投稿日: Sep 15, 2020
本日、AWS GovCloud (米国) リージョンで Route 53 Resolver クエリログが利用可能になりました。当該リージョンは、機密データをホストし、ワークロードを規制し、最も厳しい米国政府のセキュリティおよびコンプライアンス要件に対応するように設計された Amazon のリージョンです。Route 53 Resolver クエリログを使用すると、Amazon Virtual Private Cloud (VPC) で発生した DNS クエリをログに記録できます。クエリログを有効にすると、クエリされたドメイン名、クエリの発信元の AWS リソース (ソース IP およびインスタンス ID を含む)、および受信された応答を確認できます。
Route 53 リゾルバーは、すべての Amazon VPC でデフォルトで使用可能な Amazon DNS サーバー (「AmazonProvidedDNS」または「.2 リゾルバー」とも呼ばれます) です。Route 53 リゾルバーは、パブリック DNS レコード、Amazon VPC 固有の DNS 名、および Amazon Route 53 プライベートホストゾーンの VPC 内の AWS のリソースからの DNS クエリに応答します。セキュリティを懸念しているお客様、またはコンプライアンス規制を遵守する必要があるお客様は、Amazon VPC の内部から発生した DNS ルックアップのレコードを監視、デバッグ、検索、およびアーカイブする機能を必要とする場合があります。本日のリリースにより、Route 53 Resolver は、お客様の VPC 内から発信された DNS クエリと DNS クエリの応答のログ記録をサポートするようになりました。これらのクエリは、Route 53 リゾルバーによってローカルで応答されるか、パブリックインターネット経由で解決されるか、またはリゾルバーのエンドポイント経由でオンプレミス DNS サーバーに転送されます。オンプレミス DNS サーバーによって受信エンドポイント経由で VPC に転送された DNS クエリもログに記録されます。AWS Lambda 関数、Amazon EKS クラスター、および Amazon WorkSpaces インスタンスによって作成された DNS クエリでもログに記録できます。本日のリリースは、VPC 内の DNS アクティビティをログに記録するために独自のインフラストラクチャを管理する必要性を排するものです。
Route 53 リゾルバー API または Route 53 リゾルバーコンソールを使用して、特定の VPC のクエリロギングを有効にして設定できます。複数のアカウント間でクエリをログに記録する必要がある場合は、AWS Resource Access Manager (RAM) を使用してクエリログ設定を共有できます。クエリログを Amazon S3、Amazon CloudWatch Logs、または Amazon Kinesis Data Firehose に送信することを選択できます。ログを CloudWatch に送信する場合、ログを自動的に処理してログデータをより実用的な情報として抽出するように CloudWatch を設定できます。たとえば、CloudWatch Contributor Insights を使用すると、一定の時間に最も多くの DNS クエリを実行するインスタンス (「トップトーカー」) や最も頻繁にクエリされるドメイン名など、高いカーディナリティデータを生成するルールを作成できます。
Route 53 Resolver のクエリログもすべての商用 AWS リージョンで利用可能です。クエリログの使用には追加料金はかかりませんが、Amazon S3、Amazon CloudWatch、または Amazon Kinesis Data Firehose から使用料が発生する場合があります。クエリロギングの詳細や使用を開始するには、Route 53 の製品ページにアクセスするか、または Route 53 のドキュメントを参照してください。さまざまなストレージオプションの料金の詳細については、Amazon CloudWatch の料金ページをご覧ください。