Comment associer une zone hébergée privée Route 53 à un VPC sur un autre compte AWS ?

Résolution

Dans la résolution suivante, utilisez l'une des options suivantes pour exécuter les commandes :

• Option 1 : Utiliser l'interface de la ligne de commande AWS (AWS CLI). La résolution utilise deux exemples d'instances Amazon Elastic Compute Cloud (Amazon EC2), l'une dans le compte A et l'autre dans le compte B. Si vous ne possédez pas deux instances Amazon EC2 ou si vous n'avez pas accès au lancement de nouvelles instances EC2, utilisez l'interface de la ligne de commande AWS sur votre ordinateur local. Utilisez les informations d'identification AWS Identity and Access Management (IAM) correctes pour les deux comptes. Pour plus d'informations, consultez la section Utilisation d'un profil nommé activé par IAM Identity Center.
  Remarque : Si vous recevez des erreurs lors de l’exécution des commandes AWS CLI, assurez-vous que vous utilisez la version la plus récente d’AWS CLI.
• Option 2 : AWS CloudShell (sans installer l'interface de ligne de commande AWS).

Remarque : Vous pouvez également utiliser le SDK AWS ou l'API Route 53 pour ce processus.

1.    Connectez-vous à une instance EC2 dans le compte A.

2.    Si vous utilisez l'interface de ligne de commande AWS, exécutez la commande suivante pour mettre à jour la version de l'interface de ligne de commande AWS. Configurez l'interface de ligne de commande AWS pour utiliser les informations d'identification d'un utilisateur AWS Identity and Access Management (IAM) disposant d'un accès à Route 53.

pip3 install awscli --upgrade --user

3.    Dans l'instance EC2 du compte A, exécutez la commande suivante pour répertorier les zones hébergées disponibles. Notez l'ID de zone hébergée du compte A que vous souhaitez associer au compte B.

aws route53 list-hosted-zones

4.    Dans l'instance EC2 du compte A, exécutez la commande suivante. La sortie de commande répertorie les VPC d'autres comptes que vous pouvez associer à votre zone hébergée privée. Les comptes répertoriés dans le résultat de la commande sont ceux pour lesquels vous avez soumis une ou plusieurs demandes CreateVPCAssociationAuthorization.

aws route53 list-vpc-association-authorizations --hosted-zone-id <hosted-zone-id>

Remarque : Si le VPC du compte B n'apparaît pas dans la liste des autorisations d'association de VPC, passez à l'étape 5. S'il apparaît dans la liste, passez à l'étape 6.

5.    Dans l'instance EC2 du compte A, exécutez la commande suivante. Cette commande autorise l'association entre la zone hébergée privée du compte A et le VPC du compte B. Dans la commande suivante, utilisez l'ID de zone hébergée que vous avez obtenu à l'étape précédente. Utilisez la région AWS et l'ID du VPC dans le compte B.

Remarque : Si l'un des scénarios suivants est vrai, utilisez le paramètre --region dans la commande :

• Vous exécutez la commande à partir d'une instance EC2 située dans une autre région.
• Les informations d'identification de l'utilisateur sont associées à une région autre que us-east-1.

aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> --vpc VPCRegion=<region>,VPCId=<vpc-id> --region us-east-1

6.    Connectez-vous à une instance EC2 dans le compte B.

7.    Dans l'instance EC2 du compte B, exécutez la commande suivante. Cette commande crée l'association entre la zone hébergée privée du compte A et le VPC du compte B. Utilisez l'ID de zone hébergée indiqué à l'étape 3. Utilisez la région et l'ID du VPC dans le compte B.

Remarque : Utilisez un utilisateur ou un rôle IAM disposant des autorisations d'API AssociateVPCWithHostedZone et DescribeVpcs pour exécuter la commande suivante dans le compte B.

aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> --vpc VPCRegion=<region>,VPCId=<vpc-id> --region us-east-1

Remarque : L'exemple de sortie peut afficher le statut EN ATTENTE. Cela se produit car le VPC ne peut pas utiliser la zone hébergée privée pour effectuer une résolution DNS. L'association de la zone hébergée privée au VPC et la propagation des modifications peuvent prendre quelques minutes./p>

8.    Il est recommandé de supprimer l'autorisation de l'association après avoir créé l'association. Cette étape vous évite de recréer la même association ultérieurement. Pour supprimer l'autorisation, reconnectez-vous à l'instance EC2 dans le compte A. Exécutez ensuite la commande suivante :

aws route53 delete-vpc-association-authorization --hosted-zone-id <hosted-zone-id>  --vpc VPCRegion=<region>,VPCId=<vpc-id> --region us-east-1

9.    Procédez comme suit pour confirmer l'association du VPC à la zone hébergée privée :

Ouvrez la console Route 53.

Sélectionnez le nom de domaine de la zone hébergée privée.

Vérifiez l'ID VPC associé aux détails de la zone hébergée du compte B.

Les instances EC2 du VPC à partir du compte B peuvent désormais résoudre les enregistrements dans la zone hébergée privée du compte A.

Informations connexes

Utilisation de zones hébergées privées