翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Route 53 Global Resolver の仕組み
Route 53 Global Resolver は、パブリックドメインとプライベートドメイン間のトラフィック分割 DNS 解決を有効にし、 AWS リージョン 選択した 2 つ以上の を通じて を通じて高可用性を提供し、リクエストを傍受して DNS フィルタリングポリシーを適用することで DNS クエリを保護します。このプロセスを理解すると、問題をトラブルシューティングし、パフォーマンス、可用性、セキュリティのためにデプロイを最適化できます。
## クライアントが DNS クエリを実行するとどうなるか
お客様の場所の誰かがドメインをクエリしようとすると、Route 53 Global Resolver は複数のセキュリティレイヤーを介して DNS リクエストを処理します。
DNS クエリ処理には、次のシーケンシャルステップが含まれます。
1. **クエリの受信** - クライアントデバイスは、Route 53 Global Resolver のエニーキャスト IP アドレスに DNS クエリを送信します。エニーキャストルーティングは、クエリを最も近い AWS リージョンに自動的に送信します。
1. **認証** - Route 53 Global Resolver は、設定された認証方法 (DoH/DoT の場合はトークンベース、すべてのプロトコルの場合は IP アクセスソース) を使用してクライアントを認証します。
1. **ポリシー評価** - サービスは、設定されたセキュリティポリシーとドメインリストに対して DNS クエリを評価し、適切なアクション (許可、ブロック、またはアラート) を決定します。プライベートホストゾーンをターゲットとするクエリの場合、Route 53 Global Resolver は、解決に進む前に、管理者が管理する DNS ビュールールに基づいて、クライアントがプライベートドメインにアクセスする権限があるかどうかを確認します。
1. **解決策** - 許可されたクエリの場合、Route 53 Global Resolver は、必要に応じてパブリック DNS リゾルバーまたはプライベートホストゾーン解決を使用して DNS 解決を実行します。
1. **レスポンス配信** - サービスは DNS レスポンスをクライアントに返し、モニタリングと分析のためにクエリの詳細をログに記録します。
## グローバルエニーキャストアーキテクチャ
Route 53 Global Resolver は、エニーキャスト IP アドレスを使用して、グローバルな可用性と自動地理的ルーティングを提供します。
Route 53 Global Resolver は、エニーキャスト IP アドレスを使用して以下を提供します。
+ **自動地理的ルーティング** - DNS クエリは、最適なパフォーマンスを得るために最も近い AWS リージョンに自動的にルーティングされます。
+ **組み込み冗長性** - リージョンが使用できなくなった場合、トラフィックは次に近いリージョンに自動的にフェイルオーバーします。
+ **整合性のある IP アドレス** - クライアントは場所に関係なく同じエニーキャスト IP アドレスを使用し、設定を簡素化します。
## DNS フィルタリングとセキュリティ
Route 53 Global Resolver は、複数のレイヤーを通じて包括的な DNS フィルタリングとセキュリティを提供します。DNS フィルタリングとセキュリティアーキテクチャの図は、認証、ポリシー評価、解決レイヤーを通じてクエリを処理する方法を示しています。
Route 53 Global Resolver は、以下を通じて包括的な DNS セキュリティを提供します。
+ **ドメインベースのフィルタリング** - カスタムドメインリストまたは AWS マネージドドメインリストを使用して、ドメイン名に基づいてクエリをブロックまたは許可します。
+ **脅威インテリジェンスの統合** - AWS マネージド脅威インテリジェンスを活用して、既知の悪意のあるドメインを自動的にブロックします。
+ **高度な脅威検出** - DNS トンネリングの試行とドメイン生成アルゴリズム (DGA) パターンを検出してブロックします。
+ **リアルタイムモニタリング** - セキュリティイベントとポリシー違反のアラートとログを生成します。