設定 Route 53 Global Resolver 的帳戶存取權 - Amazon Route 53
註冊 AWS 帳戶建立具有管理存取權的使用者建立政策和角色網路考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 Route 53 Global Resolver 的帳戶存取權

開始使用 Route 53 Global Resolver 之前,您需要 AWS 帳戶和適當的許可才能存取 Route 53 Global Resolver 資源。這包括建立具有必要許可的 IAM 使用者和角色。

本節會引導您完成設定使用者和角色以存取 Route 53 Global Resolver 所需的步驟。

註冊 AWS 帳戶

如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。

註冊 AWS 帳戶

  1. 開啟 https://portal.aws.amazon.com/billing/signup

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。

    當您註冊 時 AWS 帳戶,AWS 帳戶根使用者會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 https://aws.amazon.com/ 並選擇我的帳戶,以檢視您目前的帳戶活動並管理帳戶。

建立具有管理存取權的使用者

註冊 後 AWS 帳戶,請保護您的 AWS 帳戶根使用者 AWS IAM Identity Center、啟用和建立管理使用者,如此您就不會將根使用者用於日常任務。

保護您的 AWS 帳戶根使用者

  1. 選擇根使用者並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者AWS 管理主控台身分登入 。在下一頁中,輸入您的密碼。

    如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入

  2. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

    如需說明,請參閱《IAM 使用者指南》中的為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置

建立具有管理存取權的使用者

  1. 啟用 IAM Identity Center。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的啟用 AWS IAM Identity Center

  2. 在 IAM Identity Center 中,將管理存取權授予使用者。

    如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱AWS IAM Identity Center 《 使用者指南》中的使用預設值設定使用者存取 IAM Identity Center 目錄

以具有管理存取權的使用者身分登入

  • 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

    如需使用 IAM Identity Center 使用者登入的說明,請參閱AWS 登入 《 使用者指南》中的登入 AWS 存取入口網站

指派存取權給其他使用者

  1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的建立許可集

  2. 將使用者指派至群組,然後對該群組指派單一登入存取權。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的新增群組

建立政策和角色

設定 AWS Identity and Access Management (IAM) 許可,讓您的團隊可以部署和管理 Route 53 Global Resolver 資源。您可以使用管理許可進行完整存取,或將唯讀許可用於監控和檢視組態。

所有 Route 53 Global Resolver API 操作都需要適當的 IAM 許可。如果您沒有所需的許可,API 呼叫將傳回 AccessDeniedException(401) 或 UnauthorizedException(401) 錯誤。

管理許可

如果您是第一次設定 Route 53 Global Resolver 或管理服務的所有層面,則需要管理許可。您可以使用這些 AWS 受管政策:

  • AmazonRoute53GlobalResolverFullAccess - 提供 Route 53 Global Resolver 資源的完整存取權,包括建立、更新和刪除全域解析程式、DNS 檢視、防火牆規則和網域清單

  • AmazonRoute53FullAccess - 如果您計劃使用私有託管區域轉送,則為必要項目

  • CloudWatchLogsFullAccess - 如果您打算將日誌傳送至 Amazon CloudWatch,則為必要項目

  • AmazonS3FullAccess - 如果您打算從 Amazon S3 匯入防火牆網域清單或將日誌傳送至 Amazon S3,則為必要項目

唯讀許可

如果您只需要檢視 Route 53 Global Resolver 組態和日誌,則可以使用這些 AWS 受管政策:

  • AmazonRoute53GlobalResolverReadOnlyAccess - 提供 Route 53 Global Resolver 資源的唯讀存取權,包括檢視全域解析程式、DNS 檢視、防火牆規則、網域清單和存取來源

  • AmazonRoute53ReadOnlyAccess - 檢視私有託管區域關聯時需要

  • CloudWatchReadOnlyAccess - 在 Amazon CloudWatch 中檢視日誌時需要

  • AmazonS3ReadOnlyAccess - 檢視存放在 Amazon S3 中的防火牆網域清單檔案時需要

網路考量

在實作 Route 53 Global Resolver 之前,請考慮下列網路需求:

用戶端 IP 範圍

這只有在使用存取來源型身分驗證時才需要。識別將使用 Route 53 Global Resolver 的所有用戶端的 IP 地址範圍 (CIDR 區塊)。您需要這些來設定存取來源的規則。

DNS 通訊協定

判斷您的用戶端將使用哪些 DNS 通訊協定:

  • Do53 - 透過連接埠 53 的標準 DNS (UDP/TCP)

  • DoH - 加密查詢的 DNS-over-HTTPS

  • 加密查詢的 DoT - DNS-over-TLS

防火牆和安全群組

確保您的網路防火牆和安全群組允許傳出流量到適當連接埠上的 Route 53 Global Resolver 任何廣播 IP 地址 (Do53 為 Do53 DoH 為 443,DoT 為 853)。