[新产品/新功能] Amazon Route 53 Resolver 查询日志记录功能扩展至亚太地区（新西兰）

**发布时间:** 2025-09-24 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/09/amazon-route-53-resolver-query-logging-available-asia-pacific-nz ---  [新产品/新功能] Amazon Route 53 Resolver 查询日志记录功能扩展至亚太地区（新西兰）   # 产品功能分析 ## 新功能/新产品概述 **Amazon Route 53 Resolver Query Logging** 是一项内嵌于 AWS DNS 服务的功能，而非一个独立的新产品。其核心目标是捕获并记录源自 **Amazon Virtual Private Cloud (Amazon VPC)** 内部的所有 DNS 查询请求和响应日志。 - **技术原理**：该功能直接集成在 **Route 53 Resolver** 服务中，后者是每个 VPC 默认的 DNS 服务器。当 VPC 内的 AWS 资源（如 EC2 实例）发起 DNS 查询时，无论是对公网域名、VPC 私有域名还是通过 **Resolver Endpoints** 转发到本地数据中心的查询，**Resolver** 都会在处理请求的同时，将查询的详细信息（包括查询的域名、源 IP 和实例 ID、响应内容等）异步发送到用户预先配置的目标服务。 - **产品背景**：本次发布是该功能在亚太（新西兰）区域的上线，属于现有功能的区域性扩展。DNS 查询日志是网络安全审计、合规性检查和应用故障排查的基础能力。 - **目标用户群**：主要面向在 AWS 上运行工作负载的云安全工程师、网络管理员、DevOps 团队以及需要满足特定合规性要求的企业。 - **市场定位**：作为 AWS 原生的、深度集成的 DNS 可观测性解决方案，旨在简化客户在云上及混合云环境中的安全监控与运维复杂度，替代传统的第三方日志采集代理或网络设备。 ## 关键客户价值 - **提升安全可见性与合规能力** - 通过记录所有出站 DNS 查询，客户可以有效检测潜在的安全威胁，例如恶意软件与命令控制（C&C）服务器的通信、通过 DNS 隧道进行的数据窃取等。 - 完整的日志记录有助于满足诸如 PCI DSS、HIPAA 等行业合规标准对网络活动审计的要求。 - **简化运维与故障排查** - 当应用出现连接问题时，开发和运维人员可以直接分析 DNS 日志，快速定位问题是域名解析失败、解析到错误地址还是其他网络问题，而无需在每个实例上安装和管理日志代理。 - **统一混合云环境的 DNS 监控** - 该功能能够记录通过 **Resolver Endpoints** 转发至企业本地（On-Premises）DNS 服务器的查询。这为混合云架构提供了端到端的 DNS 流量可见性，实现了云上与本地环境的统一监控，这是许多单点解决方案难以实现的差异化优势。 - **灵活的日志存储与分析集成** - 支持将日志直接发送到三个核心 AWS 服务，满足不同场景需求： - **Amazon S3**：用于经济高效的长期归档和合规性存储。 - **Amazon CloudWatch Logs**：用于实时监控、设置告警和进行交互式查询分析。 - **Amazon Data Firehose**：用于将日志流式传输到第三方 SIEM 系统（如 Splunk）或大数据分析平台进行更复杂的处理。 - **集中化管理与治理** - 通过与 **AWS Resource Access Manager (RAM)** 集成，企业可以在一个中心账户（如安全或网络治理账户）中创建和管理查询日志记录配置，并将其共享给组织内的多个其他 AWS 账户。这极大地简化了在大型多账户环境下的策略部署和一致性管理，降低了管理开销。 ## 关键技术洞察 - **原生无代理集成** - 日志记录功能直接构建在 **Route 53 Resolver** 这一托管服务的基础设施层面，实现了无代理（Agentless）的数据捕获。这种方式对 VPC 内的计算资源性能无任何影响，且能保证 100% 的日志覆盖率，避免了因代理未安装或配置错误导致的监控盲点。 - **解耦的异步日志交付架构** - DNS 解析核心路径与日志记录和交付路径是分离的。**Resolver** 在处理完 DNS 查询后，异步地将日志数据发送到目标服务。这种设计确保了日志记录过程中的任何延迟或故障都不会影响核心 DNS 解析的性能和可用性，保证了业务的连续性。 - **基于 IAM 策略的跨账户资源共享** - 利用 **AWS Resource Access Manager (RAM)** 的能力，实现了配置资源的跨账户共享。其底层依赖 **AWS Identity and Access Management (IAM)** 的资源策略，允许资源所有者（中心账户）安全地授权给其他账户（成员账户）使用特定资源，这是实现大规模、自动化云治理的关键技术之一。   # Amazon Route 53 Resolver 查询日志功能现已在亚太地区 (新西兰) 可用 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/09/amazon-route-53-resolver-query-logging-available-asia-pacific-nz](https://aws.amazon.com/about-aws/whats-new/2025/09/amazon-route-53-resolver-query-logging-available-asia-pacific-nz) **发布时间:** 2025-09-24 **厂商:** AWS **类型:** WHATSNEW --- # Amazon Route 53 Resolver 查询日志功能现已在亚太地区 (新西兰) 可用发布于: 2025 年 9 月 24 日今天，我们宣布 Route 53 Resolver 查询日志功能现已在亚太地区 (新西兰) 推出，使您能够记录源自 Amazon Virtual Private Cloud (Amazon VPC) 的 DNS 查询。启用查询日志后，您可以看到查询了哪些域名、查询源自哪些 AWS 资源 (包括源 IP 和实例 ID) 以及收到的响应。 Route 53 Resolver 是 Amazon 提供的 DNS 服务器，默认在所有 Amazon VPC 中可用。Route 53 Resolver 响应来自 VPC 内 AWS 资源的 DNS 查询，这些查询涉及公有 DNS 记录、Amazon VPC 特定的 DNS 名称以及 Amazon Route 53 私有托管区域 (private hosted zones)。借助 Route 53 Resolver 查询日志功能，客户可以记录源自其 VPC 内部的 DNS 查询和响应，无论这些查询是由 Route 53 Resolver 在本地应答、通过公共互联网解析，还是通过 [解析器终端节点 (Resolver Endpoints)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) 转发到本地 DNS 服务器。您可以使用 [AWS Resource Access Manager (RAM)](https://aws.amazon.com/ram/) 在多个账户之间共享您的查询日志配置。您还可以选择将查询日志发送到 Amazon S3、Amazon CloudWatch Logs 或 Amazon Data Firehose。使用 Route 53 Resolver 查询日志功能无需额外付费，但您可能会产生来自 Amazon S3、Amazon CloudWatch 或 Amazon Data Firehose 的使用费。要了解有关 Route 53 Resolver 查询日志的更多信息或开始使用，请访问 [Route 53 Resolver 产品页面](https://aws.amazon.com/route53/resolver/) 或 [Route 53 文档](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html) 。