Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Valeurs à spécifier lors de la création ou de la modification de points de terminaison entrants
Lorsque vous créez ou modifiez un point de terminaison entrant, spécifiez les valeurs suivantes :
- ID Outpost
Si vous créez le point de terminaison d'un résolveur sur un AWS Outposts VPC, il s'agit AWS Outposts de l'ID.
- Nom du point de terminaison
Un nom convivial vous permettant de retrouver facilement le point de terminaison entrant sur le tableau de bord.
- Catégorie de terminal
Choisissez par défaut ou Délégation. Lorsque la catégorie est Par défaut, le résolveur de votre réseau transmet les demandes DNS à l'adresse IP du point de terminaison entrant. Lorsque la catégorie est Délégation, l'autorité d'un domaine est déléguée au résolveur Route 53.
- VPC dans la région region-name
Toutes les requêtes DNS entrantes à partir de votre réseau transitent via ce VPC lors de leur transfert vers Resolver.
- Groupe de sécurité de ce point de terminaison
L'ID d'un ou de plusieurs groupes de sécurité que vous souhaitez utiliser pour contrôler l'accès à ce VPC. Le groupe de sécurité que vous spécifiez doit inclure une ou plusieurs règles entrantes. Les règles entrantes doivent autoriser l'accès TCP et UDP sur le port 53. Si vous utilisez le protocole DoH, vous devrez également autoriser le port 443 dans le groupe de sécurité. Vous ne pouvez pas modifier cette valeur après avoir créé le point de terminaison.
Certaines règles de groupe de sécurité entraînent le suivi de votre connexion et le nombre maximum de requêtes par seconde et par adresse IP pour un point de terminaison entrant peut être inférieur à 1 500. Pour éviter le suivi des connexions causé par un groupe de sécurité, consultez la section Connexions non suivies.
Note
Pour ajouter plusieurs groupes de sécurité, utilisez la AWS CLI commande
create-resolver-endpoint. Pour de plus amples informations, consultez create-resolver-endpoint.Pour plus d'informations, consultez Groupes de sécurité pour votre VPC dans le Guide de l'utilisateur Amazon VPC.
- Type de point de terminaison
Le type de point de terminaison peut être soit IPv4 IPv6 des adresses IP à double pile. Pour un point de terminaison à double pile, le point de terminaison aura à la fois IPv4 une IPv6 adresse à laquelle votre résolveur DNS sur votre réseau peut transférer les requêtes DNS.
Note
Pour des raisons de sécurité, nous refusons l'accès direct au IPv6 trafic depuis l'Internet public pour toutes les adresses IPv6 IP et à double pile.
- Adresses IP
Les adresses IP vers lesquelles vous souhaitez que les résolveurs DNS de votre réseau réacheminent les requêtes DNS. Nous vous demandons de spécifier au moins deux adresses IP pour la redondance. Si vous avez créé un point de terminaison entrant de délégation, utilisez ces adresses IP comme référence pour les enregistrements NS du sous-domaine pour lequel vous souhaitez déléguer l'autorité à Route 53 Resolver. Remarques :
- Plusieurs zones de disponibilité
Nous vous recommandons de spécifier des adresses IP dans au moins deux zones de disponibilité. Si vous le souhaitez, vous pouvez spécifier des adresses IP supplémentaires dans ces zones de disponibilité ou dans d'autres.
- Adresses IP et interfaces réseau Elastic Amazon VPC
Pour chaque combinaison de zone de disponibilité, sous-réseau, et adresse IP que vous spécifiez, Resolver crée une interface réseau Elastic Amazon VPC. Pour le nombre maximum actuel de requêtes DNS par seconde et par adresse IP dans un point de terminaison, consultez Quotas sur Route 53 Resolver. Pour plus d'informations sur la tarification pour chaque interface réseau Elastic, veuillez consulter la section « Amazon Route 53 » sur la page de tarification d'Amazon Route 53
.
Note
Le point de terminaison Resolver possède une adresse IP privée. Ces adresses IP ne changeront pas au cours de la durée de vie d'un point de terminaison.
Pour chaque adresse IP, spécifiez les valeurs suivantes. Chaque adresse IP doit se trouver dans une zone de disponibilité du VPC que vous avez indiquée dans VPC dans la région region-name.
- Zone de disponibilité
La zone de disponibilité par laquelle vous voulez que les requêtes DNS transitent lors de leur transfert vers votre VPC. La zone de disponibilité que vous spécifiez doit être configurée avec un sous-réseau.
- Sous-réseau
Le sous-réseau qui contient les adresses IP que vous souhaitez attribuer à votre point de terminaison Resolver. ENIs Il s'agit des adresses auxquelles vous allez envoyer des requêtes DNS. Le sous-réseau doit avoir une adresse IP disponible.
L'adresse IP du sous-réseau doit correspondre au type de point de terminaison.
- Adresse IP
Adresse IP unique vers laquelle les requêtes DNS doivent être transférées.
Choisissez si vous souhaitez que Resolver choisisse une adresse IP pour vous parmi les adresses IP disponibles dans le sous-réseau indiqué, ou si vous voulez indiquer l'adresse IP vous-même.
Si vous choisissez de spécifier vous-même l'adresse IP, entrez une IPv6 adresse IPv4 ou, ou les deux.
- Protocoles
Le protocole de point de terminaison détermine la manière dont les données sont transmises à un point de terminaison entrant. Choisissez un ou plusieurs protocoles en fonction du niveau de sécurité requis.
Do53 : (Par défaut) Les données sont relayées à l'aide du Route 53 Resolver sans chiffrement supplémentaire. Bien que les données ne puissent pas être lues par des tiers, elles peuvent être consultées au sein des AWS réseaux. Il s'agit du seul protocole actuellement disponible pour la catégorie des points de terminaison entrants de délégation.
DoH : Les données sont transmises via une session HTTPS chiffrée. Le DoH ajoute un niveau de sécurité supplémentaire selon lequel les données ne peuvent pas être déchiffrées par des utilisateurs non autorisés et ne peuvent être lues par personne d'autre que le destinataire prévu.
DOH-FIPS : Les données sont transmises via une session HTTPS chiffrée conforme à la norme de chiffrement FIPS 140-2. Pris en charge uniquement pour les points de terminaison entrants. Pour plus d'informations, veuillez consulter FIPS PUB 140-2
. Note
Pour les points de terminaison entrants DOH/DOH-FIPS, il existe un problème connu lié à la publication d'une adresse IP source incorrecte dans le journal des requêtes Route 53 Resolver.
Pour un point de terminaison entrant, vous pouvez appliquer les protocoles comme suit :
Do53 et DoH en combinaison.
Do53 et DoH-FIPS en combinaison.
Do53 uniquement.
DoH uniquement.
DoH-FIPS uniquement.
Aucun, qui est traité comme Do53.
Important
Vous ne pouvez pas modifier directement le protocole d'un point de terminaison entrant uniquement de Do53 uniquement à DoH ou DOH-FIPS. Cela permet d'éviter une interruption soudaine du trafic entrant qui repose sur Do53. Pour changer le protocole de Do53 à DoH ou DOH-FIPS, vous devez d'abord activer Do53 et DoH ou Do53 et DOH-FIPS, pour vous assurer que tout le trafic entrant a été transféré à l'aide du protocole DoH ou DOH-FIPS, puis supprimer le Do53.
- Balises
Spécifiez une ou plusieurs clés et les valeurs correspondantes. Par exemple, vous pouvez indiquer Cost center (Centre de coûts) pour Key (Clé) et 456 pour Value (Valeur).
