VPC とネットワークの間における DNS クエリの解決 - Amazon Route 53
ネットワーク上にある DNS リゾルバーで Route 53 Resolver エンドポイントに対し DNS クエリを転送する方法Route 53 Resolver エンドポイントで VPC からネットワークに DNS クエリを転送する方法インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項

VPC とネットワークの間における DNS クエリの解決

Resolver には、オンプレミス環境との間でやり取りされる DNS クエリに応答するように設定したエンドポイントが追加されています。

注記

プライベート DNS クエリでは、オンプレミスの DNS サーバーから任意の VPC CIDR + 2 アドレスへの転送はサポートされていないため、結果が不安定になる可能性があります。代わりに、Resolver のインバウンドエンドポイントの使用をお勧めします。

また、転送ルールを設定することで、ネットワークの Resolver と DNS リゾルバー間の DNS 解決を統合することもできます。ネットワークには、VPC から到達可能なすべてのネットワークを含めることができます。その例を次に示します。

  • VPC 自体

  • 別のピア接続 VPC

  • AWS Direct Connect、VPN、またはネットワークアドレス変換 (NAT) ゲートウェイを使用して AWS に接続されるオンプレミスネットワーク

クエリの転送を開始する前に、Route 53 Resolver のインバウンドおよび (または) アウトバウンドエンドポイントを、接続された VPC 内に作成します。これらのエンドポイントは、インバウンドまたはアウトバウンドクエリのパスを提供します。

インバウンドエンドポイント: このエンドポイントを経由することで、ネットワークの DNS リゾルバーが、DNS クエリを Route 53 Resolver に転送できます。

これにより DNS リゾルバーは、EC2 インスタンスや 、Route 53 プライベートホストゾーン内にあるレコードなど AWS リソースのドメイン名を、簡単に解決できるようになります。詳細については、「ネットワーク上にある DNS リゾルバーで Route 53 Resolver エンドポイントに対し DNS クエリを転送する方法」を参照してください

アウトバウンドエンドポイント: Resolver は、このエンドポイントを介して、条件付きでネットワークのリゾルバーにクエリを転送します

クエリを選択して転送するには、Route 53 Resolver ルールを作成して、転送するDNS クエリのドメイン名 (example.com など)、および (クエリの転送先である) ネットワーク上の DNS リゾルバーの IP アドレスを指定します。クエリが (example.com と acme.example.com など) 複数のルールと一致する場合、Resolver では最も具体的なルール (acme.example.com) が選択され、そのルールで指定している IP アドレスに対しクエリが転送されます。詳細については、「Route 53 Resolver エンドポイントで VPC からネットワークに DNS クエリを転送する方法」を参照してください

Amazon VPC と同様に、Route 53 Resolver はリージョンに固有です。VPC があるリージョンごとに、クエリを VPC からネットワークに転送するか (アウトバウンドクエリ)、ネットワークから VPC に転送するか (インバウンドクエリ)、または両方を行うかを選択できます。

所有していない VPC で Resolver エンドポイントを作成することはできません。VPC 所有者だけが、インバウンドエンドポイントなどの VPC レベルのリソースを作成できます。

注記

Resolver エンドポイントを作成する際、インスタンスのテナンシー属性が dedicated に設定されている VPC を指定することはできません。詳細については、「ハードウェア専有インスタンスのテナンシー用に設定された VPC での Resolver の使用」を参照してください

インバウンド転送またはアウトバウンド転送を使用するには、VPCに Resolver のエンドポイントを作成します。エンドポイントの定義の一環として、インバウンド DNS クエリを転送する IP アドレス、またはアウトバウンドクエリの発信元となる IP アドレスを指定します。Resolver は、指定した IP アドレスごとに、自動的に VPC Elastic Network Interface を作成します。

次の図は、ネットワーク上の DNS リゾルバーから Route 53 Resolver エンドポイントへの DNS クエリのパスを示しています。

ネットワーク上の DNS リゾルバーから Route 53 Resolver エンドポイントへの DNS クエリのパスを示す概要図。

次の図は、いずれかの VPC の EC2 インスタンスからネットワーク上の DNS リゾルバーへの DNS クエリのパスを示しています。

ネットワークから Route 53 Resolver への DNS クエリのパスを示す概要図。

VPC ネットワークインターフェイスの概要については、Amazon VPC ユーザーガイドの「Elastic Network Interface」を参照してください。

トピック

ネットワーク上にある DNS リゾルバーで Route 53 Resolver エンドポイントに対し DNS クエリを転送する方法

自分のネットワークから、AWS リージョン内の Route 53 Resolver に DNS クエリを転送するには、次の手順を実行します。

  1. VPC 内に、Route 53 Resolver のインバウンドエンドポイントを作成し、自分のネットワーク上のリゾルバーが DNS クエリを転送する先となる IP アドレスを指定します。

    Route 53 Resolver では、インバウンドエンドポイント用の IP アドレスごとに、それらのエンドポイントが作成されている VPC 内で VPC Elastic Network Interface を作成します。

  2. 該当するドメイン名の DNS クエリを、インバウンドエンドポイントで指定した IP アドレスに転送するように、ネットワークのリゾルバーを設定します。詳細については、「インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項」を参照してください

ネットワークから送信される DNS クエリは、Route 53 Resolver で次のように解決されます。

  1. ネットワーク上にあるウェブブラウザやその他のアプリケーションが、リゾルバーに転送済みのドメインで DNS クエリを送信します。

  2. ネットワークのリゾルバーは、このクエリをインバウンドエンドポイントの IP アドレスに転送します。

  3. インバウンドエンドポイントにより、このクエリが Resolver に転送されます。

  4. Resolver は、DNS クエリのドメイン名に対応する値を内部的に取得するか、公開ネームサーバーに対する再帰的ルックアップを実行することで、その値を取得します。

  5. Resolver が、この値をインバウンドエンドポイントに返します。

  6. インバウンドエンドポイントは、この値をお客様環境上のリゾルバーに返します。

  7. お客様環境上のリゾルバーは、この値をアプリケーションに返します。

  8. アプリケーションは、Resolver から返されたこの値を使用して、Amazon S3 バケット内のオブジェクトに対するリクエストなどの、HTTP リクエストを送信します。

インバウンドエンドポイントの作成に伴って Resolver の動作が変更されることはありません。AWS ネットワーク外にあるロケーションから Resolver へのパスが提供されるだけです。

Route 53 Resolver エンドポイントで VPC からネットワークに DNS クエリを転送する方法

AWS リージョンの VPC 内の EC2 インスタンスからネットワークに DNS クエリを転送する場合は、以下の手順を実行します。

  1. VPC 内に Route 53 Resolver アウトバウンドエンドポイントを作成し、いくつかの値を指定します。

    • お客様環境上のリゾルバーに向かう途中で DNS クエリが通過する VPC。

    • Resolver の DNS クエリの転送元となる VPC 内の IP アドレス。ネットワーク上のホストにとって、これらは DNS クエリの送信元の IP アドレスです。

    • VPC セキュリティグループ

    アウトバウンドエンドポイント用に指定した IP アドレスごとに、指定した VPC 内に Amazon VPC Elastic Network Interface が Resolver によって作成されます。詳細については、「インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項」を参照してください

  2. 1 つまたは複数のルールを作成し、ネットワーク上のリゾルバーに Resolver から転送する DNS クエリのためのドメイン名を指定します。また、リゾルバーの IP アドレスも指定します。詳細については、「ネットワークに転送するクエリをルールでコントロールする」を参照してください

  3. 各ルールを、ネットワークに DNS クエリを転送する VPC に関連付けます。

ネットワークに転送するクエリをルールでコントロールする

ルールにより、Route 53 Resolver エンドポイントがどの DNS クエリをネットワーク上の DNS リゾルバーに転送するのか、あるいは、Resolver 自体がどのクエリに応答するのかをコントロールします。

ルールは 2 通りの方法で分類できます。1 つの方法では、ルールの作成元で分類します。

  • 自動定義ルール – Resolver が自動的に定義済みルールを作成して VPC に関連付けます。通常、これらのルールは、Resolver が応答するクエリのための、AWS 固有のドメイン名に適用されます。詳細については、「Resolver で自動定義ルール作成の対象となるドメイン名」を参照してください

  • カスタムルール – カスタムルールは、ユーザーが作成して VPC に関連付けます。現時点で作成できるタイプのカスタムルールは、条件付き転送ルールのみで、これが転送ルールと呼ばれています。Resolver では転送ルールに従って、ネットワーク上の DNS リゾルバーの IP アドレスに対し、VPC から DNS クエリを転送します。

    自動定義ルールと同じドメインで転送ルールを作成した場合は、Route 53 Resolver は転送ルールの設定に基づき、このドメイン名のクエリをネットワーク上の DNS リゾルバーに転送します。

ルールを分類するもう 1 つの方法は、以下の機能に基づきます。

  • 条件付き転送ルール – 指定されたドメイン名の DNS クエリをネットワーク上の DNS リゾルバーに転送する場合は、条件付き転送ルール (転送ルール) を作成します。

  • システムルール – Resolver はシステムルールに従い、転送ルールに定義された動作を選択的に上書きします。システムルールを作成すると、Resolver はルールで指定されたサブドメインの DNS クエリを解決します(システムルールを使わない場合は、ネットワークの DNS リゾルバーで解決されます)。

    デフォルトでは、転送ルールはドメイン名とそのすべてのサブドメインに適用されます。ドメインのクエリをネットワークのリゾルバーに転送する際に、一部のサブドメインのクエリを除外する場合は、これらのサブドメインに対してシステムルールを作成します。例えば、example.com の転送ルールを作成する際に acme.example.com のクエリを転送しない場合は、システムルールを作成し、ドメイン名として acme.example.com を指定します。

  • 再帰ルール – Resolver は、自動的に [Internet Resolver (インターネットリゾルバー)] という名前の再帰ルールを作成します。このルールにより Route 53 Resolver は、ドメイン名にユーザーが作成したカスタムルールがなく、Resolver が自動定義したルールも存在しない場合の、(そのドメイン名に対する) 再帰リゾルバーとして機能します。この動作を上書きする方法については、このトピックで後ほど説明する「すべてのクエリをネットワークに転送する」を参照してください。

カスタムルールを作成して、特定のドメイン名 (自分のドメイン名または大半の AWS ドメイン名)、パブリックの AWS ドメイン名、またはすべてのドメイン名に適用できます。

特定のドメイン名のクエリをネットワークに転送する

特定のドメイン名 (example.com など) のクエリをネットワークに転送するには、ルールを作成してそのドメイン名を指定します。また、クエリを転送する先のネットワークの DNS リゾルバーの IP アドレスも指定します。次に、各ルールを、ネットワークに DNS クエリを転送する VPC に関連付けます。例えば、example.com、example.org、example.net に個別のルールを作成できます。次に、これらのルールを任意の組み合わせで AWS リージョンの VPC に関連付けることができます。

amazonaws.com のクエリをネットワークに転送する

ドメイン名 amazonaws.com は、AWS リソース (EC2 インスタンスや S3 バケットなど) の公開ドメイン名です。amazonaws.com のクエリをネットワークに転送する場合は、ドメイン名として amazonaws.com を指定し、ルールタイプとして [転送] を指定します。

注記

amazonaws.com のために転送ルールを作成した場合、Resolver は、そのサブドメインの一部での DNS クエリについては自動的な転送を行いません。詳細については、「Resolver で自動定義ルール作成の対象となるドメイン名」を参照してください この動作を上書きする方法については、次の「すべてのクエリをネットワークに転送する」を参照してください。

すべてのクエリをネットワークに転送する

すべてのクエリが自分のネットワークに転送されるようにするには、ドメイン名に「.」(ドット) を指定しながらルールを作成し、このルールを、ネットワークへのすべての DNS クエリの転送先となる VPC に関連付けます。この場合でも、Resolver はすべての DNS クエリをネットワークに転送しません。これは、AWS の外部にある DNS リゾルバーを使用することで、一部の機能が破損する可能性があるためです。例えば、一部の内部 AWS ドメイン名には、AWS の外部からアクセスできない内部 IP アドレス範囲が含まれている場合があります。「.」のクエリを作成したときに、ネットワークに転送されないクエリのドメイン名のリストについては、「Resolver で自動定義ルール作成の対象となるドメイン名」を参照してください。

ただし、逆引き DNS の自動定義されたシステムルールを無効にして、「.」ルールを許可し、すべての逆引き DNS クエリをネットワークに転送できます。自動定義されたルールをオフにする方法の詳細については、Resolver での逆引き DNS クエリの転送ルール を参照してください。

デフォルトで転送から除外されるドメイン名も含めて、すべてのドメイン名の DNS クエリをネットワークに転送することを試す場合は、「.」ルールを作成して次のいずれかの操作を実行します。

重要

「.」ルールを作成した場合に Resolver により除外されるドメイン名も含めて、すべてのドメイン名をネットワークに転送することで、一部の機能が動作しなくなる可能性があります。

Resolver がクエリ内のドメイン名とルールの一致を判断する際の動作

Route 53 Resolver は、DNS クエリ内のドメイン名と、クエリの送信元の VPC に関連付けられたルール内のドメイン名を比較します。Route 53 Resolver では、次の場合にこれらのドメイン名が一致していると見なします。

  • 両方のドメイン名が完全に一致する

  • クエリ内のドメイン名は、ルール内のドメイン名のサブドメインである

例えば、ルール内のドメイン名が acme.example.com である場合、Resolver は DNS クエリ内の以下のドメイン名が一致するとみなします。

  • acme.example.com

  • zenith.acme.example.com

以下のドメイン名は一致しません。

  • example.com

  • nadir.example.com

クエリ内のドメイン名が複数のルール内のドメイン名 (example.com と www.example.com など) と一致した場合、Resolver は、最も具体的なドメイン名 (www.example.com) が含まれているルールを使用して、アウトバウンド DNS クエリをルーティングします。

Resolver が DNS クエリの転送先を決定する方法

VPC の EC2 インスタンスで実行されているアプリケーションから DNS クエリが送信されると、Route 53 Resolver は以下の手順を実行します。

  1. リゾルバーがルール内のドメイン名を確認します。

    クエリ内のドメイン名がルール内のドメイン名と一致すると、Resolver は、アウトバウンドエンドポイントの作成時に指定した IP アドレスにクエリを転送します。アウトバウンドエンドポイントは、このクエリを、ルールの作成時に指定したネットワークのリゾルバーの IP アドレスに転送します。

    詳しくは、「Resolver がクエリ内のドメイン名とルールの一致を判断する際の動作」を参照してください。

  2. Resolver エンドポイントは、「.」ルールの設定に基づいて DNS クエリを転送します。

    クエリ内のドメイン名と一致するドメイン名が、すべてのルールの中で見つからない場合、Resolver は、自動定義された「.」(ドット) ルールの設定に基づいてクエリを転送します。ドットルールは、プライベートホストゾーンの AWS 内部ドメイン名とレコード名を除いて、すべてのドメイン名に適用されます。クエリ内のドメイン名がカスタム転送ルール内のどのドメイン名とも一致しない場合には、このドットルールが Resolver に適用され、DNS クエリは公開ネームサーバーに転送されます。すべてのクエリをネットワークの DNS リゾルバーに転送する場合は、カスタム転送ルールを作成し、ドメイン名として「.」を指定し、[タイプ] として [転送] を指定します。さらに、これらのリゾルバーの IP アドレスを指定します。

  3. Resolver が、クエリの送信元のアプリケーションに応答を返します。

複数のリージョンにおけるルールの使用

Route 53 Resolver はリージョンごとのサービスであるため、1 つの AWS リージョンで作成したそのオブジェクトは、そのリージョンでのみ使用が可能です。同じルールを複数のリージョンで使用するには、リージョンごとにルールを作成する必要があります。

ルールの作成元の AWS アカウントは、そのルールを他の AWS アカウントと共有できます。詳細については、「他の AWS アカウントとの Resolver ルールの共有と共有ルールの使用」を参照してください

Resolver で自動定義ルール作成の対象となるドメイン名

リゾルバーは、選択したドメインのクエリを解決する方法を定義する自動定義システムルールを自動的に作成します。

  • プライベートホストゾーン、および Amazon EC2 固有のドメイン名 (compute.amazonaws.com や compute.internal など) では、「.」(ドット) や「com」など、具体性のないドメイン名で条件付き転送ルールが作成された場合、自動定義ルールによりプライベートホストゾーンと EC2 インスタンスの解決が維持されます。

  • パブリックに予約されたドメイン名 (localhost や 10.in-addr.arpa など) については、DNS のベストプラクティスに従って、クエリを公開ネームサーバーに転送しないで、ローカルで応答するようお勧めします。「RFC 6303, Locally Served DNS Zones」を参照してください。

注記

「.」 (ドット) または「com」の条件付き転送ルールを作成する場合は、amazonaws.com のシステムルールも作成することをお勧めします。(システムルールが適用された Resolver は、特定のドメインとサブドメインの DNS クエリをローカルで解決します。) システムルールを作成することで、ネットワークに転送されるクエリの数が減少しパフォーマンスも向上できます。また、Resolver の利用料金も削減されます。

自動定義ルールを上書きする場合は、同じドメイン名に対して条件付き転送ルールを作成できます。

一部の自動定義ルールを無効にすることもできます。詳細については、「Resolver での逆引き DNS クエリの転送ルール」を参照してください。

リゾルバーは、以下の自動定義ルールを作成します。

プライベートホストゾーンのルール

VPC に関連付けるプライベートホストゾーンごとに、Resolver はルールを作成して、その VPC に関連付けます。プライベートホストゾーンを複数の VPC に関連付けている場合、Resolver はルールを、それらと同じ複数の VPC に関連付けます。

ルールのタイプは [転送] です。

さまざまな AWS 内部ドメイン名のルール

このセクションに示す内部ドメイン名では、すべてのルールタイプが [転送] となっています。Resolver は、これらのドメイン名の DNS クエリを VPC の権威ネームサーバーに転送します。

注記

VPC の enableDnsHostnames フラグを true に設定している場合、これらのルールのほとんどは Resolver により作成されます。Resolver エンドポイントを使用していない場合でも、Resolver によってこのルールが作成されます。

VPC の enableDnsHostnames フラグが true に設定されていると、次の自動定義ルールが Resolver により作成され、VPC に関連付けられます。

  • Region-name.compute.internal (例: eu-west-1.compute.internal)。us-east-1 リージョンでは、このドメイン名を使用しません。

  • Region-name.compute.amazon-domain-name (例: eu-west-1.compute.amazonaws.com または cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn)。us-east-1 リージョンでは、このドメイン名を使用しません。

  • ec2.internal。us-east-1 リージョンでのみ、このドメイン名を使用します。

  • compute-1.internal。us-east-1 リージョンでのみ、このドメイン名を使用します。

  • compute-1.amazonaws.com。us-east-1 リージョンでのみ、このドメイン名を使用します。

以下の自動定義ルールは、VPC の enableDnsHostnames フラグを true に設定した場合に Resolver で作成されるルールの逆引き DNS ルックアップ用です。

  • 10.in-addr.arpa

  • 16.172.in-addr.arpa から 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • VPC の各 CIDR 範囲のルール。例えば、VPC の CIDR 範囲が 10.0.0.0/23 である場合、Resolver によって以下のルールが作成されます。

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

以下の自動定義ルールは、localhost に関連するドメイン用であり、VPC の enableDnsHostnames フラグを true に設定したときに作成されて VPC に関連付けられます。

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

DNS のサポートを有効化し、Transit Gateway または VPC ピアリングを介して、自分の VPC と別の VPC を接続する場合、Resolver は以下の自動定義ルールを作成して、それを自分の VPC に関連付けます。

  • ピア VPC の IP アドレス範囲の逆引き DNS ルックアップ (例: 0.192.in-addr.arpa)。

    VPC に IPv4 CIDR ブロックを追加すると、Resolver は新しい IP アドレス範囲のための自動定義ルールを追加します。

  • 他の VPC が別のリージョンにある場合、以下のドメイン名になります。

    • Region-name.compute.internal。us-east-1 リージョンでは、このドメイン名を使用しません。

    • Region-name.compute.amazon-domain-name。us-east-1 リージョンでは、このドメイン名を使用しません。

    • ec2.internal。us-east-1 リージョンでのみ、このドメイン名を使用します。

    • compute-1.amazonaws.com。us-east-1 リージョンでのみ、このドメイン名を使用します。

他のすべてのドメイン用のルール

ここまでこのトピックで言及されていない、すべてのドメイン名については、Resolver が作成する「.」(ドット) ルールが適用されます。「.」ルールのタイプはRecursive (再帰)なので、このルールが適用された Resolver は、再帰リゾルバーとして機能します。

インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項

AWS リージョンにインバウンドおよびアウトバウンドのリゾルバーエンドポイントを作成する前に、以下の問題を考慮する必要があります。

各 リージョンのインバウンドエンドポイントおよびアウトバウンドエンドポイントの 数

AWS リージョン内の VPC 用の DNS と、ネットワーク用の DNS とを統合する場合、通常は、1 つの Resolver インバウンドエンドポイント (自分の VPC に転送している DNS クエリ用) と、1 つのアウトバウンドエンドポイント (自分の VPC から自分のネットワークに転送しているクエリ用) が必要です。複数のインバウンドエンドポイントとアウトバウンドエンドポイントを作成できますが、それぞれの方向のDNS クエリを処理するために1つのインバウンドまたはアウトバウンドエンドポイントで十分です。次の点に注意してください。

  • 各 Resolver エンドポイントのために、それぞれ異なるアベイラビリティーゾーンで 2 つ以上の IP アドレスを指定します。エンドポイント内の各 IP アドレスは、1 秒間に多数の DNS クエリを処理できます。(エンドポイントの IP アドレスあたりの 1 秒あたりのクエリの現在の最大数については、「Route 53 Resolver でのクォータ」を参照してください) より多くのクエリを Resolver で処理する場合、別のエンドポイントを追加するのではなく、既存のエンドポイントにさらに IP アドレスを追加することができます。

  • Resolver の料金は、エンドポイント内の IP アドレスの数と、そのエンドポイントが処理する DNS クエリの数に基づきます。各エンドポイントに最低 2 つの IP アドレスが含まれています。Resolver の料金については、Amazon Route 53 料金表を参照してください。

  • 各ルールは、DNS クエリの転送元の発信エンドポイントを指定します。AWS リージョンに複数のアウトバウンドエンドポイントを作成し、一部またはすべての Resolver ルールをすべての VPC に関連付ける場合は、それらのルールのコピーを複数作成する必要があります。

インバウンドエンドポイントとアウトバウンドエンドポイントに同じ VPC を使用する

インバウンドエンドポイントとアウトバウンドエンドポイントは、同じ VPC 内に作成することも、同じリージョン内の異なる VPC 内に作成することもできます。

詳細については、「Amazon Route 53 のベストプラクティス」を参照してください

インバウンドエンドポイントとプライベートホストゾーン

プライベートホストゾーンのレコードを使用して、インバウンド DNS クエリを Resolver に解決させたい場合は、そのプライベートホストゾーンを (インバウンドエンドポイントを内部に作成した) VPC に関連付けます。プライベートホストゾーンと VPC の関連付けについては、「プライベートホストゾーンの使用」を参照してください。

VPC ピアリング接続

インバウンドエンドポイントまたはアウトバウンドエンドポイントとして AWS リージョン内の任意の VPC を使用できます。この VPC が他の VPC とピアリング接続されているかどうかは問いません。詳細については、「Amazon Virtual Private Cloud VPC Peering」を参照してください。

共有サブネット内の IP アドレス

インバウンドまたはアウトバウンドエンドポイントを作成する場合、現在のアカウントで VPC を作成した場合のみ、共有サブネットに IP アドレスを指定できます。別のアカウントで VPC を作成し、VPC のサブネットをアカウントと共有している場合、そのサブネットで IP アドレスを指定することはできません。共有サブネットの詳細については、Amazon VPC ユーザーガイドの「共有 VPC の使用」を参照してください。

ネットワークとエンドポイントを作成する VPC との間の接続

ネットワークとエンドポイントを作成する VPC との間には、次のいずれかの接続が必要です。

ルールを共有すると、アウトバウンドエンドポイントも共有されます。

ルールを作成する際には、Resolver が DNS クエリをネットワークに転送するために使用する、アウトバウンドエンドポイントを指定します。他の AWS アカウントとルールを共有する場合は、ルールで指定したアウトバウンドエンドポイントも間接的に共有します。1 つの AWS リージョンに複数の AWS アカウントを使用して VPC を作成した場合は、次の手順を実行できます。

  • リージョンにアウトバウンドエンドポイントを 1 つ作成します。

  • 1 つの AWS アカウントを使用してルールを作成してください。

  • リージョン内に VPC を作成したすべての AWS アカウントとルールを共有します。

これにより、VPC が異なる AWS アカウントを使用して作成された場合でも、リージョン内の 1 つのアウトバウンドエンドポイントを使用して複数の VPC からネットワークに DNS クエリを転送できます。

エンドポイントのプロトコルの選択

エンドポイントプロトコルは、データをインバウンドエンドポイントに送信する方法とアウトバウンドエンドポイントから送信する方法を決定します。ネットワーク上のすべてのパケットフローは、送信と配信の前に正しい送信元と送信先を検証するルールに基づいて個別に承認されるため、VPC トラフィックの DNS クエリを暗号化する必要はありません。送信側と受信側の両方から特別な許可されていない限り、情報がエンティティ間で勝手にやり取りされることはほとんどありません。パケットが、一致するルールのない送信先にルーティングされる場合、そのパケットはドロップされます。詳細については、「Amazon VPC の特徴」を参照してください。

使用可能なプロトコルは次のとおりです。

  • Do53: ポート 53 経由の DNS。データは Route 53 リゾルバーを使用して中継され、追加の暗号化は行われません。データは外部から読み取ることはできませんが、AWS ネットワーク内では表示できます。UDP または TCP を使用してパケットを送信します。Do53 は主に Amazon VPC 内およびAmazon VPC 間のトラフィックに使用されます。

  • DoH: データは暗号化された HTTPS セッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化できず、意図した受信者以外はデータを読み取れないというセキュリティレベルを追加します。

  • DoH-FIPS: データは FIPS 140-2 暗号規格に準拠した暗号化された HTTPS セッションを介して送信されます。インバウンドエンドポイントのみでサポートされます。詳細については、「FIPS PUB 140-2」を参照してください。

インバウンドエンドポイントには、以下のようにプロトコルを適用できます。

  • Do53 と DoH の組み合わせ。

  • Do53 と DoH-FIPS の組み合わせ。

  • Do53 のみ。

  • DoH のみ。

  • DoH-FIPS のみ。

  • なし。Do53 として扱われます。

アウトバウンドエンドポイントには、以下のようにプロトコルを適用できます。

  • Do53 と DoH の組み合わせ。

  • Do53 のみ。

  • DoH のみ。

  • なし。これは Do53 として扱われます。

インバウンドエンドポイントを作成または編集するときに指定する値」および「アウトバウンドエンドポイントを作成または編集するときに指定する値」も参照してください。

ハードウェア専有インスタンスのテナンシー用に設定された VPC での Resolver の使用

Resolver エンドポイントを作成する際、インスタンスのテナンシー属性dedicated に設定されている VPC を指定することはできません。Resolver は、シングルテナントのハードウェア上では実行されません。

VPC で発生する DNS クエリを、Resolver を使用して解決することは可能です。テナント属性が default に設定された VPC を少なくとも 1 つ作成し、インバウンドエンドポイントとアウトバウンドエンドポイントを作成するときに、その VPC を指定します。

移管ルールを作成するときは、インスタンステナンシーの設定に関わらず、任意の VPC に関連付けることができます。