このトピックでは、組み込み権限モジュール機能とその構成方法について説明します。
概要
組み込み権限モジュール機能を使用すると、Public DNS でプライベート権限ゾーンと DNS レコードを定義できます。ただし、この機能は、SDK、API、DoT/DoH などを介してアカウント ID を持つ解決リクエストに対してのみ有効です。
223.5.5.5/223.6.6.6、2400:3200::1
2400:3200:baba::1 で構成されたエンドポイントなど、暗号化されていないアクセスはサポートされていません。
この機能は、解決リクエストの送信元 IP をネットワーク出口にバインドすることによる Public DNS アクセスをサポートしていません。
リクエスト一致の優先順位: ブラックリスト/ホワイトリスト >> 組み込み権限モジュール >> キャッシュ >> 再帰。
メリット
高速: アプリまたは IoT エンドポイントが組み込み権限モジュールで定義されたドメイン名の解決をリクエストすると、Public DNS はルート、トップレベルドメイン、または権限 DNS サーバーにクエリすることなく解決結果を返し、解決を高速化します。
ハイジャック対策: 重要なドメイン名を組み込み権限ゾーンとして定義することで、より優れたハイジャック対策効果が得られます。この機能は、解決パスを短縮し、再帰的な反復解決を必要としないため、ドメインハイジャックのリスクを大幅に軽減します。
より安全: アプリまたは IoT エンドポイントがプライベート組み込み権限ゾーンをサービスエンドポイントとして使用する場合、パブリックネットワークはこれらのプライベートドメイン名を解決できません。これにより、DNS 関連のネットワーク攻撃によってサービスが利用できなくなるのを防ぎます。
構成
構成パス:
ステップ 1: ドメイン名 (ゾーン) を追加する
[再帰的解決 (Public DNS) コンソール] にログオンします。
[組み込み権限モジュール] タブをクリックします。
[新しいゾーンを追加] ボタンをクリックします。 [組み込み権限ゾーンを追加] ダイアログボックスで、ドメイン名 (ゾーン) を入力し、[サブドメイン名の再帰的解決プロキシ] を有効にするかどうかを選択して、[OK] をクリックします。
重要サブドメインの再帰的解決プロキシを有効にしない場合、組み込み権限ドメイン名 (ゾーン) の下に存在しないサブドメインのリクエストが行われると、解決は直接失敗し、Public DNS は反復クエリを続行しません。
ドメイン名の有効範囲は、設定後すぐに有効になります。空のドメインによって解決が失敗するのを避けるため、範囲を設定する前にすべての DNS レコード構成を完了することをお勧めします。
ステップ 2: DNS レコードを追加する
[組み込み権限モジュール] タブで、ターゲットの組み込み権限ドメイン名 (ゾーン) の横にある [DNS レコード] ボタンをクリックします。
[リソースレコード設定] タブで、[レコードを追加] ボタンをクリックします。ダイアログボックスで、[レコードタイプ]、[ホスト名]、[リクエストライン]、[レコード値]、[重み]、[TTL] を構成し、[OK] をクリックします。
説明[レコードタイプ]: 現在、A、CNAME、AAAA、TXT、MX、および SRV レコードタイプをサポートしています。
[解決ライン]: インテリジェント解決ラインをサポートしています。詳細については、「解決ラインの列挙」をご参照ください。 [ラインをカスタマイズ] を使用することもできます。
[重み]: 複数の IP アドレスが設定されている場合、解決応答はデフォルトでポーリングモードですべての IP アドレスを返します。重みポリシーを有効にした後、異なるアドレスに異なる重みを設定して、重みに基づいてアクセス トラフィックをアドレスにルーティングできます。複数のドメインアドレスが設定されている場合、解決応答は重みによってのみドメインアドレスを返します。重みの有効値は 0 ~ 100 です。
ステップ 3: 有効範囲を設定する
[組み込み権限モジュール] タブで、ターゲットの組み込み権限ドメイン名 (ゾーン) の横にある [有効範囲設定] ボタンをクリックします。
[ゾーン設定] タブで、有効範囲を選択し、アカウントの下の専用の [アカウント ID] を選択して、[OK] をクリックします。
重要設定はすぐに有効になります。空のドメインによって解決が失敗するのを避けるため、範囲を設定する前にすべての DNS レコード構成を完了することをお勧めします。
クロスアカウントの有効範囲設定はサポートされていません。