ネットワークに転送するクエリをルールでコントロールする

ルールにより、Route 53 Resolver エンドポイントがどの DNS クエリをネットワーク上の DNS リゾルバーに転送するのか、あるいは、Resolver 自体がどのクエリに応答するのかをコントロールします。

ルールは 2 通りの方法で分類できます。1 つの方法では、ルールの作成元で分類します。

自動定義ルール – Resolver が自動的に定義済みルールを作成して VPC に関連付けます。これらのルールのほとんどは、Resolver がクエリに応答する AWS特定のドメイン名に適用されます。詳細については、「Resolver で自動定義ルール作成の対象となるドメイン名」を参照してください。
カスタムルール – カスタムルールは、ユーザーが作成して VPC に関連付けます。現在、転送ルールとも呼ばれる条件付き転送ルールと委任ルールの 2 種類のカスタムルールを作成できます。転送ルールにより、Resolver VPCs からネットワーク上の DNS リゾルバーの IP アドレスに DNS クエリを転送します。

自動定義ルールと同じドメインで転送ルールを作成した場合は、Route 53 Resolver は転送ルールの設定に基づき、このドメイン名のクエリをネットワーク上の DNS リゾルバーに転送します。

委任ルールは、ネットワーク上のリゾルバーに応答して NS レコードに一致する委任ルール内の委任レコードを使用して DNS クエリを転送します。

ルールを分類するもう 1 つの方法は、以下の機能に基づきます。

条件付き転送ルール – 指定されたドメイン名の DNS クエリをネットワーク上の DNS リゾルバーに転送する場合は、条件付き転送ルール (転送ルール) を作成します。
システムルール – Resolver はシステムルールに従い、転送ルールに定義された動作を選択的に上書きします。システムルールを作成すると、Resolver はルールで指定されたサブドメインの DNS クエリを解決します(システムルールを使わない場合は、ネットワークの DNS リゾルバーで解決されます)。

デフォルトでは、転送ルールはドメイン名とそのすべてのサブドメインに適用されます。ドメインのクエリをネットワークのリゾルバーに転送する際に、一部のサブドメインのクエリを除外する場合は、これらのサブドメインに対してシステムルールを作成します。例えば、example.com の転送ルールを作成する際に acme.example.com のクエリを転送しない場合は、システムルールを作成し、ドメイン名として acme.example.com を指定します。
再帰ルール – Resolver は、自動的に [Internet Resolver (インターネットリゾルバー)] という名前の再帰ルールを作成します。このルールにより Route 53 Resolver は、ドメイン名にユーザーが作成したカスタムルールがなく、Resolver が自動定義したルールも存在しない場合の、(そのドメイン名に対する) 再帰リゾルバーとして機能します。この動作を上書きする方法については、このトピックで後ほど説明する「すべてのクエリをネットワークに転送する」を参照してください。

特定のドメイン名 (お客様またはほとんどの AWS ドメイン名）、パブリック AWS ドメイン名、またはすべてのドメイン名に適用されるカスタムルールを作成できます。

特定のドメイン名のクエリをネットワークに転送する

特定のドメイン名 (example.com など) のクエリをネットワークに転送するには、ルールを作成してそのドメイン名を指定します。転送ルールでは、クエリを転送するネットワーク上の DNS リゾルバーの IP アドレスを指定するか、委任ルールでは、オンプレミスリゾルバーに権限を委任する委任レコードを作成します。次に、各ルールを、ネットワークに DNS クエリを転送する VPC に関連付けます。例えば、example.com、example.org、example.net に個別のルールを作成できます。その後、ルールを任意の組み合わせで AWS リージョンの VPCs に関連付けることができます。

amazonaws.com のクエリをネットワークに転送する

ドメイン名 amazonaws.com は、EC2 インスタンスや S3 バケットなどの AWS リソースのパブリックドメイン名です。amazonaws.com のクエリをネットワークに転送する場合は、ルールを作成し、ドメイン名に amazonaws.com を指定し、使用する方法に応じてルールタイプの転送または委任を指定します。

注記

amazonaws.com のために転送ルールを作成した場合、Resolver は、そのサブドメインの一部での DNS クエリについては自動的な転送を行いません。詳細については、「Resolver で自動定義ルール作成の対象となるドメイン名」を参照してくださいこの動作を上書きする方法については、次の「すべてのクエリをネットワークに転送する」を参照してください。

すべてのクエリをネットワークに転送する

すべてのクエリが自分のネットワークに転送されるようにするには、ドメイン名に「.」(ドット) を指定しながらルールを作成し、このルールを、ネットワークへのすべての DNS クエリの転送先となる VPC に関連付けます。の外部で DNS リゾルバーを使用すると一部の機能が破損するため、リゾルバー AWS は引き続きすべての DNS クエリをネットワークに転送しません。たとえば、一部の内部 AWS ドメイン名には、外部からアクセスできない内部 IP アドレス範囲があります AWS。「.」のクエリを作成したときに、ネットワークに転送されないクエリのドメイン名のリストについては、「Resolver で自動定義ルール作成の対象となるドメイン名」を参照してください。

ただし、逆引き DNS の自動定義されたシステムルールを無効にして、「.」ルールを許可し、すべての逆引き DNS クエリをネットワークに転送できます。自動定義されたルールをオフにする方法の詳細については、Resolver での逆引き DNS クエリの転送ルールを参照してください。

デフォルトで転送から除外されるドメイン名も含めて、すべてのドメイン名の DNS クエリをネットワークに転送することを試す場合は、「.」ルールを作成して次のいずれかの操作を実行します。

VPC の enableDnsHostnames フラグを false に設定します。
「Resolver で自動定義ルール作成の対象となるドメイン名」に示されているドメイン名に対してルールを作成します。

重要

「.」ルールを作成した場合に Resolver により除外されるドメイン名も含めて、すべてのドメイン名をネットワークに転送することで、一部の機能が動作しなくなる可能性があります。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Route 53 Resolver エンドポイントで VPC からネットワークに DNS クエリを転送する方法

Resolver がドメイン名をルールと照合する方法