Tutorial: Buat Resolver Global Route 53 pertama Anda - Amazon Route 53
PrasyaratLangkah 1: Buat resolver globalLangkah 2: Buat tampilan DNS dan konfigurasikan otentikasiLangkah 3: Konfigurasikan aturan penyaringan DNS (opsional)Langkah 4: Uji konfigurasi AndaLangkah 5: Memantau aktivitas DNSLangkah 6: Bersihkan (opsional)Langkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tutorial: Buat Resolver Global Route 53 pertama Anda

Panduan memulai ini menunjukkan komponen dasar Route 53 Global Resolver dan secara opsional membuat pengaturan pemfilteran DNS sederhana. Tutorial ini mencakup konsep inti tetapi tidak termasuk persyaratan produksi seperti konfigurasi klien, logging, atau resolusi domain pribadi.

Setelah selesai, Anda akan memiliki pengaturan Route 53 Global Resolver dasar yang dapat memfilter kueri DNS dan memblokir domain berbahaya.

Bagian berikut menjelaskan cara cepat memulai dengan keamanan dan pemfilteran DNS menggunakan Route 53 Global Resolver.

Prasyarat

Sebelum Anda dapat menggunakan Route 53 Global Resolver, Anda memerlukan AWS akun dan izin yang sesuai untuk mengakses, melihat, dan mengedit komponen Route 53 Global Resolver. Administrator sistem Anda harus menyelesaikan langkah-langkahnyaMenyiapkan akses akun untuk Route 53 Global Resolver, dan kemudian kembali ke tutorial ini.

Langkah 1: Buat resolver global

Pertama, buat instance resolver global dan pilih AWS Wilayah tempat ia akan beroperasi.

  1. Buka konsol Route 53 Global Resolver di. https://console.aws.amazon.com/route53globalresolver/

  2. Pilih Buat resolver global.

  3. Untuk Nama, masukkan nama deskriptif untuk resolver global Anda.

  4. Untuk Deskripsi, secara opsional masukkan deskripsi.

  5. Untuk Wilayah, pilih dua atau lebih Wilayah AWS tempat Anda ingin membuat instance resolver global. Pilih Wilayah yang paling dekat dengan klien Anda untuk kinerja optimal.

  6. Secara opsional, tambahkan tag untuk membantu mengatur dan mengelola sumber daya Anda.

  7. Pilih Buat resolver global.

Anda akan segera menerima IPv4 alamat anycast yang dapat digunakan klien Anda untuk mencapai resolver. Proses pembuatan resolver global membutuhkan waktu beberapa menit untuk diselesaikan sebelum alamat menjadi fungsional.

Langkah 2: Buat tampilan DNS dan konfigurasikan otentikasi

Buat tampilan DNS untuk mengatur klien Anda dan mengonfigurasi otentikasi menggunakan Sumber Akses IP. Tutorial ini menggunakan otentikasi berbasis IP. Anda juga dapat menggunakan token akses untuk protokol DOH/dot.

  1. Di konsol Route 53 Global Resolver, pilih resolver global Anda.

  2. Pilih Buat tampilan DNS.

  3. Untuk Nama, masukkan nama deskriptif untuk tampilan DNS Anda.

  4. Untuk Deskripsi, secara opsional masukkan deskripsi.

  5. Pilih Buat tampilan DNS.

  6. Setelah tampilan DNS dibuat, pilih Sumber akses dan kemudian Buat sumber akses.

  7. Untuk blok CIDR, masukkan rentang alamat IP untuk klien Anda (misalnya,203.0.113.0/24).

  8. Untuk Protokol, pilih Do53 (DNS di atas port 53) untuk pengaturan dasar.

  9. Pilih aturan Buat Sumber Akses.

Langkah 3: Konfigurasikan aturan penyaringan DNS (opsional)

Siapkan aturan pemfilteran DNS dasar untuk memblokir akses ke domain berbahaya.

  1. Dalam tampilan DNS Anda, pilih aturan Firewall dan kemudian Buat aturan firewall.

  2. Untuk Nama, masukkan nama deskriptif untuk aturan.

  3. Untuk Prioritas, masukkan 100 (angka yang lebih rendah memiliki prioritas lebih tinggi).

  4. Untuk Tindakan, pilih Blokir.

  5. Untuk jenis daftar Domain, pilih Daftar Domain AWS Terkelola.

  6. Untuk daftar domain Terkelola, pilih AmazonGuardDutyThreatListdan Perintah dan Kontrol Malware dan Botnet untuk memblokir domain berbahaya yang diketahui (Anda dapat menambahkan daftar terkelola lainnya atau membuat daftar kustom nanti).

  7. Pilih Buat aturan firewall.

Langkah 4: Uji konfigurasi Anda

Uji apakah konfigurasi Route 53 Global Resolver Anda berfungsi dengan benar.

  1. Dari mesin klien dalam rentang CIDR yang dikonfigurasi, uji resolusi DNS menggunakan alamat IP anycast yang disediakan oleh resolver global Anda:

    nslookup example.com <anycast-ip-address>

  2. Verifikasi bahwa domain yang sah diselesaikan dengan benar.

  3. Uji apakah domain yang diblokir difilter dengan benar. Anda dapat membuat daftar domain khusus dengan domain uji untuk memverifikasi aturan firewall Anda berfungsi dengan benar. Untuk informasi selengkapnya tentang Daftar Domain Terkelola, lihat Daftar Domain Terkelola.

  4. Periksa konsol Route 53 Global Resolver untuk log kueri dan aktivitas pemfilteran.

Untuk prosedur pengujian dan pemecahan masalah yang komprehensif, lihat Pemecahan Masalah Route 53 Global Resolver.

Langkah 5: Memantau aktivitas DNS

Konfigurasikan logging untuk aktivitas DNS Anda.

  1. Pilih Wilayah Observabilitas.

  2. Pilih tujuan untuk log kueri.

Untuk prosedur pengujian dan pemecahan masalah yang komprehensif, lihat Menguji dan memecahkan masalah Route 53 Global Resolver.

Langkah 6: Bersihkan (opsional)

Jika Anda membuat konfigurasi ini untuk tujuan pengujian dan tidak ingin terus menggunakan Route 53 Global Resolver, bersihkan sumber daya untuk menghindari biaya yang sedang berlangsung.

  1. Di konsol Route 53 Global Resolver, hapus semua aturan firewall yang Anda buat.

  2. Hapus aturan Sumber Akses apa pun yang Anda buat.

  3. Hapus tampilan DNS.

  4. Hapus resolver global.

penting

Menghapus sumber daya ini akan menghentikan resolusi DNS untuk setiap klien yang dikonfigurasi untuk menggunakannya. Perbarui konfigurasi klien Anda sebelum menghapus resolver atau menghapus aturan akses.

Langkah selanjutnya

Sekarang setelah Anda memiliki konfigurasi Route 53 Global Resolver dasar, Anda dapat menjelajahi fitur tambahan:

  • Konfigurasikan perangkat klien untuk menggunakan resolver Anda (diperlukan untuk produksi). Perbarui pengaturan DNS klien Anda untuk menggunakan alamat IP anycast yang disediakan oleh resolver global Anda.

  • Siapkan pencatatan untuk pemantauan dan kepatuhan (direkomendasikan untuk produksi). Konfigurasikan logging ke Amazon CloudWatch, Amazon S3, atau Amazon Data Firehose untuk pemantauan dan analisis. Untuk informasi selengkapnya, lihat .

  • Konfigurasikan penerusan zona host pribadi untuk domain internal (diperlukan jika Anda memiliki sumber daya pribadi AWS ). Untuk informasi selengkapnya, lihat Menggunakan zona yang di-hosting pribadi.

  • Siapkan konektivitas DNS terenkripsi menggunakan DNS-over-HTTPS (DoH) atau DNS-over-TLS (DoT). Untuk informasi selengkapnya, lihat Mengonfigurasi DNS terenkripsi.

  • Buat daftar domain khusus dan aturan pemfilteran lanjutan. Untuk informasi selengkapnya, lihat Pemfilteran DNS.