게시된 날짜: Aug 27, 2020
AWS는 오늘 Amazon Virtual Private Cloud(VPC)에서 발생하는 DNS 쿼리를 로깅하도록 지원하는 Route 53 Resolver 쿼리 로깅 기능을 제공한다고 발표했습니다. 쿼리 로깅이 지원됨에 따라 쿼리된 도메인 이름, 쿼리가 발생한 AWS 리소스(소스 IP 및 인스턴스 ID 포함), 수신된 응답을 확인할 수 있게 되었습니다.
Route 53 Resolver는 모든 Amazon VPC에서 기본 제공되는 Amazon DNS 서버입니다(“AmazonProvidedDNS” 또는 “.2 resolver”라고도 함). Route 53 Resolver는 VPC 내의 AWS 리소스에서 발생하는 DNS 레코드, 퍼블릭 DNS 레코드, Amazon VPC별 DNS 이름, Amazon Route 53 프라이빗 호스팅 영역에 대한 DNS 쿼리에 응답합니다. 보안이 중요하거나 엄격한 규제를 받는 고객에게는 Amazon VPC 내에서 실행되는 DNS 조회를 모니터링하고, 디버깅하고, 검색하고, 그 기록을 아카이빙하는 기능이 필요할 수 있습니다. 오늘 발표된 릴리스에서는 Route 53 Resolver가 고객 VPC 내에서 발생하는 DNS 쿼리와 DNS 쿼리 응답을 로깅하도록 지원합니다. Route 53 Resolver에 의해 로컬로 응답되는지, 공용 인터넷을 통해 해결되는지, Resolver 엔드포인트를 통해 온프레미스 DNS 서버로 전달되는지 여부에 관계없이 모든 쿼리를 로깅할 수 있습니다. 인바운드 엔드포인트를 통해 온프레미스 DNS 서버에서 VPC로 전달되는 DNS 쿼리도 로깅됩니다. AWS Lambda 함수, Amazon EKS 클러스터 및 Amazon WorkSpaces 인스턴스에 의해 실행되는 DNS 쿼리도 로깅할 수 있습니다. 오늘 릴리스가 발표되면서, 이제 더 이상 VPC 내에서 발생하는 DNS 작업을 로깅하기 위해 자체 인프라를 관리할 필요가 없게 되었습니다.
Route 53 Resolver API 또는 Route 53 Resolver 콘솔을 사용하여 특정 VPC의 쿼리 로깅을 활성화하고 구성할 수 있습니다. 여러 계정에 걸쳐 쿼리를 로깅해야 하는 경우 AWS Resource Access Manager(RAM)을 사용하여 쿼리 로깅 구성을 공유할 수 있습니다. 쿼리 로그를 Amazon S3, Amazon CloudWatch Logs 또는 Amazon Kinesis Data Firehose로 전송하도록 선택할 수 있습니다. CloudWatch로 로그를 전송하는 경우 로그를 자동으로 처리하여 로그 데이터를 보다 유용한 정보로 변환하도록 CloudWatch를 구성할 수 있습니다. 예를 들어 CloudWatch Contributor Insights를 사용하면 일정 시간 동안 DNS 쿼리가 가장 많이 발생한 인스턴스(“상위 토커”), 가장 자주 쿼리되는 도메인 이름 등 카디널리티가 높은 데이터를 생성하는 규칙을 생성할 수 있습니다.
현재 모든 상용 AWS 리전에서 Route 53 Resolver 쿼리 로깅 기능을 사용할 수 있습니다. 쿼리 로깅을 사용하는 데 따른 추가 요금은 없지만, Amazon S3, Amazon CloudWatch 또는 Amazon Kinesis Data Firehose 사용 요금이 발생할 수 있습니다. 쿼리 로깅에 대해 자세히 알아보거나 사용을 시작하려면 Route 53 제품 페이지 또는 Route 53 설명서를 참조하십시오. 다양한 스토리지 옵션의 요금은 Amazon CloudWatch 요금 페이지에서 확인할 수 있습니다.