翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Route 53 VPC Resolver とは
Route 53 VPC Resolver は、パブリックレコード、Amazon VPC 固有の DNS 名、Amazon Route 53 プライベートホストゾーンの AWS リソースからの DNS クエリに再帰的に応答し、デフォルトですべての VPCs で使用できます。
**注記**
Route 53 VPC Resolver は以前は Route 53 Resolver と呼ばれていましたが、Route 53 Global Resolver の導入時に名前が変更されました。
Amazon VPC は、VPC\$12 IP アドレスで VPC リゾルバーに接続します。この VPC\$12 アドレスは、アベイラビリティーゾーン内の VPC リゾルバーに接続します。
VPC リゾルバーは、次の DNS クエリに自動的に応答します。
+ EC2 インスタンスのローカル VPC ドメイン名 (例えば、ec2-192-0-2-44.compute-1.amazonaws.com)
+ プライベートホストゾーンのレコード (例えば、acme.example.com)。
+ パブリックドメイン名の場合、VPC Resolver はインターネット上のパブリックネームサーバーに対して再帰的なルックアップを実行します。
VPC とオンプレミスリソースの両方を利用するワークロードがある場合は、オンプレミスでホストされている DNS レコードを解決する必要もあります。同様に、これらのオンプレミスリソースは、ホストされている名前を解決する必要がある場合があります AWS。Resolver エンドポイントと条件付き転送ルールにより、オンプレミスリソースと VPC 間の DNS クエリを解決して、VPN または Direct Connect (DX) 経由でハイブリッドクラウド環境を構築できます。具体的には次のとおりです。
+ インバウンド Resolver エンドポイントを使用すると、VPC に、オンプレミスネットワークまたは別の VPC から DNS クエリが可能になります。
+ アウトバウンド Resolver エンドポイントを使用すると、VPC から、オンプレミスネットワークまたは別の VPC に DNS クエリが可能になります。
+ Resolver ルールを使用すると、ドメイン名ごとに転送ルールを 1 つ作成し、VPC からオンプレミスの DNS リゾルバーへの DNS クエリ、およびオンプレミスから VPC への DNS クエリを転送するドメイン名を指定できます。ルールは VPC に直接適用され、複数のアカウントで共有できます。
次の図は、Resolver エンドポイントを使用したハイブリッド DNS 解決を示しています。この図は、アベイラビリティーゾーンを 1 つだけ表示するように簡略化されていることに注意してください。
![\[Route 53 VPC Resolver アウトバウンドエンドポイントを介した VPC からオンプレミスデータストレージへの DNS クエリのパスと、ネットワークインバウンドエンドポイント上の DNS リゾルバーから VPC に戻るパスを示す概念図。\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/images/Resolver-routing.png)
この図は、以下のステップを示しています。
**アウトバウンド (実線矢印 1~5):**
1. Amazon EC2 インスタンスは internal.example.com というドメインへの DNS クエリを解決する必要があります。権限のある DNS サーバーは、オンプレミスデータセンターで管理されています。この DNS クエリは、VPC Resolver に接続する VPC の VPC\$12 に送信されます。
1. VPC Resolver 転送ルールは、オンプレミスデータセンターの internal.example.com にクエリを転送するように設定されています。
1. クエリはアウトバウンドエンドポイントに転送されます。
1. アウトバウンドエンドポイントは、 AWS とデータセンター間のプライベート接続を介してクエリをオンプレミス DNS リゾルバーに転送します。接続は AWS Site-to-Site VPN、仮想プライベートゲートウェイとして表される Direct Connect または のいずれかになります。
1. オンプレミスの DNS リゾルバーは internal.example.com の DNS クエリを解決し、同じパスを逆向きに経由して回答を Amazon EC2 インスタンスに返します。
**インバウンド (破線矢印 a~d):**
1. オンプレミスデータセンターのクライアントは、ドメイン dev.example.com の AWS リソースに DNS クエリを解決する必要があります。クエリをオンプレミスの DNS リゾルバーに送信します。
1. オンプレミスの DNS リゾルバーには、dev.example.com へのクエリをインバウンドエンドポイントに向ける転送ルールがあります。
1. クエリは、仮想ゲートウェイとして AWS Site-to-Site VPN示される Direct Connect や などのプライベート接続を介してインバウンドエンドポイントに到着します。
1. インバウンドエンドポイントはクエリを VPC Resolver に送信し、VPC Resolver は dev.example.com の DNS クエリを解決し、同じパスを逆にしてクライアントに回答を返します。
**Topics**
+ [
# VPC とネットワークの間における DNS クエリの解決
](resolver-overview-DSN-queries-to-vpc.md)
+ [
# Route 53 VPC Resolver の可用性とスケーリング
](resolver-availability-scaling.md)
+ [
# Route 53 VPC Resolver の開始方法
](resolver-getting-started.md)
+ [
# VPC へのインバウンド DNS クエリの転送
](resolver-forwarding-inbound-queries.md)
+ [
# ネットワークへのアウトバウンド DNS クエリの転送
](resolver-forwarding-outbound-queries.md)
+ [
# リゾルバーの委任ルールのチュートリアル
](outbound-delegation-tutorial.md)
+ [
# Amazon Route 53 での DNSSEC 検証の有効化
](resolver-dnssec-validation.md)
# VPC とネットワークの間における DNS クエリの解決
VPC Resolver には、オンプレミス環境との間で送受信される DNS クエリに応答するように設定したエンドポイントが含まれています。
**注記**
プライベート DNS クエリでは、オンプレミスまたは他の VPC DNS サーバーから任意の VPC CIDR \$1 2 アドレスへの転送はサポートされていないため、結果が不安定になる可能性があります。代わりに、Resolver のインバウンドエンドポイントの使用をお勧めします。
転送ルールを設定することで、ネットワーク上の VPC リゾルバーと DNS リゾルバーの間で DNS 解決を統合することもできます。*ネットワーク*には、VPC から到達可能なすべてのネットワークを含めることができます。その例を次に示します。
+ VPC 自体
+ 別のピア接続 VPC
+ VPN Direct Connect、またはネットワークアドレス変換 (NAT) ゲートウェイ AWS で接続されているオンプレミスネットワーク
クエリの転送を開始する前に、Route 53 Resolver のインバウンドおよび (または) アウトバウンドエンドポイントを、接続された VPC 内に作成します。これらのエンドポイントは、インバウンドまたはアウトバウンドクエリのパスを提供します。
**インバウンドエンドポイント: ネットワーク上の DNS リゾルバーは、このエンドポイントを介して DNS クエリを Route 53 VPC Resolver に転送できます**
インバウンドエンドポイントには、IP アドレスに転送する**デフォルトのインバウンドエンドポイント**と、Route 53 プライベートホストゾーンでホストされているサブドメインの権限を Route 53 VPC リゾルバーに委任する**委任インバウンドエンドポイント**の 2 種類があります。インバウンドエンドポイントを使用すると、DNS リゾルバーは、Route 53 プライベートホストゾーンの EC2 インスタンスやレコードなどの AWS リソースのドメイン名を簡単に解決できます。詳細については、「[ネットワーク上の DNS リゾルバーが DNS クエリを Resolver エンドポイントに転送する方法](resolver-overview-forward-network-to-vpc.md)」を参照してください。
**アウトバウンドエンドポイント: VPC Resolver は、このエンドポイントを介してネットワーク上のリゾルバーにクエリを条件付きで転送します**
クエリを選択して転送するには、Route 53 Resolver ルールを作成して、転送するDNS クエリのドメイン名 (example.com など)、および (クエリの転送先である) ネットワーク上の DNS リゾルバーの IP アドレスを指定します。クエリが (example.com と acme.example.com など) 複数のルールと一致する場合、VPC Resolver では最も具体的なルール (acme.example.com) が選択され、そのルールで指定している IP アドレスに対しクエリが転送されます。ルールには、**転送**、**システム**、**委任**の 3 種類があります。詳細については、「[Resolver エンドポイントが VPCs からネットワークに DNS クエリを転送する方法](resolver-overview-forward-vpc-to-network.md)」を参照してください。
Amazon VPC と同様に、VPC Resolver はリージョン別です。VPC があるリージョンごとに、クエリを VPC からネットワークに転送するか (アウトバウンドクエリ)、ネットワークから VPC に転送するか (インバウンドクエリ)、または両方を行うかを選択できます。
所有していない VPC で Resolver エンドポイントを作成することはできません。VPC 所有者だけが、インバウンドエンドポイントなどの VPC レベルのリソースを作成できます。
**注記**
Resolver エンドポイントを作成する際、インスタンスのテナンシー属性が `dedicated` に設定されている VPC を指定することはできません。詳細については、「[専用インスタンステナンシー用に設定された VPC での VPCs リゾルバーの使用](resolver-choose-vpc.md#resolver-considerations-dedicated-instance-tenancy)」を参照してください
インバウンド転送またはアウトバウンド転送を使用するには、VPC に Resolver のエンドポイントを作成します。エンドポイントの定義の一環として、インバウンド DNS クエリを転送する IP アドレス、または DNS 委任、あるいはアウトバウンドクエリの発信元となる IP アドレスを指定します。指定した IP アドレスと委任ごとに、VPC Resolver は VPC Elastic Network Interface を自動的に作成します。
次の図は、ネットワーク上の DNS リゾルバーから Route 53 Resolver エンドポイントへの DNS クエリのパスを示しています。
![\[ネットワーク上の DNS リゾルバーから Route 53 Resolver エンドポイントへの DNS クエリのパスを示す概要図。\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/images/Resolver-inbound-endpoint.png)
次の図は、いずれかの VPC の EC2 インスタンスからネットワーク上の DNS リゾルバーへの DNS クエリのパスを示しています。jyo.example.com ドメインは転送ルールを使用しますが、ric.example.com サブドメインは転送権限を VPC Resolver に委任しています。
![\[ネットワークから Route 53 VPC Resolver への DNS クエリのパスを示す概念図。\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/images/Resolver-outbound-endpoint.png)
VPC ネットワークインターフェイスの概要については、*Amazon VPC ユーザーガイド*の「[Elastic Network Interface](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html)」を参照してください。
**トピック**
+ [ネットワーク上の DNS リゾルバーが DNS クエリを Resolver エンドポイントに転送する方法](resolver-overview-forward-network-to-vpc.md)
+ [Resolver エンドポイントが VPCs からネットワークに DNS クエリを転送する方法](resolver-overview-forward-vpc-to-network.md)
+ [インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項](resolver-choose-vpc.md)
# ネットワーク上の DNS リゾルバーが DNS クエリを Resolver エンドポイントに転送する方法
ネットワークから Route 53 VPC Resolver に DNS クエリを転送するには、 AWS リージョンにインバウンドエンドポイントを作成します。インバウンドエンドポイントには、**デフォルト**と**委任**の 2 つのカテゴリがあります。
**デフォルトのインバウンドエンドポイントを作成するステップ**
1. VPC にデフォルトの Resolver インバウンドエンドポイントを作成し、ネットワーク上のリゾルバーが DNS クエリを転送する IP アドレスと、ポート 53 での TCP および UDP アクセスを許可するインバウンドルールを含む VPC セキュリティグループを指定します。手順については、「[インバウンド転送の設定](resolver-forwarding-inbound-queries-configuring.md)」を参照してください。
インバウンドエンドポイントに指定した IP アドレスごとに、VPC Resolver はインバウンドエンドポイントを作成した VPC に VPC Elastic Network Interface を作成します。
1. 該当するドメイン名の DNS クエリを、インバウンドエンドポイントで指定した IP アドレスに転送するように、ネットワークのリゾルバーを設定します。詳細については、「[インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項](resolver-choose-vpc.md)」を参照してください。
**VPC Resolver がデフォルトのインバウンドエンドポイントを介してネットワークで発生する DNS クエリを解決する方法は次のとおりです。**
1. ウェブブラウザまたはネットワーク上の別のアプリケーションは、VPC Resolver に転送したドメイン名の DNS クエリを送信します。
1. ネットワークのリゾルバーは、このクエリをインバウンドエンドポイントの IP アドレスに転送します。
1. インバウンドエンドポイントは、クエリを VPC Resolver に転送します。
1. VPC Resolver は、内部的に、またはパブリックネームサーバーに対して再帰的な検索を実行して、DNS クエリ内のドメイン名に該当する値を取得します。
1. VPC Resolver は、インバウンドエンドポイントに値を返します。
1. インバウンドエンドポイントは、この値をお客様環境上のリゾルバーに返します。
1. お客様環境上のリゾルバーは、この値をアプリケーションに返します。
1. VPC Resolver によって返された値を使用して、アプリケーションは Amazon S3 バケット内のオブジェクトのリクエストなど、リクエストを送信します。
**委任インバウンドエンドポイントを作成するステップ**
1. VPC に委任リゾルバーのインバウンドエンドポイントを作成します。手順については、「[インバウンド転送の設定](resolver-forwarding-inbound-queries-configuring.md)」を参照してください。
インバウンドエンドポイントに指定した IP アドレスごとに、VPC Resolver はインバウンドエンドポイントを作成した VPC に VPC Elastic Network Interface を作成します。
1. 該当するドメイン名の DNS クエリを VPC Resolver に委任するようにネットワーク上のリゾルバーを設定します。グルーレコードには、インバウンドエンドポイントの IP アドレスを入力する必要があります。詳細については、「[インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項](resolver-choose-vpc.md)」を参照してください。
**VPC Resolver が委任インバウンドエンドポイントを介してネットワークで発生する DNS クエリを解決する方法は次のとおりです。**
1. 前提条件として、プライベートホストゾーンでホストされているサブドメインをオンプレミスから委任する必要があります。インバウンド委任エンドポイントを介してサブドメインを委任するため、委任されるサブドメインのグルーレコードとしてインバウンドエンドポイント IP アドレスを使用します。
**注記**
DNS クエリが解決可能であることを確認するために、グルーレコードを含める必要がある場合もあります。親ドメインと同じゾーンにあるネームサーバーにサブドメインを委任する場合は、グルーレコードが必要です。
1. ウェブブラウザまたはネットワーク上の別のアプリケーションは、VPC リゾルバーに委任したドメイン名の DNS クエリを送信します。
1. ネットワークのリゾルバーは、このクエリをインバウンドエンドポイントの IP アドレスに転送します。
1. インバウンドエンドポイントは、クエリを VPC Resolver に委任します。
1. VPC Resolver は、プライベートホストゾーンからインバウンドエンドポイントにアドレスを AWS リソースに返します。
1. インバウンドエンドポイントは、この値をお客様環境上のリゾルバーに返します。
1. お客様環境上のリゾルバーは、この値をアプリケーションに返します。
1. VPC Resolver によって返された値を使用して、アプリケーションは Amazon S3 バケット内のオブジェクトのリクエストなど、リクエストを送信します。
インバウンドエンドポイントを作成しても VPC Resolver の動作は変わりません。 AWS ネットワーク外の場所から VPC Resolver へのパスを提供するだけです。
# Resolver エンドポイントが VPCs からネットワークに DNS クエリを転送する方法
AWS リージョンの 1 つ以上の VPCs の EC2 インスタンスからネットワークに DNS クエリを転送する場合は、次の手順を実行します。
1. VPC に Resolver アウトバウンドエンドポイントを作成し、いくつかの値を指定します。
+ お客様環境上のリゾルバーに向かう途中で DNS クエリが通過する VPC。
+ ポート 53 (またはネットワーク上の DNS クエリに使用しているポート) で TCP および UDP アクセスを許可するアウトバウンドルールを含む [VPC セキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
アウトバウンドエンドポイントに指定した IP アドレスごとに、VPC Resolver は指定した VPC に Amazon VPC Elastic Network Interface を作成します。詳細については、「[インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項](resolver-choose-vpc.md)」を参照してください。
1. VPC Resolver に転送する DNS クエリのドメイン名を指定するルール、または VPC Resolver がネットワーク上のリゾルバーに転送するルールを 1 つ以上作成します。また、転送ルールでリゾルバーの IP アドレスも指定します。詳細については、「[ネットワークに転送するクエリをルールでコントロールする](resolver-overview-forward-vpc-to-network-using-rules.md)」を参照してください。
1. 各ルールを、ネットワークに DNS クエリを転送する VPC に関連付けます。
# ネットワークに転送するクエリをルールでコントロールする
ルールは、Resolver エンドポイントがネットワーク上の DNS リゾルバーに転送する DNS クエリと、VPC Resolver が応答するクエリを制御します。
ルールは 2 通りの方法で分類できます。1 つの方法では、ルールの作成元で分類します。
+ **自動定義ルール** – VPC Resolver は自動定義ルールを自動的に作成し、ルールを VPCs。これらのルールのほとんどは、VPC Resolver がクエリに応答する AWS特定のドメイン名に適用されます。詳細については、「[VPC Resolver が自動定義されたシステムルールを作成するドメイン名](resolver-overview-forward-vpc-to-network-autodefined-rules.md)」を参照してください。
+ **カスタムルール** – カスタムルールは、ユーザーが作成して VPC に関連付けます。現在、**条件付き転送ルール** (転送ルールとも呼ばれます) と**委任ルール**という 2 種類のカスタムルールを作成できます。**転送**ルールにより、VPC リゾルバーVPCs からネットワーク上の DNS リゾルバーの IP アドレスに DNS クエリを転送します。
自動定義ルールと同じドメインの転送ルールを作成すると、VPC Resolver は転送ルールの設定に基づいて、そのドメイン名のクエリをネットワーク上の DNS リゾルバーに転送します。
**委任ルール**は、ネットワーク上のリゾルバーに応答して NS レコードに一致する委任ルール内の委任レコードを使用して DNS クエリを転送します。
ルールを分類するもう 1 つの方法は、以下の機能に基づきます。
+ **条件付き転送ルール** – 指定されたドメイン名の DNS クエリをネットワーク上の DNS リゾルバーに転送する場合は、条件付き転送ルール (転送ルール) を作成します。
+ **システムルール** – システムルールにより、VPC Resolver は転送ルールで定義されている動作を選択的に上書きします。システムルールを作成すると、VPC リゾルバーは、ネットワーク上の DNS リゾルバーによって解決される、指定されたサブドメインの DNS クエリを解決します。
デフォルトでは、転送ルールはドメイン名とそのすべてのサブドメインに適用されます。ドメインのクエリをネットワークのリゾルバーに転送する際に、一部のサブドメインのクエリを除外する場合は、これらのサブドメインに対してシステムルールを作成します。例えば、example.com の転送ルールを作成する際に acme.example.com のクエリを転送しない場合は、システムルールを作成し、ドメイン名として acme.example.com を指定します。
+ **再帰ルール** – VPC Resolver は、**Internet Resolver** という名前の再帰ルールを自動的に作成します。このルールにより、Route 53 VPC Resolver は、カスタムルールを作成せず、VPC Resolver が自動定義ルールを作成しなかったドメイン名の再帰的なリゾルバーとして機能します。この動作を上書きする方法については、このトピックで後ほど説明する「すべてのクエリをネットワークに転送する」を参照してください。
特定のドメイン名 (お客様またはほとんどの AWS ドメイン名)、パブリック AWS ドメイン名、またはすべてのドメイン名に適用されるカスタムルールを作成できます。
**特定のドメイン名のクエリをネットワークに転送する**
特定のドメイン名 (example.com など) のクエリをネットワークに転送するには、ルールを作成してそのドメイン名を指定します。**転送**ルールでは、クエリを転送するネットワーク上の DNS リゾルバーの IP アドレスを指定するか、**委任**ルールでは、権限をオンプレミスリゾルバーに委任する委任レコードを作成します。次に、各ルールを、ネットワークに DNS クエリを転送する VPC に関連付けます。例えば、example.com、example.org、example.net に個別のルールを作成できます。その後、ルールを任意の組み合わせで AWS リージョンの VPCs に関連付けることができます。
**amazonaws.com のクエリをネットワークに転送する**
ドメイン名 amazonaws.com は、EC2 インスタンスや S3 バケットなどの AWS リソースのパブリックドメイン名です。amazonaws.com のクエリをネットワークに転送する場合は、ルールを作成し、ドメイン名として amazonaws.com を指定し、使用する方法に応じて、ルールタイプとして**転送**または**委任**を指定します。
VPC Resolver は、amazonaws.com の転送ルールを作成しても、一部の amazonaws.com サブドメインの DNS クエリを自動的に転送しません。詳細については、「[VPC Resolver が自動定義されたシステムルールを作成するドメイン名](resolver-overview-forward-vpc-to-network-autodefined-rules.md)」を参照してください。この動作を上書きする方法については、次の「すべてのクエリをネットワークに転送する」を参照してください。
**すべてのクエリをネットワークに転送する**
すべてのクエリが自分のネットワークに転送されるようにするには、ドメイン名に「.」(ドット) を指定しながらルールを作成し、このルールを、ネットワークへのすべての DNS クエリの転送先となる VPC に関連付けます。の外部で DNS リゾルバーを使用すると一部の機能が破損するため、VPC リゾルバー AWS は引き続きすべての DNS クエリをネットワークに転送しません。たとえば、一部の内部 AWS ドメイン名には、外部からアクセスできない内部 IP アドレス範囲があります AWS。「.」のクエリを作成したときに、ネットワークに転送されないクエリのドメイン名のリストについては、「[VPC Resolver が自動定義されたシステムルールを作成するドメイン名](resolver-overview-forward-vpc-to-network-autodefined-rules.md)」を参照してください。
ただし、逆引き DNS の自動定義されたシステムルールを無効にして、「.」ルールを許可し、すべての逆引き DNS クエリをネットワークに転送できます。自動定義されたルールをオフにする方法の詳細については、[VPC Resolver での逆引き DNS クエリの転送ルール](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns) を参照してください。
デフォルトで転送から除外されるドメイン名も含めて、すべてのドメイン名の DNS クエリをネットワークに転送することを試す場合は、「.」ルールを作成して次のいずれかの操作を実行します。
+ VPC の `enableDnsHostnames` フラグを `false` に設定します。
+ 「[VPC Resolver が自動定義されたシステムルールを作成するドメイン名](resolver-overview-forward-vpc-to-network-autodefined-rules.md)」に示されているドメイン名に対してルールを作成します。
「.」ルールの作成時に VPC Resolver が除外するドメイン名を含め、すべてのドメイン名をネットワークに転送すると、一部の機能が機能しなくなる場合があります。
# VPC Resolver がクエリ内のドメイン名がルールと一致するかどうかを判断する方法
Route 53 VPC Resolver は、DNS クエリのドメイン名を、クエリの送信元の VPC に関連付けられたルールのドメイン名と比較します。VPC Resolver は、次の場合にドメイン名が一致すると見なします。
+ 両方のドメイン名が完全に一致する
+ クエリ内のドメイン名は、ルール内のドメイン名のサブドメインである
たとえば、ルールのドメイン名が acme.example.com の場合、VPC Resolver は DNS クエリ内の次のドメイン名を一致と見なします。
+ acme.example.com
+ zenith.acme.example.com
以下のドメイン名は一致しません。
+ example.com
+ nadir.example.com
クエリのドメイン名が複数のルール (example.com や www.example.com など) のドメイン名と一致する場合、VPC Resolver は最も具体的なドメイン名 (www.example.com) を含むルールを使用してアウトバウンド DNS クエリをルーティングします。
# VPC Resolver が DNS クエリを転送する場所を決定する方法
VPC の EC2 インスタンスで実行されるアプリケーションが DNS クエリを送信すると、Route 53 VPC Resolver は次の手順を実行します。
1. Resolver がルール内のドメイン名を確認します。
クエリのドメイン名がデフォルトの転送ルールのドメイン名と一致する場合、VPC Resolver はアウトバウンドエンドポイントの作成時に指定した IP アドレスにクエリを転送します。アウトバウンドエンドポイントは、このクエリを、ルールの作成時に指定したネットワークのリゾルバーの IP アドレスに転送します。
レスポンスの委任レコードが委任ルールと一致する場合、Resolver は委任ルールに関連付けられたアウトバウンドエンドポイントを介してオンプレミスリゾルバーに権限を委任します。
詳細については、「[VPC Resolver がクエリ内のドメイン名がルールと一致するかどうかを判断する方法](resolver-overview-forward-vpc-to-network-domain-name-matches.md)」を参照してください。
1. Resolver エンドポイントは、「.」ルールの設定に基づいて DNS クエリを転送します。
クエリのドメイン名が他のルールのドメイン名と一致しない場合、VPC Resolver は自動定義された「.」 (ドット) ルールの設定に基づいてクエリを転送します。ドットルールは、一部の AWS 内部ドメイン名とプライベートホストゾーンのレコード名を除くすべてのドメイン名に適用されます。このルールにより、クエリのドメイン名がカスタム転送ルールの名前と一致しない場合、VPC Resolver は DNS クエリをパブリックネームサーバーに転送します。すべてのクエリをネットワークの DNS リゾルバーに転送する場合は、カスタム転送ルールを作成し、ドメイン名として「.」を指定し、[**タイプ**] として [**転送**] を指定します。さらに、これらのリゾルバーの IP アドレスを指定します。
1. VPC Resolver は、クエリを送信したアプリケーションにレスポンスを返します。
# 複数のリージョンにおけるルールの使用
Route 53 VPC Resolver はリージョンのサービスであるため、1 つの AWS リージョンで作成したオブジェクトは、そのリージョンでのみ使用できます。同じルールを複数のリージョンで使用するには、リージョンごとにルールを作成する必要があります。
ルールを作成した AWS アカウントは、ルールを他の AWS アカウントと共有できます。詳細については、「[Resolver ルールを他の AWS アカウントと共有し、共有ルールを使用する](resolver-rules-managing.md#resolver-rules-managing-sharing)」を参照してください。
# VPC Resolver が自動定義されたシステムルールを作成するドメイン名
Resolver は、選択したドメインのクエリを解決する方法を定義する自動定義システムルールを自動的に作成します。
+ プライベートホストゾーン、および Amazon EC2 固有のドメイン名 (compute.amazonaws.com や compute.internal など) では、「.」(ドット) や「com」など、具体性のないドメイン名で条件付き転送ルールが作成された場合、自動定義ルールによりプライベートホストゾーンと EC2 インスタンスの解決が維持されます。
+ パブリックに予約されたドメイン名 (localhost や 10.in-addr.arpa など) については、DNS のベストプラクティスに従って、クエリを公開ネームサーバーに転送しないで、ローカルで応答するようお勧めします。「[RFC 6303, Locally Served DNS Zones](https://tools.ietf.org/html/rfc6303)」を参照してください。
**注記**
「.」 (ドット) または「com」の条件付き転送ルールを作成する場合は、amazonaws.com のシステムルールも作成することをお勧めします。(システムルールにより、VPC Resolver は特定のドメインとサブドメインの DNS クエリをローカルで解決します。) このシステムルールを作成すると、パフォーマンスが向上し、ネットワークに転送されるクエリの数が減少し、VPC リゾルバーの料金が削減されます。
自動定義ルールを上書きする場合は、同じドメイン名に対して条件付き転送ルールを作成できます。
一部の自動定義ルールを無効にすることもできます。詳細については、「[VPC Resolver での逆引き DNS クエリの転送ルール](resolver-rules-managing.md#resolver-automatic-forwarding-rules-reverse-dns)」を参照してください。
VPC Resolver は、次の自動定義ルールを作成します。
**プライベートホストゾーンのルール**
VPC に関連付けるプライベートホストゾーンごとに、VPC Resolver はルールを作成し、VPC に関連付けます。プライベートホストゾーンを複数の VPCs、VPC Resolver はルールを同じ VPCs。
ルールのタイプは [**転送**] です。
**さまざまな AWS 内部ドメイン名のルール**
このセクションに示す内部ドメイン名では、すべてのルールタイプが [**転送**] となっています。VPC Resolver は、これらのドメイン名の DNS クエリを VPC の権威ネームサーバーに転送します。
VPC Resolver は、VPC の `enableDnsHostnames`フラグを に設定すると、これらのルールのほとんどを作成します`true`。VPC Resolver は、Resolver エンドポイントを使用していない場合でもルールを作成します。
VPC Resolver は、VPC の `enableDnsHostnames`フラグを に設定すると、次の自動定義ルールを作成し、VPC に関連付けます`true`。
+ *Region-name*.compute.internal (例: eu-west-1.compute.internal)。us-east-1 リージョンでは、このドメイン名を使用しません。
+ *Region-name*.compute.*amazon-domain-name* (例: eu-west-1.compute.amazonaws.com または cn-north-1.compute.amazonaws.com.rproxy.goskope.com.cn)。us-east-1 リージョンでは、このドメイン名を使用しません。
+ ec2.internal。us-east-1 リージョンでのみ、このドメイン名を使用します。
+ compute-1.internal。us-east-1 リージョンでのみ、このドメイン名を使用します。
+ compute-1.amazonaws.com。us-east-1 リージョンでのみ、このドメイン名を使用します。
次の自動定義ルールは、VPC の `enableDnsHostnames`フラグを に設定したときに VPC Resolver が作成するルールの逆引き DNS ルックアップ用です`true`。
+ 10.in-addr.arpa
+ 16.172.in-addr.arpa から 31.172.in-addr.arpa
+ 168.192.in-addr.arpa
+ 254.169.254.169.in-addr.arpa
+ VPC の各 CIDR 範囲のルール。たとえば、CIDR 範囲が 10.0.0.0/23 の VPC の場合、VPC Resolver は次のルールを作成します。
+ 0.0.10.in-addr.arpa
+ 1.0.10.in-addr.arpa
以下の自動定義ルールは、localhost に関連するドメイン用であり、VPC の `enableDnsHostnames` フラグを `true` に設定したときに作成されて VPC に関連付けられます。
+ localhost
+ localdomain
+ 127.in-addr.arpa
+ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
+ 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
VPC Resolver は、トランジットゲートウェイまたは VPC ピアリングを介して VPC を別の VPC に接続し、DNS サポートを有効にすると、次の自動定義ルールを作成し、VPC に関連付けます。
+ ピア VPC の IP アドレス範囲の逆引き DNS ルックアップ (例: 0.192.in-addr.arpa)。
VPC に IPv4 CIDR ブロックを追加すると、VPC Resolver は新しい IP アドレス範囲の自動定義ルールを追加します。
+ 他の VPC が別のリージョンにある場合、以下のドメイン名になります。
+ *Region-name*.compute.internal。us-east-1 リージョンでは、このドメイン名を使用しません。
+ *Region-name*.compute.*amazon-domain-name*。us-east-1 リージョンでは、このドメイン名を使用しません。
+ ec2.internal。us-east-1 リージョンでのみ、このドメイン名を使用します。
+ compute-1.amazonaws.com。us-east-1 リージョンでのみ、このドメイン名を使用します。
**他のすべてのドメイン用のルール**
VPC Resolver は、このトピックの前半で指定されていないすべてのドメイン名に適用される「.」 (ドット) ルールを作成します。**「.」ルールには 再帰**型があります。つまり、このルールにより VPC リゾルバーが再帰リゾルバーとして機能します。
# インバウンドエンドポイントとアウトバウンドエンドポイントを作成する際の考慮事項
AWS リージョンでインバウンドおよびアウトバウンドの Resolver エンドポイントを作成する前に、次の問題を考慮してください。
**Topics**
+ [
## 各リージョンのインバウンドエンドポイントおよびアウトバウンドエンドポイントの数
](#resolver-considerations-number-of-endpoints)
+ [
## インバウンドエンドポイントとアウトバウンドエンドポイントに同じ VPC を使用する
](#resolver-considerations-same-vpc-inbound-outbound)
+ [
## インバウンドエンドポイントとプライベートホストゾーン
](#resolver-considerations-inbound-endpoint-private-zone)
+ [
## VPC ピアリング接続
](#resolver-considerations-vpc-peering)
+ [
## 共有サブネット内の IP アドレス
](#resolver-considerations-shared-subnets)
+ [
## ネットワークとエンドポイントを作成する VPC との間の接続
](#resolver-considerations-connection-between-network-and-vpcs)
+ [
## ルールを共有すると、アウトバウンドエンドポイントも共有されます。
](#resolver-considerations-share-rules-share-outbound-endpoints)
+ [
## エンドポイントのプロトコルの選択
](#resolver-endpoint-protocol-considerations)
+ [
## 専用インスタンステナンシー用に設定された VPC での VPCs リゾルバーの使用
](#resolver-considerations-dedicated-instance-tenancy)
## 各リージョンのインバウンドエンドポイントおよびアウトバウンドエンドポイントの数
AWS リージョン内の VPCs の DNS をネットワークの DNS と統合する場合は、通常、1 つの Resolver インバウンドエンドポイント (VPCs に転送する DNS クエリの場合) と 1 つのアウトバウンドエンドポイント (VPCs からネットワークに転送するクエリの場合) が必要です。複数のインバウンドエンドポイントとアウトバウンドエンドポイントを作成できますが、それぞれの方向のDNS クエリを処理するために1つのインバウンドまたはアウトバウンドエンドポイントで十分です。次の点に注意してください。
+ 各 Resolver エンドポイントのために、それぞれ異なるアベイラビリティーゾーンで 2 つ以上の IP アドレスを指定します。エンドポイント内の各 IP アドレスは、1 秒間に多数の DNS クエリを処理できます。(エンドポイントの IP アドレスあたりの 1 秒あたりのクエリの現在の最大数については、「[Route 53 VPC リゾルバーのクォータ](DNSLimitations.md#limits-api-entities-resolver)」を参照してください) より多くのクエリを処理するために VPC Resolver が必要な場合は、別のエンドポイントを追加する代わりに、既存のエンドポイントに IP アドレスを追加できます。
+ VPC Resolver の料金は、エンドポイント内の IP アドレスの数と、エンドポイントが処理する DNS クエリの数に基づきます。各エンドポイントに最低 2 つの IP アドレスが含まれています。VPC Resolver の料金の詳細については、[「Amazon Route 53 の料金](https://aws.amazon.com/route53/pricing/)」を参照してください。
+ 各ルールは、DNS クエリの転送元の発信エンドポイントを指定します。 AWS リージョンに複数のアウトバウンドエンドポイントを作成し、一部またはすべての Resolver ルールをすべての VPC に関連付ける場合は、それらのルールのコピーを複数作成する必要があります。
## インバウンドエンドポイントとアウトバウンドエンドポイントに同じ VPC を使用する
インバウンドエンドポイントとアウトバウンドエンドポイントは、同じ VPC 内に作成することも、同じリージョン内の異なる VPC 内に作成することもできます。
詳細については、「[Amazon Route 53 のベストプラクティス](best-practices.md)」を参照してください
## インバウンドエンドポイントとプライベートホストゾーン
VPC Resolver でプライベートホストゾーンのレコードを使用してインバウンド DNS クエリを解決する場合は、プライベートホストゾーンをインバウンドエンドポイントを作成した VPC に関連付けます。プライベートホストゾーンと VPC の関連付けについては、「[プライベートホストゾーンの使用](hosted-zones-private.md)」を参照してください。
## VPC ピアリング接続
選択した VPC が他の VPC とピアリングされているかどうかにかかわらず、インバウンドエンドポイントまたはアウトバウンドエンドポイントに AWS リージョン内の任意の VPCsを使用できます。詳細については、「[Amazon Virtual Private Cloud VPC Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)」を参照してください。
## 共有サブネット内の IP アドレス
インバウンドまたはアウトバウンドエンドポイントを作成する場合、現在のアカウントで VPC を作成した場合のみ、共有サブネットに IP アドレスを指定できます。別のアカウントで VPC を作成し、VPC のサブネットをアカウントと共有している場合、そのサブネットで IP アドレスを指定することはできません。共有サブネットの詳細については、*Amazon VPC ユーザーガイド*の「[共有 VPC の使用](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)」を参照してください。
## ネットワークとエンドポイントを作成する VPC との間の接続
ネットワークとエンドポイントを作成する VPC との間には、次のいずれかの接続が必要です。
+ **インバウンドエンドポイント** - ネットワークと、インバウンドエンドポイントの作成先の各 VPC との間に [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 接続または [VPN 接続](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)を設定する必要があります。
+ **アウトバウンドエンドポイント** - ネットワークとアウトバウンドエンドポイントを作成する各 VPC の間に [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 接続、[VPN 接続](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)、または[ネットワークアドレス変換 (NAT) ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)を設定する必要があります。
## ルールを共有すると、アウトバウンドエンドポイントも共有されます。
ルールを作成するときは、VPC Resolver が DNS クエリをネットワークに転送するために使用するアウトバウンドエンドポイントを指定します。ルールを別の AWS アカウントと共有する場合、ルールで指定したアウトバウンドエンドポイントも間接的に共有します。複数の AWS アカウントを使用して AWS リージョンに VPCs を作成した場合は、次の操作を実行できます。
+ リージョンにアウトバウンドエンドポイントを 1 つ作成します。
+ 1 つの AWS アカウントを使用してルールを作成します。
+ リージョンで VPCs を作成したすべての AWS アカウントとルールを共有します。
これにより、リージョン内の 1 つのアウトバウンドエンドポイントを使用して、VPC が異なる AWS アカウントを使用して作成された場合でも、DNS クエリを複数の VPCs からネットワークに転送できます。
## エンドポイントのプロトコルの選択
エンドポイントプロトコルは、データをインバウンドエンドポイントに送信する方法とアウトバウンドエンドポイントから送信する方法を決定します。ネットワーク上のすべてのパケットフローは、送信と配信の前に正しい送信元と送信先を検証するルールに基づいて個別に承認されるため、VPC トラフィックの DNS クエリを暗号化する必要はありません。送信側と受信側の両方から特別な許可されていない限り、情報がエンティティ間で勝手にやり取りされることはほとんどありません。パケットが、一致するルールのない送信先にルーティングされる場合、そのパケットはドロップされます。詳細については、「[Amazon VPC の特徴](https://docs.aws.amazon.com/whitepapers/latest/logical-separation/vpc-and-accompanying-features.html)」を参照してください。
使用可能なプロトコルは次のとおりです。
+ **Do53:** ポート 53 経由の DNS。データは、追加の暗号化なしで VPC リゾルバーを使用して中継されます。データは外部関係者が読み取ることはできませんが、 AWS ネットワーク内で表示できます。UDP または TCP を使用してパケットを送信します。Do53 は主に Amazon VPC 内およびAmazon VPC 間のトラフィックに使用されます。現在、これは委任インバウンドエンドポイントで使用できる唯一のプロトコルです。
+ **DoH:** データは暗号化された HTTPS セッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化できず、意図した受信者以外はデータを読み取れないというセキュリティレベルを追加します。委任インバウンドエンドポイントでは使用できません。
+ **DoH-FIPS:** データは FIPS 140-2 暗号規格に準拠した暗号化された HTTPS セッションを介して送信されます。インバウンドエンドポイントのみでサポートされます。詳細については、「[FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2)」を参照してください。委任インバウンドエンドポイントでは使用できません。
**転送**タイプのインバウンドエンドポイントには、以下のようにプロトコルを適用できます。
+ Do53 と DoH の組み合わせ。
+ Do53 と DoH-FIPS の組み合わせ。
+ Do53 のみ。
+ DoH のみ。
+ DoH-FIPS のみ。
+ なし。Do53 として扱われます。
アウトバウンドエンドポイントには、以下のようにプロトコルを適用できます。
+ Do53 と DoH の組み合わせ。
+ Do53 のみ。
+ DoH のみ。
+ なし。これは Do53 として扱われます。
「[インバウンドエンドポイントを作成または編集するときに指定する値](resolver-forwarding-inbound-queries-values.md)」および「[アウトバウンドエンドポイントを作成または編集するときに指定する値](resolver-forwarding-outbound-queries-endpoint-values.md)」も参照してください。
## 専用インスタンステナンシー用に設定された VPC での VPCs リゾルバーの使用
Resolver エンドポイントを作成する際、[インスタンスのテナンシー属性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)が `dedicated` に設定されている VPC を指定することはできません。VPC Resolver はシングルテナントハードウェアでは実行されません。
VPC Resolver を使用して、VPC で発生する DNS クエリを解決できます。テナンシーが `default` に設定された VPC を少なくとも 1 つ作成し、インバウンドエンドポイントとアウトバウンドエンドポイントを作成するときに、その VPC を指定します。
移管ルールを作成するときは、インスタンステナンシーの設定に関わらず、任意の VPC に関連付けることができます。
# Route 53 VPC Resolver の可用性とスケーリング
Amazon VPC CIDR \$1 2 アドレスおよび fd00:ec2::253 で実行されている Route 53 VPC Resolver は、デフォルトですべての VPCs、パブリックレコード、Amazon VPC 固有の DNS 名、Route 53 プライベートホストゾーンの DNS クエリに再帰的に応答します。Route 53 VPC Resolver を構成する高可用性コンポーネントには、Nitro Resolver サービスとゾーンリゾルバーフリートの 2 つがあります。Nitro Resolver Service は、Nitro インスタンスの Nitro カードおよび旧世代のインスタンスの Dom0 で実行され、ホストサーバー上のローカルで Route 53 VPC Resolver 宛てのパケットを消費するサービスです。詳細については、「The [Security Design of the AWS Nitro System](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html)」を参照してください。
Nitro Resolver サービスにはローカルキャッシュが格納されており、インスタンスによって短時間にわたって繰り返されるクエリに応答することでレイテンシーを短縮できます。Nitro Resolver サービスは、キャッシュされた回答がないクエリを受信すると、クエリを Zonal Resolver フリートに転送します。Zonal Resolver フリートは、通常、インスタンスと同じアベイラビリティーゾーンにある高可用性リゾルバーフリートです。アップストリームのネームサーバーやパスのその他のコンポーネントによるクエリの処理に障害が発生した場合、Nitro Resolver サービスは、インスタンスで実行されているワークロードに影響を与えることなく、これらの障害を透過的に処理することがよくあります。さらに、Resolver がドメインのネームサーバーからクエリタイムアウト、接続拒否、または SERVFAILS が発生した場合、可用性を向上させるために、Time-To-Live (TTL) 値を超えるキャッシュされた応答で応答することがあります。Nitro Resolver サービスと Zonal Resolver フリート間のクエリは、顧客 VPC の外部で厳密に制御されたネットワークに制限されます。このネットワークは顧客にアクセスできず、厳格なセキュリティコントロールの対象となります。Nitro Resolver サービスと VPC 外の Zonal Resolver フリート間のクエリを処理することで、顧客は VPC 内の DNS クエリを傍受できなくなります。の外部にあるネームサーバー宛てのクエリ AWS は、ゾーンリゾルバーフリートに属するパブリック IP アドレスから発信されたパブリックインターネットを経由します。現在、EDNS0-Client Subnet 属性はサポートされていません。つまり、パブリック DNS ネームサーバー宛てのすべてのクエリには、発信元のカスタマー IP アドレスに関する情報が含まれません。
Nitro Resolver サービスは、インスタンス上の Link-Local サービスの一部です。リンクローカルサービスには、Route 53 VPC Resolver、Amazon Time Service (NTP)、Instance Metadata Service (IMDS)、Windows Licensing Service (Windows インスタンス用) などがあります。これらのサービスは、VPC で作成する各 Elastic Network Interface に合わせてスケーリングされ、各ネットワークインターフェイスでは、Link-Local サービス宛ての 1024 パケット/秒 (PPS) が許可されます。この制限を超えるパケットは拒否されます。ethtool によって返される `linklocal_allowance_exceeded` 値から、この制限を超えたかどうかを判断できます。ethtool の詳細については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 インスタンスのネットワークパフォーマンスのモニタリング](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-network-performance-ena.html)」を参照してください。このメトリクスは、CloudWatch エージェントによって CloudWatch メトリクスに報告することもできます。Route 53 VPC Resolver はネットワークインターフェイスごとに実装されるため、より多くのアベイラビリティーゾーンにインスタンスを追加すると、スケーリングと信頼性が向上します。クエリの数には VPC ごとの集計制限がないため、Route 53 VPC Resolver は、本質的にネットワークアドレス使用量 (NAU) に基づく VPC の境界内でスケールできます。詳細については、「[Amazon Virtual Private Cloud ユーザーガイド](https://docs.aws.amazon.com/vpc/latest/userguide/network-address-usage.html)」の「*VPC のネットワークアドレスの使用状況*」を参照してください。
次の図は、Route 53 VPC Resolver がアベイラビリティーゾーン内の DNS クエリを解決する方法の概要を示しています。
![\[Route 53 VPC Resolver がアベイラビリティーゾーン内の DNS クエリを解決する方法を示す概念図。\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/images/Resolver-scale-availability2.png)
# Route 53 VPC Resolver の開始方法
Route 53 VPC Resolver コンソールには、VPC Resolver の使用を開始するための次のステップをガイドするウィザードが含まれています。
+ エンドポイントを作成する: インバウンド、アウトバウンド、またはその両方。
+ アウトバウンドエンドポイントの場合は、1 つ以上の転送ルールを作成します。このルールにより、ネットワークにルーティングする DNS クエリのドメイン名を指定します。
+ アウトバウンドエンドポイントを作成した場合は、ルールを関連付ける VPC を選択します。
**ウィザードを使用して Route 53 VPC Resolver を設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53resolver/](https://console.aws.amazon.com/route53resolver/) で VPC Resolver コンソールを開きます。
1. **Route 53 VPC リゾルバーへようこそ**ページで、**エンドポイントの設定**を選択します。
1. ナビゲーションバーで、Resolver エンドポイントを作成するリージョンを選択します。
1. [**Basic configuration (基本的な設定)**] で、DNS クエリを転送する方向を選択します。
+ **インバウンドとアウトバウンド**: ウィザードは、ネットワーク上のリゾルバーから VPC 内の VPC リゾルバーに DNS クエリを転送し、指定されたクエリ (example.com や example.net など) を VPC からネットワーク上のリゾルバーに転送する設定をガイドします。
+ **インバウンドのみ**: ウィザードは、ネットワーク上のリゾルバーから VPC 内の VPC リゾルバーに DNS クエリを転送する設定をガイドします。
+ **Outbound only (アウトバウンドのみ)**: ウィザードの設定手順に従って、指定したクエリを VPC からネットワークのリゾルバーに転送できます。
1. [**Next (次へ)**] を選択します。
1. [**Inbound and outbound (インバウンドおよびアウトバウンド)**] または [**Inbound only (インバウンドのみ)**] を選択した場合は、インバウンドエンドポイントを設定するための適切な値を入力します。次に、ステップ 7 に進みます。詳細については、「[インバウンドエンドポイントを作成または編集するときに指定する値](resolver-forwarding-inbound-queries-values.md)」を参照してください
[**Outbound only (アウトバウンドのみ)**] を選択した場合は、ステップ 7 に進みます。
1. アウトバウンドエンドポイントを設定するための適切な値を入力します。詳細については、「[アウトバウンドエンドポイントを作成または編集するときに指定する値](resolver-forwarding-outbound-queries-endpoint-values.md)」を参照してください
1. [**Inbound and outbound (インバウンドおよびアウトバウンド)**] または [**Outbound only (アウトバウンドのみ)**] を選択した場合は、ルールを作成するための適切な値を入力します。詳細については、「[ルールを作成または編集するときに指定する値](resolver-forwarding-outbound-queries-rule-values.md)」を参照してください
1. [**Review and create (確認および作成)**] ページで、前のページで指定した設定を確認します。必要に応じて、該当するセクションの [**Edit (編集)**] を選択し、設定を更新します。設定が適切であることを確認したら、[**Submit (送信)**] を選択します。
**注記**
アウトバウンドエンドポイントを作成するには、1~2 分かかります。最初のアウトバウンドエンドポイントの作成が完了するまでは、別のエンドポイントを作成できません。
1. 追加のルールを作成する場合は、「[転送ルールの管理](resolver-rules-managing.md)」を参照してください。
1. インバウンドエンドポイントを作成した場合は、該当する DNS クエリをインバウンドエンドポイントの IP アドレスに転送するように、ネットワークの DNS リゾルバーを設定します。詳細については、DNS アプリケーションのドキュメントを参照してください。
# VPC へのインバウンド DNS クエリの転送
ネットワークから VPC Resolver に DNS クエリを転送するには、インバウンドエンドポイントを作成します。インバウンドエンドポイントは、ネットワーク上の DNS リゾルバーが DNS クエリを転送する IP アドレスを (VPC で使用できる IP アドレスの範囲から) 指定します。これらの IP アドレスはパブリック IP アドレスではないため、インバウンドエンドポイントごとに、 Direct Connect 接続または VPN 接続を使用して VPC をネットワークに接続する必要があります。
インバウンド委任を実装する場合、サブドメインの DNS 権限をオンプレミスの DNS インフラストラクチャから VPC Resolver に委任します。この委任を適切に設定するには、インバウンドエンドポイントの IP アドレスを、委任されるサブドメインのオンプレミスネームサーバーのグルーレコード (NS レコード) として使用する必要があります。例えば、IP アドレスが 10.0.1.100 および 10.0.1.101 のインバウンド委任エンドポイントを介してサブドメイン「aws.example.com」を VPC Resolver に委任する場合、オンプレミス DNS サーバーでこれらの IP アドレスを「aws.example.com」とする NS レコードを作成します。これにより、委任サブドメインの DNS クエリがインバウンドエンドポイントを介して VPC リゾルバーに適切にルーティングされ、VPC リゾルバーが関連するプライベートホストゾーンからのレコードで応答できるようになります。
# インバウンド転送の設定
インバウンドエンドポイントを作成するには、次の手順を実行します。
**インバウンドエンドポイントを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで、[**Inbound endpoints (インバウンドエンドポイント)**] を選択します。
1. ナビゲーションバーで、インバウンドエンドポイントを作成するリージョンを選択します。
1. [**Create inbound endpoint (インバウンドエンドポイントの作成)**] を選択します。
1. 適切な値を入力します。詳細については、「[インバウンドエンドポイントを作成または編集するときに指定する値](resolver-forwarding-inbound-queries-values.md)」を参照してください
1. [**Create (作成)**] を選択します。
1. 該当する DNS クエリをインバウンドエンドポイントの IP アドレスに転送するように、ネットワークの DNS リゾルバーを設定します。詳細については、DNS アプリケーションのドキュメントを参照してください。
# インバウンドエンドポイントを作成または編集するときに指定する値
インバウンドエンドポイントを作成または編集する場合、以下の値を指定します。
**Outpost ID**
AWS Outposts VPC で VPC リゾルバーのエンドポイントを作成する場合、これは AWS Outposts ID です。
**エンドポイント名**
わかりやすい名前にすると、ダッシュボードでインバウンドエンドポイントを見つけやすくなります。
**エンドポイントカテゴリ**
**デフォルト**または**委任**を選択します。カテゴリが**デフォルト**の場合、ネットワークのリゾルバーは DNS リクエストをインバウンドエンドポイントの IP アドレスに転送します。カテゴリが**委任**の場合、ドメインの権限は VPC リゾルバーに委任されます。
***region-name* リージョンの VPC**
ネットワークからのすべてのインバウンド DNS クエリは、VPC リゾルバーへの途中でこの VPC を通過します。
**このエンドポイントのセキュリティグループ**
この VPC へのアクセスを制御するために使用する 1 つ以上のセキュリティグループの ID です。指定したセキュリティグループには、1 つ以上のインバウンドルールを含める必要があります。インバウンドルールでは、ポート 53 での TCP および UDP アクセスを許可する必要があります。DoH プロトコルを使用している場合は、セキュリティグループのポート 443 も許可する必要があります。エンドポイントの作成後にこの値を変更することはできません。
セキュリティグループルールによっては、接続が追跡され、インバウンドエンドポイントの IP アドレスごとの 1 秒あたりの全体的な最大クエリ数は 1,500 に抑えられます。セキュリティグループによる接続の追跡を回避するには、「[追跡されていない接続](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)」を参照してください。
複数のセキュリティグループを追加するには、 AWS CLI コマンド を使用します`create-resolver-endpoint`。詳細については、「[create-resolver-endpoint](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)」を参照してください
詳細については、*Amazon VPC ユーザーガイド*の「[VPC のセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)」を参照してください。
**エンドポイントタイプ**
エンドポイントのタイプは、IPv4、IPv6、デュアルスタック IP アドレスのいずれかです。デュアルスタックエンドポイントの場合、エンドポイントには、ネットワーク上の DNS リゾルバーが DNS クエリを転送できる IPv4 と IPv6 の両方のアドレスが割り当てられます。
セキュリティ上の理由から、すべてのデュアルスタック IP アドレスと IPv6 IP アドレスに対するパブリックインターネットからの IPv6 トラフィック直接アクセスを拒否しています。
**IP アドレス**
ネットワークの DNS リゾルバーから DNS クエリを転送する先の IP アドレスです。冗長性を確保するため、少なくとも 2 つの IP アドレスを指定する必要があります。委任インバウンドエンドポイントを作成した場合は、VPC Resolver に権限を委任するサブドメインのグルー NS レコードとして、これらの IP アドレスを使用します。次の点に注意してください。
**複数アベイラビリティーゾーン**
少なくとも 2 つのアベイラビリティーゾーンで IP アドレスを指定することをお勧めします。必要に応じて、それらのアベイラビリティーゾーンまたは他のアベイラビリティーゾーンに追加の IP アドレスを指定できます。
**IP アドレスと Amazon VPC Elastic Network Interface**
指定したアベイラビリティーゾーン、サブネット、および IP アドレスの組み合わせごとに、VPC Resolver は Amazon VPC Elastic Network Interface を作成します。エンドポイントの IP アドレスあたりの 1 秒あたりの DNS クエリの現在の最大数については、「[Route 53 VPC リゾルバーのクォータ](DNSLimitations.md#limits-api-entities-resolver)」を参照してください。各 Elastic Network Interface の料金については、[Amazon Route 53 料金ページ](https://aws.amazon.com/route53/pricing/)の「Amazon Route 53」を参照してください。
Resolver エンドポイントはプライベート IP アドレスを持ちます。これらの IP アドレスは、エンドポイントの存続期間中に変更されることはありません。
IP アドレスごとに、以下の値を指定します。各 IP アドレスは、[**VPC in the *region-name* Region (region-name リージョンの VPC)**] で指定した VPC のアベイラビリティーゾーンに存在する必要があります。
**アベイラビリティーゾーン**
VPC に向かう途中で DNS クエリを通過させるアベイラビリティーゾーンです。指定したアベイラビリティーゾーンには、サブネットが設定されている必要があります。
**サブネット**
Resolver エンドポイント ENI に割り当てる IP アドレスを含むサブネット。これらは DNS クエリを送信するアドレスです。サブネットには使用可能な IP アドレスが必要です。
サブネット IP アドレスは**エンドポイントタイプ**と一致する必要があります。
**IP アドレス**
インバウンドエンドポイントに割り当てる IP アドレス。
VPC Resolver で、指定したサブネットで使用可能な IP アドレスの中から IP アドレスを選択するか、自分で IP アドレスを指定するかを選択します。
IP アドレスを自分で指定することを選択した場合は、IPv4 か IPv6 のいずれか、または両方のアドレスを入力します。
**プロトコル**
エンドポイントプロトコルが、受信エンドポイントへのデータ送信方法を決定します。必要なセキュリティのレベルに応じて 1 つまたは複数のプロトコルを選択します。
+ **Do53:** (デフォルト) データは、追加の暗号化なしで Route 53 VPC リゾルバーを使用して中継されます。データは外部関係者が読み取ることはできませんが、 AWS ネットワーク内で表示できます。これは、**委任**インバウンドエンドポイントカテゴリで現在利用できる唯一のプロトコルです。
+ **DoH:** データは暗号化された HTTPS セッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化したり、目的の受信者以外がデータを読み取ったりできないようにするセキュリティレベルを高めます。
+ **DoH-FIPS:** データは FIPS 140-2 暗号規格に準拠した暗号化された HTTPS セッションを介して送信されます。インバウンドエンドポイントのみでサポートされます。詳細については、「[FIPS PUB 140-2](https://doi.org/10.6028/NIST.FIPS.140-2)」を参照してください。
**注記**
DoH/DoH-FIPS インバウンドエンドポイントの場合、VPC Resolver クエリログに誤ったソース IP が発行されるという既知の問題があります。
インバウンドエンドポイントの場合、プロトコルを次のように適用できます。
+ Do53 と DoH の組み合わせ。
+ Do53 と DoH-FIPS の組み合わせ。
+ Do53 のみ。
+ DoH のみ。
+ DoH-FIPS のみ。
+ なし。これは Do53 として扱われます。
受信エンドポイントのプロトコルを Do53 のみから DoH または DoH-FIPS のみに直接変更できません。これは、Do53 に依存する受信トラフィックが突然中断されるのを防止するためです。プロトコルを Do53 から DoH または DoH-FIPS に変更するには、まず Do53 と DoH、または Do53 と DoH-FIPS の両方を有効にして、すべての着信トラフィックが DoH プロトコル(DoH-FIP)を使用するように転送されたことを確認してから、Do53 を削除する必要があります。
**タグ**
1 つ以上のキーと対応する値を指定します。例えば、[**Key (キー)**] に **Cost center** を、[**Value (値)**] には **456** を指定します。
# インバウンドエンドポイントの管理
インバウンドエンドポイントを管理するには、該当する手順を実行します。
**Topics**
+ [
## インバウンドエンドポイントの表示と編集
](#resolver-forwarding-inbound-queries-managing-viewing)
+ [
## インバウンドエンドポイントのステータスの表示
](#resolver-forwarding-inbound-queries-managing-viewing-status)
+ [
## インバウンドエンドポイントの削除
](#resolver-forwarding-inbound-queries-managing-deleting)
## インバウンドエンドポイントの表示と編集
インバウンドエンドポイントの設定を表示および編集するには、次の手順を実行します。
**インバウンドエンドポイントの設定を表示および編集するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで、[**Inbound endpoints (インバウンドエンドポイント)**] を選択します。
1. ナビゲーションバーで、インバウンドエンドポイントを作成したリージョンを選択します。
1. 設定を表示または編集するエンドポイントのオプションを選択します。
1. [**View details (詳細の表示)**] または [**Edit (編集)**] を選択します。
インバウンドエンドポイントの値の詳細については、「[インバウンドエンドポイントを作成または編集するときに指定する値](resolver-forwarding-inbound-queries-values.md)」を参照してください。
1. [**Edit (編集)**] を選択した場合は、該当する値を入力し、[**Save (保存)**] を選択します。
## インバウンドエンドポイントのステータスの表示
インバウンドエンドポイントのステータスを表示するには、次の手順を実行します。
**インバウンドエンドポイントのステータスを表示するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで、[**Inbound endpoints (インバウンドエンドポイント)**] を選択します。
1. ナビゲーションバーで、インバウンドエンドポイントを作成したリージョンを選択します。[**Status**] 列には、次のいずれかの値が表示されます。
**作成**
VPC Resolver は、このエンドポイントの 1 つ以上の Amazon VPC ネットワークインターフェイスを作成および設定しています。
**運用中**
このエンドポイントの Amazon VPC ネットワークインターフェイスが正しく設定されており、ネットワークと VPC Resolver 間でインバウンドまたはアウトバウンド DNS クエリを渡すことができます。
**[更新中]**
VPC Resolver は、1 つ以上のネットワークインターフェイスをこのエンドポイントに関連付けまたは関連付け解除しています。
**自動復旧中**
VPC Resolver は、このエンドポイントに関連付けられている 1 つ以上のネットワークインターフェイスを復旧しようとしています。復旧プロセス中は、IP アドレスごと (ネットワークインターフェイスごと) の DNS クエリの数の制限により、エンドポイントは容量が制限された状態で機能します。現在の制限については、「[Route 53 VPC リゾルバーのクォータ](DNSLimitations.md#limits-api-entities-resolver)」を参照してください。
**Action needed (アクションが必要)**
このエンドポイントは異常であり、VPC Resolver は自動的に復旧できません。この問題を解決するには、エンドポイントに関連付けした各 IP アドレスを確認することをお勧めします。使用できない IP アドレスごとに別の IP アドレスを追加して、使用できない IP アドレスを削除します。(エンドポイントには常に少なくとも 2 つの IP アドレスが含まれている必要があります。) **[必要なアクション]** のステータスにはさまざまな原因が考えられます。一般的な 2 つの原因を以下に示します。
+ エンドポイントに関連付けられている、1 つまたは複数のネットワークインターフェイスが、Amazon VPC を使用して削除されました。
+ VPC Resolver のコントロール外にある何らかの理由により、ネットワークインターフェイスを作成できませんでした。
**削除**
VPC Resolver はこのエンドポイントと関連するネットワークインターフェイスを削除しています。
## インバウンドエンドポイントの削除
インバウンドエンドポイントを削除するには、次の手順を実行します。
**重要**
インバウンドエンドポイントを削除すると、ネットワークからの DNS クエリは、エンドポイントで指定した VPC の VPC リゾルバーに転送されなくなります。
**インバウンドエンドポイントを削除するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで、[**Inbound endpoints (インバウンドエンドポイント)**] を選択します。
1. ナビゲーションバーで、インバウンドエンドポイントを作成したリージョンを選択します。
1. 削除するエンドポイントのオプションを選択します。
1. [**Delete (削除)**] を選択します。
1. エンドポイントの削除を確定するには、エンドポイントの名前を入力し、[**Submit (送信)**] を選択します。
# ネットワークへのアウトバウンド DNS クエリの転送
複数の VPC にある Amazon EC2 インスタンスから発信された DNS クエリを、自分のネットワークに転送するには、アウトバウンドエンドポイントと 1 つ以上のルールを作成します。
**アウトバウンドエンドポイント**
DNS クエリを VPC からネットワークに転送するには、アウトバウンドエンドポイントを作成します。アウトバウンドエンドポイントは、クエリの送信元の IP アドレスを指定します。VPC で使用できる IP アドレスの範囲から選択するこれらの IP アドレスは、パブリック IP アドレスではありません。つまり、アウトバウンドエンドポイントごとに、 Direct Connect 接続、VPN 接続、またはネットワークアドレス変換 (NAT) ゲートウェイを使用して VPC をネットワークに接続する必要があります。同じリージョン内の複数の VPC で、同一のアウトバウンドエンドポイントを使用することも、複数のアウトバウンドエンドポイントを作成することもできます。アウトバウンドエンドポイントで DNS64 を使用する場合は、Amazon Virtual Private Cloud を使用して DNS64 を有効にできます。詳細については、*Amazon VPC ユーザーガイド*の [DNS64 および NAT64](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-nat64-dns64) を参照してください。
VPC Resolver ルールのターゲット IP は VPC Resolver によってランダムに選択され、他のターゲット IP よりも特定のターゲット IP を選択する好みはありません。転送された DNS リクエストにターゲット IP が応答しない場合、VPC リゾルバーはターゲット IP 間でランダムな IPs。
すべてのターゲット IP アドレスが Resolver エンドポイントから到達可能であることを確認します。VPC Resolver がアウトバウンド DNS クエリをターゲット IP に転送できない場合、DNS 解決時間が長くなる可能性があります。
**Rules**
ネットワークの DNS リゾルバーに転送するクエリのドメイン名を指定するには、1 つまたは複数のルールを作成します。各転送ルールは 1 つのドメイン名を指定します。次に、ネットワークにクエリを転送する VPCs にルールを関連付けます。
アウトバウンド委任ルールは、標準の転送ルールとは異なる特定の委任原則に従います。委任ルールを作成すると、VPC Resolver はルールの委任レコードを DNS レスポンスの NS レコードと照らし合わせて評価し、委任が必要かどうかを判断します。VPC リゾルバーは、委任ルール設定と DNS レスポンスで返された実際の NS レコードが一致している場合にのみ、オンプレミスリゾルバーに権限を委任します。ドメイン名の一致に基づいてクエリをリダイレクトする転送ルールとは異なり、委任ルールは DNS 委任チェーンを尊重し、レスポンス内の信頼できるネームサーバーが委任設定と一致する場合にのみアクティブ化します。
詳細については、以下の各トピックを参照してください。
+ [Private hosted zones that have overlapping namespaces](hosted-zone-private-considerations.md#hosted-zone-private-considerations-private-overlapping)
+ [Private hosted zones and Route 53 VPC Resolver rules](hosted-zone-private-considerations.md#hosted-zone-private-considerations-resolver-rules)
# アウトバウンド転送の設定
VPC で発生した DNS クエリをネットワークに転送するように VPC Resolver を設定するには、次の手順を実行します。
**重要**
アウトバウンドエンドポイントを作成したら、1 つ以上のルールを作成し、1 つ以上の VPCs に関連付ける必要があります。ルールは、ネットワークに転送する DNS クエリのドメイン名を指定します。
**アウトバウンドエンドポイントを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで、[**Outbound endpoints (アウトバウンドエンドポイント)**] を選択します。
1. ナビゲーションバーで、アウトバウンドエンドポイントを作成するリージョンを選択します。
1. [**Create outbound endpoint (アウトバウンドエンドポイントの作成)**] を選択します。
1. 適切な値を入力します。詳細については、「[アウトバウンドエンドポイントを作成または編集するときに指定する値](resolver-forwarding-outbound-queries-endpoint-values.md)」を参照してください
1. [**Create (作成)**] を選択します。
**注記**
アウトバウンドエンドポイントを作成するには、1~2 分かかります。最初のアウトバウンドエンドポイントの作成が完了するまでは、別のエンドポイントを作成できません。
1. ネットワークに転送する DNS クエリのドメイン名を指定するには、1 つまたは複数のルールを作成します。詳細については、次の手順を参照してください。
1 つまたは複数の転送ルールを作成するには、次の手順を実行します。
**転送ルールを作成して 1 つ以上の VPC に関連付けるには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで [**ルール**] を選択します。
1. ナビゲーションバーで、転送ルールを作成するリージョンを選択します。
1. [**Create rule**] を選択します。
1. 適切な値を入力します。詳細については、「[ルールを作成または編集するときに指定する値](resolver-forwarding-outbound-queries-rule-values.md)」を参照してください
1. [**Save**] を選択します。
1. さらにルールを追加するには、ステップ 4~6 を繰り返します。
# アウトバウンドエンドポイントを作成または編集するときに指定する値
アウトバウンドエンドポイントを作成または編集する場合、以下の値を指定します。
**Outpost ID**
AWS Outposts VPC で VPC リゾルバーのエンドポイントを作成する場合、これは AWS Outposts ID です。
**エンドポイント名**
わかりやすい名前にすると、ダッシュボードでアウトバウンドエンドポイントを見つけやすくなります。
***region-name* リージョンの VPC**
すべてのアウトバウンド DNS クエリは、ネットワークに向かう途中で、この VPC を通過します。
**このエンドポイントのセキュリティグループ**
この VPC へのアクセスを制御するために使用する 1 つ以上のセキュリティグループの ID です。指定したセキュリティグループには、1 つ以上のアウトバウンドルールを含める必要があります。アウトバウンドルールでは、ネットワークで DNS クエリに使用するポートで TCP および UDP アクセスを許可する必要があります。エンドポイントの作成が完了した後は、この値を変更できません。
セキュリティグループルールによっては、接続が追跡され、アウトバウンドエンドポイントからターゲットネームサーバーへの 1 秒あたりの最大クエリ数に影響する可能性があります。セキュリティグループによる接続の追跡を回避するには、「[追跡されていない接続](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections)」を参照してください。
詳細については、*Amazon VPC ユーザーガイド*の「[VPC のセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)」を参照してください。
**エンドポイントタイプ**
エンドポイントのタイプは、IPv4、IPv6、デュアルスタック IP アドレスのいずれかです。デュアルスタックエンドポイントの場合、エンドポイントには、ネットワーク上の DNS リゾルバーが DNS クエリを転送できる IPv4 と IPv6 の両方のアドレスが割り当てられます。
セキュリティ上の理由から、すべてのデュアルスタック IP アドレスと IPv6 IP アドレスに対するパブリックインターネットへの IPv6 トラフィック直接アクセスを拒否しています。
**IP アドレス**
VPC Resolver がネットワーク上のリゾルバーに向かう途中で DNS クエリを に転送する VPC 内の IP アドレス。これらは、ネットワークの DNS リゾルバーの IP アドレスではありません。リゾルバーの IP アドレスは、1 つ以上の VPC に関連付けるルールを作成するときに指定します。冗長性を確保するため、少なくとも 2 つの IP アドレスを指定する必要があります。
Resolver エンドポイントはプライベート IP アドレスを持ちます。これらの IP アドレスは、エンドポイントの存続期間中に変更されることはありません。
次の点に注意してください。
**複数アベイラビリティーゾーン**
少なくとも 2 つのアベイラビリティーゾーンで IP アドレスを指定することをお勧めします。必要に応じて、それらのアベイラビリティーゾーンまたは他のアベイラビリティーゾーンに追加の IP アドレスを指定できます。
**IP アドレスと Amazon VPC Elastic Network Interface**
指定したアベイラビリティーゾーン、サブネット、および IP アドレスの組み合わせごとに、VPC Resolver は Amazon VPC Elastic Network Interface を作成します。エンドポイントの IP アドレスあたりの 1 秒あたりの DNS クエリの現在の最大数については、「[Route 53 VPC リゾルバーのクォータ](DNSLimitations.md#limits-api-entities-resolver)」を参照してください。各 Elastic Network Interface の料金については、[Amazon Route 53 料金ページ](https://aws.amazon.com/route53/pricing/)の「Amazon Route 53」を参照してください。
**IP アドレスの順序**
IP アドレスは任意の順序で指定できます。DNS クエリを転送する場合、VPC Resolver は IP アドレスがリストされている順序に基づいて IP アドレスを選択しません。
IP アドレスごとに、以下の値を指定します。各 IP アドレスは、[**VPC in the *region-name* Region (region-name リージョンの VPC)**] で指定した VPC のアベイラビリティーゾーンに存在する必要があります。
**アベイラビリティーゾーン**
ネットワークに向かう途中で DNS クエリを通過させるアベイラビリティーゾーンです。指定したアベイラビリティーゾーンには、サブネットが設定されている必要があります。
**サブネット**
ネットワークに向かう途中で DNS クエリを通過させる IP アドレスが含まれているサブネットです。サブネットには使用可能な IP アドレスが必要です。
サブネット IP アドレスは**エンドポイントタイプ**と一致する必要があります。
**IP アドレス**
ネットワークに向かう途中で DNS クエリを通過させる IP アドレスです。
VPC Resolver で、指定したサブネットで使用可能な IP アドレスの中から IP アドレスを選択するか、自分で IP アドレスを指定するかを選択します。
IP アドレスを自分で指定することを選択した場合は、IPv4 か IPv6 のいずれか、または両方のアドレスを入力します。
**プロトコル**
エンドポイントプロトコルは、送信エンドポイントからのデータの送信方法を決定します。必要なセキュリティのレベルに応じて 1 つまたは複数のプロトコルを選択します。
+ **Do53:** (デフォルト) データは、追加の暗号化なしで Route 53 VPC リゾルバーを使用して中継されます。データは外部から読み取ることはできませんが、 AWS ネットワーク内では表示できます。
+ **DoH:** データは暗号化された HTTPS セッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化したり、目的の受信者以外がデータを読み取ったりできないようにするセキュリティレベルを高めます。
アウトバウンドエンドポイントには、以下のようにプロトコルを適用できます。
+ Do53 と DoH の組み合わせ。
+ Do53 のみ。
+ DoH のみ。
+ なし。これは Do53 として扱われます。
**タグ**
1 つ以上のキーと対応する値を指定します。例えば、[**Key (キー)**] に **Cost center** を、[**Value (値)**] には **456** を指定します。
# ルールを作成または編集するときに指定する値
転送ルールを作成または編集する場合、以下の転送値を指定します。
**ルール名**
わかりやすい名前にすると、ダッシュボードでルールを見つけやすくなります。
**ルールタイプ**
適用可能な値を選択します。
+ **Forward** – 特定のドメイン名での DNS クエリをネットワークのリゾルバーに転送する場合は、このオプションを選択します。
+ **委任** – プライベートホストゾーンでホストされているサブドメインの権限をオンプレミスリゾルバー (または別の VPC の VPC リゾルバー) に委任する場合は、このオプションを選択します。
+ **システム** – VPC Resolver で転送ルールで定義されている動作を選択的に上書きする場合は、このオプションを選択します。システムルールを作成すると、VPC Resolver は、ネットワーク上の DNS リゾルバーによって解決される、指定されたサブドメインの DNS クエリを解決します。
デフォルトでは、転送ルールはドメイン名とそのすべてのサブドメインに適用されます。ドメインのクエリをネットワークのリゾルバーに転送する際に、一部のサブドメインのクエリを除外する場合は、これらのサブドメインに対してシステムルールを作成します。例えば、example.com の転送ルールを作成する際に acme.example.com のクエリを転送しない場合は、システムルールを作成し、ドメイン名として acme.example.com を指定します。
**委任レコード – 委任ルールのみ**
このドメインに一致する DNS クエリは、ネットワーク上のリゾルバーに転送されます。
委任ルールの前提条件として、プライベートホストゾーンを使用してアウトバウンド委任を行う場合、プライベートホストゾーンに NS レコードを作成する必要があります。レコードは NS - 委任ルールを持つ Resolver アウトバウンドエンドポイントを介して委任するネームサーバーです。詳細については、「[NS レコードタイプ](ResourceRecordTypes.md#NSFormat)」を参照してください。
**このルールを使用する VPCs **
このルールを使用して、指定したドメイン名の DNS クエリを転送する VPC です。ルールは、必要な数の VPCsに適用できます。
**ドメイン名 – 転送ルールのみ**
このドメイン名の DNS クエリは、[**Target IP addresses (ターゲット IP アドレス)**] で指定した IP アドレスに転送されます。例えば、特定のドメイン (example.com)、最上位ドメイン (com)、ドット (.) を指定して、すべての DNS クエリを転送できます。詳細については、「[VPC Resolver がクエリ内のドメイン名がルールと一致するかどうかを判断する方法](resolver-overview-forward-vpc-to-network-domain-name-matches.md)」を参照してください。
**アウトバウンドエンドポイント**
VPC Resolver は、ここで指定したアウトバウンドエンドポイントを介して、**ターゲット IP アドレスで指定した IP アドレス**に DNS クエリを転送します。
**ターゲット IP アドレス**
DNS クエリが [**Domain name (ドメイン名)**] で指定した名前と一致すると、アウトバウンドエンドポイントはここで指定した IP アドレスにクエリを転送します。これらは、通常、お客様環境上の DNS リゾルバーの IP アドレスです。
[**Target IP addresses (ターゲット IP アドレス)**] は、[**Rule type (ルールタイプ)**] の値が [**Forward (転送)**] である場合にのみ利用できます。
IPv4 または IPv6 アドレス、プロトコル、およびエンドポイントに使用する ServerNameIndication を指定します。ServerNameIndication は、選択したプロトコルが DoH の場合にのみ適用されます。
アウトバウンドエンドポイントを介したネットワーク上では DoH リゾルバーの FQDN のターゲット IP アドレスの解決はサポートされていません。アウトバウンドエンドポイントには、DoH クエリを転送するために、ネットワーク上の DoH リゾルバーのターゲット IP アドレスが必要です。ネットワーク上の DoH リゾルバーが TLS SNI および HTTP ホストヘッダーに FQDN を必要とする場合、ServerNameIndication を指定する必要があります。
**ServerNameIndication**
クエリを転送する DoH サーバーのサーバー名の表示。これは、プロトコルが DoH の場合にのみ使用されます。
**タグ**
1 つ以上のキーと対応する値を指定します。例えば、[**Key (キー)**] に **Cost center** を、[**Value (値)**] には **456** を指定します。
これらは、 が AWS 請求書を整理するために AWS Billing and Cost Management 提供するタグです。タグを使ったコスト配分の詳細については、*AWS Billing ユーザーガイド*の[コスト配分タグの使用](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)を参照してください。
# アウトバウンドエンドポイントの管理
アウトバウンドエンドポイントを管理するには、該当する手順を実行します。
**Topics**
+ [
## アウトバウンドエンドポイントの表示と編集
](#resolver-forwarding-outbound-queries-managing-viewing)
+ [
## アウトバウンドエンドポイントのステータスの表示
](#resolver-forwarding-outbound-queries-managing-viewing-status)
+ [
## アウトバウンドエンドポイントの削除
](#resolver-forwarding-outbound-queries-managing-deleting)
## アウトバウンドエンドポイントの表示と編集
アウトバウンドエンドポイントの設定を表示および編集するには、次の手順を実行します。
**アウトバウンドエンドポイントの設定を表示および編集するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで、[**Outbound endpoints (アウトバウンドエンドポイント)**] を選択します。
1. ナビゲーションバーで、アウトバウンドエンドポイントを作成したリージョンを選択します。
1. 設定を表示または編集するエンドポイントのオプションを選択します。
1. [**View details (詳細の表示)**] または [**Edit (編集)**] を選択します。
アウトバウンドエンドポイントの値の詳細については、「[アウトバウンドエンドポイントを作成または編集するときに指定する値](resolver-forwarding-outbound-queries-endpoint-values.md)」を参照してください。
1. [**Edit (編集)**] を選択した場合は、該当する値を入力し、[**Save (保存)**] を選択します。
## アウトバウンドエンドポイントのステータスの表示
アウトバウンドエンドポイントのステータスを表示するには、次の手順を実行します。
**アウトバウンドエンドポイントのステータスを表示するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで、[**Outbound endpoints (アウトバウンドエンドポイント)**] を選択します。
1. ナビゲーションバーで、アウトバウンドエンドポイントを作成したリージョンを選択します。[**Status**] 列には、次のいずれかの値が表示されます。
**作成**
VPC Resolver は、このエンドポイントの 1 つ以上の Amazon VPC ネットワークインターフェイスを作成および設定しています。
**運用中**
このエンドポイントの Amazon VPC ネットワークインターフェイスが正しく設定されており、ネットワークと VPC Resolver 間でインバウンドまたはアウトバウンド DNS クエリを渡すことができます。
**[更新中]**
VPC Resolver は、1 つ以上のネットワークインターフェイスをこのエンドポイントに関連付けまたは関連付け解除しています。
**自動復旧中**
VPC Resolver は、このエンドポイントに関連付けられている 1 つ以上のネットワークインターフェイスを復旧しようとしています。復旧プロセス中は、IP アドレスごと (ネットワークインターフェイスごと) の DNS クエリの数の制限により、エンドポイントは容量が制限された状態で機能します。現在の制限については、「[Route 53 VPC リゾルバーのクォータ](DNSLimitations.md#limits-api-entities-resolver)」を参照してください。
**Action needed (アクションが必要)**
このエンドポイントは異常であり、VPC Resolver は自動的に復旧できません。この問題を解決するには、エンドポイントに関連付けした各 IP アドレスを確認することをお勧めします。使用できない IP アドレスごとに別の IP アドレスを追加して、使用できない IP アドレスを削除します。(エンドポイントには常に少なくとも 2 つの IP アドレスが含まれている必要があります。) **[必要なアクション]** のステータスにはさまざまな原因が考えられます。一般的な 2 つの原因を以下に示します。
+ エンドポイントに関連付けられている、1 つまたは複数のネットワークインターフェイスが、Amazon VPC を使用して削除されました。
+ VPC Resolver のコントロール外にある何らかの理由により、ネットワークインターフェイスを作成できませんでした。
**削除**
VPC Resolver はこのエンドポイントと関連するネットワークインターフェイスを削除しています。
## アウトバウンドエンドポイントの削除
エンドポイントを削除する前に、VPC に関連付けられているルールをすべて削除する必要があります。
アウトバウンドエンドポイントを削除するには、次の手順を実行します。
**重要**
アウトバウンドエンドポイントを削除すると、VPC Resolver は、削除されたアウトバウンドエンドポイントを指定するルールについて、VPC からネットワークへの DNS クエリの転送を停止します。
**アウトバウンドエンドポイントを削除するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで、[**Outbound endpoints (アウトバウンドエンドポイント)**] を選択します。
1. ナビゲーションバーで、アウトバウンドエンドポイントを作成したリージョンを選択します。
1. 削除するエンドポイントのオプションを選択します。
1. [**Delete (削除)**] を選択します。
1. エンドポイントの削除を確定するには、エンドポイントの名前を入力し、[**Submit (送信)**] を選択します。
# 転送ルールの管理
VPC Resolver で指定されたドメイン名のクエリをネットワークに転送する場合は、ドメイン名ごとに 1 つの転送ルールを作成し、クエリを転送するドメインの名前を指定します。
**Topics**
+ [
## 転送ルールの表示と編集
](#resolver-rules-managing-viewing)
+ [
## 転送ルールの作成
](#resolver-rules-managing-creating-rules)
+ [
## 逆引き参照のルールの追加
](#add-reverse-lookup)
+ [
## 転送ルールと VPC の関連付け
](#resolver-rules-managing-associating-rules)
+ [
## 転送ルールと VPC の関連付けの解除
](#resolver-rules-managing-disassociating-rules)
+ [
## Resolver ルールを他の AWS アカウントと共有し、共有ルールを使用する
](#resolver-rules-managing-sharing)
+ [
## 転送ルールの削除
](#resolver-rules-managing-deleting)
+ [
## VPC Resolver での逆引き DNS クエリの転送ルール
](#resolver-automatic-forwarding-rules-reverse-dns)
## 転送ルールの表示と編集
転送ルールの設定を表示および編集するには、次の手順を実行します。
**転送ルールの設定を表示および編集するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで [**ルール**] を選択します。
1. ナビゲーションバーで、転送ルールを作成したリージョンを選択します。
1. 設定を表示または編集する転送ルールのオプションを選択します。
1. [**View details (詳細の表示)**] または [**Edit (編集)**] を選択します。
転送ルールの値の詳細については、「[ルールを作成または編集するときに指定する値](resolver-forwarding-outbound-queries-rule-values.md)」を参照してください。
1. [**Edit (編集)**] を選択した場合は、該当する値を入力し、[**Save (保存)**] を選択します。
## 転送ルールの作成
1 つまたは複数の転送ルールを作成するには、次の手順を実行します。
**転送ルールを作成して 1 つ以上の VPC に関連付けるには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで [**ルール**] を選択します。
1. ナビゲーションバーで、転送ルールを作成するリージョンを選択します。
1. [**Create rule**] を選択します。
1. 適切な値を入力します。詳細については、「[ルールを作成または編集するときに指定する値](resolver-forwarding-outbound-queries-rule-values.md)」を参照してください
1. [**Save**] を選択します。
1. さらにルールを追加するには、ステップ 4~6 を繰り返します。
## 逆引き参照のルールの追加
VPC での逆引き参照を制御する必要がある場合は、アウトバウンドリゾルバーのエンドポイントにルールを追加します。
**逆引き参照のルールを作成するには**
1. 前出の手順で、ステップ 5 までを完了します。
1. ルールを定義する際に、IP アドレスの PTR レコード、もしくは逆引き参照の転送ルールを適用するアドレスを入力します。
例えば、10.0.0.0/23 の範囲内のアドレスに対する参照を転送したい場合は、以下の 2 つのルールを入力します。
+ 0.0.10.in-addr.arpa
+ 1.0.10.in-addr.arpa
これらのサブネット内のすべての IP アドレスは、これらの PTR レコードのサブドメインとして参照されます。例えば、10.0.1.161 は逆引き参照アドレスとして 161.1.0.10.in-addr.apra を持ちます。このアドレスは 1.0.10.in-addra.arpa のサブドメインです。
1. これらの参照を転送するサーバーを指定します。
1. アウトバウンドリゾルバーのエンドポイントに、作成したルールを追加します。
VPC の `enableDNSHostNames` をオンにすると、PTR レコードが自動的に追加されることに注意してください。「[Route 53 VPC Resolver とは](resolver.md)」を参照してください。前述の手順は、特定の IP 範囲に対してリゾルバーを明示的に指定する (例えばアクティブディレクトリサーバーにクエリを転送する) 場合にのみ必要です。
## 転送ルールと VPC の関連付け
転送ルールを作成したら、それを 1 つ以上の VPC に関連付ける必要があります。ルールは、VPC に関連付けられた後にのみ機能します。ルールを VPC に関連付けると、VPC リゾルバーは、ルールで指定されたドメイン名の DNS クエリを、ルールで指定した DNS リゾルバーに転送し始めます。クエリは、ルールの作成時に指定したアウトバウンドエンドポイントを通過します。
**転送ルールを 1 つ以上の VPC に関連付けるには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで [**ルール**] を選択します。
1. ナビゲーションバーで、転送ルールを作成したリージョンを選択します。
1. 1 つまたは複数の VPC に関連付けるルールの名前を選択します。
1. [**Associate VPC**] を選択します。
1. [**このルールを使用する VPC**] で、ルールを関連付ける VPC を選択します。
1. [**Add**] を選択します。
## 転送ルールと VPC の関連付けの解除
以下の場合は、転送ルールと VPC の関連付けを解除します。
+ この VPC から送信される DNS クエリの場合、VPC Resolver でルールで指定されたドメイン名のクエリのネットワークへの転送を停止する必要があります。
+ 転送ルールを削除する場合。ルールが現在 1 つ以上の VPC に関連付けられている場合は、ルールを削除する前に、すべての VPC からルールの関連付けを解除する必要があります。
1 つ以上の VPC からルールの関連付けを解除する場合は、次の手順を実行します。
**転送ルールと VPC の関連付けを解除するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで [**ルール**] を選択します。
1. ナビゲーションバーで、転送ルールを作成したリージョンを選択します。
1. 1 つ以上の VPC から関連付けを解除するルールの名前を選択します。
1. ルールの関連付けを解除する VPC のオプションを選択します。
1. [**関連付け解除**] を選択します。
1. 「**disassociate**」と入力して確定します。
1. [**Submit**] を選択します。
## Resolver ルールを他の AWS アカウントと共有し、共有ルールを使用する
1 つの AWS アカウントを使用して作成した Resolver ルールを他の AWS アカウントと共有できます。ルールを共有するには、Route 53 VPC Resolver コンソールを AWS Resource Access Manager と統合します。Resource Access Manager の詳細については、[Resource Access Manager ユーザーガイド](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)を参照してください。
次の点に注意してください。
**共有ルールと VPC の関連付け**
別の AWS アカウントが 1 つ以上のルールをアカウントと共有している場合、作成したルールを VPCs に関連付けるのと同じ方法で、ルールを VPCsに関連付けることができます。詳細については、「[転送ルールと VPC の関連付け](#resolver-rules-managing-associating-rules)」を参照してください。
**ルールの削除または共有解除**
ルールを他のアカウントと共有してからルールを削除するか、共有を停止し、そのルールが 1 つ以上の VPCs に関連付けられている場合、Route 53 VPC Resolver は残りのルールに基づいてそれらの VPCsの DNS クエリの処理を開始します。この動作は、ルールと VPC の関連付けを解除する場合と同じです。
ルールが組織単位 (OU) と共有され、その OU 内のアカウントが別の OU に移動された場合、そのアカウント内の VPC に対する共有ルールとの関連付けはすべて削除されます。ただし、VPC リゾルバールールが送信先 OU と既に共有されている場合、VPC の関連付けは変更されず、関連付けが解除されません。
**ルールと関連付けの最大数**
アカウントがルールを作成し、他の 1 つ以上のアカウントと共有する場合、 AWS リージョンあたりのルールの最大数は、ルールを作成したアカウントに適用されます。
ルールを共有しているアカウントが、このルールを 1 つ以上の VPC に関連付ける場合は、リージョンあたりのルールと VPC の関連付けの最大数が、ルールを共有しているアカウントに適用されます。
現在の VPC リゾルバーのクォータについては、「」を参照してください[Route 53 VPC リゾルバーのクォータ](DNSLimitations.md#limits-api-entities-resolver)。
**アクセス許可**
ルールを別の AWS アカウントと共有するには、[PutResolverRulePolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverRulePolicy.html) アクションを使用するアクセス許可が必要です。
**ルールを共有する AWS アカウントの制限**
ルールを共有するアカウントは、ルールを変更または削除できません。
**タグ付け**
ルールを作成したアカウントのみが、ルールのタグを追加、削除、または表示できます。
ルールの現在の共有ステータス (ルールを共有したアカウントやルールの共有先であるアカウントなど) を確認し、別のアカウントとルールを共有するには、以下の手順を実行します。
**共有ステータスを表示し、別の AWS アカウントとルールを共有するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで [**ルール**] を選択します。
1. ナビゲーションバーで、転送ルールを作成したリージョンを選択します。
[**Sharing status (共有ステータス)**] 列に、現在のアカウントで作成されたルールまたは現在のアカウントと共有されているルールの現在の共有ステータスが表示されます。
+ **Not shared**: 現在の AWS アカウントがルールを作成し、そのルールは他のアカウントと共有されません。
+ **Shared by me (自分が共有)**: 現在のアカウントがルールを作成し、1 つ以上の他のアカウントと共有しています。
+ **Shared with me (自分と共有)**: 別のアカウントがルールを作成し、現在のアカウントと共有しています。
1. 共有情報を表示するルールまたは別のアカウントと共有するルールの名前を選択します。
[**Rule: *rule name* (ルール: rule name)**] ページで、[**Owner (所有者)**] の値として、ルールを作成したアカウントの ID が表示されます。これは現在のアカウントです。ただし、[**Sharing status (共有ステータス)**] の値が [**Shared with me (自分と共有)**] である場合を除きます。その場合の [**Owner (所有者)**] は、ルールを作成して現在のアカウントと共有しているアカウントです。
1. [**Share (共有)**] を選択し、追加情報を表示するか、別のアカウントとルールを共有します。[**Sharing status (共有ステータス)**] の値に応じたページが Resource Access Manager コンソールに表示されます。
+ **Not shared (未共有)**: [**Create resource share (リソース共有の作成)**] ページが表示されます。別のアカウント、OU、または組織とルールを共有する方法については、ステップ 6 に進んでください。
+ **Shared by me (自分が共有)**: [**Shared resources (共有リソース)**] ページに、現在のアカウントが所有し、他のアカウントと共有しているルールと他のリソースが表示されます。
+ **Shared with me (自分と共有)**: [**Shared resources (共有リソース)**] ページに、他のアカウントが所有し、現在のアカウントと共有しているルールと他のリソースが表示されます。
1. ルールを別の AWS アカウント、OU、または組織と共有するには、次の値を指定します。
**注記**
共有設定を更新することはできません。以下のいずれかの設定を変更する場合は、新しい設定を使用してルールを共有し直し、古い共有設定を削除する必要があります。
**説明**
ルールを共有した理由を示す短い説明を入力します。
**リソース**
共有するルールのチェックボックスをオンにします。
**プリンシパル**
AWS アカウント番号、OU 名、または組織名を入力します。
**タグ**
1 つ以上のキーと対応する値を指定します。例えば、[**Key (キー)**] に **Cost center** を、[**Value (値)**] には **456** を指定します。
これらは、 が AWS 請求書を整理するために AWS Billing and Cost Management 提供するタグです。他の目的でタグを使用することもできます。タグを使ったコスト配分の詳細については、*AWS Billing ユーザーガイド*の[コスト配分タグの使用](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)を参照してください。
## 転送ルールの削除
転送ルールを削除するには、次の手順を実行します。
次の点に注意してください。
+ 次のルールと関連付けられている VPC がある場合は、ルールを削除する前に、VPC からルールの関連付けを解除する必要があります。詳細については、「[転送ルールと VPC の関連付けの解除](#resolver-rules-managing-disassociating-rules)」を参照してください
+ [**Internet Resolver (インターネットリゾルバ)**] では、デフォルトの ([**Type (タイプ)**] 値が [**Recursive (再帰的)**] となっている) ルールは削除できません。このルールにより、Route 53 VPC Resolver は、カスタムルールを作成せず、VPC Resolver が自動定義ルールを作成しなかったドメイン名の再帰的なリゾルバーとして機能します。ルールが分類される方法の詳細については、「[ネットワークに転送するクエリをルールでコントロールする](resolver-overview-forward-vpc-to-network-using-rules.md)」を参照してください。
**転送ルールを削除するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで [**ルール**] を選択します。
1. ナビゲーションバーで、転送ルールを作成したリージョンを選択します。
1. 削除するルールのオプションを選択します。
1. [**Delete (削除)**] を選択します。
1. ルールの削除を確定するには、ルールの名前を入力し、[**Submit (送信)**] を選択します。
## VPC Resolver での逆引き DNS クエリの転送ルール
Amazon VPC の Virtual Private Cloud (VPC) `true`に対して `enableDnsHostnames`と が に設定されている場合、VPC Resolver `enableDnsSupport`はリバース DNS クエリの自動定義システムルールを自動的に作成します。これらの設定の詳細については、*Amazon VPC デベロッパーガイド*の [VPC の DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)を参照してください。
逆引き DNS クエリの転送ルールは、SSH やActive Directory などのサービスで特に役立ちます。これらのサービスでは、お客様がリソースに接続しようとしている IP アドレスについて逆引き DNS ルックアップを実行してユーザーを認証するオプションが用意されています。自動定義されたシステムルールの詳細については、[VPC Resolver が自動定義されたシステムルールを作成するドメイン名](resolver-overview-forward-vpc-to-network-autodefined-rules.md) を参照してください。
これらのルールをオフにし、すべての逆引き DNS クエリを変更して、例えば、解決のためにオンプレミスのネームサーバーにこれらが転送されるようにすることができます。
自動ルールをオフにした後、必要に応じてオンプレミスリソースにクエリを転送するルールを作成します。転送ルールの管理方法の詳細については、「[転送ルールの管理](#resolver-rules-managing)」を参照してください。
**自動定義ルールをオフにするには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインの **VPC Resolver** で **VPCs**、VPC ID を選択します。
1. [**Autodefined rules for reverse DNS resolution**] (逆引き DNS 解決の自動定義ルール) で、チェックボックスの選択を解除します。チェックボックスの選択が既に解除されている場合は、チェックボックスを選択して、自動定義された逆引き DNS 解決をオンにすることができます。
関連する APIs[「VPC リゾルバー設定 APIs](https://docs.aws.amazon.com/Route53/latest/APIReference/API-actions-by-function.html#actions-by-function-resolver-configuration)」を参照してください。
# リゾルバーの委任ルールのチュートリアル
委任ルールにより、VPC Resolver は指定されたアウトバウンドエンドポイントを介して委任ゾーンをホストするネームサーバーに到達できます。転送ルールは、DNS クエリをアウトバウンドエンドポイントを介して指定されたドメインに一致するネームサーバーに転送するように VPC リゾルバーに通知しますが、委任ルールは、委任 NS レコードが返されたときに指定されたアウトバウンドエンドポイントを介して委任ネームサーバーに到達するように VPC リゾルバーに通知します。VPC Resolver は、DNS レスポンスの NS レコードが委任レコードで指定されたドメイン名と一致すると、委任ネームサーバーにクエリを送信します。
## Resolver エンドポイントのアウトバウンド委任を使用するステップ
1. DNS クエリの送信元の VPC に、ネットワーク上のリゾルバーへのリゾルバーアウトバウンドエンドポイントを作成します。
次の API または CLI コマンドを使用できます。
+ [`CreateResolverEndpoint` API](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_CreateResolverEndpoint.html)
+ [`create-resolver-endpoint` CLI](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/create-resolver-endpoint.html)
1. 指定されたアウトバウンドエンドポイントを介してクエリをネットワークに委任するドメイン名を指定する 1 つ以上の委任ルールを作成します。
CLI を使用した委任ルールの作成例:
```
aws route53resolver create-resolver-rule \
--region REGION \
--creator-request-id delegateruletest \
--delegation-record example.com \
--name delegateruletest \
--rule-type DELEGATE \
--resolver-endpoint-id outbound endpoint ID
```
1. クエリを委任する VPC に委任ルールを関連付けます。
次の API または CLI コマンドを使用できます。
+ [AssociateResolverRule](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_AssociateResolverRule.html) API。
+ [associate-resolver-rules](https://docs.aws.amazon.com/cli/latest/reference/route53resolver/associate-resolver-rule.html) CLI コマンド。
## Resolver アウトバウンドエンドポイントでサポートされている委任のタイプ
VPC Resolver は、次の 2 種類のアウトバウンド委任をサポートしています。
+ Route 53 プライベートホストゾーンから VPC Resolver へのアウトバウンド委任:
アウトバウンド委任を使用して、プライベートホストゾーンからインターネット上のオンプレミス DNS サーバーまたはパブリックホストゾーンにサブドメインを委任します。このアウトバウンド委任により、プライベートホストゾーンと委任ゾーン間で DNS レコードの管理を分割できます。委任は、DNS 設定に基づいてプライベートホストゾーンのグルーレコードの有無にかかわらず行うことができます。詳細については「[プライベートホストゾーンからアウトバウンドへ](#phz-to-outbound-delegation)」を参照してください。
+ VPC リゾルバーのアウトバウンドからアウトバウンドへの委任:
アウトバウンドからアウトバウンドへの委任を使用して、オンプレミス DNS サーバーから同じ場所または異なる場所にある別のオンプレミスサーバーにサブドメインを委任します。これは、プライベートホストゾーンからアウトバウンドエンドポイントに委任する場合に似ており、オンプレミスのネームサーバーでホストされているゾーンに委任できます。詳細については、「[アウトバウンドからアウトバウンドへ](#outbound-to-outbound-delegation)」を参照してください。
### Route 53 プライベートホストゾーンから VPC Resolver へのアウトバウンド委任の設定例
親ホストゾーンが Amazon VPC の Route 53 プライベートホストゾーンでホストされ、サブドメインが欧州、アジア、北米でホストされているネームサーバーに委任されている DNS 設定を考えてみます。すべての DNS クエリは VPC リゾルバーに渡されます。
手順に従って、プライベートホストゾーンと VPC リゾルバーを設定します。
**アウトバウンド委任のプライベートホストゾーンを設定する**
1. プライベートホストゾーンのセットアップの場合:
親ホストゾーン: `hr.example.com`
```
$TTL 86400 ; 24 hours
$ORIGIN hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of Zone Delegation
ns1.eu.hr.example.com IN A 10.0.0.30 # Glue Record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue Record
```
1. 欧州のオンプレミスリージョンのオンプレミスネームサーバーの場合:
+ ホストゾーン: `eu.hr.example.com` NS IP: `10.0.0.30`
```
$TTL 86400 ; 24 hours
$ORIGIN eu.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.eu.hr.example.com IN A 1.2.3.4
```
1. アジアのオンプレミスリージョンのオンプレミスネームサーバーの場合:
ホストゾーン: `apac.hr.example.com`、`10.0.0.40`
apac ネームサーバーは、サブドメインを他のネームサーバーに委任できます。
```
$TTL 86400 ; 24 hours
$ORIGIN apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90
```
ホストゾーン: `engineering.apac.hr.example.com`、`10.0.0.80`
```
$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1
```
1. 北米のオンプレミスリージョンのオンプレミスネームサーバーの場合:
ホストゾーン: `na.hr.example.net` NS IP: `10.0.0.50`
```
$TTL 86400 ; 24 hours
$ORIGIN na.hr.example.net
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com IN A 9.10.11.12
```
**VPC リゾルバーのセットアップ**
+ VPC リゾルバーでは、1 つのフォワードルールと 2 つの委任ルールを設定する必要があります。
**転送ルール**
1. ゾーンout-of-zone委任レコードを転送する場合、Route 53 VPC Resolver は最初のリクエストを転送する委任 NS の IP を認識します。
domain-name: `hr.example.net` target-ips: `10.0.0.50`
**委任ルール**
1. ゾーン内の委任の委任ルール:
委任レコード: `hr.example.com`
1. ゾーン外の委任の委任ルール:
委任レコード: `hr.example.net`
### アウトバウンドからアウトバウンドへの委任の設定例
親ホストゾーンを Amazon VPC に配置する代わりに、親ホストゾーンが中央のオンプレミスロケーションにあり、サブドメインが欧州、アジア、北米でホストされているネームサーバーに委任されている DNS 設定を考えてみます。すべての DNS クエリは VPC リゾルバーに渡されます。
手順に従って、オンプレミス DNS と VPC リゾルバーを設定します。
**オンプレミス DNS を設定する**
1. 中央のオンプレミスリージョンのオンプレミスネームサーバーの場合:
+ **親ホストゾーン:** `hr.example.com`
ホストゾーン `hr.example.com`、NS IP: `10.0.0.20`
```
$TTL 86400 ; 24 hours
$ORIGIN hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
eu.hr.example.com IN NS ns1.eu.hr.example.com.
apac.hr.example.com IN NS ns2.apac.hr.example.com.
na.hr.example.com IN NS ns3.na.hr.example.net. # Out of zone delegation
ns1.eu.hr.example.com IN A 10.0.0.30 # Glue record
ns2.apac.hr.example.com IN A 10.0.0.40 # Glue record
```
1. 欧州のオンプレミスリージョンのオンプレミスネームサーバーの場合 (欧州、アジア、北米のネームサーバーの設定は、プライベートホストゾーンからアウトバウンドへの委任の場合と同じ)。
+ ホストゾーン: `eu.hr.example.com` NS IP: `10.0.0.30`
```
$TTL 86400 ; 24 hours
$ORIGIN eu.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.eu.hr.example.com IN A 1.2.3.4
```
1. アジアのオンプレミスリージョンのオンプレミスネームサーバーの場合:
ホストゾーン: `apac.hr.example.com`、`10.0.0.40`
apac ネームサーバーは、サブドメインを他のネームサーバーに委任できます。
```
$TTL 86400 ; 24 hours
$ORIGIN apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.apac.hr.example.com IN A 5.6.7.8
engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com
sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com
ns1.engineering.apac.hr.example.com IN A 10.0.0.80
ns2.sales.apac.hr.example.com IN A 10.0.0.90
```
ホストゾーン: `engineering.apac.hr.example.com`、`10.0.0.80`
```
$TTL 86400 ; 24 hours
$ORIGIN engineering.apac.hr.example.com
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
test.engineering.apac.hr.example.com IN A 1.1.1.1
```
1. 北米のオンプレミスリージョンのオンプレミスネームサーバーの場合:
ホストゾーン: `na.hr.example.net` NS IP: `10.0.0.50`
```
$TTL 86400 ; 24 hours
$ORIGIN na.hr.example.net
@ 1D IN SOA @ root (20200322001 3H 15 1w 3h)
@ 1D IN NS @
ns3.na.hr.example.net. IN A 10.0.0.50
test.na.hr.example.com IN A 9.10.11.12
```
**VPC リゾルバーのセットアップ**
+ VPC リゾルバーでは、フォワードルールと委任ルールを設定する必要があります。
**転送ルール**
1. クエリが中央ロケーションの親ホストゾーン `hr.example.com` に転送されるように最初のリクエストを転送するには:
domain-name: `hr.example.com` target-ips: `10.0.0.20`
1. ゾーンout-of-zone委任レコードを転送する場合、VPC リゾルバーは、最初のリクエストを転送する委任ネームサーバーの IP アドレスを認識します。
domain-name: `hr.example.net` target-ips: `10.0.0.50`
**委任ルール**
1. ゾーン内の委任の委任ルール:
委任レコード: `hr.example.com`
1. ゾーン外の委任の委任ルール:
委任レコード: `hr.example.net`
# Amazon Route 53 での DNSSEC 検証の有効化
Amazon Route 53 で Virtual Private Cloud (VPC) の DNSSEC 検証を有効にすると、DNSSEC 署名の暗号化チェックが行われ、応答が改ざんされていないことを確認します。DNSSEC 検証の有効化は、VPC の詳細ページから行います。
DNSSEC 検証は、再帰的な DNS 解決を実行するときに、VPC Resolver によってパブリック署名名に適用されます。
ただし、VPC リゾルバーが別の DNS リゾルバーに転送されている場合、そのリゾルバーは再帰的な DNS 解決を実行しているため、DNSSEC 検証も適用する必要があります。
**重要**
DNSSEC 検証を有効にすると、VPC 内の AWS リソースから送られるパブリック DNS レコードの DNS 解決が影響を受け、この機能が停止する可能性があります。DNSSEC 検証の有効化および無効化には、数分かかる場合があります。
**注記**
現時点では、VPC の Route 53 VPC Resolver (別名 AmazonProvidedDNS) は、DNS クエリの DO (DNSSEC OK) EDNS ヘッダービットと CD (Checking Disabled) ビットを無視します。DNSSEC を設定している場合、VPC リゾルバーは DNSSEC 検証を実行している間、DNSSEC レコードを返したり、レスポンスに AD ビットを設定したりしません。したがって、独自の DNSSEC 検証の実行は現在、VPC リゾルバーではサポートされていません。これを行う必要がある場合は、独自の再帰的な DNS 解決を実行する必要があります。
**VPC のために DNSSEC 検証を有効にするには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインの **VPC Resolver** で、**VPCs**を選択します。
1. **[DNSSEC 検証]** でチェックボックスをオンにします。チェックボックスが既にオンになっている場合は、オフにすると、DNSSEC 検証を無効にすることができます。
DNSSEC 検証の有効化および無効化には、数分かかる場合があります。