複数の VPC と AWS アカウントで Amazon Route 53 プロファイルを使用して DNS 管理を統合する

多数のアカウントと Amazon Virtual Private Cloud (Amazon VPC) リソースを管理している場合、多くの DNS リソースを共有して各 VPC に関連付けるのは大きな負担となることがあります。共有と関連付けに関する制限にしばしば悩まされ、アカウントと VPC 全体に DNS 設定を伝播するために独自のオーケストレーションレイヤーを構築するまでに至ったお客様もいらっしゃるかもしれません。

4月22日、Amazon Route 53 プロファイルを発表します。これは、組織のすべてのアカウントと VPC における DNS の管理を統合する機能を提供します。Route 53 プロファイルを使用することで、Route 53 プライベートホストゾーン (PHZ) の関連付け、Resolver 転送ルール、Route 53 Resolver DNS ファイアウォールルールグループなどの標準 DNS 設定を定義し、その設定を同じ AWS リージョン内の複数の VPC に適用できます。プロファイルを使用すると、個別の Route 53 リソースを処理するという複雑さに煩わされることなく、簡単な操作で、すべての VPC が同じ DNS 設定を持つようにできます。多数の VPC にわたる DNS の管理が、単一の VPC のそれらの同じ設定を管理するのと同じ程度にシンプルになりました。

プロファイルは AWS Resource Access Manager (RAM) とネイティブに統合されるため、アカウント間で、または AWS Organizations アカウントと、プロファイルを共有できます。プロファイルは、アカウント間で共有される際に組織がこれらの同じ設定にアクセスできるようにするため、既存のプライベートホストゾーンを作成してプロファイルに追加することを可能にすることによって、Route 53 プライベートホストゾーンとシームレスに統合します。AWS CloudFormation を利用すると、アカウントが新しくプロビジョニングされる際に、プロファイルを使用して VPC の DNS 設定を一貫して行うことができます。4月22日のリリースでは、マルチアカウント環境の DNS 設定をより適切に管理できるようになりました。

Route 53 プロファイルの仕組み
Route 53 プロファイルの使用を開始するには、Route 53 の AWS マネジメントコンソールに移動します。ここでプロファイルを作成し、そのプロファイルにリソースを追加して、VPC に関連付けることができます。その後、AWS RAM を使用して、作成したプロファイルを別のアカウントと共有します。

Route 53 コンソールのナビゲーションペインで、[プロファイル] を選択し、次に [プロファイルを作成] を選択してプロファイルを設定します。

プロファイルの設定に MyFirstRoute53Profile などのわかりやすい名前を付け、必要に応じてタグを追加します。

DNS ファイアウォールルールグループ、プライベートホストゾーン、Resolver ルールの設定の構成や、アカウント内に既に存在しているそれらの設定の追加は、すべてプロファイルコンソールページ内で実行できます。

[VPC] を選択して、VPC をプロファイルに関連付けます。タグを追加できるほか、再帰的 DNSSEC 検証や、VPC に関連付けられた DNS ファイアウォールの障害モードの設定を行うこともできます。また、DNS 評価の順序を制御することもできます。最初に VPC DNS、次にプロファイル DNS としたり、または最初にプロファイル DNS、次に VPC DNS としたりできます。

VPC ごとに 1 個のプロファイルを関連付けることができ、最大 5,000 個の VPC を 1 個のプロファイルに関連付けることができます。

プロファイルを使用すると、組織内のアカウント全体で VPC の設定を管理できます。VPC ごとに逆引き DNS ルールを設定するのではなく、プロファイルが関連付けられている VPC ごとに逆引き DNS ルールを無効にできます。Route 53 Resolver は、逆引き DNS ルックアップのルールを自動的に作成して、さまざまなサービスが IP アドレスからホスト名を簡単に解決できるようにします。DNS ファイアウォールを使用する場合、ファイアウォール用に設定を通じて障害モードを選択して、フェールオープンまたはフェールクローズを選択できます。また、Route 53 (または他のプロバイダー) で DNSSEC 署名を使用せずに、プロファイルに関連付けられた VPC 用に再帰的 DNSSEC 検証を有効にするかどうかを指定することもできます。

プロファイルを VPC に関連付けるとします。VPC に直接関連付けられているリゾルバールールまたは PHZ と、VPC のプロファイルに関連付けられているリゾルバールールまたは PHZ の両方に、クエリが正確に一致するとどうなるでしょうか? プロファイルとローカル VPC のどちらの DNS 設定が優先されるのでしょうか? 例えば、VPC が example.com の PHZ に関連付けられており、プロファイルに example.com の PHZ が含まれている場合、その VPC のローカル DNS 設定がプロファイルよりも優先されます。競合するドメイン名についてクエリが実行された場合 (例えば、プロファイルに infra.example.com の PHZ が含まれており、VPC が account1.infra.example.com という名前の PHZ に関連付けられている場合)、最も具体的な名前が優先されます。

AWS RAM を利用してアカウント間で Route 53 プロファイルを共有する
AWS Resource Access Manager (RAM) を利用して、前のセクションで作成したプロファイルを他のアカウントと共有します。

[プロファイルの詳細] ページで [プロファイルを共有] オプションを選択するか、または AWS RAM コンソールページに移動して [リソース共有を作成] を選択します。

リソース共有の名前を入力し、[リソース] セクションで「Route 53 Profiles」を検索します。[選択されたリソース] でプロファイルを選択します。タグを追加することもできます。その後、[次へ] を選択します。

プロファイルは RAM マネージド許可を利用するため、各リソースタイプに異なる許可をアタッチできます。デフォルトでは、プロファイルの所有者 (ネットワーク管理者) のみがプロファイル内のリソースを変更できます。プロファイルの受信者 (VPC の所有者) は、プロファイルの内容のみを表示できます (ReadOnly モード)。プロファイルの受信者が PHZ または他のリソースをそのプロファイルに追加することを許可するには、プロファイルの所有者は、必要な許可をリソースにアタッチする必要があります。受信者は、プロファイルの所有者によって共有リソースに追加されたリソースを編集または削除できません。

デフォルトの選択をそのままにして、[次へ] を選択し、他のアカウントにアクセスを付与します。

次のページで、[すべてのユーザーとの共有を許可] を選択し、他のアカウントの ID を入力して、[追加] を選択します。その後、[選択されたプリンシパル] セクションでそのアカウント ID を選択し、[次へ] を選択します。

[確認と作成] ページで、[リソース共有を作成] を選択します。リソース共有が正常に作成されました。

次に、プロファイルを共有する別のアカウントに切り替えて、RAM コンソールに移動します。ナビゲーションメニューで、[リソース共有] に移動し、最初のアカウントで作成したリソース名を選択します。[リソース共有を承認] を選択して招待を受け入れます。

これで完了です。 ここで Route 53 プロファイルページに移動し、共有されているプロファイルを選択します。

共有されたプロファイルの DNS ファイアウォールルールグループ、プライベートホストゾーン、および Resolver ルールにアクセスできます。このアカウントの VPC をこのプロファイルに関連付けることができます。リソースを編集または削除することはできません。プロファイルはリージョンレベルのリソースであり、リージョン間で共有することはできません。

今すぐご利用いただけます
Route 53 プロファイルは、AWS マネジメントコンソール、Route 53 API、AWS コマンドラインインターフェイス (AWS CLI)、AWS CloudFormation、および AWS SDK を使用して簡単に開始できます。

Route 53 プロファイルは、カナダ西部 (カルガリー)、AWS GovCloud (米国) リージョン、および Amazon Web Services の中国リージョンを除くすべての AWS リージョンで利用可能になる予定です。

料金の詳細については、Route 53 の料金ページにアクセスしてください。

今すぐプロファイルの使用を開始して、通常の AWS サポートのお問い合わせ先や、Amazon Route 53 の AWS re:Post を通じてフィードバックをぜひお寄せください。

– Esra

原文はこちらです。