Verwaltung von Route 53 Resolver-DNS-Firewallereignissen mit Amazon EventBridge - Amazon Route 53
Route 53 Resolver DNS-Firewall-EreignisseSenden von DNS-Firewall-EreignissenBerechtigungenWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von Route 53 Resolver-DNS-Firewallereignissen mit Amazon EventBridge

Amazon EventBridge ist ein serverloser Dienst, der Ereignisse verwendet, um Anwendungskomponenten miteinander zu verbinden, sodass Sie leichter skalierbare, ereignisgesteuerte Anwendungen erstellen können. Bei der ereignisgesteuerten Architektur werden lose gekoppelte Softwaresysteme entwickelt, die zusammenarbeiten, indem sie Ereignisse senden und darauf reagieren. Ereignisse stellen eine Änderung in einer Ressource oder Umgebung dar.

Wie bei vielen AWS Diensten generiert die DNS-Firewall Ereignisse und sendet sie an den EventBridge Standardereignisbus. (Der Standard-Event-Bus wird automatisch in jedem AWS Konto bereitgestellt.) Ein Event Bus ist ein Router, der Ereignisse empfängt und sie an null oder mehr Ziele weiterleitet. Regeln, die Sie für den Event-Bus angeben, werten Ereignisse aus, sobald sie eintreffen. Jede Regel prüft, ob ein Ereignis dem Ereignismuster der Regel entspricht. Wenn das Ereignis übereinstimmt, sendet der Event-Bus das Ereignis an die angegebenen Ziele.

AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.
Themen

Route 53 Resolver DNS-Firewall-Ereignisse

Route 53 Resolver sendet DNS-Firewall-Ereignisse automatisch an den EventBridge Standardereignisbus. Sie können Regeln für den Event-Bus erstellen. Jede Regel umfasst ein Ereignismuster und ein oder mehrere Ziele. Ereignisse, die dem Ereignismuster einer Regel entsprechen, werden nach bestem Wissen und Gewissen an die angegebenen Ziele übermittelt. Ereignisse werden möglicherweise nicht in der richtigen Reihenfolge zugestellt.

Die folgenden Ereignisse werden von der DNS-Firewall generiert. Weitere Informationen finden Sie EventBridgeim Amazon EventBridge Benutzerhandbuch. .

Art der Einzelheiten des Ereignisses Beschreibung

DNS-Firewall-Block

Jede Blockaktion, die auf einer Domain ausgeführt wird.

DNS-Firewall-Warnung

Jede Warnungsaktion, die auf einer Domain ausgeführt wurde.

Senden von Route 53 Resolver DNS-Firewallereignissen mithilfe von Regeln EventBridge

Damit der EventBridge Standardereignisbus DNS-Firewallereignisse an ein Ziel sendet, müssen Sie eine Regel erstellen, die ein Ereignismuster enthält, das den Daten in den gewünschten DNS-Firewallereignissen entspricht.

Das Erstellen einer Regel besteht aus den folgenden allgemeinen Schritten:

  1. Erstellen eines Ereignismusters für die Regel, das Folgendes festlegt:

    • Route 53 Resolver ist die Quelle der Ereignisse, die von der Regel ausgewertet werden.

    • (Optional): Alle anderen Ereignisdaten, mit denen ein Abgleich durchgeführt werden kann.

    Weitere Informationen finden Sie unter Erstellen von Ereignismustern für Route 53 Resolver DNS-Firewallereignisse.

  2. (Optional): Erstellen eines Eingangstransformators, der die Daten aus dem Ereignis anpasst, EventBridge bevor die Informationen an das Ziel der Regel weitergegeben werden.

    Weitere Informationen finden Sie unter Eingabetransformation im EventBridge Benutzerhandbuch.

  3. Geben Sie die Ziele an, an die Sie Ereignisse EventBridge senden möchten, die dem Ereignismuster entsprechen.

    Ziele können andere AWS Dienste, software-as-a-service (SaaS-) Anwendungen, API-Ziele oder andere benutzerdefinierte Endpunkte sein. Weitere Informationen finden Sie unter Ziele im Benutzerhandbuch für EventBridge .

Umfassende Anweisungen zum Erstellen von Event-Bus-Regeln finden Sie im EventBridge Benutzerhandbuch unter Erstellen von Regeln, die auf Ereignisse reagieren.

Erstellen von Ereignismustern für Route 53 Resolver DNS-Firewallereignisse

Wenn die DNS-Firewall ein Ereignis an den Standardereignisbus übermittelt, bestimmt sie EventBridge anhand des für jede Regel definierten Ereignismusters, ob das Ereignis an die Ziele der Regel übermittelt werden soll. Ein Ereignismuster entspricht den Daten in den gewünschten DNS-Firewall-Ereignissen. Jedes Ereignismuster ist ein JSON-Objekt, das Folgendes enthält:

  • Ein source-Attribut, das den Service identifiziert, der das Ereignis sendet. Für DNS-Firewall-Ereignisse lautet die Quelleaws.route53resolver.

  • (Optional): Ein detail-type-Attribut, das ein Array der zuzuordnenden Ereignistypen enthält.

  • (Optional): Ein detail-Attribut, das alle anderen Ereignisdaten für den Abgleich enthält.

Das folgende Ereignismuster entspricht beispielsweise sowohl den Warnungs- als auch den Blockierungsereignissen der DNS-Firewall:

{
  "source": ["aws.route53resolver"],
  "detail-type": ["DNS Firewall Block", "DNS Firewall Alert"]
}

Das folgende Ereignismuster entspricht zwar einer BLOCK-Aktion:

{
  "source": ["aws.route53resolver"],
  "detail-type": ["DNS Firewall Block"]
}

Die DNS-Firewall sendet dasselbe Ereignis für dieselbe Domain nur einmal innerhalb eines 6-Stunden-Fensters. Beispielsweise:

  1. Die Instanz i-123 hat zum Zeitpunkt T1 eine DNS-Abfrage exampledomain.com gesendet. Die DNS-Firewall sendet eine Warnung oder ein Blockierungsereignis, da dies das erste Ereignis ist.

  2. Die Instanz i-123 hat zum Zeitpunkt T1+30 Minuten eine DNS-Abfrage exampledomain.com gesendet. Die DNS-Firewall sendet keine Warnung und blockiert kein Ereignis, da es sich um ein wiederholtes Ereignis innerhalb des 6-Stunden-Fensters handelt.

  3. Die Instanz i-123 hat zum Zeitpunkt T1+7 Stunden eine DNS-Abfrage exampledomain.com gesendet. Die DNS-Firewall sendet eine Warnung oder ein Blockierungsereignis, wenn dieses Ereignis außerhalb des 6-Stunden-Fensters auftritt.

Weitere Informationen zum Schreiben von Ereignismustern finden Sie unter Ereignismuster im EventBridge Benutzerhandbuch.

Testen von Ereignismustern für DNS-Firewall-Ereignisse in EventBridge

Sie können die EventBridge Sandbox verwenden, um schnell ein Ereignismuster zu definieren und zu testen, ohne den größeren Prozess der Erstellung oder Bearbeitung einer Regel abschließen zu müssen. Mithilfe der Sandbox können Sie ein Ereignismuster definieren und anhand eines Beispielereignisses überprüfen, ob das Muster mit den gewünschten Ereignissen übereinstimmt. EventBridge bieten Ihnen die Möglichkeit, anhand dieses Ereignismusters direkt in der Sandbox eine neue Regel zu erstellen.

Weitere Informationen finden Sie unter Testen eines Ereignismusters mithilfe der EventBridge Sandbox im EventBridge Benutzerhandbuch.

Eine EventBridge Regel und ein Ziel für die DNS-Firewall erstellen

Das folgende Verfahren zeigt Ihnen, wie Sie eine Regel erstellen, die das Senden von Ereignissen für alle Warnungs- und Blockierungsaktionen der DNS-Firewall ermöglicht EventBridge , und wie Sie eine AWS Lambda Funktion als Ziel für die Regel hinzufügen.

  1. Verwenden Sie AWS CLI , um eine EventBridge Regel zu erstellen:

    aws events put-rule \
--event-pattern "{\"source\":
[\"aws.route53resolver\"],\"detail-type\":
[\"DNS Firewall Block\", \"DNS Firewall Alert\"]}" \
--name dns-firewall-rule

  2. Hängen Sie eine Lambda-Funktion als Ziel für die Regel an:

    AWS events put-targets --rule dns-firewall-rule --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:<your_function>

  3. Führen Sie den folgenden AWS CLI Lambda-Befehl aus, um die zum Aufrufen des Ziels erforderlichen Berechtigungen hinzuzufügen:

    AWS lambda add-permission --function-name <your_function> --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com

Amazon EventBridge Berechtigungen

Für die DNS-Firewall sind keine zusätzlichen Berechtigungen für die Übermittlung von Ereignissen erforderlich Amazon EventBridge.

Für die von Ihnen angegebenen Ziele sind möglicherweise bestimmte Berechtigungen oder Konfigurationen erforderlich. Weitere Informationen zur Verwendung bestimmter Dienste für Amazon EventBridge Ziele finden Sie im Amazon EventBridge Benutzerhandbuch unter Ziele.

Zusätzliche EventBridge Ressourcen

Weitere Informationen zur Verarbeitung und Verwaltung von Ereignissen finden Sie EventBridge in den folgenden Themen im Amazon EventBridge Benutzerhandbuch.

  • Ausführliche Informationen zur Funktionsweise von Eventbussen finden Sie unter Amazon EventBridge Event-Bus.

  • Informationen zur Veranstaltungsstruktur finden Sie unter Ereignisse.

  • Informationen zur Erstellung von Ereignismustern für EventBridge den Abgleich von Ereignissen mit Regeln finden Sie unter Ereignismuster.

  • Informationen zum Erstellen von Regeln, mit denen angegeben wird, welche Ereignisse EventBridge verarbeitet werden, finden Sie unter Regeln.

  • Informationen zur Angabe, an welche Dienste oder andere Ziele EventBridge übereinstimmende Ereignisse senden, finden Sie unter Ziele.