Tutorial: Cree su primer Route 53 Global Resolver - Amazon Route 53
Requisitos previosPaso 1: Crear un solucionador globalPaso 2: Crear una vista de DNS y configurar la autenticaciónPaso 3: Configurar las reglas de filtrado de DNS (opcional)Paso 4: Pruebe la configuraciónPaso 5: Monitorear la actividad del DNSPaso 6: Limpiar (opcional)Siguientes pasos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Cree su primer Route 53 Global Resolver

Esta guía de introducción muestra los componentes básicos de Route 53 Global Resolver y, opcionalmente, cómo crear una configuración sencilla de filtrado de DNS. Este tutorial cubre los conceptos básicos, pero no incluye los requisitos de producción, como la configuración del cliente, el registro o la resolución de dominios privados.

Cuando haya terminado, dispondrá de una configuración básica de Route 53 Global Resolver que puede filtrar las consultas de DNS y bloquear los dominios maliciosos.

En las siguientes secciones se describe cómo empezar rápidamente con la seguridad y el filtrado de DNS mediante Route 53 Global Resolver.

Requisitos previos

Antes de poder usar Route 53 Global Resolver, necesita una AWS cuenta y los permisos adecuados para acceder, ver y editar los componentes de Route 53 Global Resolver. El administrador del sistema debe completar los Configuración del acceso a la cuenta para Route 53 Global Resolver pasos descritos y volver a este tutorial.

Paso 1: Crear un solucionador global

En primer lugar, cree una instancia de resolución global y seleccione las AWS regiones en las que funcionará.

  1. Abra la consola de Route 53 Global Resolver en https://console.aws.amazon.com/route53globalresolver/.

  2. Elija Crear un solucionador global.

  3. En Nombre, introduzca un nombre descriptivo para el solucionador global.

  4. En Descripción, si lo desea, introduzca una descripción.

  5. En el caso de las regiones, seleccione dos o más Regiones de AWS en las que desee crear una instancia del solucionador global. Elija las regiones más cercanas a sus clientes para obtener un rendimiento óptimo.

  6. Si lo desea, añada etiquetas para ayudar a organizar y administrar sus recursos.

  7. Seleccione Crear resolución global.

Recibirás inmediatamente IPv4 direcciones anycast que tus clientes podrán utilizar para contactar con el solucionador. El proceso de creación del solucionador global tarda unos minutos en completarse antes de que las direcciones comiencen a funcionar.

Paso 2: Crear una vista de DNS y configurar la autenticación

Cree una vista de DNS para organizar sus clientes y configurar la autenticación mediante fuentes de acceso IP. En este tutorial se utiliza la autenticación basada en IP. También puede usar tokens de acceso para los protocolos DOH/DOT.

  1. En la consola de Route 53 Global Resolver, elija su resolución global.

  2. Elija Crear vista DNS.

  3. En Nombre, introduce un nombre descriptivo para la vista de DNS.

  4. En Descripción, si lo desea, introduzca una descripción.

  5. Seleccione Crear vista DNS.

  6. Una vez creada la vista DNS, selecciona Fuente de acceso y, a continuación, Crear fuente de acceso.

  7. Para el bloque CIDR, introduzca el rango de direcciones IP de sus clientes (por ejemplo,203.0.113.0/24).

  8. En Protocolo, elija Do53 (DNS a través del puerto 53) para la configuración básica.

  9. Elija la regla Crear fuente de acceso.

Paso 3: Configurar las reglas de filtrado de DNS (opcional)

Configure reglas básicas de filtrado de DNS para bloquear el acceso a dominios maliciosos.

  1. En la vista de DNS, selecciona Reglas de firewall y luego Crear regla de firewall.

  2. En Nombre, introduce un nombre descriptivo para la regla.

  3. En Prioridad, introduzca 100 (los números más bajos tienen mayor prioridad).

  4. En Acción, elija Bloquear.

  5. Para el tipo de lista de dominios, selecciona Lista de dominios AWS gestionados.

  6. En Lista de dominios gestionados, selecciona AmazonGuardDutyThreatListel comando y control de malware y botnet para bloquear los dominios maliciosos conocidos (puedes añadir otras listas gestionadas o crear listas personalizadas más adelante).

  7. Selecciona Crear regla de firewall.

Paso 4: Pruebe la configuración

Compruebe que la configuración de Route 53 Global Resolver funcione correctamente.

  1. Desde una máquina cliente que se encuentre dentro del rango de CIDR configurado, pruebe la resolución de DNS con las direcciones IP anycast proporcionadas por su resolución global:

    nslookup example.com <anycast-ip-address>

  2. Compruebe que los dominios legítimos se resuelven correctamente.

  3. Compruebe que los dominios bloqueados estén filtrados correctamente. Puede crear una lista de dominios personalizada con un dominio de prueba para comprobar que las reglas del firewall funcionan correctamente. Para obtener más información sobre las listas de dominios gestionados, consulte Listas de dominios gestionados.

  4. Consulte la consola de Route 53 Global Resolver para ver los registros de consultas y la actividad de filtrado.

Para obtener información completa sobre los procedimientos de prueba y la solución de problemas, consulte Solución de problemas de Route 53 Global Resolver.

Paso 5: Monitorear la actividad del DNS

Configura el registro de tu actividad de DNS.

  1. Elija una región de observabilidad.

  2. Seleccione el destino de los registros de consultas.

Para obtener información completa sobre los procedimientos de prueba y la solución de problemas, consulte Prueba y solución de problemas del Resolver global Route 53.

Paso 6: Limpiar (opcional)

Si creó esta configuración con fines de prueba y no quiere seguir usando Route 53 Global Resolver, agote los recursos para evitar cargos continuos.

  1. En la consola de Route 53 Global Resolver, elimine las reglas de firewall que haya creado.

  2. Elimine cualquier regla de fuente de acceso que haya creado.

  3. Elimine la vista de DNS.

  4. Elimine el solucionador global.

importante

Al eliminar estos recursos, se detendrá la resolución de DNS para todos los clientes que estén configurados para usarlos. Actualice las configuraciones de sus clientes antes de eliminar la resolución o eliminar las reglas de acceso.

Siguientes pasos

Ahora que tiene una configuración básica de Route 53 Global Resolver, puede explorar funciones adicionales:

  • Configure los dispositivos cliente para que usen su resolución (necesario para la producción). Actualice la configuración de DNS de su cliente para usar las direcciones IP anycast proporcionadas por su resolución global.

  • Configure el registro para la supervisión y el cumplimiento (recomendado para la producción). Configure el registro en Amazon CloudWatch, Amazon S3 o Amazon Data Firehose para la supervisión y el análisis. Para obtener más información, consulte .

  • Configure el reenvío de zonas alojadas privadas para los dominios internos (obligatorio si dispone de AWS recursos privados). Para obtener más información, consulte Uso de zonas alojadas privadas.

  • Configure la conectividad DNS cifrada mediante DNS-over-HTTPS (DoH) o DNS-over-TLS (DoT). Para obtener más información, consulte Configuración del DNS cifrado.

  • Cree listas de dominios personalizadas y reglas de filtrado avanzadas. Para obtener más información, consulte Filtrado de DNS.