发布于: Sep 15, 2020

今天,我们宣布在 AWS GovCloud(美国)区域推出 Route 53 Resolver 查询日志记录,这些 Amazon 区域旨在托管敏感数据、受监管的工作负载,并解决最严格的美国政府安全和合规性要求。Route 53 Resolver 查询日志记录功能让您可以记录 Amazon Virtual Private Cloud (VPC) 发起的 DNS 查询。启用查询日志记录后,您可以查看已查询了哪些域名、发起这些查询的 AWS 资源(包括源 IP 和实例 ID)以及收到的回应。 

Route 53 Resolver 是 Amazon DNS 服务器(有时候也称为“AmazonProvidedDNS”或“.2 resolver”),所有 Amazon VPC 中默认都提供该服务器。Route 53 Resolver 回应 VPC 内的 AWS 资源对公共 DNS 记录、Amazon VPC 特定的 DNS 名称以及 Amazon Route 53 私有托管区的 DNS 查询。关心安全性或遵从法规要求的客户可能需要能够监控、调试、搜索和存档从其 Amazon VPC 内发起的 DNS 查询的记录。随着今天的发布,Route 53 Resolver 现在支持以日志形式记录从客户 VPC 内发起的 DNS 查询及 DNS 查询的响应,无论这些查询是由 Route 53 Resolver 在本地应答,是通过公共互联网解析,还是通过解析程序终端节点转发到本地 DNS 服务器。本地 DNS 服务器通过入站终端节点转发至 VPC 的 DNS 查询也会记录下来。AWS Lambda 函数、Amazon EKS 集群和 Amazon WorkSpaces 实例进行的 DNS 查询甚至也会被记录。随着今天的发布,您不再需要管理自己的基础设施来记录 VPC 内的 DNS 活动。

您可以通过使用 Route 53 Resolver API 或 Route 53 Resolver 控制台为特定 VPC 启用和配置查询日志记录。如果您需要记录多个账户间的查询,您可以通过使用 AWS Resource Access Manager (RAM) 分享您的查询日志记录配置。您可以选择将您的查询日志发送至 Amazon S3、Amazon CloudWatch Logs 或 Amazon Kinesis Data Firehose。如果您将日志发送至 CloudWatch,您可以将 CloudWatch 配置为自动处理日志,以将日志数据提炼为更加可行的信息。例如,使用 CloudWatch Contributor Insights,您可以创建规则来生成高基数数据,例如在一段时间内进行最多 DNS 查询的实例(“最大流量生成者”)或最常被查询的域名。  

Route 53 Resolver 查询日志记录还在所有商业 AWS 区域推出。使用查询日志记录不产生额外费用,但可能会产生 Amazon S3、Amazon CloudWatch 或 Amazon Kinesis Data Firehose 的使用费。要了解有关查询日志记录的更多信息或开始使用,请参阅 Route 53 产品页面Route 53 文档。要了解有关不同存储选项定价的详细信息,请访问 Amazon CloudWatch 定价页面