チュートリアル: 最初の Route 53 Global Resolver を作成する - Amazon Route 53
前提条件ステップ 1: グローバルリゾルバーを作成するステップ 2: DNS ビューを作成して認証を設定するステップ 3: DNS フィルタリングルールを設定する (オプション)ステップ 4: 設定をテストするステップ 5: DNS アクティビティのモニタリングステップ 6: クリーンアップする (オプション)次の手順

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

チュートリアル: 最初の Route 53 Global Resolver を作成する

この入門ガイドでは、Route 53 Global Resolver の基本コンポーネントと、オプションで簡単な DNS フィルタリング設定を作成する方法を示します。このチュートリアルでは、主要な概念について説明しますが、クライアント設定、ログ記録、プライベートドメイン解決などの本番稼働要件は含まれていません。

完了すると、DNS クエリをフィルタリングし、悪意のあるドメインをブロックできる基本的な Route 53 Global Resolver のセットアップが行われます。

以下のセクションでは、Route 53 Global Resolver を使用して DNS セキュリティとフィルタリングをすばやく開始する方法について説明します。

前提条件

Route 53 Global Resolver を使用する前に、Route 53 Global Resolver コンポーネントにアクセス、表示、編集するための AWS アカウントと適切なアクセス許可が必要です。システム管理者は、「」の手順を完了してからRoute 53 Global Resolver のアカウントアクセスの設定、このチュートリアルに戻る必要があります。

ステップ 1: グローバルリゾルバーを作成する

まず、グローバルリゾルバーインスタンスを作成し、それが動作する AWS リージョンを選択します。

  1. https://console.aws.amazon.com/route53globalresolver/ で Route 53 Global Resolver コンソールを開きます。

  2. グローバルリゾルバーの作成を選択します。

  3. 名前 に、グローバルリゾルバーのわかりやすい名前を入力します。

  4. 説明 には、オプションで説明を入力します。

  5. リージョンでは、グローバルリゾルバーをインスタンス化する AWS リージョン 2 つ以上の を選択します。最適なパフォーマンスを得るには、クライアントに最も近いリージョンを選択します。

  6. 必要に応じて、リソースの整理と管理に役立つタグを追加します。

  7. グローバルリゾルバーの作成を選択します。

クライアントがリゾルバーに到達するために使用できる任意のキャスト IPv4 アドレスがすぐに届きます。グローバルリゾルバーの作成プロセスは、アドレスが機能するまでに数分かかります。

ステップ 2: DNS ビューを作成して認証を設定する

DNS ビューを作成してクライアントを整理し、IP データソースを使用して認証を設定します。このチュートリアルでは、IP ベースの認証を使用します。DoH/DoT プロトコルのアクセストークンを使用することもできます。

  1. Route 53 グローバルリゾルバーコンソールで、グローバルリゾルバーを選択します。

  2. DNS ビューの作成 を選択します。

  3. 名前 に、DNS ビューのわかりやすい名前を入力します。

  4. 説明 には、オプションで説明を入力します。

  5. DNS ビューの作成 を選択します。

  6. DNS ビューを作成したら、アクセスソースを選択し、アクセスソースを作成します

  7. CIDR ブロックには、クライアントの IP アドレス範囲 (例: ) を入力します203.0.113.0/24

  8. プロトコル では、基本的なセットアップのために Do53 (ポート 53 経由の DNS) を選択します。

  9. アクセスソースルールの作成を選択します。

ステップ 3: DNS フィルタリングルールを設定する (オプション)

基本的な DNS フィルタリングルールを設定して、悪意のあるドメインへのアクセスをブロックします。

  1. DNS ビューで、ファイアウォールルールを選択し、ファイアウォールルールを作成します

  2. Name に、ルールのわかりやすい名前を入力します。

  3. Priority には、 と入力します 100 (低い数値の方が優先度が高くなります)。

  4. アクション で、ブロック を選択します。

  5. ドメインリストタイプで、AWS マネージドドメインリストを選択します。

  6. マネージドドメインリストで、AmazonGuardDutyThreatListMalware and Botnet Command and Control を選択して、既知の悪意のあるドメインをブロックします (他のマネージドリストを追加したり、後でカスタムリストを作成したりできます)。

  7. ファイアウォールルールの作成 を選択します。

ステップ 4: 設定をテストする

Route 53 Global Resolver 設定が正しく動作していることをテストします。

  1. 設定した CIDR 範囲内のクライアントマシンから、グローバルリゾルバーが提供するエニーキャスト IP アドレスを使用して DNS 解決をテストします。

    nslookup example.com <anycast-ip-address>

  2. 正当なドメインが正しく解決することを確認します。

  3. ブロックされたドメインが適切にフィルタリングされていることをテストします。テストドメインを使用してカスタムドメインリストを作成して、ファイアウォールルールが正しく動作していることを確認できます。マネージドドメインリストの詳細については、「マネージドドメインリスト」を参照してください。

  4. Route 53 Global Resolver コンソールでクエリログとフィルタリングアクティビティを確認します。

包括的なテスト手順とトラブルシューティングについては、Route 53トラブルシューティング」を参照してください。

ステップ 5: DNS アクティビティのモニタリング

DNS アクティビティのログ記録を設定します。

  1. オブザーバビリティリージョンを選択します。

  2. クエリログの送信先を選択します。

包括的なテスト手順とトラブルシューティングについては、Route 53テストとトラブルシューティング」を参照してください。

ステップ 6: クリーンアップする (オプション)

テスト目的でこの設定を作成し、Route 53 Global Resolver を引き続き使用しない場合は、継続的な料金が発生しないようにリソースをクリーンアップします。

  1. Route 53 Global Resolver コンソールで、作成したファイアウォールルールをすべて削除します。

  2. 作成したアクセスソースルールをすべて削除します。

  3. DNS ビューを削除します。

  4. グローバルリゾルバーを削除します。

重要

これらのリソースを削除すると、それらを使用するように設定されたクライアントの DNS 解決が停止します。リゾルバーを削除するか、アクセスルールを削除する前に、クライアント設定を更新します。

次の手順

これで、Route 53 Global Resolver の基本的な設定ができました。次に、追加の機能について説明します。

  • リゾルバーを使用するようにクライアントデバイスを設定します (本番稼働に必要)。グローバルリゾルバーが提供するエニーキャスト IP アドレスを使用するようにクライアント DNS 設定を更新します。

  • モニタリングとコンプライアンスのためのログ記録を設定します (本番稼働用として推奨)。モニタリングと分析のために Amazon CloudWatch、Amazon S3、または Amazon Data Firehose へのログ記録を設定します。詳細については、「」を参照してください。

  • 内部ドメインのプライベートホストゾーン転送を設定します (プライベート AWS リソースがある場合は必須)。詳細については、「プライベートホストゾーンの使用」を参照してください。

  • DNS-over-HTTPS (DoH) または DNS-over-TLS (DoT) を使用して暗号化された DNS 接続を設定します。 DoH DoT 詳細については、「暗号化された DNS の設定」を参照してください。

  • カスタムドメインリストと高度なフィルタリングルールを作成します。詳細については、「DNS フィルタリング」を参照してください。