View a markdown version of this page

Configurazione dell'accesso all'account per Route 53 Global Resolver - Amazon Route 53
Creazione di politiche e ruoliConsiderazioni sulla rete

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'accesso all'account per Route 53 Global Resolver

Prima di iniziare a utilizzare Route 53 Global Resolver, è necessario un AWS account e le autorizzazioni appropriate per accedere alle risorse di Route 53 Global Resolver. Ciò include la creazione di utenti e ruoli IAM con le autorizzazioni necessarie.

Questa sezione illustra i passaggi necessari per configurare utenti e ruoli per accedere a Route 53 Global Resolver.

Creazione di politiche e ruoli

Configura le autorizzazioni di AWS Identity and Access Management (IAM) in modo che il tuo team possa distribuire e gestire le risorse Route 53 Global Resolver. È possibile utilizzare autorizzazioni amministrative per l'accesso completo o autorizzazioni di sola lettura per il monitoraggio e la visualizzazione delle configurazioni.

Tutte le operazioni dell'API Route 53 Global Resolver richiedono autorizzazioni IAM appropriate. Se non disponi delle autorizzazioni richieste, le chiamate API restituiranno errori AccessDeniedException (401) o UnauthorizedException (401).

Autorizzazioni di amministrazione

Se stai configurando Route 53 Global Resolver per la prima volta o gestisci tutti gli aspetti del servizio, hai bisogno di autorizzazioni amministrative. Puoi utilizzare queste AWS politiche gestite:

  • AmazonRoute53GlobalResolverFullAccess- Fornisce l'accesso completo alle risorse di Route 53 Global Resolver, inclusa la creazione, l'aggiornamento e l'eliminazione di resolver globali, viste DNS, regole firewall ed elenchi di domini

  • AmazonRoute53FullAccess- Obbligatorio se si prevede di utilizzare l'inoltro di zone ospitate private

  • CloudWatchLogsFullAccess- Obbligatorio se prevedi di inviare log ad Amazon CloudWatch

  • AmazonS3FullAccess- Obbligatorio se prevedi di importare elenchi di domini firewall da Amazon S3 o inviare log ad Amazon S3

Read-only autorizzazioni

Se devi solo visualizzare le configurazioni e i log di Route 53 Global Resolver, puoi utilizzare queste politiche gestite: AWS

  • AmazonRoute53GlobalResolverReadOnlyAccess- Fornisce accesso in sola lettura alle risorse di Route 53 Global Resolver, inclusa la visualizzazione di resolver globali, viste DNS, regole firewall, elenchi di domini e fonti di accesso

  • AmazonRoute53ReadOnlyAccess- Necessario per visualizzare le associazioni di zone ospitate private

  • CloudWatchReadOnlyAccess- Necessario per visualizzare i log in Amazon CloudWatch

  • AmazonS3ReadOnlyAccess- Necessario per visualizzare i file dell'elenco dei domini del firewall archiviati in Amazon S3

Considerazioni sulla rete

Prima di implementare Route 53 Global Resolver, considera i seguenti requisiti di rete:

Intervalli IP del client

Questo è necessario solo quando si utilizza l'autenticazione basata sulla fonte di accesso. Identifica gli intervalli di indirizzi IP (blocchi CIDR) per tutti i client che utilizzeranno Route 53 Global Resolver. Ti serviranno per configurare le regole per la tua fonte di accesso.

Protocolli DNS

Determina quali protocolli DNS utilizzeranno i tuoi clienti:

  • Do53 - DNS standard sulla porta 53 () UDP/TCP

  • DoH - DNS-over-HTTPS per query crittografate

  • DoT: DNS-over-TLS per query crittografate

Firewall e gruppi di sicurezza

Assicurati che i firewall di rete e i gruppi di sicurezza consentano il traffico in uscita verso gli indirizzi IP anycast di Route 53 Global Resolver sulle porte appropriate (53 per Do53, 443 per DoH, 853 per DoT).