Configurazione dell'accesso all'account per Route 53 Global Resolver - Amazon Route 53
Registrati per un Account AWSCrea un utente con accesso amministrativoCreazione di politiche e ruoliConsiderazioni sulla rete

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'accesso all'account per Route 53 Global Resolver

Prima di iniziare a utilizzare Route 53 Global Resolver, è necessario un AWS account e le autorizzazioni appropriate per accedere alle risorse di Route 53 Global Resolver. Ciò include la creazione di utenti e ruoli IAM con le autorizzazioni necessarie.

Questa sezione illustra i passaggi necessari per configurare utenti e ruoli per accedere a Route 53 Global Resolver.

Registrati per un Account AWS

Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

Per iscriverti a un Account AWS

  1. Apri la https://portal.aws.amazon.com/billing/registrazione.

  2. Segui le istruzioni online.

    Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.

    Quando ti iscrivi a un Account AWS, Utente root dell'account AWSviene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire attività che richiedono l’accesso di un utente root.

AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a https://aws.amazon.com/e scegliendo Il mio account.

Crea un utente con accesso amministrativo

Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.

Proteggi i tuoi Utente root dell'account AWS

  1. Accedi Console di gestione AWScome proprietario dell'account scegliendo Utente root e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

    Per informazioni sull’accesso utilizzando un utente root, consulta la pagina Signing in as the root user della Guida per l’utente di Accedi ad AWS .

  2. Abilita l’autenticazione a più fattori (MFA) per l’utente root.

    Per istruzioni, consulta Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console) nella Guida per l'utente IAM.

Crea un utente con accesso amministrativo

  1. Abilita il Centro identità IAM.

    Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l’utente di AWS IAM Identity Center .

  2. In IAM Identity Center, assegna l’accesso amministrativo a un utente.

    Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta Configurare l'accesso utente con l'impostazione predefinita IAM Identity Center directory nella Guida per l'AWS IAM Identity Center utente.

Accesso come utente amministratore

  • Per accedere con l’utente IAM Identity Center, utilizza l’URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l’utente IAM Identity Center.

    Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta AWS Accedere al portale di accesso nella Guida per l'Accedi ad AWS utente.

Assegna l’accesso a ulteriori utenti

  1. In IAM Identity Center, crea un set di autorizzazioni conforme alla best practice dell’applicazione di autorizzazioni con il privilegio minimo.

    Segui le istruzioni riportate nella pagina Creazione di un set di autorizzazioni nella Guida per l’utente di AWS IAM Identity Center .

  2. Assegna al gruppo prima gli utenti e poi l’accesso con autenticazione unica (Single Sign-On).

    Per istruzioni, consulta Aggiungere gruppi nella Guida per l’utente di AWS IAM Identity Center .

Creazione di politiche e ruoli

Configura le autorizzazioni di AWS Identity and Access Management (IAM) in modo che il tuo team possa distribuire e gestire le risorse Route 53 Global Resolver. È possibile utilizzare autorizzazioni amministrative per l'accesso completo o autorizzazioni di sola lettura per il monitoraggio e la visualizzazione delle configurazioni.

Tutte le operazioni dell'API Route 53 Global Resolver richiedono autorizzazioni IAM appropriate. Se non disponi delle autorizzazioni richieste, le chiamate API restituiranno errori AccessDeniedException (401) o UnauthorizedException (401).

Autorizzazioni di amministrazione

Se stai configurando Route 53 Global Resolver per la prima volta o gestisci tutti gli aspetti del servizio, hai bisogno di autorizzazioni amministrative. Puoi utilizzare queste AWS politiche gestite:

  • AmazonRoute53GlobalResolverFullAccess- Fornisce l'accesso completo alle risorse di Route 53 Global Resolver, inclusa la creazione, l'aggiornamento e l'eliminazione di resolver globali, viste DNS, regole firewall ed elenchi di domini

  • AmazonRoute53FullAccess- Obbligatorio se si prevede di utilizzare l'inoltro di zone ospitate private

  • CloudWatchLogsFullAccess- Obbligatorio se prevedi di inviare log ad Amazon CloudWatch

  • AmazonS3FullAccess- Obbligatorio se prevedi di importare elenchi di domini firewall da Amazon S3 o inviare log ad Amazon S3

Autorizzazioni di sola lettura

Se hai solo bisogno di visualizzare le configurazioni e i log di Route 53 Global Resolver, puoi utilizzare queste politiche gestite: AWS

  • AmazonRoute53GlobalResolverReadOnlyAccess- Fornisce accesso in sola lettura alle risorse di Route 53 Global Resolver, inclusa la visualizzazione di resolver globali, viste DNS, regole firewall, elenchi di domini e fonti di accesso

  • AmazonRoute53ReadOnlyAccess- Necessario per visualizzare le associazioni di zone ospitate private

  • CloudWatchReadOnlyAccess- Necessario per visualizzare i log in Amazon CloudWatch

  • AmazonS3ReadOnlyAccess- Necessario per visualizzare i file dell'elenco dei domini del firewall archiviati in Amazon S3

Considerazioni sulla rete

Prima di implementare Route 53 Global Resolver, considera i seguenti requisiti di rete:

Intervalli IP del client

Questo è necessario solo quando si utilizza l'autenticazione basata sulla fonte di accesso. Identifica gli intervalli di indirizzi IP (blocchi CIDR) per tutti i client che utilizzeranno Route 53 Global Resolver. Ti serviranno per configurare le regole per la tua fonte di accesso.

Protocolli DNS

Determina quali protocolli DNS utilizzeranno i tuoi clienti:

  • Do53 - DNS standard sulla porta 53 (UDP/TCP)

  • DoH: per query crittografate DNS-over-HTTPS

  • DoT: DNS-over-TLS per query crittografate

Firewall e gruppi di sicurezza

Assicurati che i firewall di rete e i gruppi di sicurezza consentano il traffico in uscita verso gli indirizzi IP anycast di Route 53 Global Resolver sulle porte appropriate (53 per Do53, 443 per DoH, 853 per DoT).