Tutorial: crea il tuo primo Route 53 Global Resolver - Amazon Route 53
PrerequisitiFase 1: Creare un resolver globalePassaggio 2: creare una vista DNS e configurare l'autenticazionePassaggio 3: Configurare le regole di filtraggio DNS (opzionale)Fase 4: Verifica la tua configurazioneFase 5: Monitoraggio dell'attività DNSFase 6: Pulizia (opzionale)Fasi successive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial: crea il tuo primo Route 53 Global Resolver

Questa guida introduttiva illustra i componenti di base di Route 53 Global Resolver e, facoltativamente, la creazione di una semplice configurazione di filtraggio DNS. Questo tutorial copre i concetti fondamentali ma non include requisiti di produzione come la configurazione del client, la registrazione o la risoluzione di domini privati.

Al termine, avrai una configurazione di base di Route 53 Global Resolver in grado di filtrare le query DNS e bloccare i domini dannosi.

Le sezioni seguenti descrivono come iniziare rapidamente a utilizzare la sicurezza e il filtraggio DNS utilizzando Route 53 Global Resolver.

Prerequisiti

Prima di poter utilizzare Route 53 Global Resolver, è necessario un AWS account e le autorizzazioni appropriate per accedere, visualizzare e modificare i componenti di Route 53 Global Resolver. L'amministratore di sistema deve completare i passaggi indicati e quindi tornare a Configurazione dell'accesso all'account per Route 53 Global Resolver questo tutorial.

Fase 1: Creare un resolver globale

Innanzitutto, crea un'istanza globale del resolver e seleziona le AWS regioni in cui funzionerà.

  1. Apri la console Route 53 Global Resolver all'indirizzo. https://console.aws.amazon.com/route53globalresolver/

  2. Scegli Create global resolver.

  3. In Nome, inserisci un nome descrittivo per il tuo resolver globale.

  4. Per Descrizione, inserisci facoltativamente una descrizione.

  5. Per Regioni, selezionane due o più Regioni AWS in cui desideri creare un'istanza del resolver globale. Scegli le regioni più vicine ai tuoi clienti per prestazioni ottimali.

  6. Facoltativamente, aggiungi tag per organizzare e gestire le tue risorse.

  7. Scegli Create global resolver.

Riceverai immediatamente IPv4 gli indirizzi anycast che i tuoi clienti potranno utilizzare per contattare il resolver. Il completamento del processo di creazione del resolver globale richiede alcuni minuti prima che gli indirizzi diventino operativi.

Passaggio 2: creare una vista DNS e configurare l'autenticazione

Crea una vista DNS per organizzare i tuoi client e configurare l'autenticazione utilizzando IP Access Sources. Questo tutorial utilizza l'autenticazione basata su IP. È inoltre possibile utilizzare i token di accesso per i protocolli DoH/DOT.

  1. Nella console Route 53 Global Resolver, scegli il tuo resolver globale.

  2. Scegli Crea vista DNS.

  3. In Nome, inserisci un nome descrittivo per la tua vista DNS.

  4. Per Descrizione, inserisci facoltativamente una descrizione.

  5. Scegli Crea vista DNS.

  6. Dopo aver creato la vista DNS, scegli Origine di accesso, quindi Crea fonte di accesso.

  7. Per il blocco CIDR, inserisci l'intervallo di indirizzi IP per i tuoi client (ad esempio,203.0.113.0/24).

  8. Per Protocollo, scegli Do53 (DNS sulla porta 53) per la configurazione di base.

  9. Scegli la regola Create Access Source.

Passaggio 3: Configurare le regole di filtraggio DNS (opzionale)

Imposta le regole di filtraggio DNS di base per bloccare l'accesso a domini dannosi.

  1. Nella visualizzazione DNS, scegli Regole firewall e poi Crea regola firewall.

  2. In Nome, inserisci un nome descrittivo per la regola.

  3. Per Priorità, inserisci 100 (i numeri più bassi hanno una priorità più alta).

  4. Per Azione, scegli Blocca.

  5. Per il tipo di elenco di domini, scegli Elenco di domini AWS gestiti.

  6. Per Elenco di domini gestiti, scegli Malware AmazonGuardDutyThreatListe Botnet Command and Control per bloccare i domini dannosi noti (puoi aggiungere altri elenchi gestiti o creare elenchi personalizzati in un secondo momento).

  7. Scegli Crea regola firewall.

Fase 4: Verifica la tua configurazione

Verifica che la configurazione di Route 53 Global Resolver funzioni correttamente.

  1. Da una macchina client all'interno dell'intervallo CIDR configurato, verifica la risoluzione DNS utilizzando gli indirizzi IP anycast forniti dal tuo resolver globale:

    nslookup example.com <anycast-ip-address>

  2. Verifica che i domini legittimi si risolvano correttamente.

  3. Verifica che i domini bloccati siano filtrati correttamente. Puoi creare un elenco di domini personalizzato con un dominio di prova per verificare che le regole del firewall funzionino correttamente. Per ulteriori informazioni sugli elenchi di domini gestiti, consulta Elenchi di domini gestiti.

  4. Controlla la console Route 53 Global Resolver per i registri delle query e l'attività di filtraggio.

Per procedure di test e risoluzione dei problemi complete, consulta Troubleshooting Route 53 Global Resolver.

Fase 5: Monitoraggio dell'attività DNS

Configura la registrazione per la tua attività DNS.

  1. Scegli una regione di osservabilità.

  2. Seleziona la destinazione per i log delle interrogazioni.

Per procedure di test e risoluzione dei problemi complete, consulta Test e risoluzione dei problemi di Route 53 Global Resolver.

Fase 6: Pulizia (opzionale)

Se hai creato questa configurazione a scopo di test e non desideri continuare a utilizzare Route 53 Global Resolver, pulisci le risorse per evitare addebiti continui.

  1. Nella console Route 53 Global Resolver, elimina tutte le regole firewall che hai creato.

  2. Elimina tutte le regole di Access Source che hai creato.

  3. Elimina la vista DNS.

  4. Eliminare il resolver globale.

Importante

L'eliminazione di queste risorse interromperà la risoluzione DNS per tutti i client configurati per utilizzarle. Aggiorna le configurazioni del client prima di eliminare il resolver o rimuovere le regole di accesso.

Fasi successive

Ora che hai una configurazione di base di Route 53 Global Resolver, puoi esplorare funzionalità aggiuntive:

  • Configura i dispositivi client per utilizzare il resolver (necessario per la produzione). Aggiorna le impostazioni DNS del client per utilizzare gli indirizzi IP anycast forniti dal tuo resolver globale.

  • Imposta la registrazione per il monitoraggio e la conformità (consigliata per la produzione). Configura la registrazione su Amazon CloudWatch, Amazon S3 o Amazon Data Firehose per il monitoraggio e l'analisi. Per ulteriori informazioni, consulta .

  • Configura l'inoltro delle zone ospitate private per i domini interni (necessario se disponi di risorse private). AWS Per ulteriori informazioni, consulta Utilizzo delle zone ospitate private.

  • Configura la connettività DNS crittografata utilizzando DNS-over-HTTPS (DoH) o (DoT). DNS-over-TLS Per ulteriori informazioni, vedere Configurazione del DNS crittografato.

  • Crea elenchi di domini personalizzati e regole di filtraggio avanzate. Per ulteriori informazioni, consulta Filtraggio DNS.