Configuration de l'accès au compte pour Route 53 Global Resolver - Amazon Route 53
Inscrivez-vous pour un Compte AWSCréation d’un utilisateur doté d’un accès administratifCréation de politiques et de rôlesConsidérations relatives au réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l'accès au compte pour Route 53 Global Resolver

Avant de commencer à utiliser Route 53 Global Resolver, vous avez besoin d'un AWS compte et des autorisations appropriées pour accéder aux ressources de Route 53 Global Resolver. Cela inclut la création d'utilisateurs et de rôles IAM dotés des autorisations nécessaires.

Cette section vous guide à travers les étapes nécessaires à la configuration des utilisateurs et des rôles pour accéder à Route 53 Global Resolver.

Inscrivez-vous pour un Compte AWS

Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.

Pour vous inscrire à un Compte AWS

  1. Ouvrez l'https://portal.aws.amazon.com/billing/inscription.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous vous inscrivez à un Compte AWS, un Utilisateur racine d'un compte AWSest créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les tâches nécessitant un accès utilisateur racine.

AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à https://aws.amazon.com/et en choisissant Mon compte.

Création d’un utilisateur doté d’un accès administratif

Une fois que vous vous êtes inscrit à un utilisateur administratif Compte AWS, que vous Utilisateur racine d'un compte AWS l'avez sécurisé AWS IAM Identity Center, que vous l'avez activé et que vous en avez créé un, afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.

Sécurisez votre Utilisateur racine d'un compte AWS

  1. Connectez-vous en AWS Management Consoletant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.

    Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur racine, consultez Connexion en tant qu’utilisateur racine dans le Guide de l’utilisateur Connexion à AWS .

  2. Activez l’authentification multifactorielle (MFA) pour votre utilisateur racine.

    Pour obtenir des instructions, consultez la section Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console) dans le guide de l'utilisateur IAM.

Création d’un utilisateur doté d’un accès administratif

  1. Activez IAM Identity Center.

    Pour obtenir des instructions, consultez Activation d’ AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .

  2. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur.

    Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center dans le Guide de AWS IAM Identity Center l'utilisateur.

Connexion en tant qu’utilisateur doté d’un accès administratif

  • Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.

    Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section Connexion au portail AWS d'accès dans le guide de l'Connexion à AWS utilisateur.

Attribution d’un accès à d’autres utilisateurs

  1. Dans IAM Identity Center, créez un ensemble d’autorisations qui respecte la bonne pratique consistant à appliquer les autorisations de moindre privilège.

    Pour obtenir des instructions, consultez Création d’un ensemble d’autorisations dans le Guide de l’utilisateur AWS IAM Identity Center .

  2. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.

    Pour obtenir des instructions, consultez Ajout de groupes dans le Guide de l’utilisateur AWS IAM Identity Center .

Création de politiques et de rôles

Configurez les autorisations AWS Identity and Access Management (IAM) afin que votre équipe puisse déployer et gérer les ressources de Route 53 Global Resolver. Vous pouvez utiliser des autorisations administratives pour un accès complet ou des autorisations en lecture seule pour surveiller et visualiser les configurations.

Toutes les opérations de l'API Route 53 Global Resolver nécessitent les autorisations IAM appropriées. Si vous ne disposez pas des autorisations requises, les appels d'API renverront des erreurs AccessDeniedException (401) ou UnauthorizedException (401).

Autorisations administratives

Si vous configurez Route 53 Global Resolver pour la première fois ou si vous gérez tous les aspects du service, vous avez besoin d'autorisations administratives. Vous pouvez utiliser les politiques AWS gérées suivantes :

  • AmazonRoute53GlobalResolverFullAccess- Fournit un accès complet aux ressources du résolveur global Route 53, y compris la création, la mise à jour et la suppression de résolveurs globaux, de vues DNS, de règles de pare-feu et de listes de domaines

  • AmazonRoute53FullAccess- Obligatoire si vous prévoyez d'utiliser la redirection de zone hébergée en mode privé

  • CloudWatchLogsFullAccess- Obligatoire si vous prévoyez d'envoyer des journaux à Amazon CloudWatch

  • AmazonS3FullAccess- Obligatoire si vous prévoyez d'importer des listes de domaines de pare-feu depuis Amazon S3 ou d'envoyer des journaux vers Amazon S3

Autorisations en lecture seule

Si vous avez uniquement besoin de consulter les configurations et les journaux de Route 53 Global Resolver, vous pouvez utiliser les politiques AWS gérées suivantes :

  • AmazonRoute53GlobalResolverReadOnlyAccess- Fournit un accès en lecture seule aux ressources du résolveur global Route 53, y compris l'affichage des résolveurs globaux, des vues DNS, des règles de pare-feu, des listes de domaines et des sources d'accès

  • AmazonRoute53ReadOnlyAccess- Nécessaire pour afficher les associations de zones hébergées privées

  • CloudWatchReadOnlyAccess- Obligatoire pour consulter les journaux sur Amazon CloudWatch

  • AmazonS3ReadOnlyAccess- Nécessaire pour consulter les fichiers de liste de domaines de pare-feu stockés dans Amazon S3

Considérations relatives au réseau

Avant d'implémenter Route 53 Global Resolver, tenez compte des exigences réseau suivantes :

Plages d'adresses IP des clients

Cela n'est requis que lors de l'utilisation de l'authentification basée sur la source d'accès. Identifiez les plages d'adresses IP (blocs CIDR) pour tous les clients qui utiliseront Route 53 Global Resolver. Vous en aurez besoin pour configurer les règles de votre source d'accès.

Protocoles DNS

Déterminez les protocoles DNS que vos clients utiliseront :

  • Do53 - DNS standard sur le port 53 (UDP/TCP)

  • DoH - DNS-over-HTTPS pour les requêtes cryptées

  • DoT - DNS-over-TLS pour les requêtes cryptées

Pare-feu et groupes de sécurité

Assurez-vous que les pare-feux et les groupes de sécurité de votre réseau autorisent le trafic sortant vers les adresses IP anycast de Route 53 Global Resolver sur les ports appropriés (53 pour Do53, 443 pour DoH, 853 pour DoT).