Menyiapkan akses akun untuk Route 53 Global Resolver - Amazon Route 53
Mendaftar untuk Akun AWSBuat pengguna dengan akses administratifMembuat kebijakan dan peranPertimbangan jaringan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan akses akun untuk Route 53 Global Resolver

Sebelum mulai menggunakan Route 53 Global Resolver, Anda memerlukan AWS akun dan izin yang sesuai untuk mengakses sumber daya Route 53 Global Resolver. Ini termasuk membuat pengguna dan peran IAM dengan izin yang diperlukan.

Bagian ini memandu Anda melalui langkah-langkah yang diperlukan untuk mengonfigurasi pengguna dan peran untuk mengakses Route 53 Global Resolver.

Mendaftar untuk Akun AWS

Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya.

Untuk mendaftar untuk Akun AWS

  1. Buka https://portal.aws.amazon.com/billing/pendaftaran.

  2. Ikuti petunjuk online.

    Bagian dari prosedur pendaftaran melibatkan menerima panggilan telepon atau pesan teks dan memasukkan kode verifikasi pada keypad telepon.

    Saat Anda mendaftar untuk sebuah Akun AWS, sebuah Pengguna root akun AWSdibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya di akun. Sebagai praktik keamanan terbaik, tetapkan akses administratif ke pengguna, dan gunakan hanya pengguna root untuk melakukan tugas yang memerlukan akses pengguna root.

AWS mengirimkan email konfirmasi setelah proses pendaftaran selesai. Kapan saja, Anda dapat melihat aktivitas akun Anda saat ini dan mengelola akun Anda dengan masuk https://aws.amazon.com.rproxy.govskope.cake/ dan memilih Akun Saya.

Buat pengguna dengan akses administratif

Setelah Anda mendaftar Akun AWS, amankan Pengguna root akun AWS, aktifkan AWS IAM Identity Center, dan buat pengguna administratif sehingga Anda tidak menggunakan pengguna root untuk tugas sehari-hari.

Amankan Anda Pengguna root akun AWS

  1. Masuk ke Konsol Manajemen AWSsebagai pemilik akun dengan memilih pengguna Root dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.

    Untuk bantuan masuk dengan menggunakan pengguna root, lihat Masuk sebagai pengguna root di AWS Sign-In Panduan Pengguna.

  2. Mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna root Anda.

    Untuk petunjuk, lihat Mengaktifkan perangkat MFA virtual untuk pengguna Akun AWS root (konsol) Anda di Panduan Pengguna IAM.

Buat pengguna dengan akses administratif

  1. Aktifkan Pusat Identitas IAM.

    Untuk mendapatkan petunjuk, silakan lihat Mengaktifkan AWS IAM Identity Center di Panduan Pengguna AWS IAM Identity Center .

  2. Di Pusat Identitas IAM, berikan akses administratif ke pengguna.

    Untuk tutorial tentang menggunakan Direktori Pusat Identitas IAM sebagai sumber identitas Anda, lihat Mengkonfigurasi akses pengguna dengan default Direktori Pusat Identitas IAM di Panduan AWS IAM Identity Center Pengguna.

Masuk sebagai pengguna dengan akses administratif

  • Untuk masuk dengan pengguna Pusat Identitas IAM, gunakan URL masuk yang dikirim ke alamat email saat Anda membuat pengguna Pusat Identitas IAM.

    Untuk bantuan masuk menggunakan pengguna Pusat Identitas IAM, lihat Masuk ke portal AWS akses di Panduan AWS Sign-In Pengguna.

Tetapkan akses ke pengguna tambahan

  1. Di Pusat Identitas IAM, buat set izin yang mengikuti praktik terbaik menerapkan izin hak istimewa paling sedikit.

    Untuk petunjuknya, lihat Membuat set izin di Panduan AWS IAM Identity Center Pengguna.

  2. Tetapkan pengguna ke grup, lalu tetapkan akses masuk tunggal ke grup.

    Untuk petunjuk, lihat Menambahkan grup di Panduan AWS IAM Identity Center Pengguna.

Membuat kebijakan dan peran

Konfigurasikan izin AWS Identity and Access Management (IAM) agar tim Anda dapat menerapkan dan mengelola sumber daya Route 53 Global Resolver. Anda dapat menggunakan izin administratif untuk akses penuh atau izin hanya-baca untuk memantau dan melihat konfigurasi.

Semua operasi Route 53 Global Resolver API memerlukan izin IAM yang sesuai. Jika Anda tidak memiliki izin yang diperlukan, panggilan API akan menampilkan kesalahan AccessDeniedException (401) atau UnauthorizedException (401).

Izin administratif

Jika Anda menyiapkan Route 53 Global Resolver untuk pertama kalinya atau mengelola semua aspek layanan, Anda memerlukan izin administratif. Anda dapat menggunakan kebijakan AWS terkelola ini:

  • AmazonRoute53GlobalResolverFullAccess- Menyediakan akses penuh ke sumber daya Route 53 Global Resolver, termasuk membuat, memperbarui, dan menghapus resolver global, tampilan DNS, aturan firewall, dan daftar domain

  • AmazonRoute53FullAccess- Diperlukan jika Anda berencana untuk menggunakan penerusan zona host pribadi

  • CloudWatchLogsFullAccess- Diperlukan jika Anda berencana untuk mengirim log ke Amazon CloudWatch

  • AmazonS3FullAccess- Diperlukan jika Anda berencana untuk mengimpor daftar domain firewall dari Amazon S3 atau mengirim log ke Amazon S3

Izin baca-saja

Jika Anda hanya perlu melihat konfigurasi dan log Route 53 Global Resolver, Anda dapat menggunakan kebijakan terkelola ini AWS :

  • AmazonRoute53GlobalResolverReadOnlyAccess- Menyediakan akses read-only ke sumber daya Route 53 Global Resolver, termasuk melihat resolver global, tampilan DNS, aturan firewall, daftar domain, dan sumber akses

  • AmazonRoute53ReadOnlyAccess- Diperlukan untuk melihat asosiasi zona host pribadi

  • CloudWatchReadOnlyAccess- Diperlukan untuk melihat log di Amazon CloudWatch

  • AmazonS3ReadOnlyAccess- Diperlukan untuk melihat file daftar domain firewall yang disimpan di Amazon S3

Pertimbangan jaringan

Sebelum menerapkan Route 53 Global Resolver, pertimbangkan persyaratan jaringan berikut:

Rentang IP klien

Ini hanya diperlukan saat menggunakan otentikasi berbasis sumber akses. Identifikasi rentang alamat IP (blok CIDR) untuk semua klien yang akan menggunakan Route 53 Global Resolver. Anda akan memerlukan ini untuk mengonfigurasi aturan untuk sumber akses Anda.

Protokol DNS

Tentukan protokol DNS mana yang akan digunakan klien Anda:

  • Do53 - DNS standar melalui port 53 (UDP/TCP)

  • DoH - DNS-over-HTTPS untuk kueri terenkripsi

  • DoT - DNS-over-TLS untuk kueri terenkripsi

Firewall dan grup keamanan

Pastikan firewall jaringan dan grup keamanan Anda mengizinkan lalu lintas keluar ke Route 53 Global Resolver alamat IP anycast pada port yang sesuai (53 untuk Do53, 443 untuk DoH, 853 untuk DoT).