View a markdown version of this page

Configuration de l'accès au compte pour Route 53 Global Resolver - Amazon Route 53
Création de politiques et de rôlesConsidérations relatives au réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l'accès au compte pour Route 53 Global Resolver

Avant de commencer à utiliser Route 53 Global Resolver, vous avez besoin d'un AWS compte et des autorisations appropriées pour accéder aux ressources de Route 53 Global Resolver. Cela inclut la création d'utilisateurs et de rôles IAM dotés des autorisations nécessaires.

Cette section vous guide à travers les étapes nécessaires à la configuration des utilisateurs et des rôles pour accéder à Route 53 Global Resolver.

Création de politiques et de rôles

Configurez les autorisations AWS Identity and Access Management (IAM) afin que votre équipe puisse déployer et gérer les ressources de Route 53 Global Resolver. Vous pouvez utiliser des autorisations administratives pour un accès complet ou des autorisations en lecture seule pour surveiller et visualiser les configurations.

Toutes les opérations de l'API Route 53 Global Resolver nécessitent les autorisations IAM appropriées. Si vous ne disposez pas des autorisations requises, les appels d'API renverront des erreurs AccessDeniedException (401) ou UnauthorizedException (401).

Autorisations administratives

Si vous configurez Route 53 Global Resolver pour la première fois ou si vous gérez tous les aspects du service, vous avez besoin d'autorisations administratives. Vous pouvez utiliser les politiques AWS gérées suivantes :

  • AmazonRoute53GlobalResolverFullAccess- Fournit un accès complet aux ressources du résolveur global Route 53, y compris la création, la mise à jour et la suppression de résolveurs globaux, de vues DNS, de règles de pare-feu et de listes de domaines

  • AmazonRoute53FullAccess- Obligatoire si vous prévoyez d'utiliser la redirection de zone hébergée en mode privé

  • CloudWatchLogsFullAccess- Obligatoire si vous prévoyez d'envoyer des journaux à Amazon CloudWatch

  • AmazonS3FullAccess- Obligatoire si vous prévoyez d'importer des listes de domaines de pare-feu depuis Amazon S3 ou d'envoyer des journaux vers Amazon S3

Read-only autorisations

Si vous avez uniquement besoin de consulter les configurations et les journaux de Route 53 Global Resolver, vous pouvez utiliser les politiques AWS gérées suivantes :

  • AmazonRoute53GlobalResolverReadOnlyAccess- Fournit un accès en lecture seule aux ressources du résolveur global Route 53, y compris l'affichage des résolveurs globaux, des vues DNS, des règles de pare-feu, des listes de domaines et des sources d'accès

  • AmazonRoute53ReadOnlyAccess- Nécessaire pour afficher les associations de zones hébergées privées

  • CloudWatchReadOnlyAccess- Obligatoire pour consulter les journaux sur Amazon CloudWatch

  • AmazonS3ReadOnlyAccess- Nécessaire pour consulter les fichiers de liste de domaines de pare-feu stockés dans Amazon S3

Considérations relatives au réseau

Avant d'implémenter Route 53 Global Resolver, tenez compte des exigences réseau suivantes :

Plages d'adresses IP des clients

Cela n'est requis que lors de l'utilisation de l'authentification basée sur la source d'accès. Identifiez les plages d'adresses IP (blocs CIDR) pour tous les clients qui utiliseront Route 53 Global Resolver. Vous en aurez besoin pour configurer les règles de votre source d'accès.

Protocoles DNS

Déterminez les protocoles DNS que vos clients utiliseront :

  • Do53 - DNS standard sur le port 53 () UDP/TCP

  • DoH - DNS-over-HTTPS pour les requêtes cryptées

  • DoT - DNS-over-TLS pour les requêtes cryptées

Pare-feu et groupes de sécurité

Assurez-vous que les pare-feux et les groupes de sécurité de votre réseau autorisent le trafic sortant vers les adresses IP anycast de Route 53 Global Resolver sur les ports appropriés (53 pour Do53, 443 pour DoH, 853 pour DoT).