Tutorial: Crie seu primeiro resolvedor global do Route 53 - Amazon Route 53
Pré-requisitosEtapa 1: criar um resolvedor globalEtapa 2: criar uma visualização de DNS e configurar a autenticaçãoEtapa 3: configurar as regras de filtragem de DNS (opcional)Etapa 4: testar sua configuraçãoEtapa 5: Monitorando a atividade do DNSEtapa 6: limpar (opcional)Próximas etapas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tutorial: Crie seu primeiro resolvedor global do Route 53

Este guia de introdução demonstra os componentes básicos do Route 53 Global Resolver e, opcionalmente, cria uma configuração simples de filtragem de DNS. Este tutorial aborda os principais conceitos, mas não inclui requisitos de produção, como configuração do cliente, registro em log ou resolução de domínio privado.

Ao terminar, você terá uma configuração básica do Route 53 Global Resolver que pode filtrar consultas de DNS e bloquear domínios maliciosos.

As seções a seguir descrevem como começar rapidamente com a segurança e a filtragem de DNS usando o Route 53 Global Resolver.

Pré-requisitos

Antes de usar o Route 53 Global Resolver, você precisa de uma AWS conta e das permissões apropriadas para acessar, visualizar e editar os componentes do Route 53 Global Resolver. O administrador do sistema deve concluir as etapas eConfigurando o acesso à conta para o Route 53 Global Resolver, em seguida, retornar a este tutorial.

Etapa 1: criar um resolvedor global

Primeiro, crie uma instância de resolução global e selecione as AWS regiões em que ela operará.

  1. Abra o console do Route 53 Global Resolver em https://console.aws.amazon.com/route53globalresolver/.

  2. Escolha Criar resolvedor global.

  3. Em Nome, insira um nome descritivo para seu resolvedor global.

  4. Em Descrição, opcionalmente, insira uma descrição.

  5. Em Regiões, selecione duas ou mais nas Regiões da AWS quais você deseja instanciar o resolvedor global. Escolha as regiões mais próximas de seus clientes para obter um desempenho ideal.

  6. Opcionalmente, adicione tags para ajudar a organizar e gerenciar seus recursos.

  7. Escolha Criar resolvedor global.

Você receberá IPv4 endereços anycast imediatamente que seus clientes poderão usar para entrar em contato com o resolvedor. O processo de criação do resolvedor global leva alguns minutos para ser concluído antes que os endereços se tornem funcionais.

Etapa 2: criar uma visualização de DNS e configurar a autenticação

Crie uma visualização de DNS para organizar seus clientes e configurar a autenticação usando fontes de acesso IP. Este tutorial usa autenticação baseada em IP. Você também pode usar tokens de acesso para protocolos DoH/DOT.

  1. No console do Route 53 Global Resolver, escolha seu resolvedor global.

  2. Escolha Criar visualização de DNS.

  3. Em Nome, insira um nome descritivo para sua visualização de DNS.

  4. Em Descrição, opcionalmente, insira uma descrição.

  5. Escolha Criar visualização de DNS.

  6. Depois que a exibição DNS for criada, escolha Fonte de acesso e, em seguida, Criar fonte de acesso.

  7. Para o bloco CIDR, insira o intervalo de endereços IP dos seus clientes (por exemplo,203.0.113.0/24).

  8. Em Protocolo, escolha Do53 (DNS sobre a porta 53) para configuração básica.

  9. Escolha Criar regra de fonte de acesso.

Etapa 3: configurar as regras de filtragem de DNS (opcional)

Configure regras básicas de filtragem de DNS para bloquear o acesso a domínios maliciosos.

  1. Na visualização do DNS, escolha Regras de firewall e, em seguida, Criar regra de firewall.

  2. Em Nome, insira um nome descritivo para a regra.

  3. Em Prioridade, insira 100 (números mais baixos têm maior prioridade).

  4. Em Ação, escolha Bloquear.

  5. Em Tipo de lista de domínios, escolha Lista de domínios AWS gerenciados.

  6. Em Lista de domínios gerenciados, escolha AmazonGuardDutyThreatListComando e Controle de Malware e Botnet para bloquear domínios maliciosos conhecidos (você pode adicionar outras listas gerenciadas ou criar listas personalizadas posteriormente).

  7. Escolha Criar regra de firewall.

Etapa 4: testar sua configuração

Teste se a configuração do Route 53 Global Resolver está funcionando corretamente.

  1. Em uma máquina cliente dentro do seu intervalo CIDR configurado, teste a resolução de DNS usando os endereços IP anycast fornecidos pelo seu resolvedor global:

    nslookup example.com <anycast-ip-address>

  2. Verifique se os domínios legítimos foram resolvidos corretamente.

  3. Teste se os domínios bloqueados estão filtrados corretamente. Você pode criar uma lista de domínios personalizada com um domínio de teste para verificar se as regras de firewall estão funcionando corretamente. Para obter mais informações sobre listas de domínios gerenciados, consulte Listas de domínios gerenciados.

  4. Verifique o console do Route 53 Global Resolver para ver os registros de consultas e as atividades de filtragem.

Para procedimentos abrangentes de teste e solução de problemas, consulte Solução de problemas do Route 53 Global Resolver.

Etapa 5: Monitorando a atividade do DNS

Configure o registro para sua atividade de DNS.

  1. Escolha uma região de observabilidade.

  2. Selecione o destino para os registros de consulta.

Para procedimentos abrangentes de teste e solução de problemas, consulte Teste e solução de problemas do Route 53 Global Resolver.

Etapa 6: limpar (opcional)

Se você criou essa configuração para fins de teste e não quer continuar usando o Route 53 Global Resolver, limpe os recursos para evitar cobranças contínuas.

  1. No console do Route 53 Global Resolver, exclua todas as regras de firewall que você criou.

  2. Exclua todas as regras da Fonte de Acesso que você criou.

  3. Exclua a visualização do DNS.

  4. Exclua o resolvedor global.

Importante

A exclusão desses recursos interromperá a resolução de DNS para qualquer cliente configurado para usá-los. Atualize as configurações do cliente antes de excluir o resolvedor ou remover as regras de acesso.

Próximas etapas

Agora que você tem uma configuração básica do Route 53 Global Resolver, você pode explorar recursos adicionais:

  • Configure dispositivos cliente para usar seu resolvedor (necessário para produção). Atualize as configurações de DNS do seu cliente para usar os endereços IP anycast fornecidos pelo seu resolvedor global.

  • Configure o registro para monitoramento e conformidade (recomendado para produção). Configure o registro na Amazon CloudWatch, Amazon S3 ou Amazon Data Firehose para monitoramento e análise. Para obter mais informações, consulte .

  • Configure o encaminhamento de zona hospedada privada para domínios internos (necessário se você tiver AWS recursos privados). Para obter mais informações, consulte Como trabalhar com zonas hospedadas privadas.

  • Configure a conectividade DNS criptografada usando DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT). Para obter mais informações, consulte Configurando o DNS criptografado.

  • Crie listas de domínios personalizadas e regras avançadas de filtragem. Para obter mais informações, consulte Filtragem de DNS.