Como configurar regras de roteador e firewall para as verificações de integridade do Amazon Route 53 - Amazon Route 53

Como configurar regras de roteador e firewall para as verificações de integridade do Amazon Route 53

Quando o Route 53 verifica a integridade de um endpoint, ele envia uma solicitação HTTP, HTTPS ou TCP para o endereço IP e a porta que você especificou quando criou a verificação de integridade. Para que uma verificação de integridade seja bem-sucedida, as regras do roteador e do firewall precisam permitir o tráfego de entrada dos endereços IP utilizados pelos verificadores de integridade do Route 53.

Para obter a lista atual de endereços IP para verificadores de integridade do Route 53, para servidores de nomes do Route 53 e outros produtos da AWS, consulte Intervalos de endereço IP dos servidores do Amazon Route 53.

No Amazon EC2, os grupos de segurança atuam como firewalls. Para obter mais informações, consulte Grupos de segurança do Amazon EC2 no Manual usuário do Amazon EC2 Guide. Para configurar os grupos de segurança para permitir verificações de integridade do Route 53, você pode permitir tráfego de entrada de cada intervalo de endereços IP ou usar uma lista de prefixos gerenciados pela AWS.

Para usar a lista de prefixos gerenciada pela AWS, modifique o grupo de segurança para permitir o tráfego de entrada de com.amazonaws.<region>.route53-healthchecks, em que <region> é a Região da AWS da instância ou do recurso do Amazon EC2. Se estiver usando as verificações de integridade do Route 53 para verificar os endpoints IPv6, você também deve permitir o tráfego de entrada de com.amazonaws.<region>.ipv6.route53-healthchecks.

Para obter mais informações sobre listas de prefixos gerenciados pela AWS, consulte Trabalhar com as listas de prefixos gerenciados pela AWS no Manual do usuário da Amazon VPC.

Importante

Ao adicionar endereços IP a uma lista de endereços IP permitidos, adicione todos os endereços IP no intervalo CIDR para cada região da AWS especificada ao criar verificações de integridade. Você pode ver que solicitações de verificação de integridade vêm de apenas um endereço IP em uma região. No entanto, esse endereço IP pode ser alterado a qualquer momento para outro dos endereços IP dessa região.

Se você quiser se certificar de que você inclui os endereços IP do verificador de integridade atual e mais antigos, adicione TODOS os intervalos de endereços IP /26 e /18 à lista de permissões. Para obter uma lista completa, consulte AWS IP address ranges na Referência geral da AWS.

Quando você adiciona a lista de prefixos gerenciados pela AWS ao grupo de segurança de entrada, ela adiciona automaticamente todos os intervalos necessários.