peuvent être désactivées, ce qui permet à la règle « . » de transférer toutes les requêtes DNS inverses vers votre réseau. Pour plus d'informations sur la désactivation des règles autodéfinies, veuillez consulter [Règles de transfert pour les requêtes DNS inversées dans VPC Resolver](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns).
Si vous souhaitez essayer de réacheminer les requêtes DNS pour tous les noms de domaine vers votre réseau, y compris les noms de domaine exclus du réacheminement par défaut, vous pouvez créer une règle « . » et effectuer l'une des actions suivantes :
+ Définissez l'indicateur `enableDnsHostnames` pour le VPC sur `false`
+ Créez des règles pour les noms de domaine répertoriés dans [Noms de domaine pour lesquels VPC Resolver crée des règles système définies automatiquement](resolver-overview-forward-vpc-to-network-autodefined-rules.md)
Si vous transférez tous les noms de domaine vers votre réseau, y compris les noms de domaine exclus par VPC Resolver lorsque vous créez une règle «. », certaines fonctionnalités risquent de ne plus fonctionner.
# Comment VPC Resolver détermine si le nom de domaine d'une requête correspond à des règles
Route 53 VPC Resolver compare le nom de domaine dans la requête DNS avec le nom de domaine dans les règles associées au VPC d'où provient la requête. VPC Resolver considère que les noms de domaine correspondent dans les cas suivants :
+ Les noms de domaine sont identiques.
+ Le nom de domaine de la requête est un sous-domaine du nom de domaine de la règle.
Par exemple, si le nom de domaine indiqué dans la règle est acme.example.com, VPC Resolver considère que les noms de domaine suivants correspondent dans une requête DNS :
+ acme.exemple.com
+ zenith.acme.exemple.com
Les noms de domaine suivants ne correspondent pas :
+ exemple.com
+ nadir.exemple.com
Si le nom de domaine d'une requête correspond au nom de domaine de plusieurs règles (par exemple exemple.com et www.exemple.com), VPC Resolver achemine les requêtes DNS sortantes en utilisant la règle qui contient le nom de domaine le plus spécifique (www.exemple.com).
# Comment VPC Resolver détermine où transférer les requêtes DNS
Lorsqu'une application qui s'exécute sur une instance EC2 dans un VPC envoie une requête DNS, Route 53 VPC Resolver exécute les étapes suivantes :
1. Resolver vérifie les noms de domaine dans les règles.
Si le nom de domaine d'une requête correspond au nom de domaine d'une règle de transfert par défaut, VPC Resolver transmet la requête à l'adresse IP que vous avez spécifiée lors de la création du point de terminaison sortant. Le point de terminaison sortant transmet ensuite la requête aux adresses IP des résolveurs de votre réseau, que vous avez spécifiées lorsque vous avez créé la règle.
Si l'enregistrement de délégation en réponse correspond à la règle de délégation, le résolveur délègue l'autorité aux résolveurs sur site via le point de terminaison sortant associé à la règle de délégation.
Pour de plus amples informations, veuillez consulter [Comment VPC Resolver détermine si le nom de domaine d'une requête correspond à des règles](resolver-overview-forward-vpc-to-network-domain-name-matches.md).
1. Le point de terminaison Resolver réachemine les requêtes DNS en fonction des paramètres de la règle « . ».
Si le nom de domaine d'une requête ne correspond au nom de domaine d'aucune autre règle, VPC Resolver transmet la requête en fonction des paramètres définis dans le « » défini automatiquement. règle (point). La règle des points s'applique à tous les noms de domaine, à l'exception de certains noms de domaine AWS internes et de certains noms d'enregistrement dans des zones hébergées privées. Cette règle oblige VPC Resolver à transférer les requêtes DNS aux serveurs de noms publics si les noms de domaine figurant dans les requêtes ne correspondent à aucun des noms figurant dans vos règles de transfert personnalisées. Si vous voulez transférer toutes les requêtes vers les résolveurs DNS de votre réseau, vous pouvez créer une règle de réacheminement personnalisée. Spécifiez « . » pour le nom de domaine, **Forwarding (Réacheminement)** pour le **Type (Type)**, ainsi que les adresses IP des résolveurs.
1. VPC Resolver renvoie la réponse à l'application qui a soumis la requête.
# Utilisation des règles dans plusieurs régions
Route 53 VPC Resolver étant un service régional, les objets que vous créez dans une AWS région ne sont disponibles que dans cette région. Pour utiliser la même règle dans plusieurs régions, vous devez créer la règle dans chaque région.
Le AWS compte qui a créé une règle peut partager la règle avec d'autres AWS comptes. Pour de plus amples informations, veuillez consulter [Partage des règles du résolveur avec d'autres AWS comptes et utilisation de règles partagées](resolver-rules-managing.md#resolver-rules-managing-sharing).
# Noms de domaine pour lesquels VPC Resolver crée des règles système définies automatiquement
Resolver crée automatiquement des règles systèmes autodéfinies, qui définissent la façon dont les requêtes sont résolues par défaut pour les domaines sélectionnés :
+ Pour les zones hébergées privées et pour les noms de domaines spécifiques à Amazon EC2 (par exemple compute.amazonaws.com et compute.internal), les règles autodéfinies garantissent que vos zones hébergées privées et vos instances EC2 continuent de se résoudre si vous créez des règles de réacheminement conditionnelles pour des noms de domaines moins spécifiques, par exemple « ». (point) ou « com ».
+ Pour les noms de domaines publiquement réservés (comme localhost et 10.in-addr.arpa), les bonnes pratiques DNS recommandent que les réponses aux requêtes soient fournies en local au lieu d'être réacheminées vers les serveurs de noms publics. Voir [RFC 6303, Locally Served DNS Zones (RFC 6303, zones DNS servies en local)](https://tools.ietf.org/html/rfc6303).
**Note**
Si vous créez une règle de réacheminement conditionnel pour « . » (point) ou « com », nous vous recommandons de créer également une règle système pour amazonaws.com. (Les règles du système obligent VPC Resolver à résoudre localement les requêtes DNS pour des domaines et sous-domaines spécifiques.) La création de cette règle système améliore les performances, réduit le nombre de requêtes transmises à votre réseau et réduit les frais liés au résolveur VPC.
Si vous souhaitez remplacer une règle autodéfinie, vous pouvez créer une règle de réacheminement conditionnel pour le même nom de domaine.
Vous pouvez également désactiver certaines règles définies automatiquement. Pour de plus amples informations, veuillez consulter [Règles de transfert pour les requêtes DNS inversées dans VPC Resolver](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns).
VPC Resolver crée les règles définies automatiquement suivantes.
**Règles pour les zones hébergées privées**
Pour chaque zone hébergée privée que vous associez à un VPC, VPC Resolver crée une règle et l'associe au VPC. Si vous associez la zone hébergée privée à plusieurs VPCs, VPC Resolver associe la règle à la même zone. VPCs
La règle dispose d'un type **Forward (Réacheminer)**.
**Règles relatives aux différents noms de domaine AWS internes**
Toutes les règles pour les noms de domaine internes de cette section sont de type **Forward (Réacheminer)**. VPC Resolver transmet les requêtes DNS pour ces noms de domaine aux serveurs de noms faisant autorité pour le VPC.
VPC Resolver crée la plupart de ces règles lorsque vous définissez l'`enableDnsHostnames`indicateur d'un VPC sur. `true` VPC Resolver crée les règles même si vous n'utilisez pas de points de terminaison du résolveur.
VPC Resolver crée les règles définies automatiquement suivantes et les associe à un VPC lorsque vous définissez l'indicateur `enableDnsHostnames` permettant au VPC de : `true`
+ *Region-name*.compute.internal, par exemple, eu-west-1.compute.internal. La région us-east-1 n'utilise pas ce nom de domaine.
+ *Region-name*.calculer. *amazon-domain-name*, par exemple, eu-west-1.compute.amazonaws.com ou cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn. La région us-east-1 n'utilise pas ce nom de domaine.
+ ec2.internal. Seule la région us-east-1 utilise ce nom de domaine.
+ compute-1.internal. Seule la région us-east-1 utilise ce nom de domaine.
+ compute-1.amazonaws.com. Seule la région us-east-1 utilise ce nom de domaine.
Les règles définies automatiquement suivantes concernent la recherche DNS inversée pour les règles créées par VPC Resolver lorsque vous définissez `enableDnsHostnames` l'indicateur du VPC sur. `true`
+ 10.in-addr.arpa
+ 16.172.in-addr.arpa via 31.172.in-addr.arpa
+ 168.192.in-addr.arpa
+ 254.169.254.169.in-addr.arpa
+ Règles pour chacune des plages d'adresses CIDR pour le VPC. Par exemple, si un VPC possède une plage d'adresses CIDR de 10.0.0.0/23, VPC Resolver crée les règles suivantes :
+ 0.0.10.in-addr.arpa
+ 1.0.10.in-addr.arpa
Les règles autodéfinies suivantes, pour les domaines associés à localhost, sont également créées et associées à un VPC lorsque vous définissez l'indicateur `enableDnsHostnames` pour le VPC sur `true` :
+ localhost
+ localdomain
+ 127.in-addr.arpa
+ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
+ 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
VPC Resolver crée les règles définies automatiquement suivantes et les associe à votre VPC lorsque vous connectez le VPC à un autre VPC via une passerelle de transit ou un peering VPC, et lorsque le support DNS est activé :
+ La recherche DNS inverse pour les plages d'adresses IP du VPC appairé, par exemple, 0.192.in-addr.arpa
Si vous ajoutez un bloc IPv4 CIDR à un VPC, VPC Resolver ajoute une règle définie automatiquement pour la nouvelle plage d'adresses IP.
+ Si l'autre VPC est dans une autre région, les noms de domaine suivants :
+ *Region-name*.compute.interne. La région us-east-1 n'utilise pas ce nom de domaine.
+ *Region-name*.calculer. *amazon-domain-name*. La région us-east-1 n'utilise pas ce nom de domaine.
+ ec2.internal. Seule la région us-east-1 utilise ce nom de domaine.
+ compute-1.amazonaws.com. Seule la région us-east-1 utilise ce nom de domaine.
**Une règle pour tous les autres domaines**
VPC Resolver crée un «. » règle (point) qui s'applique à tous les noms de domaine qui ne sont pas spécifiés plus haut dans cette rubrique. La règle «. » est de type **récursif**, ce qui signifie qu'elle oblige le résolveur VPC à agir comme un résolveur récursif.
# Considérations lors de la création de points de terminaison entrants et sortants
Avant de créer des points de terminaison de résolution entrants et sortants dans une AWS région, prenez en compte les points suivants.
**Topics**
+ [
## Nombre de points de terminaison entrants et sortants dans chaque région
](#resolver-considerations-number-of-endpoints)
+ [
## Utilisation du même VPC pour les points de terminaison entrants et sortants
](#resolver-considerations-same-vpc-inbound-outbound)
+ [
## Points de terminaison entrants et zones hébergées privées
](#resolver-considerations-inbound-endpoint-private-zone)
+ [
## Appairage de VPC
](#resolver-considerations-vpc-peering)
+ [
## Adresses IP dans des sous-réseaux partagés
](#resolver-considerations-shared-subnets)
+ [
## Connexion entre votre réseau et le terminal dans VPCs lequel vous créez des points de terminaison
](#resolver-considerations-connection-between-network-and-vpcs)
+ [
## Lorsque vous partagez des règles, vous partagez également des points de terminaison sortants
](#resolver-considerations-share-rules-share-outbound-endpoints)
+ [
## Choisir des protocoles pour les points de terminaison
](#resolver-endpoint-protocol-considerations)
+ [
## Utilisation d'un résolveur VPC configuré pour la VPCs location d'instance dédiée
](#resolver-considerations-dedicated-instance-tenancy)
## Nombre de points de terminaison entrants et sortants dans chaque région
Lorsque vous souhaitez intégrer le DNS d'une AWS région VPCs au DNS de votre réseau, vous avez généralement besoin d'un point de terminaison entrant Resolver (pour les requêtes DNS que vous transférez vers votre VPCs) et d'un point de terminaison sortant (pour les requêtes que vous transférez de votre VPCs vers votre réseau). Vous pouvez créer plusieurs points de terminaison entrants et sortants, mais un seul point de terminaison entrant ou sortant suffit pour traiter les requêtes DNS dans l'une ou l'autre direction. Notez ce qui suit :
+ Pour chaque point de terminaison Resolver, vous spécifiez deux ou plusieurs adresses IP dans différentes zones de disponibilité. Chaque adresse IP dans un point de terminaison peut traiter un grand nombre de requêtes DNS par seconde. (Pour le nombre maximum actuel de requêtes par seconde et par adresse IP dans un point de terminaison, consultez [Quotas sur le résolveur VPC Route 53](DNSLimitations.md#limits-api-entities-resolver).) Si vous avez besoin de VPC Resolver pour traiter davantage de requêtes, vous pouvez ajouter d'autres adresses IP à votre point de terminaison existant au lieu d'en ajouter un autre.
+ La tarification de VPC Resolver est basée sur le nombre d'adresses IP de vos points de terminaison et sur le nombre de requêtes DNS traitées par le point de terminaison. Chaque point de terminaison inclut un minimum de deux adresses IP. Pour plus d'informations sur la tarification de VPC Resolver, consultez la section Tarification d'[Amazon Route 53](https://aws.amazon.com/route53/pricing/).
+ Chaque règle spécifie le point de terminaison sortant à partir duquel les requêtes DNS sont transférées. Si vous créez plusieurs points de terminaison sortants au sein d'une région AWS et que vous souhaitez associer certaines ou toutes les règles Resolver avec chaque VPC, vous devez créer plusieurs copies de ces règles.
## Utilisation du même VPC pour les points de terminaison entrants et sortants
Vous pouvez créer des points de terminaison entrants et sortants dans le même VPC ou dans un autre VPCs dans la même région.
Pour de plus amples informations, veuillez consulter [Bonnes pratiques relatives à Amazon Route 53](best-practices.md).
## Points de terminaison entrants et zones hébergées privées
Si vous souhaitez que VPC Resolver résolve les requêtes DNS entrantes à l'aide des enregistrements d'une zone hébergée privée, associez la zone hébergée privée au VPC dans lequel vous avez créé le point de terminaison entrant. Pour plus d'informations sur l'association de zones hébergées privées à VPCs, consultez[Utilisation des zones hébergées privées](hosted-zones-private.md).
## Appairage de VPC
Vous pouvez utiliser n'importe quel VPC d'une AWS région pour un point de terminaison entrant ou sortant, que le VPC que vous choisissez soit apparié ou non à un autre. VPCs Pour en savoir plus, consultez [Amazon Virtual Private Cloud VPC Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).
## Adresses IP dans des sous-réseaux partagés
Lorsque vous créez un point de terminaison entrant ou sortant, vous pouvez spécifier une adresse IP dans un sous-réseau partagé uniquement si le compte actuel a créé le VPC. Si un autre compte crée un VPC et partage un sous-réseau dans le VPC avec votre compte, vous ne pouvez pas spécifier d'adresse IP dans ce sous-réseau. Pour plus d'informations sur les sous-réseaux partagés, consultez la section [Travailler avec le partage VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) dans le guide de l'*utilisateur Amazon VPC.*
## Connexion entre votre réseau et le terminal dans VPCs lequel vous créez des points de terminaison
Vous devez disposer de l'une des connexions suivantes entre votre réseau et le point de terminaison dans VPCs lequel vous créez :
+ **Points de terminaison entrants** - Vous devez configurer une connexion [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) ou une [connexion VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) entre votre réseau et chaque VPC pour lequel vous créez un point de terminaison entrant.
+ **Points de terminaison sortants** - Vous devez configurer une connexion [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html), une [connexion VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) ou une [passerelle de traduction d'adresse réseau (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) entre votre réseau et chaque VPC pour lequel vous créez un point de terminaison sortant.
## Lorsque vous partagez des règles, vous partagez également des points de terminaison sortants
Lorsque vous créez une règle, vous spécifiez le point de terminaison sortant que vous souhaitez que VPC Resolver utilise pour transférer les requêtes DNS vers votre réseau. Si vous partagez la règle avec un autre AWS compte, vous partagez également indirectement le point de terminaison sortant que vous spécifiez dans la règle. Si vous avez utilisé plusieurs AWS comptes pour créer VPCs dans une AWS région, vous pouvez effectuer les opérations suivantes :
+ Créer un point de terminaison sortant dans la région.
+ Créez des règles à l'aide d'un seul AWS compte.
+ Partagez les règles avec tous les AWS comptes créés VPCs dans la région.
Cela vous permet d'utiliser un point de terminaison sortant dans une région pour transférer des requêtes DNS à votre réseau à partir de plusieurs, VPCs même si VPCs elles ont été créées à l'aide de AWS comptes différents.
## Choisir des protocoles pour les points de terminaison
Les protocoles de point de terminaison déterminent la manière dont les données sont transmises à un point de terminaison entrant et à partir d'un point de terminaison sortant. Le chiffrement des requêtes DNS pour le trafic VPC n'est pas nécessaire, car chaque flux de paquets sur le réseau est autorisé individuellement selon une règle permettant de valider la source et la destination correctes avant d'être transmis et livré. Il est hautement improbable que des informations passent arbitrairement d'une entité à l'autre sans l'autorisation spécifique de l'entité émettrice et réceptrice. Si un paquet est acheminé vers une destination sans règle qui lui correspond, le paquet est abandonné. Pour plus d'informations, consultez [Fonctionnalités VPC](https://docs.aws.amazon.com/whitepapers/latest/logical-separation/vpc-and-accompanying-features.html).
Les protocoles disponibles sont :
+ **Do53 :** DNS sur le port 53. Les données sont relayées à l'aide du résolveur VPC sans chiffrement supplémentaire. Bien que les données ne puissent pas être lues par des tiers, elles peuvent être consultées au sein des AWS réseaux. Utilise UDP ou TCP pour envoyer les paquets. Do53 est principalement utilisé pour le trafic au sein d'Amazon et entre Amazon VPCs. Il s'agit actuellement du seul protocole disponible pour les points de terminaison entrants de délégation.
+ **DoH :** Les données sont transmises via une session HTTPS chiffrée. Le DoH ajoute un niveau de sécurité supplémentaire selon lequel les données ne peuvent pas être déchiffrées par des utilisateurs non autorisés et ne peuvent être lues par personne d'autre que le destinataire prévu. Non disponible pour les points de terminaison entrants de délégation.
+ **DOH-FIPS :** Les données sont transmises via une session HTTPS chiffrée conforme à la norme de chiffrement FIPS 140-2. Pris en charge uniquement pour les points de terminaison entrants. Pour plus d'informations, veuillez consulter [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2). Non disponible pour les points de terminaison entrants de délégation.
Pour un point de terminaison entrant de type **Forward**, vous pouvez appliquer les protocoles comme suit :
+ Do53 et DoH en combinaison.
+ Do53 et DoH-FIPS en combinaison.
+ Do53 uniquement.
+ DoH uniquement.
+ DoH-FIPS uniquement.
+ Aucun, qui est traité comme Do53.
Pour un point de terminaison sortant, vous pouvez appliquer les protocoles comme suit :
+ Do53 et DoH en combinaison.
+ Do53 uniquement.
+ DoH uniquement.
+ Aucun, qui est traité comme Do53.
Voir aussi [Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants](resolver-forwarding-inbound-queries-values.md) et [Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants](resolver-forwarding-outbound-queries-endpoint-values.md).
## Utilisation d'un résolveur VPC configuré pour la VPCs location d'instance dédiée
Lorsque vous créez un point de terminaison Resolver, vous ne pouvez pas indiquer un VPC doté de [l'attribut de location d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) défini sur `dedicated`. VPC Resolver ne fonctionne pas sur du matériel à locataire unique.
Vous pouvez toujours utiliser le résolveur VPC pour résoudre les requêtes DNS provenant d'un VPC. Créez au moins un VPC doté de l'attribut de location d'instance défini sur `default`, et spécifiez ce VPC lorsque vous créez des points de terminaison entrants et sortants.
Lorsque vous créez une règle de réacheminement, vous pouvez l'associer à n'importe quel VPC, quelle que soit la valeur de l'attribut de location d'instance.
# Disponibilité et évolutivité du résolveur VPC Route 53
Le résolveur VPC Route 53, qui s'exécute sur l'adresse Amazon VPC CIDR \$1 2 et fd00:ec2 : :253, est entièrement disponible par défaut et répond de manière récursive aux requêtes DNS concernant les enregistrements publics VPCs, les noms DNS spécifiques à Amazon VPC et les zones hébergées privées Route 53. Le résolveur VPC Route 53 comprend deux composants hautement disponibles, transparents pour les utilisateurs : le service Nitro Resolver et le parc de résolveurs zonaux. Le service Nitro Resolver est un service qui s'exécute sur la carte Nitro sur les instances Nitro et dans Dom0 sur les instances d'ancienne génération, et qui consomme les paquets adressés au résolveur VPC Route 53 localement sur le serveur hôte. Pour plus d'informations, consultez [La conception de la sécurité du système AWS Nitro.](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html)
Le service Nitro Resolver contient un cache local qui peut aider à réduire la latence en répondant aux requêtes répétées effectuées sur une courte période par une instance. Lorsque le service Nitro Resolver reçoit une requête pour laquelle il n'a pas de réponse mise en cache, il la transmet au parc de résolveurs zonaux, un parc de résolveurs à haute disponibilité situé généralement dans la même zone de disponibilité que l'instance. En cas de défaillance du traitement des requêtes par les serveurs de noms en amont ou par d'autres composants du chemin, le service Nitro Resolver est souvent en mesure de gérer ces défaillances de manière transparente sans impact sur les charges de travail exécutées sur l'instance. En outre, si le résolveur rencontre des délais d'attente, des connexions refusées ou des SERVFAILS provenant des serveurs de noms du domaine, il peut répondre par une réponse mise en cache au-delà de la valeur Time-To-Live (TTL) afin d'améliorer la disponibilité. Les requêtes entre le service Nitro Resolver et la flotte de Zonal Resolver sont limitées à un réseau étroitement contrôlé en dehors du VPC du client, qui est inaccessible aux clients et soumis à des contrôles de sécurité rigoureux. En gérant les requêtes entre le service Nitro Resolver et le parc Zonal Resolver en dehors du VPC, les clients ne peuvent pas intercepter les requêtes DNS au sein de leur VPC. Les requêtes destinées à des serveurs de noms extérieurs AWS traverseront l'Internet public, en provenance d'adresses IP publiques appartenant au parc de résolveurs zonaux. Nous ne prenons pas en charge l'attribut EDNS0 -Client Subnet aujourd'hui, ce qui signifie que toutes les requêtes destinées aux serveurs de noms DNS publics n'incluent pas d'informations sur l'adresse IP du client d'origine.
Le service Nitro Resolver fait partie des services Link-Local de l'instance. Les services Link-Local incluent le résolveur VPC Route 53, Amazon Time Service (NTP), le service de métadonnées d'instance (IMDS) et le service de licences Windows (pour les instances Windows). Ces services s'adaptent à chaque interface réseau élastique que vous créez dans votre VPC, et chaque interface réseau autorise 1 024 paquets par seconde (PPS) destinés aux services Link-Local. Les paquets dépassant cette limite sont rejetés. Vous pouvez déterminer si vous avez dépassé cette limite à partir de la `linklocal_allowance_exceeded` valeur renvoyée par ethtool. Pour plus d'informations sur l'outil ethtool, consultez la section [Surveiller les performances du réseau pour votre instance Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-network-performance-ena.html) dans le guide de l'utilisateur *Amazon EC2*. Cette métrique peut également être rapportée aux CloudWatch métriques par l' CloudWatchagent. Étant donné que le résolveur VPC Route 53 est implémenté par interface réseau, il évolue et devient plus fiable à mesure que vous ajoutez des instances dans davantage de zones de disponibilité. Il n'existe aucune limite globale par VPC quant au nombre de requêtes. Le résolveur VPC Route 53 peut donc évoluer dans les limites d'un VPC, qui est intrinsèquement basé sur l'utilisation des adresses réseau (NAU). Pour plus d'informations, consultez la section [Utilisation des adresses réseau pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/network-address-usage.html) dans le guide de l'*utilisateur Amazon Virtual Private Cloud*.
Le schéma suivant montre une vue d'ensemble de la façon dont le résolveur VPC Route 53 résout les requêtes DNS au sein des zones de disponibilité.
![\[Graphique conceptuel qui montre comment le résolveur VPC Route 53 résout les requêtes DNS au sein des zones de disponibilité.\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/images/Resolver-scale-availability2.png)
# Démarrage avec Route 53 VPC Resolver
La console Route 53 VPC Resolver inclut un assistant qui vous guide à travers les étapes suivantes pour démarrer avec VPC Resolver :
+ Créer des points de terminaison : entrant, sortant ou les deux.
+ Pour les points de terminaison sortants, créez une ou plusieurs règles de réacheminement, qui spécifient les noms de domaine pour lesquels vous souhaitez réacheminer les requêtes DNS vers votre réseau.
+ Si vous avez créé un point de terminaison sortant, choisissez le VPC auquel vous voulez associer ces règles.
**Pour configurer le résolveur VPC Route 53 à l'aide de l'assistant**
1. Connectez-vous à la console VPC Resolver AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/)
1. **Sur la page **Bienvenue sur Route 53 VPC Resolver**, choisissez Configurer les points de terminaison.**
1. Dans la barre de navigation, choisissez la région dans laquelle vous voulez créer un point de terminaison Resolver.
1. Dans **Basic configuration (Configuration de base)**, choisissez la direction d'acheminement des requêtes DNS :
+ **Entrants et sortants** : l'assistant vous guide à travers les paramètres qui vous permettent à la fois de transférer les requêtes DNS des résolveurs de votre réseau vers le résolveur VPC d'un VPC et de transférer des requêtes spécifiques (telles que exemple.com ou exemple.net) d'un VPC aux résolveurs de votre réseau.
+ **Entrant uniquement** : l'assistant vous guide à travers les paramètres qui vous permettent de transférer les requêtes DNS des résolveurs de votre réseau vers le résolveur VPC d'un VPC.
+ **Outbound only (Sortant uniquement)** : l'assistant vous guide à travers les paramètres qui vous permettent d'acheminer des requêtes spécifiques à partir d'un VPC vers des résolveurs de votre réseau.
1. Choisissez **Suivant**.
1. Si vous avez choisi **Inbound and outbound (Entrant et sortant)** ou **Inbound only (Entrant uniquement)**, entrez les valeurs applicables pour configurer un point de terminaison entrant. Passez ensuite à l'étape 7. Pour plus d'informations, veuillez consulter [Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants](resolver-forwarding-inbound-queries-values.md).
Si vous avez choisi **Outbound only (Sortant uniquement)**, passez directement à l'étape 7.
1. Entrez les valeurs applicables pour configurer un point de terminaison sortant. Pour plus d'informations, veuillez consulter [Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants](resolver-forwarding-outbound-queries-endpoint-values.md).
1. Si vous avez choisi **Inbound and outbound (Entrant et sortant)** ou **Outbound only (Sortant uniquement)**, entrez les valeurs applicables pour créer une règle. Pour plus d'informations, veuillez consulter [Valeurs à spécifier lors de la création ou de la modification de règles](resolver-forwarding-outbound-queries-rule-values.md).
1. Sur la page **Review and create (Vérifier et créer)**, vérifiez que les paramètres que vous avez indiqués sur les pages précédentes sont corrects. Si nécessaire, choisissez **Edit (Modifier)** pour la section applicable et mettez à jour les paramètres. Lorsque vous êtes satisfait de vos paramètres, choisissez **Submit (Envoyer)**.
**Note**
Créer un point de terminaison sortant prend une minute ou deux. Vous ne pouvez pas créer d'autre point de terminaison sortant avant d'avoir créé le premier.
1. Si vous souhaitez créer d'autres règles, consultez [Gestion des règles de réacheminement](resolver-rules-managing.md).
1. Si vous avez créé un point de terminaison entrant, configurez les résolveurs DNS sur votre réseau pour réacheminer les requêtes DNS applicables vers les adresses IP de votre point de terminaison entrant. Pour plus d'informations, consultez la documentation de votre application DNS.
# Transfert des requêtes DNS entrantes vers votre VPCs
Pour transférer les requêtes DNS de votre réseau vers VPC Resolver, vous devez créer un point de terminaison entrant. Un point de terminaison entrant spécifie les adresses IP (à partir de la page d'adresses IP disponibles pour votre VPC) vers lesquelles vous souhaitez que les résolveurs DNS de votre réseau transfèrent les requêtes DNS. Ces adresses IP ne sont pas des adresses IP publiques. Par conséquent, pour chaque point de terminaison entrant, vous devez connecter votre VPC à votre réseau à l'aide Direct Connect d'une connexion ou d'une connexion VPN.
Lorsque vous implémentez la délégation entrante, vous déléguez l'autorité DNS pour un sous-domaine de votre infrastructure DNS locale à VPC Resolver. Pour configurer correctement cette délégation, vous devez utiliser les adresses IP du point de terminaison entrant comme enregistrements collés (enregistrements NS) sur votre serveur de noms local pour le sous-domaine délégué. Par exemple, si vous déléguez le sous-domaine « aws.example.com » à VPC Resolver via un point de terminaison de délégation entrant avec les adresses IP 10.0.1.100 et 10.0.1.101, vous devez créer des enregistrements NS sur votre serveur DNS local pointant « aws.example.com » vers ces adresses IP. Cela garantit que les requêtes DNS pour le sous-domaine délégué sont correctement acheminées vers le résolveur VPC via le point de terminaison entrant, ce qui permet au résolveur VPC de répondre avec des enregistrements provenant de la zone hébergée privée associée.
# Configuration du réacheminement entrant
Pour créer un point de terminaison entrant, utilisez la procédure suivante.
**Créer un point de terminaison entrant**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Inbound endpoints (Points de terminaison entrants)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous voulez créer un point de terminaison entrant.
1. Choisissez **Create inbound endpoint (Créer point de terminaison entrant)**.
1. Entrez les valeurs applicables. Pour plus d'informations, veuillez consulter [Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants](resolver-forwarding-inbound-queries-values.md).
1. Choisissez **Créer**.
1. Configurez les résolveurs DNS sur votre réseau pour réacheminer les requêtes DNS applicables vers les adresses IP de votre point de terminaison entrant. Pour plus d'informations, consultez la documentation de votre application DNS.
# Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants
Lorsque vous créez ou modifiez un point de terminaison entrant, spécifiez les valeurs suivantes :
**ID Outpost**
Si vous créez le point de terminaison d'un résolveur VPC sur un AWS Outposts VPC, il s'agit de l'ID. AWS Outposts
**Nom du point de terminaison**
Un nom convivial vous permettant de retrouver facilement le point de terminaison entrant sur le tableau de bord.
**Catégorie de point de terminaison**
Choisissez **par défaut** ou **Délégation**. Lorsque la catégorie est **Par défaut**, le résolveur de votre réseau transmet les demandes DNS à l'adresse IP du point de terminaison entrant. Lorsque la catégorie est **Délégation**, l'autorité d'un domaine est déléguée au résolveur VPC.
**VPC dans la région *region-name***
Toutes les requêtes DNS entrantes provenant de votre réseau passent par ce VPC avant d'être acheminées vers VPC Resolver.
**Groupe de sécurité de ce point de terminaison**
L'ID d'un ou de plusieurs groupes de sécurité que vous souhaitez utiliser pour contrôler l'accès à ce VPC. Le groupe de sécurité que vous spécifiez doit inclure une ou plusieurs règles entrantes. Les règles entrantes doivent autoriser l'accès TCP et UDP sur le port 53. Si vous utilisez le protocole DoH, vous devrez également autoriser le port 443 dans le groupe de sécurité. Vous ne pouvez pas modifier cette valeur après avoir créé le point de terminaison.
Certaines règles de groupe de sécurité entraînent le suivi de votre connexion et le nombre maximum de requêtes par seconde et par adresse IP pour un point de terminaison entrant peut être inférieur à 1 500. Pour éviter le suivi des connexions causé par un groupe de sécurité, consultez la section [Connexions non suivies](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).
Pour ajouter plusieurs groupes de sécurité, utilisez la AWS CLI commande`create-resolver-endpoint`. Pour de plus amples informations, consultez [create-resolver-endpoint](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html).
Pour plus d'informations, consultez [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) dans le *Guide de l'utilisateur Amazon VPC*.
**Type de point de terminaison**
Le type de point de terminaison peut être soit IPv4 IPv6 des adresses IP à double pile. Pour un point de terminaison à double pile, le point de terminaison aura à la fois IPv4 une IPv6 adresse à laquelle votre résolveur DNS sur votre réseau peut transférer les requêtes DNS.
Pour des raisons de sécurité, nous refusons l'accès direct au IPv6 trafic depuis l'Internet public pour toutes les adresses IPv6 IP et à double pile.
**Adresses IP**
Les adresses IP vers lesquelles vous souhaitez que les résolveurs DNS de votre réseau réacheminent les requêtes DNS. Nous vous demandons de spécifier au moins deux adresses IP pour la redondance. Si vous avez créé un point de terminaison entrant de délégation, utilisez ces adresses IP comme référence pour les enregistrements NS du sous-domaine pour lequel vous souhaitez déléguer l'autorité à VPC Resolver. Notez ce qui suit :
**Plusieurs zones de disponibilité**
Nous vous recommandons de spécifier des adresses IP dans au moins deux zones de disponibilité. Si vous le souhaitez, vous pouvez spécifier des adresses IP supplémentaires dans ces zones de disponibilité ou dans d’autres.
**Adresses IP et interfaces réseau Elastic Amazon VPC**
Pour chaque combinaison de zone de disponibilité, de sous-réseau et d'adresse IP que vous spécifiez, VPC Resolver crée une interface Amazon VPC Elastic network. Pour le nombre maximum actuel de requêtes DNS par seconde et par adresse IP dans un point de terminaison, consultez [Quotas sur le résolveur VPC Route 53](DNSLimitations.md#limits-api-entities-resolver). Pour plus d'informations sur la tarification pour chaque interface réseau Elastic, veuillez consulter la section « Amazon Route 53 » sur [la page de tarification d'Amazon Route 53](https://aws.amazon.com/route53/pricing/).
Le point de terminaison Resolver possède une adresse IP privée. Ces adresses IP ne changeront pas au cours de la durée de vie d'un point de terminaison.
Pour chaque adresse IP, spécifiez les valeurs suivantes. Chaque adresse IP doit se trouver dans une zone de disponibilité du VPC que vous avez indiquée dans **VPC dans la région *region-name***.
**Zone de disponibilité**
La zone de disponibilité par laquelle vous voulez que les requêtes DNS transitent lors de leur transfert vers votre VPC. La zone de disponibilité que vous spécifiez doit être configurée avec un sous-réseau.
**Sous-réseau**
Le sous-réseau qui contient les adresses IP que vous souhaitez attribuer à votre point de terminaison Resolver. ENIs Il s'agit des adresses auxquelles vous allez envoyer des requêtes DNS. Le sous-réseau doit avoir une adresse IP disponible.
L'adresse IP du sous-réseau doit correspondre au **type de point de terminaison**.
**Adresse IP**
Adresse IP que vous souhaitez attribuer aux points de terminaison entrants.
Choisissez si vous souhaitez que VPC Resolver vous choisisse une adresse IP parmi les adresses IP disponibles dans le sous-réseau spécifié, ou si vous souhaitez spécifier l'adresse IP vous-même.
Si vous choisissez de spécifier vous-même l'adresse IP, entrez une IPv6 adresse IPv4 ou, ou les deux.
**Protocoles**
Le protocole de point de terminaison détermine la manière dont les données sont transmises à un point de terminaison entrant. Choisissez un ou plusieurs protocoles en fonction du niveau de sécurité requis.
+ **Do53 :** (Par défaut) Les données sont relayées à l'aide du résolveur VPC Route 53 sans chiffrement supplémentaire. Bien que les données ne puissent pas être lues par des tiers, elles peuvent être consultées au sein des AWS réseaux. Il s'agit du seul protocole actuellement disponible pour la catégorie des points de terminaison entrants de **délégation**.
+ **DoH :** Les données sont transmises via une session HTTPS chiffrée. Le DoH ajoute un niveau de sécurité supplémentaire selon lequel les données ne peuvent pas être déchiffrées par des utilisateurs non autorisés et ne peuvent être lues par personne d'autre que le destinataire prévu.
+ **DOH-FIPS :** Les données sont transmises via une session HTTPS chiffrée conforme à la norme de chiffrement FIPS 140-2. Pris en charge uniquement pour les points de terminaison entrants. Pour plus d'informations, veuillez consulter [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2).
**Note**
Pour les points de terminaison entrants DOH/DOH-FIPS, il existe un problème connu lié à la publication d'une adresse IP source incorrecte dans le journal des requêtes VPC Resolver.
Pour un point de terminaison entrant, vous pouvez appliquer les protocoles comme suit :
+ Do53 et DoH en combinaison.
+ Do53 et DoH-FIPS en combinaison.
+ Do53 uniquement.
+ DoH uniquement.
+ DoH-FIPS uniquement.
+ Aucun, qui est traité comme Do53.
Vous ne pouvez pas modifier directement le protocole d'un point de terminaison entrant uniquement de Do53 uniquement à DoH ou DOH-FIPS. Cela permet d'éviter une interruption soudaine du trafic entrant qui repose sur Do53. Pour changer le protocole de Do53 à DoH ou DOH-FIPS, vous devez d'abord activer Do53 et DoH ou Do53 et DOH-FIPS, pour vous assurer que tout le trafic entrant a été transféré à l'aide du protocole DoH ou DOH-FIPS, puis supprimer le Do53.
**Étiquettes**
Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez indiquer **Cost center (Centre de coûts)** pour **Key (Clé)** et **456** pour **Value (Valeur)**.
# Gestion des points de terminaison entrants
Pour gérer les points de terminaison entrants, exécutez la procédure applicable.
**Topics**
+ [
## Affichage et modification des points de terminaison entrants
](#resolver-forwarding-inbound-queries-managing-viewing)
+ [
## Affichage du statut des points de terminaison entrants
](#resolver-forwarding-inbound-queries-managing-viewing-status)
+ [
## Suppression des points de terminaison entrants
](#resolver-forwarding-inbound-queries-managing-deleting)
## Affichage et modification des points de terminaison entrants
Pour afficher et modifier les paramètres d'un point de terminaison entrant, exécutez la procédure suivante.
**Afficher ou modifier les paramètres d'un point de terminaison entrant**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Inbound endpoints (Points de terminaison entrants)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé le point de terminaison entrant.
1. Choisissez l'option correspondant au point de terminaison que vous souhaitez consulter ou modifier.
1. Choisissez **View details (Consulter les détails)** ou **Edit (Modifier)**.
Pour plus d'informations sur les valeurs des points de terminaison entrants, consultez [Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants](resolver-forwarding-inbound-queries-values.md).
1. Si vous avez choisi **Edit (Modifier)**, entrez les valeurs applicables puis sélectionnez **Save (Enregistrer)**.
## Affichage du statut des points de terminaison entrants
Pour afficher le statut d'un point de terminaison entrant, procédez comme suit.
**Pour afficher le statut d'un point de terminaison entrant**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Inbound endpoints (Points de terminaison entrants)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé le point de terminaison entrant. La colonne **Status (Statut)** contient l'une des valeurs suivantes :
**Création**
VPC Resolver crée et configure une ou plusieurs interfaces réseau Amazon VPC pour ce point de terminaison.
**Fonctionnement**
Les interfaces réseau Amazon VPC pour ce point de terminaison sont correctement configurées et peuvent transmettre des requêtes DNS entrantes ou sortantes entre votre réseau et VPC Resolver.
**Mise à jour**
VPC Resolver associe ou dissocie une ou plusieurs interfaces réseau à ce point de terminaison.
**Récupération automatique**
VPC Resolver essaie de récupérer une ou plusieurs interfaces réseau associées à ce point de terminaison. Pendant le processus de récupération, le point de terminaison fonctionne avec une capacité limitée, en raison de la limite du nombre de requêtes DNS par adresse IP (par interface réseau). Pour connaître la limite actuelle, veuillez consulter [Quotas sur le résolveur VPC Route 53](DNSLimitations.md#limits-api-entities-resolver).
**Action requise**
Ce point de terminaison est défectueux et VPC Resolver ne peut pas le récupérer automatiquement. Pour résoudre le problème, nous vous recommandons de vérifier chaque adresse IP que vous avez associée au point de terminaison. Pour chaque adresse IP qui n’est pas disponible, ajouter une autre adresse IP, puis supprimer l’adresse IP qui n’est pas disponible. (Un point de terminaison doit toujours inclure au moins deux adresses IP.) Un état **Action needed (Action nécessaire)** peut avoir plusieurs causes. Voici deux causes courantes :
+ Une ou plusieurs des interfaces réseau qui sont associées au point de terminaison ont été supprimées en utilisant Amazon VPC.
+ L’interface réseau n’a pas pu être créée pour une certaine raison que VPC Resolver ne peut pas contrôler.
**Suppression**
VPC Resolver supprime ce point de terminaison et les interfaces réseau associées.
## Suppression des points de terminaison entrants
Pour supprimer un point de terminaison entrant, utilisez la procédure suivante.
**Important**
Si vous supprimez un point de terminaison entrant, les requêtes DNS de votre réseau ne sont plus transmises au résolveur VPC du VPC que vous avez spécifié dans le point de terminaison.
**Supprimer un point de terminaison entrant**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Inbound endpoints (Points de terminaison entrants)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé le point de terminaison entrant.
1. Choisissez l'option du point de terminaison que vous souhaitez supprimer.
1. Sélectionnez **Delete (Supprimer)**.
1. Pour confirmer que vous voulez supprimer le point de terminaison, saisissez le nom du point de terminaison et sélectionnez **Submit (Envoyer)**.
# Réacheminement des requêtes DNS sortantes vers votre réseau
Pour transférer les requêtes DNS provenant d'instances Amazon EC2 en une ou plusieurs VPCs vers votre réseau, vous devez créer un point de terminaison sortant et une ou plusieurs règles :
**Point de terminaison sortant**
Pour transférer les requêtes DNS de votre réseau VPCs vers votre réseau, vous devez créer un point de terminaison sortant. Un point de terminaison sortant spécifie les adresses IP d'où proviennent les requêtes. Ces adresses IP, que vous choisissez parmi la plage d'adresses IP disponibles pour votre VPC, ne sont pas des adresses IP publiques. Cela signifie que, pour chaque point de terminaison sortant, vous devez connecter votre VPC à votre réseau à l'aide d'une connexion Direct Connect , d'une connexion VPN ou d'une passerelle de traduction d'adresses réseau (NAT). Notez que vous pouvez utiliser le même point de terminaison sortant pour plusieurs points de terminaison VPCs dans la même région, ou vous pouvez créer plusieurs points de terminaison sortants. Si vous souhaitez utiliser votre point de terminaison sortant DNS64, vous pouvez l'activer à DNS64 l'aide d'Amazon Virtual Private Cloud. Pour plus d'informations, consultez [DNS64 et](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-nat64-dns64) consultez NAT64 le guide de l'*utilisateur Amazon VPC*.
L'adresse IP cible de la règle VPC Resolver est choisie au hasard par VPC Resolver et il n'y a aucune préférence quant au choix d'une adresse IP cible particulière par rapport à une autre. Si une adresse IP cible ne répond pas à la demande DNS transmise, le résolveur VPC réessaiera d'utiliser une adresse IP aléatoire parmi la cible. IPs
Assurez-vous que toutes les adresses IP cibles sont accessibles depuis les points de terminaison du résolveur. Si VPC Resolver n'est pas en mesure de transférer les requêtes DNS sortantes vers l'une des adresses IP cibles, cela peut entraîner des délais de résolution DNS prolongés.
**Rules**
Pour spécifier les noms de domaine des requêtes que vous voulez réacheminer vers les résolveurs DNS de votre réseau, vous devez créer une ou plusieurs règles. Chaque règle de transfert spécifie un nom de domaine. Vous associez ensuite les règles VPCs pour lesquelles vous souhaitez transférer les requêtes vers votre réseau.
Les règles de délégation sortante suivent des principes de délégation spécifiques qui diffèrent des règles de transfert standard. Lorsque vous créez une règle de délégation, VPC Resolver évalue les enregistrements de délégation contenus dans la règle par rapport aux enregistrements NS dans les réponses DNS afin de déterminer si une délégation doit avoir lieu. Le résolveur VPC ne déléguera l'autorité à vos résolveurs locaux que s'il existe une correspondance entre la configuration des règles de délégation et les enregistrements NS réels renvoyés dans la réponse DNS. Contrairement aux règles de transfert qui redirigent les requêtes en fonction de la correspondance des noms de domaine, les règles de délégation respectent la chaîne de délégation DNS et ne s'activent que lorsque les serveurs de noms faisant autorité dans la réponse correspondent à la configuration de délégation.
Pour plus d’informations, consultez les rubriques suivantes :
+ [Private hosted zones that have overlapping namespaces](hosted-zone-private-considerations.md#hosted-zone-private-considerations-private-overlapping)
+ [Private hosted zones and Route 53 VPC Resolver rules](hosted-zone-private-considerations.md#hosted-zone-private-considerations-resolver-rules)
# Configuration du réacheminement sortant
Pour configurer VPC Resolver afin de transférer les requêtes DNS provenant de votre VPC vers votre réseau, effectuez les procédures suivantes.
**Important**
Après avoir créé un point de terminaison sortant, vous devez créer une ou plusieurs règles et les associer à une ou plusieurs VPCs règles. Les règles spécifient les noms de domaine des requêtes DNS que vous souhaitez réacheminer vers votre réseau.
**Créer un point de terminaison sortant**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Outbound endpoints (Points de terminaison sortants)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous voulez créer un point de terminaison sortant.
1. Choisissez **Create outbound endpoint (Créer point de terminaison sortant)**.
1. Entrez les valeurs applicables. Pour plus d'informations, veuillez consulter [Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants](resolver-forwarding-outbound-queries-endpoint-values.md).
1. Choisissez **Créer**.
**Note**
Créer un point de terminaison sortant prend une minute ou deux. Vous ne pouvez pas créer d'autre point de terminaison sortant avant d'avoir créé le premier.
1. Créez une ou plusieurs règles pour spécifier les noms de domaine des requêtes DNS que vous voulez réacheminer vers votre réseau. Pour en savoir plus, consultez la procédure suivante.
Pour créer une ou plusieurs règles de réacheminement, exécutez la procédure suivante.
**Pour créer des règles de transfert et les associer à une ou plusieurs VPCs**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Rules**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous voulez créer la règle.
1. Choisissez **Créer une règle**.
1. Entrez les valeurs applicables. Pour plus d'informations, veuillez consulter [Valeurs à spécifier lors de la création ou de la modification de règles](resolver-forwarding-outbound-queries-rule-values.md).
1. Choisissez **Enregistrer**.
1. Pour ajouter une autre règle, répétez les étapes 4 à 6.
# Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants
Lorsque vous créez ou modifiez un point de terminaison sortant, spécifiez les valeurs suivantes :
**ID Outpost**
Si vous créez le point de terminaison d'un résolveur VPC sur un AWS Outposts VPC, il s'agit de l'ID. AWS Outposts
**Nom du point de terminaison**
Un nom convivial vous permettant de retrouver facilement le point de terminaison sortant sur le tableau de bord.
**VPC dans la région *region-name***
Toutes les requêtes DNS sortantes transiteront via ce VPC lors de leur transfert vers votre réseau.
**Groupe de sécurité de ce point de terminaison**
L'ID d'un ou de plusieurs groupes de sécurité que vous souhaitez utiliser pour contrôler l'accès à ce VPC. Le groupe de sécurité que vous spécifiez doit inclure une ou plusieurs règles sortantes. Les règles sortantes doivent autoriser l'accès TCP et UDP sur le port que vous utilisez pour les requêtes DNS sur votre réseau. Vous ne pouvez pas modifier cette valeur après avoir créé un point de terminaison.
Certaines règles de groupe de sécurité entraînent le suivi de votre connexion et peuvent avoir un impact sur le nombre maximal de requêtes par seconde entre le point de terminaison sortant et votre serveur de noms cible. Pour éviter le suivi des connexions causé par un groupe de sécurité, consultez la section [Connexions non suivies](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections).
Pour plus d'informations, consultez [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) dans le *Guide de l'utilisateur Amazon VPC*.
**Type de point de terminaison**
Le type de point de terminaison peut être soit IPv4 IPv6 des adresses IP à double pile. Pour un point de terminaison à double pile, le point de terminaison aura à la fois IPv4 une IPv6 adresse à laquelle votre résolveur DNS sur votre réseau peut transférer les requêtes DNS.
Pour des raisons de sécurité, nous refusons l'accès direct au IPv6 trafic Internet public pour toutes les adresses IPv6 IP et à double pile.
**Adresses IP**
Les adresses IP de votre VPC auxquelles vous souhaitez que VPC Resolver transmette les requêtes DNS en route vers les résolveurs de votre réseau. Il ne s'agit pas des adresses IP des résolveurs DNS de votre réseau ; vous spécifiez les adresses IP des résolveurs lorsque vous créez les règles que vous associez à une ou plusieurs d'entre elles. VPCs Nous vous demandons de spécifier au moins deux adresses IP pour la redondance.
Le point de terminaison Resolver possède une adresse IP privée. Ces adresses IP ne changeront pas au cours de la durée de vie d'un point de terminaison.
Notez ce qui suit :
**Plusieurs zones de disponibilité**
Nous vous recommandons de spécifier des adresses IP dans au moins deux zones de disponibilité. Si vous le souhaitez, vous pouvez spécifier des adresses IP supplémentaires dans ces zones de disponibilité ou dans d’autres.
**Adresses IP et interfaces réseau Elastic Amazon VPC**
Pour chaque combinaison de zone de disponibilité, de sous-réseau et d'adresse IP que vous spécifiez, VPC Resolver crée une interface Amazon VPC Elastic network. Pour le nombre maximum actuel de requêtes DNS par seconde et par adresse IP dans un point de terminaison, consultez [Quotas sur le résolveur VPC Route 53](DNSLimitations.md#limits-api-entities-resolver). Pour plus d'informations sur la tarification pour chaque interface réseau Elastic, veuillez consulter la section « Amazon Route 53 » sur [la page de tarification d'Amazon Route 53](https://aws.amazon.com/route53/pricing/).
**Ordre des adresses IP**
Vous pouvez spécifier des adresses IP dans n'importe quel ordre. Lors du transfert de requêtes DNS, VPC Resolver ne choisit pas les adresses IP en fonction de l'ordre dans lequel les adresses IP sont répertoriées.
Pour chaque adresse IP, spécifiez les valeurs suivantes. Chaque adresse IP doit se trouver dans une zone de disponibilité du VPC que vous avez indiquée dans **VPC dans la région *region-name***.
**Zone de disponibilité**
La zone de disponibilité par laquelle vous voulez que les requêtes DNS transitent lors de leur transfert vers votre réseau. La zone de disponibilité que vous spécifiez doit être configurée avec un sous-réseau.
**Sous-réseau**
Le sous-réseau qui contient l'adresse IP depuis laquelle vous voulez que les requêtes DNS soient lancées lors de leur transfert vers votre réseau. Le sous-réseau doit avoir une adresse IP disponible.
L'adresse IP du sous-réseau doit correspondre au **type de point de terminaison**.
**Adresse IP**
Adresse IP à parti de laquelle vous voulez que les requêtes DNS soient lancées lors de leur transfert vers votre réseau.
Choisissez si vous souhaitez que VPC Resolver vous choisisse une adresse IP parmi les adresses IP disponibles dans le sous-réseau spécifié, ou si vous souhaitez spécifier l'adresse IP vous-même.
Si vous choisissez de spécifier vous-même l'adresse IP, entrez une IPv6 adresse IPv4 ou, ou les deux.
**Protocoles**
Le protocole de point de terminaison détermine la manière dont les données sont transmises à un point de terminaison sortant. Choisissez un ou plusieurs protocoles en fonction du niveau de sécurité requis.
+ **Do53 :** (Par défaut) Les données sont relayées à l'aide du résolveur VPC Route 53 sans chiffrement supplémentaire. Bien que les données ne puissent pas être lues par des parties externes, elles peuvent être consultées au sein des réseaux AWS .
+ **DoH :** Les données sont transmises via une session HTTPS chiffrée. Le DoH ajoute un niveau de sécurité supplémentaire selon lequel les données ne peuvent pas être déchiffrées par des utilisateurs non autorisés et ne peuvent être lues par personne d'autre que le destinataire prévu.
Pour un point de terminaison sortant, vous pouvez appliquer les protocoles comme suit :
+ Do53 et DoH en combinaison.
+ Do53 uniquement.
+ DoH uniquement.
+ Aucun, qui est traité comme Do53.
**Étiquettes**
Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez indiquer **Cost center (Centre de coûts)** pour **Key (Clé)** et **456** pour **Value (Valeur)**.
# Valeurs à spécifier lors de la création ou de la modification de règles
Lorsque vous créez ou modifiez une règle de réacheminement, spécifiez les valeurs suivantes :
**Nom de la règle**
Un nom convivial vous permettant de retrouver facilement la règle sur le tableau de bord.
**Type de règle**
Choisissez la valeur applicable :
+ **Forward (Réacheminer)** - Lorsque vous voulez réacheminer les requêtes DNS pour le nom de domaine indiqué vers les résolveurs de votre réseau, choisissez cette option.
+ **Déléguer** : choisissez cette option lorsque vous souhaitez déléguer l'autorité d'un sous-domaine, hébergé dans une zone hébergée privée, à votre résolveur sur site (ou à un résolveur VPC sur un autre VPC).
+ **Système** — Choisissez cette option lorsque vous souhaitez que VPC Resolver remplace de manière sélective le comportement défini dans une règle de transfert. Lorsque vous créez une règle système, VPC Resolver résout les requêtes DNS pour des sous-domaines spécifiques qui seraient autrement résolues par les résolveurs DNS de votre réseau.
Par défaut, les règles de réacheminement s'appliquent à un nom de domaine et à tous ses sous-domaines. Si vous souhaitez réacheminer les requêtes d'un domaine vers un résolveur de votre réseau, mais pas celles de certains sous-domaines, créez une règle système pour les sous-domaines. Par exemple, si vous créez une règle de réacheminement pour exemple.com, mais que vous ne voulez pas réacheminer les requêtes pour acme.exemple.com, créez une règle système et indiquez acme.exemple.com pour le nom de domaine.
**Enregistrement de délégation — pour la règle de délégation uniquement**
Les requêtes DNS qui correspondent à ce domaine sont transmises aux résolveurs de votre réseau.
Comme condition préalable à une règle de délégation, vous devez créer des enregistrements NS dans la zone hébergée privée, lorsque vous utilisez une zone hébergée privée pour une délégation sortante. L'enregistrement est le suivant : NS - Serveurs de noms à déléguer via le point de terminaison sortant du résolveur avec règle déléguée. Pour de plus amples informations, veuillez consulter [Type d'enregistrement NS](ResourceRecordTypes.md#NSFormat).
**VPCs qui utilisent cette règle**
Les VPCs qui utilisent cette règle pour transférer les requêtes DNS pour le ou les noms de domaine spécifiés. Vous pouvez appliquer une règle à autant de personnes VPCs que vous le souhaitez.
**Nom de domaine : pour la règle directe uniquement**
Les requêtes DNS pour ce nom de domaine sont réacheminées vers les adresses IP que vous spécifiez dans le champ **Target IP addresses (Adresses IP cible)**. Par exemple, vous pouvez spécifier un domaine spécifique (exemple.com), un domaine de premier niveau (com) ou un point (.) pour transférer toutes les requêtes DNS. Pour de plus amples informations, veuillez consulter [Comment VPC Resolver détermine si le nom de domaine d'une requête correspond à des règles](resolver-overview-forward-vpc-to-network-domain-name-matches.md).
**Point de terminaison sortant**
**VPC Resolver transmet les requêtes DNS via le point de terminaison sortant que vous spécifiez ici aux adresses IP que vous spécifiez dans Adresses IP cibles.**
**Adresses IP cible**
Lorsqu’une requête DNS correspond au nom que vous spécifiez dans le champ **Domain name (Nom de domaine)**, le point de terminaison sortant réachemine la requête vers les adresses IP que vous spécifiez ici. Ce sont généralement les adresses IP des résolveurs DNS sur votre réseau.
L'option **Target IP addresses (Adresses IP cible)** n'est disponible que lorsque la valeur de **Rule type (Type de règle)** est **Forward (Réacheminer)**.
Spécifiez IPv4 IPv6 les adresses, les protocoles que ServerNameIndication vous souhaitez utiliser pour le point de terminaison. ServerNameIndication s'applique uniquement lorsque le protocole sélectionné est DoH.
La résolution de l'adresse IP cible du FQDN d'un résolveur DoH de votre réseau via le point de terminaison sortant n'est pas prise en charge. Les points de terminaison sortants ont besoin de l'adresse IP cible du résolveur DoH de votre réseau pour transférer les requêtes DoH. Si le résolveur DoH de votre réseau a besoin du FQDN dans le TLS SNI et dans l'en-tête HTTP Host, il doit être fourni. ServerNameIndication
**ServerNameIndication**
L'indication du nom du serveur DoH vers lequel vous souhaitez transférer les requêtes. Ceci n'est utilisé que si le protocole est DoH.
**Étiquettes**
Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez indiquer **Cost center (Centre de coûts)** pour **Key (Clé)** et **456** pour **Value (Valeur)**.
Ce sont les tags qui AWS Billing and Cost Management permettent d'organiser votre AWS facture. Pour plus d'informations sur l'utilisation de balises pour l'allocation de coûts, consultez [Utilisation des balises d'allocation de coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dans le *Guide de l'utilisateur AWS Billing *.
# Gestion des points de terminaison sortants
Pour gérer les points de terminaison sortants, exécutez la procédure applicable.
**Topics**
+ [
## Affichage et modification des points de terminaison sortants
](#resolver-forwarding-outbound-queries-managing-viewing)
+ [
## Affichage du statut des points de terminaison sortants
](#resolver-forwarding-outbound-queries-managing-viewing-status)
+ [
## Suppression des points de terminaison sortants
](#resolver-forwarding-outbound-queries-managing-deleting)
## Affichage et modification des points de terminaison sortants
Pour afficher et modifier les paramètres d'un point de terminaison sortant, exécutez la procédure suivante.
**Afficher ou modifier les paramètres d'un point de terminaison sortant**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Outbound endpoints (Points de terminaison sortants)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé le point de terminaison sortant.
1. Choisissez l'option correspondant au point de terminaison que vous souhaitez consulter ou modifier.
1. Choisissez **View details (Consulter les détails)** ou **Edit (Modifier)**.
Pour plus d'informations sur les valeurs des points de terminaison sortants, veuillez consulter [Valeurs à spécifier lors de la création ou de la modification de points de terminaison sortants](resolver-forwarding-outbound-queries-endpoint-values.md).
1. Si vous avez choisi **Edit (Modifier)**, entrez les valeurs applicables puis sélectionnez **Save (Enregistrer)**.
## Affichage du statut des points de terminaison sortants
Pour afficher le statut d'un point de terminaison sortant, procédez comme suit.
**Pour afficher le statut d'un point de terminaison sortant**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Outbound endpoints (Points de terminaison sortants)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé le point de terminaison sortant. La colonne **Status (Statut)** contient l'une des valeurs suivantes :
**Création**
VPC Resolver crée et configure une ou plusieurs interfaces réseau Amazon VPC pour ce point de terminaison.
**Fonctionnement**
Les interfaces réseau Amazon VPC pour ce point de terminaison sont correctement configurées et peuvent transmettre des requêtes DNS entrantes ou sortantes entre votre réseau et VPC Resolver.
**Mise à jour**
VPC Resolver associe ou dissocie une ou plusieurs interfaces réseau à ce point de terminaison.
**Récupération automatique**
VPC Resolver essaie de récupérer une ou plusieurs interfaces réseau associées à ce point de terminaison. Pendant le processus de récupération, le point de terminaison fonctionne avec une capacité limitée, en raison de la limite du nombre de requêtes DNS par adresse IP (par interface réseau). Pour connaître la limite actuelle, veuillez consulter [Quotas sur le résolveur VPC Route 53](DNSLimitations.md#limits-api-entities-resolver).
**Action requise**
Ce point de terminaison est défectueux et VPC Resolver ne peut pas le récupérer automatiquement. Pour résoudre le problème, nous vous recommandons de vérifier chaque adresse IP que vous avez associée au point de terminaison. Pour chaque adresse IP qui n’est pas disponible, ajouter une autre adresse IP, puis supprimer l’adresse IP qui n’est pas disponible. (Un point de terminaison doit toujours inclure au moins deux adresses IP.) Un état **Action needed (Action nécessaire)** peut avoir plusieurs causes. Voici deux causes courantes :
+ Une ou plusieurs des interfaces réseau qui sont associées au point de terminaison ont été supprimées en utilisant Amazon VPC.
+ L’interface réseau n’a pas pu être créée pour une certaine raison que VPC Resolver ne peut pas contrôler.
**Suppression**
VPC Resolver supprime ce point de terminaison et les interfaces réseau associées.
## Suppression des points de terminaison sortants
Avant de pouvoir supprimer un point de terminaison, vous devez d'abord supprimer toutes les règles associées à un VPC.
Pour supprimer un point de terminaison sortant, utilisez la procédure suivante.
**Important**
Si vous supprimez un point de terminaison sortant, VPC Resolver arrête de transférer les requêtes DNS de votre VPC vers votre réseau pour les règles qui spécifient le point de terminaison sortant supprimé.
**Supprimer un point de terminaison sortant**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Outbound endpoints (Points de terminaison sortants)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé le point de terminaison sortant.
1. Choisissez l'option du point de terminaison que vous souhaitez supprimer.
1. Sélectionnez **Delete (Supprimer)**.
1. Pour confirmer que vous voulez supprimer le point de terminaison, saisissez le nom du point de terminaison puis sélectionnez **Submit (Envoyer)**.
# Gestion des règles de réacheminement
Si vous souhaitez que VPC Resolver transfère les requêtes pour des noms de domaine spécifiques à votre réseau, vous devez créer une règle de transfert pour chaque nom de domaine et spécifier le nom du domaine pour lequel vous souhaitez transférer les requêtes.
**Topics**
+ [
## Affichage et modification des règles de réacheminement
](#resolver-rules-managing-viewing)
+ [
## Créer des règles de réacheminement
](#resolver-rules-managing-creating-rules)
+ [
## Ajout de règles pour la recherche inversée
](#add-reverse-lookup)
+ [
## Associer des règles de réacheminement à un VPC
](#resolver-rules-managing-associating-rules)
+ [
## Dissocier des règles de réacheminement d’un VPC
](#resolver-rules-managing-disassociating-rules)
+ [
## Partage des règles du résolveur avec d'autres AWS comptes et utilisation de règles partagées
](#resolver-rules-managing-sharing)
+ [
## Supprimer des règles de réacheminement
](#resolver-rules-managing-deleting)
+ [
## Règles de transfert pour les requêtes DNS inversées dans VPC Resolver
](#resolver-automatic-forwarding-rules-reverse-dns)
## Affichage et modification des règles de réacheminement
Pour afficher et modifier les paramètres d'une règle de réacheminement, exécutez la procédure suivante.
**Afficher et modifier les paramètres d'une règle de réacheminement**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Rules (Règles)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé la règle.
1. Choisissez l'option correspondant à la règle que vous souhaitez consulter ou modifier.
1. Choisissez **View details (Consulter les détails)** ou **Edit (Modifier)**.
Pour plus d'informations sur les valeurs des règles de réacheminement, consultez [Valeurs à spécifier lors de la création ou de la modification de règles](resolver-forwarding-outbound-queries-rule-values.md).
1. Si vous avez choisi **Edit (Modifier)**, entrez les valeurs applicables puis sélectionnez **Save (Enregistrer)**.
## Créer des règles de réacheminement
Pour créer une ou plusieurs règles de réacheminement, exécutez la procédure suivante.
**Pour créer des règles de transfert et les associer à une ou plusieurs VPCs**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Rules**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous voulez créer la règle.
1. Choisissez **Créer une règle**.
1. Entrez les valeurs applicables. Pour plus d'informations, veuillez consulter [Valeurs à spécifier lors de la création ou de la modification de règles](resolver-forwarding-outbound-queries-rule-values.md).
1. Choisissez **Enregistrer**.
1. Pour ajouter une autre règle, répétez les étapes 4 à 6.
## Ajout de règles pour la recherche inversée
Si vous devez contrôler les recherches inversées dans votre VPC, vous pouvez ajouter des règles à votre point de terminaison de résolveur sortant.
**Pour créer la règle de recherche inversée**
1. Suivez les étapes de la procédure précédente, jusqu'à l'étape 5.
1. Lorsque vous spécifiez votre règle, entrez lePTRpour l'adresse IP ou les adresses pour lesquelles vous souhaitez une règle de transfert de recherche inversée.
Par exemple, pour réacheminer des recherches pour des adresses dans la plage 10.0.0.0/23, entrez deux règles :
+ 0.0.10.in-addr.arpa
+ 1.0.10.in-addr.arpa
Toute adresse IP de ces sous-réseaux sera référencée en tant que sous-domaine de ces registres PTR. Par exemple, 10.0.1.161 aura une adresse de recherche inverse qui sera 161.1.0.10.in-addr.arpa, qui est un sous-domaine de 1.0.10.in-addra.arpa.
1. Spécifiez le serveur vers lequel transférer ces recherches.
1. Ajoutez ces règles à votre point de terminaison de résolveur sortant.
Notez que l'activation de `enableDNSHostNames` pour votre VPC ajoute automatiquement des registres PTR. Consultez [Qu'est-ce que Route 53 VPC Resolver ?](resolver.md). La procédure précédente n'est requise que si vous souhaitez indiquer explicitement un résolveur pour des plages IP données, par exemple lors du transfert de requêtes vers un serveur Active Directory.
## Associer des règles de réacheminement à un VPC
Après avoir créé une règle de transfert, vous devez l'associer à une ou plusieurs d'entre elles VPCs. Les règles ne fonctionneront qu'une fois associées à un VPC. Lorsque vous associez une règle à un VPC, VPC Resolver commence à transmettre les requêtes DNS pour le nom de domaine spécifié dans la règle aux résolveurs DNS que vous avez spécifiés dans la règle. Les requêtes transitent par le point de terminaison sortant que vous avez spécifié lorsque vous avez créé la règle.
**Pour associer une règle de transfert à une ou plusieurs VPCs**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Rules (Règles)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé la règle.
1. Choisissez le nom de la règle que vous souhaitez associer à une ou plusieurs règles VPCs.
1. Choisissez **Associate VPC (Associer un VPC)**.
1. Sous **VPCs cette règle d'utilisation**, choisissez VPCs celle à laquelle vous souhaitez associer la règle.
1. Choisissez **Ajouter**.
## Dissocier des règles de réacheminement d’un VPC
Dissociez une règle de réacheminement d'un VPC dans les cas suivants :
+ Pour les requêtes DNS provenant de ce VPC, vous souhaitez que VPC Resolver arrête de transmettre les requêtes pour le nom de domaine spécifié dans la règle à votre réseau.
+ Vous souhaitez supprimer la règle de réacheminement. Si une règle est actuellement associée à une ou plusieurs d'entre VPCs elles, vous devez la dissocier de toutes les règles VPCs avant de pouvoir la supprimer.
Si vous souhaitez dissocier une règle de transfert d'une ou de plusieurs règles VPCs, procédez comme suit.
**Dissocier une règle de réacheminement d'un VPC**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Rules (Règles)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé la règle.
1. Choisissez le nom de la règle que vous souhaitez dissocier d'une ou de plusieurs règles. VPCs
1. Choisissez l'option pour le CPV duquel vous voulez dissocier la règle.
1. Choisissez **Dissocier**.
1. Entrez **disassociate** pour confirmer.
1. Sélectionnez **Soumettre**.
## Partage des règles du résolveur avec d'autres AWS comptes et utilisation de règles partagées
Vous pouvez partager les règles du résolveur que vous avez créées à l'aide d'un AWS compte avec d'autres AWS comptes. Pour partager les règles, la console Route 53 VPC Resolver s'intègre à AWS Resource Access Manager. Pour plus d'informations sur Resource Access Manager, consultez le [Guide de l'utilisateur Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).
Notez ce qui suit :
**Associer des règles partagées à VPCs**
Si un autre AWS compte partage une ou plusieurs règles avec le vôtre, vous pouvez associer les règles à votre compte de VPCs la même manière que vous associez les règles que vous avez créées à votre compte VPCs. Pour de plus amples informations, veuillez consulter [Associer des règles de réacheminement à un VPC](#resolver-rules-managing-associating-rules).
**Supprimer ou annuler le partage d'une règle**
Si vous partagez une règle avec d'autres comptes, puis que vous la supprimez ou que vous arrêtez de la partager, et si la règle était associée à un ou plusieurs comptes VPCs, Route 53 VPC Resolver commence à traiter les requêtes DNS pour ces comptes en VPCs fonction des règles restantes. Le comportement est identique que si vous dissociez la règle depuis le VPC.
Si une règle est partagée avec une unité d'organisation (UO) et qu'un compte de l'UO est déplacé vers une autre UO, toutes les associations avec la règle partagée avec un VPC du compte seront supprimées. Toutefois, si la règle du résolveur VPC était déjà partagée avec l'unité organisationnelle de destination, l'association VPC restera intacte et ne sera pas dissociée.
**Nombre maximal de règles et d'associations**
Lorsqu'un compte crée une règle et la partage avec un ou plusieurs autres comptes, le nombre maximum de règles par AWS région s'applique au compte qui a créé la règle.
Lorsqu'un compte avec lequel une règle est partagée associe la règle à une ou plusieurs règles VPCs, le nombre maximum d'associations entre les règles et VPCs par région s'applique au compte avec lequel la règle est partagée.
Pour les quotas actuels du résolveur VPC, consultez. [Quotas sur le résolveur VPC Route 53](DNSLimitations.md#limits-api-entities-resolver)
**Permissions**
Pour partager une règle avec un autre AWS compte, vous devez être autorisé à utiliser l'[PutResolverRulePolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverRulePolicy.html)action.
**Restrictions relatives au AWS compte avec lequel une règle est partagée**
Le compte avec lequel une règle est partagée ne peut pas modifier ni supprimer la règle.
**Identification**
Seul le compte qui a créé une règle peut ajouter, supprimer ou consulter les balises de la règle.
Pour consulter le statut de partage actuel d'une règle (y compris le compte qui a partagé la règle ou le compte avec lequel une règle est partagée) et partager des règles avec un autre compte, exécutez la procédure suivante.
**Pour consulter l'état du partage et partager les règles avec un autre AWS compte**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Rules (Règles)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé la règle.
La colonne **Sharing status (Statut de partage)** affiche le statut de partage actuel des règles qui ont été créées par le compte actuel ou qui sont partagées avec le compte actuel :
+ **Non partagé** : le AWS compte actuel a créé la règle, et celle-ci n'est partagée avec aucun autre compte.
+ **Shared by me (Partagé par moi)** : le compte actuel a créé la règle et l'a partagée avec un ou plusieurs comptes.
+ **Shared with me (Partagé avec moi)** : un autre compte a créé la règle et l'a partagée avec le compte actuel.
1. Choisissez le nom de la règle dont vous souhaitez afficher les informations de partage ou que vous souhaitez partager avec un autre compte.
Sur la *rule name* page **Règle :**, la valeur sous **Propriétaire** indique l'ID du compte qui a créé la règle. Il s'agit du compte actuel, à moins que la valeur **Sharing status (Statut de partage)** soit **Shared with me (Partagée avec moi)**. Dans ce cas, l'option **Owner (Propriétaire)** désigne le compte qui a créé la règle et l'a partagée avec le compte actuel.
1. Sélectionnez **Share (Partager)** pour afficher des informations supplémentaires ou pour partager la règle avec un autre compte. Une page de la console Resource Access Manager s'affiche, en fonction de la valeur de **Sharing status (Statut de partage)** :
+ **Not shared (Non partagé)** : la page **Create resource share (Créer partage de ressource)** s'affiche. Pour plus d'informations sur la façon de partager la règle avec un autre compte, une unité d'organisation ou une organisation, passez directement à l'étape 6.
+ **Shared by me (Partagé par moi)** : la page **Shared resources (Ressources partagées)** affiche les règles et autres ressources qui sont détenues par le compte actuel et partagées avec d'autres comptes.
+ **Shared with me (Partagé avec moi)** : la page **Shared resources (Ressources partagées)** affiche les règles et autres ressources qui sont détenues par d'autres comptes et partagées avec le compte actuel.
1. Pour partager une règle avec un autre AWS compte, unité d'organisation ou organisation, spécifiez les valeurs suivantes.
**Note**
Vous ne pouvez pas mettre à jour les paramètres de partage. Si vous voulez modifier l'un des paramètres suivants, vous devez repartager une règle avec les nouveaux paramètres, puis supprimer les anciens paramètres de partage.
**Description**
Saisissez une courte description qui vous aide à mémoriser les raisons pour lesquelles vous avez partagé la règle.
**Ressources**
Cochez la case correspondant à la règle à partager.
**Principaux**
Entrez le numéro de AWS compte, le nom de l'unité d'organisation ou le nom de l'organisation.
**Étiquettes**
Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez indiquer **Cost center (Centre de coûts)** pour **Key (Clé)** et **456** pour **Value (Valeur)**.
Ce sont les étiquettes qui AWS Billing and Cost Management permettent d'organiser votre AWS facture ; vous pouvez également les utiliser à d'autres fins. Pour plus d'informations sur l'utilisation de balises pour l'allocation de coûts, consultez [Utilisation des balises d'allocation de coûts](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dans le *Guide de l'utilisateur AWS Billing *.
## Supprimer des règles de réacheminement
Pour supprimer une règle de réacheminement, exécutez la procédure suivante.
Notez ce qui suit :
+ Si la règle de transfert est associée à une règle VPCs, vous devez dissocier la règle de la règle VPCs avant de pouvoir la supprimer. Pour de plus amples informations, veuillez consulter [Dissocier des règles de réacheminement d’un VPC](#resolver-rules-managing-disassociating-rules).
+ Vous ne pouvez pas supprimer la règle par défaut du **Internet Resolver (Résolveur Internet)**, qui a une valeur de **Recursive (Récursif)** pour le **Type**. Cette règle oblige le résolveur VPC Route 53 à agir comme un résolveur récursif pour tous les noms de domaine pour lesquels vous n'avez pas créé de règles personnalisées et pour lesquels le résolveur VPC n'a pas créé de règles définies automatiquement. Pour plus d'informations sur la façon dont les règles sont classées, consultez [Utilisation de règles pour contrôler les requêtes qui sont réacheminées vers votre réseau](resolver-overview-forward-vpc-to-network-using-rules.md).
**Supprimer une règle de réacheminement**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Rules (Règles)**.
1. Dans la barre de navigation, choisissez la région dans laquelle vous avez créé la règle.
1. Choisissez l'option correspondant à la règle que vous souhaitez supprimer.
1. Sélectionnez **Delete (Supprimer)**.
1. Pour confirmer que vous voulez supprimer la règle, saisissez le nom de la règle et sélectionnez **Submit (Envoyer)**.
## Règles de transfert pour les requêtes DNS inversées dans VPC Resolver
Lorsque le `enableDnsHostnames` et `enableDnsSupport` est défini sur `true` pour un cloud privé virtuel (VPC) depuis Amazon VPC, VPC Resolver crée automatiquement des règles système définies automatiquement pour les requêtes DNS inversées. Pour plus d'informations sur ces paramètres, veuillez consulter [Attributs DNS dans votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) dans le *Guide du développeur Amazon VPC*.
Les règles de transfert pour les requêtes DNS inverses sont particulièrement utiles pour les services tels que SSH ou Active Directory, qui peuvent authentifier les utilisateurs en effectuant une recherche DNS inverse pour l'adresse IP à partir de laquelle un client tente de se connecter à une ressource. Pour plus d'informations sur les règles système autodéfinies, veuillez consulter [Noms de domaine pour lesquels VPC Resolver crée des règles système définies automatiquement](resolver-overview-forward-vpc-to-network-autodefined-rules.md).
Vous pouvez désactiver ces règles et modifier toutes les requêtes DNS inverses afin qu'elles soient, par exemple, transférées vers vos serveurs de noms sur site pour résolution.
Une fois que vous avez désactivé les règles automatiques, créez des règles pour transférer les requêtes au besoin vers vos ressources sur site. Pour plus d'informations sur la gestion des règles de transfert, veuillez consulter [Gestion des règles de réacheminement](#resolver-rules-managing).
**Pour désactiver les règles autodéfinies**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le volet de navigation, sous **VPC Resolver **VPCs****, choisissez, puis choisissez un ID VPC.
1. Sous **Autodefined rules for reverse DNS resolution (Règles autodéfinies pour la résolution DNS inverse)**, désactivez la case à cocher. Si la case à cocher est déjà désélectionnée, vous pouvez la sélectionner pour activer la résolution DNS inverse autodéfinie.
Pour les informations connexes APIs, voir Configuration du [résolveur VPC](https://docs.aws.amazon.com/Route53/latest/APIReference/API-actions-by-function.html#actions-by-function-resolver-configuration). APIs
# Tutoriel sur les règles de délégation Resolver
La règle de délégation permet au résolveur VPC d'atteindre les serveurs de noms hébergeant la zone déléguée via le point de terminaison sortant spécifié. Alors que la règle de transfert indique au résolveur VPC de transférer les requêtes DNS aux serveurs de noms correspondant au domaine spécifié via le point de terminaison sortant, la règle de délégation indique au résolveur VPC d'atteindre les serveurs de noms délégués via le point de terminaison sortant spécifié lorsque les enregistrements NS délégués sont renvoyés. VPC Resolver envoie une requête aux serveurs de noms délégués lorsque les enregistrements NS de la réponse DNS correspondent au nom de domaine spécifié dans l'enregistrement de délégation.
## Étapes d'utilisation de la délégation sortante du point de terminaison Resolver
1. Créez un point de terminaison sortant du résolveur dans le VPC dont vous souhaitez que les requêtes DNS proviennent vers les résolveurs de votre réseau.
Vous pouvez utiliser l'API ou la commande CLI suivante :
+ [API `CreateResolverEndpoint`](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html)
+ [`create-resolver-endpoint` CLI](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)
1. Créez une ou plusieurs règles de délégation, qui spécifient les noms de domaine pour lesquels les requêtes doivent être déléguées à votre réseau via le point de terminaison sortant spécifié.
Exemple de création de règles de délégation avec la CLI :
```
aws route53resolver create-resolver-rule \
--region REGION \
--creator-request-id delegateruletest \
--delegation-record example.com \
--name delegateruletest \
--rule-type DELEGATE \
--resolver-endpoint-id outbound endpoint ID
```
1. Associez la règle de délégation à celle VPCs pour laquelle vous souhaitez que les requêtes soient déléguées.
Vous pouvez utiliser l'API ou la commande CLI suivante :
+ [AssociateResolverRule](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_AssociateResolverRule.html)API.
+ [associate-resolver-rules](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/associate-resolver-rule.html)Commande CLI.
## Types de délégation pris en charge par le point de terminaison sortant de Resolver
VPC Resolver prend en charge deux types de délégation sortante :
+ Délégation sortante de la zone hébergée privée 53 vers VPC Resolver :
Délégue un sous-domaine d'une zone hébergée privée vers un serveur DNS local ou vers une zone hébergée publique sur Internet à l'aide de la délégation sortante. Cette délégation sortante vous permet de répartir la gestion de vos enregistrements DNS entre la zone hébergée privée et la zone déléguée. La délégation peut être effectuée avec ou sans enregistrement adhésif dans une zone hébergée privée en fonction de votre configuration DNS. Pour plus d'informations, consultez. [Zone hébergée privée vers le trafic sortant](#phz-to-outbound-delegation)
+ Résolveur VPC de la délégation sortante vers la délégation sortante :
Délégue un sous-domaine de votre serveur DNS local à un autre serveur local situé au même endroit ou à un emplacement différent en utilisant la délégation sortante à sortante. Cela est similaire à la délégation d'une zone hébergée privée vers un point de terminaison sortant, où vous pouvez déléguer à une zone hébergée sur votre serveur de noms local. Pour de plus amples informations, veuillez consulter [De l'aller vers l'sortant](#outbound-to-outbound-delegation).
### Exemple de configuration de délégation sortante de la zone hébergée privée Route 53 vers VPC Resolver
Supposons une configuration DNS dans laquelle la zone hébergée parent est hébergée dans une zone hébergée privée Route 53 dans un Amazon VPC et où les sous-domaines sont délégués à des serveurs de noms hébergés en Europe, en Asie et en Amérique du Nord. Toutes les requêtes DNS sont transmises via le résolveur VPC.
Suivez les étapes décrites dans les exemples pour configurer votre zone hébergée privée et votre résolveur VPC.
**Configurer une zone hébergée privée pour la délégation sortante**
1. Pour la configuration de la zone hébergée privée :
Zone hébergée par le parent : `hr.example.com`
```
$TTL 86400 ; 24 hours
$ORIGIN hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of Zone Delegation
ns1.eu.hr.example.com IN A 10.0.0.30 # Glue Record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue Record
```
1. Pour le serveur de noms local de la région Europe sur site :
+ Zone hébergée : `eu.hr.example.com` NS IP : `10.0.0.30`
```
$TTL 86400 ; 24 hours
$ORIGIN eu.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.eu.hr.example.com IN A 1.2.3.4
```
1. Pour le serveur de noms local de la région Asie sur site :
Zone hébergée :`apac.hr.example.com`, `10.0.0.40`
Le serveur de noms apac peut déléguer le sous-domaine à d'autres serveurs de noms.
```
$TTL 86400 ; 24 hours
$ORIGIN apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90
```
Zone hébergée :`engineering.apac.hr.example.com`, `10.0.0.80`
```
$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1
```
1. Pour le serveur de noms local de la région Amérique du Nord :
Zone hébergée : `na.hr.example.net` NS IP : `10.0.0.50`
```
$TTL 86400 ; 24 hours
$ORIGIN na.hr.example.net
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com IN A 9.10.11.12
```
**Configuration du résolveur VPC**
+ Pour le résolveur VPC, vous devez configurer une règle directe et deux règles de délégation :
**Règle directe**
1. Pour transférer l'enregistrement de out-of-zone délégation, le résolveur VPC Route 53 connaisse l'adresse IP du NS délégué pour transmettre la demande initiale.
nom de domaine : target-ips : `hr.example.net` `10.0.0.50`
**Règles de délégation**
1. Règle de délégation pour la délégation en zone :
enregistrement de délégation : `hr.example.com`
1. Règle de délégation pour la délégation hors zone :
enregistrement de délégation : `hr.example.net`
### Exemple de configuration de délégation sortante vers sortie
Au lieu d'avoir la zone hébergée parent dans un Amazon VPC, supposons une configuration DNS dans laquelle la zone hébergée parent se trouve dans l'emplacement central sur site et les sous-domaines sont délégués à des serveurs de noms hébergés en Europe, en Asie et en Amérique du Nord. Toutes les requêtes DNS sont transmises via le résolveur VPC.
Suivez les étapes décrites dans les exemples pour configurer votre DNS local et le résolveur VPC.
**Configuration du DNS sur site**
1. Pour le serveur de noms local situé dans la région centrale sur site :
+ **Zone hébergée par le parent :** `hr.example.com`
Zone hébergée`hr.example.com`, adresse IP NS : `10.0.0.20`
```
$TTL 86400 ; 24 hours
$ORIGIN hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of zone delegation
ns1.eu.hr.example.com IN A 10.0.0.30 # Glue record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue record
```
1. Pour le serveur de noms local de la région Europe sur site (la configuration des serveurs de noms d'Europe, d'Asie et d'Amérique du Nord est la même que pour la zone hébergée privée vers la délégation sortante) :
+ Zone hébergée : `eu.hr.example.com` NS IP : `10.0.0.30`
```
$TTL 86400 ; 24 hours
$ORIGIN eu.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.eu.hr.example.com IN A 1.2.3.4
```
1. Pour le serveur de noms local de la région Asie sur site :
Zone hébergée :`apac.hr.example.com`, `10.0.0.40`
Le serveur de noms apac peut déléguer le sous-domaine à d'autres serveurs de noms.
```
$TTL 86400 ; 24 hours
$ORIGIN apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90
```
Zone hébergée :`engineering.apac.hr.example.com`, `10.0.0.80`
```
$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1
```
1. Pour le serveur de noms local de la région Amérique du Nord :
Zone hébergée : `na.hr.example.net` NS IP : `10.0.0.50`
```
$TTL 86400 ; 24 hours
$ORIGIN na.hr.example.net
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com IN A 9.10.11.12
```
**Configuration du résolveur VPC**
+ Pour le résolveur VPC, vous devez configurer des règles de transfert et des règles de délégation :
**Règles de transfert**
1. Pour transférer la demande initiale afin que les requêtes soient transmises à la zone hébergée parent située `hr.example.com` au centre :
nom de domaine : target-ips : `hr.example.com` `10.0.0.20`
1. Pour transférer l'enregistrement de out-of-zone délégation, le résolveur VPC connaisse l'adresse IP du serveur de noms délégué pour transférer la demande initiale :
nom de domaine : target-ips : `hr.example.net` `10.0.0.50`
**Règles de délégation**
1. Règle de délégation pour la délégation en zone :
dossier de délégation : `hr.example.com`
1. Règle de délégation pour la délégation hors zone :
enregistrement de délégation : `hr.example.net`
# Activation de la validation DNSSEC dans Amazon Route 53
Lorsque vous activez la validation DNSSEC pour un cloud privé virtuel (VPC) dans Amazon Route 53, les signatures DNSSEC sont vérifiées cryptographiquement pour s'assurer que la réponse n'a pas été altérée. Vous activez la validation DNSSEC sur la page détaillée de votre VPC.
La validation DNSSEC est appliquée par VPC Resolver aux noms signés publics lorsqu'il effectue une résolution DNS récursive.
Toutefois, si le résolveur VPC effectue le transfert vers un autre résolveur DNS, ce résolveur effectue une résolution DNS récursive et doit donc également appliquer la validation DNSSEC.
**Important**
L'activation de la validation DNSSEC peut affecter la résolution DNS pour les registres DNS publics de ressources AWS dans un VPC, ce qui pourrait entraîner une panne. Sachez que l'activation ou la désactivation de la validation DNSSEC peut prendre plusieurs minutes.
**Note**
À l'heure actuelle, le résolveur VPC Route 53 de votre VPC (alias AmazonProvided DNS) ignore le bit d'en-tête EDNS DO (DNSSEC OK) et le bit CD (Checking Disabled) dans la requête DNS. Si vous avez configuré le protocole DNSSEC, cela signifie que même si le résolveur VPC effectue la validation DNSSEC, il ne renvoie pas d'enregistrements DNSSEC et ne définit pas le bit AD dans la réponse. Par conséquent, l'exécution de votre propre validation DNSSEC n'est actuellement pas prise en charge par le résolveur VPC. Si vous devez le faire, vous devrez effectuer votre propre résolution DNS récursive.
**Pour activer la validation DNSSEC pour un VPC**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le volet de navigation, sous **VPC Resolver**, sélectionnez. **VPCs**
1. Sous **validation DNSSEC**, cochez la case. Si la case est déjà cochée, vous pouvez la désactiver pour désactiver la validation DNSSEC.
Sachez que l'activation ou la désactivation de la validation DNSSEC peut prendre plusieurs minutes.