Publié le: Sep 15, 2020
Aujourd'hui, nous annonçons la disponibilité de la journalisation des requêtes sur Route 53 Resolver dans les régions AWS GovCloud (US). Ces régions Amazon sont conçues pour héberger des données sensibles, des charges de travail régulées et font face aux plus strictes exigences de sécurité et de conformité du gouvernement des États-Unis. La journalisation des requêtes sur Route 53 Resolver vous permet de consigner les requêtes DNS issues de votre Amazon Virtual Private Cloud (VPC). Lorsque la journalisation des requêtes est activée, vous pouvez voir quels noms de domaine ont été interrogés, les ressources AWS d'origine des requêtes (y compris les IP source et les ID d'instance), ainsi que les réponses reçues.
Le résolveur Route 53 est le serveur DNS d'Amazon (parfois appelé « AmazonProvidedDNS » ou « résolveur .2 ») disponible par défaut dans tous les VPC Amazon. Le résolveur Route 53 répond aux requêtes DNS des ressources AWS au sein d'un VPC pour les enregistrements DNS publics, les noms DNS spécifiques à Amazon VPC et les zones d'hébergement privées sur Amazon Route 53. Les clients soucieux de la sécurité ou qui sont soumis à des mandats de conformité, peuvent avoir besoin de surveiller, déboguer, rechercher et archiver une enregistrement des recherches DNS provenant de l'intérieur de leur VPC Amazon. Avec la version publiée aujourd'hui, Route 53 Resolver prend désormais en charge la journalisation des requêtes DNS et des réponses aux requêtes DNS provenant des VPC des clients, que ces requêtes reçoivent des réponses locales de Route 53 Resolver, soient résolues sur l'Internet public ou transmises à des serveurs DNS sur site via les points de terminaison Resolver. Les requêtes DNS transmises par les serveurs DNS sur site aux VPC via les points de terminaison entrants sont également journalisées. Même les requêtes DNS effectuées par vos fonctions AWS Lambda, par les clusters Amazon EKS et par les instances d'Amazon WorkSpaces peuvent être journalisées. Avec la version aujourd'hui, vous ne devez plus gérer votre propre infrastructure pour journaliser l'activité DNS de votre VPC.
Vous pouvez activer et configurer la journalisation des requêtes pour des VPC spécifiques, en utilisant l'API ou la console du résolveur Route 53. Si vous devez journaliser des requêtes sur plusieurs comptes, vous pouvez partager vos configurations de journalisation de requêtes en utilisant AWS Resource Access Manager (RAM). Vous pouvez choisir d'envoyer vos journaux de requêtes à Amazon S3, à Amazon CloudWatch Logs ou à Amazon Kinesis Data Firehose. Si vous envoyez les journaux à CloudWatch, vous pouvez configurer CloudWatch pour qu'il les traite automatiquement et filtre les données des journaux en informations plus exploitables. Par exemple, avec CloudWatch Contributor Insights, vous pouvez créer des règles pour générer des données de haute cardinalité, par exemple les instances effectuant le plus de requêtes DNS au fil du temps (« top talkers ») ou les noms de domaine les plus fréquemment interrogés.
La journalisation des requêtes de Route 53 Resolver est désormais disponible dans toutes les régions commerciales AWS. L'utilisation de la journalisation des requêtes n'entraîne pas de frais supplémentaires, bien que vous puissiez être amené à payer des frais d'utilisation pour Amazon S3, Amazon CloudWatch ou Amazon Kinesis Data Firehose. Pour en savoir plus sur la journalisation des requêtes ou pour la mise en route, consultez la page du produit Route 53 ou la documentation Route 53. Pour en savoir plus sur la tarification des différentes options de stockage, visitez la page de tarification Amazon CloudWatch.