本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Route 53 Profiles 是什么?
使用 Route 53 配置文件,您可以跨多种 VPCs不同方式 AWS 账户应用和管理与 DNS 相关的 Route 53 配置。配置文件使管理许多人的 DNS 设置与管理单个 VPC 的 DNS 设置 VPCs 一样简单,当您更新配置文件时,其设置会传播到所有 VPCs 与该配置文件关联的人。您也可以使用 AWS 账户 在同一地区与之共享个人资料 AWS RAM。以下是您可以关联到某个配置文件的 Route 53 当前支持的资源:
+ 私有托管区及其中指定的设置。有关使用私有托管区的更多信息,请参阅 [使用私有托管区](hosted-zones-private.md)。
+ 解析器规则,包括转发规则和系统规则。有关 Resolver 规则的更多信息,请参阅 [管理转发规则](resolver-rules-managing.md)。
+ DNS Firewall 规则组。有关 DNS 防火墙规则组的更多信息,请参阅 [DNS Firewall 规则组和规则](resolver-dns-firewall-rule-groups.md)。
+ 接口 VPC 端点 有关接口 VPC 端点的更多信息,请参阅 *Amazon VPC 用户指南*中的[接口 VPC 端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
+ VPC 解析器查询日志配置。有关 VPC 解析器查询日志记录的更多信息,请参阅[Resolver 查询日志记录](resolver-query-logs.md)。
某些 VPC 配置直接在配置文件中进行管理。这些配置为:
+ Resolver 规则的反向 DNS 查找配置。
+ DNS Firewall 故障模式配置。
+ DNSSEC 验证配置。
例如,您可以为与配置文件关联的所有内容启用 DNS 防火墙故障模式配置,但保留 VPC 现有的 DNSSEC 验证配置。 VPCs
**重要**
为上述配置启用配置文件设置并将配置文件关联到 VPC 后,配置文件设置立即生效。
您还可以使用 CloudFormation 为新配置的 DNS 设置一致的 DNS 设置。 VPCs
每个 VPC 可关联一个配置文件,每个配置文件可关联的资源数量各不相同。有关更多信息,请参阅 [Route 53 配置文件中的配额](DNSLimitations.md#limits-api-entities-route53-profiles)。
## 如何确定 Route 53 配置文件设置的优先级
可以为配置文件设置本地 DNS 设置和关联,以用于迁移或其他测试目的。当 DNS 查询同时与 VPC 直接关联的私有托管区的 Resolver 规则和配置文件关联的私有托管区的 Resolver 规则匹配时,优先采用本地 DNS 设置。当对冲突的域名进行 DNS 查询时,最具体的域名将会胜出。下表列出了评估顺序的示例:
| DNS 查询 | 配置文件规则 | VPC 规则 | 评估的规则 |
| --- | --- | --- | --- |
| example.com | example.com | example.com | 本地 VPC |
| test.example.com | test.example.com | example.com | 配置文件 |
| marketing.example.com | 无 | marketing.example.com | 本地 VPC |
## Route 53 配置文件区域可用性
要查看区域可用性和端点,请参阅 *AWS 一般参考*指南中的 [Route 53 的服务端点](https://docs.aws.amazon.com/general/latest/gr/r53.html)。
# 使用 Route 53 配置文件的概括步骤
要在您的亚马逊虚拟私有云中实现 Amazon Route 53 配置文件 VPCs,请执行以下高级步骤。
1. **创建空配置文件** - 第一步是创建一个可以关联到 DNS 资源的空配置文件。有关更多信息,请参阅 [创建 Route 53 配置文件](profile-create.md)。
1. **将 DNS 资源与配置文件关联** — 您当前可以与配置文件关联的资源包括私有托管区域、解析器规则(包括转发和系统)、DNS 防火墙规则组、VPC 解析器查询日志配置以及接口 VPC 终端节点。有关更多信息,请参阅 [将 DNS Firewall 规则组与 Route 53 配置文件关联](profile-associate-dns-firewall.md)、[将私有托管区与 Route 53 配置文件相关联](profile-associate-private-hz.md)、[将 Resolver 规则与 Route 53 配置文件相关联](profile-associate-resolver-rules.md)、[将 VPC 解析器查询日志配置关联到 Route 53 配置文件](profile-associate-query-logging.md)和[将接口 VPC 端点与 Route 53 配置文件关联](profile-associate-vpc-endpoints.md)。
1. **为配置文件配置一些 VPC 设置** — 某些 DNS 设置(例如与配置文件关联的托管区域)会 VPCs 立即应用于。对于 DNSSEC 验证、Resolver 反向 DNS 查找和 DNS Firewall 故障模式配置,可以选择以下选项之一:
+ 对于 DNSSEC 验证,您可以选择使用本地 VPC 配置(默认)、启用验证或禁用所有与配置文件 VPCs 关联的验证。
+ 对于 Resolver 反向 DNS 查找配置,可以将其启用、禁用或在本地使用为 VPC 定义的自动定义规则(默认)。
+ 对于 DNS Firewall 故障模式配置,可以将其启用、禁用或在本地使用为 VPC 定义的故障模式配置(默认)。
有关更多信息,请参阅 [编辑 Route 53 配置文件的配置](profile-edit-configurations.md)。
1. 将@@ **配置文件关联到一个或多个**配置文件 VPCs — 要开始使用您的个人资料,请将其与一个或多个配置文件相关联 VPCs。有关更多信息,请参阅 [将 Route 53 配置文件关联到 VPCs](profile-associate-vpcs.md)。
# 创建 Route 53 配置文件
要创建 Route 53 配置文件,请按照本主题中的指导操作。选择一个选项卡,使用 Route 53 控制台创建 Route 53 配置文件,或者 AWS CLI。
+ [控制台](#profile_create_console)
+ [CLI](#profile_create_CLI)
------
#### [ Console ]
**创建 Route 53 配置文件**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 在导航栏上,选择您想要在其中创建配置文件的区域。
1. 输入配置文件的名称,可以选择添加标签,然后选择**创建配置文件**。
这将创建一个采用默认配置的空配置文件,您可以为其关联资源。将资源与配置文件关联后,您可以将其与多个配置文件相关联, VPCs 并编辑某些解析器配置如何应用于。 VPCs
------
#### [ CLI ]
您可以通过运行如下 AWS CLI 命令并使用自己的值来创建配置文件`name`。
`aws route53profiles create-profile --name test`
以下是运行此命令后的示例输出。
```
{
"Profile": {
"Arn": "arn:aws:route53profiles:us-east-1:123456789012:profile/rp-6ffe47d5example",
"ClientToken": "2ca1a304-32b3-4f5f-bc4c-EXAMPLE11111",
"CreationTime": 1710850903.578,
"Id": "rp-6ffe47d5example",
"ModificationTime": 1710850903.578,
"Name": "test",
"OwnerId": "123456789012",
"ShareStatus": "NOT_SHARED",
"Status": "COMPLETE",
"StatusMessage": "Created Profile"
}
}
```
------
要将配置文件与不同的资源关联并编辑配置文件的 VPC 配置,请参阅以下步骤:
**Topics**
+ [将 DNS Firewall 规则组与 Route 53 配置文件关联](profile-associate-dns-firewall.md)
+ [将私有托管区与 Route 53 配置文件相关联](profile-associate-private-hz.md)
+ [将 Resolver 规则与 Route 53 配置文件相关联](profile-associate-resolver-rules.md)
+ [将接口 VPC 端点与 Route 53 配置文件关联](profile-associate-vpc-endpoints.md)
+ [将 VPC 解析器查询日志配置关联到 Route 53 配置文件](profile-associate-query-logging.md)
+ [编辑 Route 53 配置文件的配置](profile-edit-configurations.md)
+ [将 Route 53 配置文件关联到 VPCs](profile-associate-vpcs.md)
# 将 DNS Firewall 规则组与 Route 53 配置文件关联
有关创建规则组的说明,请参阅 [创建规则组和规则](resolver-dns-firewall-rule-group-adding.md),然后选择一个选项卡,使用 Route 53 控制台或 AWS CLI将 DNS Firewall 规则组与 Route 53 配置文件关联。
+ [控制台](#profile-rule-group-console)
+ [CLI](#profile-rule-group-CLI)
------
#### [ Console ]
**关联 DNS Firewall 规则组**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航栏上,选择您在其中创建了配置文件的区域。
1. 在导航窗格中,选择**配置文件**,然后在**配置文件**表中,选择要使用的配置文件的链接名称。
1. 在该 **<配置文件名称>** 页面上,选择 **DNS Firewall 规则组**选项卡,然后选择**关联**。
1. 在 **DNS Firewall 规则组**部分,最多可以选择 10 个之前创建的规则组。如果要关联 10 个以上的规则组,请使用 APIs。有关更多信息,请参阅 [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html)。
要创建新的规则组,请参阅 [创建规则组和规则](resolver-dns-firewall-rule-group-adding.md)。
1. 选择**下一步**。
1. 在**指定优先级**页面上,可以通过单击预分配优先级序号并键入新的序号来设置规则组的处理顺序。优先级的许可值介于 100 到 9900 之间。
规则组评估从数字最小的优先级设置开始,并逐渐增大。您可以随时更改规则组的优先级,例如更改处理顺序或为其它规则组留出空间。
选择**提交**。
1. 关联进度显示在 **DNS Firewall** 规则组对话框的**状态**列中。
------
#### [ CLI ]
通过运行如下 AWS CLI 命令并使用您自己的`name``profile-id`、`resource-arn`和值,可以将规则组与配置文件相关联`priority`:
`aws route53profiles associate-resource-to-profile --name test-resource-association --profile-id rp-4987774726example --resource-arn arn:aws:route53resolver:us-east-1:123456789012:firewall-rule-group/rslvr-frg-cfe7f72example --resource-properties "{\"priority\": 102}"`
以下是运行此命令后的示例输出。
```
{
"ProfileResourceAssociation": {
"CreationTime": 1710851216.613,
"Id": "rpr-001913120a7example",
"ModificationTime": 1710851216.613,
"Name": "test-resource-association",
"OwnerId": "123456789012",
"ProfileId": "rp-4987774726example",
"ResourceArn": "arn:aws:route53resolver:us-east-1:123456789012:firewall-rule-group/rslvr-frg-cfe7f72example",
"ResourceProperties": "{\"priority\":102}",
"ResourceType": "FIREWALL_RULE_GROUP",
"Status": "UPDATING",
"StatusMessage": "Updating the Profile to DNS Firewall rule group association"
}
}
```
------
# 将私有托管区与 Route 53 配置文件相关联
有关如何创建私有托管区的说明,请参阅 [创建私有托管区域](hosted-zone-private-creating.md),然后按照此过程中的步骤将私有托管区与配置文件关联。
**关联私有托管区**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航栏上,选择您在其中创建了配置文件的区域。
1. 在导航窗格中,选择**配置文件**,然后在**配置文件**表中,选择要使用的配置文件的链接名称。
1. 在 **<配置文件名称>** 页面上,选择**私有托管区**选项卡,然后选择**关联**。
1. 在**关联私有托管区**页面上,最多可以选择 10 个之前创建的私有托管区。如果您想关联 10 个以上的私有托管区域,请使用 APIs。有关更多信息,请参阅 [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html)。
要创建私有托管区,请参阅 [创建私有托管区域](hosted-zone-private-creating.md):
1. 选择**关联**
1. 关联进度显示在**私有托管区**选项卡的**状态**列中。
# 将 Resolver 规则与 Route 53 配置文件相关联
有关如何创建 Resolver 规则的说明,请参阅 [创建转发规则](resolver-rules-managing.md#resolver-rules-managing-creating-rules),然后按照此程序中的步骤将 Resolver 规则与配置文件关联。
**关联 VPC 解析器规则**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航栏上,选择您在其中创建了配置文件的区域。
1. 在 **<配置文件名称>** 页面上,选择 **Resolver 规则**选项卡,然后选择**关联**。
1. 在**关联 Resolver 规则**页面的 **Resolver 规则**表中,最多可以选择 10 条之前创建的 Resolver 规则。如果要关联 10 个以上的解析器规则,请使用。 APIs有关更多信息,请参阅 [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html)。
要创建 Resolver 规则,请参阅 [创建转发规则](resolver-rules-managing.md#resolver-rules-managing-creating-rules)。
1. 选择**关联**
1. 关联进度显示在 **Resolver 规则**页面的**状态**列中。
# 将接口 VPC 端点与 Route 53 配置文件关联
有关如何创建接口 VPC 端点的说明,请参阅 *VPC 用户指南*中的[创建 VPC 端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws),然后按照本程序中的步骤,将 VPC 端点与配置文件关联。
**关联 VPC 端点**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航栏上,选择您在其中创建了配置文件的区域。
1. 在 **<配置文件名称>** 页面上,选择 **VPC 端点**选项卡,然后选择**关联**。
1. 在**关联 VPC 端点**页面的 **VPC 端点**表中,最多可以选择 10 个之前创建的端点。如果要关联 10 个以上的终端节点,请使用 APIs。有关更多信息,请参阅 [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html)。
要创建 Resolver 规则,请参阅 [创建转发规则](resolver-rules-managing.md#resolver-rules-managing-creating-rules)。
1. 选择**关联**
1. 关联进度显示在 **VPC 端点**选项卡的**状态**列中。
# 将 VPC 解析器查询日志配置关联到 Route 53 配置文件
有关如何创建 VPC 解析器查询日志配置的说明,请参阅,然后选择一个选项卡[配置(VPC 解析器查询日志)](resolver-query-logging-configurations-managing.md#resolver-query-logs-configuring),使用 Route 53 控制台将 VPC 解析器配置与 Route 53 配置文件关联,或者。 AWS CLI
+ [控制台](#profile-query-log-config-console)
+ [CLI](#profile-query-log-config-CLI)
------
#### [ Console ]
**关联查询日志配置**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航栏上,选择您在其中创建了配置文件的区域。
1. 在**配置文件名称**页面上,选择**解析器查询日志配置**选项卡,然后选择**关联**。
1. 在 “**关联查询日志配置**” 页面的 **Resolver 查询日志配置**表中,您最多可以选择先前创建的三个配置。如果要关联三个以上的查询日志配置,请使用 API。有关更多信息,请参阅 [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html)。
1. 要创建新的 VPC 解析器查询日志配置,请参阅[配置(VPC 解析器查询日志)](resolver-query-logging-configurations-managing.md#resolver-query-logs-configuring)。
1. 选择**关联**
1. 关联进度显示在 R **esolver 查询日志配置**选项卡的**状态**列中。
------
#### [ CLI ]
通过运行如下 AWS CLI 命令并使用自己的和值,可以将查询日志配置与配置文件相关联`resource-arn`。`name` `profile-id`
`aws route53profiles associate-resource-to-profile --name test-resource-association --profile-id rp-4987774726example --resource-arn arn:aws:route53resolver:us-east-1:123456789012:resolver-query-log-config/rqlc-cfe7f72example `
以下是运行此命令后的示例输出。
```
{
"ProfileResourceAssociation": {
"CreationTime": 1710851226.613,
"Id": "rpr-001913120b8example",
"ModificationTime": 1710851226.613,
"Name": "test-resource-association",
"OwnerId": "123456789012",
"ProfileId": "rp-4987774726example",
"ResourceArn": "arn:aws:route53resolver:us-east-1:123456789012:resolver-query-log-config/rqlc-cfe7f72example",
"ResourceType": "RESOLVER_QUERY_LOG_CONFIG",
"Status": "CREATING",
"StatusMessage": "Creating rp-4987774726example to rqlc-cfe7f72example association"
}
}
```
------
# 编辑 Route 53 配置文件的配置
将资源与配置文件关联后,您可以编辑默认 VPC 配置以决定如何将其应用于 VPCs。
**编辑配置文件的配置**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航栏上,选择您在其中创建了配置文件的区域。
1. 在导航窗格中,选择**配置文件**,然后在**配置文件**表中,选择要使用的配置文件的链接名称。
1. 在 **<配置文件名称>** 页面上,选择**配置**选项卡,然后选择**编辑**。
1. 在**编辑配置**页面上,为 VPC DNSSEC 配置、Resolver 反向 DNS 查找配置和 DNS Firewall 故障模式配置选择其中一个值。
有关这些值的更多信息,请参阅 [Route 53 配置文件的配置设置](values-for-profile-configuration.md)。
1. 选择**更新**。
# Route 53 配置文件的配置设置
编辑 Route 53 配置文件的配置时,请指定以下值:
**DNSSEC 配置**
选择以下任一值:
+ **使用本地 VPC DNSSEC 配置 - 默认**
选择此选项可使所有与此配置文件 VPCs 关联的用户保留其本地 DNSSEC 验证配置。
+ **启用 DNSSEC 验证**
选择此选项可在与该配置文件VPCs 关联的所有内容中启用 DNSSEC 验证。
+ **禁用 DNSSEC 验证**
选择此选项可禁用所有与此配置文件关联VPCs 的 DNSSEC 验证。
**Resolver 反向 DNS 查找配置**
选择以下任一值:
+ **启用**
选择此选项可创建自动定义的规则,以便在所有关联的 DNS 中进行反向 DNS 查找 VPCs。
+ **未启用**
选择此选项可不为所有关联的 DNS 反向查找创建自动定义的规则 VPCs。
+ **使用本地自动定义的规则 - 默认**
选择此选项可使用本地 VPC 设置对关联人进行反向 DNS 查找 VPCs。
**DNS Firewall 故障模式配置**
选择以下任一值:
+ **禁用**
选择此选项可关闭关联的 DNS 防火墙故障模式 VPCs。使用此选项,DNS Firewall 将阻止它无法正确评估的所有查询。
+ **Enabled (已启用)**
选择此选项可为所有关联用户保持 DNS 防火墙故障模式处于打开状态 VPCs。使用此选项,如果 DNS Firewall 无法正确评估查询,它将允许查询继续。
+ **使用本地故障模式设置 - 默认**
选择此选项可以使用本地 VPC DNS Firewall 故障模式设置。
有关配置的更多信息,请参阅
+ [在 Amazon Route 53 中启用 DNSSEC 验证](resolver-dnssec-validation.md)
+ [VPC 解析器中反向 DNS 查询的转发规则](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns)
+ [DNS Firewall VPC 配置](resolver-dns-firewall-vpc-configuration.md)
# 将 Route 53 配置文件关联到 VPCs
要将 Route 53 配置文件与 VPC 关联,请按照本主题中的指导操作。选择一个选项卡,使用 Route 53 控制台将 Route 53 配置文件关联到 VPC,或者 AWS CLI。
+ [控制台](#profile-associate-vpcs-console)
+ [CLI](#profile-associate-vpcs-CLI)
------
#### [ Console ]
**要关联 VPCs**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航栏上,选择您在其中创建了配置文件的区域。
1. 在****页面上,选择**VPCs**选项卡,然后选择**关联**。
1. 在 “**关联 VPCs**” 页面上,您最多可以选择之前创建的 10 个 VPCs 。如果要关联超过 10 个 VPCs,请使用 APIs。有关更多信息,请参阅 [AssociateProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateProfile.html)。
1. 选择**关联**
1. 关联进度显示在**VPCs**页面的**状态**列中。
------
#### [ CLI ]
您可以通过运行如下 AWS CLI 命令并使用您自己的`name``profile-id`、和值来列出配置文件`resource-id`:
`aws route53profiles associate-profile --name test-association --profile-id rp-4987774726example --resource-id vpc-0af3b96b3example`
以下是运行此命令后的示例输出。
```
{
"ProfileResourceAssociation": {
"CreationTime": 1710851216.613,
"Id": "rpr-001913120a7example",
"ModificationTime": 1710851216.613,
"Name": "test-resource-association",
"OwnerId": "123456789012",
"ProfileId": "rp-4987774726example",
"ResourceArn": "arn:aws:route53resolver:us-east-1:123456789012:firewall-rule-group/rslvr-frg-cfe7f72example",
"ResourceProperties": "{\"priority\":102}",
"ResourceType": "FIREWALL_RULE_GROUP",
"Status": "UPDATING",
"StatusMessage": "Updating the Profile to DNS Firewall rule group association"
}
}
```
------
# 查看和更新 Amazon Route 53 Profiles
选择控制台选项卡,查看和编辑 Route 53 配置文件。选择 CLI 选项卡 AWS CLI ,用于列出您拥有的、由您共享或与您共享的个人资料。
+ [控制台](#profile-editing-console)
+ [CLI](#profile-editing-CLI)
------
#### [ Console ]
**查看和更新 Route 53 配置文件**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 选择要查看或编辑的配置文件名称旁边的按钮。
1. 在 **<配置文件名称>** 页面上,可以查看当前关联的 DNS 资源、关联新的资源以及编辑标签和 VPC 配置。
------
#### [ CLI ]
您可以通过运行如下 AWS CLI 命令来列出配置文件:
`aws route53profiles list-profiles`
以下是运行此命令后的示例输出。
```
{
"ProfileSummaries": [
{
"Arn": "arn:aws:route53profiles:us-east-1:123456789012:profile/rp-4987774726example",
"Id": "rp-4987774726example",
"Name": "test",
"ShareStatus": "NOT_SHARED"
}
]
}
```
您可以运行如下 AWS CLI 命令并对 `profile-association-id` 使用自己的值,从而获取与此配置文件关联的特定 VPC 的信息:
`aws route53profiles get-profile-association --profile-association-id rpassoc-489ce212fexample`
以下是运行此命令后的示例输出。
```
"ProfileAssociation": {
"CreationTime": 1709338817.148,
"Id": "rrpassoc-489ce212fexample",
"ModificationTime": 1709338974.772,
"Name": "test-association",
"OwnerId": "123456789012",
"ProfileId": "rp-4987774726example",
"ResourceId": "vpc-0af3b96b3example",
"Status": "COMPLETE",
"StatusMessage": "Created Profile Association"
} ]
}
```
------
## 删除 Amazon Route 53 配置文件
选择一个选项卡,使用 Route 53 控制台删除 Route 53 配置文件,或者 AWS CLI。
+ [控制台](#profile-delete-console)
+ [CLI](#profile-delete-CLI)
------
#### [ Console ]
**删除 Route 53 配置文件**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 选择要删除的配置文件旁边的单选按钮,然后选择**删除**。
**重要**
如果个人资料与关联,则无法将其删除 VPCs。此外,如果将配置文件共享给其他人 AWS 账户,则与 VPCs 该配置文件配置关联的任何配置都将丢失这些配置。
1. 在 **删除 <配置文件名称>** 对话框中,键入 **confirm**,然后选择**删除**。
------
#### [ CLI ]
**重要**
如果个人资料与关联,则无法将其删除 VPCs。此外,如果将配置文件共享给其他人 AWS 账户,则与 VPCs 该配置文件配置关联的任何配置都将丢失这些配置。
您可以通过运行如下 AWS CLI 命令并使用自己的值来删除配置文件`profile-id`:
`aws route53profiles delete-profile --profile-id rp-6ffe47d5example`
以下是运行此命令后的示例输出。
```
{
"Profile": {
"Arn": "arn:aws:route53profiles:us-east-1:123456789012:profile/rp-6ffe47d5example",
"ClientToken": "0a15fec0-05d9-4f78-bec0-EXAMPLE11111",
"CreationTime": 1710850903.578,
"Id": "rp-6ffe47d5example",
"ModificationTime": 1710850903.578,
"Name": "test",
"OwnerId": "123456789012",
"ShareStatus": "NOT_SHARED",
"Status": "DELETED",
"StatusMessage": "Deleted Profile"
}
}
```
------
# 查看和更新与 Amazon Route 53 配置文件关联的 Route 53 资源
选择控制台选项卡查看 Route 53 配置文件资源关联,也可以选择编辑 DNS Firewall 规则组的优先级。选择 CLI 选项卡 AWS CLI ,用于列出资源关联并查看 DNS 防火墙规则组优先级的更新示例。
+ [控制台](#profile-list-resource-console)
+ [CLI](#profile-list-resource-CLI)
------
#### [ Console ]
**查看和更新与配置文件关联的资源**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 在导航栏上,选择您在其中创建了配置文件的区域。
1. 选择要查看或编辑资源关联的配置文件名称旁边的按钮。
1. 在 **<配置文件名称>** 页面上,选择要查看或编辑的资源的选项卡,即 **DNS Firewall 规则组**、**私有托管区**、**Resolver 规则**或 **VPC 端点**。
1. 在资源的选项卡页上,可以查看关联资源的名称、ARN 和状态。您还可以选择齿轮图标来调整资源表中的显示内容。
在 **DNS Firewall 规则组**选项卡页上,您还可以选择规则组的优先级条目,并将其编辑为更小或更大的数字。规则组按照从最低优先级序号到最高优先级序号的顺序进行评估。
------
#### [ CLI ]
您可以通过运行如下 AWS CLI 命令并使用自己的值来列出与配置文件关联的资源`profile-id`:
`aws route53profiles list-profile-resource-associations --profile-id rp-4987774726example`
以下是运行此命令后的示例输出。
```
{
"ProfileResourceAssociations": [
{
"CreationTime": 1710851216.613,
"Id": "rpr-001913120a7example",
"ModificationTime": 1710851216.613,
"Name": "test-resource-association",
"OwnerId": "123456789012",
"ProfileId": "rp-4987774726example",
"ResourceArn": "arn:aws:route53resolver:us-east-1:123456789012:firewall-rule-group/rslvr-frg-cfe7f72example",
"ResourceProperties": "{\"priority\":102}",
"ResourceType": "FIREWALL_RULE_GROUP",
"Status": "COMPLETE",
"StatusMessage": "Completed creation of Profile to DNS Firewall rule group association"
}
]
}
```
您可以更新与配置文件关联的 DNS 防火墙规则组的优先级,方法是运行如下 AWS CLI 命令,为和使用自己的值,`profile-resource-association-id`并使用自己的值`--resource-properties`:
`aws route53profiles update-profile-resource-association --profile-resource-association-id rpr-001913120a7example --resource-properties "{\"priority\": 105}"`
以下是运行此命令后的示例输出。
```
{
"ProfileResourceAssociation": {
"CreationTime": 1710851216.613,
"Id": "rpr-001913120a7example",
"ModificationTime": 1710852303.798,
"Name": "test-resource-association",
"OwnerId": "123456789012",
"ProfileId": "rp-4987774726example",
"ResourceArn": "arn:aws:route53resolver:us-east-1:123456789012:firewall-rule-group/rslvr-frg-cfe7f72example",
"ResourceProperties": "{\"priority\":105}",
"ResourceType": "FIREWALL_RULE_GROUP",
"Status": "UPDATING",
"StatusMessage": "Updating the Profile to DNS Firewall rule group association"
}
}
```
------
# 取消资源与 Amazon Route 53 配置文件的关联
在删除个人资料之前,必须解除所有资源与该配置文件的关联。
**取消与 Route 53 配置文件关联的资源的关联**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 在导航栏上,选择要取消资源关联的配置文件的创建区域。
1. 选择要取消资源关联的配置文件名称旁边的按钮。
1. 在**配置文件名称**页面上,选择要删除的资源的选项卡,即 **DNS 防火墙规则组**、**私有托管区域**、解析器**查询日志、解析器****规则或 VP **C** 终**端节点。
1. 在资源的选项卡页上,选择要取消关联的资源,然后选择**取消关联**。
1. 在**取消资源关联**对话框中,键入 **confirm**,然后选择**取消关联**。
# 查看 VPCs 与 Amazon Route 53 个人资料相关的内容
选择控制台选项卡,查看和编辑 Route 53 配置文件与 VPC 的关联。选择 CLI 选项卡, AWS CLI 用于列出配置文件与 VPC 的关联,或者获取有关特定关联的信息
+ [控制台](#profiles-vpcs-editing-console)
+ [CLI](#profiles-vpcs-editing-CLI)
------
#### [ Console ]
**查看 VPCs 与配置文件关联的内容**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 在导航栏上,选择您在其中创建了配置文件的区域。
1. 选择要查看其关联的配置文件名称旁边的按钮 VPCs。
1. 在****页面上选择**VPCs**选项卡。
1. 在的选项卡页上, VPCs 您可以查看关联人员的姓名、ARN 和状态。 VPCs
------
#### [ CLI ]
你可以通过运行如下 AWS CLI 命令来列出与之关联的配置文件: VPCs
`aws route53profiles list-profile-associations`
以下是运行此命令后的示例输出。
```
{
"ProfileAssociations": [
{
"CreationTime": 1709338817.148,
"Id": "rpassoc-489ce212fexample",{
"ProfileAssociations": [
{
"CreationTime": 1709338817.148,
"Id": "rpassoc-489ce212fexample",
"ModificationTime": 1709338974.772,
"Name": "test-association",
"OwnerId": "123456789012",
"ProfileId": "rp-4987774726example",
"ResourceId": "vpc-0af3b96b3example",
"Status": "COMPLETE",
"StatusMessage": "Created Profile Association"
}
]
}
"ModificationTime": 1709338974.772,
"Name": "test-association",
"OwnerId": "123456789012",
"ProfileId": "rp-4987774726example",
"ResourceId": "vpc-0af3b96b3example",
"Status": "COMPLETE",
"StatusMessage": "Created Profile Association"
}
]
}
```
您可以运行如下 AWS CLI 命令并对 `profile-association-id` 使用自己的值,从而获取与此配置文件关联的特定 VPC 的信息:
`aws route53profiles get-profile-association --profile-association-id rpassoc-489ce212fexample`
以下是运行此命令后的示例输出。
```
"ProfileAssociation": {
"CreationTime": 1709338817.148,
"Id": "rrpassoc-489ce212fexample",
"ModificationTime": 1709338974.772,
"Name": "test-association",
"OwnerId": "123456789012",
"ProfileId": "rp-4987774726example",
"ResourceId": "vpc-0af3b96b3example",
"Status": "COMPLETE",
"StatusMessage": "Created Profile Association"
} ]
}
```
------
## 取消 VPC 与 Amazon Route 53 配置文件的关联
选择一个选项卡,使用 Route 53 控制台将 Route 53 配置文件与 VPC 断开关联,或者。 AWS CLI
+ [控制台](#profile-disassociating-vpc-console)
+ [CLI](#profile-disassociating-vpc-CLI)
------
#### [ Console ]
**取消与 Route 53 配置文件关联的 VPC 的关联**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 在导航栏上,选择要取消 VPC 关联的配置文件的创建区域。
1. 选择要取消 VPC 关联的配置文件名称旁边的按钮。
1. 在****页面上选择**VPCs**选项卡。
1. **在资源的 VPCs 选项卡页上,选择要取消关联的 VPC,然后选择取消关联。**
1. 在**取消资源关联**对话框中,键入 **confirm**,然后选择**取消关联**。
------
#### [ CLI ]
您可以通过运行如下 AWS CLI 命令并使用自己的值来解除配置文件与 VPC 的`profile-id`关联:`--resource-id`
`aws route53profiles disassociate-profile --profile-id rp-4987774726example --resource-id vpc-0af3b96b3example`
以下是运行此命令后的示例输出。
```
"ProfileAssociation": {
"CreationTime": 1710851336.527,
"Id": "rpassoc-489ce212fexample",
"ModificationTime": 1710851401.362,
"Name": "test-association",
"OwnerId": "123456789012",
"ProfileId": "rp-4987774726example",
"ResourceId": "vpc-0af3b96b3example",
"Status": "DELETING",
"StatusMessage": "Deleting Profile Association"
}
```
------
# 使用共享的 Route 53 配置文件
可以通过以下方式与其他账户共享配置文件:
+ 授予只读权限,这意味着其他账户可以将个人资料与其关联起来 VPCs。在这种情况下,所有 DNS 资源和配置都将在关联的 DNS 上生效 VPCs。
+ 授予管理员权限。在这种情况下,拥有共享个人资料的账户可以修改个人资料,然后将其与其关联起来 VPCs。所有者还可以创建客户托管权限,用于指定可以由使用者账户执行的操作。有关更多信息,请参阅*《AWS RAM 用户指南》*中的[客户托管权限](https://docs.aws.amazon.com//ram/latest/userguide/create-customer-managed-permissions.html)。
Amazon Route 53 配置文件与 AWS Resource Access Manager (AWS RAM) 集成以实现资源共享。 AWS RAM 是一项服务,可让您与其他人 AWS 账户 或通过共享某些 Route 53 资源 AWS Organizations。使用 AWS RAM,您可以通过创建资源共享来*共享您拥有的资源*。资源共享指定要共享的资源以及与之共享资源的使用者。使用者可包括:
+ 具体 AWS 账户
+ 其组织内部的组织单位 AWS Organizations
+ 它的整个组织都在 AWS Organizations
有关的更多信息 AWS RAM,请参阅《*[AWS RAM 用户指南》](https://docs.aws.amazon.com/ram/latest/userguide/)*。
本主题说明如何共享您拥有的资源以及如何使用共享给您的资源。
**Topics**
+ [授予共享 Route 53 配置文件的权限](#sharing-prereqs)
+ [共享 Route 53 配置文件的先决条件](#sharing-prereqs)
+ [共享 Route 53 配置文件](#sharing-share)
+ [取消共享 Route 53 配置文件](#sharing-unshare)
+ [识别共享的 Route 53 配置文件](#sharing-identify)
+ [对共享 Route 53 配置文件的责任和权限](#sharing-perms)
+ [计费和计量](#sharing-billing)
+ [实例限额](#sharing-quotas)
## 授予共享 Route 53 配置文件的权限
IAM 主体需要一组最低权限才能共享配置文件。我们建议使用 `AmazonRoute53ProfilesFullAccess` 托管 IAM 策略,确保 IAM 主体拥有共享和使用所共享配置文件的必需权限。
如果使用自定义 IAM 策略,则需要进行 `route53profiles:GetProfilePolicy` 和 `route53profiles:PutProfilePolicy` 操作。这些是仅限权限的 IAM 操作。如果 IAM 委托人未获得这些权限,则在尝试使用该 AWS RAM 服务共享个人资料时会出错。
## 共享 Route 53 配置文件的先决条件
+ 要共享 Route 53 个人资料,您必须在自己的账户中拥有该档案 AWS 账户。这意味着资源必须分配或预调配到您的账户。您无法共享已与您共享的 Route 53 配置文件。
+ 要与您的企业或 AWS Organizations内的企业部门共享 Route 53 配置文件,您必须允许与 AWS Organizations共享。有关更多信息,请参阅《AWS RAM 用户指南》**中的[在 AWS Organizations中启用资源共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。
## 共享 Route 53 配置文件
当您与他人共享您拥有的个人资料时 AWS 账户,您可以让他们将该个人资料中与 DNS 相关的设置应用于他们 VPCs。这样可以更轻松地在成千上万个服务器上应用统一的 DNS 配置, VPCs 同时将管理开销降至最低。
要共享 Route 53 配置文件,您必须将它添加到资源共享。资源共享是一项 AWS RAM 资源,可让您跨 AWS 账户共享资源。资源共享指定要共享的资源以及与之共享资源的使用者。在使用 Route 53 控制台共享 Route 53 配置文件时,必须将它添加到现有资源共享。要将 Route 53 配置文件添加到新的资源共享,您必须首先使用 [AWS RAM 控制台](https://console.aws.amazon.com/ram)创建资源共享。
如果您是组织中的一员, AWS Organizations 并且启用了组织内部共享,则组织中的用户将自动获得访问共享的 Route 53 个人资料的权限。否则,使用者将会收到加入资源共享的邀请,并在接受邀请后获得对共享 Route 53 配置文件的访问权限。
您可以开始在 Route 53 控制台上共享您拥有的 Route 53 配置文件,然后继续在控制 AWS RAM 台上继续共享。
**使用 Route 53 控制台共享所拥有的 Route 53 配置文件**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 选择要共享的配置文件,然后在**配置文件详细信息**页面上,选择**共享配置文件**。
1. 您将进入 AWS RAM 控制台,在那里您可以按照以下步骤操作:在*AWS RAM 用户指南*中[创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create)。
1. 如果与您共享某个配置文件,则**配置文件**表中会包含“**与我共享**”文本。
共享配置文件后,此配置文件将在**配置文件**表中列示为**已共享**。
**使用 AWS RAM 控制台共享您拥有的 Route 53 配置文件**
请参阅《AWS RAM 用户指南》**中的[创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create)。
**要共享您拥有的 Route 53 配置文件,请使用 AWS CLI**
使用 [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 命令。
## 取消共享 Route 53 配置文件
当您取消共享配置文件时,如果 VPCs 该配置文件与其配置文件相关联,则这些配置文件将丢失,并默认为特定于 VPC 的配置。
要取消共享您拥有的已共享 Route 53 配置文件,必须从资源共享中将其删除。您可以使用 Route 53 控制台、 AWS RAM 控制台或 AWS CLI完成此操作。
**使用 Route 53 控制台取消共享您拥有的共享 Route 53 配置文件**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 选择要取消共享的配置文件的链接名称,然后在 **<配置文件名称>** 页面上选择**管理共享**。
1. 您将进入 AWS RAM 控制台,在那里您可以按照以下步骤操作:[更新*AWS RAM 用户指南*中的资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)。
**使用控制台取消共享您拥有的共享 Route 53 配置文件 AWS RAM**
请参阅《AWS RAM 用户指南》**中的[更新资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)。
**要取消共享您拥有的共享 Route 53 配置文件,请使用 AWS CLI**
使用 [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) 命令。
## 识别共享的 Route 53 配置文件
拥有者和使用者可以使用 Route 53 控制台和 AWS CLI标识共享的 Route 53 配置文件。
**使用 Route 53 控制台识别共享的 Route 53 配置文件**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 如果与您共享某个配置文件,则**配置文件**表中会包含“**与我共享**”文本。
共享配置文件后,此配置文件将在**配置文件**表中列示为**已共享**。
**要识别共享的 Route 53 配置文件,请使用 AWS CLI**
使用 [get-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/route53profiles/get-profile.html) 或 [list-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/_route53profiles/list-profile.html) 命令。这些命令返回有关您所拥有的 Route 53 配置文件以及 Route 53 配置文件共享状态的信息。
## 对共享 Route 53 配置文件的责任和权限
### 拥有者的权限
配置文件所有者可以查看、管理和删除配置文件资源关联,包括由使用者账户建立的资源关联。所有者可以查看和删除其所拥有的 VPC 关联。此外,只有配置文件所有者才能删除其所拥有的配置文件,这也会自动删除此配置文件的所有资源关联。
**注意**
您必须创建自定义管理权限,该权限除了默认操作外,还应包含将配置文件共享到的账户中的任何资源关联起来的 `route53profiles:AssociateResourceToProfile` 操作,因为默认策略 `AWSRAMPermissionRoute53ProfileAllowAssociation` 不包含此操作。
### 使用者的权限
共享配置文件使用者的默认权限为只读权限。凭借只读权限,他们可以查看关联的资源并将其与之关联 VPCs,但无法管理资源关联。
所有者还可以在 AWS RAM 控制台上创建客户托管权限。有关更多信息,请参阅*《AWS RAM 用户指南》*中的[创建和使用客户托管权限](https://docs.aws.amazon.com/ram/latest/userguide/create-customer-managed-permissions.html)。
## 计费和计量
Route 53 配置文件按照 VPC 关联的数量计费。配置文件所有者负责支付使用者的 VPC 关联账单。
## 实例限额
配置文件的所有者和使用者具有相同的限额,但每个账户在某个区域中使用的 Route 53 配置文件数量除外。有关更多信息,请参阅 [Route 53 配置文件中的配额](DNSLimitations.md#limits-api-entities-route53-profiles)。