4/23のAWSのアップデートで、Amazon Route 53 Profileが新規に設定可能となりました。
主な特徴は以下の通りです。
- Route 53で設定可能なプライベートホストゾーン、リゾルバー転送ルール、DNSファイアウォールルールグループ等のDNS設定をプロファイルの形式で定義する
- プロファイルは、同じリージョンの複数のVPCに適用できる
- AWS Resource Access Manager(RAM)を利用することで、プロファイルを他のAWSアカウントに共有できる
- 2024/4/23時点でカナダ西部(カルガリー)、AWS GovCloud(米国)リージョン、中国リージョン以外のすべてのAWSリージョンで利用できる
これまでの設定方法
これまでAWSのマルチアカウント環境でDNS設定を共有する場合、個々の設定ごとに紐づけ作業が必要でした。
本記事ではまずアカウントAで定義した各DNS設定を、アカウントBに共有する手順をおさらいしてみます。
プライベートホストゾーン
アカウントAで設定したプライベートホストゾーンを、アカウントBのVPCに共有するためには、AWS CLI、AWS SDK、Amazon Route 53 APIのいずれかを利用する必要があります。マネジメントコンソールからは設定できません。
AWS CLIを利用する場合は、まずアカウントAより関連付けのリクエストを設定します。
aws route53 create-vpc-association-authorization \
--hosted-zone-id <アカウントAのプライベートホストゾーンのHosted Zone ID> \
--vpc VPCRegion=<リージョン>,VPCId=<アカウントBのVPC ID>
そしてアカウントBで以下コマンドを入力し、リクエストを承認します、
aws route53 associate-vpc-with-hosted-zone \
--hosted-zone-id <アカウントAのプライベートホストゾーンのHosted Zone ID> \
--vpc VPCRegion=<リージョン>,VPCId=<アカウントBのVPC ID>
承認後アカウントAのマネジメントコンソールにて、プライベートホストゾーン設定画面を開くと、アカウントBのVPCが紐づけられていることが分かります。
リゾルバールール
アカウントAにてRoute 53 Resolverより、共有するリゾルバルールを開き、「共有」を押下します。
RAMの設定画面が開きます。任意の名前を入力し、「リソース」は「リゾルバルール」を選択したうえで、共有したいルールをチェックします。
「選択したリソース」でチェックを入れたルールが表示されていることを確認したら、「次へ」を押下します。
アクセス許可の設定画面が表示されますが、特に変更はせず「次へ」を押下します。
ルールの共有先を設定します。AWS Organizationsを利用している場合は、「自分の組織内でのみ共有を許可」を選択します。プリンシパルで共有先のOUまたはアカウントを選んだら、下部の「次へ」を押下します。
設定内容を確認し、下部の「リソース共有の作成」を押下します。
AWS Organizationsと連携するためには、事前にRAMの「設定」にて「次との共有を有効にする: AWS Organizations」にチェックを入れる必要があります。
なおAWS Organizationsの「サービス」からも有効化することは可能です。
アカウントBにて共有状況を確認します。
RAMを開き、左ペインの「自分と共有」から先ほど作成した共有設定が常時されていればOKです。
DNSファイアウォールルールグループ
流れはリゾルバールールと同じです。
まずはアカウントAにてDNSファイアウォールルールを開き、共有対象のルールの設定画面より「ルールグループを共有」を押下します。
RAMの設定画面が開きます。任意の名前を入力し、「リソース」は「Route53リゾルバーのファイアウォールグループ」を選択したうえで、共有したいルールをチェックします。
「選択したリソース」でチェックを入れたルールが表示されていることを確認したら、「次へ」を押下します。
以降はリゾルバールールと同様に、ルールの共有先の設定を行います。
Route 53 Profileの利用
これまでの設定方法では、リゾルバーやDNSファイアウォールで複数のルールを定義している場合、どのアカウントにどのルールの組み合わせを適用すべきか判別が難しいという課題があります。
また誤ったルールを適用した場合、セキュリティ上のリスクが増し、トラブルシュートも複雑化する恐れがあります。
Route 53 Profileを利用することで、上記課題は解決すると考えます。
設定方法を見てみましょう。
Route 53を開き、左ペインより「プロファイル」を選択し、「プロファイルを作成」を押下します。
プロファイル名を入力し、「プロファイルを作成」を押下します。
プロファイルは作成しましたが、まだいずれの設定も含まれていない状態です。ここからプロファイルに追加したい設定を選択し、関連付けを行う必要があります。
例えばDNSファイアウォールルールを設定する場合、まず「関連付ける」を押下します。
追加したいルールを選択し「次へ」を押下します、
複数のルールを関連付ける場合、ルールの優先度を設定することができます、設定したら、「送信」を押下すると、無事にプロファイルに追加されます。
リゾルバールールやプライベートホストゾーンも同様に追加したら、「プロファイルを共有」を押下します。
RAMの画面が開くため、「リソース」にて「Route 53 Profiles」を選択します。
以降の設定はリゾルバールールおよびDNSファイアウォールルールと同じのため割愛します。
プライベートホストゾーンはVPCに対し共有します。
プロファイル内の「VPC」を設定することで、対象とする範囲を設定することが可能です。ただし別アカウントのVPCはオプションに表示されないため、上述の通り個別で関連付けの設定が必要のようです。(公式ドキュメント上では特に明記なし)
プライベートホストゾーンの共有については、依然として手間がかかりますが、環境や通信要件等に応じて複数のプロファイルを用意し、DNS関連の設定を一元管理/適用できる点が便利になりそうです。