AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
如何配置和管理 Amazon Route 53 资源的跨账户访问权限?
我想配置和管理跨 AWS 账户对 Amazon Route 53 资源的访问权限,例如私有托管区和 Resolver 端点。
解决方案
**注意:**如果您在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误,请参阅 AWS CLI 错误故障排除。此外,请确保您使用的是最新版本的 AWS CLI。
要设置跨账户访问权限,请创建一个中央 DNS 账户和至少一个成员账户。中央 DNS 账户托管您的主 Amazon Route 53 配置,管理私有托管区并控制 Route 53 Resolver 端点。成员账户包含需要从中央账户访问 DNS 服务的资源。例如,成员账户中的资源可能需要对中央账户的私有托管区中的记录进行 DNS 解析。
设置账户
在中央账户和成员账户中完成以下步骤以设置转发:
- 在中央账户中,运行以下 create-hosted-zone 命令以创建包含记录的私有托管区:
注意: 将 example.internal 替换为您的托管区名称,并将 vpc-xxxxx 替换为您的 VPCId。aws route53 create-hosted-zone \ --name example.internal \ --vpc VPCRegion=us-east-1,VPCId=vpc-xxxxx \ --caller-reference $(date +%s) - 在中央账户中,运行以下 create-resolver-endpoint 命令来创建入站端点:
注意: 将 subnet-xxxxx 和 subnet-yyyyy 替换为您的 SubnetID,将 10.0.0.10 和 10.0.1.10 替换为您的 IP 地址,并将 sg-xxxxx 替换为您的 security-group-id。aws route53resolver create-resolver-endpoint \ --creator-request-id inbound-endpoint \ --direction INBOUND \ --ip-addresses \ SubnetId=subnet-xxxxx,Ip=10.0.0.10 \ SubnetId=subnet-yyyyy,Ip=10.0.1.10 \ --security-group-ids sg-xxxxx - 在成员账户中,运行以下 create-resolver-endpoint 命令来创建出站端点:
注意: 将 subnet-xxxxx 和 subnet-yyyyy 替换为您的 SubnetID,并将 sg-xxxxx 替换为您的 security-group-id。aws route53resolver create-resolver-endpoint \ --creator-request-id outbound-endpoint \ --direction OUTBOUND \ --ip-addresses \ SubnetId=subnet-xxxxx \ SubnetId=subnet-yyyyy \ --security-group-ids sg-yyyyy - 在成员账户中,运行以下 create-resolver-rule 命令来创建出站 Resolver 规则:
注意: 将 rule1 替换为您的规则名称,将 example.internal 替换为您的托管区名称,将 rslvr-endpoint-id 替换为您的 resolver-endpoint-id,并将 10.0.0.10 替换为您的 IP 地址。aws route53resolver create-resolver-rule \ --creator-request-id rule1 \ --domain-name example.internal \ --rule-type FORWARD \ --resolver-endpoint-id rslvr-endpoint-id \ --target-ips Ip=10.0.0.10
使用 Amazon Route 53 配置文件共享资源
您还可以使用 Amazon Route 53 配置文件来共享您的私有托管区或出站 Resolver 规则。
完成以下步骤:
- 在中央账户中创建 Route 53 配置文件。
- 将您的私有托管区或 Resolver 规则与您的 Route 53 配置文件相关联。
- 使用 AWS Resource Access Manager (AWS RAM) 与您的成员账户共享 Route 53 配置文件。
- 将 Amazon VPC 关联到您的成员账户中的 Route 53 配置文件。
使用 Amazon VPC 共享资源
您可以允许成员账户中的 Amazon Virtual Private Cloud (Amazon VPC) 资源访问中央账户中的私有托管区记录。
完成以下步骤:
- 在中央账户中创建私有托管区。
- 将私有托管区与成员账户中的 Amazon VPC 进行关联。
使用 AWS RAM 共享 Resolver 规则和 AWS 资源
您可以使用 AWS RAM 从中央账户共享 Resolver 规则和 AWS 资源。
您还可以在属于 AWS Organizations 或位于组织单元 (OU) 中的多个账户之间共享 Resolver 规则。使用 AWS RAM 与 AWS Organizations 共享出站 Resolver 规则,而不是对每个账户进行枚举。
在您的中央账户中完成以下步骤:
-
运行以下 enable-sharing-with-aws-organization 来设置 AWS RAM:
aws ram enable-sharing-with-aws-organization -
运行以下 create-resource-share 命令为 Resolver 规则创建资源共享:
aws ram create-resource-share \ --name "dns-share" \ --resource-arns arn:aws:route53resolver:region:account-id:resolver-rule/resolver-rule --principals arn:aws:organizations::account-id:organization/o-xxxxxxxxxx注意: 将 dns-share 替换为您的资源共享名称,将 region 替换为您的区域,将 account-id 替换为您的 account-id,将 resolver-rule 替换为您的 Resolver 规则,并将 o-xxxxxxxxxx 替换为您的组织。
将出站 Resolver 规则与您的成员账户中的 VPC 进行关联
完成以下步骤:
- 打开 Route 53 控制台。
- 在导航窗格中,选择 Rules(规则)。
- 选择您创建规则的 AWS 区域。
- 选择要与 VPC 关联的规则。
- 选择 Associate VPC(关联 VPC)。
- 在 VPCs that use this rule(使用此规则的 VPC)下,选择 VPC。
- 选择 Add(添加)。
- 语言
- 中文 (简体)
