기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Route 53 Global Resolver에 대한 계정 액세스 설정
Route 53 Global Resolver 사용을 시작하기 전에 Route 53 Global Resolver 리소스에 액세스하려면 AWS 계정과 적절한 권한이 필요합니다. 여기에는 필요한 권한이 있는 IAM 사용자 및 역할 생성이 포함됩니다.
이 섹션에서는 Route 53 Global Resolver에 액세스하도록 사용자 및 역할을 구성하는 데 필요한 단계를 안내합니다.
정책 및 역할 생성
팀이 Route 53 Global Resolver 리소스를 배포하고 관리할 수 있도록 AWS Identity and Access Management(IAM) 권한을 구성합니다. 구성 모니터링 및 보기에 대한 전체 액세스 권한 또는 읽기 전용 권한에 관리 권한을 사용할 수 있습니다.
모든 Route 53 Global Resolver API 작업에는 적절한 IAM 권한이 필요합니다. 필요한 권한이 없는 경우 API 호출은 AccessDeniedException (401) 또는 UnauthorizedException (401) 오류를 반환합니다.
관리 권한
Route 53 Global Resolver를 처음 설정하거나 서비스의 모든 측면을 관리하는 경우 관리 권한이 필요합니다. 다음과 같은 AWS 관리형 정책을 사용할 수 있습니다.
-
AmazonRoute53GlobalResolverFullAccess- 글로벌 해석기, DNS 보기, 방화벽 규칙 및 도메인 목록 생성, 업데이트 및 삭제를 포함하여 Route 53 Global Resolver 리소스에 대한 전체 액세스 권한을 제공합니다. -
AmazonRoute53FullAccess- 프라이빗 호스팅 영역 전달을 사용하려는 경우 필요합니다. -
CloudWatchLogsFullAccess- Amazon CloudWatch로 로그를 보내려는 경우 필요합니다. -
AmazonS3FullAccess- Amazon S3에서 방화벽 도메인 목록을 가져오거나 Amazon S3로 로그를 보내려는 경우 필요합니다.
읽기 전용 권한
Route 53 Global Resolver 구성 및 로그만 확인해야 하는 경우 다음 AWS 관리형 정책을 사용할 수 있습니다.
-
AmazonRoute53GlobalResolverReadOnlyAccess- 글로벌 해석기, DNS 보기, 방화벽 규칙, 도메인 목록 및 액세스 소스 보기를 포함하여 Route 53 Global Resolver 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. -
AmazonRoute53ReadOnlyAccess- 프라이빗 호스팅 영역 연결을 보는 데 필요합니다. -
CloudWatchReadOnlyAccess- Amazon CloudWatch에서 로그를 보는 데 필요합니다. -
AmazonS3ReadOnlyAccess- Amazon S3에 저장된 방화벽 도메인 목록 파일을 보는 데 필요합니다.
네트워크 고려 사항
Route 53 Global Resolver를 구현하기 전에 다음 네트워크 요구 사항을 고려하세요.
- 클라이언트 IP 범위
-
이는 액세스 소스 기반 인증을 사용할 때만 필요합니다. Route 53 Global Resolver를 사용할 모든 클라이언트의 IP 주소 범위(CIDR 블록)를 식별합니다. 액세스 소스에 대한 규칙을 구성하려면이 값이 필요합니다.
- DNS 프로토콜
-
클라이언트가 사용할 DNS 프로토콜을 결정합니다.
-
Do53 - 포트 53을 통한 표준 DNS(UDP/TCP)
-
DoH - 암호화된 쿼리에 대한 DNS-over-HTTPS
-
DoT - 암호화된 쿼리에 대한 DNS-over-TLS
-
- 방화벽 및 보안 그룹
-
네트워크 방화벽 및 보안 그룹이 적절한 포트(Do53의 경우 53, DoH의 경우 443, DoT의 경우 853)의 Route 53 Global Resolver 멀티캐스트 IP 주소로의 아웃바운드 트래픽을 허용하는지 확인합니다. Do53 DoH DoT