を使用したリゾルバー DNS ファイアウォールイベントの管理 Amazon EventBridge - Amazon Route 53
リゾルバー DNS ファイアウォールイベントDNS ファイアウォールイベントの送信権限その他のリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用したリゾルバー DNS ファイアウォールイベントの管理 Amazon EventBridge

Amazon EventBridge は、イベントを使用してアプリケーションコンポーネントを接続するサーバーレスサービスであり、スケーラブルなイベント駆動型アプリケーションを簡単に構築できます。イベント駆動型アーキテクチャとは、イベントの発信と応答によって連携する、疎結合のソフトウェアシステムを構築するスタイルです。イベントとは、リソースまたは環境で発生した変更を指します。

多くの AWS サービスと同様に、DNS Firewall はイベントを生成してデフォルトのイベントバスに送信します EventBridge 。(デフォルトのイベントバスは、すべての AWS アカウントで自動的にプロビジョニングされます)。イベントバスは、イベントを受信して、ゼロ個以上の送信先 (ターゲット) に配信するルーターです。イベントが受信されると、ユーザーがイベントバスに対して指定したルールによって評価されます。各ルールは、イベントがルールのイベントパターンに一致するかどうかをチェックします。一致する場合、イベントバスはそのイベントを指定されたターゲットに送信します。

AWS サービスは EventBridge 、デフォルトのイベントバスにイベントを送信します。イベントがルールのイベントパターンと一致する場合、 はそのルールに指定されたターゲットにイベント EventBridge を送信します。
トピック

リゾルバー DNS ファイアウォールイベント

VPC Resolver は、DNS Firewall イベントをデフォルトの EventBridge イベントバスに自動的に送信します。イベントバスにルールを作成できます。各ルールには、イベントパターンと 1 つ以上のターゲットが含まれます。ルールのイベントパターンに一致するイベントは、ベストエフォートベースで指定されたターゲットに配信されます。イベントは順序どおりに配信される可能性があります。

次のイベントは DNS ファイアウォールによって生成されます。詳細については、「Amazon EventBridge  ユーザーガイド」の「EventBridge」を参照してください。

イベントの詳細のタイプ 説明

DNS ファイアウォールブロック

ドメインに対して実行されるブロックアクション。

DNS ファイアウォールアラート

ドメインに対して実行されるアラートアクション。

EventBridge ルールを使用したリゾルバー DNS ファイアウォールイベントの送信

EventBridge デフォルトのイベントバスが DNS Firewall イベントをターゲットに送信するには、目的の DNS Firewall イベントのデータと一致するイベントパターンを含むルールを作成する必要があります。

ルールの作成ステップは以下のとおりです。

  1. 以下を指定するルールのイベントパターンを作成します。

    • VPC Resolver は、ルールによって評価されるイベントのソースです。

    • (オプション): 照合対象となるその他のイベントデータ。

    詳細については、Resolver DNS Firewall イベントのイベントパターンの作成を参照してください。

  2. (オプション): がルールのターゲットに情報を EventBridge 渡す前に、イベントからのデータをカスタマイズする入力トランスフォーマーを作成します。

    詳細については、「EventBridge ユーザーガイド」の「入力変換」を参照してください。

  3. イベントパターンに一致するイベント EventBridge を配信するターゲット (複数可) を指定します。

    ターゲットは、他の AWS サービス、software-as-a-service (SaaS) アプリケーション、API 送信先、またはその他のカスタムエンドポイントです。詳細については、EventBridge ユーザーガイドターゲットを参照してください。

イベントバスルールの詳細な作成方法については、「EventBridge ユーザーガイド」の「イベントに反応するルールの作成」を参照してください。

Resolver DNS Firewall イベントのイベントパターンの作成

DNS Firewall がデフォルトのイベントバスにイベントを配信すると、 は各ルールに定義されたイベントパターン EventBridge を使用して、イベントをルールのターゲット (複数可) に配信するかどうかを決定します。イベントパターンは、目的の DNS ファイアウォールイベントのデータに一致します。各イベントパターンは JSON 形式のオブジェクトで、以下が含まれています。

  • イベントを送信するサービスを識別する source 属性。DNS ファイアウォールイベントの場合、ソースは aws.route53resolver です。

  • (オプション): 照合するイベントタイプの配列を含む detail-type 属性。

  • (オプション): 照合対象となるその他のイベントデータを含む detail 属性。

例えば、次のイベントパターンは、DNS ファイアウォールからのアラートイベントとブロックイベントの両方に一致します。

{
  "source": ["aws.route53resolver"],
  "detail-type": ["DNS Firewall Block", "DNS Firewall Alert"]
}

次のイベントパターンが BLOCK アクションと一致している間:

{
  "source": ["aws.route53resolver"],
  "detail-type": ["DNS Firewall Block"]
}

DNS ファイアウォールは、6 時間以内に同じドメインに対して同じイベントを 1 回だけ送信します。例えば、次のようになります。

  1. インスタンス i-123 は、T1 に DNS クエリ exampledomain.com を送信しました。DNS ファイアウォールは、これが最初の発生であるため、アラートイベントまたはブロックイベントを送信します。

  2. インスタンス i-123 は、T1+30 分に DNS クエリ exampledomain.com を送信しました。DNS ファイアウォールは、6 時間の時間枠内に繰り返し発生するため、アラートまたはブロックイベントを送信しません。

  3. インスタンス i-123 は T1+7 時間に DNS クエリ exampledomain.com を送信しました。DNS ファイアウォールは、6 時間の時間枠外に発生したアラートイベントまたはブロックイベントを送信します。

詳細については、「EventBridge ユーザーガイド」の「イベントパターン」を参照してください。

での DNS Firewall イベントのイベントパターンのテスト EventBridge

EventBridge サンドボックスを使用すると、ルールを作成または編集する大規模なプロセスを完了することなく、イベントパターンをすばやく定義してテストできます。サンドボックスを使用すると、イベントパターンを定義し、サンプルイベントを使用して、パターンが目的のイベントと一致することを確認できます。サンドボックスから直接、そのイベントパターンを使用して新しいルールを作成するオプション EventBridge を提供します。

詳細については、 EventBridge ユーザーガイドの EventBridge 「サンドボックスを使用したイベントパターンのテスト」を参照してください。

DNS ファイアウォールの EventBridge ルールとターゲットの作成

次の手順では、EventBridge がすべての DNS Firewall アラートアクションとブロックアクションのイベントを送信できるようにするルールを作成し、ルールのターゲットとして AWS Lambda 関数を追加する方法を示します。

  1. AWS CLI を使用して EventBridge ルールを作成します。

    aws events put-rule \
--event-pattern "{\"source\":
[\"aws.route53resolver\"],\"detail-type\":
[\"DNS Firewall Block\", \"DNS Firewall Alert\"]}" \
--name dns-firewall-rule

  2. ルールのターゲットとして Lambda 関数をアタッチします。

    AWS events put-targets --rule dns-firewall-rule --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:<your_function>

  3. ターゲットの呼び出しに必要なアクセス許可を追加するには、次の Lambda AWS CLI コマンドを実行します。

    AWS lambda add-permission --function-name <your_function> --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com

Amazon EventBridge アクセス許可

DNS ファイアウォールでは、 Amazon EventBridgeにイベントを配信するために追加のアクセス許可は必要ありません。

指定するターゲットに、特定のアクセス許可または設定が必要になることがあります。ターゲットに特定のサービスを使用する方法の詳細については、「Amazon EventBridge ユーザーガイド」の「Amazon EventBridge ターゲット」を参照してください。

その他の EventBridge リソース

EventBridge を使用してイベントを処理および管理する方法の詳細については、 Amazon EventBridge ユーザーガイドの以下のトピックを参照してください。

  • イベントバスの仕組みに関する詳細は、「Amazon EventBridge イベントバス」を参照してください。

  • イベント構造については、「Amazon EventBridge イベント」を参照してください。

  • ルールとイベント EventBridge を照合するときに が使用するイベントパターンの構築については、「イベントパターン」を参照してください。

  • EventBridge が処理するイベントを指定するルールの作成方法については、「Amazon EventBridge ルール」を参照してください。

  • 一致するイベント EventBridge を送信するサービスや他の送信先を指定する方法については、「ターゲット」を参照してください。