Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

适用于 Route 53 的 Security Hub 控件

这些 Amazon Security Hub CSPM 控件可评估 Amazon Route 53 服务和资源。

这些控件可能并未在所有的 Amazon Web Services 区域 上提供。有关更多信息，请参阅 按地区划分的控件可用性。

[Route53.1] 应标记 Route53 运行状况检查

类别：识别 > 清单 > 标记

严重性：低

资源类型：Amazon::Route53::HealthCheck

Amazon Config 规则：tagged-route53-healthcheck（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件可检查 Amazon Route 53 运行状况检查是否具有带特定键的标签，这些键在 requiredTagKeys 参数中进行定义。如果运行状况检查没有任何标签键或未在 requiredTagKeys 参数中指定所有键，则此控件将失败。如果未提供 requiredTagKeys 参数，则此控件仅检查是否存在标签键，如果运行状况检查未使用任何键进行标记，则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 Amazon 资源的标记，由一个键和一个可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以将标签附加到 IAM 实体（用户或角色）以及 Amazon 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 IAM 用户指南中的什么是适用于 Amazon 的 ABAC？。

修复

要向 Route 53 运行状况检查添加标签，请参阅《Amazon Route 53 开发人员指南》中的为运行状况检查命名和添加标签。

[Route53.2] Route 53 公有托管区域应记录 DNS 查询

相关要求： NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.4.2

类别：识别 > 日志记录

严重性：中

资源类型：AWS::Route53::HostedZone

Amazon Config 规则： route53-query-logging-enabled

计划类型：已触发变更

参数：无

此控件检查是否为 Amazon Route 53 公共托管区域启用了 DNS 查询日志记录。如果未为 Route 53 公共托管区域启用 DNS 查询日志记录，控制将会失败。

记录 Route 53 托管区域的 DNS 查询可满足 DNS 安全性和合规性要求并授予可见性。日志包含诸如查询的域或子域、查询的日期和时间、DNS 记录类型（例如 A 或 AAAA）以及 DNS 响应代码（例如 NoError 或 ServFail）等信息。启用 DNS 查询日志记录后，Route 53 会将日志文件发布到 Amazon CloudWatch Logs。

修复

要记录 Route 53 公共托管区域的 DNS 查询，请参阅 Amazon Route 53 开发人员指南中的 DNS 查询配置日志记录。