Configurando o acesso à conta para o Route 53 Global Resolver - Amazon Route 53
Inscreva-se para um Conta da AWSCriar um usuário com acesso administrativoCriação de políticas e funçõesConsiderações sobre a rede

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando o acesso à conta para o Route 53 Global Resolver

Antes de começar a usar o Route 53 Global Resolver, você precisa de uma AWS conta e das permissões apropriadas para acessar os recursos do Route 53 Global Resolver. Isso inclui a criação de usuários e funções do IAM com as permissões necessárias.

Esta seção orienta você pelas etapas necessárias para configurar usuários e funções para acessar o Route 53 Global Resolver.

Inscreva-se para um Conta da AWS

Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.

Para se inscrever em um Conta da AWS

  1. Abra a https://portal.aws.amazon.com/billing/inscrição.

  2. Siga as instruções online.

    Parte do procedimento de inscrição envolve receber uma chamada telefônica ou uma mensagem de texto e inserir um código de verificação pelo teclado do telefone.

    Quando você se inscreve em um Conta da AWS, um Usuário raiz da conta da AWSé criado. O usuário-raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar tarefas que exigem acesso de usuário-raiz.

AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, você pode visualizar a atividade atual da sua conta e gerenciar sua conta acessando https://aws.amazon.com/e escolhendo Minha conta.

Criar um usuário com acesso administrativo

Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS Centro de Identidade do AWS IAM, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.

Proteja seu Usuário raiz da conta da AWS

  1. Faça login Console de gerenciamento da AWScomo proprietário da conta escolhendo Usuário raiz e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha.

    Para obter ajuda ao fazer login usando o usuário-raiz, consulte Fazer login como usuário-raiz no Guia do usuário do Início de Sessão da AWS .

  2. Habilite a autenticação multifator (MFA) para o usuário-raiz.

    Para obter instruções, consulte Habilitar um dispositivo de MFA virtual para seu usuário Conta da AWS raiz (console) no Guia do usuário do IAM.

Criar um usuário com acesso administrativo

  1. Habilita o Centro de Identidade do IAM.

    Para obter instruções, consulte Habilitar o Centro de Identidade do AWS IAM no Guia do usuário do Centro de Identidade do AWS IAM .

  2. No Centro de Identidade do IAM, conceda o acesso administrativo a um usuário.

    Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM no Guia Centro de Identidade do AWS IAM do usuário.

Iniciar sessão como o usuário com acesso administrativo

  • Para fazer login com o seu usuário do Centro de Identidade do IAM, use o URL de login enviado ao seu endereço de e-mail quando o usuário do Centro de Identidade do IAM foi criado.

    Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como fazer login no portal de AWS acesso no Guia Início de Sessão da AWS do usuário.

Atribuir acesso a usuários adicionais

  1. No Centro de Identidade do IAM, crie um conjunto de permissões que siga as práticas recomendadas de aplicação de permissões com privilégio mínimo.

    Para obter instruções, consulte Criar um conjunto de permissões no Guia do usuário do Centro de Identidade do AWS IAM .

  2. Atribua usuários a um grupo e, em seguida, atribua o acesso de logon único ao grupo.

    Para obter instruções, consulte Adicionar grupos no Guia do usuário do Centro de Identidade do AWS IAM .

Criação de políticas e funções

Configure as permissões do AWS Identity and Access Management (IAM) para que sua equipe possa implantar e gerenciar os recursos do Route 53 Global Resolver. Você pode usar permissões administrativas para acesso total ou permissões somente de leitura para monitorar e visualizar configurações.

Todas as operações da API do Route 53 Global Resolver exigem permissões apropriadas do IAM. Se você não tiver as permissões necessárias, as chamadas de API retornarão AccessDeniedException erros (401) ou UnauthorizedException (401).

Permissões administrativas

Se você estiver configurando o Route 53 Global Resolver pela primeira vez ou gerenciando todos os aspectos do serviço, precisará de permissões administrativas. Você pode usar essas políticas AWS gerenciadas:

  • AmazonRoute53GlobalResolverFullAccess- Fornece acesso total aos recursos do Route 53 Global Resolver, incluindo criação, atualização e exclusão de resolvedores globais, visualizações de DNS, regras de firewall e listas de domínio

  • AmazonRoute53FullAccess- Obrigatório se você planeja usar o encaminhamento de zona hospedada privada

  • CloudWatchLogsFullAccess- Obrigatório se você planeja enviar registros para a Amazon CloudWatch

  • AmazonS3FullAccess- Obrigatório se você planeja importar listas de domínios de firewall do Amazon S3 ou enviar registros para o Amazon S3

Permissões de somente leitura

Se você só precisar visualizar as configurações e os registros do Route 53 Global Resolver, poderá usar estas políticas AWS gerenciadas:

  • AmazonRoute53GlobalResolverReadOnlyAccess- Fornece acesso somente de leitura aos recursos do Route 53 Global Resolver, incluindo visualização de resolvedores globais, visualizações de DNS, regras de firewall, listas de domínios e fontes de acesso

  • AmazonRoute53ReadOnlyAccess- Necessário para visualizar associações de zonas hospedadas privadas

  • CloudWatchReadOnlyAccess- Necessário para visualizar registros na Amazon CloudWatch

  • AmazonS3ReadOnlyAccess- Necessário para visualizar os arquivos da lista de domínios do firewall armazenados no Amazon S3

Considerações sobre a rede

Antes de implementar o Route 53 Global Resolver, considere os seguintes requisitos de rede:

Intervalos de IP do cliente

Isso só é necessário ao usar a autenticação baseada na fonte de acesso. Identifique os intervalos de endereços IP (blocos CIDR) para todos os clientes que usarão o Route 53 Global Resolver. Você precisará deles para configurar regras para sua fonte de acesso.

Protocolos DNS

Determine quais protocolos DNS seus clientes usarão:

  • Do53 - DNS padrão pela porta 53 (UDP/TCP)

  • DoH - DNS-over-HTTPS para consultas criptografadas

  • DoT - DNS-over-TLS para consultas criptografadas

Firewall e grupos de segurança

Garanta que seus firewalls de rede e grupos de segurança permitam tráfego de saída para endereços IP anycast do Route 53 Global Resolver nas portas apropriadas (53 para Do53, 443 para DoH, 853 para DoT).