developersIO
Route 53 Resolver での DNS Firewall からの応答がない場合でも、引き続き DNS クエリを解決する方法を教えてください

Route 53 Resolver での DNS Firewall からの応答がない場合でも、引き続き DNS クエリを解決する方法を教えてください

AWSテクニカルサポートノート
AWSRoute 53 Resolver DNS Firewall
2025.09.01

困っていること

Route 53 Resolver DNS Firewall を利用し、許可リストにないドメインへのアクセスはすべてブロックしています。
一方で、DNS Firewall が応答しないような状況に陥った場合、VPC 内のアプリケーションが DNS 解決できなくなり、サービス全体へ影響が及ぶリスクが懸念されます。この様な状況においても、引き続き DNS クエリを解決する方法を教えてください。

どう対応すればいいの?

VPC の DNS Firewall 設定を更新してフェールオープン (Fail Open) を有効化することをご検討ください。

  • デフォルトは「フェールクローズ」 → Firewall から応答がない場合はクエリをブロック (セキュリティ重視)
  • 「フェールオープン」を有効化 → Firewall が応答しない場合でもクエリを解決し続ける (可用性重視)

https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/resolver-dns-firewall-vpc-configuration.html

参考資料

AWSテクニカルサポートノートについて

過去にクラスメソッドのAWS総合支援サービスで頂いたお問合せの中から、通常のAWS利用時でも有益になりうる情報をテクニカルサポートチームがTIPSとしてご紹介しています。技術サポートは、無料でご提供しております。詳細は下記ボタンからご覧ください。

クラスメソッドのAWSサポートの詳細を見る

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事

[アップデート] Route53でパブリックDNSレコードの高速リカバリ機能がリリースされました
あかいけ
2025.12.01
ちょっと話題の記事
EC2インスタンスが参照するDNSサーバーは基本的にRoute 53 Resolverを使いたい件
のんピ
2025.07.12
[アップデート] Amazon Route 53 Global Resolver が GA されました!
かわい
2026.03.11
Route 53 Resolver Inbound EndpointからRoute 53 Global Resolverへ置き換えられるシチェーションを考えてみた
のんピ
2025.12.12