Valori specificati durante la creazione o la modifica di endpoint in entrata - Amazon Route 53

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Valori specificati durante la creazione o la modifica di endpoint in entrata

Quando crei o modifichi un endpoint in entrata, devi specificare i seguenti valori:

ID Outpost

Se stai creando l'endpoint per un Resolver su un AWS Outposts VPC, questo è l'ID. AWS Outposts

Nome endpoint

Un nome descrittivo che ti consenta di trovare facilmente un endpoint in entrata nel pannello di controllo.

Categoria di endpoint

Scegli Predefinito o Delega. Quando la categoria è impostata su Predefinita, il resolver della rete inoltra le richieste DNS all'indirizzo IP dell'endpoint in entrata. Quando la categoria è Delega, l'autorità per un dominio è delegata al Route 53 Resolver.

VPC nella regione region-name.

Tutte le query DNS in entrata dalla rete passano per questo VPC in direzione di Resolver.

Gruppo di sicurezza per questo endpoint

L'ID di uno o più gruppi di sicurezza che si desidera utilizzare per controllare l'accesso a questo VPC. Il gruppo di sicurezza specificato deve includere una o più regole in entrata. Le regole in entrata devono autorizzare l'accesso TCP e UDP sulla porta 53. Se si utilizza il protocollo DoH, sarà inoltre necessario consentire la porta 443 nel gruppo di sicurezza. Non è possibile modificare questo valore dopo aver creato l'endpoint.

Alcune regole del gruppo di sicurezza consentiranno il tracciamento della connessione e il numero massimo complessivo di query al secondo per indirizzo IP per un endpoint in entrata può essere pari a 1500. Per evitare il tracciamento delle connessioni causato da un gruppo di sicurezza, vedi Connessioni non tracciate.

Nota

Per aggiungere più gruppi di sicurezza, usa il AWS CLI comando. create-resolver-endpoint Per ulteriori informazioni, consulta create-resolver-endpoint

Per ulteriori informazioni, consultare Gruppi di sicurezza per il VPC nella Guida per l'utente di Amazon VPC.

Tipo di endpoint

Il tipo di endpoint può essere uno o più IPv4 indirizzi IPv6 IP dual-stack. Per un endpoint dual-stack, l'endpoint avrà entrambi gli IPv6 indirizzi a cui il resolver DNS sulla rete IPv4 può inoltrare la query DNS.

Nota

Per motivi di sicurezza, stiamo negando l'accesso diretto al IPv6 traffico dalla rete Internet pubblica a tutti gli indirizzi IP e dual-stack. IPv6

Indcirizzi IP

Gli indirizzi IP a cui vuoi che i resolver DNS sulla rete inoltrino le query DNS. Richiediamo di specificare un minimo di due indirizzi IP per la ridondanza. Se hai creato un endpoint di delega in entrata, usa questi indirizzi IP come record NS collanti per il sottodominio per il quale desideri delegare l'autorità a Route 53 Resolver. Tieni presente quanto segue:

Zone di disponibilità multiple

Consigliamo di specificare indirizzi IP in almeno due zone di disponibilità. È anche possibile specificare facoltativamente ulteriori indirizzi IP in quelle o in altre zone di disponibilità.

Indirizzi IP e interfacce di rete elastiche di Amazon VPC

Per ogni combinazione di zona di disponibilità, sottorete e indirizzo IP specificata, Resolver crea un'interfaccia di rete elastica di Amazon VPC. Per quanto riguarda il numero massimo di query DNS al secondo per ogni indirizzo IP in un endpoint, consulta Quote relative a Route 53 Resolver. Per informazioni sui prezzi per ogni interfaccia di rete elastica, consulta "Amazon Route 53" nella Pagina dei prezzi di Amazon Route 53.

Nota

L'endpoint del risolutore ha un indirizzo IP privato. Questi indirizzi IP non cambieranno nel corso della vita di un endpoint.

Per ogni indirizzo IP, specifica i seguenti valori. Ogni indirizzo IP deve trovarsi in una zona di disponibilità del VPC specificato in VPC in the region-name Region (VPC nella regione region-name).

Zona di disponibilità

La zona di disponibilità nella quale desideri che le query DNS passino in direzione del VPC. La zona di disponibilità specificata deve essere configurata con una sottorete.

Sottorete

La sottorete che contiene gli indirizzi IP da assegnare all'endpoint Resolver. ENIs Questi sono gli indirizzi a cui invierai le query DNS. La sottorete deve avere a disposizione un indirizzo IP.

L'indirizzo IP della sottorete deve corrispondere al Tipo di endpoint.

Indirizzo IP

L'indirizzo IP al quale desideri inoltrare le query DNS.

Scegli se vuoi che sia Resolver a scegliere un indirizzo IP per tuo conto tra gli indirizzi IP disponibili nella sottorete specificata o se vuoi specificare personalmente l'indirizzo IP.

Se scegli di specificare tu stesso l'indirizzo IP, inserisci un IPv6 indirizzo IPv4 or o entrambi.

Protocolli

Il protocollo dell'endpoint determina il modo in cui i dati vengono trasmessi all'endpoint in entrata. Scegli uno o più protocolli, a seconda del livello di sicurezza necessario.

  • Do53: (impostazione predefinita) i dati vengono inoltrati utilizzando Route 53 Resolver senza crittografia aggiuntiva. Sebbene i dati non possano essere letti da soggetti esterni, possono essere visualizzati all'interno delle AWS reti. Questo è l'unico protocollo attualmente disponibile per la categoria di endpoint in entrata Delegation.

  • DoH: i dati vengono trasmessi attraverso una sessione HTTPS crittografata. DoH aggiunge un ulteriore livello di sicurezza in cui i dati non possono essere decrittografati da utenti non autorizzati né letti da nessuno all'infuori del destinatario previsto.

  • DoH-FIPS: i dati vengono trasmessi attraverso una sessione HTTPS crittografata conforme allo standard di crittografia FIPS 140-2. Supportato solo per gli endpoint in entrata. Per ulteriori informazioni, consulta FIPS PUB 140-2.

    Nota

    Per gli endpoint in entrata DOH/DOH-FIPS, esiste un problema noto a causa della pubblicazione di un IP di origine errato nella registrazione delle query di Route 53 Resolver.

Per un endpoint in entrata, è possibile applicare i protocolli come segue:

  • Do53 e DoH in combinazione.

  • Do53 e DoH-FIPS in combinazione.

  • Do53 da solo.

  • DoH da solo.

  • DoH-FIPS da solo.

  • Nessuno, il che equivale a Do53.

Importante

Non è possibile modificare il protocollo di un endpoint in entrata direttamente dal solo Do53 al solo DoH o DoH-FIPS. Ciò serve a prevenire un'interruzione improvvisa del traffico in entrata basato su Do53. Per modificare il protocollo da Do53 a DoH o DoH-FIPS, devi innanzitutto abilitare sia Do53 che DoH oppure Do53 e DoH-FIPS, per garantire che tutto il traffico in entrata sia passato all'uso del protocollo DoH o DoH-FIPS, e quindi rimuovere il protocollo Do53.

Tag

Specifica una o più chiavi e i relativi valori. Ad esempio, è possibile specificare Cost center (Centro di costo) per Key (Chiave) e specificare 456 per Value (Valore).