本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Route 53 Global Resolver 设置账户访问权限
<a name="gr-setting-up"></a>

在开始使用 Route 53 Global Resolver 之前，您需要一个 AWS 账户和相应的权限才能访问 Route 53 全球解析器资源。这包括创建具有必要权限的 IAM 用户和角色。

本节将指导您完成配置用户和角色以访问 Route 53 Global Resolver 所需的步骤。

**Topics**
+ [注册获取 AWS 账户](#sign-up-for-aws)
+ [创建具有管理访问权限的用户](#create-an-admin)
+ [创建策略和角色](#gr-setting-up-permissions)
+ [网络注意事项](#gr-setting-up-network)

## 注册获取 AWS 账户
<a name="sign-up-for-aws"></a>

如果您没有 AWS 账户，请完成以下步骤来创建一个。

**要注册 AWS 账户**

1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)

1. 按照屏幕上的说明操作。

   在注册时，将接到电话或收到短信，要求使用电话键盘输入一个验证码。

   当您注册时 AWS 账户，就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践，请为用户分配管理访问权限，并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”，查看当前账户活动并管理您的账户**。

## 创建具有管理访问权限的用户
<a name="create-an-admin"></a>

注册后，请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center，启用并创建管理用户，这样您就不会使用 root 用户执行日常任务。

**保护你的 AWS 账户根用户**

1.  选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址，以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上，输入您的密码。

   要获取使用根用户登录方面的帮助，请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 为您的根用户启用多重身份验证（MFA）。

   有关说明，请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**创建具有管理访问权限的用户**

1. 启用 IAM Identity Center。

   有关说明，请参阅**《AWS IAM Identity Center 用户指南》中的 [Enabling。 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)

1. 在 IAM Identity Center 中，为用户授予管理访问权限。

   有关使用 IAM Identity Center 目录 作为身份源的教程，请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录，请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。

  有关使用 IAM Identity Center 用户[登录的帮助，请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**将访问权限分配给其他用户**

1. 在 IAM Identity Center 中，创建一个权限集，该权限集遵循应用最低权限的最佳做法。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 将用户分配到一个组，然后为该组分配单点登录访问权限。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## 创建策略和角色
<a name="gr-setting-up-permissions"></a>

配置 AWS 身份和访问管理 (IAM) 权限，以便您的团队可以部署和管理 Route 53 全球解析器资源。您可以使用管理权限获得完全访问权限，也可以使用只读权限来监视和查看配置。

所有 Route 53 全球解析器 API 操作都需要适当的 IAM 权限。如果您没有所需的权限，API 调用将返回 `AccessDeniedException` (401) 或 `UnauthorizedException` (401) 错误。

### 管理权限
<a name="gr-setting-up-permissions-admin"></a>

如果您是首次设置 Route 53 Global Resolver 或管理服务的各个方面，则需要管理权限。您可以使用以下 AWS 托管策略：
+ `AmazonRoute53GlobalResolverFullAccess`-提供对 Route 53 全球解析器资源的完全访问权限，包括创建、更新和删除全局解析器、DNS 视图、防火墙规则和域列表
+ `AmazonRoute53FullAccess`-如果您计划使用私有托管区域转发，则为必填项
+ `CloudWatchLogsFullAccess`-如果您计划向 Amazon 发送日志，则为必填项 CloudWatch
+ `AmazonS3FullAccess`-如果您计划从 Amazon S3 导入防火墙域列表或向 Amazon S3 发送日志，则为必填项

### 只读权限
<a name="gr-setting-up-permissions-readonly"></a>

如果您只需要查看 Route 53 Global Resolver 的配置和日志，则可以使用以下 AWS 托管策略：
+ `AmazonRoute53GlobalResolverReadOnlyAccess`-提供对 Route 53 全球解析器资源的只读访问权限，包括查看全局解析器、DNS 视图、防火墙规则、域列表和访问源
+ `AmazonRoute53ReadOnlyAccess`-需要查看私有托管区域关联
+ `CloudWatchReadOnlyAccess`-需要在 Amazon 中查看日志 CloudWatch
+ `AmazonS3ReadOnlyAccess`-需要查看存储在 Amazon S3 中的防火墙域列表文件

## 网络注意事项
<a name="gr-setting-up-network"></a>

在实施 Route 53 全球解析器之前，请考虑以下网络要求：

客户端 IP 范围  
只有在使用基于访问源的身份验证时才需要这样做。确定将使用 Route 53 全球解析器的所有客户端的 IP 地址范围（CIDR 块）。您需要这些来配置访问来源的规则。

DNS 协议  
确定您的客户端将使用哪些 DNS 协议：  
+ **Do53-** 端口 53 上的标准 DNS (UDP/TCP)
+ **DoH**- DNS-over-HTTPS 用于加密查询
+ **DoT**- DNS-over-TLS 用于加密查询

防火墙和安全组  
确保您的网络防火墙和安全组允许在相应的端口（Do53 为 53，DoH 为 443，DoH 为 443，交通部为 853，交通部为 853）上的 Route 53 Global Resolver anycast IP 地址的出站流量。