翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項
AWS リージョンでインバウンドおよびアウトバウンドの Resolver エンドポイントを作成する前に、次の問題を考慮してください。
**Topics**
+ [各リージョンのインバウンドエンドポイントおよびアウトバウンドエンドポイントの数](#resolver-considerations-number-of-endpoints)
+ [インバウンドエンドポイントとアウトバウンドエンドポイントに同じ VPC を使用する](#resolver-considerations-same-vpc-inbound-outbound)
+ [インバウンドエンドポイントとプライベートホストゾーン](#resolver-considerations-inbound-endpoint-private-zone)
+ [VPC ピアリング接続](#resolver-considerations-vpc-peering)
+ [共有サブネット内の IP アドレス](#resolver-considerations-shared-subnets)
+ [ネットワークとエンドポイントを作成する VPC との間の接続](#resolver-considerations-connection-between-network-and-vpcs)
+ [ルールを共有すると、アウトバウンドエンドポイントも共有されます。](#resolver-considerations-share-rules-share-outbound-endpoints)
+ [エンドポイントのプロトコルの選択](#resolver-endpoint-protocol-considerations)
+ [専用インスタンステナンシー用に設定された VPC での VPCs リゾルバーの使用](#resolver-considerations-dedicated-instance-tenancy)
## 各リージョンのインバウンドエンドポイントおよびアウトバウンドエンドポイントの数
AWS リージョン内の VPCs の DNS をネットワークの DNS と統合する場合は、通常、1 つの Resolver インバウンドエンドポイント (VPCs に転送する DNS クエリの場合) と 1 つのアウトバウンドエンドポイント (VPCs からネットワークに転送するクエリの場合) が必要です。複数のインバウンドエンドポイントとアウトバウンドエンドポイントを作成できますが、それぞれの方向のDNS クエリを処理するために1つのインバウンドまたはアウトバウンドエンドポイントで十分です。次の点に注意してください。
+ 各 Resolver エンドポイントのために、それぞれ異なるアベイラビリティーゾーンで 2 つ以上の IP アドレスを指定します。エンドポイント内の各 IP アドレスは、1 秒間に多数の DNS クエリを処理できます。(エンドポイントの IP アドレスあたりの 1 秒あたりのクエリの現在の最大数については、「[Route 53 VPC リゾルバーのクォータ](DNSLimitations.md#limits-api-entities-resolver)」を参照してください) VPC Resolver でより多くのクエリを処理する必要がある場合は、別のエンドポイントを追加する代わりに、既存のエンドポイントに IP アドレスを追加できます。
+ VPC Resolver の料金は、エンドポイント内の IP アドレスの数と、エンドポイントが処理する DNS クエリの数に基づきます。各エンドポイントに最低 2 つの IP アドレスが含まれています。VPC Resolver の料金の詳細については、[「Amazon Route 53 の料金](https://aws.amazon.com/route53/pricing/)」を参照してください。
+ 各ルールは、DNS クエリの転送元の発信エンドポイントを指定します。 AWS リージョンに複数のアウトバウンドエンドポイントを作成し、一部またはすべての Resolver ルールをすべての VPC に関連付ける場合は、それらのルールのコピーを複数作成する必要があります。
## インバウンドエンドポイントとアウトバウンドエンドポイントに同じ VPC を使用する
インバウンドエンドポイントとアウトバウンドエンドポイントは、同じ VPC 内に作成することも、同じリージョン内の異なる VPC 内に作成することもできます。
詳細については、「[Amazon Route 53 のベストプラクティス](best-practices.md)」を参照してください
## インバウンドエンドポイントとプライベートホストゾーン
VPC Resolver でプライベートホストゾーンのレコードを使用してインバウンド DNS クエリを解決する場合は、プライベートホストゾーンをインバウンドエンドポイントを作成した VPC に関連付けます。プライベートホストゾーンと VPC の関連付けについては、「[プライベートホストゾーンの使用](hosted-zones-private.md)」を参照してください。
## VPC ピアリング接続
選択した VPC が他の VPC とピアリングされているかどうかにかかわらず、インバウンドエンドポイントまたはアウトバウンドエンドポイントに AWS リージョン内の任意の VPCsを使用できます。詳細については、「[Amazon Virtual Private Cloud VPC Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)」を参照してください。
## 共有サブネット内の IP アドレス
インバウンドまたはアウトバウンドエンドポイントを作成する場合、現在のアカウントで VPC を作成した場合のみ、共有サブネットに IP アドレスを指定できます。別のアカウントで VPC を作成し、VPC のサブネットをアカウントと共有している場合、そのサブネットで IP アドレスを指定することはできません。共有サブネットの詳細については、*Amazon VPC ユーザーガイド*の「[共有 VPC の使用](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)」を参照してください。
## ネットワークとエンドポイントを作成する VPC との間の接続
ネットワークとエンドポイントを作成する VPC との間には、次のいずれかの接続が必要です。
+ **インバウンドエンドポイント** - ネットワークと、インバウンドエンドポイントの作成先の各 VPC との間に [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 接続または [VPN 接続](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)を設定する必要があります。
+ **アウトバウンドエンドポイント** - ネットワークとアウトバウンドエンドポイントを作成する各 VPC の間に [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 接続、[VPN 接続](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)、または[ネットワークアドレス変換 (NAT) ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)を設定する必要があります。
## ルールを共有すると、アウトバウンドエンドポイントも共有されます。
ルールを作成するときは、VPC Resolver が DNS クエリをネットワークに転送するために使用するアウトバウンドエンドポイントを指定します。ルールを別の AWS アカウントと共有する場合、ルールで指定したアウトバウンドエンドポイントも間接的に共有します。複数の AWS アカウントを使用して AWS リージョンに VPCs を作成した場合は、次の操作を実行できます。
+ リージョンにアウトバウンドエンドポイントを 1 つ作成します。
+ 1 つの AWS アカウントを使用してルールを作成します。
+ リージョンで VPCs を作成したすべての AWS アカウントとルールを共有します。
これにより、リージョン内の 1 つのアウトバウンドエンドポイントを使用して、VPC が異なる AWS アカウントを使用して作成された場合でも、複数の VPCs からネットワークに DNS VPCs クエリを転送できます。
## エンドポイントのプロトコルの選択
エンドポイントプロトコルは、データをインバウンドエンドポイントに送信する方法とアウトバウンドエンドポイントから送信する方法を決定します。ネットワーク上のすべてのパケットフローは、送信と配信の前に正しい送信元と送信先を検証するルールに基づいて個別に承認されるため、VPC トラフィックの DNS クエリを暗号化する必要はありません。送信側と受信側の両方から特別な許可されていない限り、情報がエンティティ間で勝手にやり取りされることはほとんどありません。パケットが、一致するルールのない送信先にルーティングされる場合、そのパケットはドロップされます。詳細については、「[Amazon VPC の特徴](https://docs.aws.amazon.com/whitepapers/latest/logical-separation/vpc-and-accompanying-features.html)」を参照してください。
使用可能なプロトコルは次のとおりです。
+ **Do53:** ポート 53 経由の DNS。データは、追加の暗号化なしで VPC リゾルバーを使用してリレーされます。データは外部関係者が読み取ることはできませんが、 AWS ネットワーク内で表示できます。UDP または TCP を使用してパケットを送信します。Do53 は主に Amazon VPC 内およびAmazon VPC 間のトラフィックに使用されます。現在、これは委任インバウンドエンドポイントで使用できる唯一のプロトコルです。
+ **DoH:** データは暗号化された HTTPS セッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化できず、意図した受信者以外はデータを読み取れないというセキュリティレベルを追加します。委任インバウンドエンドポイントでは使用できません。
+ **DoH-FIPS:** データは FIPS 140-2 暗号規格に準拠した暗号化された HTTPS セッションを介して送信されます。インバウンドエンドポイントのみでサポートされます。詳細については、「[FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2)」を参照してください。委任インバウンドエンドポイントでは使用できません。
**転送**タイプのインバウンドエンドポイントには、以下のようにプロトコルを適用できます。
+ Do53 と DoH の組み合わせ。
+ Do53 と DoH-FIPS の組み合わせ。
+ Do53 のみ。
+ DoH のみ。
+ DoH-FIPS のみ。
+ なし。Do53 として扱われます。
アウトバウンドエンドポイントには、以下のようにプロトコルを適用できます。
+ Do53 と DoH の組み合わせ。
+ Do53 のみ。
+ DoH のみ。
+ なし。これは Do53 として扱われます。
「[インバウンドエンドポイントを作成または編集するときに指定する値](resolver-forwarding-inbound-queries-values.md)」および「[アウトバウンドエンドポイントを作成または編集するときに指定する値](resolver-forwarding-outbound-queries-endpoint-values.md)」も参照してください。
## 専用インスタンステナンシー用に設定された VPC での VPCs リゾルバーの使用
Resolver エンドポイントを作成する際、[インスタンスのテナンシー属性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)が `dedicated` に設定されている VPC を指定することはできません。VPC Resolver はシングルテナントハードウェアでは実行されません。
VPC Resolver を使用して、VPC で発生する DNS クエリを解決できます。テナンシーが `default` に設定された VPC を少なくとも 1 つ作成し、インバウンドエンドポイントとアウトバウンドエンドポイントを作成するときに、その VPC を指定します。
移管ルールを作成するときは、インスタンステナンシーの設定に関わらず、任意の VPC に関連付けることができます。