インターフェイス VPC エンドポイントのサービスドメイン名を解決できないのはなぜですか?

最終更新日: 2022 年 4 月 4 日

AWS のサービスの Amazon Virtual Private Cloud (Amazon VPC) エンドポイントのインターフェイスを使用しています。デフォルトのサービスドメイン名 (ec2.us-east-1.amazonaws.com など) を使用して VPC インターフェイスエンドポイント経由でサービスにアクセスします。インターフェイス VPC エンドポイントのサービスドメイン名を解決できないのはなぜですか?

解決方法

インターフェイス VPC エンドポイントのサービスドメイン名 (ec2.us-east-2-amazonaws.com など) を解決するには、次の点に注意してください。

  • サービスドメイン名をインターフェイス VPC エンドポイントのプライベート IP に解決するには、インターフェイスエンドポイントが作成された VPC の Amazon 提供の DNS に DNS クエリを送信する必要があります。Amazon が提供する DNS は、VPC CIDR のベースに 2 を加えたものです。
  • インターフェイス VPC エンドポイントを作成した VPC で、VPC の DNS 属性である DNS ホスト名DNS 解決の両方がオンになっていることを確認します。
  • インターフェイス VPC エンドポイントを使用して、Amazon Elastic Compute Cloud (Amazon EC2) など利用可能な AWS のサービスにアクセスする場合、エンドポイントでプライベート DNS 名を有効にできます。このパラメータをオンにすると、サービスドメイン名のクエリはプライベート IP アドレスに解決されます。これらのプライベート IP アドレスは、特定のインターフェイスエンドポイントの関連付けられた各サブネットに作成された Elastic Network Interface の IP アドレスです。
    プライベート DNS 名を有効にすると、AWS PrivateLink 上でサービスドメイン名 (ec2.us-east-1.amazonaws.com など) を使用して AWS API コールを実行できます。
    インターフェイス VPC エンドポイントで、プライベート DNS 名が有効になっていることを確認します。プライベート DNS 名が有効になっていない場合、サービスドメイン名またはエンドポイントドメイン名はリージョンのパブリック IP に解決されます。プライベート DNS 名を有効にするステップについては、インターフェイスエンドポイントの変更を参照してください。
  • VPC の DHCP オプションセットでは、カスタムドメインネームサーバーを指定できます。カスタムドメインネームサーバーを使用する場合、サービスドメイン名の DNS クエリは、解決のためにカスタムドメインネームサーバーに送信されます。カスタムドメインネームサーバーは VPC 内または VPC 外に配置される場合があります。
    カスタムドメインネームサーバーは、インターフェイスエンドポイントが作成される VPC の Amazon 提供の DNS サーバーにサービスドメイン名を転送する必要があります。
  • VPC 外 (クロス VPC またはオンプレミス) からインターフェイスエンドポイントにアクセスしようとする場合は、DNS アーキテクチャが整っていることを確認してください。DNS アーキテクチャは、サービスドメイン名に対する DNS クエリを、インターフェイスエンドポイントが作成される VPC の Amazon 提供の DNS サーバーに転送する必要があります。
    nslookup などのツールを使用したり、ソースネットワークのサービスドメイン名を調べたりして、解決先の IP を確認することができます。
    または、SDK でリージョンエンドポイントドメイン名を使用して API コールを実行することもできます。インターフェイスエンドポイントのリージョンエンドポイントドメイン名は、どのネットワークからでも解決できます。AWS Command Line Interface (AWS CLI) を使用して describe 呼び出しを実行する例を次に示します。
$aws ec2 describe-instances --endpoint-url https://vpce-aaaabbbbcccc-dddd.vpce-svc-12345678.us-east-1.vpce.amazonaws.com
  • サービスドメイン名に Amazon Route 53 プライベートホストゾーンを作成した場合、正しいソース VPC をホストゾーンにアタッチしていることを確認します。詳細については、Route 53 プライベートホストゾーンでの DNS 解決の問題のトラブルシューティング方法を参照してください。
    注: DNS クエリのルーティングには、VPC ピアリングや AWS Transit Gateway などを使用して、ネットワークから VPC への接続を確立する必要があります。