インバウンドエンドポイントを作成または編集するときに指定する値 - Amazon Route 53

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インバウンドエンドポイントを作成または編集するときに指定する値

インバウンドエンドポイントを作成または編集する場合、以下の値を指定します。

Outpost ID

AWS Outposts VPC でリゾルバーのエンドポイントを作成する場合、これは AWS Outposts ID です。

エンドポイント名

わかりやすい名前にすると、ダッシュボードでインバウンドエンドポイントを見つけやすくなります。

エンドポイントカテゴリ

デフォルトまたは委任を選択します。カテゴリがデフォルトの場合、ネットワークのリゾルバーは DNS リクエストをインバウンドエンドポイントの IP アドレスに転送します。カテゴリが委任の場合、ドメインの権限は Route 53 Resolver に委任されます。

region-name リージョンの VPC

すべてのインバウンド DNS クエリは、ネットワークからこの VPC を通過し Resolver に到達します。

このエンドポイントのセキュリティグループ

この VPC へのアクセスを制御するために使用する 1 つ以上のセキュリティグループの ID です。指定したセキュリティグループには、1 つ以上のインバウンドルールを含める必要があります。インバウンドルールでは、ポート 53 での TCP および UDP アクセスを許可する必要があります。DoH プロトコルを使用している場合は、セキュリティグループのポート 443 も許可する必要があります。エンドポイントの作成後にこの値を変更することはできません。

セキュリティグループルールによっては、接続が追跡され、インバウンドエンドポイントの IP アドレスごとの 1 秒あたりの全体的な最大クエリ数は 1,500 に抑えられます。セキュリティグループによる接続の追跡を回避するには、「追跡されていない接続」を参照してください。

注記

複数のセキュリティグループを追加するには、 AWS CLI コマンド を使用しますcreate-resolver-endpoint。詳細については、「create-resolver-endpoint」を参照してください

詳細については、Amazon VPC ユーザーガイドの「VPC のセキュリティグループ」を参照してください。

エンドポイントタイプ

エンドポイントのタイプは、IPv4、IPv6、デュアルスタック IP アドレスのいずれかです。デュアルスタックエンドポイントの場合、エンドポイントには、ネットワーク上の DNS リゾルバーが DNS クエリを転送できる IPv4 と IPv6 の両方のアドレスが割り当てられます。

注記

セキュリティ上の理由から、すべてのデュアルスタック IP アドレスと IPv6 IP アドレスに対するパブリックインターネットからの IPv6 トラフィック直接アクセスを拒否しています。

IP アドレス

ネットワークの DNS リゾルバーから DNS クエリを転送する先の IP アドレスです。冗長性を確保するため、少なくとも 2 つの IP アドレスを指定する必要があります。委任インバウンドエンドポイントを作成した場合は、これらの IP アドレスを、Route 53 Resolver に権限を委任するサブドメインのグルー NS レコードとして使用します。次の点に注意してください:

複数アベイラビリティーゾーン

少なくとも 2 つのアベイラビリティーゾーンで IP アドレスを指定することをお勧めします。必要に応じて、それらのアベイラビリティーゾーンまたは他のアベイラビリティーゾーンに追加の IP アドレスを指定できます。

IP アドレスと Amazon VPC Elastic Network Interface

ユーザーが指定したアベイラビリティーゾーン、サブネット、および IP アドレスの組み合わせごとに、Resolver は Amazon VPC Elastic Network Interface を作成します。エンドポイントの IP アドレスあたりの 1 秒あたりの DNS クエリの現在の最大数については、「Route 53 Resolver でのクォータ」を参照してください。各 Elastic Network Interface の料金については、Amazon Route 53 料金ページの「Amazon Route 53」を参照してください。

注記

リゾルバーエンドポイントはプライベート IP アドレスを持ちます。これらの IP アドレスは、エンドポイントの存続期間中に変更されることはありません。

IP アドレスごとに、以下の値を指定します。各 IP アドレスは、[VPC in the region-name Region (region-name リージョンの VPC)] で指定した VPC のアベイラビリティーゾーンに存在する必要があります。

アベイラビリティーゾーン

VPC に向かう途中で DNS クエリを通過させるアベイラビリティーゾーンです。指定したアベイラビリティーゾーンには、サブネットが設定されている必要があります。

サブネット

リゾルバーエンドポイント ENI に割り当てる IP アドレスを含むサブネット。これらは DNS クエリを送信するアドレスです。サブネットには利用可能な IP アドレスが必要です。

サブネット IP アドレスはエンドポイントタイプと一致する必要があります。

IP アドレス

DNS クエリの転送先となる IP アドレス。

指定したサブネット内の利用可能な IP アドレスから、いずれかを Resolver に自動的に選択させるのか、ユーザー自身が IP アドレスを指定するのかを設定します。

IP アドレスを自分で指定することを選択した場合は、IPv4 か IPv6 のいずれか、または両方のアドレスを入力します。

プロトコル

エンドポイントプロトコルが、受信エンドポイントへのデータ送信方法を決定します。必要なセキュリティのレベルに応じて 1 つまたは複数のプロトコルを選択します。

  • Do53: (デフォルト) データは、追加の暗号化なしで Route 53 リゾルバーを使用して中継されます。データは外部関係者が読み取ることはできませんが、 AWS ネットワーク内で表示できます。これは、Delegation インバウンドエンドポイントカテゴリで現在利用可能な唯一のプロトコルです。

  • DoH: データは暗号化された HTTPS セッションを介して送信されます。DoH は、権限のないユーザーがデータを復号化したり、目的の受信者以外がデータを読み取ったりできないようにするセキュリティレベルを高めます。

  • DoH-FIPS: データは FIPS 140-2 暗号規格に準拠した暗号化された HTTPS セッションを介して送信されます。インバウンドエンドポイントのみでサポートされます。詳細については、「FIPS PUB 140-2」を参照してください。

    注記

    DoH/DoH-FIPS インバウンドエンドポイントの場合、Route 53 Resolver クエリログ記録で誤ったソース IP が発行されるという既知の問題があります。

インバウンドエンドポイントには、以下のようにプロトコルを適用できます。

  • Do53 と DoH の組み合わせ。

  • Do53 と DoH-FIPS の組み合わせ。

  • Do53 のみ。

  • DoH のみ。

  • DoH-FIPS のみ。

  • なし。これは Do53 として扱われます。

重要

受信エンドポイントのプロトコルを Do53 のみから DoH または DoH-FIPS のみに直接変更できません。これは、Do53 に依存する受信トラフィックが突然中断されるのを防止するためです。プロトコルを Do53 から DoH または DoH-FIPS に変更するには、まず Do53 と DoH、または Do53 と DoH-FIPS の両方を有効にして、すべての着信トラフィックが DoH プロトコル(DoH-FIP)を使用するように転送されたことを確認してから、Do53 を削除する必要があります。

[タグ]

1 つ以上のキーと対応する値を指定します。例えば、[Key (キー)] に Cost center を、[Value (値)] には 456 を指定します。