您是否可以对 Route53 进行审核,以查看 DNS 记录中发生了哪些更改?您是否可以使用 IAM 阻止对 route53 的访问?我之所以问这个问题,是因为一年前这是不可能的。
答案1
您能否对 Route53 执行审核以查看 DNS 记录中发生了哪些变化?
如果你的意思是谁改变了什么, 您可以使用
云踪(它记录所有 AWS 服务的所有内容):http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/logging-using-cloudtrail.html
AWS Config:https://aws.amazon.com/config/
如果你只是想检查发生了什么变化您可以使用以下任一方式运行测试:
AWS CLI 或控制台:https://www.cloudconformity.com/conformity-rules/Route53/sender-policy-framework-record-present.html
CLI53 工具:https://github.com/barnybug/cli53
答案2
是的,您可以提供排除 Route53 的 IAM 策略。
不,我不知道有任何内置审计功能。不过,您可以通过 API 设置某些功能,定期导出记录并审计您这边的更改。