本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Route 53 Global Resolver 的帳戶存取權
<a name="gr-setting-up"></a>

開始使用 Route 53 Global Resolver 之前，您需要 AWS 帳戶和適當的許可才能存取 Route 53 Global Resolver 資源。這包括建立具有必要許可的 IAM 使用者和角色。

本節會引導您完成設定使用者和角色以存取 Route 53 Global Resolver 所需的步驟。

**Topics**
+ [建立政策和角色](#gr-setting-up-permissions)
+ [網路考量](#gr-setting-up-network)

## 建立政策和角色
<a name="gr-setting-up-permissions"></a>

設定 AWS Identity and Access Management (IAM) 許可，讓您的團隊可以部署和管理 Route 53 Global Resolver 資源。您可以使用管理許可進行完整存取，或將唯讀許可用於監控和檢視組態。

所有 Route 53 Global Resolver API 操作都需要適當的 IAM 許可。如果您沒有所需的許可，API 呼叫將傳回 `AccessDeniedException`(401) 或 `UnauthorizedException`(401) 錯誤。

### 管理許可
<a name="gr-setting-up-permissions-admin"></a>

如果您是第一次設定 Route 53 Global Resolver 或管理服務的所有層面，則需要管理許可。您可以使用這些 AWS 受管政策：
+ `AmazonRoute53GlobalResolverFullAccess` - 提供 Route 53 Global Resolver 資源的完整存取權，包括建立、更新和刪除全域解析程式、DNS 檢視、防火牆規則和網域清單
+ `AmazonRoute53FullAccess` - 如果您計劃使用私有託管區域轉送，則為必要項目
+ `CloudWatchLogsFullAccess` - 如果您計劃將日誌傳送至 Amazon CloudWatch，則為必要項目
+ `AmazonS3FullAccess` - 如果您計劃從 Amazon S3 匯入防火牆網域清單或將日誌傳送至 Amazon S3，則為必要項目

### 唯讀許可
<a name="gr-setting-up-permissions-readonly"></a>

如果您只需要檢視 Route 53 Global Resolver 組態和日誌，則可以使用這些 AWS 受管政策：
+ `AmazonRoute53GlobalResolverReadOnlyAccess` - 提供 Route 53 Global Resolver 資源的唯讀存取權，包括檢視全域解析程式、DNS 檢視、防火牆規則、網域清單和存取來源
+ `AmazonRoute53ReadOnlyAccess` - 檢視私有託管區域關聯時需要
+ `CloudWatchReadOnlyAccess` - 在 Amazon CloudWatch 中檢視日誌時需要
+ `AmazonS3ReadOnlyAccess` - 檢視存放在 Amazon S3 中的防火牆網域清單檔案時需要

## 網路考量
<a name="gr-setting-up-network"></a>

在實作 Route 53 Global Resolver 之前，請考慮下列網路需求：

用戶端 IP 範圍  
這只有在使用存取來源型身分驗證時才需要。識別將使用 Route 53 Global Resolver 的所有用戶端的 IP 地址範圍 (CIDR 區塊）。您需要這些來設定存取來源的規則。

DNS 通訊協定  
決定您的用戶端將使用哪些 DNS 通訊協定：  
+ **Do53** - 透過連接埠 53 的標準 DNS (UDP/TCP)
+ **DoH** - 加密查詢的 DNS-over-HTTPS 
+ **DoT** - 加密查詢的 DNS-over-TLS 

防火牆和安全群組  
確保您的網路防火牆和安全群組允許傳出流量到適當連接埠上的 Route 53 Global Resolver 任何廣播 IP 地址 (Do53 為 53，DoH 為 443，DoT 為 853)。