Kontozugriff für Route 53 Global Resolver einrichten - Amazon Route 53
Melden Sie sich für eine an AWS-KontoErstellen eines Benutzers mit AdministratorzugriffRichtlinien und Rollen erstellenÜberlegungen zu Netzwerken

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontozugriff für Route 53 Global Resolver einrichten

Bevor Sie Route 53 Global Resolver verwenden können, benötigen Sie ein AWS Konto und die entsprechenden Berechtigungen für den Zugriff auf Route 53 Global Resolver-Ressourcen. Dazu gehört das Erstellen von IAM-Benutzern und -Rollen mit den erforderlichen Berechtigungen.

Dieser Abschnitt führt Sie durch die Schritte, die zur Konfiguration von Benutzern und Rollen für den Zugriff auf Route 53 Global Resolver erforderlich sind.

Melden Sie sich für eine an AWS-Konto

Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.

Um sich für eine anzumelden AWS-Konto

  1. Öffnen Sie https://portal.aws.amazon.com/billing/die Anmeldung.

  2. Folgen Sie den Online-Anweisungen.

    Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.

    Wenn Sie sich für eine anmelden AWS-Konto, Root-Benutzer des AWS-Kontoswird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um Aufgaben auszuführen, die Root-Benutzerzugriff erfordern.

AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Sie können Ihre aktuellen Kontoaktivitäten jederzeit einsehen und Ihr Konto verwalten, indem Sie zu https://aws.amazon.com/gehen und Mein Konto auswählen.

Erstellen eines Benutzers mit Administratorzugriff

Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.

Sichern Sie Ihre Root-Benutzer des AWS-Kontos

  1. Melden Sie sich AWS-Managementkonsoleals Kontoinhaber an, indem Sie Root-Benutzer auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

    Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter Anmelden als Root-Benutzer im AWS-Anmeldung Benutzerhandbuch zu.

  2. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.

    Anweisungen finden Sie unter Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto Root-Benutzer (Konsole) im IAM-Benutzerhandbuch.

Erstellen eines Benutzers mit Administratorzugriff

  1. Aktivieren Sie das IAM Identity Center.

    Anweisungen finden Sie unter Aktivieren AWS IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.

  2. Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.

    Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie IAM-Identity-Center-Verzeichnis im Benutzerhandbuch unter Benutzerzugriff mit der Standardeinstellung konfigurieren.AWS IAM Identity Center

Anmelden als Administratorbenutzer
Weiteren Benutzern Zugriff zuweisen

  1. Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.

    Anweisungen hierzu finden Sie unter Berechtigungssatz erstellen im AWS IAM Identity Center Benutzerhandbuch.

  2. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.

    Eine genaue Anleitung finden Sie unter Gruppen hinzufügen im AWS IAM Identity Center Benutzerhandbuch.

Richtlinien und Rollen erstellen

Konfigurieren Sie AWS Identity and Access Management (IAM) -Berechtigungen, damit Ihr Team Route 53 Global Resolver-Ressourcen bereitstellen und verwalten kann. Sie können Administratorberechtigungen für vollen Zugriff oder Leseberechtigungen für die Überwachung und Anzeige von Konfigurationen verwenden.

Für alle Route 53 Global Resolver API-Operationen sind entsprechende IAM-Berechtigungen erforderlich. Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, geben API-Aufrufe (401) - oder AccessDeniedException UnauthorizedException (401) Fehler zurück.

Administrative Berechtigungen

Wenn Sie Route 53 Global Resolver zum ersten Mal einrichten oder alle Aspekte des Dienstes verwalten, benötigen Sie Administratorrechte. Sie können diese AWS verwalteten Richtlinien verwenden:

  • AmazonRoute53GlobalResolverFullAccess- Bietet vollen Zugriff auf Route 53 Global Resolver-Ressourcen, einschließlich Erstellung, Aktualisierung und Löschung globaler Resolver, DNS-Ansichten, Firewallregeln und Domänenlisten

  • AmazonRoute53FullAccess- Erforderlich, wenn Sie die private gehostete Zonenweiterleitung verwenden möchten

  • CloudWatchLogsFullAccess- Erforderlich, wenn Sie Logs an Amazon senden möchten CloudWatch

  • AmazonS3FullAccess- Erforderlich, wenn Sie Firewall-Domänenlisten aus Amazon S3 importieren oder Protokolle an Amazon S3 senden möchten

Schreibgeschützte Berechtigungen

Wenn Sie nur die Konfigurationen und Protokolle von Route 53 Global Resolver anzeigen müssen, können Sie diese AWS verwalteten Richtlinien verwenden:

  • AmazonRoute53GlobalResolverReadOnlyAccess- Bietet schreibgeschützten Zugriff auf Route 53 Global Resolver-Ressourcen, einschließlich der Anzeige globaler Resolver, DNS-Ansichten, Firewallregeln, Domänenlisten und Zugriffsquellen

  • AmazonRoute53ReadOnlyAccess- Erforderlich, um private gehostete Zonenzuordnungen anzuzeigen

  • CloudWatchReadOnlyAccess- Erforderlich, um Protokolle in Amazon anzuzeigen CloudWatch

  • AmazonS3ReadOnlyAccess- Erforderlich, um in Amazon S3 gespeicherte Firewall-Domänenlistendateien anzuzeigen

Überlegungen zu Netzwerken

Beachten Sie vor der Implementierung von Route 53 Global Resolver die folgenden Netzwerkanforderungen:

IP-Bereiche der Clients

Dies ist nur erforderlich, wenn die Authentifizierung auf Basis der Zugriffsquelle verwendet wird. Identifizieren Sie die IP-Adressbereiche (CIDR-Blöcke) für alle Clients, die Route 53 Global Resolver verwenden werden. Sie benötigen diese für die Konfiguration der Regeln für Ihre Zugriffsquelle.

DNS-Protokolle

Ermitteln Sie, welche DNS-Protokolle Ihre Clients verwenden werden:

  • Do53 — Standard-DNS über Port 53 (UDP/TCP)

  • DoH — für verschlüsselte Abfragen DNS-over-HTTPS

  • DoT - DNS-over-TLS für verschlüsselte Abfragen

Firewall und Sicherheitsgruppen

Stellen Sie sicher, dass Ihre Netzwerk-Firewalls und Sicherheitsgruppen ausgehenden Datenverkehr zu Route 53 Global Resolver Anycast-IP-Adressen an den entsprechenden Ports zulassen (53 für Do53, 443 für DoH, 853 für DoT).