こんにちは!技術4課のイーゴリです。
本件の記事では、サブドメインを別のホストゾーンに権限委譲する方法をご紹介させて頂きます。
なお、今回の記事の例としてAmazon Route 53を使用しますが、Amazon Route 53でなくても、方法は変わりません。但し、対象DNSサービスの操作画面が変わります。
本件の記事の目標
ttestdomain.cfのjpサブドメインを別のAWSアカウント2に権限委譲することを目標にしましょう。
変更前
| 管理許可 | ドメイン・サブドメイン |
|---|---|
| ✅ | ttestdomain.cf |
| ✅ | *.ttestdomain.cf |
| ✅ | uk.ttestdomain.cf |
| ✅ | *.uk.ttestdomain.cf |
変更後
AWSアカウント1
| 管理許可 | ドメイン・サブドメイン | 備考 |
|---|---|---|
| ✅ | ttestdomain.cf | AWSアカウント1で管理されている |
| ✅ | *.ttestdomain.cf | AWSアカウント1で管理されている |
| ❌ | jp.ttestdomain.cf | AWSアカウント2で管理されているため、AWSアカウント1でjp.系の管理はできない |
| ❌ | *.jp.ttestdomain.cf | AWSアカウント2で管理されているため、AWSアカウント1でjp.系の管理はできない |
| ❌ | 例)corp.jp.ttestdomain.cf | AWSアカウント2で管理されているため、AWSアカウント1でjp.系の管理はできない |
| ✅ | uk.ttestdomain.cf | AWSアカウント1で管理されている |
| ✅ | *.uk.ttestdomain.cf | AWSアカウント1で管理されている |
AWSアカウント2
| 管理許可 | ドメイン・サブドメイン | 備考 |
|---|---|---|
| ✅ | jp.ttestdomain.cf | AWSアカウント2で管理されている |
| ✅ | *.jp.ttestdomain.cf | AWSアカウント2で管理されている |
| ✅ | 例)corp.jp.ttestdomain.cf | AWSアカウント2で管理されている |
権限委譲方法
作業前のAWSアカウント1の状態
AWSアカウント2でホストゾーンを作成
AWSアカウント2に移動します。
[サービス]>[Route 53]>[ホストゾーン]をクリックします。
[ホストゾーンの作成]をクリックします。
[ドメイン名]欄で権限を委譲するための{サブドメイン名.ドメイン名}を入力します。この記事では、「jp.ttestdomain.cf」を入力します。
この記事では、パブリックホストゾーンになっているため、[パブリックホストゾーン]のまま残し、[ホストゾーンの作成]をクリックします。
無事に「jp.ttestdomain.cf」のホストゾーンが作成されました。
ホストゾーンの作成時にSOAとNSレコードが作成されます。
今の段階だと「jp.ttestdomain.cf」のホストゾーンを作成してもまだ権限は委譲されていませんので、下記の手順で権限委譲を行います。
AWSアカウント1にAWSアカウント2のNSレコードを追加
「jp.ttestdomain.cf」のホストゾーンにあるNSレコードをAWSアカウント1に追加します。
AWSアカウント1>[サービス]>[Route 53]>[ホストゾーン]>対象ホストゾーン>[レコードを作成]をクリックします。
- レコード名:jp
- レコードタイプ:NS
- 値:AWSアカウント2のNSレコードの貼り付
[レコードを作成]をクリックします。
JPサブドメインの権限委譲が完了しました。
結果確認
jp.ttestdomain.cf
dig @8.8.8.8 jp.ttestdomain.cf ; <<>> DiG 9.10.6 <<>> @8.8.8.8 jp.ttestdomain.cf ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28842 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;jp.ttestdomain.cf. IN A ;; AUTHORITY SECTION: jp.ttestdomain.cf. 900 IN SOA ns-6XX.awsdns-12.net. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400 ;; Query time: 92 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Fri Mar 25 12:37:56 JST 2022 ;; MSG SIZE rcvd: 130
上記の結果に、「status: NOERROR」(「正常な応答」という意味)と表示され、「AUTHORITY SECTION: jp.ttestdomain.cf.」(対象サブドメイン)になっていれば、サブドメインの権限委譲が完了しています。
もし上記の結果に「status: NXDOMAIN」(「リクエストされた名前が存在しない」という意味) と表示され、「AUTHORITY SECTION:ttestdomain.cf.」(親ドメイン)になっている場合、まだサブドメインの権限委譲ができていません。
以上、御一読ありがとうございました。
本田 イーゴリ (記事一覧)
カスタマーサクセス部
・2024 Japan AWS Top Engineers (Security)
・AWS SAP, DOP, SCS, DBS, SAA, DVA, CLF
・Azure AZ-900
・EC-Council CCSE
趣味:日本国内旅行(47都道府県制覇)・ドライブ・音楽
