本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Route 53 Global Resolver 设置账户访问权限
<a name="gr-setting-up"></a>

在开始使用 Route 53 Global Resolver 之前，您需要一个 Amazon 账户和相应的权限才能访问 Route 53 全球解析器资源。这包括创建具有必要权限的 IAM 用户和角色。

本节将指导您完成配置用户和角色以访问 Route 53 Global Resolver 所需的步骤。

**Topics**
+ [注册获取 Amazon Web Services 账户](#sign-up-for-aws)
+ [保护 IAM 用户](#secure-an-admin)
+ [创建策略和角色](#gr-setting-up-permissions)
+ [网络注意事项](#gr-setting-up-network)

## 注册获取 Amazon Web Services 账户
<a name="sign-up-for-aws"></a>

如果您没有 Amazon Web Services 账户，请完成以下步骤来创建一个。

**要注册 Amazon Web Services 账户**

1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.amazonaws.cn/billing/signup)

1. 按照屏幕上的说明操作。

   在注册时，将接到电话或收到短信，要求使用电话键盘输入一个验证码。

   当您注册时 Amazon Web Services 账户，就会创建*Amazon Web Services 账户根用户*一个。根用户有权访问该账户中的所有 Amazon Web Services 服务 和资源。作为最佳安全实践，请为用户分配管理访问权限，并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

Amazon 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://www.amazonaws.cn/)并选择 “**我的账户”，查看当前账户活动并管理您的账户**。

## 保护 IAM 用户
<a name="secure-an-admin"></a>

注册后 Amazon Web Services 账户，开启多重身份验证 (MFA)，保护您的管理用户。有关说明，请参阅《IAM 用户指南》**中的 [为 IAM 用户启用虚拟 MFA 设备（控制台）](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-iam-user)。

要允许其他用户访问您的 Amazon Web Services 账户 资源，请创建 IAM 用户。为了保护您的 IAM 用户，请启用 MFA 并仅向 IAM 用户授予执行任务所需的权限。

有关创建和保护 IAM 用户的更多信息，请参阅《IAM 用户指南》中的以下主题：**
+ [在你的 IAM 用户中创建 Amazon Web Services 账户](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_users_create.html)
+ [适用于 Amazon 资源的访问权限管理](https://docs.amazonaws.cn/IAM/latest/UserGuide/access.html)
+ [基于 IAM 身份的策略示例](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_examples.html)

## 创建策略和角色
<a name="gr-setting-up-permissions"></a>

配置 Amazon 身份和访问管理 (IAM) 权限，以便您的团队可以部署和管理 Route 53 全球解析器资源。您可以使用管理权限获得完全访问权限，也可以使用只读权限来监视和查看配置。

所有 Route 53 全球解析器 API 操作都需要适当的 IAM 权限。如果您没有所需的权限，API 调用将返回 `AccessDeniedException` (401) 或 `UnauthorizedException` (401) 错误。

### 管理权限
<a name="gr-setting-up-permissions-admin"></a>

如果您是首次设置 Route 53 Global Resolver 或管理服务的各个方面，则需要管理权限。您可以使用以下 Amazon 托管策略：
+ `AmazonRoute53GlobalResolverFullAccess`-提供对 Route 53 全球解析器资源的完全访问权限，包括创建、更新和删除全局解析器、DNS 视图、防火墙规则和域列表
+ `AmazonRoute53FullAccess`-如果您计划使用私有托管区域转发，则为必填项
+ `CloudWatchLogsFullAccess`-如果您计划向 Amazon 发送日志，则为必填项 CloudWatch
+ `AmazonS3FullAccess`-如果您计划从 Amazon S3 导入防火墙域列表或向 Amazon S3 发送日志，则为必填项

### 只读权限
<a name="gr-setting-up-permissions-readonly"></a>

如果您只需要查看 Route 53 Global Resolver 的配置和日志，则可以使用以下 Amazon 托管策略：
+ `AmazonRoute53GlobalResolverReadOnlyAccess`-提供对 Route 53 全球解析器资源的只读访问权限，包括查看全局解析器、DNS 视图、防火墙规则、域列表和访问源
+ `AmazonRoute53ReadOnlyAccess`-需要查看私有托管区域关联
+ `CloudWatchReadOnlyAccess`-需要在 Amazon 中查看日志 CloudWatch
+ `AmazonS3ReadOnlyAccess`-需要查看存储在 Amazon S3 中的防火墙域列表文件

## 网络注意事项
<a name="gr-setting-up-network"></a>

在实施 Route 53 全球解析器之前，请考虑以下网络要求：

客户端 IP 范围  
只有在使用基于访问源的身份验证时才需要这样做。确定将使用 Route 53 全球解析器的所有客户端的 IP 地址范围（CIDR 块）。您需要这些来配置访问来源的规则。

DNS 协议  
确定您的客户端将使用哪些 DNS 协议：  
+ **Do53-** 端口 53 上的标准 DNS (UDP/TCP)
+ **DoH**- DNS-over-HTTPS 用于加密查询
+ **DoT**- DNS-over-TLS 用于加密查询

防火墙和安全组  
确保您的网络防火墙和安全组允许在相应的端口（Do53 为 53，DoH 为 443，DoH 为 443，交通部为 853，交通部为 853）上的 Route 53 Global Resolver anycast IP 地址的出站流量。