本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Route 53 控制
这些控制与 Route 53 资源有关。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[Route53.2] Route 53 公有托管区域应记录 DNS 查询
相关要求:NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。
类别:识别 > 日志记录
严重性:中
资源类型:AWS::Route53::HostedZone
Amazon Config 规则:route53-query-logging-enabled
计划类型:已触发变更
参数:无
此控件检查是否为 Amazon Route 53 公共托管区域启用了 DNS 查询日志记录。如果未为 Route 53 公共托管区域启用 DNS 查询日志记录,控制将会失败。
记录 Route 53 托管区域的 DNS 查询可满足 DNS 安全性和合规性要求并授予可见性。日志包含诸如查询的域或子域、查询的日期和时间、DNS 记录类型(例如 A 或 AAAA)以及 DNS 响应代码(例如 NoError
或 ServFail
)等信息。启用 DNS 查询日志记录后,Route 53 会将日志文件发布到 Amazon CloudWatch 日志。
修复
要记录 Route 53 公共托管区域的 DNS 查询,请参阅 Amazon Route 53 开发人员指南中的 DNS 查询配置日志记录。