【Amazon Route 53】サブドメインの権限を委譲する方法

記事タイトルとURLをコピーする

こんにちは!技術4課のイーゴリです。

本件の記事では、サブドメインを別のホストゾーンに権限委譲する方法をご紹介させて頂きます。

なお、今回の記事の例としてAmazon Route 53を使用しますが、Amazon Route 53でなくても、方法は変わりません。但し、対象DNSサービスの操作画面が変わります。

本件の記事の目標

ttestdomain.cfのjpサブドメインを別のAWSアカウント2に権限委譲することを目標にしましょう。

変更前

管理許可 ドメイン・サブドメイン
ttestdomain.cf
*.ttestdomain.cf
uk.ttestdomain.cf
*.uk.ttestdomain.cf

変更後

AWSアカウント1

管理許可 ドメイン・サブドメイン 備考
ttestdomain.cf AWSアカウント1で管理されている
*.ttestdomain.cf AWSアカウント1で管理されている
jp.ttestdomain.cf AWSアカウント2で管理されているため、AWSアカウント1でjp.系の管理はできない
*.jp.ttestdomain.cf AWSアカウント2で管理されているため、AWSアカウント1でjp.系の管理はできない
例)corp.jp.ttestdomain.cf AWSアカウント2で管理されているため、AWSアカウント1でjp.系の管理はできない
uk.ttestdomain.cf AWSアカウント1で管理されている
*.uk.ttestdomain.cf AWSアカウント1で管理されている

AWSアカウント2

管理許可 ドメイン・サブドメイン 備考
jp.ttestdomain.cf AWSアカウント2で管理されている
*.jp.ttestdomain.cf AWSアカウント2で管理されている
例)corp.jp.ttestdomain.cf AWSアカウント2で管理されている

権限委譲方法

作業前のAWSアカウント1の状態

AWSアカウント2でホストゾーンを作成

AWSアカウント2に移動します。

[サービス]>[Route 53]>[ホストゾーン]をクリックします。

[ホストゾーンの作成]をクリックします。

[ドメイン名]欄で権限を委譲するための{サブドメイン名.ドメイン名}を入力します。この記事では、「jp.ttestdomain.cf」を入力します。

この記事では、パブリックホストゾーンになっているため、[パブリックホストゾーン]のまま残し、[ホストゾーンの作成]をクリックします。

無事に「jp.ttestdomain.cf」のホストゾーンが作成されました。

ホストゾーンの作成時にSOAとNSレコードが作成されます。

今の段階だと「jp.ttestdomain.cf」のホストゾーンを作成してもまだ権限は委譲されていませんので、下記の手順で権限委譲を行います。

AWSアカウント1にAWSアカウント2のNSレコードを追加

「jp.ttestdomain.cf」のホストゾーンにあるNSレコードをAWSアカウント1に追加します。

AWSアカウント1>[サービス]>[Route 53]>[ホストゾーン]>対象ホストゾーン>[レコードを作成]をクリックします。

  • レコード名:jp
  • レコードタイプ:NS
  • 値:AWSアカウント2のNSレコードの貼り付

[レコードを作成]をクリックします。

JPサブドメインの権限委譲が完了しました。

結果確認

jp.ttestdomain.cf

dig @8.8.8.8 jp.ttestdomain.cf 

; <<>> DiG 9.10.6 <<>> @8.8.8.8 jp.ttestdomain.cf
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28842
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;jp.ttestdomain.cf.     IN  A

;; AUTHORITY SECTION:
jp.ttestdomain.cf.  900 IN  SOA ns-6XX.awsdns-12.net. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

;; Query time: 92 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Mar 25 12:37:56 JST 2022
;; MSG SIZE  rcvd: 130

上記の結果に、「status: NOERROR」(「正常な応答」という意味)と表示され、「AUTHORITY SECTION: jp.ttestdomain.cf.」(対象サブドメイン)になっていれば、サブドメインの権限委譲が完了しています。

もし上記の結果に「status: NXDOMAIN」(「リクエストされた名前が存在しない」という意味) と表示され、「AUTHORITY SECTION:ttestdomain.cf.」(親ドメイン)になっている場合、まだサブドメインの権限委譲ができていません。

以上、御一読ありがとうございました。

本田 イーゴリ (記事一覧)

カスタマーサクセス部

・2024 Japan AWS Top Engineers (Security)
・AWS SAP, DOP, SCS, DBS, SAA, DVA, CLF
・Azure AZ-900
・EC-Council CCSE

趣味:日本国内旅行(47都道府県制覇)・ドライブ・音楽