본문 바로가기
카테고리 없음

Amazon Route 53 Global Resolver 구성 가이드

by AI Specialist 2025. 12. 30.

AWS에서 새롭게 미리보기(Preview)로 발표한 Amazon Route 53 Global Resolver는 퍼블릭·프라이빗 도메인 모두에 대해 전 세계적으로 보안이 강화된 DNS 해석을 제공하는 관리형 서비스입니다.
이 글에서는 Global Resolver를 실제로 설정하는 방법에 대해 순서대로 정리합니다.
설정 가이드는 AWS Management Console 중심이며, 각 단계는 실제 콘솔에서 검증된 내용 기반으로 작성했습니다. 

Amazon Route 53 Global Resolver 구성 가이드
Amazon Route 53 Global Resolver 구성 가이드

1. Global Resolver란?

Route 53 Global Resolver는 AWS가 제공하는 글로벌 Anycast DNS 리졸버입니다.
기존 Route 53 Resolver(VPC Resolver)는 VPC 내부 또는 하이브리드 연결(VPN/Direct Connect) 환경에서만 작동했습니다.
반면, Global Resolver는 인터넷을 통해 어디서나 접근 가능한 DNS 리졸버로 운영됩니다.

핵심 기능

  • 글로벌 Anycast IP를 통한 지리적으로 가까운 리전에서 DNS 응답 제공
  • Public + Private DNS 해석 일원화
  • DNS 필터링 및 보안 제어 (DoH/DoT, Firewall 규칙, DNSSEC 등)
  • 중앙 집중식 로깅 + 정책 기반 접근 제어

2. Global Resolver 생성

2.1 AWS Management Console 접속

  1. AWS Console에 로그인합니다.
  2. Route 53 서비스로 이동합니다.
  3. 왼쪽 메뉴에서 Global resolvers 선택.
  4. Create global resolver 클릭.

2.2 Resolver 기본 설정

항목 설명
Resolver name 식별 가능한 이름 (예: corp-global-dns)
Description 선택(예: 회사 DNS 리졸버)
Regions DNS 해석을 제공할 리전 선택

포인트

  • Anycast 아키텍처는 선택한 리전들의 공통 IPv4/IPv6 Anycast IP를 자동으로 제공합니다.
  • 다중 리전을 선택하면 고가용성 + 지연시간 개선 효과가 나타납니다.

설정 후 Create를 선택하면 Global Resolver가 생성됩니다.

3. DNS View 및 보안 정책 구성

Global Resolver는 DNS 뷰(View) 단위로 클라이언트 그룹별 설정을 분리합니다.

3.1 DNS View 생성

  1. Create DNS view 클릭.
  2. View 이름 입력 (예: office-view).
  3. 필요한 경우 설명 입력.
  4. View 생성 완료

DNS View는 클라이언트 그룹별 정책, 필터링, 접근 제어를 논리적으로 분리하기 위해 사용됩니다.

4. DNS Firewall 규칙 설정

DNS 트래픽을 안전하게 처리하기 위해 DNS Firewall 규칙을 만듭니다.

  1. DNS View에서 Create rule 선택.
  2. Rule Name 입력 (예: block-malware).
  3. AWS Managed Domain Lists 또는 사용자 정의 리스트 선택.
  4. Action을 결정 (Block/Allow/Alert).
  5. Query type 선택 (All 또는 A/AAAA 등).

예시:

  • 악성 도메인 차단: AWS Managed list ‘Threat – Malware’
  • 차단 응답: NODATA로 설정 (성공하지만 응답 없음)

5. 접근 제어: Access Sources & Tokens

DNS 쿼리를 보낼 수 있는 클라이언트를 정의합니다.

5.1 Access Source (IP 기반)

  1. DNS View → Access sources 탭.
  2. Create access source.
  3. CIDR 블록 입력 (예: 사무실 네트워크).
  4. Protocol 선택:
    • Do53 (기본 DNS)
    • DoH/DoT (암호화된 DNS)

5.2 Access Token (토큰 기반)

  1. DNS View → Access tokens 탭.
  2. Create access token.
  3. 토큰 이름, 만료 기간 입력(보통 30~365일).
  • 토큰은 DoH/DoT 클라이언트 인증용으로 사용합니다.
  • 여러 그룹/기기용으로 토큰을 분리 발급 가능합니다.

6. 프라이빗 호스팅 존 연결 (선택)

Global Resolver에서 AWS Route 53 Private Hosted Zone의 DNS도 해석하려면 View에 프라이빗 호스팅 존을 연결해야 합니다.

  1. DNS View → Private hosted zones 탭.
  2. Associate private hosted zone.
  3. 리스트에서 해당 Zone 선택 → Associate.

이렇게 하면 온프레미스/원격 클라이언트에서도 내부 DNS 해석이 가능해집니다.

7. 클라이언트 측 DNS 설정

Global Resolver를 만든 후, 클라이언트가 DNS 질의를 Anycast IP로 보내도록 설정해야 합니다.

7.1 IP 기반 (CIDR)

  • 클라이언트 DNS 서버 주소에 Global Resolver Anycast IP 입력.
  • 사무실 라우터/클라이언트 OS 설정에서 적용.

7.2 토큰 기반 (DoH/DoT)

  • 클라이언트에 토큰을 적용.
  • DoH/DoT 클라이언트 설정에 토큰 + Anycast IP 입력.

세부 OS/프로토콜별 예제는 AWS 공식 기술 문서 참고 바랍니다.

8. 테스트 및 검증

DNS Resolver 구성이 끝나면 다음을 확인합니다:

  • Anycast IP로 DNS 질의가 정상 응답되는지 확인.
  • DNS Firewall 규칙이 기대대로 동작하는지 검증.
  • DNSSEC 검증 결과가 올바르게 반환되는지 확인.

마무리

Amazon Route 53 Global Resolver는 퍼블릭·프라이빗 DNS를 통합해 보안 DNS 해석을 제공하는 서비스입니다.
Anycast 아키텍처 + 보안 필터링 + 중앙 로그 수집을 통해, 분산된 클라이언트 환경에서도 일관되고 안정적인 DNS 구성이 가능합니다.

티스토리툴바