Amazon Route 53:レジストラ委任、リゾルバ、ログ、ガバナンス
Tony Duong
3月 29, 2026 · 3 分
#aws#route-53#dns#resolver#s3#hybrid-dns#dns-firewall#arc#cloudops#certification
誰が DNS を権威として応答するかとドメインをどこで買ったかは別、カスタム名の背後の S3 静的ウェブ、Route 53 Resolver によるハイブリッド DNS、クロスアカウントのプライベートホストゾーン、ログ、DNS ファイアウォール、Application Recovery Controller、Route 53 プロファイル、ラボ後の料金/クリーンアップを扱う。
前編: DNS の基礎 · ルーティングポリシーとヘルスチェック。
ドメインレジストラと DNS サービス
- レジストラ = ドメイン代を支払う場所(年次更新)。例:Route 53 登録、GoDaddy、Google Domains など。
- DNS ホスティング = ゾーンとレコードが置かれる場所(権威ネームサーバー)。
ベンダーは混在可: GoDaddy で登録し Route 53 で DNS をホストする、または Route 53 で登録し別の DNS を使う(コースではやや稀)。
委任: Route 53 でパブリックホストゾーンを作成し、Route 53 が割り当てる 4 つの NS をコピー。レジストラでカスタムネームサーバーをそれらの値に設定。伝播後、すべてのレコード変更は Route 53 側;レジストラは登録と NS 委任のみ。
S3 静的ウェブサイトと Route 53
- バケットで静的ウェブサイトホスティングを有効にし、index ドキュメント(例:
index.html)を設定。オブジェクトは要件どおり読み取り可能に(パブリックまたはポリシー経由 — 最新の S3 ベストプラクティスに従う)。 - 試験で重要: バケット名は欲しい FQDN と完全一致(例:
blog.example.comバケットでblog.example.comレコード)。 - Route 53 でそのリージョンの S3 ウェブサイトエンドポイントを指す alias A レコードを作成(コンソールは REST API ではなくウェブサイトエンドポイントを案内)。
- このパターンでは S3 ウェブサイトは HTTP のみ;カスタムドメインで HTTPS は通常 CloudFront 前段(ACM の証明書、ディストリビューションの代替ドメイン)。
Route 53 Resolver(ハイブリッド DNS)
- 各 VPC には Resolver アドレス(.2)があり、Amazon 提供 DNS、VPC に関連付けられたプライベートホストゾーン、パブリックのインターネット名への再帰解決にデフォルトで応答する。
ハイブリッド構成には オンプレミス と AWS の間の接続(サイト間 VPN、Direct Connect など)が必要。
| エンドポイント | 方向 | 役割(概要) |
|---|---|---|
| Inbound | オンプレリゾルバ → AWS | プライベートな Route 53 名(例:プライベートホストゾーン)のクエリを AWS へ転送し、オンプレクライアントがクラウドのレコードを解決できるようにする。 |
| Outbound | AWS → オンプレ DNS | VPC ワークロードから社内 DNS へのクエリを、内部ゾーン(例:app.corp.internal)へ転送する。 |
Inbound/Outbound の Resolver エンドポイントは オンプレへルーティングできるサブネットに配置;セキュリティグループで利用元を制御。フォワーディングルールでどのサフィックスをどこへ送るかを定義。
DNS クエリログと Resolver クエリログ
パブリックホストゾーン — DNS クエリログ
- パブリックホストゾーン向けに受信したパブリック DNS クエリをログ化(コースの説明)。
- 典型宛先:CloudWatch Logs(必要ならそこから S3 へエクスポート)。
- 例として挙がるフィールド:ログ形式バージョン、タイムスタンプ、ホストゾーン ID、クエリ名、クエリタイプ、レスポンスコード、プロトコル、エッジロケーション、リゾルバ IP、EDNS クライアントサブネット — 最新のログスキーマはドキュメントで確認。
Resolver クエリログ
- VPC 内リソースからの DNS クエリをログ化 — プライベートホストゾーン、Resolver inbound/outbound パス、Resolver DNS Firewall などを含む。
- 宛先:CloudWatch Logs、S3、Kinesis Data Firehose(コースの一覧)。
- 共有: 設定を AWS Resource Access Manager(RAM) で他アカウントへ共有できる場合あり。
Resolver DNS ファイアウォール
- Route 53 Resolver を通る VPC からの外向き DNS クエリをマネージドでフィルタ(外向き DNS ポリシーのイメージ)。
- 悪意のあるドメインをブロックするか、承認済みドメインのみ許可 — DNS 経由の持ち出しや マルウェア C2 の DNS を緩和。
- AWS Firewall Manager でマルチアカウントのポリシーを整理(コースの説明)。
- ログは CloudWatch Logs や Resolver クエリログと連携(コースの範囲)。
Application Recovery Controller(ARC)
- ミッションクリティカルなアプリの AZ/リージョンをまたぐ復旧をオーケストレーション・自動化(アクティブ/アクティブやアクティブ/スタンバイ)。
- Readiness checks がスタンバイ/レプリカインフラがトラフィックを受けられるかを継続検証。
- Routing controls が Route 53 とヘルスの仕組みと連携し、障害時にトラフィックを移動(ゾーナルシフト、リージョナルフェイルオーバー)。
- RTO/RPO や規制/事業継続要件があるとき — ユーザートラフィック移動を調整する DNS レイヤーとして Route 53 が語られる。
Route 53 プロファイル
- 多数の VPC とアカウントにわたる DNS 関連設定の一元管理。
- プライベートホストゾーン、Resolver ルール、Resolver DNS ファイアウォールルールグループ、VPC インターフェースエンドポイントなどのリソースを関連付け、選んだ VPC にプロファイルを適用して同じ DNS 構成を継承させる。
- クロスアカウント: RAM でプロファイル(と関連リソース)を共有し、他アカウントが標準ベースラインを利用。
- コンソールでは DNSSEC、failure mode、Resolver ルックアップオプションをプロファイルレベルで扱う場合あり(機能は要確認)。
クロスアカウントのプライベートホストゾーン関連付け
- アカウント A のプライベートホストゾーンをアカウント B の VPC に関連付けできる(マルチアカウントの共有サービスや hub DNS)。
- 手順の順序(試験):
- アカウント A(ゾーン所有者)で、アカウント B の VPC 向けに VPC association authorization を作成(API/CLI — 例:Route 53 API ファミリの
create-vpc-association-authorization)。 - アカウント B で VPC をプライベートホストゾーンに通常どおり関連付け;A に認可があれば Route 53 が許可。
- アカウント A(ゾーン所有者)で、アカウント B の VPC 向けに VPC association authorization を作成(API/CLI — 例:Route 53 API ファミリの
認可がなければクロスアカウントの関連付けは失敗する。
料金とラボのクリーンアップ
金額はすべて Route 53 料金 で確認 — コースはきりのいい数字を使用。
- 登録ドメイン: 更新は年額(コースでは安い
.comで ~12 ドル/年 — TLD とレジストラは異なる)。ホストゾーンを削除してもドメイン登録は解約されない;期限切れまたは移転まで登録は残る。 - ホストゾーン: パブリック/プライベートのホストゾーンは存在する限り****月額(コース ~0.50 ドル/月/ゾーン — レコード数はこの基本を変えない話)。ホストゾーンを削除する前にすべてのレコードを削除(Route 53 が管理する NS/SOA は除く — コンソールの空にする手順に従う)→ ゾーンを削除。
- ラボ: ルーティングデモ用の EC2、ALB、ターゲットグループを使った各リージョンで終了;ヘルスチェックと作成した Traffic Flow の policy record を削除(Traffic Flow は高額になりうる)。
要点
- レジストラ ≠ DNS: レジストラで NS を Route 53 のネームサーバーに委任して AWS のホストゾーンを使う。
- S3 ウェブ + カスタム名: バケット名 = FQDN;ウェブサイトエンドポイントへの alias;S3 は HTTP のみ — HTTPS は CloudFront パターン。
- Resolver inbound = オンプレ → AWS 名;outbound = VPC → オンプレ DNS;ネットワーク経路とルールが必要。
- ログの二系統: パブリックゾーンのクエリログ vs VPC の Resolver クエリログ(宛先と RAM が異なる)。
- DNS ファイアウォール = VPC からの外向き DNS をフィルタ;持ち出しユースケース;規模は Firewall Manager。
- ARC = readiness + マルチ AZ/マルチリージョン復旧でのトラフィックシフトと Route 53 連携。
- プロファイル = VPC/アカウント横断で DNS 関連付けを標準化;共有は RAM。
- クロスアカウント PHZ: ゾーン側アカウントで認可 → メンバーアカウントで VPC 関連付け。
- 課金: ゾーンがある限り ホストゾーンの月額;レコードを空にしてからゾーン削除;ドメイン更新はゾーン削除とは別。
関連:Amazon Route 53: Routing Policies, Health Checks, and Traffic Flow。
Claudeによる翻訳
