자습서: 첫 번째 Route 53 Global Resolver 생성 - Amazon Route 53
사전 조건1단계: 글로벌 해석기 생성2단계: DNS 보기 생성 및 인증 구성3단계: DNS 필터링 규칙 구성(선택 사항)4단계: 구성 테스트5단계: DNS 활동 모니터링6단계: 정리(선택 사항)다음 단계

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자습서: 첫 번째 Route 53 Global Resolver 생성

이 시작 안내서에서는 Route 53 Global Resolver의 기본 구성 요소와 선택적으로 간단한 DNS 필터링 설정을 생성하는 방법을 보여줍니다. 이 자습서에서는 핵심 개념을 다루지만 클라이언트 구성, 로깅 또는 프라이빗 도메인 확인과 같은 프로덕션 요구 사항은 포함하지 않습니다.

완료되면 DNS 쿼리를 필터링하고 악성 도메인을 차단할 수 있는 기본 Route 53 Global Resolver 설정이 있습니다.

다음 섹션에서는 Route 53 Global Resolver를 사용하여 DNS 보안 및 필터링을 빠르게 시작하는 방법을 설명합니다.

사전 조건

Route 53 Global Resolver를 사용하려면 먼저 Route 53 Global Resolver 구성 요소에 액세스, 확인 및 편집할 수 있는 AWS 계정과 적절한 권한이 필요합니다. 시스템 관리자는의 단계를 완료한 Route 53 Global Resolver에 대한 계정 액세스 설정다음이 자습서로 돌아가야 합니다.

1단계: 글로벌 해석기 생성

먼저 글로벌 해석기 인스턴스를 생성하고 해당 인스턴스가 작동할 AWS 리전을 선택합니다.

  1. https://console.aws.amazon.com/route53globalresolver/ Route 53 Global Resolver 콘솔을 엽니다.

  2. 글로벌 해석기 생성을 선택합니다.

  3. 이름에 전역 해석기의 설명이 포함된 이름을 입력합니다.

  4. 설명에 선택적으로 설명을 입력합니다.

  5. 리전에서 글로벌 해석기를 인스턴스화할 AWS 리전 2개 이상을 선택합니다. 최적의 성능을 위해 클라이언트와 가장 가까운 리전을 선택합니다.

  6. 선택적으로 태그를 추가하여 리소스를 구성하고 관리할 수 있습니다.

  7. 글로벌 해석기 생성을 선택합니다.

클라이언트가 해석기에 연결하는 데 사용할 수 있는 어캐스트 IPv4 주소를 즉시 받게 됩니다. 전역 해석기 생성 프로세스는 주소가 작동하기까지 몇 분 정도 걸립니다.

2단계: DNS 보기 생성 및 인증 구성

DNS 뷰를 생성하여 클라이언트를 구성하고 IP 액세스 소스를 사용하여 인증을 구성합니다. 이 자습서에서는 IP 기반 인증을 사용합니다. DoH/DoT 프로토콜에 액세스 토큰을 사용할 수도 있습니다.

  1. Route 53 Global Resolver 콘솔에서 글로벌 해석기를 선택합니다.

  2. DNS 보기 생성을 선택합니다.

  3. 이름에 DNS 보기에 대한 설명 이름을 입력합니다.

  4. 설명에 선택적으로 설명을 입력합니다.

  5. DNS 보기 생성을 선택합니다.

  6. DNS 뷰가 생성된 후 액세스 소스를 선택한 다음 액세스 소스 생성을 선택합니다.

  7. CIDR 블록에 클라이언트의 IP 주소 범위(예: 203.0.113.0/24)를 입력합니다.

  8. 프로토콜에서 기본 설정을 위해 Do53(포트 53을 통한 DNS)을 선택합니다.

  9. 액세스 소스 규칙 생성을 선택합니다.

3단계: DNS 필터링 규칙 구성(선택 사항)

기본 DNS 필터링 규칙을 설정하여 악성 도메인에 대한 액세스를 차단합니다.

  1. DNS 보기에서 방화벽 규칙을 선택한 다음 방화벽 규칙 생성을 선택합니다.

  2. 이름에 규칙에 대한 설명이 포함된 이름을 입력합니다.

  3. 우선 순위에를 입력합니다100(낮은 숫자는 우선 순위가 더 높음).

  4. 작업에서 차단을 선택합니다.

  5. 도메인 목록 유형에서 AWS 관리형 도메인 목록을 선택합니다.

  6. 관리형 도메인 목록에서 AmazonGuardDutyThreatList맬웨어와 Botnet Command and Control을 선택하여 알려진 악성 도메인을 차단합니다(다른 관리형 목록을 추가하거나 나중에 사용자 지정 목록을 생성할 수 있음).

  7. 방화벽 규칙 생성을 선택합니다.

4단계: 구성 테스트

Route 53 Global Resolver 구성이 올바르게 작동하는지 테스트합니다.

  1. 구성된 CIDR 범위 내의 클라이언트 시스템에서 글로벌 해석기가 제공한 멀티캐스트 IP 주소를 사용하여 DNS 확인을 테스트합니다.

    nslookup example.com <anycast-ip-address>

  2. 합법적인 도메인이 올바르게 확인되는지 확인합니다.

  3. 차단된 도메인이 제대로 필터링되었는지 테스트합니다. 테스트 도메인으로 사용자 지정 도메인 목록을 생성하여 방화벽 규칙이 올바르게 작동하는지 확인할 수 있습니다. 관리형 도메인 목록에 대한 자세한 내용은 관리형 도메인 목록을 참조하세요.

  4. Route 53 Global Resolver 콘솔에서 쿼리 로그 및 필터링 활동을 확인합니다.

포괄적인 테스트 절차 및 문제 해결은 Route 53 Global Resolver 문제 해결을 참조하세요.

5단계: DNS 활동 모니터링

DNS 활동에 대한 로깅을 구성합니다.

  1. 관찰성 리전을 선택합니다.

  2. 쿼리 로그의 대상을 선택합니다.

포괄적인 테스트 절차 및 문제 해결은 Route 53 Global Resolver 테스트 및 문제 해결을 참조하세요.

6단계: 정리(선택 사항)

테스트 목적으로이 구성을 생성하고 Route 53 Global Resolver를 계속 사용하지 않으려면 지속적인 요금이 부과되지 않도록 리소스를 정리합니다.

  1. Route 53 Global Resolver 콘솔에서 생성한 방화벽 규칙을 삭제합니다.

  2. 생성한 액세스 소스 규칙을 삭제합니다.

  3. DNS 보기를 삭제합니다.

  4. 전역 해석기를 삭제합니다.

중요

이러한 리소스를 삭제하면 리소스를 사용하도록 구성된 모든 클라이언트의 DNS 확인이 중지됩니다. 해석기를 삭제하거나 액세스 규칙을 제거하기 전에 클라이언트 구성을 업데이트합니다.

다음 단계

이제 기본 Route 53 Global Resolver 구성이 있으므로 추가 기능을 살펴볼 수 있습니다.

  • 해석기를 사용하도록 클라이언트 디바이스를 구성합니다(프로덕션에 필요). 글로벌 해석기가 제공하는 멀티캐스트 IP 주소를 사용하도록 클라이언트 DNS 설정을 업데이트합니다.

  • 모니터링 및 규정 준수를 위한 로깅을 설정합니다(프로덕션에 권장). 모니터링 및 분석을 위해 Amazon CloudWatch, Amazon S3 또는 Amazon Data Firehose에 대한 로깅을 구성합니다. 자세한 내용은 단원을 참조하십시오.

  • 내부 도메인에 대한 프라이빗 호스팅 영역 전달을 구성합니다(프라이빗 AWS 리소스가 있는 경우 필수). 자세한 내용은 프라이빗 호스팅 영역 작업을 참조하세요.

  • DNS-over-HTTPS(DoH) 또는 DNS-over-TLS(DoT)를 사용하여 암호화된 DNS 연결을 설정합니다.DoT 자세한 내용은 암호화된 DNS 구성을 참조하세요.

  • 사용자 지정 도메인 목록 및 고급 필터링 규칙을 생성합니다. 자세한 내용은 DNS 필터링을 참조하세요.