インバウンド DNS クエリを VPCs に転送する - Amazon Route 53

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インバウンド DNS クエリを VPCs に転送する

DNS クエリをネットワークから Resolver に転送するには、インバウンドエンドポイントを作成します。インバウンドエンドポイントは、ネットワーク上の DNS リゾルバーが Word DNSクエリを転送する IP アドレス (VPC で使用できる IP アドレスの範囲から) を指定します。これらの IP アドレスはパブリック IP アドレスではないため、インバウンドエンドポイントごとに、 AWS Direct Connect 接続または VPC 接続を使用して VPN をネットワークに接続する必要があります。

インバウンド転送の設定

インバウンドエンドポイントを作成するには、次の手順を実行します。

インバウンドエンドポイントを作成するには
  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/route53/ で Route 53 コンソールを開きます。

  2. ナビゲーションペインで、[Inbound endpoints (インバウンドエンドポイント)] を選択します。

  3. ナビゲーションバーで、インバウンドエンドポイントを作成するリージョンを選択します。

  4. [Create inbound endpoint (インバウンドエンドポイントの作成)] を選択します。

  5. 適切な値を入力します。詳細については、「インバウンドエンドポイントを作成または編集するときに指定する値」を参照してください

  6. [Create] (作成) を選択します。

  7. 該当する DNS クエリをインバウンドエンドポイントの IP アドレスに転送するように、ネットワークで DNS リゾルバーを設定します。詳細については、DNS アプリケーションのドキュメントを参照してください。

インバウンドエンドポイントを作成または編集するときに指定する値

インバウンドエンドポイントを作成または編集する場合、以下の値を指定します。

Outpost ID

AWS Outposts VPC で Resolver のエンドポイントを作成する場合、これは AWS Outposts ID です。

エンドポイント名

わかりやすい名前にすると、ダッシュボードでインバウンドエンドポイントを見つけやすくなります。

region-name リージョンのVPC

ネットワークからのすべてのインバウンド DNS クエリは、リゾルバーへの途中でこの VPC を通過します。

このエンドポイントのセキュリティグループ

この VPC へのアクセスを制御するために使用する 1 つ以上のセキュリティグループの ID。指定したセキュリティグループには、1 つ以上のインバウンドルールを含める必要があります。インバウンドルールでは、ポート 53 での TCP および UDP アクセスを許可する必要があります。エンドポイントの作成が完了した後は、この値を変更できません。

セキュリティグループルールによっては、接続が追跡され、インバウンドエンドポイントの IP アドレスごとの 1 秒あたりの全体的な最大クエリ数は 1,500 に抑えられます。セキュリティグループによる接続の追跡を回避するには、「追跡されていない接続」を参照してください。

注記

複数のセキュリティグループを追加するには、 AWS CLI コマンドを使用しますcreate-resolver-endpoint。詳細については、create-resolver-endpoint」を参照してください。

詳細については、「Amazon VPC ユーザーガイド」の「Word のセキュリティグループ」を参照してください。 VPC

[エンドポイントタイプ]

エンドポイントタイプは、IPv4、IPv6、またはデュアルスタックの IP アドレスのいずれかです。デュアルスタックのエンドポイントの場合、エンドポイントには、ネットワーク上の IPv4 リゾルバーが IPv6 クエリを転送できる DNS アドレスと DNS アドレスの両方が含まれます。

注記

セキュリティ上の理由から、すべてのデュアルスタックおよび IPv6 IP アドレスに対するパブリックインターネットからの IPv6 トラフィックの直接アクセスを拒否しています。

IP アドレス

ネットワーク上の DNS リゾルバーが DNS クエリを転送する IP アドレス。冗長性を確保するため、少なくとも 2 つの IP アドレスを指定する必要があります。次の点に注意してください。

複数アベイラビリティーゾーン

少なくとも 2 つのアベイラビリティーゾーンで IP アドレスを指定することをお勧めします。必要に応じて、それらのアベイラビリティーゾーンまたは他のアベイラビリティーゾーンに追加の IP アドレスを指定できます。

IP アドレスと Amazon VPC Elastic Network Interface

指定したアベイラビリティーゾーン、サブネット、IP アドレスの組み合わせごとに、Resolver は Amazon VPC Elastic Network Interface を作成します。エンドポイントの IP アドレスごとの 1 秒あたりの現在の DNS クエリの最大数については、「」を参照してくださいRoute 53 Resolver でのクォータ。各 Elastic Network Interface の料金については、Amazon Route 53 料金ページの「Amazon Route 53」を参照してください。

注記

リゾルバーエンドポイントはプライベート IP アドレスを持ちます。これらの IP アドレスは、エンドポイントの存続期間中に変更されることはありません。

IP アドレスごとに、以下の値を指定します。各 IP アドレスは、region-name リージョンの VPC で指定した Word のアベイラビリティーゾーンにある必要があります。 VPC

アベイラビリティーゾーン

DNS クエリが Word にパススルーするアベイラビリティーゾーンVPC。指定したアベイラビリティーゾーンには、サブネットが設定されている必要があります。

サブネット

Resolver エンドポイント ENIs に割り当てる IP アドレスを含むサブネット。これらは、DNS クエリを送信するアドレスです。サブネットには利用可能な IP アドレスが必要です。

サブネット IP アドレスはエンドポイントタイプと一致する必要があります。

IP アドレス

DNS クエリを転送する IP アドレス。

指定したサブネット内の利用可能な IP アドレスから、いずれかを Resolver に自動的に選択させるのか、ユーザー自身が IP アドレスを指定するのかを設定します。

IP アドレスを自分で指定する場合は、IPv4 または IPv6 アドレス、あるいはその両方を入力します。

プロトコル

エンドポイントプロトコルが、受信エンドポイントへのデータ送信方法を決定します。必要なセキュリティのレベルに応じて 1 つまたは複数のプロトコルを選択します。

  • Do53: (デフォルト) データは、追加の暗号化なしで Route 53 リゾルバーを使用して中継されます。データは外部から読み取ることはできませんが、 AWS ネットワーク内では表示できます。

  • DoH: データは暗号化された HTTPS セッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化したり、目的の受信者以外がデータを読み取ったりできないようにするセキュリティレベルを高めます。

  • DoH-FIPS: データは、HTTPS 140-2 暗号化標準に準拠した暗号化された FIPS セッションを介して送信されます。インバウンドエンドポイントのみでサポートされます。詳細については、FIPS PUB 140-2」を参照してください。

    注記

    DoH/DoH-FIPS インバウンドエンドポイントの場合、Route 53 Resolver のクエリログ記録で誤ったソース IP が発行されるという既知の問題があります。

インバウンドエンドポイントには、以下のようにプロトコルを適用できます。

  • Do53 と DoH の組み合わせ。

  • Do53 と DoH-FIPS の組み合わせ。

  • Do53 のみ。

  • DoH のみ。

  • DoH-FIPS のみ。

  • なし。これは Do53 として扱われます。

重要

インバウンドエンドポイントのプロトコルを Do53 のみから DoH のみ、または DoH-FIPS DoH に直接変更することはできません。これは、Do53 に依存する受信トラフィックが突然中断されるのを防止するためです。プロトコルを Do53 から DoH または DoH-FIPS に変更するには、まず Do53 と DoH の両方、または Do53 と DoH-FIPS の両方を有効にして、すべての受信トラフィックが DoH プロトコルまたは DoH-FIPS を使用して に転送されたことを確認し、次に Do53 を削除する必要があります。

タグ

1 つ以上のキーと対応する値を指定します。例えば、[Key (キー)] に Cost center を、[Value (値)] には 456 を指定します。