ちょっと話題の記事

[速報] Amazon Route 53 が DNSSEC に対応しました! #reinvent

ついに、ついに!
2020.12.18

AWS re:Invent 2020 年内期間最終日の今日、すばらしいニュースが飛び込んできました。
ついに、Amazon Route 53がDNSSECに対応しました!

You can now enable DNSSEC signing for all existing and new public hosted zones, and enable DNSSEC validation for Amazon Route 53 Resolver.

ということで、Route 53にホストしているゾーンに対してDNSSEC署名することも、Route 53リゾルバでDNSSEC署名を検証することも、両方向で対応したとのこと!
ドメイン情報を払い出す Route 53 レジストラは既にDNSSEC対応していましたから、これで実質死角ナシになりましたね!

DNSSECとは

すごくざっくりいうと、DNSサーバからの応答が改ざんされていないかを参照側が検証できる仕組みです。

手前味噌ながら、弊ブログでも下記のような資料を公開していますので、ご参照頂ければ幸いです。

このようにDNSSEC自体は、ドメインの信頼性を向上させる機能ではあるものの、これまで(おそらくエイリアスなどのRoute 53独自機能・実装との整合性の問題から)実装されてきませんでした。

それが、ついに!

Route 53 で DNSSEC

既にドキュメントも公開されています。

アナウンスとあわせて、いくつかキーワードをひろってみます。

Route 53 Hosted Zone

  • 既存のホスト済みゾーン、ならびに新規に作成するパブリックゾーン両方に対応
  • ゾーン署名キー(ZSK)はAWS KMSの仕組みで管理

すでにマネジメントコンソールに「DNSSEC署名」タブが表示されてました。ドキュメントどおり、こちらから設定すればよさそうです。

Route 53 Resolver

  • Resolverが対応している全リージョンで利用可能
  • VPC単位で、DNSSEC validationを有効・無効化できる

こちらも設定可能になってますね。

まとめ

Route 53 が署名・検証両方でDNSSECに対応したというニュースをお届けしました!
これまで、DNSはクラウドに置きたい、でもDNSSECも必要だからAWSはちょっと。。。と悩まれていた方々にとって、この上ない朗報ではないでしょうか!

ぼく自身ずっと「まだかな。。。」って思っていた機能なのでちょっとテンションがおかしいですが、暫定最終日にこんな隠し球をもってきた今年の re:Invent は今世紀最高です。

今世紀最高の AWS re:Invent 2020 は今年は今日まで開催中です!

2020年内は一応今日が最終日ですが、翌1月にもセッション公開が予定されているre:Invent。
参加がまだの方は、この機会に是非こちらのリンクからレジストレーションして豊富なコンテンツを楽しみましょう!

AWS re:Invent | Amazon Web Services

弊社も本日イベントやります!

今日の19:00から! オンライン開催なのでまだ間に合います。是非ご参加ください!