VPC へのインバウンド DNS クエリの転送

ネットワークから Resolver に DNS クエリを転送するには、インバウンドエンドポイントを作成します。インバウンドエンドポイントは、ネットワーク上の DNS リゾルバーが DNS クエリを転送する IP アドレスを (VPC で使用できる IP アドレスの範囲から) 指定します。これらの IP アドレスはパブリック IP アドレスではないため、インバウンドエンドポイントごとに、 AWS Direct Connect 接続または VPN 接続を使用して VPC をネットワークに接続する必要があります。

インバウンド転送の設定

インバウンドエンドポイントを作成するには、次の手順を実行します。

インバウンドエンドポイントを作成するには

1. にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

2. ナビゲーションペインで、[Inbound endpoints (インバウンドエンドポイント)] を選択します。

3. ナビゲーションバーで、インバウンドエンドポイントを作成するリージョンを選択します。

4. [Create inbound endpoint (インバウンドエンドポイントの作成)] を選択します。

5. 適切な値を入力します。詳細については、「インバウンドエンドポイントを作成または編集するときに指定する値」を参照してください

6. [Create (作成)] を選択します。

7. 該当する DNS クエリをインバウンドエンドポイントの IP アドレスに転送するように、ネットワークの DNS リゾルバーを設定します。詳細については、DNS アプリケーションのドキュメントを参照してください。

インバウンドエンドポイントを作成または編集するときに指定する値

インバウンドエンドポイントを作成または編集する場合、以下の値を指定します。

Outpost ID

AWS Outposts VPC 上の Resolver のエンドポイントを作成する場合、これは AWS Outposts ID です。

エンドポイント名

わかりやすい名前にすると、ダッシュボードでインバウンドエンドポイントを見つけやすくなります。

region-name リージョンの VPC

すべてのインバウンド DNS クエリは、ネットワークからこの VPC を通過し Resolver に到達します。

このエンドポイントのセキュリティグループ

この VPC へのアクセスを制御するために使用する 1 つ以上のセキュリティグループの ID です。指定したセキュリティグループには、1 つ以上のインバウンドルールを含める必要があります。インバウンドルールでは、ポート 53 での TCP および UDP アクセスを許可する必要があります。エンドポイントの作成が完了した後は、この値を変更できません。

一部のセキュリティグループルールでは、接続が追跡され、インバウンドエンドポイントの IP アドレスあたりの 1 秒あたりのクエリ全体の最大数は 1500 件まで低くなります。セキュリティグループによる接続の追跡を回避するには、「未追跡接続」を参照してください。

注記

複数のセキュリティグループを追加するには、 AWS CLI コマンドを使用しますcreate-resolver-endpoint。詳細については、「」を参照してください。 create-resolver-endpoint

詳細については、Amazon VPC ユーザーガイドの「VPC のセキュリティグループ」を参照してください。

[エンドポイントタイプ]

エンドポイントのタイプは、IPv4、IPv6、デュアルスタック IP アドレスのいずれかです。デュアルスタックエンドポイントの場合、エンドポイントには、ネットワーク上の DNS リゾルバーが DNS クエリを転送できる IPv4 と IPv6 の両方のアドレスが割り当てられます。

注記

セキュリティ上の理由から、すべてのデュアルスタックおよび IPv6 IP アドレスについて、パブリックインターネットからの直接 IPv6 トラフィックアクセスを拒否しています。

IP アドレス

ネットワークの DNS リゾルバーから DNS クエリを転送する先の IP アドレスです。冗長性を確保するため、少なくとも 2 つの IP アドレスを指定する必要があります。次の点に注意してください。

複数アベイラビリティーゾーン

少なくとも 2 つのアベイラビリティーゾーンで IP アドレスを指定することをお勧めします。必要に応じて、それらのアベイラビリティーゾーンまたは他のアベイラビリティーゾーンに追加の IP アドレスを指定できます。

IP アドレスと Amazon VPC Elastic Network Interface

ユーザーが指定したアベイラビリティーゾーン、サブネット、および IP アドレスの組み合わせごとに、Resolver は Amazon VPC Elastic Network Interface を作成します。エンドポイントの IP アドレスあたりの 1 秒あたりの DNS クエリの現在の最大数については、「Route 53 Resolver でのクォータ」を参照してください。各 Elastic Network Interface の料金については、Amazon Route 53 料金ページの「Amazon Route 53」を参照してください。

注記

リゾルバーエンドポイントはプライベート IP アドレスを持ちます。これらの IP アドレスは、エンドポイントの存続期間中に変更されることはありません。

IP アドレスごとに、以下の値を指定します。各 IP アドレスは、[VPC in the region-name Region (region-name リージョンの VPC)] で指定した VPC のアベイラビリティーゾーンに存在する必要があります。

アベイラビリティーゾーン

VPC に向かう途中で DNS クエリを通過させるアベイラビリティーゾーンです。指定したアベイラビリティーゾーンには、サブネットが設定されている必要があります。

サブネット

Resolver エンドポイント ENIs に割り当てる IP アドレスを含むサブネット。これらは、DNS クエリの送信先のアドレスです。サブネットには利用可能な IP アドレスが必要です。

サブネット IP アドレスはエンドポイントタイプと一致する必要があります。

IP アドレス

DNS クエリの転送先となる IP アドレス。

指定したサブネット内の利用可能な IP アドレスから、いずれかを Resolver に自動的に選択させるのか、ユーザー自身が IP アドレスを指定するのかを設定します。

IP アドレスを自分で指定する場合は、IPv4 アドレスまたは IPv6 アドレス、あるいはその両方を入力します。

プロトコル

エンドポイントプロトコルが、受信エンドポイントへのデータ送信方法を決定します。必要なセキュリティのレベルに応じて 1 つまたは複数のプロトコルを選択します。

• Do53: (デフォルト) データは、追加の暗号化なしで Route 53 リゾルバーを使用して中継されます。データは外部から読み取ることはできませんが、 AWS ネットワーク内では表示できます。

• DoH: データは暗号化された HTTPS セッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化したり、目的の受信者以外がデータを読み取ったりできないようにするセキュリティレベルを高めます。

• DoH-FIPS: データは FIPS 140-2 暗号規格に準拠した暗号化された HTTPS セッションを介して送信されます。インバウンドエンドポイントのみでサポートされます。詳細については、「FIPS PUB 140-2」を参照してください。

インバウンドエンドポイントには、以下のようにプロトコルを適用できます。

• Do53 と DoH　の組み合わせ。

• Do53 と DoH-FIPS の組み合わせ。

• Do53 のみ。

• DoH のみ。

• DoH-FIPS のみ。

• なし。これは Do53 として扱われます。

重要

受信エンドポイントのプロトコルを Do53 のみから DoH または DoH-FIPS のみに直接変更できません。これは、Do53 に依存する受信トラフィックが突然中断されるのを防止するためです。プロトコルを Do53 から DoH または DoH-FIPS に変更するには、まず Do53 と DoH、または Do53 と DoH-FIPS の両方を有効にして、すべての着信トラフィックが DoH プロトコル（DoH-FIP）を使用するように転送されたことを確認してから、Do53 を削除する必要があります。

タグ

1 つ以上のキーと対応する値を指定します。例えば、[Key (キー)] に Cost center を、[Value (値)] には 456 を指定します。