VPC へのインバウンド DNS クエリの転送 - Amazon Route 53
インバウンド転送の設定インバウンドエンドポイントを作成または編集するときに指定する値

VPC へのインバウンド DNS クエリの転送

ネットワークから Resolver に DNS クエリを転送するには、インバウンドエンドポイントを作成します。インバウンドエンドポイントは、ネットワーク上の DNS リゾルバーが DNS クエリを転送する IP アドレスを (VPC で使用できる IP アドレスの範囲から) 指定します。これらの IP アドレスはパブリック IP アドレスではないため、インバウンドエンドポイントごとに、AWS Direct Connect 接続または VPN 接続を使用して VPC をネットワークに接続する必要があります。

インバウンド転送の設定

インバウンドエンドポイントを作成するには、次の手順を実行します。

インバウンドエンドポイントを作成するには

  1. AWS Management Console にサインインし、Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. ナビゲーションペインで、[Inbound endpoints (インバウンドエンドポイント)] を選択します。

  3. ナビゲーションバーで、インバウンドエンドポイントを作成するリージョンを選択します。

  4. [Create inbound endpoint (インバウンドエンドポイントの作成)] を選択します。

  5. 適切な値を入力します。詳細については、「インバウンドエンドポイントを作成または編集するときに指定する値」を参照してください

  6. [Create (作成)] を選択します。

  7. 該当する DNS クエリをインバウンドエンドポイントの IP アドレスに転送するように、ネットワークの DNS リゾルバーを設定します。詳細については、DNS アプリケーションのドキュメントを参照してください。

インバウンドエンドポイントを作成または編集するときに指定する値

インバウンドエンドポイントを作成または編集する場合、以下の値を指定します。

Outpost ID

AWS Outposts VPC 上の Resolverのエンドポイントを作成する場合、これは AWS Outposts ID です。

エンドポイント名

わかりやすい名前にすると、ダッシュボードでインバウンドエンドポイントを見つけやすくなります。

region-name リージョンの VPC

すべてのインバウンド DNS クエリは、ネットワークからこの VPC を通過し Resolver に到達します。

このエンドポイントのセキュリティグループ

この VPC へのアクセスを制御するために使用する 1 つ以上のセキュリティグループの ID です。指定したセキュリティグループには、1 つ以上のインバウンドルールを含める必要があります。インバウンドルールでは、ポート 53 での TCP および UDP アクセスを許可する必要があります。エンドポイントの作成が完了した後は、この値を変更できません。

セキュリティグループルールによっては、接続が追跡され、インバウンドエンドポイントの IP アドレスごとの 1 秒あたりの全体的な最大クエリ数は 1,500 に抑えられます。セキュリティグループによる接続の追跡を回避するには、「追跡されていない接続」を参照してください。

注記

複数のセキュリティグループを追加するには、AWS CLI コマンド create-resolver-endpoint を使用します。詳細については、「create-resolver-endpoint」を参照してください

詳細については、Amazon VPC ユーザーガイドの「VPC のセキュリティグループ」を参照してください。

[エンドポイントタイプ]

エンドポイントのタイプは、IPv4、IPv6、デュアルスタック IP アドレスのいずれかです。デュアルスタックエンドポイントの場合、エンドポイントには、ネットワーク上の DNS リゾルバーが DNS クエリを転送できる IPv4 と IPv6 の両方のアドレスが割り当てられます。

注記

セキュリティ上の理由から、すべてのデュアルスタック IP アドレスと IPv6 IP アドレスに対するパブリックインターネットからの IPv6 トラフィック直接アクセスを拒否しています。

IP アドレス

ネットワークの DNS リゾルバーから DNS クエリを転送する先の IP アドレスです。冗長性を確保するため、少なくとも 2 つの IP アドレスを指定する必要があります。次の点に注意してください。

複数アベイラビリティーゾーン

少なくとも 2 つのアベイラビリティーゾーンで IP アドレスを指定することをお勧めします。必要に応じて、それらのアベイラビリティーゾーンまたは他のアベイラビリティーゾーンに追加の IP アドレスを指定できます。

IP アドレスと Amazon VPC Elastic Network Interface

ユーザーが指定したアベイラビリティーゾーン、サブネット、および IP アドレスの組み合わせごとに、Resolver は Amazon VPC Elastic Network Interface を作成します。エンドポイントの IP アドレスあたりの 1 秒あたりの DNS クエリの現在の最大数については、「Route 53 Resolver でのクォータ」を参照してください。各 Elastic Network Interface の料金については、Amazon Route 53 料金ページの「Amazon Route 53」を参照してください。

注記

リゾルバーエンドポイントはプライベート IP アドレスを持ちます。これらの IP アドレスは、エンドポイントの存続期間中に変更されることはありません。

IP アドレスごとに、以下の値を指定します。各 IP アドレスは、[VPC in the region-name Region (region-name リージョンの VPC)] で指定した VPC のアベイラビリティーゾーンに存在する必要があります。

アベイラビリティーゾーン

VPC に向かう途中で DNS クエリを通過させるアベイラビリティーゾーンです。指定したアベイラビリティーゾーンには、サブネットが設定されている必要があります。

サブネット

リゾルバーエンドポイント ENI に割り当てる IP アドレスを含むサブネット。これらは DNS クエリを送信するアドレスです。サブネットには利用可能な IP アドレスが必要です。

サブネット IP アドレスはエンドポイントタイプと一致する必要があります。

IP アドレス

DNS クエリの転送先となる IP アドレス。

指定したサブネット内の利用可能な IP アドレスから、いずれかを Resolver に自動的に選択させるのか、ユーザー自身が IP アドレスを指定するのかを設定します。

IP アドレスを自分で指定することを選択した場合は、IPv4 か IPv6 のいずれか、または両方のアドレスを入力します。

プロトコル

エンドポイントプロトコルが、受信エンドポイントへのデータ送信方法を決定します。必要なセキュリティのレベルに応じて 1 つまたは複数のプロトコルを選択します。

  • Do53: (デフォルト) データは、追加の暗号化なしで Route 53 リゾルバーを使用して中継されます。データは外部から読み取ることはできませんが、AWS ネットワーク内では表示できます。

  • DoH: データは暗号化された HTTPS セッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化したり、目的の受信者以外がデータを読み取ったりできないようにするセキュリティレベルを高めます。

  • DoH-FIPS: データは FIPS 140-2 暗号規格に準拠した暗号化された HTTPS セッションを介して送信されます。インバウンドエンドポイントのみでサポートされます。詳細については、「FIPS PUB 140-2」を参照してください。

インバウンドエンドポイントには、以下のようにプロトコルを適用できます。

  • Do53 と DoH の組み合わせ。

  • Do53 と DoH-FIPS の組み合わせ。

  • Do53 のみ。

  • DoH のみ。

  • DoH-FIPS のみ。

  • なし。これは Do53 として扱われます。

重要

受信エンドポイントのプロトコルを Do53 のみから DoH または DoH-FIPS のみに直接変更できません。これは、Do53 に依存する受信トラフィックが突然中断されるのを防止するためです。プロトコルを Do53 から DoH または DoH-FIPS に変更するには、まず Do53 と DoH、または Do53 と DoH-FIPS の両方を有効にして、すべての着信トラフィックが DoH プロトコル(DoH-FIP)を使用するように転送されたことを確認してから、Do53 を削除する必要があります。

タグ

1 つ以上のキーと対応する値を指定します。例えば、[Key (キー)] に Cost center を、[Value (値)] には 456 を指定します。