Veröffentlicht am: Sep 15, 2020
Heute kündigen wir die Verfügbarkeit von Route 53 Resolver Query Logging in den Regionen von AWS GovCloud (USA) an, den Regionen von Amazon, die darauf ausgelegt sind, sensible Daten und regulierte Workloads zu hosten und die strengsten Sicherheits- und Compliance-Anforderungen der US-Regierung zu erfüllen. Mit Route 53 Resolver Query Logging können Sie die DNS-Abfragen protokollieren, die ihren Ursprung in Ihren Amazon Virtual Private Clouds (VPCs) haben. Wenn die Abfrageprotokollierung aktiviert ist, können Sie sehen, welche Domainnamen abgefragt wurden, von welchen AWS-Ressourcen die Abfragen stammen (einschließlich Quell-IP und Instance-ID) und welche Antworten eingegangen sind.
Route 53 Resolver ist der Amazon DNS-Server (manchmal auch als „AmazonProvidedDNS“ oder „.2 Resolver“ bezeichnet), der standardmäßig in allen Amazon VPCs verfügbar ist. Route 53 Resolver reagiert auf DNS-Abfragen von AWS-Ressourcen innerhalb einer VPC für öffentliche DNS-Einträge, VPC-spezifische Domainnamen und von Route 53 privat gehostete Zonen. Kunden, die sich Sorgen um die Sicherheit machen oder die Compliance-Anforderungen erfüllen, benötigen möglicherweise die Möglichkeit, einen Datensatz der DNS-Lookups, die aus ihren Amazon-VPCs stammen, zu überwachen, zu debuggen, zu durchsuchen und zu archivieren. Mit der heutigen Version unterstützt Route 53 Resolver jetzt die Protokollierung von DNS-Abfragen und Antworten für DNS-Abfragen, die aus Kunden-VPCs stammen, unabhängig davon, ob diese Anfragen lokal von Route 53 Resolver beantwortet, über das öffentliche Internet gelöst oder über Resolver-Endpunkte an On-Premises-DNS-Server weitergeleitet werden. DNS-Abfragen, die von lokalen DNS-Servern über eingehende Endpunkte an VPCs weitergeleitet werden, werden ebenfalls protokolliert. Sogar die DNS-Abfragen Ihrer AWS-Lambda-Funktionen, Amazon EKS-Cluster und Amazon WorkSpaces-Instances können protokolliert werden. Mit der heutigen Version müssen Sie Ihre eigene Infrastruktur nicht mehr verwalten, um die DNS-Aktivitäten in Ihrer VPC zu protokollieren.
Sie können die Abfrageprotokollierung für bestimmte VPCs mithilfe der Route 53 Resolver API oder der Route 53 Resolver Console aktivieren und konfigurieren. Wenn Sie Abfragen über mehrere Konten hinweg protokollieren müssen, können Sie Ihre Konfigurationen für die Abfrageprotokollierung mithilfe von AWS Resource Access Manager (RAM) gemeinsam nutzen. Sie können wählen, ob Sie Ihre Abfrageprotokolle an Amazon S3, Amazon CloudWatch Logs oder Amazon Kinesis Data Firehose senden möchten. Wenn Sie Protokolle an CloudWatch senden, können Sie CloudWatch so konfigurieren, dass die Protokolle automatisch verarbeitet werden, um Protokolldaten in umsetzbarere Informationen umzuwandeln. Mit CloudWatch Contributor Insights können Sie beispielsweise Regeln erstellen, um Daten mit hoher Kardinalität zu generieren, z. B. Instances, die im Laufe der Zeit die meisten DNS-Anfragen stellen („Top-Talker“), oder die am häufigsten abgefragten Domainnamen.
Route 53 Resolver Query Logging ist auch in allen kommerziellen AWS-Regionen verfügbar. Für die Nutzung der Abfrageprotokollierung fallen keine zusätzlichen Gebühren an, allerdings können Nutzungsgebühren für Amazon S3, Amazon CloudWatch oder Amazon Kinesis Data Firehose anfallen. Weitere Informationen zur Abfrageprotokollierung oder für die ersten Schritte finden Sie auf der Route 53-Produktseite oder in der Route 53-Dokumentation. Weitere Informationen zu den Preisen für die verschiedenen Speicheroptionen finden Sie auf der Amazon CloudWatch-Preisseite.