本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 教學課程：建立您的第一個 Route 53 全域解析程式
<a name="gr-getting-started"></a>

此入門指南示範 Route 53 Global Resolver 的基本元件，並選擇性地建立簡單的 DNS 篩選設定。本教學課程涵蓋核心概念，但不包含用戶端組態、記錄或私有網域解析等生產需求。

完成後，您將擁有基本的 Route 53 全域解析程式設定，可篩選 DNS 查詢並封鎖惡意網域。

下列各節說明如何使用 Route 53 Global Resolver 快速開始使用 DNS 安全性和篩選。

## 先決條件
<a name="gr-getting-started-prerequisites"></a>

在使用 Route 53 Global Resolver 之前，您需要 AWS 帳戶和適當的許可，才能存取、檢視和編輯 Route 53 Global Resolver 元件。您的系統管理員必須完成 中的步驟[設定 Route 53 Global Resolver 的帳戶存取權](gr-setting-up.md)，然後返回本教學課程。

## 步驟 1：建立全域解析程式
<a name="gr-getting-started-step1"></a>

首先，建立全域解析程式執行個體，然後選取要操作 AWS 的區域。

1. 在 https：//[https://console.aws.amazon.com/route53globalresolver/](https://console.aws.amazon.com/route53globalresolver/) 開啟 Route 53 Global Resolver 主控台。

1. 選擇**建立全域解析程式**。

1. 在**名稱**中，輸入全域解析程式的描述性名稱。

1. 針對**描述**，選擇性輸入描述。

1. 針對**區域**，選取您要執行個體化全域解析程式的兩個或多個 AWS 區域 區域。選擇最接近您用戶端的區域，以獲得最佳效能。

1. 針對 **IP 地址類型**，選擇此解析程式的 IP 地址類型。
   + **IPv4** - 僅包含 IPv4 地址。
   + **Dualstack** - 包括 IPv4 和 IPv6 地址。

1. 或者，新增標籤以協助組織和管理 資源。

1. 選擇**建立全域解析程式**。

您將會立即收到任播 IPv4 位址，供您的用戶端用來連線該解析程式。全域解析程式建立程序需要幾分鐘的時間才能完成，地址才能正常運作。

## 步驟 2：建立 DNS 檢視並設定身分驗證
<a name="gr-getting-started-step2"></a>

建立 DNS 檢視來組織您的用戶端，並使用 IP 存取來源設定身分驗證。本教學課程使用 IP 型身分驗證。您也可以使用 DoH/DoT 通訊協定的存取權杖。

1. 在 Route 53 全域解析程式主控台中，選擇您的全域解析程式。

1. 選擇**建立 DNS 檢視**。

1. 針對**名稱**，輸入 DNS 檢視的描述性名稱。

1. 針對**描述**，選擇性輸入描述。

1. 選擇**建立 DNS 檢視**。

1. 建立 DNS 檢視後，選擇**存取來源**，然後選擇**建立存取來源**。

1. 針對 **CIDR 區塊**，輸入用戶端的 IP 地址範圍 （例如 `203.0.113.0/24`)。

1. 針對**通訊協定**，選擇 **Do53** （透過連接埠 53 的 DNS) 進行基本設定。

1. 選擇**建立存取來源規則**。

## 步驟 3：設定 DNS 篩選規則 （選用）
<a name="gr-getting-started-step3"></a>

設定基本 DNS 篩選規則以封鎖對惡意網域的存取。

1. 在 DNS 檢視中，選擇**防火牆規則**，然後選擇**建立防火牆規則**。

1. 針對**名稱**，輸入規則的描述性名稱。

1. 針對**優先順序**，輸入 `100`（數字越小，優先順序越高）。

1. 針對**動作**，選擇**封鎖**。

1. 針對**網域清單類型**，選擇**AWS 受管網域清單**。

1. 針對**受管網域清單**，選擇 **AmazonGuardDutyThreatList**、**惡意軟體和 Botnet 命令和控制**，以封鎖已知的惡意網域 （您可以新增其他受管清單，或稍後建立自訂清單）。

1. 選擇**建立防火牆規則**。

## 步驟 4：測試您的組態
<a name="gr-getting-started-step4"></a>

測試 Route 53 Global Resolver 組態是否正常運作。

1. 從設定 CIDR 範圍內的用戶端機器，使用全域解析程式提供的任何廣播 IP 地址測試 DNS 解析：

   ```
   nslookup example.com <anycast-ip-address>
   ```

1. 驗證合法網域是否正確解析。

1. 測試封鎖的網域是否已正確篩選。您可以使用測試網域建立自訂網域清單，以驗證防火牆規則是否正常運作。如需受管網域清單的詳細資訊，請參閱[受管網域清單](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-managed-domain-lists.html)。

1. 檢查 Route 53 Global Resolver 主控台是否有查詢日誌和篩選活動。

如需完整的測試程序和故障診斷，請參閱 * Route 53 Global Resolver 故障診斷*。

## 步驟 5：監控 DNS 活動
<a name="gr-getting-started-step5"></a>

為您的 DNS 活動設定記錄。

1. 選擇可觀測性區域。

1. 選取查詢日誌的目的地。

如需完整的測試程序和故障診斷，請參閱*測試和故障診斷 Route 53 Global Resolver*。

## 步驟 6：清除 （選用）
<a name="gr-getting-started-cleanup"></a>

如果您為了測試目的而建立此組態，且不想繼續使用 Route 53 Global Resolver，請清除資源以避免持續收費。

1. 在 Route 53 Global Resolver 主控台中，刪除您建立的任何防火牆規則。

1. 刪除您建立的任何存取來源規則。

1. 刪除 DNS 檢視。

1. 刪除全域解析程式。

**重要**  
刪除這些資源將停止任何設定為使用它們的用戶端的 DNS 解析。在刪除解析程式或移除存取規則之前，請先更新您的用戶端組態。

## 後續步驟
<a name="gr-getting-started-next-steps"></a>

現在您已擁有基本的 Route 53 Global Resolver 組態，您可以探索其他功能：
+ 設定用戶端裝置以使用您的解析程式 （生產時需要）。更新您的用戶端 DNS 設定，以使用 Global Resolver 提供的任播 IP 位址。
+ 設定記錄以進行監控和合規用途 (建議用於生產環境)。設定記錄到 Amazon CloudWatch、Amazon S3 或 Amazon Data Firehose 以進行監控和分析。如需詳細資訊，請參閱[使用 Route 53 Global Resolver 監控 DNS 活動和效能](gr-monitoring.md)。
+ 設定內部網域的私有託管區域轉送 （如果您有私有 AWS 資源，則為必要項目）。如需詳細資訊，請參閱*使用私有託管區域*。
+ 使用 DNS-over-HTTPS (DoH) 或 DNS-over-TLS (DoT) 設定加密 DNS 連線。如需詳細資訊，請參閱*設定加密的 DNS*。
+ 建立自訂網域清單和進階篩選規則。如需詳細資訊，請參閱 *DNS 篩選*。