管理您自己的域列表 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理您自己的域列表

您可以创建自己的域列表,以指定您无法在托管域列表产品中找到或您希望自行处理的域类别。

除了本节中介绍的步骤之外,您还可以在控制台中创建或更新规则时,在 Route 53 解析器 DNS 防火墙规则管理的上下文中创建域列表。

您的域列表中的每个域规范必须满足以下要求:

  • 它可以选择从*(星号).

  • 除了可选的起始星号之外,它必须只包含以下字符:A-Za-z0-9-(连字符)。

  • 它的长度必须介于 1-255 个字符之间。

当您对 DNS 防火墙实体(如规则和域列表)进行更改时,DNS 防火墙会在存储和使用实体的任何位置传播更改。您的更改将在几秒钟内应用,但是当更改到达某些位置而不是到达其他位置时,可能会有短暂的不一致时间。因此,例如,如果您将域添加到阻止规则引用的域列表中,则新域可能会在 VPC 的一个区域中暂时阻止,而仍允许在另一个区域中。当您首次配置规则组和 VPC 关联以及更改现有设置时,可能会出现此临时不一致。通常,这种类型的任何不一致都只持续几秒钟。

在生产中使用域列表之前测试您的域名列表

最佳做法是在生产中使用域列表之前,请在非生产环境中对其进行测试,并将规则操作设置为Alert. 使用 Amazon CloudWatch 指标和处理程序日志评估规则。日志为所有警报和阻止操作提供域列表名称。如果您对域列表与您的 DNS 查询匹配感到满意,请根据需要更改规则操作设置。有关 CloudWatch 指标和查询日志的信息,请参阅使用 Amazon CloudWatch 监控 Route 53 Resolver DNS 防火墙规则组显示在解析程序查询日志中的值, 和管理解析器查询日志记录配置.

添加域列表

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

    - 或者 -

    登录到Amazon Web Services Management Console,打开

    在 Amazon VPC 控制台中登录。https://console.aws.amazon.com/vpc/.

  2. 选择域列表. 在域列表页面上,您可以选择并编辑现有域列表,也可以添加自己的域列表。

  3. 若要添加域列表,请选择添加域列表.

  4. 为您的域列表提供一个名称,然后在文本框中输入域规范,每行一个。

    如果您滑动切换到批量上传上的中,输入您在其中创建了域列表的 Amazon S3 存储桶的 URI。此域列表每行应有一个域名。

  5. 选择添加域列表. 这些区域有:域列表页面会列出您的新域名列表。

创建域列表后,您可以从 DNS 防火墙规则中按名称引用域列表。

删除 DNS 防火墙实体

当您删除可以在 DNS 防火墙中使用的实体(例如规则组中可能正在使用的域列表或可能与 VPC 关联的规则组)时,DNS 防火墙将检查该实体当前是否正在使用。如果发现它正在使用,DNS 防火墙会警告您。DNS 防火墙几乎总能确定实体是否正在使用中。但是在极少数情况下,它可能无法执行此操作。如果您需要确保当前没有任何使用实体,请在删除它之前先在 DNS Firewall 配置中进行检查。如果实体是引用的域列表,请检查是否没有规则组正在使用它。如果实体是规则组,请检查它是否未与任何 VPC 关联。

删除域列表

  1. 在导航窗格中,选择域列表.

  2. 在导航栏中,选择域列表的区域。

  3. 选择要删除的域列表,然后选择Delete,然后确认删除。