9
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

ミロゴスAdvent Calendar 2022

Day 4

【AWS】クロスアカウントでDNS委任設定を行う

Last updated at Posted at 2022-12-03

ミロゴス株式会社では複数のAWSアカウントを運用していますが、クロスアカウントで大元のドメインからサブドメインへDNSの管理を委任したい場合があります。
よくやる手順の割にまとまった情報がなかったので記事にしました。ついでにCloudFrontとAPI Gatewayへのサブドメイン内でのドメインの設定も合わせて記載しておきます。

前提

構成図は以下です。
arch.png
要件が単純なアプリなので、Next.jsはCSR/SSGのみ(next export)でCloudFront + S3でホストし、BFFを挟んでバックエンドへアクセスするように作っています。
Next.jsのサーバーは建てないで普通に素のNode.jsでLambdaを動作させていて、これらをCI/CD含めてほぼAWS CDKで完結させています。

ただ、ドメインの設定はACM周りの関係上CDK内では作成せず、手動で設定しています。(初回だけですし...)

手動設定の流れ

アプリケーションとは別アカウントに大元のホストゾーンがあるので、そちらからアプリケーションが載っているAWSアカウント上へ管理を委任します。(下図のドメイン名は例です。)
dns.png

管理している親アカウントで委任したい子アカウントのNSレコードを作成するだけで良いです。これだけで図の例だとapp.milogos.co.jpへのアクセスがあった場合、子アカウントの方に問い合わせに行くようになります。(JPRS用語辞典|委任)
このDNS委任設定を行っておくと、それ移行はapp.milogos.co.jpのドメインに子アカウント内で自由にレコードを追加できるようになります。

DNS委任設定の手順

  • AWS マネジメントコンソールからRoute 53の画面を開き、ダッシュボードから「ホストゾーンの作成」をクリックします。
    1.png

  • ドメイン名に新しく作成するドメイン名を入力して、ホストゾーンを作成します。
    2.png

  • ホストゾーンが作成できたら、レコード一覧でNSレコードを見つけて、そちらの4行の値を控えておきます。
    3.png

  • 委任元のホストゾーンでレコード作成を行います。レコード名は先程作成したものと合わせるようにし、レコードタイプを「NS - ホストゾーンのネームサーバー」を選択し、値/トラフィックのルーティング先を「レコードタイプに応じたIPアドレスまたは別の値」を選択した後に、先程控えておいた4行のレコードを記載します。
    5.png

以上でDNS委任の設定は完了です。
つづいて委任先ホストゾーンで、実際にCloudFrontとAPI Gatewayにカスタムドメインを設定する方法を紹介します。

CloudFrontのDNS設定

  • 下図のようにAレコードを作成画面を開きます。エイリアスにチェックを入れ、トラフィックのルーティング先を「CloudFront ディストリビューションへのエイリアス」にして、ドメイン名を入力します。(補完が効かない場合は、対象ディストリビューションのディストリビューションドメイン名をコピーしてきて貼り付けます。)
    6.png

  • レコードが作成できたら、CloudFrontの対象ディストリビューションの画面を開き、一般->設定の「編集」をクリックします。
    7.png

  • 編集画面の中程にある「代替ドメイン名(CNAME)-オプション」の「項目を追加」をクリックして、設定したいドメイン名を入力します。
    8.png

  • すぐ下にある「カスタムSSL証明書 - オプション」の「証明書をリクエスト」のリンクをクリックします。別タブでAWS Certificate Managerが開くので、そのまま「次へ」をクリックします。
    9.png

  • パブリック証明書をリクエストの画面で、「完全修飾ドメイン名」で設定したいドメイン名を入力し、他はデフォルトのまま「リクエスト」をクリックします。
    10.png

  • 証明書の一覧画面に遷移して、証明書が表示されるので、リンクをクリックして開きます。
    11.png

  • 「ドメイン」の「Route 53でレコードを作成」をクリックします。
    12.png

  • レコードの作成画面が表示されるので、そのまま「レコードを作成」をクリックします。
    13.png

  • CloudFrontの画面に戻り、「カスタムSSL証明書 - オプション」の右にある更新ボタンを押して更新すると、今発行した証明書が選択できるようになっているので選択し、画面下部の「変更を保存」をクリックして変更を完了します。
    14.png

  • ディストリビューションの画面に戻ると、「代替ドメイン名」に設定したドメインが表示されます。
    15.png

API Gatewayでのカスタムドメインの設定

  • API Gatewayのコンソールで、カスタムドメイン名を選択して「作成」をクリックする。ドメイン名を作成画面でドメイン名に設定したいドメインを入力します。
    16.png

  • ホストゾーンでレコードを作成する。エイリアスに切り替えて、トラフィックのルーティング先は「API Gateway APIへのエイリアス」、対象のリージョンを選択し、ホスト名に対象API Gatewayのデフォルトで発行されるドメイン名を入力しておきます。
    18.png

  • レコードを作成したらCloudFrontのDNS設定と同様の手順で証明書を作成し、「ドメイン名を作成」をクリックします。
    19.png

  • 以下のようにカスタムドメインが作成されます。(デフォルトエンドポイントを無効化する場合は、API Gatewayドメイン名を控えておく。)
    20.png

  • APIマッピングタブで「APIマッピングを設定」をクリックします。
    21.png

  • APIとステージ、パスを選択して保存。ここまでの設定でドメイン名/パスでマッピングしたステージのエンドポイントを叩けるようになります。
    22.png

  • API Gatewayのデフォルトエンドポイントの無効化をする場合は、作成してあるAレコードを編集し、トラフィックのルーティング先を控えておいたAPI Gatewayドメイン名に変更します。(おそらく補完が効く。)
    23.png

  • デフォルトエンドポイントを無効化する場合は以下を参照
    REST API のデフォルトエンドポイントの無効化 - Amazon API Gateway

まとめ

複数のゾーンを管理して、リソースとの紐付け、証明書の発行までサクサクできてしまうのはやはりAWSの強みですね。

9
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
9
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?