¿Cómo configuro y administro el acceso entre cuentas a los recursos de Amazon Route 53?

Solución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Para configurar el acceso entre cuentas, crea una cuenta DNS central y al menos una cuenta de miembro. La cuenta DNS central aloja tu configuración principal de Amazon Route 53, administra las zonas alojadas privadas y controla los puntos de enlace del Solucionador de Route 53. Las cuentas de miembro contienen recursos que requieren acceso a los servicios de DNS desde la cuenta central. Por ejemplo, un recurso de una cuenta de miembro puede requerir la resolución de DNS para los registros de una zona alojada privada de una cuenta central.

Configuración de las cuentas

Sigue estos pasos en las cuentas central y de miembro para configurar el reenvío:

1. En la cuenta central, ejecuta el siguiente comando create-hosted-zone para crear una zona alojada privada con registros:

   aws route53 create-hosted-zone \  
     --name example.internal \  
     --vpc VPCRegion=us-east-1,VPCId=vpc-xxxxx \  
     --caller-reference $(date +%s)

   Nota: Sustituye example.internalpor el nombre de tu zona alojada y vpc-xxxxx por tu VPCId.
2. En la cuenta central, ejecuta el siguiente comando create-resolver-endpoint para crear un punto de enlace entrante:

   aws route53resolver create-resolver-endpoint \  
     --creator-request-id inbound-endpoint \  
     --direction INBOUND \  
     --ip-addresses \  
        SubnetId=subnet-xxxxx,Ip=10.0.0.10 \  
        SubnetId=subnet-yyyyy,Ip=10.0.1.10 \  
     --security-group-ids sg-xxxxx

   Nota: Sustituye subnet-xxxxx y subnet-yyyyy por tus ID de subred, 10.0.0.10 y 10.0.1.10 por tus direcciones IP y sg-xxxxx por el ID de tu grupo de seguridad.
3. En la cuenta de miembro, ejecuta el siguiente comando create-resolver-endpoint para crear un punto de enlace saliente:

   aws route53resolver create-resolver-endpoint \  
     --creator-request-id outbound-endpoint \  
     --direction OUTBOUND \  
     --ip-addresses \  
        SubnetId=subnet-xxxxx \  
        SubnetId=subnet-yyyyy \  
     --security-group-ids sg-yyyyy

   Nota: Sustituye subnet-xxxxx y subnet-yyyyy por tus ID de subred y sg-xxxxx por el ID de tu grupo de seguridad.
4. En la cuenta de miembro, ejecuta el siguiente comando create-resolver-rule para crear una regla de resolución saliente: 

   aws route53resolver create-resolver-rule \  
     --creator-request-id rule1 \  
     --domain-name example.internal \  
     --rule-type FORWARD \  
     --resolver-endpoint-id rslvr-endpoint-id \  
     --target-ips Ip=10.0.0.10

   Nota: Sustituye rule1 por el nombre de tu regla, example.internal por el nombre de tu zona alojada, rslvr-endpoint-id por el ID de punto de enlace de tu solucionador y 10.0.0.10 por tu dirección IP.

Uso de un perfil de Amazon Route 53 para compartir recursos

También puedes usar un perfil de Amazon Route 53 para compartir tu zona alojada privada o las reglas de salida del solucionador. 

Sigue estos pasos:

1. Crea un perfil de Route 53 en la cuenta central.
2. Asocia tu zona alojada privada o regla del solucionador a tu perfil de Route 53.
3. Utiliza AWS Resource Access Manager (AWS RAM) para compartir el perfil de Route 53 con su cuenta de miembro.
4. Asocia tu Amazon VPC al perfil de Route 53 que está en tu cuenta de miembro.

Uso de Amazon VPC para compartir recursos

Puedes permitir que los recursos de Amazon Virtual Private Cloud (Amazon VPC) de una cuenta de miembro accedan a los registros de zonas alojadas privadas de tu cuenta central. 

Sigue estos pasos:

1. Crea una zona alojada privada en la cuenta central.
2. Asocia la zona alojada privada a una Amazon VPC en la cuenta de miembro.

Uso de la RAM de AWS para compartir las reglas del solucionador y los recursos de AWS

Puedes usar la RAM de AWS para compartir las reglas del solucionador y los recursos de AWS desde tu cuenta central.

También puedes compartir las reglas del solucionador en varias cuentas que formen parte de AWS Organizations o de una unidad organizativa (OU). En lugar de hacer una enumeración de cada cuenta, utiliza la RAM de AWS para compartir una regla de salida del solucionador con AWS Organizations.

Sigue estos pasos en tu cuenta central:

1. Ejecuta el siguiente comando enable-sharing-with-aws-organization para configurar la RAM de AWS:

   aws ram enable-sharing-with-aws-organization

2. Ejecuta el siguiente comando create-resource-share para crear un recurso compartido para tu regla del solucionador:

   aws ram create-resource-share \  
     --name "dns-share" \  
     --resource-arns arn:aws:route53resolver:region:account-id:resolver-rule/resolver-rule  
     --principals arn:aws:organizations::account-id:organization/o-xxxxxxxxxx

   Nota: Sustituye dns-share por el nombre de tu recurso compartido, region por tu región, account-id por tu ID de cuenta, resolver-rule por tu regla del solucionador y o-xxxxxxxxxx por tu organización.

Asociación de una regla de salida del solucionador a una VPC de tu cuenta de miembro

Sigue estos pasos:

1. Abre la consola de Route 53.
2. En el panel de navegación, selecciona Reglas.
3. Selecciona la región de AWS en la que hayas creado la regla.
4. Selecciona la regla que quieres asociar a una VPC.
5. Elige Asociar VPC.
6. En VPC que usan esta regla, selecciona la VPC.
7. Elige Agregar.