管理您自己的域列表 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

管理您自己的域列表

您可以创建自己的域列表,以指定托管域列表产品中没有找到或您希望自行处理的域类别。

除了本部分中介绍的步骤之外,在控制台中创建或更新规则时,您还可以在 Route 53 Resolver DNS Firewall 规则管理的上下文中创建域列表。

域列表中的每个域规范必须满足以下要求:

  • 它可以选择从 *(星号)开始。

  • 除了可选的起始星号之外,它必须只包含以下字符:A-Za-z0-9-(连字符)。

  • 它的长度必须介于 1 到 255 个字符之间。

当您对 DNS Firewall 实体(如规则和域列表)进行更改时,DNS Firewall 会在存储和使用实体的任何位置传播更改。您的更改将在几秒钟内应用,但是当更改到达某些位置但没有到达其它剩余位置时,可能会短暂地出现不一致的情况。因此,如果您将域添加到阻止规则引用的域列表中,则新域可能会在 VPC 的一个区域中暂时被阻止,而在另一个区域中仍然被允许。当您首次配置规则组和 VPC 关联并更改现有设置时,可能会出现这种临时不一致的情况。通常而言,这种类型的任何不一致情况都只会持续几秒钟。

在生产环境中使用域列表之前对其进行测试

最佳实践是在生产环境中使用域列表之前,请在非生产环境中对其进行测试,并将规则操作设置为 Alert。使用 Amazon CloudWatch 指标和 Resolver 日志评估规则。日志为所有提示和阻止操作提供域列表名称。如果您对域列表与您的 DNS 查询的匹配情况感到满意,请根据需要更改规则操作设置。有关 CloudWatch 指标和查询日志的信息,请参阅 使用 Amazon CloudWatch 监控 Route 53 Resolver DNS Firewall 规则组显示在 Resolver 查询日志中的值管理 Resolver 查询日志记录配置

要添加域列表

  1. 登录 Amazon Web Services Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

    - 或者 -

    登录到 Amazon Web Services Management Console并打开

    Amazon VPC 控制台,地址:https://console.aws.amazon.com/vpc/

  2. 选择 Domain list(域列表)。在 Domain list(域列表)页上,您可以选择并编辑现有域列表,也可以添加自己的域列表。

  3. 要添加域列表,请选择 Add domain list(添加域列表)。

  4. 为您的域列表提供一个名称,然后在文本框中输入域规范,每行一个。

    如果您将 Switch to bulk upload(切换到批量上载)切换为 on(开启),输入您创建域列表所在的 Amazon S3 存储桶 URI。此域列表每行应有一个域名。

  5. 选择 Add domain list(添加域列表)。Domain lists(域列表)页面会列出您的新域列表。

创建域列表后,您可以从 DNS Firewall 规则中按名称引用域列表。

删除 DNS Firewall 实体

当您删除可以在 DNS Firewall 中使用的实体(例如规则组中可能正在使用的域列表或可能与 VPC 关联的规则组)时,DNS Firewall 将检查该实体当前是否正在使用。如果发现它正在使用,DNS Firewall 会警告您。DNS Firewall 几乎每次都能确定实体是否正在使用中。但是在极少数情况下,它可能无法确定。如果您需要确保当前没有任何实体正在使用中,请在删除实体之前先在 DNS Firewall 配置中进行检查。如果实体是引用的域列表,请检查是否有规则组正在使用它。如果实体是规则组,请检查它是否已与任何 VPC 关联。

要删除域列表

  1. 在导航窗格中,选择 Domain lists(域列表)。

  2. 在导航栏中,选择域列表的区域。

  3. 选择要删除的域列表,然后选择 Delete(删除),并确认删除。