翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# DNS ファイアウォールを使用してアウトバウンド DNS トラフィックをフィルタリングする
Resolver DNS Firewall を使用すると、仮想プライベートクラウド (VPC) のアウトバウンド DNS トラフィックをフィルタリングおよび規制できます。これを行うには、DNS Firewall のルールグループで再利用可能なフィルタリングルールのコレクションを作成し、そのルールグループを VPC に関連付けて、DNS Firewall のログとメトリクスのアクティビティを監視します。アクティビティに基づいて、DNS Firewall の動作を適宜調整できます。
DNS Firewall では、VPC からのアウトバウンド DNS リクエストを保護できます。これらのリクエストは、ドメイン名解決のために VPC Resolver を介してルーティングされます。DNS Firewall による保護の主な用途は、データの DNS 漏洩を防ぐことです。DNS 漏洩は、不正なアクターが VPC 内のアプリケーションインスタンスに侵入し、DNS ルックアップを使用して、VPC のデータを彼らが管理するドメインに送信する際に発生します。DNS Firewall を使用すると、アプリケーションでクエリできるドメインを監視および管理できます。不正であるとわかっているドメインへのアクセスを拒否し、他のすべてのクエリを許可できます。また、確実に信頼できるドメインを除くすべてのドメインへのアクセスを拒否することもできます。
DNS ファイアウォールは、VPC エンドポイント名など、プライベートのホストゾーン (共有またはローカル) 内のリソースに対する解決リクエストをブロックする場合にも使用できます。また、パブリックまたはプライベートの Amazon EC2 インスタンス名のリクエストをブロックすることもできます。
DNS Firewall は Route 53 VPC Resolver の機能であり、使用する追加の VPC Resolver のセットアップは必要ありません。
**AWS Firewall Manager が DNS Firewall をサポート**
Firewall Manager を使用すると、 AWS Organizationsのアカウント全体で VPC 向けの DNS Firewall ルールグループの関連付けを一元的に設定および管理できます。Firewall Manager では、Firewall Manager DNS Firewall ポリシーの対象となる VPC の関連付けが自動的に追加されます。詳細については、、、および デベロッパーガイドの[AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)「」を参照してください。 *AWS WAF AWS Firewall Manager AWS Shield Advanced *
**DNS Firewall と の連携方法 AWS Network Firewall**
DNS Firewall とNetwork Firewall は、どちらもドメイン名のフィルタリングを行いますが、トラフィックの種類は異なります。DNS Firewall とNetwork Firewall を組み合わせることで、2 つの異なるネットワークパス上のアプリケーション層トラフィックに対してドメインベースのフィルタリングを設定できます。
+ DNS Firewall は、VPC 内のアプリケーションから Route 53 VPC Resolver を通過するアウトバウンド VPCs DNS クエリのフィルタリングを提供します。また、ブロックしたドメイン名にクエリのカスタムレスポンスを送信するように DNS Firewall を設定できます。
+ Network Firewall は、ネットワークレイヤートラフィックとアプリケーションレイヤートラフィックの両方をフィルタリングしますが、Route 53 VPC Resolver によって行われたクエリは可視化されません。
Network Firewall の詳細については、[Network Firewall デベロッパーガイド](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)を参照してください。
# Resolver DNS Firewall の仕組み
Resolver DNS Firewall を使用すると、サイトへのアクセスを制御し、Route 53 VPC Resolver を介して VPC から送信される DNS クエリの DNS レベルの脅威をブロックできます。DNS Firewall では、VPC に関連付けるルールグループにドメイン名のフィルタリングルールを定義します。許可またはブロックするドメイン名のリスト、または DNS トンネリングとドメイン生成アルゴリズム (DGA) ベースの脅威から保護する Resolver DNS Firewall Advanced ルールを指定できます。ブロックする DNS クエリのレスポンスをカスタマイズできます。ドメインリストを含むルールの場合、ドメインリストをファインチューニングして、MX レコードなどの特定のクエリタイプを許可することもできます。
DNS Firewall は、ドメイン名のみをフィルタリングします。このドメイン名から、ブロックされる IP アドレスを調べることはできません。また、DNS ファイアウォールでは DNS トラフィックをフィルタリングできますが、HTTPS、SSH、TLS、FTP などの他のアプリケーションレイヤープロトコルはフィルタリングできません。
## Resolver DNS Firewall のコンポーネントと設定
DNS Firewall は、次の中央にあるコンポーネントと設定で管理します。
**DNS Firewall ルールグループ**
DNS クエリをフィルタリングするために DNS Firewall ルールの再利用可能な名前付きコレクションを定義します。ルールグループにフィルタリングルールを設定し、ルールグループを 1 つ以上の VPC に関連付けます。ルールグループを VPC に関連付けると、VPC の DNS Firewall フィルタリングが有効になります。次に、VPC Resolver がルールグループが関連付けられている VPC の DNS クエリを受信すると、VPC Resolver はフィルタリングのためにクエリを DNS Firewall に渡します。
複数のルールグループを 1 つの VPC に関連付ける場合は、各関連付けの優先度設定で処理する順序を指定します。DNS Firewall は、優先度が最も低い設定から VPC のルールグループを処理します。
詳細については、「[DNS Firewall のルールグループとルール](resolver-dns-firewall-rule-groups.md)」を参照してください。
**DNS Firewall ルール**
DNS Firewall ルールグループ内の DNS クエリに対するフィルタリングルールを定義します。各ルールでは、それぞれドメインリスト、または DNS Firewall 保護を 1 つ指定します。また、ルール内のドメイン仕様に一致するドメインを持つ DNS クエリに対して実行するアクションを指定します。一致するクエリを許可 (ドメインリストのみを含むルール)、ブロック、またはアラートできます。ドメインリストを持つルールでは、リスト内のドメインにクエリタイプを指定することもできます。例えば、特定のドメインの MX クエリタイプをブロックまたは許可できます。ブロックしたクエリのカスタムレスポンスも定義できます。
DNS Firewall ルールでは、一致するクエリに対してのみブロックまたはアラートを実行できます。
ルールグループの各ルールには、ルールグループ内で一意の優先度設定があります。DNS Firewall は、優先度が最も低い設定からルールグループ内のルールを処理します。
DNS Firewall ルールは、定義されているルールグループのコンテキストにのみ存在します。ルールを再利用したり、ルールグループから独立したルールを参照することはできません。
詳細については、「[DNS Firewall のルールグループとルール](resolver-dns-firewall-rule-groups.md)」を参照してください
**ドメインリスト**
DNS フィルタリングで使用するドメイン仕様の再利用可能な名前付きコレクションを定義します。ルールグループの各ルールには、それぞれに 1 つのドメインリストが必要です。アクセスを許可するドメイン、アクセスを拒否するドメイン、またはその両方の組み合わせを指定できます。独自のドメインリストを作成し、 が AWS 管理するドメインリストを使用できます。
詳細については、「[Resolver DNS Firewall ドメインリスト](resolver-dns-firewall-domain-lists.md)」を参照してください。
**ドメインリダイレクト設定 (ドメインリストのみ)**
ドメインリダイレクト設定を使用すると、DNS ファイアウォールルールを設定して、CNAME、DNAME など、DNS リダイレクトチェーン内のすべてのドメイン (デフォルト) または最初のドメインだけを検査して残りを信頼することができます。DNS リダイレクトチェーン全体を検査する場合は、ルールで ALLOW に設定されたドメインリストに後続のドメインを追加する必要があります。DNS リダイレクトチェーン全体を検査する場合は、後続のドメインをドメインリストに追加し、ルールが実行するアクション (ALLOW、BLOCK、ALERT のいずれか) に設定する必要があります。
詳細については、「[DNS Firewall のルール設定](resolver-dns-firewall-rule-settings.md)」を参照してください。
**クエリタイプ (ドメインリストのみ)**
クエリタイプ設定では、特定の DNS クエリタイプをフィルタリングするように DNS ファイアウォールルールを設定できます。クエリタイプを選択しない場合、ルールはすべての DNS クエリタイプに適用されます。例えば、特定のドメインのすべてのクエリタイプをブロックし、MX レコードを許可します。
詳細については、「[DNS Firewall のルール設定](resolver-dns-firewall-rule-settings.md)」を参照してください。
**DNS Firewall Advanced 保護**
DNS クエリの既知の脅威署名に基づいて、疑わしい DNS クエリを検出します。ルールグループ内の各ルールには、単一の DNS Firewall Advanced 保護設定が必要です。保護は、以下から選択できます。
+ ドメイン生成アルゴリズム (DGAs)
DGAs は、攻撃者が多数のドメインを生成してマルウェア攻撃を開始するために使用されます。
+ DNS トンネリング
DNS トンネリングは、攻撃者がクライアントへのネットワーク接続を行わずに DNS トンネルを使用してクライアントからデータを抽出するために使用されます。
+ ディクショナリ DGA
ディクショナリ DGAs は、攻撃者がディクショナリ単語を使用してドメインを生成し、マルウェアcommand-and-control通信での検出を回避するために使用されます。
DNS Firewall Advanced ルールでは、脅威に一致するクエリをブロックするか、アラートするかを選択できます。脅威保護アルゴリズムは によって管理および更新されます AWS。
詳細については、「[リゾルバー DNS Firewall Advanced](firewall-advanced.md)」を参照してください。
**信頼度しきい値 (DNS Firewall Advanced 保護のみ)**
DNS 脅威保護の信頼度しきい値。DNS Firewall Advanced のルールを作成するときに、この値を指定する必要があります。信頼度の値は次のことを意味します。
+ 高 − 誤検出率が低く、最も裏付けのある脅威のみを検出します。
+ 中 − 脅威の検出と誤検出のバランスが取れています。
+ 低 − 脅威の検出率が最も高いが、誤検出も増加します。
詳細については、「[DNS Firewall のルール設定](resolver-dns-firewall-rule-settings.md)」を参照してください。
**DNS Firewall ルールグループと VPC 間の関連付け**
DNS Firewall ルールグループを使用して VPC の保護を定義し、VPC の VPC Resolver DNS Firewall 設定を有効にします。
複数のルールグループを 1 つの VPC に関連付ける場合は、関連付けの優先度設定で、それらを処理する順序を指定します。DNS Firewall は、優先度が最も低い設定から VPC のルールグループを処理します。
詳細については、「[VPC のリゾルバー DNS ファイアウォール保護の有効化](resolver-dns-firewall-vpc-protections.md)」を参照してください。
**VPC の DNS ファイアウォール設定**
VPC リゾルバーが VPC レベルで DNS ファイアウォール保護を処理する方法を指定します。この設定は、VPC に関連付けられた DNS Firewall ルールグループが少なくとも 1 つある場合に有効です。
この設定では、DNS Firewall がクエリのフィルタリングに失敗したときに Route 53 VPC Resolver がクエリを処理する方法を指定します。デフォルトでは、VPC Resolver がクエリのレスポンスを DNS Firewall から受信しない場合、閉じられてクエリがブロックされます。
詳細については、「[DNS Firewall での VPC の設定](resolver-dns-firewall-vpc-configuration.md)」を参照してください。
**DNS ファイアウォールアクションのモニタリング**
Amazon CloudWatch を使用して、DNS ファイアウォールのルールグループでフィルタリングされた、DNS クエリ数をモニタリングできます。CloudWatch では、生データを収集し、ほぼリアルタイムの読み取り可能なメトリクスに加工します。
詳細については、「[Amazon CloudWatch を使用した Resolver DNS Firewall ルールグループのモニタリング](monitoring-resolver-dns-firewall-with-cloudwatch.md)」を参照してください。
Amazon EventBridge は、イベントを使用してアプリケーションコンポーネント同士を接続するサーバーレスサービスです。これにより、スケーラブルなイベント駆動型アプリケーションを構築できます。
詳細については、「[を使用したリゾルバー DNS ファイアウォールイベントの管理 Amazon EventBridge](dns-firewall-eventbridge-integration.md)」を参照してください。
## Resolver DNS Firewall が DNS クエリをフィルタリングする方法
DNS Firewall ルールグループが VPC の Route 53 VPC Resolver に関連付けられている場合、次のトラフィックはファイアウォールによってフィルタリングされます。
+ その VPC 内で発信され、VPC DNS を通過する DNS クエリ。
+ オンプレミスのリソースから、リゾルバーエンドポイントを通過して、リゾルバーに関連付けられた DNS ファイアウォールを持つ同じ VPC に渡される DNS クエリ。
DNS Firewall は、DNS クエリを受信すると、設定したルールグループ、ルール、およびその他の設定を使用してクエリをフィルタリングし、結果を VPC Resolver に送信します。
+ DNS Firewall は、一致するものが見つかるまで、またはすべてのルールグループを使い果たすまで、VPC に関連付けられたルールグループを使用して DNS クエリの評価を行います。DNS Firewall は、関連付けで設定した優先度の順に、優先順位が最も低い設定からルールグループを評価します。詳細については、「[DNS Firewall のルールグループとルール](resolver-dns-firewall-rule-groups.md)」および「[VPC のリゾルバー DNS ファイアウォール保護の有効化](resolver-dns-firewall-vpc-protections.md)」を参照してください。
+ 各ルールグループ内で DNS Firewall は、一致するものが見つかるまで、またはすべてのルールを使い果たすまで、各ルールのドメインリストまたは DNS Firewall Advanced 保護に対する DNS クエリの評価を行います。DNS Firewall は、優先順位の順に、優先度が最も低い設定からルールを評価します。詳細については、「[DNS Firewall のルールグループとルール](resolver-dns-firewall-rule-groups.md)」を参照してください。
+ DNS Firewall は、ルールのドメインリスト、または DNS Firewall Advanced ルール保護によって識別された異常との一致を検出すると、クエリ評価を終了し、結果とともに VPC Resolver に応答します。アクションが の場合`alert`、DNS Firewall は設定された VPC Resolver ログにもアラートを送信します。詳細については[DNS Firewall でのルールアクション](resolver-dns-firewall-rule-actions.md)、[Resolver DNS Firewall ドメインリスト](resolver-dns-firewall-domain-lists.md)、および[リゾルバー DNS Firewall Advanced](firewall-advanced.md)を参照してください。
+ DNS Firewall が一致するものを見つけられずにすべてのルールグループを評価し終えた場合、通常どおりクエリに対して応答します。
VPC Resolver は、DNS Firewall からのレスポンスに従ってクエリをルーティングします。万一 DNS ファイアウォールが応答しない場合、VPC リゾルバーは VPC で設定された DNS ファイアウォールのフェイルモードを適用します。詳細については、「[DNS Firewall での VPC の設定](resolver-dns-firewall-vpc-configuration.md)」を参照してください。
## Resolver DNS Firewall を使用するための大まかな手順
Amazon Virtual Private Cloud VPC に Resolver DNS Firewall フィルタリングを実装するには、以下の大まかなステップを実行します。
+ **フィルタリングのアプローチ、ドメインリスト、DNS Firewall 保護を定義する** — クエリをフィルタリングする方法を決定し、必要なドメイン仕様を特定して、クエリの評価に使用するロジックを定義します。例えば、既知の不正なドメインのリストにあるクエリを除くすべてのクエリを許可できます。または反対に、承認したリストのドメインを除くすべてのドメインをブロックすることもできます。これは、ウォールドガーデンアプローチとして知られています。承認済みまたはブロックされたドメイン仕様の独自のリストを作成および管理し、 が AWS 管理するドメインリストを使用できます。DNS Firewall 保護の場合、クエリをすべてブロックしてフィルタリングすることも、脅威 (DGA、DNS トンネリング、ディクショナリ DGA) に関連する異常を含む可能性のあるドメインへの疑わしいクエリトラフィックをアラートして DNS Firewall 設定をテストすることもできます。詳細については、「[Resolver DNS Firewall ドメインリスト](resolver-dns-firewall-domain-lists.md)」および「[リゾルバー DNS Firewall Advanced](firewall-advanced.md)」を参照してください。
+ **ファイアウォールルールグループの作成** — DNS Firewall で、VPC 向けの DNS クエリをフィルタリングするルールグループを作成します。ルールグループは、使用するリージョンごとに作成する必要があります。また、異なる VPC の複数のフィルタリングシナリオで再利用できるように、フィルタリング動作を複数のルールグループに分けることもできます。ルールグループについては、「[DNS Firewall のルールグループとルール](resolver-dns-firewall-rule-groups.md)」を参照してください。
+ **ルールの追加と設定 **— ルールグループで提供するドメインリストおよびフィルタリング動作ごとに、ルールグループにルールを追加します。ルールグループ内でルールが正しい順序で処理されるように、ルールの優先度を設定します。最初に評価するルールの優先順位が最も低くなるようにします。ルールについては、「[DNS Firewall のルールグループとルール](resolver-dns-firewall-rule-groups.md)」を参照してください。
+ **ルールグループを VPC に関連付ける **— DNS Firewall ルールグループの使用を開始するには、VPC に関連付けます。VPC で複数のルールグループを使用している場合は、ルールグループが正しい順序で処理されるように、各関連付けの優先度を設定します。最初に評価するルールグループの優先順位が最も低くなるようにします。詳細については、「[VPC と Resolver DNS Firewall ルールグループ間の関連付けの管理](resolver-dns-firewall-vpc-associating-rule-group.md)」を参照してください。
+ **(オプション) VPC のファイアウォール設定を変更する** – DNS Firewall が応答を返さないときに Route 53 VPC Resolver でクエリをブロックする場合は、VPC Resolver で VPC の DNS Firewall 設定を変更します。詳細については、「[DNS Firewall での VPC の設定](resolver-dns-firewall-vpc-configuration.md)」を参照してください。
## 複数のリージョンでの Resolver DNS Firewall ルールグループの使用
Resolver DNS Firewall はリージョンサービスであるため、1 つの AWS リージョンで作成したオブジェクトは、そのリージョンでのみ使用できます。同じルールグループを複数のリージョンで使用するには、リージョンごとにルールグループを作成する必要があります。
ルールグループを作成した AWS アカウントは、他の AWS アカウントと共有できます。詳細については、「[Resolver DNS Firewall ルールグループを AWS アカウント間で共有する](resolver-dns-firewall-rule-group-sharing.md)」を参照してください。
# Resolver DNS Firewall のリージョンの可用性
DNS ファイアウォールは、以下にあります AWS リージョン。
+ アフリカ (ケープタウン)
+ アジアパシフィック (香港)
+ アジアパシフィック (ハイデラバード)
+ アジアパシフィック (ジャカルタ)
+ アジアパシフィック (マレーシア)
+ アジアパシフィック (メルボルン)
+ アジアパシフィック (ムンバイ)
+ アジアパシフィック(大阪)リージョン
+ アジアパシフィック (ソウル)
+ アジアパシフィック (シンガポール)
+ アジアパシフィック (シドニー)
+ アジアパシフィック (タイ)
+ アジアパシフィック (東京)
+ カナダ (中部) リージョン
+ カナダ西部 (カルガリー)
+ 欧州 (フランクフルト) リージョン
+ 欧州 (アイルランド) リージョン
+ 欧州 (ロンドン) リージョン
+ 欧州 (ミラノ)
+ 欧州 (パリ) リージョン
+ 欧州 (スペイン)
+ 欧州 (ストックホルム)
+ 欧州 (チューリッヒ)
+ イスラエル (テルアビブ)
+ メキシコ (中部)
+ 中東 (バーレーン)
+ 中東 (アラブ首長国連邦)
+ 南米 (サンパウロ)
+ 米国東部 (バージニア北部)
+ 米国東部 (オハイオ)
+ 米国西部 (北カリフォルニア)
+ 米国西部 (オレゴン)
+ 中国 (北京)
+ 中国 (寧夏)
+ AWS GovCloud (US)
# Resolver DNS Firewall の開始方法
DNS Firewall コンソールには、DNS Firewall の開始方法を次の手順で説明するウィザードが含まれています。
+ 使用するルールセットごとにルールグループを作成します。
+ ルールごとに、調査するドメインリストを設定します。独自のドメインリストを作成し、 AWS マネージドドメインリストを使用できます。
+ 使用する VPC にルールグループを関連付けます。
## Resolver DNS Firewall の壁付きガーデンの例
このチュートリアルでは、信頼できるドメインのうち選択されたグループを除くすべてのドメインをブロックするルールグループを作成します。これは、クローズドプラットフォーム、またはウォールドガーデンアプローチと呼ばれます。
**コンソールウィザードを使用して DNS Firewall ルールグループを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
ナビゲーションペインで、**[DNS ファイアウォール]** を選択し、Amazon VPC コンソールの **[ルールグループ]** ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。
- または -
にサインイン AWS マネジメントコンソール して を開きます。
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) から、Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**[DNS ファイアウォール]** の下にある **[ルールグループ]** を選択します。
1. ナビゲーションバーで、ルールグループのリージョンを選択します。
1. **[ルールグループ]** ページで、**[ルールグループの追加]** を選択します。
1. ルールグループ名に「**WalledGardenExample**」と入力します。
**[タグ]** セクションで、タグのキーと値のペアをオプションで入力できます。タグは、 AWS リソースの整理と管理に役立ちます。詳細については、「[Amazon Route 53 リソースのタグ付け](tagging-resources.md)」を参照してください。
1. **[ルールグループを追加]** を選択します。
1. **WalledGardenExample** の詳細ページで、**[ルール]** タブ、**[ルールを追加]** の順に選択します。
1. **[ルールの詳細]** ペインで、ルール名に「** BlockAll**」と入力します。
1. **[Domain list (ドメインリスト)] **ペインで、**[Add my own domain list (独自のドメインリストを追加) ] **を選択します。
1. **[Choose or create a new domain list (新しいドメインリストを選択または作成)]** で **[Create new domain list (新しいドメインリストの作成)]** を選択します。
1. ドメインリスト名 を入力し**AllDomains**、Enter **one domain per line** テキストボックスにアスタリスク **\$1** を入力します。
1. **[ドメインリダイレクト設定]** では、デフォルトを受け入れ、**[クエリの種類-オプション]** は空のままにします。
1. **[アクション]** については、**[BLOCK]** を選択し、送信するレスポンスをデフォルト設定の **[NODATA]** のままにしておきます。
1. [**ルールを追加**] を選択してください。ルール **BlockAll** は、**WalledGardenExample** ページの**ルール**タブに表示されます。
1. **[WalledGardenExample]** ページで、**[ルールを追加]** を選択して、ルールグループに 2 番目のルールを追加します。
1. **[ルールの詳細]** ペインで、ルール名に「** AllowSelectDomains**」と入力します。
1. **[Domain list (ドメインリスト)]** ペインで、**[Add my own domain list (独自のドメインリストを追加) ] **を選択します。
1. [**Choose or create a new domain list (新しいドメインリストの選択または作成)]**で、**[Create new domain list (新しいドメインリストの作成)]**を選択します。
1. ドメインリスト名に「**ExampleDomains**」と入力します。
1. **[1 行につき 1 つのドメインを入力]** テキストボックスの最初の行に「**example.com**」、2 行目に「**example.org**」と入力します。
**注記**
ルールをサブドメインにも適用する場合は、それらのドメインもリストに追加する必要があります。例えば、example.com のすべてのサブドメインを追加するには、**\$1.example.com** をリストに追加します。
1. **[ドメインリダイレクト設定]** では、デフォルトを受け入れ、**[クエリの種類-オプション]** は空のままにします。
1. **[アクション]** については、**[ALLOW]** を選択します。
1. [**ルールを追加**] を選択してください。ルールは両方とも、**WalledGardenExample** ページの**ルール**タブに表示されます。
1. **[WalledGardenExample]** ページの **[ルール]** タブで、**[優先度]** 列にリストされている番号を選択し、新しい番号を入力して、ルールグループ内のルールの評価順序を調整できます。DNS ファイアウォールは、最も優先度が低い設定から順にルールを評価するため、最も優先度が低いルールが最初に評価されます。この例では、最初に DNS Firewall でドメインの選択リストの DNS クエリを特定して許可し、残りのクエリをすべてブロックします。
**[AllowSelectDomains]** の優先度が低くなるようにルールの優先度を調整します。
これで、特定のドメインクエリのみを許可するルールグループができました。使用を開始するには、フィルタリング動作を使用する VPC にルールグループを関連付けます。詳細については、「[VPC と Resolver DNS Firewall ルールグループ間の関連付けの管理](resolver-dns-firewall-vpc-associating-rule-group.md)」を参照してください。
## Resolver DNS Firewall ブロックリストの例
このチュートリアルでは、悪意があることが判明しているドメインをブロックするルールグループを作成します。ブロックされたリストのドメインに許可される DNS クエリタイプも追加します。ルールグループは、VPC リゾルバーを介した他のすべてのアウトバウンド DNS リクエストを許可します。
**コンソールウィザードを使用して DNS ファイアウォールブロックリストを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
ナビゲーションペインで、**[DNS ファイアウォール]** を選択し、Amazon VPC コンソールの **[ルールグループ]** ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。
- または -
にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) で Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**[DNS ファイアウォール]** の下にある **[ルールグループ]** を選択します。
1. ナビゲーションバーで、ルールグループのリージョンを選択します。
1. **[ルールグループ]** ページで、**[ルールグループの追加]** を選択します。
1. ルールグループ名に「**BlockListExample**」と入力します。
**[タグ]** セクションで、タグのキーと値のペアをオプションで入力できます。タグは、 AWS リソースの整理と管理に役立ちます。詳細については、「[Amazon Route 53 リソースのタグ付け](tagging-resources.md)」を参照してください。
1. **BlockListExample** の詳細ページで、**ルール**タブを選択し、**ルールを追加します**。
1. **[ルールの詳細]** ペインで、ルール名に「** BlockList**」と入力します。
1. **[Domain list (ドメインリスト)]** ペインで、**[Add my own domain list (独自のドメインリストを追加) ] **を選択します。
1. **[Choose or create a new domain list (新しいドメインリストの選択または作成)]**で、**[Create new domain list (新しいドメインリストの作成)] **を選択します。
1. ドメインリスト名 **MaliciousDomains** を入力し、次にテキストボックスにブロックするドメインを入力します。例えば、** example.org**。1 行に 1 つドメインを入力します。
**注記**
ルールをサブドメインにも適用する場合は、それらのドメインもリストに追加する必要があります。例えば、example.org のすべてのサブドメインを追加するには、**\$1.example.org** をリストに追加します。
1. **[ドメインリダイレクト設定]** では、デフォルトを受け入れ、**[クエリの種類-オプション]** は空のままにします。
1. アクションについては、**BLOCK** を選択し、送信するレスポンスをデフォルト設定の **NODATA** のままにしておきます。
1. [**ルールを追加**] を選択してください。ルールが **BlockListExample** ページの**ルール**タブに表示されます。
1. **[BlockedListExample]** ページの **[ルール]** タブで、**[優先度]** 列にリストされている番号を選択し、新しい番号を入力して、ルールグループ内のルールの評価順序を調整できます。DNS ファイアウォールは、最も優先度が低い設定から順にルールを評価するため、最も優先度が低いルールが最初に評価されます。
ルールの優先度を選択して、**[ブロックリスト]** の他のルールの前または後に評価されるようルールの優先度を調整します。ほとんどの場合、既知の悪意のあるドメインを最初にブロックしてください。つまり、これらに関連付けられているルールは、最も小さい優先順位番号にする必要があります。
1. BlockList ドメインの MX レコードを許可するルールを追加するには、**ルール**タブの ** BlockedListExample** の詳細ページで、**ルールの追加**を選択します。
1. **[ルールの詳細]** ペインで、ルール名に「** BlockList-allowMX**」と入力します。
1. **[Domain list (ドメインリスト)]** ペインで、**[Add my own domain list (独自のドメインリストを追加)]** を選択します。
1. **[新しいドメインリストを選択または作成]** で、[** MaliciousDomains**] を選択します。
1. **[ドメインリダイレクト設定]** では、デフォルトを受け入れます。
1. **[DNS クエリタイプ]** リストで、**[MX: メールサーバーを指定する]** を選択します。
1. アクションについては、[**ALLOW**] を選択します。
1. [**ルールを追加**] を選択してください。
1. **[BlockedListExample]** ページの **[ルール]** タブで、**[優先度]** 列にリストされている番号を選択し、新しい番号を入力して、ルールグループ内のルールの評価順序を調整できます。DNS ファイアウォールは、最も優先度が低い設定から順にルールを評価するため、最も優先度が低いルールが最初に評価されます。
ルールの優先度を選択して、**[BlockList-allowMX]** は、他のルールの前または後に評価されるようルールの優先度を調整します。MX クエリを許可するため、**[BlockList -allowMX]** ルールが **[ブラックリスト]** よりも優先度が低いことを確認してください。
これで、特定の悪意のあるドメインクエリをブロックするルールグループができましたが、特定の DNS クエリタイプが許可されます。使用を開始するには、フィルタリング動作を使用する VPC にルールグループを関連付けます。詳細については、「[VPC と Resolver DNS Firewall ルールグループ間の関連付けの管理](resolver-dns-firewall-vpc-associating-rule-group.md)」を参照してください。
# DNS Firewall のルールグループとルール
このセクションでは、VPC 向けの DNS Firewall の動作を定義するために DNS Firewall のルールグループおよびルールに対して行える設定について説明します。また、ルールおよびルールグループを設定する方法についても説明します。
ルールグループを希望どおりに設定したら、それらをそのまま使用して、アカウント間や AWS Organizations内の組織全体で共有および管理することができます。
+ ルールグループを複数の VPC に関連付けて、組織全体で一貫した動作を行えます。詳細については、「[VPC と Resolver DNS Firewall ルールグループ間の関連付けの管理](resolver-dns-firewall-vpc-associating-rule-group.md)」を参照してください。
+ アカウント間でルールグループを共有し、組織全体で一貫して DNS クエリを管理できます。詳細については、「[Resolver DNS Firewall ルールグループを AWS アカウント間で共有する](resolver-dns-firewall-rule-group-sharing.md)」を参照してください。
+ AWS Firewall Manager ポリシーで管理 AWS Organizations することで、 で組織全体のルールグループを使用できます。Firewall Manager の詳細については、の「」、および デベロッパーガイド[AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)の「」を参照してください。 *AWS WAF AWS Firewall Manager AWS Shield Advanced *
# DNS Firewall のルールグループ設定
DNS Firewall ルールグループを作成または編集する場合、次の値を指定します。
**名前**
わかりやすい名前にすると、ダッシュボードでルールグループを見つけやすくなります。
**(オプション) 説明**
ルールグループのコンテキストについての簡単な説明。
**リージョン**
ルールグループの作成時に選択する AWS リージョン。1 つのリージョンで作成したルールグループは、そのリージョンでのみ使用できます。同じルールグループを複数のリージョンで使用するには、リージョンごとにルールグループを作成する必要があります。
**ルール**
ルールグループのフィルタリング動作は、そのルールに含まれています。詳細については、次のセクションを参照してください。
**タグ**
1 つ以上のキーと対応する値を指定します。例えば、[**Key (キー)**] に **Cost center** を、[**Value (値)**] には **456** を指定します。
これらは、 が請求書を整理するために AWS Billing and Cost Management 提供するタグです AWS 。タグを使ったコスト配分の詳細については、*AWS Billing ユーザーガイド*の[コスト配分タグの使用](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)を参照してください。
# DNS Firewall のルール設定
DNS Firewall ルールグループを作成または編集する場合、次の値を指定します。
**名前**
ルールグループ内のルールの一意の識別子。
**(オプション) 説明**
ルールの詳細についての簡単な説明。
**ドメインリスト**
ルールが調査するドメインのリスト。独自のドメインリストを作成して管理したり、 AWS が管理するドメインリストをサブスクライブできます。詳細については、「[Resolver DNS Firewall ドメインリスト](resolver-dns-firewall-domain-lists.md)」を参照してください。
ルールには、ドメインリストまたは DNS Firewall Advanced 保護を含めることができますが、両方を含めることはできません。
**ドメインリダイレクト設定 (ドメインリストのみ)**
DNS ファイアウォールルールでは、CNAME、DNAME など、DNS リダイレクトチェーン内の最初のドメインのみまたはすべて (デフォルト) のドメインのみを検査するように選択できます。すべてのドメインを検査することを選択した場合、DNS リダイレクトチェーン内の後続のドメインをドメインリストに追加し、ルールが実行するアクション (ALLOW、BLOCK、ALERT のいずれか) に設定する必要があります。詳細については、「[Resolver DNS Firewall のコンポーネントと設定](resolver-dns-firewall-overview.md#resolver-dns-firewall-components)」を参照してください。
**クエリタイプ (ドメインリストのみ)**
ルールが検査する DNS クエリタイプのリスト。有効な値を次に示します。
+ A: IPv4 アドレスを返します。
+ AAAA: Ipv6 アドレスを返します。
+ CAA: ドメインの SSL/TLS 証明書を作成できる CA を制限します。
+ CNAME: 別のドメイン名を返します。
+ DS: 委任ゾーンの DNSSEC 署名キーを識別するレコード。
+ MX: メールサーバーを指定します。
+ NAPTR: ドメイン名の正規表現ベースの書き換え。
+ NS: 権威ネームサーバー。
+ PTR: IP アドレスをドメイン名にマッピングします。
+ SOA: ゾーンの管理情報の始点レコード。
+ SPF: ドメインから E メールを送信する権限を持つサーバーを一覧表示します。
+ SRV: サーバーを識別するアプリケーション固有の値。
+ TXT: E メール送信者とアプリケーション固有の値を検証します。
+ DNS タイプ ID を使用して定義するクエリタイプ (例えば、AAAA の場合は 28)。値は TYPE *NUMBER *として定義する必要があります。*NUMBER* は 1~65334 です。たとえば、TYPE28 です。詳細については、「[DNS レコードタイプの一覧](https://en.wikipedia.org/wiki/List_of_DNS_record_types)」を参照してください。
ルールごとに 1 つのクエリタイプを作成できます。
**注記**
クエリタイプが AAAA に等しいアクション NXDOMAIN でファイアウォールの BLOCK ルールを設定すると、DNS64 が有効になっているときに生成される合成 IPv6 アドレスにはこのアクションは適用されません。
**DNS Firewall Advanced 保護**
DNS クエリの既知の脅威署名に基づいて、疑わしい DNS クエリを検出します。保護は、以下から選択できます。
+ ドメイン生成アルゴリズム (DGAs)
DGAs は、攻撃者が多数のドメインを生成してマルウェア攻撃を開始するために使用されます。
+ DNS トンネリング
DNS トンネリングは、攻撃者がクライアントへのネットワーク接続を行わずに DNS トンネルを使用してクライアントからデータを抽出するために使用されます。
+ ディクショナリ DGA
ディクショナリ DGAs は、攻撃者がディクショナリ単語を使用してドメインを生成し、マルウェアcommand-and-control通信での検出を回避するために使用されます。
DNS Firewall Advanced ルールでは、脅威に一致するクエリをブロックするか、アラートするかを選択できます。
詳細については、[リゾルバー DNS Firewall Advanced](firewall-advanced.md) を参照してください。
ルールには、DNS Firewall Advanced 保護またはドメインリストを含めることができますが、両方を含めることはできません。
**信頼度のしきい値 (DNS Firewall Advanced のみ)。**
DNS Firewall Advanced の信頼度のしきい値。DNS Firewall Advanced のルールを作成するときに、この値を指定する必要があります。信頼度の値は次のことを意味します。
+ 高 − 誤検出率が低く、最も裏付けのある脅威のみを検出します。
+ 中 − 脅威の検出と誤検出のバランスが取れています。
+ 低 − 脅威の検出率が最も高いが、誤検出も増加します。
詳細については、「[DNS Firewall のルール設定](#resolver-dns-firewall-rule-settings)」を参照してください。
**アクション**
DNS Firewall で、ルールのドメインリストの仕様と一致するドメイン名を持つ DNS クエリを処理する方法 詳細については、「[DNS Firewall でのルールアクション](resolver-dns-firewall-rule-actions.md)」を参照してください
**優先度**
ルールグループ内のルールの一意の自然数の設定。これにより、処理順序が決定されます。DNS Firewall は、ルールグループのルールに対する DNS クエリを調査します。優先度が最も低い設定で始まり、上がっていきます。ルールの優先度はいつでも変更できます。例えば、処理の順序を変更したり、他のルールのためのスペースを確保できます。
# DNS Firewall でのルールアクション
DNS Firewallでは、DNS クエリとルールのドメイン仕様の間で一致が検出されると、ルールで指定されたアクションがクエリに適用されます。
作成する各ルールで、次のオプションのいずれかを指定する必要があります:
+ ** Allow ** – クエリの検査を停止し、実行を許可します。DNS Firewall Advanced では使用できません。
+ ** Alert ** – クエリの検査を停止し、通過を許可して、Route 53 VPC Resolver ログにクエリのアラートを記録します。
+ ** Block ** – クエリの検査を中止し、目的の宛先へのクエリのブロックアクションを Route 53 VPC Resolver ログに記録します。
次のように、設定されたブロックレスポンスで応答します。
+ ** NODATA ** – クエリが成功したが、応答が利用できないことを示す応答。
+ ** NXDOMAIN **– クエリのドメイン名が存在しないことを示す応答。
+ ** OVERRIDE **– レスポンスにカスタムオーバーライドを指定します。このオプションには、次の設定が必要です。
+ ** Record value ** – クエリに応答して返送するカスタム DNS レコード。
+ ** Record type **– DNS レコードのタイプ。これによりレコード値の形式が決定します。これは、`CNAME` である必要があります。
+ ** Time to live in seconds **– DNS リゾルバーまたはウェブブラウザがオーバーライドレコードをキャッシュし、再度受信された場合にこのクエリへの応答に使用するのに推奨される時間。デフォルトではこの値はゼロであり、レコードはキャッシュされません。
クエリログの設定と内容の詳細については、「[リゾルバーでのクエリのログ記録](resolver-query-logs.md)」および「[VPC Resolver クエリログに表示される値](resolver-query-logs-format.md)」を参照してください。
**Alert を使用してブロックルールをテストする**
ブロックルールを初めて作成する際は、アクションを Alert に設定して、ブロックルールをテストします。次に、ルールが警告するクエリの数を調べて、アクションを Block に設定した場合にブロックされるクエリの数を確認します。
# DNS Firewall でのルールグループおよびルールの管理
コンソールでルールグループとルールを管理するには、このセクションのガイダンスに従います。
ルールやドメインリストなどの DNS Firewall エンティティに変更を加えると、DNS Firewall はエンティティが格納および使用されるすべての場所に変更を伝播します。変更は数秒以内に適用されますが、変更がある場所に到着し、他の場所には到着していない場合、一時的な不一致が生じる可能性があります。そのため、例えばブロックルールによって参照されるドメインリストにドメインを追加すると、新しいドメインは VPC のあるエリアで一時的にブロックされ、別のエリアでは許可されます。この一時的な不一致は、ルールグループと VPC の関連付けを初めて行う際、既存の設定を変更する際に発生する可能性があります。ほとんどの場合、このタイプの不一致は数秒で解決します。
# ルールグループおよびルールの作成
ルールグループを作成してルールを追加するには、この手順のステップに従います。
**ルールグループとそのルールを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
ナビゲーションペインで、**[DNS ファイアウォール]** を選択し、Amazon VPC コンソールの **[ルールグループ]** ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。
- または -
AWS マネジメントコンソール にサインインして、
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) から、Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**[DNS ファイアウォール]** の下にある **[ルールグループ]** を選択します。
1. ナビゲーションバーで、ルールグループのリージョンを選択します。
1. **[Add rule group (ルールグループの追加)]** を選択し、ウィザードのガイダンスに従ってルールグループとルール設定を指定します。
ルールグループの値の詳細については、「[DNS Firewall のルールグループ設定](resolver-dns-firewall-rule-group-settings.md)」を参照してください。
ルールの値の詳細については、「[DNS Firewall のルール設定](resolver-dns-firewall-rule-settings.md)」を参照してください。
# ルールグループおよびルールの表示と更新
ルールグループとそのグループに割り当てられたルールを表示するには、次の手順に従います。ルールグループとルール設定を更新することもできます。
**ルールとグループを表示および更新するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
ナビゲーションペインで、**[DNS ファイアウォール]** を選択し、Amazon VPC コンソールの **[ルールグループ]** ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。
- または -
AWS マネジメントコンソール にサインインして、
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) から、Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**[DNS ファイアウォール]** の下にある **[ルールグループ]** を選択します。
1. ナビゲーションバーで、ルールグループのリージョンを選択します。
1. 表示または編集するルールグループを選択し、**[View details (詳細を表示)]** を選択します。
1. ルールグループのページで、設定を表示および編集できます。
ルールグループの値の詳細については、「[DNS Firewall のルールグループ設定](resolver-dns-firewall-rule-group-settings.md)」を参照してください。
ルールの値の詳細については、「[DNS Firewall のルール設定](resolver-dns-firewall-rule-settings.md)」を参照してください。
# ルールグループの削除
ルールグループの削除は、次の手順を実行します。
**重要**
VPC に関連付けられているルールグループを削除すると、DNS Firewall は関連付けを削除し、ルールグループが VPC に行っていた保護を停止します。
**DNS Firewall エンティティの削除**
DNS Firewall で使用できるエンティティ (ルールグループで使用中のドメインリストや VPC に関連付けられている可能性があるルールグループなど) を削除すると、DNS Firewall ではそのエンティティが現在使用されているかどうかの確認が行われます。使用中であることが判明した場合、DNS Firewall からアラートが表示されます。DNS Firewall では、ほとんどの場合エンティティが使用中かどうかを判別できます。ただし、まれに判別できないことがあります。エンティティが現在使用中でないことを確認する必要があるときは、DNS Firewall 設定で確認してください。エンティティが参照されているドメインリストである場合は、ルールグループでエンティティが使用されていないことを確認してください。エンティティがルールグループである場合は、どの VPC にも関連付けられていないことを確認してください。
**ルールグループを削除するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
ナビゲーションペインで、**[DNS ファイアウォール]** を選択し、Amazon VPC コンソールの **[ルールグループ]** ページで DNS ファイアウォールを開きます。ステップ 3 に進みます。
- または -
AWS マネジメントコンソール にサインインして、
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) から、Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**[DNS ファイアウォール]** の下にある **[ルールグループ]** を選択します。
1. ナビゲーションバーで、ルールグループのリージョンを選択します。
1. 削除するルールグループを選択し、**削除**を選択して削除を確定します。
# Resolver DNS Firewall ドメインリスト
*ドメインリスト*は、ルールグループ内の DNS Firewall ルールで使用する、再利用可能なドメイン仕様のセットです。ルールグループを VPC に関連付けると、DNS Firewall はルールで使用されているドメインリストとDNS クエリを比較します。一致が見つかった場合は、一致したルールのアクションに従って DNS クエリを処理します。ルールグループおよびルールに関する詳細は、「[DNS Firewall のルールグループとルール](resolver-dns-firewall-rule-groups.md)」を参照してください。
ドメインリストを使用すると、明示的なドメイン仕様とそれらに対して実行するアクションを分けることができます。複数のルールで 1 つのドメインリストを使用できます。ドメインリストに対して行った更新は、ドメインリストを使用するすべてのルールに自動的に反映されます。
ドメインリストは、次の 2 つの主要なカテゴリに分類できます。
+ マネージドドメインリストは、自動的に AWS 作成および維持されます。
+ お客様が作成し管理を行う独自のドメインリスト。
このセクションでは、使用できるマネージドドメインリストの種類について説明し、独自のドメインリストを作成および管理するためのガイダンスを提供します (ご希望の場合)。
# マネージドドメインリスト
マネージドドメインリストには、悪意のあるアクティビティやその他の潜在的な脅威に関連するドメイン名が含まれています。Route 53 VPC Resolver のお客様は、DNS Firewall の使用時にアウトバウンド DNS クエリを無料でチェックできるように、これらのリスト AWS を維持します。
絶えず変化する脅威の状況に遅れずについていくには、時間とコストがかかることがあります。マネージドドメインリストを使用すると、DNS Firewall を実装して使用する時間を節約できます。 は、新しい脆弱性や脅威が発生したときにリスト AWS を自動的に更新します。 AWS は、一般に公開される前に新しい脆弱性の通知を受け取ることが多いため、DNS Firewall は、新しい脅威が広く知られる前に緩和策を頻繁にデプロイできます。
マネージドドメインリストは、一般的なウェブの脅威からユーザーを保護するためのサポートを提供するように設計されており、アプリケーションに別のセキュリティレイヤーを追加します。 AWS Managed Domain Lists は、内部 AWS ソースと [ RecordedFuture](https://partners.amazonaws.com/partners/001E000001V9CaHIAV/Recorded%20Future) の両方からデータをソースとし、継続的に更新されます。ただし、 AWS マネージドドメインリストは、選択した AWS リソースによって決定される Amazon GuardDutyなどの他のセキュリティコントロールに代わるものではありません。
ベストプラクティスとして、本番稼働環境でマネージドドメインリストを使用する前に、ルールアクションを `Alert` に設定して、非本稼働環境でテストを行います。Amazon CloudWatch メトリクスと Resolver DNS Firewall サンプルリクエストまたは DNS Firewall ログを組み合わせてルールを評価します。ルールが希望通りであることを確認したら、必要に応じてアクション設定を変更します。
**利用可能な AWS マネージドドメインリスト**
このセクションでは、現在利用可能な マネージドドメインリストについて説明します。これらのリストがサポートされているリージョンにいる場合、ドメインリストの管理やルールのドメインリストの指定を行う際、コンソールに表示されます。ログでは、ドメインリストは `firewall_domain_list_id field` にログインします。
AWS は、Resolver DNS Firewall のすべてのユーザーに、利用可能なリージョンで次のマネージドドメインリストを提供します。
+ `AWSManagedDomainsMalwareDomainList` — — マルウェアの送信、ホスティング、配布に関連するドメイン。
+ `AWSManagedDomainsBotnetCommandandControl` — スパムマルウェアに感染したコンピュータのネットワーク制御に関連するドメイン。
+ `AWSManagedDomainsAggregateThreatList` – マルウェア、ランサムウェア、ボットネット、スパイウェア、DNS トンネリングなど、複数の DNS 脅威カテゴリに関連付けられているドメイン。 `AWSManagedDomainsAggregateThreatList`には、ここにリストされている他の AWS マネージドドメインリストのすべてのドメインが含まれます。
+ `AWSManagedDomainsAmazonGuardDutyThreatList` – Amazon GuardDuty DNS セキュリティの検出結果に関連付けられたドメイン。ドメインは GuardDuty の脅威インテリジェンスシステムのみから取得されており、外部のサードパーティーのソースから取得されたドメインは含まれません。より具体的には、現在、このリストは内部的に生成され、GuardDuty で次の検出に使用される次のドメインのみをブロックします: Impact:EC2/AbusedDomainRequest.Reputation、Impact:EC2/BitcoinDomainRequest.Reputation、Impact:EC2/MaliciousDomainRequest.Reputation、Impact:Runtime/AbusedDomainRequest.Reputation、Impact:Runtime/BitcoinDomainRequest.Reputation、Impact:Runtime/MaliciousDomainRequest.Reputation。
詳細については、「*Amazon GuardDuty ユーザーガイド*」の「[検出結果タイプ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html)」を参照してください。
AWS マネージドドメインリストはダウンロードまたは参照できません。知的財産を保護するために、 AWS マネージドドメインリスト内の個々のドメイン仕様を表示または編集することはできません。この制限はまた、悪意のあるユーザーが具体的に公開されているリストを避けて脅威を作り出すことを防ぐのにも役立ちます。
**マネージドドメインリストをテストするには**
マネージドドメインリストのテスト用に、以下のドメインセットが用意されています。
**AWSManagedDomainsBotnetCommandandControl**
+ controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
**AWSManagedDomainsMalwareDomainList**
+ controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
**AWSManagedDomainsAggregateThreatList および AWSManagedDomainsAmazonGuardDutyThreatList**
+ controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
+ controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
これらのドメインは、ブロックされなければ 1.2.3.4 に解決されます。マネージドドメインリストを VPC で使用すると、これらのドメインをクエリしたとき、(例えば NODATA で) ルール内のブロックアクションが設定されているレスポンスが返されます。
マネージドドメインリストの詳細については、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)にお問い合わせください。
次の表に、 AWS マネージドドメインリストのリージョンの可用性を示します。
**利用可能なマネージドドメインリストのリージョン**
| リージョン | マネージドドメインリストを利用できますか? |
| --- | --- |
| アフリカ (ケープタウン) | はい |
| アジアパシフィック (香港) | はい |
| アジアパシフィック (ハイデラバード) | はい |
| アジアパシフィック (ジャカルタ) | はい |
| アジアパシフィック (マレーシア) | はい |
| アジアパシフィック (メルボルン) | はい |
| アジアパシフィック (ムンバイ) | はい |
| アジアパシフィック(大阪)リージョン | はい |
| アジアパシフィック (ソウル) | あり |
| アジアパシフィック (シンガポール) | あり |
| アジアパシフィック (シドニー) | はい |
| アジアパシフィック (タイ) | はい |
| アジアパシフィック (東京) | はい |
| Canada (Central) Region | はい |
| カナダ西部 (カルガリー) | はい |
| Europe (Frankfurt) Region | はい |
| 欧州 (アイルランド) リージョン | はい |
| Europe (London) Region | はい |
| 欧州 (ミラノ) | はい |
| 欧州 (パリ) リージョン | はい |
| 欧州 (スペイン) | はい |
| 欧州 (ストックホルム) | はい |
| 欧州 (チューリッヒ) | はい |
| イスラエル (テルアビブ) | はい |
| 中東 (バーレーン) | はい |
| 中東 (アラブ首長国連邦) | はい |
| 南米 (サンパウロ) | はい |
| 米国東部(バージニア北部) | あり |
| 米国東部 (オハイオ) | あり |
| 米国西部 (北カリフォルニア) | あり |
| 米国西部 (オレゴン) | はい |
| 中国 (北京) | はい |
| 中国 (寧夏) | はい |
| AWS GovCloud (US) | はい |
**セキュリティに関するその他の考慮事項**
AWS マネージドドメインリストは、一般的なウェブ脅威からユーザーを保護するように設計されています。ドキュメントに従って使用した場合、これらのリストはアプリケーションに別のセキュリティレイヤーを追加します。ただし、マネージドドメインリストは、選択した AWS リソースに伴うセキュリティコントロールに代わるものではありません。のリソースが適切に保護されていることを確認するには、 AWS [「 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)」のガイダンスを参照してください。
**誤検出シナリオの軽減**
マネージドドメインリストを使用してクエリをブロックするルールで誤検出のシナリオが発生した場合は、次の手順を実行します。
1. VPC Resolver ログで、誤検出の原因となっているルールグループとマネージドドメインリストを特定します。これを行うには、DNS Firewall がブロックしているが、通過を許可するクエリのログを見つけます。ログレコードには、ルールグループ、ルールアクション、マネージドリストが一覧表示されます。ログの詳細については、「[VPC Resolver クエリログに表示される値](resolver-query-logs-format.md)」を参照してください。
1. ブロックしたクエリを明示的に許可するルールグループに新しいルールを作成します。ルールを作成するときに、許可するドメイン仕様のみを使用して、独自のドメインリストを定義できます。[ルールグループおよびルールの作成](resolver-dns-firewall-rule-group-adding.md) のルールグループおよびルールの管理に関するガイダンスに従ってください。
1. ルールグループ内で新しいルールの優先度を設定して、そのルールをマネージドリストを使用しているルールの前に実行できるようにします。これを行うには、新しいルールの優先順位の数値を小さく設定します。
ルールグループを更新すると、ブロックルールが実行される前に、許可するドメイン名が新しいルールによって明示的に示されます。
# 独自のドメインリストの管理
独自のドメインリストを作成すると、マネージドドメインリストのサービスに見つからないドメインカテゴリや、自分で処理したいドメインカテゴリを指定できます。
このセクションで説明する手順に加えて、 コンソールでは、ルールを作成または更新するときに、Resolver DNS Firewall ルール管理のコンテキストでドメインリストを作成できます。
ドメインリストの各ドメイン仕様は、次の要件を満たす必要があります。
+ オプションで `*` (アスタリスク) から始めます。
+ オプションの先頭のアスタリスクとピリオドを除き、ラベル間の区切り文字として、、`A-Z`、`a-z`、 `0-9` `-` (ハイフン) のみを含める必要があります。
+ 長さは 1~255 文字にする必要があります。
ルールやドメインリストなどの DNS Firewall エンティティに変更を加えると、DNS Firewall はエンティティが格納および使用されるすべての場所に変更を伝播します。変更は数秒以内に適用されますが、変更がある場所に到着し、他の場所には到着していない場合、一時的な不一致が生じる可能性があります。そのため、例えばブロックルールによって参照されるドメインリストにドメインを追加すると、新しいドメインは VPC のあるエリアで一時的にブロックされ、別のエリアでは許可されます。この一時的な不一致は、ルールグループと VPC の関連付けを初めて行う際、既存の設定を変更する際に発生する可能性があります。ほとんどの場合、このタイプの不一致は数秒で解決します。
**本番稼働環境で使用する前にドメインリストをテストする**
ベストプラクティスとして、本番稼働環境でドメインリストを使用する前に、ルールアクションを `Alert` に設定して、非本稼働環境でテストを行います。Amazon CloudWatch メトリクスと VPC Resolver ログを使用してルールを評価します。ログには、すべてのアラートとブロックアクションのドメインリスト名が表示されます。ドメインリストが DNS クエリに希望どおりに一致していることを確認したら、必要に応じてルールのアクション設定を変更します。CloudWatch メトリクスとクエリログの詳細については、「[Amazon CloudWatch を使用した Resolver DNS Firewall ルールグループのモニタリング](monitoring-resolver-dns-firewall-with-cloudwatch.md)」、「[VPC Resolver クエリログに表示される値](resolver-query-logs-format.md)」および「[Resolver のクエリログ記録の設定の管理](resolver-query-logging-configurations-managing.md)」を参照してください。
**ドメインリストを追加するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
ナビゲーションペインで、**[DNS ファイアウォール]** を選択し、Amazon VPC コンソールの **[ルールグループ]** ページで DNS ファイアウォールを開きます。ステップ 2 に進みます。
- または -
AWS マネジメントコンソール にサインインして、
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) から、Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**[DNS ファイアウォール]** の下にある **[ドメインリスト]** を選択します。**[ドメインリスト]** ページで、既存のドメインリストを選択および編集したり、独自のドメインリストを追加することができます。
1. ドメインリストを追加するには、**[ドメインリストの追加]** を選択します。
1. ドメインリスト名を入力し、テキストボックスにドメイン指定を 1 行に 1 つずつ入力します。
[**Switch to bulk upload (一括アップロードに切り替える)**] を**オン**にスライドして、ドメインリストを作成した Amazon S3 バケットの URI を入力します。このドメインリストには、1 行につき 1 つのドメイン名が必要です。
**注記**
ドメイン名が重複していると、一括インポートが失敗します。
1. **[ドメインリストの追加]** を選択します。**[ドメインリスト]** ページには、新しいドメインリストが一覧表示されます。
ドメインリストを作成したら、DNS Firewall ルールから名前を指定して参照できます。
**DNS Firewall エンティティの削除**
DNS Firewall で使用できるエンティティ (ルールグループで使用中のドメインリストや VPC に関連付けられている可能性があるルールグループなど) を削除すると、DNS Firewall ではそのエンティティが現在使用されているかどうかの確認が行われます。使用中であることが判明した場合、DNS Firewall からアラートが表示されます。DNS Firewall では、ほとんどの場合エンティティが使用中かどうかを判別できます。ただし、まれに判別できないことがあります。エンティティが現在使用中でないことを確認する必要があるときは、DNS Firewall 設定で確認してください。エンティティが参照されているドメインリストである場合は、ルールグループでエンティティが使用されていないことを確認してください。エンティティがルールグループである場合は、どの VPC にも関連付けられていないことを確認してください。
**ドメインリストを削除するには**
1. ナビゲーションペインで、**[ドメインリスト]** を選択します。
1. ナビゲーションバーで、ドメインリストのリージョンを選択します。
1. 削除するドメインリストを選択し、**削除**を選択して削除を確定します。
# リゾルバー DNS Firewall Advanced
DNS Firewall Advanced は、DNS クエリの既知の脅威シグネチャに基づいて、疑わしい DNS クエリを検出します。ルールグループ内で、DNS Firewall ルールで使用するルールで脅威タイプを指定できます。ルールグループを VPC に関連付けると、DNS Firewall はルールでフラグが付いているドメインと DNS クエリを比較します。一致が見つかった場合は、一致したルールのアクションに従って DNS クエリを処理します。
DNS Firewall Advanced は、リクエストのタイムスタンプ、リクエストとレスポンスの頻度、DNS クエリ文字列、アウトバウンドとインバウンドの両方の DNS クエリの長さ、タイプ、サイズなど、DNS ペイロード内のキー識別子の範囲を調べることで、疑わしい DNS 脅威シグネチャを識別します。脅威署名のタイプに基づいて、ブロックするか、単にクエリをログに記録して警告するようにポリシーを設定できます。拡張された脅威識別子のセットを使用することで、より広範なセキュリティコミュニティによって維持されている脅威インテリジェンスフィードによってまだ分類されていないドメインソースからの DNS 脅威から保護できます。
現在、DNS Firewall Advanced は以下からの保護を提供しています。
+ ドメイン生成アルゴリズム (DGAs)
DGAs は、攻撃者が多数のドメインを生成してマルウェア攻撃を開始するために使用されます。
+ DNS トンネリング
DNS トンネリングは、攻撃者がクライアントへのネットワーク接続を行わずに DNS トンネルを使用してクライアントからデータを抽出するために使用されます。
+ ディクショナリ DGA
ディクショナリ DGAs は、攻撃者がディクショナリ単語を使用してドメインを生成し、マルウェアcommand-and-control通信での検出を回避するために使用されます。
ルールを作成する方法については、「[ルールグループおよびルールの作成](resolver-dns-firewall-rule-group-adding.md)」および「[DNS Firewall のルール設定](resolver-dns-firewall-rule-settings.md)」を参照してください。
**誤検出シナリオの軽減**
DNS Firewall Advanced 保護を使用してクエリをブロックするルールで誤検出のシナリオが発生した場合は、次の手順を実行します。
1. VPC Resolver ログで、誤検出の原因となっているルールグループと DNS Firewall Advanced 保護を特定します。これを行うには、DNS Firewall がブロックしているが、通過を許可するクエリのログを見つけます。ログレコードには、ルールグループ、ルールアクション、DNS Firewall Advanced 保護が一覧表示されます。ログの詳細については、「[VPC Resolver クエリログに表示される値](resolver-query-logs-format.md)」を参照してください。
1. ブロックしたクエリを明示的に許可するルールグループに新しいルールを作成します。ルールを作成するときに、許可するドメイン仕様のみを使用して、独自のドメインリストを定義できます。[ルールグループおよびルールの作成](resolver-dns-firewall-rule-group-adding.md) のルールグループおよびルールの管理に関するガイダンスに従ってください。
1. ルールグループ内で新しいルールの優先度を設定して、そのルールをマネージドリストを使用しているルールの前に実行できるようにします。これを行うには、新しいルールの優先順位の数値を小さく設定します。
ルールグループを更新すると、ブロックルールが実行される前に、許可するドメイン名が新しいルールによって明示的に示されます。
# DNS Firewall でのログ記録の設定
Amazon CloudWatch メトリクスと Resolver のクエリログを使用して、DNS Firewall のルールを評価できます。ログには、すべてのアラートとブロックアクションのドメインリスト名が表示されます。Amazon CloudWatch の詳細については、「[Amazon CloudWatch を使用した Resolver DNS Firewall ルールグループのモニタリング](monitoring-resolver-dns-firewall-with-cloudwatch.md)」を参照してください。
DNS Firewall を有効にして、VPC に関連付けログ記録を有効にした場合、` firewall_rule_group_id`、`firewall_rule_action`、` firewall_domain_list_id` は、ログ内に提供される DNS Firewall 特有のフィールドです。
**注記**
クエリログには、DNS ファイアウォールルールによってブロックされたクエリの追加の DNS ファイアウォールフィールドのみが表示されます。
VPC から発信される DNS Firewall のルールによってフィルタリングされた DNS クエリのログ記録を開始するには、Amazon Route 53 コンソールで次のタスクを実行します。
**DNS Firewall で Resolver のクエリログ記録を設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. Route 53 コンソールのメニューを展開します。コンソールの左上隅にある 3 本の水平バー (![\[Menu icon\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/images/menu-icon.png)) アイコンを選択します。
1. Resolver メニューから、[**Query logging (クエリログ記録)**] を選択します。
1. リージョンセレクターで、クエリログ記録設定を作成する AWS リージョンを選択します。
これは、クエリをログに記録する DNS Firewall に関連付けた VPC を作成したリージョンと同じリージョンである必要があります。VPC が複数のリージョンに存在する場合は、リージョンごとにクエリログ記録の設定を少なくとも 1 つ作成する必要があります。
1. [**クエリログ記録の設定**] を選択します。
1. 次の値を指定します。
**クエリログ記録設定の名前**
クエリログ記録の設定に使用する名前を入力します。この名前は、コンソールのクエリログ記録の設定リストに表示されます。この設定では、後で検索する際に便利な名前を入力します。
**クエリログの保存先**
VPC Resolver がクエリログを送信する AWS リソースのタイプを選択します。各オプション (CloudWatch Logs ロググループ、S3 バケット、および Firehose 配信ストリーム) から選択する方法については、「[AWS VPC Resolver クエリログを送信できる リソース](resolver-query-logs-choosing-target-resource.md)」を参照してください。
リソースのタイプを選択したら、そのタイプの別のリソースを作成するか、現在の AWS アカウントによって作成された既存のリソースを選択できます。
ステップ 4 で選択した AWS リージョン (クエリログ記録の設定を作成するリージョン) で作成されたリソースのみを選択できます。新しいリソースを作成することを選択した場合、そのリソースは同じリージョンに作成されます。
**クエリをログに記録する VPC**
このクエリログ記録の設定では、選択した VPC で発生した DNS クエリがログに記録されます。VPC Resolver がクエリをログに記録する現在のリージョンの各 VPC のチェックボックスをオンにし、**選択**を選択します。
VPC ログの配信は、特定の送信先タイプに対して 1 回だけ有効にすることができます。ログは、同じタイプの複数の送信先に配信することはできません。例えば、VPC ログを 2 つの Amazon S3 の送信先に配信することはできません。
1. [**クエリログ記録の設定**] を選択します。
**注記**
クエリログ記録の設定が正常に作成されてから数分以内に、VPC 内のリソースによって作成された DNS クエリがログ内に表示されるようになります。
# Resolver DNS Firewall ルールグループを AWS アカウント間で共有する
AWS アカウント間で DNS Firewall ルールグループを共有できます。ルールグループを共有するには、 AWS Resource Access Manager () を使用しますAWS RAM。DNS Firewall コンソールは AWS RAM コンソールと統合されます。詳細については AWS RAM、[「 Resource Access Manager ユーザーガイド](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)」を参照してください。
次の点に注意してください。
**VPC と共有ルールグループの関連付け**
別の AWS アカウントが自分のアカウントとルールグループを共有している場合は、作成したルールグループを関連付けるのと同じ方法で VPCs に関連付けることができます。詳細については、「[VPC と Resolver DNS Firewall ルールグループ間の関連付けの管理](resolver-dns-firewall-vpc-associating-rule-group.md)」を参照してください。
**ルールグループの削除または共有解除**
他のアカウントと共有しているルールグループまたはその共有を解除すると、DNS Firewall では他のアカウントがルールグループと VPC の間に作成したすべての関連付けが削除されます。
**ルールグループおよび関連付けの最大設定**
共有ルールグループと VPC との関連付けの数は、ルールグループを共有するアカウントの総数に含まれます。
現在の DNS Firewall のクォータについては「[Resolver DNS Firewall のクォータ](DNSLimitations.md#limits-api-entities-resolver-dns-firewall)」を参照してください。
**アクセス許可**
ルールグループを別の AWS アカウントと共有するには、[PutFirewallRuleGroupPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutFirewallRuleGroupPolicy.html) アクションを使用するアクセス許可が必要です。
**ルールグループが共有されている AWS アカウントの制限**
ルールグループが共有されているアカウントが、ルールグループを変更または削除することはできません。
**タグ付け**
ルールグループを作成したアカウントだけが、ルールグループのタグを追加、削除、または表示できます。
ルールグループの現在の共有ステータス (ルールグループを共有したアカウントやルールグループが共有されているアカウントを含む) を確認し、別のアカウントとルールグループを共有するには、次の手順を実行します。
**共有ステータスを表示し、ルールグループを別の AWS アカウントと共有するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで、[**Rule groups**] (ルールグループ) を選択します。
1. ナビゲーションバーで、ルールグループを作成したリージョンを選択します。
[**Sharing status (共有ステータス)**] 列に、現在のアカウントで作成されたルールグループまたは現在のアカウントと共有されているルールグループの現在の共有ステータスが表示されます。
+ **Not shared**: 現在の AWS アカウントがルールグループを作成し、ルールグループは他のアカウントと共有されません。
+ **Shared by me (自分が共有)**: 現在のアカウントがルールグループを作成し、1 つ以上の他のアカウントと共有しています。
+ **Shared with me (自分と共有)**: 別のアカウントがルールグループを作成し、現在のアカウントと共有しています。
1. 共有情報を表示するルールグループまたは別のアカウントと共有するルールグループの名前を選択します。
**Rule group: *rule group name* **ページで、[**Owner (所有者)**] の値として、ルールグループを作成したアカウントの ID が表示されます。これは現在のアカウントです。ただし、[**Sharing status (共有ステータス)**] の値が [**Shared with me (自分と共有)**] である場合を除きます。この場合、**所有者**はルールグループを作成し、現在のアカウントと共有したアカウントです。
1. [**Share (共有)**] を選択し、追加情報を表示するか、別のアカウントとルールグループを共有します。**共有ステータス**の値に応じて、 AWS RAM コンソールにページが表示されます。
+ **Not shared (未共有)**: [**Create resource share (リソース共有の作成)**] ページが表示されます。別のアカウントと、あるいは組織単位 (OU) や組織でルールグループを共有する方法については、この後の手順を参照してください。
+ **Shared by me (自分が共有)**: [**Shared resources (共有リソース)**] ページに、現在のアカウントが所有し、他のアカウントと共有しているルールグループと他のリソースが表示されます。
+ **Shared with me (自分と共有)**: **Shared resources (共有リソース)** ページに、他のアカウントが所有し、現在のアカウントと共有しているルールグループと他のリソースが表示されます。
1. ルールグループを別の AWS アカウント、OU、または組織と共有するには、次の値を指定します。
**注記**
共有設定を更新することはできません。次のいずれかの設定を変更する場合は、新しい設定を使用してルールグループを共有し直し、古い共有設定を削除する必要があります。
**説明**
ルールグループを共有した理由についての簡単な説明を入力します。
**リソース**
共有するルールグループのチェックボックスをオンにします。
**プリンシパル**
AWS アカウント番号、OU 名、または組織名を入力します。
**タグ**
1 つ以上のキーと対応する値を指定します。たとえば、**キー**に**コストセンター**を指定し、**値**に **456** を指定することができます。
これらは、 が AWS 請求書を整理するために AWS Billing and Cost Management 提供するタグです。他の目的でタグを使用することもできます。タグを使ったコスト配分の詳細については、*AWS Billing ユーザーガイド*の[コスト配分タグの使用](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)を参照してください。
# VPC のリゾルバー DNS ファイアウォール保護の有効化
VPC 向けの DNS Firewall による保護を有効にするには、1 つ以上のルールグループを VPC に関連付けます。VPC が DNS Firewall ルールグループに関連付けられている場合、Route 53 VPC Resolver は次の DNS Firewall 保護を提供します。
+ VPC Resolver は VPC のアウトバウンド DNS クエリを DNS Firewall 経由でルーティングし、DNS Firewall は関連するルールグループを使用してクエリをフィルタリングします。
+ VPC リゾルバーは、VPC の DNS ファイアウォール設定の設定を適用します。
DNS Firewall による保護を VPC に提供するには、次の操作を行います。
+ DNS Firewall ルールグループと VPC 間の関連付けを作成および管理します。ルールグループについては、「[DNS Firewall のルールグループとルール](resolver-dns-firewall-rule-groups.md)」を参照してください。
+ DNS ファイアウォールが DNS クエリの応答を提供しない場合など、障害発生時に VPC の DNS クエリを VPC リゾルバーが処理する方法を設定します。
# VPC と Resolver DNS Firewall ルールグループ間の関連付けの管理
**ルールグループでの VPC の関連付けを表示するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
ナビゲーションペインで、**[DNS ファイアウォール]** を選択し、Amazon VPC コンソールの **[ルールグループ]** ページで DNS ファイアウォールを開きます。
- または -
AWS マネジメントコンソール にサインインして、
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) から、Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**[DNS ファイアウォール]** の下にある **[ルールグループ]** を選択します。
1. ナビゲーションバーで、ルールグループのリージョンを選択します。
1. 関連付けるルールグループを選択します。
1. **[詳細を表示]** を選択します。ルールグループのページが表示されます。
1. 下部には、ルールと関連する VPC を含むタブ付きの詳細エリアが表示されます。[**関連付けられた VPC**] タブを選択します。
**ルールグループを VPC に関連付けるには**
1. **ルールグループでの VPC の関連付けを確認するには**、[前述の手順](resolver-dns-firewall-rule-group-sharing.md)「ルールグループの VPC の関連付けを表示するには」を実行します。
1. [**関連付けられた VPC**] タブで、[**VPC を関連付け**] を選択します。
1. ドロップダウンで、ルールグループに関連付ける VPC を見つけます。それを選択し、[**Associate (関連付け)**] をクリックします。
ルールグループのページでは、[**関連付けられた VPC**] タブに VPC が表示されます。最初は、関連付けの**ステータス**に**更新中**と表示されます。関連付けが完了すると、ステータスは **完了**に変わります。
**ルールグループと VPC 間の関連付けを削除するには**
1. **ルールグループでの VPC の関連付けを確認するには**、[前述の手順](resolver-dns-firewall-rule-group-sharing.md)「ルールグループの VPC の関連付けを表示するには」を実行します。
1. リストから削除する VPC を選択し、**関連付け解除**を選択します。検証し、アクションを確認します。
ルールグループのページでは、[**関連付けを解除中**] のステータスで [**関連付けられた VPC**] タブに VPC が表示されます。操作が完了すると、DNS Firewall がリストを更新して VPC が削除されます。
# DNS Firewall での VPC の設定
VPC の DNS ファイアウォール設定は、DNS ファイアウォールに障害が発生したとき、応答しなかったとき、またはゾーンで使用できないときなど、障害発生時に Route 53 VPC Resolver がクエリを許可またはブロックするかどうかを決定します。VPC リゾルバーは、VPC に関連付けられた 1 つ以上の DNS Firewall ルールグループがあるたびに、VPC のファイアウォール設定を適用します。
フェールオープンまたはフェールクローズするように VPC を設定できます。
+ デフォルトでは、障害モードは閉じられます。つまり、VPC Resolver は DNS Firewall から応答を受信しないクエリをブロックし、DNS ` SERVFAIL` 応答を送信します。このアプローチでは、可用性よりもセキュリティが優先されます。
+ フェイルオープンを有効にすると、VPC Resolver は DNS Firewall から応答を受信しない場合にクエリを許可します。このアプローチでは、セキュリティよりも可用性が優先されます。
**VPC の DNS Firewall 設定を変更するには (コンソール)**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/) で VPC Resolver コンソールを開きます。
1. **リゾルバー**のナビゲーションペインで、**VPCs**を選択します。
1. [**VPC**] ページで VPC を特定し、編集します。必要に応じて、DNS Firewall 設定をフェールオープンまたはフェールクローズに変更します。
**VPC (API) 向けの DNS Firewall の動作を変更するには**
+ [ UpdateFirewallConfig ](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_UpdateFirewallConfig.html)を呼び出し、 を有効または無効にして、VPC ファイアウォール設定を更新します` FirewallFailOpen`。
[ ListFirewallConfigs](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_ListFirewallConfigs.html) を呼び出すことで、API を通じて VPC ファイアウォール設定のリストを取得できます。