Tutoriel : Créez votre premier résolveur global Route 53 - Amazon Route 53
Conditions préalablesÉtape 1 : Création d'un résolveur globalÉtape 2 : Création d'une vue DNS et configuration de l'authentificationÉtape 3 : Configuration des règles de filtrage DNS (facultatif)Étape 4 : Testez votre configurationÉtape 5 : Surveillance de l'activité DNSÉtape 6 : Nettoyage (facultatif)Étapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : Créez votre premier résolveur global Route 53

Ce guide de démarrage présente les composants de base de Route 53 Global Resolver et, éventuellement, la création d'une configuration de filtrage DNS simple. Ce didacticiel couvre les concepts de base mais n'inclut pas les exigences de production telles que la configuration du client, la journalisation ou la résolution du domaine privé.

Lorsque vous aurez terminé, vous disposerez d'une configuration de base du résolveur global Route 53 capable de filtrer les requêtes DNS et de bloquer les domaines malveillants.

Les sections suivantes décrivent comment démarrer rapidement avec la sécurité et le filtrage DNS à l'aide de Route 53 Global Resolver.

Conditions préalables

Avant de pouvoir utiliser Route 53 Global Resolver, vous devez disposer d'un AWS compte et des autorisations appropriées pour accéder aux composants de Route 53 Global Resolver, les visualiser et les modifier. Votre administrateur système doit suivre les étapes décrites dans ce didacticielConfiguration de l'accès au compte pour Route 53 Global Resolver, puis revenir à ce didacticiel.

Étape 1 : Création d'un résolveur global

Créez d'abord une instance de résolution globale et sélectionnez les AWS régions dans lesquelles elle fonctionnera.

  1. Ouvrez la console Route 53 Global Resolver à https://console.aws.amazon.com/route53globalresolver/l'adresse.

  2. Choisissez Créer un résolveur global.

  3. Dans Nom, entrez un nom descriptif pour votre résolveur global.

  4. Dans Description, entrez éventuellement une description.

  5. Pour Régions, sélectionnez deux ou plusieurs Régions AWS endroits où vous souhaitez instancier le résolveur global. Choisissez les régions les plus proches de vos clients pour des performances optimales.

  6. Ajoutez éventuellement des balises pour vous aider à organiser et à gérer vos ressources.

  7. Choisissez Créer un résolveur global.

Vous recevrez immédiatement des IPv4 adresses anycast que vos clients pourront utiliser pour joindre le résolveur. Le processus de création du résolveur global prend quelques minutes avant que les adresses ne deviennent fonctionnelles.

Étape 2 : Création d'une vue DNS et configuration de l'authentification

Créez une vue DNS pour organiser vos clients et configurer l'authentification à l'aide des sources d'accès IP. Ce didacticiel utilise l'authentification basée sur l'adresse IP. Vous pouvez également utiliser des jetons d'accès pour les protocoles DoH/DOT.

  1. Dans la console Route 53 Global Resolver, choisissez votre résolveur global.

  2. Choisissez Créer une vue DNS.

  3. Dans Nom, entrez un nom descriptif pour votre vue DNS.

  4. Dans Description, entrez éventuellement une description.

  5. Choisissez Créer une vue DNS.

  6. Une fois la vue DNS créée, choisissez Source d'accès, puis Créer une source d'accès.

  7. Pour le bloc CIDR, entrez la plage d'adresses IP de vos clients (par exemple,203.0.113.0/24).

  8. Pour le protocole, choisissez Do53 (DNS sur le port 53) pour la configuration de base.

  9. Choisissez la règle Créer une source d'accès.

Étape 3 : Configuration des règles de filtrage DNS (facultatif)

Définissez des règles de filtrage DNS de base pour bloquer l'accès aux domaines malveillants.

  1. Dans votre vue DNS, choisissez Règles de pare-feu, puis Créer une règle de pare-feu.

  2. Dans Nom, entrez un nom descriptif pour la règle.

  3. Dans le champ Priorité, entrez 100 (les nombres inférieurs ont une priorité plus élevée).

  4. Pour Action, choisissez Bloquer.

  5. Pour le type de liste de domaines, choisissez Liste de domaines AWS gérés.

  6. Pour la liste des domaines gérés, choisissez Malware AmazonGuardDutyThreatListand Botnet Command and Control pour bloquer les domaines malveillants connus (vous pouvez ajouter d'autres listes gérées ou créer des listes personnalisées ultérieurement).

  7. Choisissez Créer une règle de pare-feu.

Étape 4 : Testez votre configuration

Vérifiez que votre configuration Route 53 Global Resolver fonctionne correctement.

  1. À partir d'une machine cliente comprise dans la plage CIDR que vous avez configurée, testez la résolution DNS à l'aide des adresses IP anycast fournies par votre résolveur global :

    nslookup example.com <anycast-ip-address>

  2. Vérifiez que les domaines légitimes sont correctement résolus.

  3. Vérifiez que les domaines bloqués sont correctement filtrés. Vous pouvez créer une liste de domaines personnalisée avec un domaine de test pour vérifier que vos règles de pare-feu fonctionnent correctement. Pour plus d'informations sur les listes de domaines gérés, consultez la section Listes de domaines gérés.

  4. Consultez la console Route 53 Global Resolver pour les journaux de requêtes et les activités de filtrage.

Pour des procédures de test et de dépannage complètes, consultez la section Résolution des problèmes liés à Route 53 Global Resolver.

Étape 5 : Surveillance de l'activité DNS

Configurez la journalisation de votre activité DNS.

  1. Choisissez une région d'observabilité.

  2. Sélectionnez la destination des journaux de requêtes.

Pour des procédures de test et de dépannage complètes, voir Tester et dépanner Route 53 Global Resolver.

Étape 6 : Nettoyage (facultatif)

Si vous avez créé cette configuration à des fins de test et que vous ne souhaitez pas continuer à utiliser Route 53 Global Resolver, nettoyez les ressources pour éviter les frais récurrents.

  1. Dans la console Route 53 Global Resolver, supprimez toutes les règles de pare-feu que vous avez créées.

  2. Supprimez toutes les règles Access Source que vous avez créées.

  3. Supprimez la vue DNS.

  4. Supprimez le résolveur global.

Important

La suppression de ces ressources arrêtera la résolution DNS pour tous les clients configurés pour les utiliser. Mettez à jour les configurations de vos clients avant de supprimer le résolveur ou de supprimer les règles d'accès.

Étapes suivantes

Maintenant que vous disposez d'une configuration de base du résolveur global Route 53, vous pouvez explorer des fonctionnalités supplémentaires :

  • Configurez les appareils clients pour qu'ils utilisent votre résolveur (nécessaire pour la production). Mettez à jour les paramètres DNS de votre client pour utiliser les adresses IP anycast fournies par votre résolveur global.

  • Configurez la journalisation à des fins de surveillance et de conformité (recommandé pour la production). Configurez la journalisation sur Amazon CloudWatch, Amazon S3 ou Amazon Data Firehose à des fins de surveillance et d'analyse. Pour de plus amples informations, veuillez consulter .

  • Configurez le transfert de zone hébergée privée pour les domaines internes (obligatoire si vous disposez de AWS ressources privées). Pour plus d'informations, veuillez onsulter Utilisation des zones hébergées privées.

  • Configurez une connectivité DNS cryptée à l'aide de DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT). Pour plus d'informations, consultez la section Configuration du DNS chiffré.

  • Créez des listes de domaines personnalisées et des règles de filtrage avancées. Pour plus d'informations, consultez la section Filtrage DNS.