Comment puis-je identifier et résoudre les contrôles d’intégrité indésirables liés à Route 53 ?

Brève description

Lorsque vous associez des contrôles d’intégrité à un point de terminaison, Amazon Route 53 envoie des demandes de contrôle d’intégrité à l’adresse IP du point de terminaison. Ces contrôles d’intégrité confirment que les adresses IP des points de terminaison fonctionnent comme prévu. Un problème peut survenir si une adresse IP incorrecte est spécifiée ou si un contrôle d’intégrité n'est pas mis à jour ou supprimé si nécessaire.

Résolution

Identifier la source des demandes indésirables

1.    Utilisez les plages d'adresses IP Route 53 pour trouver l'adresse IP source de la demande indésirable. Pour en savoir plus, consultez ROUTE53_HEALTHCHECKS dans les plages d’adresses IP des serveurs Route 53.

2.    Consultez les journaux du serveur d'applications pour déterminer si les serveurs de contrôles d’intégrité de Route 53 ont envoyé la demande. Lors des contrôles d’intégrité, les occurrences de Route 53 définissent l'en-tête HTTP suivant :

"Amazon-Route53-Health-Check-Service (ref <reference ID/ b5996862-d894-4595-88da-7940808e9665>; report http://amzn.to/1vsZADi)"

Exemple de journal d'accès à l’Application Load Balancer :

http 2020-05-12T14:14:25.000265Z app/myapplicationloadbalancer 54.241.32.97:49816 10.0.3.64:80 -1 -1 -1 502 - 241 288 "GET http:// <ALB DNS NAME>:80/ HTTP/1.1" "Amazon-Route53-Health-Check-Service (ref b5996862-d894-4595-88da-7940808e9665; report http://amzn.to/1vsZADi)" - - arn:aws:elasticloadbalancing:us-east-1:<account ID>:targetgroup/mytargetgroup

Exemple de journal d'accès Microsoft Internet Information Services (IIS) :

Amazon+Route+53+Health+Check+Service;+ref:b5996862-d894-4595-88da-7940808e9665;+report+http://amzn.to/1vsZADi

Exemple de journal d'accès à Apache :

54.228.16.1 - - [time] "GET / HTTP/1.1" 403 3839 "-" "Amazon Route 53 Health Check Service; ref:47d9bc51-39d6-4cd9-9a7f-4c981c5db165; report http://amzn.to/1vsZADi"

Exemple de journal d'accès NGINX :

NGINX access log entry: 54.232.40.80 - - [time] "GET / HTTP/1.1" 200 3770 "-" "Amazon Route 53 Health Check Service; ref:2e44063d-3b85-47c3-801e-6748cd542386; report http://amzn.to/1vsZADi" "-"

Supprimer ou bloquer la source des demandes indésirables

1.    Copiez l'identifiant du contrôle d’intégrité depuis les journaux des services de l'application.

2.    Si le contrôle d’intégrité est disponible depuis votre compte AWS, veuillez le mettre à jour pour surveiller l'adresse IP ou le nom de domaine souhaités. Ou, s'il n'est plus nécessaire, supprimez le contrôle d’intégrité.

Si le contrôle d’intégrité n'est pas disponible depuis votre compte AWS, bloquez l'adresse IP du contrôle d’intégrité. Pour bloquer l'adresse IP, utilisez des règles de pare-feu, des groupes de sécurité ou des listes de contrôle d’accès réseau (NACL).

**Important :**pour signaler un cas suspect d'utilisation abusive du contrôle d’intégrité Route 53, consultez Arrêter les contrôles d’intégrité indésirables d'Amazon Route 53.

Informations connexes

Comment puis-je arrêter les demandes de contrôle d’intégrité de Route 53 envoyées à mon application ?