本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 Route 53 Global Resolver 的帳戶存取權
開始使用 Route 53 Global Resolver 之前,您需要 AWS 帳戶和適當的許可才能存取 Route 53 Global Resolver 資源。這包括建立具有必要許可的 IAM 使用者和角色。
本節會引導您完成設定使用者和角色以存取 Route 53 Global Resolver 所需的步驟。
**Topics**
+ [註冊 AWS 帳戶](#sign-up-for-aws)
+ [建立具有管理存取權的使用者](#create-an-admin)
+ [建立政策和角色](#gr-setting-up-permissions)
+ [網路考量](#gr-setting-up-network)
## 註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**,以檢視您目前的帳戶活動並管理帳戶。
## 建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護您的 AWS 帳戶根使用者 AWS IAM Identity Center、啟用和建立管理使用者,如此您就不會將根使用者用於日常任務。
**保護您的 AWS 帳戶根使用者**
1. 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中,輸入您的密碼。
如需使用根使用者登入的說明,請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**建立具有管理存取權的使用者**
1. 啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**指派存取權給其他使用者**
1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 將使用者指派至群組,然後對該群組指派單一登入存取權。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 建立政策和角色
設定 AWS Identity and Access Management (IAM) 許可,讓您的團隊可以部署和管理 Route 53 Global Resolver 資源。您可以使用管理許可進行完整存取,或將唯讀許可用於監控和檢視組態。
所有 Route 53 Global Resolver API 操作都需要適當的 IAM 許可。如果您沒有所需的許可,API 呼叫將傳回 `AccessDeniedException`(401) 或 `UnauthorizedException`(401) 錯誤。
### 管理許可
如果您是第一次設定 Route 53 Global Resolver 或管理服務的所有層面,則需要管理許可。您可以使用這些 AWS 受管政策:
+ `AmazonRoute53GlobalResolverFullAccess` - 提供 Route 53 Global Resolver 資源的完整存取權,包括建立、更新和刪除全域解析程式、DNS 檢視、防火牆規則和網域清單
+ `AmazonRoute53FullAccess` - 如果您計劃使用私有託管區域轉送,則為必要項目
+ `CloudWatchLogsFullAccess` - 如果您打算將日誌傳送至 Amazon CloudWatch,則為必要項目
+ `AmazonS3FullAccess` - 如果您打算從 Amazon S3 匯入防火牆網域清單或將日誌傳送至 Amazon S3,則為必要項目
### 唯讀許可
如果您只需要檢視 Route 53 Global Resolver 組態和日誌,則可以使用這些 AWS 受管政策:
+ `AmazonRoute53GlobalResolverReadOnlyAccess` - 提供 Route 53 Global Resolver 資源的唯讀存取權,包括檢視全域解析程式、DNS 檢視、防火牆規則、網域清單和存取來源
+ `AmazonRoute53ReadOnlyAccess` - 檢視私有託管區域關聯時需要
+ `CloudWatchReadOnlyAccess` - 在 Amazon CloudWatch 中檢視日誌時需要
+ `AmazonS3ReadOnlyAccess` - 檢視存放在 Amazon S3 中的防火牆網域清單檔案時需要
## 網路考量
在實作 Route 53 Global Resolver 之前,請考慮下列網路需求:
用戶端 IP 範圍
這只有在使用存取來源型身分驗證時才需要。識別將使用 Route 53 Global Resolver 的所有用戶端的 IP 地址範圍 (CIDR 區塊)。您需要這些來設定存取來源的規則。
DNS 通訊協定
判斷您的用戶端將使用哪些 DNS 通訊協定:
+ **Do53** - 透過連接埠 53 的標準 DNS (UDP/TCP)
+ **DoH** - 加密查詢的 DNS-over-HTTPS
+ 加密查詢的 **DoT** - DNS-over-TLS
防火牆和安全群組
確保您的網路防火牆和安全群組允許傳出流量到適當連接埠上的 Route 53 Global Resolver 任何廣播 IP 地址 (Do53 為 Do53 DoH 為 443,DoT 為 853)。