VPCs とネットワーク間のDNSクエリの解決 - Amazon Route 53
ネットワーク上のDNSリゾルバーが Route 53 Resolver エンドポイントにDNSクエリを転送する方法Route 53 Resolver エンドポイントが からネットワークVPCsにDNSクエリを転送する方法インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPCs とネットワーク間のDNSクエリの解決

Resolver には、オンプレミス環境との間でDNSクエリに応答するように設定したエンドポイントが含まれています。

注記

オンプレミスDNSサーバーから任意の VPC CIDR + 2 アドレスにプライベートDNSクエリを転送することはサポートされていないため、不安定な結果が生じる可能性があります。代わりに、Resolver のインバウンドエンドポイントの使用をお勧めします。

転送ルールを設定することで、ネットワーク上のリゾルバーとリDNSゾルバーの間でDNS解決を統合することもできます。ネットワークにはVPC、次のような から到達可能なネットワークを含めることができます。

  • VPC 自体

  • 別のピアリング接続 VPC

  • AWS Direct Connect、、VPNまたはネットワークアドレス変換 (NAT) ゲートウェイ AWS で接続されているオンプレミスネットワーク

クエリの転送を開始する前に、接続された に Resolver のインバウンドエンドポイントまたはアウトバウンドエンドポイントを作成しますVPC。これらのエンドポイントは、インバウンドまたはアウトバウンドクエリのパスを提供します。

インバウンドエンドポイント: ネットワーク上のDNSリゾルバーは、このエンドポイントを介して Route 53 Resolver にDNSクエリを転送できます

これにより、DNSリゾルバーは Route 53 プライベートホストゾーンのEC2インスタンスやレコードなどの AWS リソースのドメイン名を簡単に解決できます。詳細については、「ネットワーク上のDNSリゾルバーが Route 53 Resolver エンドポイントにDNSクエリを転送する方法」を参照してください。

アウトバウンドエンドポイント: Resolver は、このエンドポイントを介して、条件付きでネットワークのリゾルバーにクエリを転送します

選択したクエリを転送するには、転送するDNSクエリのドメイン名 (example.com など) と、クエリを転送するネットワーク上のDNSリゾルバーの IP アドレスを指定する Resolver ルールを作成します。クエリが (example.com と acme.example.com など) 複数のルールと一致する場合、Resolver では最も具体的なルール (acme.example.com) が選択され、そのルールで指定している IP アドレスに対しクエリが転送されます。詳細については、「Route 53 Resolver エンドポイントが からネットワークVPCsにDNSクエリを転送する方法」を参照してください。

Amazon と同様にVPC、Resolver はリージョン別です。がある各リージョンではVPCs、 からネットワークにクエリを転送する (アウトバウンドクエリ)VPCs、ネットワークから にクエリを転送する VPCs (インバウンドクエリ)、またはその両方を選択できます。

所有VPCしていない では、Resolver エンドポイントを作成できません。VPC 所有者のみが、インバウンドエンドポイントなどの VPCレベルのリソースを作成できます。

注記

Resolver エンドポイントを作成するときに、インスタンステナンシー属性VPCが に設定されている を指定することはできませんdedicated。詳細については、「専用インスタンステナンシー用にVPCs設定された での Resolver の使用」を参照してください。

インバウンド転送またはアウトバウンド転送を使用するには、 に Resolver エンドポイントを作成しますVPC。エンドポイントの定義の一部として、インバウンドDNSクエリを転送する IP アドレス、またはアウトバウンドクエリの送信元の IP アドレスを指定します。指定した IP アドレスごとに、Resolver は自動的に VPCElastic Network Interface を作成します。

次の図は、ネットワーク上のDNSリゾルバーから Route 53 Resolver エンドポイントへのDNSクエリのパスを示しています。

ネットワーク上のDNSリゾルバーから Route 53 Resolver エンドポイントへのDNSクエリのパスを示す概念図。

次の図は、 の 1 つのEC2インスタンスからネットワーク上のリDNSゾルバーVPCsへのDNSクエリのパスを示しています。

ネットワークから Route 53 Resolver へのDNSクエリのパスを示す概念図。

VPC ネットワークインターフェイスの概要については、「Amazon ユーザーガイド」の「Elastic Network Interface」を参照してください。 VPC

トピック

ネットワーク上のDNSリゾルバーが Route 53 Resolver エンドポイントにDNSクエリを転送する方法

ネットワークから リージョンの Route 53 Resolver エンドポイントにDNSクエリを転送する AWS 場合は、次の手順を実行します。

  1. で Route 53 Resolver インバウンドエンドポイントを作成し、ネットワーク上のリゾルバーがDNSクエリを転送する IP アドレスVPCを指定します。

    インバウンドエンドポイントに指定した IP アドレスごとに、Resolver はインバウンドエンドポイントをVPC作成した に VPCElastic Network Interface を作成します。

  2. 該当するドメイン名のDNSクエリをインバウンドエンドポイントで指定した IP アドレスに転送するようにネットワーク上のリゾルバーを設定します。詳細については、「インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項」を参照してください。

Resolver がネットワークで発生するDNSクエリを解決する方法は次のとおりです。

  1. ウェブブラウザまたはネットワーク上の別のアプリケーションは、Resolver に転送したドメイン名のDNSクエリを送信します。

  2. ネットワークのリゾルバーは、このクエリをインバウンドエンドポイントの IP アドレスに転送します。

  3. インバウンドエンドポイントにより、このクエリが Resolver に転送されます。

  4. Resolver は、内部的に、またはパブリックネームサーバーに対して再帰的な検索を実行して、DNSクエリ内のドメイン名に適用可能な値を取得します。

  5. Resolver が、この値をインバウンドエンドポイントに返します。

  6. インバウンドエンドポイントは、この値をお客様環境上のリゾルバーに返します。

  7. お客様環境上のリゾルバーは、この値をアプリケーションに返します。

  8. Resolver によって返された値を使用して、アプリケーションは Amazon S3 バケット内のオブジェクトのリクエストHTTPなどのリクエストを送信します。

インバウンドエンドポイントを作成しても、Resolver の動作は変わりません。 AWS ネットワーク外の場所から Resolver へのパスを提供するだけです。

Route 53 Resolver エンドポイントが からネットワークVPCsにDNSクエリを転送する方法

VPCs AWS リージョンの 1 つ以上のEC2インスタンスからネットワークにDNSクエリを転送する場合は、次の手順を実行します。

  1. で Route 53 Resolver アウトバウンドエンドポイントを作成しVPC、いくつかの値を指定します。

    • ネットワーク上のリゾルバーに向かう途中でVPCDNSクエリが通過する 。

    • Resolver VPCがDNSクエリを転送する の IP アドレス。ネットワークでホストするには、DNSクエリの送信元の IP アドレスを指定します。

    • VPC セキュリティグループ

    アウトバウンドエンドポイントに指定した IP アドレスごとに、Resolver はVPC指定した に Amazon VPCElastic Network Interface を作成します。詳細については、「インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項」を参照してください。

  2. Resolver がネットワーク上のリゾルバーに転送するDNSクエリのドメイン名を指定する 1 つ以上のルールを作成します。また、リゾルバーの IP アドレスも指定します。詳細については、「ネットワークに転送するクエリをルールでコントロールする」を参照してください。

  3. 各ルールを、ネットワークにDNSクエリを転送する VPCs に関連付けます。

ネットワークに転送するクエリをルールでコントロールする

ルールは、Route 53 Resolver エンドポイントがネットワーク上のリDNSゾルバーに転送するDNSクエリと、リゾルバーがそれ自体に応答するクエリを制御します。

ルールは 2 通りの方法で分類できます。1 つの方法では、ルールの作成元で分類します。

  • 自動定義ルール – Resolver は自動定義ルールを自動的に作成し、そのルールを に関連付けますVPCs。これらのルールのほとんどは、Resolver がクエリに応答する AWS固有のドメイン名に適用されます。詳細については、「Resolver で自動定義ルール作成の対象となるドメイン名」を参照してください。

  • カスタムルール – カスタムルールを作成し、そのルールを に関連付けますVPCs。現時点で作成できるタイプのカスタムルールは、条件付き転送ルールのみで、これが転送ルールと呼ばれています。転送ルールにより、Resolver は からネットワーク上のリDNSゾルバーの IP アドレスVPCsにDNSクエリを転送します。

    自動定義ルールと同じドメインの転送ルールを作成すると、Resolver は転送ルールの設定に基づいて、そのドメイン名のクエリをネットワーク上のDNSリゾルバーに転送します。

ルールを分類するもう 1 つの方法は、以下の機能に基づきます。

  • 条件付き転送ルール – 指定されたドメイン名のDNSクエリをネットワーク上のリDNSゾルバーに転送する場合は、条件付き転送ルール (転送ルールとも呼ばれます) を作成します。

  • システムルール – Resolver はシステムルールに従い、転送ルールに定義された動作を選択的に上書きします。システムルールを作成すると、Resolver は、ネットワーク上のリゾルDNSバーによって解決される、指定されたサブドメインのDNSクエリを解決します。

    デフォルトでは、転送ルールはドメイン名とそのすべてのサブドメインに適用されます。ドメインのクエリをネットワークのリゾルバーに転送する際に、一部のサブドメインのクエリを除外する場合は、これらのサブドメインに対してシステムルールを作成します。例えば、example.com の転送ルールを作成する際に acme.example.com のクエリを転送しない場合は、システムルールを作成し、ドメイン名として acme.example.com を指定します。

  • 再帰ルール – Resolver は、自動的に [Internet Resolver (インターネットリゾルバー)] という名前の再帰ルールを作成します。このルールにより Route 53 Resolver は、ドメイン名にユーザーが作成したカスタムルールがなく、Resolver が自動定義したルールも存在しない場合の、(そのドメイン名に対する) 再帰リゾルバーとして機能します。この動作を上書きする方法については、このトピックで後ほど説明する「すべてのクエリをネットワークに転送する」を参照してください。

特定のドメイン名 (自分のドメイン名またはほとんどの AWS ドメイン名)、パブリック AWS ドメイン名、またはすべてのドメイン名に適用されるカスタムルールを作成できます。

特定のドメイン名のクエリをネットワークに転送する

特定のドメイン名 (example.com など) のクエリをネットワークに転送するには、ルールを作成してそのドメイン名を指定します。また、クエリを転送するネットワーク上のリDNSゾルバーの IP アドレスも指定します。次に、各ルールを、DNSクエリをネットワークに転送する VPCs に関連付けます。例えば、example.com、example.org、example.net に個別のルールを作成できます。その後、任意の組み合わせで AWS リージョンVPCsの にルールを関連付けることができます。

amazonaws.com のクエリをネットワークに転送する

ドメイン名 amazonaws.com は、EC2インスタンスや S3 バケットなどの AWS リソースのパブリックドメイン名です。amazonaws.com のクエリをネットワークに転送する場合は、ドメイン名として amazonaws.com を指定し、ルールタイプとして [転送] を指定します。

注記

Resolver は、amazonaws.com の転送ルールを作成しても、一部の amazonaws.com サブドメインのDNSクエリを自動的に転送しません。詳細については、「Resolver で自動定義ルール作成の対象となるドメイン名」を参照してください。この動作を上書きする方法については、次の「すべてのクエリをネットワークに転送する」を参照してください。

すべてのクエリをネットワークに転送する

すべてのクエリをネットワークに転送する場合は、ルールを作成し、ドメイン名に「.」(ドット) を指定し、すべてのDNSクエリをネットワークに転送VPCsする にルールを関連付けます。の外部でリゾルバーを使用すると一部の機能が破損するため、リDNSゾルバーは引き続きすべてのDNSクエリをネットワークに転送 AWS しません。例えば、一部の内部 AWS ドメイン名には、 の外部からアクセスできない内部 IP アドレス範囲があります AWS。「.」のクエリを作成したときに、ネットワークに転送されないクエリのドメイン名のリストについては、「Resolver で自動定義ルール作成の対象となるドメイン名」を参照してください。

ただし、リバースの自動定義システムルールを無効にするDNSと、「.」ルールですべてのリバースDNSクエリをネットワークに転送できます。自動定義されたルールをオフにする方法の詳細については、Resolver でのリバースDNSクエリの転送ルール を参照してください。

デフォルトで転送から除外されているドメイン名を含む、すべてのドメイン名のDNSクエリをネットワークに転送する場合は、「.」ルールを作成して、次のいずれかを実行します。

重要

「.」ルールを作成した場合に Resolver により除外されるドメイン名も含めて、すべてのドメイン名をネットワークに転送することで、一部の機能が動作しなくなる可能性があります。

Resolver がクエリ内のドメイン名とルールの一致を判断する際の動作

Route 53 Resolver は、DNSクエリのドメイン名を、クエリの発信元VPCである に関連付けられているルールのドメイン名と比較します。Route 53 Resolver では、次の場合にこれらのドメイン名が一致していると見なします。

  • 両方のドメイン名が完全に一致する

  • クエリ内のドメイン名は、ルール内のドメイン名のサブドメインである

例えば、ルール内のドメイン名が acme.example.com の場合、Resolver はDNSクエリ内の次のドメイン名が一致であると見なします。

  • acme.example.com

  • zenith.acme.example.com

以下のドメイン名は一致しません。

  • example.com

  • nadir.example.com

クエリのドメイン名が複数のルール (example.com や など) のドメイン名と一致する場合、Resolver は最も具体的なドメイン名 (www.example.com) を含むルールを使用してアウトバウンドDNSクエリをルーティングします www.example.com 。

Resolver がDNSクエリを転送する場所を決定する方法

内のEC2インスタンスで実行されるアプリケーションがDNSクエリVPCを送信すると、Route 53 Resolver は次の手順を実行します。

  1. リゾルバーがルール内のドメイン名を確認します。

    クエリ内のドメイン名がルール内のドメイン名と一致すると、Resolver は、アウトバウンドエンドポイントの作成時に指定した IP アドレスにクエリを転送します。アウトバウンドエンドポイントは、このクエリを、ルールの作成時に指定したネットワークのリゾルバーの IP アドレスに転送します。

    詳細については、「Resolver がクエリ内のドメイン名とルールの一致を判断する際の動作」を参照してください。

  2. Resolver エンドポイントは、「.」ルールの設定に基づいてDNSクエリを転送します。

    クエリ内のドメイン名と一致するドメイン名が、すべてのルールの中で見つからない場合、Resolver は、自動定義された「.」(ドット) ルールの設定に基づいてクエリを転送します。ドットルールは、一部の AWS 内部ドメイン名とプライベートホストゾーンのレコード名を除くすべてのドメイン名に適用されます。このルールにより、DNSクエリのドメイン名がカスタム転送ルールの名前と一致しない場合、Resolver はクエリをパブリックネームサーバーに転送します。ネットワーク上のDNSリゾルバーにすべてのクエリを転送する場合は、カスタム転送ルールを作成し、ドメイン名に「.」を指定し、タイプ に転送を指定し、それらのリゾルバーの IP アドレスを指定できます。

  3. Resolver が、クエリの送信元のアプリケーションに応答を返します。

複数のリージョンにおけるルールの使用

Route 53 Resolver はリージョンのサービスであるため、1 つの AWS リージョンで作成したオブジェクトは、そのリージョンでのみ使用できます。同じルールを複数のリージョンで使用するには、リージョンごとにルールを作成する必要があります。

ルールを作成した AWS アカウントは、そのルールを他の AWS アカウントと共有できます。詳細については、「Resolver ルールを他の AWS アカウントと共有し、共有ルールを使用する」を参照してください。

Resolver で自動定義ルール作成の対象となるドメイン名

リゾルバーは、選択したドメインのクエリを解決する方法を定義する自動定義システムルールを自動的に作成します。

  • プライベートホストゾーンと Amazon 固有のドメイン名 (compute.amazonaws.com EC2や compute.internal など) の場合、「.」 (ドット) や「com」など、より具体的なドメイン名の条件付き転送ルールを作成した場合、自動定義ルールにより、プライベートホストゾーンとEC2インスタンスが解決され続けます。

  • パブリックに予約されたドメイン名 (localhost や 10.in-addr.arpa など) の場合、DNSベストプラクティスでは、クエリがパブリックネームサーバーに転送されるのではなく、ローカルで応答されることをお勧めします。RFC 「6303」、「ローカルで提供されるDNSゾーン」を参照してください

注記

「.」 (ドット) または「com」の条件付き転送ルールを作成する場合は、amazonaws.com のシステムルールも作成することをお勧めします。(システムルールにより、Resolver は特定のドメインとサブドメインのDNSクエリをローカルで解決します。) システムルールを作成することで、ネットワークに転送されるクエリの数が減少しパフォーマンスも向上できます。また、Resolver の利用料金も削減されます。

自動定義ルールを上書きする場合は、同じドメイン名に対して条件付き転送ルールを作成できます。

一部の自動定義ルールを無効にすることもできます。詳細については、「Resolver でのリバースDNSクエリの転送ルール」を参照してください。

リゾルバーは、以下の自動定義ルールを作成します。

プライベートホストゾーンのルール

に関連付けるプライベートホストゾーンごとにVPC、Resolver はルールを作成し、 に関連付けますVPC。プライベートホストゾーンを複数の に関連付けるとVPCs、Resolver はルールを同じ に関連付けますVPCs。

ルールのタイプは [転送] です。

さまざまな AWS 内部ドメイン名のルール

このセクションに示す内部ドメイン名では、すべてのルールタイプが [転送] となっています。Resolver は、これらのドメイン名のDNSクエリを の権威ネームサーバーに転送しますVPC。

注記

enableDnsHostnamesフラグを に設定すると、Resolver VPC はこれらのルールのほとんどを作成しますtrue。Resolver エンドポイントを使用していない場合でも、Resolver によってこのルールが作成されます。

enableDnsHostnamesフラグを VPCに設定すると、Resolver は次の自動定義ルールを作成し、それらを VPCに関連付けますtrue

  • Region-name.compute.internal。例えば、eu-west-1.compute.internal。us-east-1 リージョンでは、このドメイン名を使用しません。

  • Region-name.compute。amazon-domain-name例えば、eu-west-1.compute.amazonaws.com や cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn などです。us-east-1 リージョンでは、このドメイン名を使用しません。

  • ec2.internal。us-east-1 リージョンでのみ、このドメイン名を使用します。

  • compute-1.internal。us-east-1 リージョンでのみ、このドメイン名を使用します。

  • compute-1.amazonaws.com。us-east-1 リージョンでのみ、このドメイン名を使用します。

次の自動定義ルールは、 の enableDnsHostnamesフラグを に設定したときに Resolver が作成するルールの逆DNS検索用ですVPCtrue

  • 10.in-addr.arpa

  • 16.172.in-addr.arpa から 31.172.in-addr.arpa

  • 168.192.in-addr.arpa

  • 254.169.254.169.in-addr.arpa

  • の各CIDR範囲のルールVPC。例えば、VPCCIDR範囲が 10.0.0.0/23 の の場合、Resolver は次のルールを作成します。

    • 0.0.10.in-addr.arpa

    • 1.0.10.in-addr.arpa

enableDnsHostnamesフラグを VPCに設定すると、localhost 関連ドメインの次の自動定義ルールも作成され、 に関連付けられVPCますtrue

  • localhost

  • localdomain

  • 127.in-addr.arpa

  • 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

  • 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

Resolver は、 をトランジットゲートウェイまたはVPCピアリングVPCを介してVPC別の に接続し、DNSサポートが有効になっていVPCる場合、次の自動定義ルールを作成し、 に関連付けます。

  • 0.192.in-addr.arpa など、ピア VPCの IP アドレス範囲の逆DNS検索

    IPv4 CIDR ブロックを に追加するとVPC、Resolver は新しい IP アドレス範囲の自動定義ルールを追加します。

  • もう 1 つのVPCリージョンが別のリージョンにある場合、次のドメイン名になります。

    • Region-name.compute.internal。us-east-1 リージョンでは、このドメイン名を使用しません。

    • Region-name.compute。amazon-domain-name。 us-east-1 リージョンはこのドメイン名を使用しません。

    • ec2.internal。us-east-1 リージョンでのみ、このドメイン名を使用します。

    • compute-1.amazonaws.com。us-east-1 リージョンでのみ、このドメイン名を使用します。

他のすべてのドメイン用のルール

ここまでこのトピックで言及されていない、すべてのドメイン名については、Resolver が作成する「.」(ドット) ルールが適用されます。「.」ルールのタイプはRecursive (再帰)なので、このルールが適用された Resolver は、再帰リゾルバーとして機能します。

インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項

AWS リージョンでインバウンドおよびアウトバウンドの Resolver エンドポイントを作成する前に、次の点を考慮してください。

各 リージョンのインバウンドエンドポイントおよびアウトバウンドエンドポイントの 数

AWS リージョンVPCsの DNSの を ネットワークDNSに統合するには、通常、1 つの Resolver インバウンドエンドポイント ( に転送するDNSクエリの場合VPCs) と 1 つのアウトバウンドエンドポイント ( からVPCsネットワークに転送するクエリの場合) が必要です。複数のインバウンドエンドポイントと複数のアウトバウンドエンドポイントを作成できますが、各方向のDNSクエリを処理するには、1 つのインバウンドエンドポイントまたはアウトバウンドエンドポイントで十分です。次の点に注意してください。

  • 各 Resolver エンドポイントのために、それぞれ異なるアベイラビリティーゾーンで 2 つ以上の IP アドレスを指定します。エンドポイントの各 IP アドレスは、1 秒あたりに多数のDNSクエリを処理できます。(エンドポイントの IP アドレスあたりの 1 秒あたりのクエリの現在の最大数については、「Route 53 Resolver でのクォータ」を参照してください) より多くのクエリを Resolver で処理する場合、別のエンドポイントを追加するのではなく、既存のエンドポイントにさらに IP アドレスを追加することができます。

  • リゾルバーの料金は、エンドポイント内の IP アドレスの数と、エンドポイントが処理するDNSクエリの数に基づきます。各エンドポイントに最低 2 つの IP アドレスが含まれています。Resolver の料金については、Amazon Route 53 料金表を参照してください。

  • 各ルールは、DNSクエリの送信元のアウトバウンドエンドポイントを指定します。リージョンに AWS 複数のアウトバウンドエンドポイントを作成し、一部またはすべての Resolver ルールをすべての に関連付ける場合はVPC、それらのルールの複数のコピーを作成する必要があります。

VPC インバウンドエンドポイントとアウトバウンドエンドポイントに同じ を使用する

インバウンドエンドポイントとアウトバウンドエンドポイントは、同じリージョンの同じ VPC または異なる VPCsに作成できます。

詳細については、「Amazon Route 53 のベストプラクティス」を参照してください。

インバウンドエンドポイントとプライベートホストゾーン

Resolver でプライベートホストゾーンのレコードを使用してインバウンドDNSクエリを解決する場合は、プライベートホストゾーンをインバウンドエンドポイントVPCを作成した に関連付けます。プライベートホストゾーンと の関連付けについてはVPCs、「」を参照してくださいプライベートホストゾーンの使用

VPC ピアリング

選択した が他の とVPCピアリング接続されているかどうかにかかわらず、インバウンドエンドポイントまたはアウトバウンドエンドポイントに AWS リージョンVPCの を使用できますVPCs。詳細については、Amazon Virtual Private Cloud VPCピアリング」を参照してください。

共有サブネット内の IP アドレス

インバウンドエンドポイントまたはアウトバウンドエンドポイントを作成する場合、現在のアカウントが を作成した場合にのみ、共有サブネットで IP アドレスを指定できますVPC。別のアカウントが を作成しVPC、 でサブネットVPCを自分のアカウントと共有する場合、そのサブネットで IP アドレスを指定することはできません。共有サブネットの詳細については、「Amazon VPC ユーザーガイド」の「共有 VPCs の使用」を参照してください。

ネットワークとエンドポイントVPCsを作成する 間の接続

ネットワークとエンドポイントVPCsを作成する の間に、次のいずれかの接続が必要です。

  • インバウンドエンドポイント – ネットワークとインバウンドエンドポイントVPCを作成する各 との間に、 AWS Direct Connect 接続または VPN接続を設定する必要があります。

  • アウトバウンドエンドポイント – ネットワークとアウトバウンドエンドポイントVPCを作成する各 の間に、AWS Direct Connect接続、VPN接続 、またはネットワークアドレス変換 (NAT) ゲートウェイを設定する必要があります。

ルールを共有すると、アウトバウンドエンドポイントも共有されます。

ルールを作成するときは、Resolver でDNSクエリをネットワークに転送するために使用するアウトバウンドエンドポイントを指定します。ルールを別の AWS アカウントと共有する場合、ルールで指定したアウトバウンドエンドポイントも間接的に共有します。 AWS リージョンVPCsで複数の AWS アカウントを使用して を作成した場合は、次の操作を実行できます。

  • リージョンにアウトバウンドエンドポイントを 1 つ作成します。

  • 1 つのアカウントを使用してルール AWS を作成します。

  • リージョンで が作成したすべての AWS アカウントとルールを共有VPCsします。

これにより、 が異なる AWS アカウントを使用してVPCs作成されたVPCs場合でも、リージョン内の 1 つのアウトバウンドエンドポイントを使用して、複数の からネットワークにDNSクエリを転送できます。

エンドポイントのプロトコルの選択

エンドポイントプロトコルは、データをインバウンドエンドポイントに送信する方法とアウトバウンドエンドポイントから送信する方法を決定します。ネットワーク上のすべてのパケットフローは、送信および配信前に正しい送信元と送信先を検証するルールに対して個別に承認されるため、VPCトラフィックのDNSクエリを暗号化する必要はありません。送信側と受信側の両方から特別な許可されていない限り、情報がエンティティ間で勝手にやり取りされることはほとんどありません。パケットが、一致するルールのない送信先にルーティングされる場合、そのパケットはドロップされます。詳細については、「 VPCの機能」を参照してください。

使用可能なプロトコルは次のとおりです。

  • Do53: ポート 53 DNS経由。データは Route 53 リゾルバーを使用して中継され、追加の暗号化は行われません。データは外部関係者が読み取ることはできませんが、 AWS ネットワーク内で表示できます。UDP または のいずれかTCPを使用してパケットを送信します。Do53 は、主に Amazon 内および Amazon 間のトラフィックに使用されますVPCs。

  • DoH : データは暗号化されたHTTPSセッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化できず、意図した受信者以外はデータを読み取れないというセキュリティレベルを追加します。

  • DoH -FIPS: データは、140-2 FIPS 暗号化標準に準拠した暗号化HTTPSセッションを介して送信されます。インバウンドエンドポイントのみでサポートされます。詳細については、FIPSPUB「140-2」を参照してください。

インバウンドエンドポイントには、以下のようにプロトコルを適用できます。

  • Do53 と DoH の組み合わせ。

  • Do53 と DoH FIPSの組み合わせ。

  • Do53 のみ。

  • DoH のみ。

  • DoH -FIPS 単独。

  • なし。Do53 として扱われます。

アウトバウンドエンドポイントには、以下のようにプロトコルを適用できます。

  • Do53 と DoH の組み合わせ。

  • Do53 のみ。

  • DoH のみ。

  • なし。これは Do53 として扱われます。

インバウンドエンドポイントを作成または編集するときに指定する値」および「アウトバウンドエンドポイントを作成または編集するときに指定する値」も参照してください。

専用インスタンステナンシー用にVPCs設定された での Resolver の使用

Resolver エンドポイントを作成するときに、インスタンステナンシー属性VPCが に設定されている を指定することはできませんdedicated。Resolver は、シングルテナントのハードウェア上では実行されません。

Resolver を使用して、 で発生するDNSクエリを解決することはできますVPC。インスタンステナンシー属性VPCが に設定されている を少なくとも 1 つ作成しdefault、インバウンドエンドポイントとアウトバウンドエンドポイントを作成するVPCときに指定します。

転送ルールを作成するときは、インスタンステナンシー属性の設定に関係なくVPC、任意の に関連付けることができます。