Route 53 Resolver での DNS Firewall からの応答がない場合でも、引き続き DNS クエリを解決する方法を教えてください
2025.09.01困っていること
Route 53 Resolver DNS Firewall を利用し、許可リストにないドメインへのアクセスはすべてブロックしています。
一方で、DNS Firewall が応答しないような状況に陥った場合、VPC 内のアプリケーションが DNS 解決できなくなり、サービス全体へ影響が及ぶリスクが懸念されます。この様な状況においても、引き続き DNS クエリを解決する方法を教えてください。
どう対応すればいいの?
VPC の DNS Firewall 設定を更新してフェールオープン (Fail Open) を有効化することをご検討ください。
- デフォルトは「フェールクローズ」 → Firewall から応答がない場合はクエリをブロック (セキュリティ重視)
- 「フェールオープン」を有効化 → Firewall が応答しない場合でもクエリを解決し続ける (可用性重視)
![[アップデート] AWS VPC IPAM でコンソール上に CloudWatch アラームが統合されるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-50706ca4b3af64b50895745fa3ba1180/47af3f43efd69adb20976f201c9c3366/amazon-vpc)
