Configuración del acceso a la cuenta para Route 53 Global Resolver - Amazon Route 53
Inscríbase en una Cuenta de AWSCreación de un usuario con acceso administrativoCrear políticas y rolesConsideraciones sobre la red

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del acceso a la cuenta para Route 53 Global Resolver

Antes de empezar a usar Route 53 Global Resolver, necesita una AWS cuenta y los permisos adecuados para acceder a los recursos de Route 53 Global Resolver. Esto incluye la creación de usuarios y roles de IAM con los permisos necesarios.

Esta sección lo guía a través de los pasos necesarios para configurar los usuarios y las funciones para acceder a Route 53 Global Resolver.

Inscríbase en una Cuenta de AWS

Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.

Para suscribirse a una Cuenta de AWS

  1. Abrir https://portal.aws.amazon.com/billing/registro.

  2. Siga las instrucciones que se le indiquen.

    Parte del procedimiento de registro consiste en recibir una llamada telefónica o mensaje de texto e indicar un código de verificación en el teclado del teléfono.

    Cuando te registras en un Cuenta de AWS, Usuario raíz de la cuenta de AWSse crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar tareas que requieren acceso de usuario raíz.

AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. En cualquier momento, puede ver la actividad de su cuenta actual y administrarla accediendo a https://aws.amazon.com/y seleccionando Mi cuenta.

Creación de un usuario con acceso administrativo

Después de crear un usuario administrativo Cuenta de AWS, asegúrelo Usuario raíz de la cuenta de AWS AWS IAM Identity Center, habilite y cree un usuario administrativo para no usar el usuario root en las tareas diarias.

Proteja su Usuario raíz de la cuenta de AWS

  1. Inicie sesión Consola de administración de AWScomo propietario de la cuenta seleccionando el usuario root e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.

    Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Iniciar sesión como usuario raíz en la Guía del usuario de AWS Sign-In .

  2. Active la autenticación multifactor (MFA) para el usuario raíz.

    Para obtener instrucciones, consulte Habilitar un dispositivo MFA virtual para el usuario Cuenta de AWS raíz (consola) en la Guía del usuario de IAM.

Creación de un usuario con acceso administrativo

  1. Activar IAM Identity Center.

    Consulte las instrucciones en Activar AWS IAM Identity Center en la Guía del usuario de AWS IAM Identity Center .

  2. En IAM Identity Center, conceda acceso administrativo a un usuario.

    Para ver un tutorial sobre su uso Directorio de IAM Identity Center como fuente de identidad, consulte Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la Guía del AWS IAM Identity Center usuario.

Inicio de sesión como usuario con acceso de administrador

  • Para iniciar sesión con el usuario de IAM Identity Center, use la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

    Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte Iniciar sesión en el portal de AWS acceso en la Guía del AWS Sign-In usuario.

Concesión de acceso a usuarios adicionales

  1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.

    Para conocer las instrucciones, consulte Create a permission set en la Guía del usuario de AWS IAM Identity Center .

  2. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.

    Para conocer las instrucciones, consulte Add groups en la Guía del usuario de AWS IAM Identity Center .

Crear políticas y roles

Configure los permisos de AWS Identity and Access Management (IAM) para que su equipo pueda implementar y administrar los recursos de Route 53 Global Resolver. Puede usar permisos administrativos para un acceso total o permisos de solo lectura para supervisar y ver las configuraciones.

Todas las operaciones de la API Global Resolver de Route 53 requieren los permisos de IAM adecuados. Si no tiene los permisos necesarios, las llamadas a la API devolverán errores AccessDeniedException (401) o UnauthorizedException (401).

Permisos administrativos

Si configura Route 53 Global Resolver por primera vez o administra todos los aspectos del servicio, necesitará permisos administrativos. Puede usar estas políticas AWS administradas:

  • AmazonRoute53GlobalResolverFullAccess- Proporciona acceso completo a los recursos de Route 53 Global Resolver, incluida la creación, actualización y eliminación de resolutores globales, vistas de DNS, reglas de firewall y listas de dominios

  • AmazonRoute53FullAccess- Necesario si planea utilizar el reenvío de zonas alojadas privadas

  • CloudWatchLogsFullAccess- Necesario si planeas enviar registros a Amazon CloudWatch

  • AmazonS3FullAccess- Necesario si tiene previsto importar listas de dominios de firewall desde Amazon S3 o enviar registros a Amazon S3

Permisos de solo lectura

Si solo necesita ver las configuraciones y los registros de Route 53 Global Resolver, puede usar estas políticas AWS administradas:

  • AmazonRoute53GlobalResolverReadOnlyAccess- Proporciona acceso de solo lectura a los recursos de Route 53 Global Resolver, incluida la visualización de resoluciones globales, vistas de DNS, reglas de firewall, listas de dominios y fuentes de acceso

  • AmazonRoute53ReadOnlyAccess- Necesario para ver las asociaciones de zonas alojadas privadas

  • CloudWatchReadOnlyAccess- Necesario para ver los registros en Amazon CloudWatch

  • AmazonS3ReadOnlyAccess- Necesario para ver los archivos de la lista de dominios del firewall almacenados en Amazon S3

Consideraciones sobre la red

Antes de implementar Route 53 Global Resolver, tenga en cuenta los siguientes requisitos de red:

Intervalos de IP de clientes

Esto solo es necesario cuando se utiliza la autenticación basada en la fuente de acceso. Identifique los rangos de direcciones IP (bloques CIDR) de todos los clientes que utilizarán Route 53 Global Resolver. Los necesitará para configurar las reglas de su fuente de acceso.

Protocolos DNS

Determine qué protocolos de DNS utilizarán sus clientes:

  • Do53: DNS estándar a través del puerto 53 (UDP/TCP)

  • DoH: para consultas cifradas DNS-over-HTTPS

  • DoT: DNS-over-TLS para consultas cifradas

Grupos de firewall y seguridad

Asegúrese de que los firewalls y grupos de seguridad de su red permitan el tráfico saliente a las direcciones IP anycast de Route 53 Global Resolver en los puertos correspondientes (53 para Do53, 443 para DoH, 853 para DoT).