本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理转发规则
如果您希望 VPC Resolver 将对指定域名的查询转发到您的网络,则可以为每个域名创建一个转发规则,并指定要转发查询的域的名称。
**Topics**
+ [查看和编辑转发规则](#resolver-rules-managing-viewing)
+ [创建转发规则](#resolver-rules-managing-creating-rules)
+ [添加反向查找规则](#add-reverse-lookup)
+ [将转发规则与 VPC 关联](#resolver-rules-managing-associating-rules)
+ [解除转发规则与 VPC 的关联](#resolver-rules-managing-disassociating-rules)
+ [与其他 AWS 账户共享解析器规则并使用共享规则](#resolver-rules-managing-sharing)
+ [删除转发规则](#resolver-rules-managing-deleting)
+ [VPC 解析器中反向 DNS 查询的转发规则](#resolver-automatic-forwarding-rules-reverse-dns)
## 查看和编辑转发规则
要查看和编辑转发规则的设置,请执行以下步骤。
**查看和编辑转发规则的设置**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**规则**。
1. 在导航栏上,选择您在其中创建了规则的区域。
1. 选择您要查看或编辑设置的规则的选项。
1. 选择 **View details (查看详细信息)** 或 **Edit (编辑)**。
有关转发规则的值的信息,请参阅[创建或编辑规则时指定的值](resolver-forwarding-outbound-queries-rule-values.md)。
1. 如果选择 **Edit (编辑)**,请输入适用的值,然后选择 **Save (保存)**。
## 创建转发规则
要创建一个或多个转发规则,请执行以下步骤。
**创建转发规则并将这些规则与一个或多个规则关联 VPCs**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**规则**。
1. 在导航栏上,选择您想要在其中创建规则的区域。
1. 选择 **Create rule**(创建规则)。
1. 输入适用的值。有关更多信息,请参阅 [创建或编辑规则时指定的值](resolver-forwarding-outbound-queries-rule-values.md)。
1. 选择 **Save**。
1. 要添加其它规则,请重复步骤 4 到 6。
## 添加反向查找规则
如果您需要控制 VPC 中的反向查找,可以向出站解析程序端点添加规则。
**要创建反向查找规则**
1. 按照上一步中的步骤操作,直到步骤 5。
1. 指定规则时,为您想要反向查找转发规则的一个或多个 IP 地址输入 PTR 记录。
例如,如果需要转发对 10.0.0.0/23 范围内地址的查找,请输入两个规则:
+ 0.0.10.in-addr.arpa
+ 1.0.10.in-addr.arpa
这些子网中的任何 IP 地址都将引用为这些 PTR 记录的子域,例如,10.0.1.161 的反向查找地址将为 161.1.0.10.in-addr.arpa,该地址是 1.0.10.in-addra.arpa 的子域。
1. 指定要将这些查找转发到的服务器。
1. 将这些规则添加到您的出站解析程序端点。
请注意,为 VPC 开启 `enableDNSHostNames` 将自动添加 PTR 记录。请参阅[什么是 Route 53 VPC 解析器?](resolver.md)。仅当您希望为给定的 IP 范围显式指定解析程序时(例如,将查询转发到 Active Directory 服务器时),才需要执行上一步骤。
## 将转发规则与 VPC 关联
创建转发规则后,必须将该规则与一条或多条转发规则关联 VPCs。这些规则只有在与 VPC 关联后才会生效。当您将规则与 VPC 关联时,VPC 解析器开始将规则中指定的域名的 DNS 查询转发给您在规则中指定的 DNS 解析器。查询经过您在创建规则时指定的出站端点。
**将转发规则与一个或多个转发规则关联 VPCs**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**规则**。
1. 在导航栏上,选择您在其中创建了规则的区域。
1. 选择要与一个或多个规则关联的规则的名称 VPCs。
1. 选择 **Associate VPC (关联 VPC)**。
1. 在 “**使用VPCs 此规则**” 下 VPCs ,选择要与该规则关联的。
1. 选择**添加**。
## 解除转发规则与 VPC 的关联
在下列情况下,您可以从 VPC 解除关联的转发规则:
+ 对于源自此 VPC 的 DNS 查询,您希望 VPC 解析器停止将对规则中指定的域名的查询转发到您的网络。
+ 您希望删除转发规则。如果某条规则当前与一个或多个规则关联 VPCs,则必须先取消该规则与所有规则的关联, VPCs 然后才能将其删除。
如果要取消转发规则与一个或多个转发规则的关联 VPCs,请执行以下步骤。
**解除转发规则与 VPC 的关联**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**规则**。
1. 在导航栏上,选择您在其中创建了规则的区域。
1. 选择要取消与一条或多 VPCs条规则关联的规则的名称。
1. 选择要与之解除规则关联的 VPC 所对应的选项。
1. 选择**取消关联**。
1. 键入 **disassociate (取消关联)** 以确认。
1. 选择**提交**。
## 与其他 AWS 账户共享解析器规则并使用共享规则
您可以与其他账户共享您使用一个 AWS 账户创建的 Resolver 规则。 AWS 为了共享规则,Route 53 VPC Resolver 控制台与 AWS 资源访问管理器集成。有关 Resource Access Manager 的更多信息,请参阅 [Resource Access Manager 用户指南](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)。
注意以下几点:
**将共享规则与 VPCs**
如果另一个 AWS 账户与您的账户共享了一个或多个规则,则您可以将这些规则与您的 VPCs 账户关联起来,就像将创建的规则与您的账户关联一样 VPCs。有关更多信息,请参阅 [将转发规则与 VPC 关联](#resolver-rules-managing-associating-rules)。
**删除或取消共享规则**
如果您与其他账户共享一条规则,然后删除该规则或停止共享该规则,并且该规则与一个或多个 VPCs账户相关联,则 Route 53 VPC Resolver 将开始 VPCs根据其余规则处理这些规则的 DNS 查询。该行为与您从 VPC 上解除关联规则的行为相同。
如果将规则共享给组织单位(OU)并将该 OU 中的账户移至其他 OU,则该共享规则与该账户中任何 VPC 的所有关联都将删除。但是,如果 VPC 解析器规则已与目标 OU 共享,则 VPC 关联将保持不变且不会解除关联。
**规则和关联的最大数量**
当一个账户创建规则并与一个或多个其他账户共享规则时,每个 AWS 区域的最大规则数将适用于创建该规则的账户。
当与之共享规则的账户将该规则与一个或多个关联时 VPCs,规则之间和 VPCs 每个区域的最大关联数将应用于与之共享该规则的账户。
有关当前 VPC 解析器配额,请参阅[Route 53 VPC 解析器的配额](DNSLimitations.md#limits-api-entities-resolver)。
**Permissions**
要与其他 AWS 账户共享规则,您必须拥有使用该[PutResolverRulePolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverRulePolicy.html)操作的权限。
**对与之共享规则的 AWS 账户的限制**
与其共享了规则的账户无法更改或删除该规则。
**标签**
只有创建规则的账户可以添加、删除或查看规则上的标签。
要查看规则当前的共享状态(包括共享规则的账户或与其共享了规则的账户),以及将规则与其他账户共享,请执行以下步骤。
**查看共享状态并与其他 AWS 账户共享规则**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**规则**。
1. 在导航栏上,选择您在其中创建了规则的区域。
**Sharing status (共享状态)** 列显示当前账户所创建规则或者与当前账户所共享规则的当前共享状态。
+ **未共享**:当前 AWS 账户创建了规则,但该规则未与任何其他账户共享。
+ **Shared by me (由我共享)**:当前账户创建的规则并且已与一个或多个账户共享。
+ **Shared With me (与我共享)**:其他账户创建的规则并且已与当前账户共享。
1. 选择您要显示共享信息或者您要与其他账户共享的规则的名称。
在**规则:*rule name***页面上,**所有者**下的值显示创建规则的账户的 ID。除非 **Sharing status (共享状态)** 的值为 **Shared with me (与我共享)**,否则这是当前账户。如果是共享的规则,则 **Owner (所有者)** 是创建该规则并与当前账户进行共享的账户。
1. 选择 **Share (共享)** 以查看更多信息或与其他账户共享规则。Resource Access Manager 控制台根据 **Sharing status (共享状态)** 的值显示一个页面:
+ **Not shared (未共享)**:显示 **Create resource share (创建资源共享)** 页面。有关如何与其他账户、OU 或组织共享规则的信息,请跳到步骤 6。
+ **Shared by me (由我共享)**:**Shared resources (共享的资源)** 页面显示由当前账户拥有并与其他账户共享的规则和其他资源。
+ **Shared with me (与我共享)**:**Shared resources (共享的资源)** 页面显示由其他账户拥有并与当前账户共享的规则和其他资源。
1. 要与其他 AWS 账户、组织单位或组织共享规则,请指定以下值。
**注意**
您无法更新共享设置。如果想要更改任何以下设置,您必须使用新设置重新共享规则,然后删除旧的共享设置。
**说明**
输入可以帮助您记住为什么共享规则的简短说明。
**资源**
选中与您要共享的规则对应的复选框。
**主体**
输入 AWS 账号、OU 名称或组织名称。
**标签**
指定一个或多个键及对应的值。例如,您可以为 **Key**(密钥)指定 **Cost center**(成本中心),并为 **Value**(值)指定 **456**。
这些是 AWS 账单与成本管理 用于整理 AWS 账单的标签;您也可以将标签用于其他目的。有关对成本分配使用标签的更多信息,请参阅 *AWS Billing 用户指南*中的[使用成本分配标签](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。
## 删除转发规则
要删除转发规则,请执行以下步骤。
注意以下几点:
+ 如果转发规则与任何规则关联 VPCs,则必须先取消该规则与的关联, VPCs然后才能删除该规则。有关更多信息,请参阅 [解除转发规则与 VPC 的关联](#resolver-rules-managing-disassociating-rules)。
+ 您无法删除默认的 **Internet Resolver (Internet 解析程序)** 规则,该规则的值为 **Recursive (递归)**(针对 **Type (类型)**)。此规则会让 Route 53 VPC Resolver 充当您未为其创建自定义规则以及 VPC 解析器未为其创建自动定义规则的任何域名的递归解析器。有关如何为规则分类的更多信息,请参阅[使用规则控制将哪些查询转发到您的网络](resolver-overview-forward-vpc-to-network-using-rules.md)。
**删除转发规则**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**规则**。
1. 在导航栏上,选择您在其中创建了规则的区域。
1. 选中您要删除的规则对应的选项。
1. 选择**删除**。
1. 要确认删除该规则,请输入规则的名称,然后选择 **Submit (提交)**。
## VPC 解析器中反向 DNS 查询的转发规则
当 Amazon VPC 中的虚拟私`enableDnsSupport`有云 (VPC) 的`enableDnsHostnames`和设置`true`为时,VPC 解析器会自动为反向 DNS 查询创建自动定义的系统规则。有关这些设置的更多信息,请参阅 *Amazon VPC 开发人员指南*中的 [VPC 中的 DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)。
反向 DNS 查询的转发规则对于 SSH 或 Active Directory 等服务特别有用,这些服务可以选择通过对客户尝试从中连接到资源的 IP 地址执行反向 DNS 查找来验证用户身份。有关自动定义系统规则的更多信息,请参阅 [VPC 解析器为其创建自动定义的系统规则的域名](resolver-overview-forward-vpc-to-network-autodefined-rules.md)。
您可以关闭这些规则并修改所有反向 DNS 查询,以便将它们转发到本地名称服务器进行解析。
关闭自动规则后,请创建规则以根据需要将查询转发到本地资源。有关如何管理转发规则的详细信息,请参阅 [管理转发规则](#resolver-rules-managing)。
**关闭自动定义的规则**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格的 **VPC 解析器**下,选择 **VPCs**,然后选择一个 VPC ID。
1. 在 **Autodefined rules for reverse DNS resolution**(反向 DNS 解析的自动定义规则)下,取消选中复选框。如果已取消选中该复选框,则可以选中该复选框以启用自动定义的反向 DNS 解析。
有关相关信息 APIs,请参阅 [VPC 解析器配置 APIs](https://docs.aws.amazon.com/Route53/latest/APIReference/API-actions-by-function.html#actions-by-function-resolver-configuration)。