本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 當您建立或編輯傳入端點時所指定的值 當您建立或編輯傳入端點時,請指定下列值: **Outpost ID** 如果您要在 VPC 上建立 AWS Outposts VPC 解析程式的端點,這是 AWS Outposts ID。 **Endpoint name (端點名稱)** 易記的名稱可讓您在儀表板中輕鬆找出傳入端點。 **端點類別** 選擇**預設**或**委派**。當類別為**預設**時,您網路上的解析程式會將 DNS 請求轉送至傳入端點的 IP 地址。當類別為**委派**時,網域的授權會委派給 VPC Resolver。 ***區域名稱*區域中的 VPC** 來自您網路的所有傳入 DNS 查詢都會在傳送至 VPC Resolver 的途中通過此 VPC。 **此端點的安全群組** 您想用來控制存取此 VPC 之一或多個安全群組的 ID。您指定的安全群組必須包含一或多個傳入規則。傳入規則必須允許連接埠 53 上的 TCP 和 UDP 存取權限。如果您使用的是 DoH 通訊協定,您也必須在安全群組中允許連接埠 443。建立端點之後,您無法變更此值。 某些安全群組規則會導致追蹤您的連線,而傳入端點的每個 IP 地址每秒的整體查詢上限可能低至 1500。若要避免由安全群組造成的連線追蹤,請參閱[未追蹤連線](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)。 若要新增多個安全群組,請使用 AWS CLI 命令 `create-resolver-endpoint`。如需詳細資訊,請參閱 [create-resolver-endpoint](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html) 如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的 [VPC 安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。 **端點類型** 端點類型可為 IPv4、IPv6 或雙堆疊 IP 地址。對於雙堆疊端點,端點將同時具有 IPv4 和 IPv6 地址,網路上的 DNS 解析程式可將 DNS 查詢轉送至此類地址。 基於安全考量,我們拒絕所有雙堆疊和 IPv6 IP 地址從公有網際網路直接存取 IPv6 流量。 **IP 位址** 您希望您網路上的 DNS 解析程式將 DNS 查詢轉送到這些 IP 地址。我們需要您至少指定兩個 IP 地址以供備援使用。如果您建立了委派傳入端點,請使用這些 IP 地址做為您要將授權委派給 VPC Resolver 之子網域的黏附 NS 記錄。注意下列事項: **多個可用區域** 建議您至少在兩個可用區域中指定 IP 地址。您可以在那些或其他可用區域選擇性指定其他 IP 位址。 **IP 地址和 Amazon VPC 彈性網路介面** 對於您指定的每個可用區域、子網路和 IP 地址組合,VPC Resolver 會建立 Amazon VPC 彈性網路介面。如需了解端點中每個 IP 地址每秒的 DNS 查詢次數的目前上限,請參閱 [Route 53 VPC 解析程式的配額](DNSLimitations.md#limits-api-entities-resolver)。如需每個彈性網路介面的定價的相關資訊,請參閱 [Amazon Route 53 定價頁面](https://aws.amazon.com/route53/pricing/)上的「Amazon Route 53」。 Resolver 端點具有私有 IP 地址。這些 IP 位址在端點的生命週期中不會變更。 針對每個 IP 地址,指定以下值。每個 IP 地址都必須位在您指定之 VPC 的可用區域內,您的 VPC 是在 **VPC in the *region-name* Region (區域名稱區域中的 VPC)** 中指定。 **可用區域** 您希望 DNS 查詢通往 VPC 途中所經過的可用區域。您指定的可用區域必須設定子網路。 **子網路** 子網路,其中包含您要指派給解析程式端點 ENIs IP 地址。這些是您傳送 DNS 查詢的地址。子網路必須擁有可用的 IP 位址。 子網路 IP 地址必須符合**端點類型**。 **IP 位址** 您要指派給傳入端點的 IP 地址。 選擇您希望 VPC Resolver 從指定子網路中的可用 IP 地址中為您選擇 IP 地址,還是想要自行指定 IP 地址。 如果您選擇自行指定 IP 地址,請輸入 IPv4 或 IPv6 地址或兩者。 **通訊協定** 端點協定確定如何將資料傳輸至傳入端點。根據所需的安全層級,選擇協定。 + **Do53:**(預設) 使用 Route 53 VPC Resolver 轉送資料,無需額外加密。雖然外部方無法讀取資料,但可以在 AWS 網路中檢視。這是委派****傳入端點類別目前唯一可用的通訊協定。 + **DoH:**透過加密的 HTTPS 工作階段傳輸資料。DoH 新增了額外的安全層級,未經授權的使用者無法解密資料,並且除預期收件人之外的任何人都無法讀取資料。 + **DoH-FIPS:**透過符合 FIPS 140-2 密碼編譯標準的加密 HTTPS 工作階段傳輸資料。僅支援傳入端點。如需詳細資訊,請參閱 [FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2)。 **注意** 對於 DoH/DoH-FIPS 傳入端點,在 VPC Resolver 查詢日誌中發佈不正確的來源 IP 存在已知問題。 對於傳入端點,您可以按如下方式套用協定: + Do53 和 DOH 組合。 + Do53 和 DoH-FIPS 組合。 + 單獨 Do53。 + 單獨 DoH。 + 單獨 DoH-FIPS。 + 無,視為 Do53。 您無法將傳入端點的協定直接從僅 Do53 變更為僅 DoH 或 DoH-FIPS。這是為了防止依賴 Do53 的傳入流量突然中斷。若要將協定從 Do53 變更為 DoH 或 DoH-FIPS,您必須先同時啟用 Do53 和 DoH,或同時啟用 Do53 和 DoH-FIPS,以確保所有傳入流量都已使用 DoH 協定或 DoH-FIPS 傳輸,然後移除 Do53。 **Tags (標籤)** 指定一或多個金鑰和對應的值。例如,您可以為**金鑰**指定**成本中心**,為**值** 指定 **456**。