へのインバウンドDNSクエリの転送 VPCs - Amazon Route 53
インバウンド転送の設定インバウンドエンドポイントを作成または編集するときに指定する値

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

へのインバウンドDNSクエリの転送 VPCs

ネットワークから Resolver にDNSクエリを転送するには、インバウンドエンドポイントを作成します。インバウンドエンドポイントは、ネットワーク上のDNSリゾルバーがDNSクエリを転送する IP アドレス ( で使用できる IP アドレスの範囲からVPC) を指定します。これらの IP アドレスはパブリック IP アドレスではないため、インバウンドエンドポイントごとに、 AWS Direct Connect 接続またはVPN接続を使用して VPC をネットワークに接続する必要があります。

インバウンド転送の設定

インバウンドエンドポイントを作成するには、次の手順を実行します。

インバウンドエンドポイントを作成するには

  1. にサインイン AWS Management Console し、 で Route 53 コンソールを開きますhttps://console.aws.amazon.com/route53/

  2. ナビゲーションペインで、[Inbound endpoints (インバウンドエンドポイント)] を選択します。

  3. ナビゲーションバーで、インバウンドエンドポイントを作成するリージョンを選択します。

  4. [Create inbound endpoint (インバウンドエンドポイントの作成)] を選択します。

  5. 適切な値を入力します。詳細については、「インバウンドエンドポイントを作成または編集するときに指定する値」を参照してください

  6. [Create] (作成) を選択します。

  7. ネットワーク上のDNSリゾルバーを設定して、該当するDNSクエリをインバウンドエンドポイントの IP アドレスに転送します。詳細については、DNSアプリケーションのドキュメントを参照してください。

インバウンドエンドポイントを作成または編集するときに指定する値

インバウンドエンドポイントを作成または編集する場合、以下の値を指定します。

Outpost ID

でリゾルバーのエンドポイントを作成する場合 AWS Outposts VPC、これは AWS Outposts ID です。

エンドポイント名

わかりやすい名前にすると、ダッシュボードでインバウンドエンドポイントを見つけやすくなります。

VPC region-name リージョン内

ネットワークからのすべてのインバウンドDNSクエリVPCは、リゾルバーへの途中でこれを渡します。

このエンドポイントのセキュリティグループ

この へのアクセスを制御するために使用する 1 つ以上のセキュリティグループの IDVPC。指定したセキュリティグループには、1 つ以上のインバウンドルールを含める必要があります。インバウンドルールは、ポート 53 で TCPと UDP アクセスを許可する必要があります。エンドポイントの作成が完了した後は、この値を変更できません。

セキュリティグループルールによっては、接続が追跡され、インバウンドエンドポイントの IP アドレスあたりの 1 秒あたりの合計最大クエリ数は 1500 に抑えられます。セキュリティグループによる接続の追跡を回避するには、「追跡されていない接続」を参照してください。

注記

複数のセキュリティグループを追加するには、 AWS CLI コマンド を使用しますcreate-resolver-endpoint。詳細については、「」を参照してください。 create-resolver-endpoint

詳細については、「Amazon ユーザーガイド」の「 のセキュリティグループVPC」を参照してください。 VPC

[エンドポイントタイプ]

エンドポイントタイプはIPv4、、IPv6、またはデュアルスタック IP アドレスのいずれかです。デュアルスタックエンドポイントの場合、エンドポイントには、ネットワーク上のDNSリゾルバーがDNSクエリを転送できる IPv4と IPv6 アドレスの両方があります。

注記

セキュリティ上の理由から、すべてのデュアルスタックおよび IPv6 IP アドレスに対するパブリックインターネットからの直接IPv6トラフィックアクセスを拒否しています。

IP アドレス

ネットワーク上のDNSリゾルバーがDNSクエリを転送する IP アドレス。冗長性を確保するため、少なくとも 2 つの IP アドレスを指定する必要があります。次の点に注意してください。

複数アベイラビリティーゾーン

少なくとも 2 つのアベイラビリティーゾーンで IP アドレスを指定することをお勧めします。必要に応じて、それらのアベイラビリティーゾーンまたは他のアベイラビリティーゾーンに追加の IP アドレスを指定できます。

IP アドレスと Amazon VPCElastic Network Interface

指定したアベイラビリティーゾーン、サブネット、IP アドレスの組み合わせごとに、Resolver は Amazon VPCElastic Network Interface を作成します。エンドポイントの IP アドレスあたりの 1 秒あたりの現在のDNSクエリの最大数については、「」を参照してくださいRoute 53 Resolver でのクォータ。各 Elastic Network Interface の料金については、Amazon Route 53 料金ページの「Amazon Route 53」を参照してください。

注記

リゾルバーエンドポイントはプライベート IP アドレスを持ちます。これらの IP アドレスは、エンドポイントの存続期間中に変更されることはありません。

IP アドレスごとに、以下の値を指定します。各 IP アドレスは、リージョン名リージョン の でVPC指定した のアベイラビリティーゾーンにある必要があります。 VPC

アベイラビリティーゾーン

への途中でDNSクエリを渡すアベイラビリティーゾーンVPC。指定したアベイラビリティーゾーンには、サブネットが設定されている必要があります。

サブネット

Resolver エンドポイント に割り当てる IP アドレスを含むサブネットENIs。これらは、DNSクエリを送信するアドレスです。サブネットには利用可能な IP アドレスが必要です。

サブネット IP アドレスはエンドポイントタイプと一致する必要があります。

IP アドレス

DNS クエリを転送する IP アドレス。

指定したサブネット内の利用可能な IP アドレスから、いずれかを Resolver に自動的に選択させるのか、ユーザー自身が IP アドレスを指定するのかを設定します。

IP アドレスを自分で指定する場合は、 IPv4または IPv6 アドレス、またはその両方を入力します。

プロトコル

エンドポイントプロトコルが、受信エンドポイントへのデータ送信方法を決定します。必要なセキュリティのレベルに応じて 1 つまたは複数のプロトコルを選択します。

  • Do53: (デフォルト) データは、追加の暗号化なしで Route 53 リゾルバーを使用して中継されます。データは外部から読み取ることはできませんが、 AWS ネットワーク内では表示できます。

  • DoH : データは暗号化されたHTTPSセッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化したり、目的の受信者以外がデータを読み取ったりできないようにするセキュリティレベルを高めます。

  • DoH -FIPS: データは、140-2 FIPS 暗号化標準に準拠した暗号化されたHTTPSセッションを介して送信されます。インバウンドエンドポイントのみでサポートされます。詳細については、FIPSPUB「140-2」を参照してください。

インバウンドエンドポイントには、以下のようにプロトコルを適用できます。

  • Do53 と DoH の組み合わせ。

  • Do53 と DoH FIPSの組み合わせ。

  • Do53 のみ。

  • DoH のみ。

  • DoH -FIPS 単独。

  • なし。これは Do53 として扱われます。

重要

インバウンドエンドポイントのプロトコルを Do53 のみから DoH 、または DoH - のみに直接変更することはできませんFIPS。これは、Do53 に依存する受信トラフィックが突然中断されるのを防止するためです。プロトコルを Do53 から DoH または DoH - に変更するにはFIPS、まず Do53 と DoH の両方、または Do53 と DoH - を有効にしてFIPS、すべての受信トラフィックが DoH プロトコルまたは DoH - を使用して に転送されたことを確認しFIPS、Do53 を削除する必要があります。

タグ

1 つ以上のキーと対応する値を指定します。例えば、[Key (キー)] に Cost center を、[Value (値)] には 456 を指定します。