debian11 bind9のapparmorで肝心の/etc/bind/*に関する記述がどこにも無い

前提

CentOS6で出来ていた社内サーバー（DNS権威サーバー）を更新しないといけなくなりました。有料は無理なので、CentOS系をやめてdebian11で作る事にしました。bind9でやりますが、chrootとapparmorを天秤にかけ、後者にしました。（現行システムはchrootでした。）

実現したいこと

apparmorガチで、DNS権威サーバーを公開しようとしています。ただしIDS機器はかますので、DOS攻撃等の対応は考えていません。主にLinuxの脆弱性が後に見つかった際の最終防波堤の役目を期待しています。

発生している問題・エラーメッセージ

bind9で、/etc/apparmor.dに有る設定ファイル（usr.sbin.named設定ファイルなど）のどれを見ても（abstructionやlocalサブディレクトリの中にも）、 /etc/bind/*（named.confなどが存在） に関係するアクセス可能に関する記述が有りません。
しかしながらそれでもaa-enforce namedとしても、そのbind9は起動し、ゾーン転送など確かに動いています。
他のフォルダのアクセス可能に関する 記述を消すと、間違いなくbind9の起動は不可となる為、apparmorは正常に稼働している と思います。

/etc/bind/* r　の様な記述はどこにあるのでしょうか？ chrootをやめたのでapparmorが頼りです。

該当のソースコード

特に有りません。

補足情報（FW/ツールのバージョンなど）

現在ダウンロード可能の「debian-11.4.0-amd64-netinst.iso」の1つ前のバージョンでした。gnomeなどは全部チェックを外してあります。

行動規範の内容に同意します

回答1件

DebianではなくてDebian 10系であるubuntu 20.04のサーバー版(家内ネームサーバー。外向き公開なし)で確認すると，
/etc/apparmor.d/usr.sbin.namedにあるようですね。
/etc/bind/** r,の記述があり，想定より*が一つ多いようですが。

以下設定そのままです。（以下略の上の/var/...がたくさんある行のさらに一つ上の行）

 vim:syntax=apparmor
# Last Modified: Fri Jun  1 16:43:22 2007
#include <tunables/global>

/usr/sbin/named flags=(attach_disconnected) {
  #include <abstractions/base>
  #include <abstractions/nameservice>

  capability net_bind_service,
  capability setgid,
  capability setuid,
  capability sys_chroot,
  capability sys_resource,

  # /etc/bind should be read-only for bind
  # /var/lib/bind is for dynamically updated zone (and journal) files.
  # /var/cache/bind is for slave/stub data, since we're not the origin of it.
  # See /usr/share/doc/bind9/README.Debian.gz
  /etc/bind/** r,
  /var/lib/bind/** rw,
  /var/lib/bind/ rw,
  /var/cache/bind/** lrw,
  /var/cache/bind/ rw,

... 以下略