翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Route 53 Global Resolver の仕組み
Route 53 Global Resolver は、パブリックドメインとプライベートドメイン間のトラフィック分割 DNS 解決を有効にし、 AWS リージョン 選択した 2 つ以上の を通じて を通じて高可用性を提供し、リクエストを傍受して DNS フィルタリングポリシーを適用することで DNS クエリを保護します。このプロセスを理解すると、問題をトラブルシューティングし、パフォーマンス、可用性、セキュリティのためにデプロイを最適化できます。
クライアントが DNS クエリを実行するとどうなるか
お客様の場所の誰かがドメインをクエリしようとすると、Route 53 Global Resolver は複数のセキュリティレイヤーを介して DNS リクエストを処理します。
DNS クエリ処理には、次のシーケンシャルステップが含まれます。
-
クエリの受信 - クライアントデバイスは、Route 53 Global Resolver のエニーキャスト IP アドレスに DNS クエリを送信します。エニーキャストルーティングは、クエリを最も近い AWS リージョンに自動的に送信します。
-
認証 - Route 53 Global Resolver は、設定された認証方法 (DoH/DoT の場合はトークンベース、すべてのプロトコルの場合は IP アクセスソース) を使用してクライアントを認証します。
-
ポリシー評価 - サービスは、設定されたセキュリティポリシーとドメインリストに対して DNS クエリを評価し、適切なアクション (許可、ブロック、またはアラート) を決定します。プライベートホストゾーンをターゲットとするクエリの場合、Route 53 Global Resolver は、解決に進む前に、管理者が管理する DNS ビュールールに基づいて、クライアントがプライベートドメインにアクセスする権限があるかどうかを確認します。
-
解決策 - 許可されたクエリの場合、Route 53 Global Resolver は、必要に応じてパブリック DNS リゾルバーまたはプライベートホストゾーン解決を使用して DNS 解決を実行します。
-
レスポンス配信 - サービスは DNS レスポンスをクライアントに返し、モニタリングと分析のためにクエリの詳細をログに記録します。
グローバルエニーキャストアーキテクチャ
Route 53 Global Resolver は、エニーキャスト IP アドレスを使用して、グローバルな可用性と自動地理的ルーティングを提供します。
Route 53 Global Resolver は、エニーキャスト IP アドレスを使用して以下を提供します。
-
自動地理的ルーティング - DNS クエリは、最適なパフォーマンスを得るために最も近い AWS リージョンに自動的にルーティングされます。
-
組み込み冗長性 - リージョンが使用できなくなった場合、トラフィックは次に近いリージョンに自動的にフェイルオーバーします。
-
整合性のある IP アドレス - クライアントは場所に関係なく同じエニーキャスト IP アドレスを使用し、設定を簡素化します。
DNS フィルタリングとセキュリティ
Route 53 Global Resolver は、複数のレイヤーを通じて包括的な DNS フィルタリングとセキュリティを提供します。DNS フィルタリングとセキュリティアーキテクチャの図は、認証、ポリシー評価、解決レイヤーを通じてクエリを処理する方法を示しています。
Route 53 Global Resolver は、以下を通じて包括的な DNS セキュリティを提供します。
-
ドメインベースのフィルタリング - カスタムドメインリストまたは AWS マネージドドメインリストを使用して、ドメイン名に基づいてクエリをブロックまたは許可します。
-
脅威インテリジェンスの統合 - AWS マネージド脅威インテリジェンスを活用して、既知の悪意のあるドメインを自動的にブロックします。
-
高度な脅威検出 - DNS トンネリングの試行とドメイン生成アルゴリズム (DGA) パターンを検出してブロックします。
-
リアルタイムモニタリング - セキュリティイベントとポリシー違反のアラートとログを生成します。
