Amazon Route 53 でのドメイン登録と DNS 移行 - レジストラ移管とゾーン設定の実践

ドメイン登録から他レジストラからの移管、パブリック・プライベートホストゾーンの設計、DNSSEC の有効化までを一貫して紹介します。

Route 53 でのドメイン登録

Route 53 はドメインレジストラとしても機能し、コンソールから直接ドメインを登録できます。.com (年間 13 USD)、.net (年間 11 USD)、.jp (年間 99 USD) など数百の TLD に対応しています。ドメイン登録時にパブリックホストゾーンが自動作成され、NS レコードと SOA レコードが設定されます。WHOIS プライバシー保護はサポートされている TLD で無料で有効化でき、登録者の個人情報が公開されることを防止します。自動更新を有効にしておくと、ドメインの失効を防止できます。登録直後は Transfer Lock が自動的に有効化されており、意図しないドメイン移管を防ぎます。Route 53 で登録したドメインは AWS Organizations と統合して一元管理が可能で、複数アカウントにまたがるドメインの請求統合にも対応します。

他レジストラからの移管

既存のドメインを他のレジストラから Route 53 に移管する手順は、現在のレジストラで Transfer Lock を解除し、認証コード (Auth Code / EPP Code) を取得し、Route 53 コンソールで移管リクエストを送信する 3 ステップです。移管完了までは通常 5-7 日かかります。移管前に Route 53 でホストゾーンを作成し、既存の DNS レコードを再現しておくことで、移管中の DNS 解決の中断を防止できます。移管完了後、ネームサーバーが自動的に Route 53 に切り替わります。.jp ドメインの移管は JPRS の手続きが必要で、移管元レジストラでの承認プロセスが追加されます。移管費用には 1 年分の更新料が含まれるため、移管と同時にドメイン有効期限が 1 年延長されます。移管中にダウンタイムを確実に回避するには、移管前に Route 53 のホストゾーンに NS を切り替え、DNS が安定してから (TTL の 2 倍以上の時間を待機) 移管を開始するのが安全な手順です。

ホストゾーン設計と DNSSEC

パブリックホストゾーンはインターネットからの DNS クエリに応答し、プライベートホストゾーンは指定した VPC 内からのクエリにのみ応答します。プライベートホストゾーンで internal.example.com のようなドメインを管理し、VPC 内のサービス間通信をドメイン名で行う構成が一般的です。プライベートホストゾーンはクロスアカウントの VPC 関連付けに対応しており、マルチアカウント環境で内部 DNS を統一管理できます。DNSSEC は DNS 応答にデジタル署名を付与し、応答の改ざんを検出する仕組みです。Route 53 では KMS のカスタマーマネージドキーで署名鍵を管理し、コンソールから DNSSEC 署名を有効化できます。有効化後、親ゾーン (TLD のレジストリ) に DS レコードを登録することで、署名チェーンが完成します。DNSSEC を有効化する際は、全レコードの TTL を短く設定してから有効化し、問題発生時に素早くロールバックできるようにしておくことが推奨されます。 ネットワーク設計の知見を広げたい場合はAmazon の専門書も活用できます。

設計のベストプラクティスと注意点

Route 53 のホストゾーン設計では、パブリックゾーンとプライベートゾーンで同じドメイン名を使用するスプリットホライズン DNS が有効です。外部からは公開 IP を、VPC 内部からはプライベート IP を返す構成により、内部通信が NAT Gateway を経由せずコストとレイテンシを削減します。Resolver エンドポイントを設置すれば、オンプレミス環境と VPC 間の双方向 DNS 転送が可能で、ハイブリッドクラウドの名前解決を統一できます。よくある落とし穴として、ホストゾーン削除時のリスクがあります。ホストゾーンを削除すると、そこに含まれる全レコードが消滅し、ドメインの名前解決が即座に停止します。削除前にバックアップとして CLI の route53 list-resource-record-sets で全レコードをエクスポートしておく運用が必須です。また、NS レコードの TTL を短くしすぎると、再帰リゾルバへの問い合わせ回数が増え Route 53 のクエリ課金が増大するため、NS レコードの TTL は 172800 秒 (2 日) のデフォルトを維持することが推奨されます。

他のドメインサービスとの比較

外部レジストラ (GoDaddy、Namecheap、Google Domains (Squarespace に移行済み) 等) と Route 53 の主な違いは AWS エコシステムとの統合度です。Route 53 で登録したドメインは ACM (証明書) や CloudFront とワンクリックで連携でき、エイリアスレコードによる APEX ドメイン (ネイキッドドメイン) の AWS リソースへの直接マッピングが可能です。外部レジストラでは CNAME フラッタニングやリダイレクトが必要になる構成も、Route 53 ならエイリアスレコードで解決でき、追加のクエリ課金もかかりません。一方、Route 53 のドメイン登録料は一部の TLD で外部レジストラより割高です。たとえば .io ドメインは Route 53 では年間 39 USD ですが、一部のレジストラでは初年度割引があります。ただし長期的には、DNS 管理・証明書発行・ヘルスチェックを一元化できる運用面の利点が価格差を上回ることが多いです。AWS 外のサービスに DNS を向ける必要がある場合でも、Route 53 をネームサーバーとして使用しつつドメイン登録は外部レジストラに置く構成も選択可能です。

Route 53 の料金

ドメイン登録は TLD ごとの年額で、.com は 13 ドル、.net は 11 ドル、.jp は 99 ドルです。ホストゾーンは 1 ゾーンあたり月額 0.50 ドルで、DNS クエリは最初の 10 億クエリ/月が 100 万クエリあたり 0.40 ドルです。エイリアスレコードへのクエリは無料で、CloudFront や ALB へのルーティングでコストを削減できます。DNSSEC の署名に追加料金は発生しませんが、KMS キーの料金 (月額 1 ドル) が必要です。ヘルスチェックは 1 チェックあたり月額 0.50 ドル (AWS エンドポイント) または 0.75 ドル (非 AWS エンドポイント) です。複数ドメインで同一ホストゾーンの NS レコードを共有すれば、ゾーン料金を節約できます。

まとめ

Route 53 はドメイン登録から DNS 管理までを一元化するサービスです。他レジストラからの移管で AWS エコシステムとの統合を強化し、DNSSEC で DNS の信頼性を向上させます。パブリックとプライベートのホストゾーンを使い分けることで、外部向けと内部向けの DNS を統一的に管理できます。スプリットホライズン DNS と Resolver エンドポイントの組み合わせにより、ハイブリッドクラウド環境でもシームレスな名前解決が実現します。