Veröffentlicht am: Sep 15, 2020
Heute kündigen wir die Verfügbarkeit von Route 53 Resolver Query Logging in den Regionen von AWS GovCloud (USA) an, den Regionen von HAQM, die darauf ausgelegt sind, sensible Daten und regulierte Workloads zu hosten und die strengsten Sicherheits- und Compliance-Anforderungen der US-Regierung zu erfüllen. Mit Route 53 Resolver Query Logging können Sie die DNS-Abfragen protokollieren, die ihren Ursprung in Ihren HAQM Virtual Private Clouds (VPCs) haben. Wenn die Abfrageprotokollierung aktiviert ist, können Sie sehen, welche Domainnamen abgefragt wurden, von welchen AWS-Ressourcen die Abfragen stammen (einschließlich Quell-IP und Instance-ID) und welche Antworten eingegangen sind.
Route 53 Resolver ist der HAQM DNS-Server (manchmal auch als „HAQMProvidedDNS“ oder „.2 Resolver“ bezeichnet), der standardmäßig in allen HAQM VPCs verfügbar ist. Route 53 Resolver reagiert auf DNS-Abfragen von AWS-Ressourcen innerhalb einer VPC für öffentliche DNS-Einträge, VPC-spezifische Domainnamen und von Route 53 privat gehostete Zonen. Kunden, die sich Sorgen um die Sicherheit machen oder die Compliance-Anforderungen erfüllen, benötigen möglicherweise die Möglichkeit, einen Datensatz der DNS-Lookups, die aus ihren HAQM-VPCs stammen, zu überwachen, zu debuggen, zu durchsuchen und zu archivieren. Mit der heutigen Version unterstützt Route 53 Resolver jetzt die Protokollierung von DNS-Abfragen und Antworten für DNS-Abfragen, die aus Kunden-VPCs stammen, unabhängig davon, ob diese Anfragen lokal von Route 53 Resolver beantwortet, über das öffentliche Internet gelöst oder über Resolver-Endpunkte an On-Premises-DNS-Server weitergeleitet werden. DNS-Abfragen, die von lokalen DNS-Servern über eingehende Endpunkte an VPCs weitergeleitet werden, werden ebenfalls protokolliert. Sogar die DNS-Abfragen Ihrer AWS-Lambda-Funktionen, HAQM EKS-Cluster und HAQM WorkSpaces-Instances können protokolliert werden. Mit der heutigen Version müssen Sie Ihre eigene Infrastruktur nicht mehr verwalten, um die DNS-Aktivitäten in Ihrer VPC zu protokollieren.
Sie können die Abfrageprotokollierung für bestimmte VPCs mithilfe der Route 53 Resolver API oder der Route 53 Resolver Console aktivieren und konfigurieren. Wenn Sie Abfragen über mehrere Konten hinweg protokollieren müssen, können Sie Ihre Konfigurationen für die Abfrageprotokollierung mithilfe von AWS Resource Access Manager (RAM) gemeinsam nutzen. Sie können wählen, ob Sie Ihre Abfrageprotokolle an HAQM S3, HAQM CloudWatch Logs oder HAQM Kinesis Data Firehose senden möchten. Wenn Sie Protokolle an CloudWatch senden, können Sie CloudWatch so konfigurieren, dass die Protokolle automatisch verarbeitet werden, um Protokolldaten in umsetzbarere Informationen umzuwandeln. Mit CloudWatch Contributor Insights können Sie beispielsweise Regeln erstellen, um Daten mit hoher Kardinalität zu generieren, z. B. Instances, die im Laufe der Zeit die meisten DNS-Anfragen stellen („Top-Talker“), oder die am häufigsten abgefragten Domainnamen.
Route 53 Resolver Query Logging ist auch in allen kommerziellen AWS-Regionen verfügbar. Für die Nutzung der Abfrageprotokollierung fallen keine zusätzlichen Gebühren an, allerdings können Nutzungsgebühren für HAQM S3, HAQM CloudWatch oder HAQM Kinesis Data Firehose anfallen. Weitere Informationen zur Abfrageprotokollierung oder für die ersten Schritte finden Sie auf der Route 53-Produktseite oder in der Route 53-Dokumentation. Weitere Informationen zu den Preisen für die verschiedenen Speicheroptionen finden Sie auf der HAQM CloudWatch-Preisseite.