Wie konfiguriere und verwalte ich den kontoübergreifenden Zugriff auf Amazon-Route-53-Ressourcen?

Behebung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Erstelle ein zentrales DNS-Konto und mindestens ein Mitgliedskonto, um den kontoübergreifenden Zugriff einzurichten. Das zentrale DNS-Konto hostet die primäre Amazon-Route-53-Konfiguration, verwaltet private gehostete Zonen und steuert Route-53-Resolver-Endpunkte. Mitgliedskonten enthalten Ressourcen, für die der Zugriff auf DNS-Services vom zentralen Konto aus erforderlich ist. Beispielsweise erfordert eine Ressource in einem Mitgliedskonto möglicherweise eine DNS-Auflösung für Datensätze in einer privaten gehosteten Zone in einem zentralen Konto.

Einrichten der Konten

Gehe in den zentralen und Mitgliedskonten wie folgt vor, um die Weiterleitung einzurichten:

1. Führe im zentralen Konto den folgenden Befehl create-hosted-zone aus, um eine private gehostete Zone mit Datensätzen zu erstellen:

   aws route53 create-hosted-zone \  
     --name example.internal \  
     --vpc VPCRegion=us-east-1,VPCId=vpc-xxxxx \  
     --caller-reference $(date +%s)

   Hinweis: Ersetze example.internal durch den Namen deiner gehosteten Zone und vpc-xxxxx durch deine VPCId.
2. Führe im zentralen Konto den folgenden Befehl create-resolver-endpoint aus, um einen eingehenden Endpunkt zu erstellen:

   aws route53resolver create-resolver-endpoint \  
     --creator-request-id inbound-endpoint \  
     --direction INBOUND \  
     --ip-addresses \  
        SubnetId=subnet-xxxxx,Ip=10.0.0.10 \  
        SubnetId=subnet-yyyyy,Ip=10.0.1.10 \  
     --security-group-ids sg-xxxxx

   Hinweis: Ersetze subnet-xxxxx und subnet-yyyyy durch deine SubnetIDs, ersetze 10.0.0.10 and 10.0.1.10 durch deine IP-Adressen und ersetze sg-xxxxx durch deine Sicherheitsgruppen-ID.
3. Führe im Mitgliedskonto den folgenden Befehl create-resolver-endpoint aus, um einen ausgehenden Endpunkt zu erstellen:

   aws route53resolver create-resolver-endpoint \  
     --creator-request-id outbound-endpoint \  
     --direction OUTBOUND \  
     --ip-addresses \  
        SubnetId=subnet-xxxxx \  
        SubnetId=subnet-yyyyy \  
     --security-group-ids sg-yyyyy

   Hinweis: Ersetze subnet-xxxxx and subnet-yyyyy durch deine SubnetIDs und ersetze sg-xxxxx durch deine Sicherheitsgruppen-ID.
4. Führe im Mitgliedskonto den folgenden Befehl create-resolver-rule aus, um eine ausgehende Resolver-Regel zu erstellen: 

   aws route53resolver create-resolver-rule \  
     --creator-request-id rule1 \  
     --domain-name example.internal \  
     --rule-type FORWARD \  
     --resolver-endpoint-id rslvr-endpoint-id \  
     --target-ips Ip=10.0.0.10

   Hinweis: Ersetze rule1 durch den Namen deiner Regel, ersetze example.internal durch den Namen deiner gehosteten Zone, ersetze rslvr-endpoint-id durch deine resolver-endpoint-id und ersetze 10.0.0.10 durch deine IP-Adresse.

Verwenden eines Amazon-Route-53-Profils, um Ressourcen freizugeben

Du kannst auch ein Amazon-Route-53-Profil verwenden, um die Regeln für private gehostete Zonen oder den ausgehenden Resolver freizugeben. 

Führe die folgenden Schritte aus:

1. Erstelle ein Route-53-Profil im zentralen Konto.
2. Ordne deine private gehostete Zone oder Resolver-Regel deinem Route-53-Profil zu.
3. Verwende AWS Resource Access Manager (AWS RAM), um das Route-53-Profil mit deinem Mitgliedskonto zu teilen.
4. Ordne die Amazon VPC dem Route-53-Profil zu, das sich im Mitgliedskonto befindet.

Verwenden der Amazon VPC, um Ressourcen freizugeben

Du kannst Amazon Virtual Private Cloud (Amazon VPC)-Ressourcen in einem Mitgliedskonto gestatten, auf Datensätze privater gehosteter Zonen im zentralen Konto zuzugreifen. 

Führe die folgenden Schritte aus:

1. Erstelle eine private gehostete Zone im zentralen Konto.
2. Ordne die private gehostete Zone der Amazon VPC im Mitgliedskonto zu.

Verwenden von AWS RAM, um Resolver-Regeln und AWS-Ressourcen freizugeben

Du kannst AWS RAM verwenden, um Resolver-Regeln und AWS-Ressourcen vom zentralen Konto aus freizugeben.

Du kannst Resolver-Regeln auch für mehrere Konten freigeben, die Teil von AWS Organizations oder in einer Organisationseinheit (OU) sind. Verwende statt einer Aufzählung jedes Kontos AWS RAM, um eine ausgehende Resolver-Regel mit AWS Organizations zu teilen.

Führe die folgenden Schritte im zentralen Konto aus:

1. Führe die folgende enable-sharing-with-aws-organization aus, um AWS RAM einzurichten:

   aws ram enable-sharing-with-aws-organization

2. Führe den folgenden Befehl create-resource-share aus, um eine Ressourcenfreigabe für die Resolver-Regel zu erstellen:

   aws ram create-resource-share \  
     --name "dns-share" \  
     --resource-arns arn:aws:route53resolver:region:account-id:resolver-rule/resolver-rule  
     --principals arn:aws:organizations::account-id:organization/o-xxxxxxxxxx

   Hinweis: Ersetze dns-share durch deinen Ressourcenfreigabenamen, ersetze region durch deine Region, ersetze account-id durch deine Konto-ID, ersetze resolver-rule durch deine Resolver-Regel und ersetze o-xxxxxxxxxx durch deine Organisation.

Eine ausgehende Resolver-Regel einer VPC im Mitgliedskonto zuordnen

Führe die folgenden Schritte aus:

1. Öffne die Route-53-Konsole.
2. Wähle im Navigationsbereich Regeln aus.
3. Wähle die AWS-Region aus, in der du die Regel erstellt hast.
4. Wähle die Regel aus, die du einer VPC zuordnen möchtest.
5. Wähle VPC zuordnen aus.
6. Wähle unter VPCs, die diese Regel verwenden, die VPC aus.
7. Wähle Hinzufügen aus.