![[アップデート] Amazon Route 53 Global Resolver が GA されました!](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-abb8f6015ca9ca8ce4d38fd37d2ab700/ee9c71478937f038e1364aa400fecf15/amazon-route-53?w=3840&fm=webp)
[アップデート] Amazon Route 53 Global Resolver が GA されました!
こんにちは。
DNS浸透警察 オペレーション部のかわいです。
今回はアップデート紹介記事です。
Global Resolver は2025年12月の AWS re:Invent でプレビュー公開されたサービスで、GA に合わせて対応リージョンが 11 → 30 に拡大。さらに Dictionary DGA 脅威保護 と IPv6エニーキャスト が新たに追加されました。
New customers can explore Global Resolver with a 30-day free trial.
新規利用であれば、30日間の無料トライアルが利用できるみたいです。
本記事では Global Resolver の概要と、コンソールで実際に作成して名前解決して簡易的に動作確認するまでの手順を紹介します。
はじめに
この記事でわかること
- Route 53 Global Resolver の概要と、従来の Route 53 Resolver(VPC Resolver)との違い
- プレビューから GA にかけての主な変更点
- コンソールで Global Resolver を作成し、
digで動作確認するまでの手順
Amazon Route 53 Global Resolver とは?
概要
Route 53 Global Resolver は、インターネットから直接アクセスできる マネージドの エニーキャスト DNS リゾルバです。
これまで、オンプレミスやリモートクライアントから AWS 側のプライベートホストゾーンを解決する際、Route 53 Resolver インバウンドエンドポイントや、条件付き転送を組み合わせる構成が一般的でした。
特にマルチリージョンで高可用性を考える場合は、リージョンごとのエンドポイント配置やフェイルオーバー設計が必要でした。
従来の VPC Resolver との違い
| 項目 | Route 53 VPC Resolver | Route 53 Global Resolver |
|---|---|---|
| アクセス方法 | VPC 内 / VPN・Direct Connect | インターネット経由(エニーキャスト IP) |
| 対象クライアント | VPC 内ホスト、オンプレ(エンドポイント経由) | オンプレ・ブランチ・リモートクライアント(※インターネット経由が必要) |
| プライベートHZ解決 | ○(VPC関連付け) | ○(Global Resolver から転送) |
| DNS 暗号化 | エンドポイント経由のみ | Do53 / DoH / DoT |
| DNSフィルタリング | DNS Firewall | 組み込み(マネージドリスト、DGA 保護対応) |
| 冗長化 | 各リージョンにエンドポイントが必要 | エニーキャストで自動フェイルオーバー |
ユースケースや代替案についてはこちらの記事が詳しいです。
プレビューから GA の主な変更点
| 変更内容 | プレビュー(2025年12月) | GA(2026年3月) |
|---|---|---|
| 対応リージョン数 | 11 リージョン | 30 リージョン(東京含む) |
| IPv6エニーキャスト | 非対応 | 対応 |
| Dictionary DGA 脅威保護 | 非対応 | 対応(オプトイン) |
| 料金 | 無料(プレビュー) | 有料(*新規利用者は30日間の無料トライアル期間あり) |
【GA 対応リージョン(抜粋)】
米国東部(バージニア北部)、米国西部(オレゴン)、欧州(フランクフルト、アイルランド)、アジア太平洋(東京、大阪、ソウル、シンガポール)ほか全 30 リージョン。
検証環境
| 項目 | 内容 |
|---|---|
| 操作 | CloudShell |
| 作成リソース | Route 53 Global Resolver × 1 |
| 選択リージョン | ap-northeast-1(東京)、ap-northeast-3(大阪) |
コスト見積もり
| リソース | 料金 |
|---|---|
| Global Resolver(最初の2リージョン・DNSフィルタリング有) | $5.00/リージョン/時間 |
| Global Resolver(最初の2リージョン・DNSフィルタリング無) | $4.50/リージョン/時間 |
| 追加リージョン(DNSフィルタリング有) | $1.50/リージョン/時間 |
| 10 億クエリ/月を超える分 | $1.50/100万クエリ |
※ 料金が高額になるため、検証後は必ずリソースを削除してください(後述のクリーンアップ手順を参照)。
事前準備
IAM 権限
検証用に Route 53 Global Resolver を操作するには、IAM ユーザ(またはロール)にマネージドポリシー AmazonRoute53GlobalResolverFullAccess をアタッチします。
CloudShell の起動と dig のインストール
今回、動作確認の dig コマンドを AWS CloudShell から実行します。
- AWS マネジメントコンソール右上のターミナルアイコン(
>_)をクリック(左下のCloudShellからでもok) - 起動後 以下を実行して
digをインストール
sudo dnf install -y bind-utils
※ CloudShell(Amazon Linux 2023)には dig がデフォルトで含まれていないため、bind-utils パッケージをインストールします。
検証
Global Resolver の作成
-
AWS マネジメントコンソールから、
Route 53 Global Resolverメニューを開く -
Create global resolver をクリック
-
以下を入力する
項目 値 名前 test-resolver説明 (任意) リージョン Tokyo (ap-northeast-1))、Osaka (ap-northeast-3) ※2リージョン以上必須 IPアドレスタイプ IPv4 -
Create resolver をクリック
作成が完了すると、エニーキャスト IPv4 アドレスが 2 つ 発行されます。これはリージョン数に関係なく常に 2 つです。このアドレスをクライアントや DNS サーバーに設定します。
DNS ビューの作成と、アクセスソース設定
DNS ビューはどのクライアントに、どの DNS 解決ルールを適用するかを管理する論理グループです。
- 作成したリゾルバを選択し、Create DNS View をクリック
- 名前 に
primary-viewを入力し、Create DNS View をクリック(作成まで少し時間がかかります)
-
DNS ビューを開き、Access Source → Create Access Source をクリック
-
以下を入力
項目 値 CIDR ブロック CloudShell の IPアドレス(後述)
CloudShell の IP アドレス確認方法:
curl -s https://checkip.amazonaws.com xx.xx.xx.xx表示された IP アドレスを
xx.xx.xx.xx/32の形式で入力
- Create Access Source をクリック
| 項目 | 値 |
|---|---|
| Rule Name | test-access-source-rule |
| CIDR block | xx.xx.xx.xx/32 |
| Protocol | Do53 |
動作確認
CloudShell 経由で、発行されたエニーキャスト IP に向けて DNS クエリを実行します。
# <YOUR-ANYCAST-IP> を前手順で発行されたエニーキャスト IP アドレス(いずれか)に置き換える
dig example.com @<YOUR-ANYCAST-IP>
正常に動作している場合、以下のような結果が返ります。
; <<>> DiG 9.18.33 <<>> example.com @<YOUR-ANYCAST-IP>
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12354
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;example.com. IN A
;; ANSWER SECTION:
example.com. 300 IN A 104.18.26.120
example.com. 300 IN A 104.18.27.120
;; Query time: 9 msec
;; SERVER: <YOUR-ANYCAST-IP>#53(<YOUR-ANYCAST-IP>) (UDP)
;; WHEN: Wed Mar 11 05:48:33 UTC 2026
;; MSG SIZE rcvd: 72
※ SERVER: 欄に、指定したエニーキャスト IP が表示されていれば、Global Resolver 経由で名前解決できています。status: NOERROR になっていることも確認しましょう。
(オプション)DNS フィルタリングルール設定
GA で新たに利用可能になった Dictionary DGA 脅威保護 を含む DNS フィルタリングを設定します。
-
DNS ビューの DNS Firewall rules → Create rule をクリック
-
以下を入力
項目 値 名前 block-malwareアクション Alertドメインリストタイプ AWS managed domain listsマネージドドメインリスト Malware
- Create rule をクリック
作成後、DNS Firewall rules 一覧に追加されたルールが表示されます。
※アクションについては以下ドキュメントを参照されたし
ふりかえり
確認できたこと
- コンソールから簡単に(リゾルバ作成 → DNS ビュー → アクセスソース → 動作確認 → フィルタリング)で Global Resolver を構成できた
- エニーキャスト IP に向けた名前解決が正常に応答し、Global Resolver 経由での名前解決を確認できた
- 従来の Route 53 Resolver インバウンドエンドポイントと比べ、リージョンごとのエンドポイント管理が不要になっている
お片付け
費用が発生するので、検証後は以下の順番でリソースを削除してください。
1. ファイアウォールルールを削除
2. アクセスソースルールを削除
3. DNS ビューを削除
4. グローバルリゾルバを削除
まとめ的な
本記事では、Route 53 Global Resolver の概要と、コンソールでの作成~名前解決での簡易動作確認までを検証しました。
30 リージョンに対応、Dictionary DGA 脅威保護、IPv6エニーキャスト と、GA で実運用に耐える機能が揃いました。
これまでリージョンごとに Resolver インバウンドエンドポイントを管理していた構成を、エニーキャスト IP に集約できるのは便利だと思います。
ただし、DNSフィルタリングありで $5/リージョン/時間〜と高額になるため、本番導入前にはコスト試算をしっかり行う必要がありそうです。検証後のリソース削除はお忘れなく。
では!
参考リンク
