Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Abfrageprotokollierung
<a name="resolver-query-logs"></a>

Sie können die folgenden DNS-Abfragen protokollieren: 
+ Abfragen, die ihren Ursprung in Amazon Virtual Private Cloud haben, VPCs die Sie angeben, sowie die Antworten auf diese DNS-Abfragen.
+ Abfragen von On-Premises-Ressourcen, die einen eingehenden Resolver-Endpunkt verwenden.
+ Abfragen, die einen ausgehenden Resolver-Endpunkt für rekursive DNS-Auflösung verwenden.
+ Abfragen, die Resolver DNS-Firewall-Regeln verwenden, um Domainlisten zu blockieren, zuzulassen oder zu überwachen.

Die VPC Resolver-Abfrageprotokolle enthalten Werte wie die folgenden:
+ Die AWS Region, in der die VPC erstellt wurde
+ Die ID des VPC, aus dem die Abfrage stammt
+ Die IP-Adresse der Instance, von der die Abfrage stammt
+ Die Instance-ID der Ressource, von der die Abfrage stammt
+ Das Datum und die Uhrzeit, als die Abfrage zum ersten Mal durchgeführt wurde
+ Der angeforderte DNS-Name (z. B. prod.example.com)
+ Der DNS-Datensatztyp (z. B. A oder AAAA)
+ Der DNS-Antwortcode, z. B. `NoError` oder `ServFail`
+ Die DNS-Antwortdaten, z. B. die IP-Adresse, die als Antwort auf die DNS-Abfrage zurückgegeben wird
+ Eine Antwort auf eine DNS-Firewall-Regelaktion

Eine detaillierte Liste aller protokollierten Werte und ein Beispiel finden Sie unter[Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen](resolver-query-logs-format.md)aus.

**Anmerkung**  
Wie bei DNS-Resolvern üblich, speichern Resolver DNS-Abfragen für einen Zeitraum im Cache, der durch die time-to-live (TTL) für den Resolver bestimmt wird. Der Route 53 VPC Resolver speichert Anfragen, die von Ihrem stammen, im Cache und beantwortet VPCs, wann immer möglich, aus dem Cache, um die Antworten zu beschleunigen. Die VPC Resolver-Abfrageprotokollierung protokolliert nur eindeutige Abfragen, keine Abfragen, auf die VPC Resolver aus dem Cache antworten kann.  
Nehmen wir beispielsweise an, dass eine EC2-Instance in einer der Instanzen, für VPCs die eine Abfrageprotokollierungskonfiguration Abfragen protokolliert, eine Anfrage an accounting.example.com sendet. VPC Resolver speichert die Antwort auf diese Abfrage im Cache und protokolliert die Abfrage. Wenn die elastic network interface derselben Instance innerhalb der TTL des VPC Resolver-Caches eine Abfrage nach accounting.example.com durchführt, antwortet VPC Resolver auf die Abfrage aus dem Cache. Die zweite Abfrage wird nicht protokolliert.

Sie können die Protokolle an eine der folgenden Ressourcen senden: AWS 
+ Amazon CloudWatch Logs (CloudWatch Logs) -Protokollgruppe
+ Amazon-S3-Bucket.
+ Firehose-Bereitstellungsdat

Weitere Informationen finden Sie unter [AWS Ressourcen, an die Sie VPC Resolver-Abfrageprotokolle senden können](resolver-query-logs-choosing-target-resource.md).

**Topics**
+ [AWS Ressourcen, an die Sie VPC Resolver-Abfrageprotokolle senden können](resolver-query-logs-choosing-target-resource.md)
+ [Konfigurationen für die Protokollierung von Resolver-Abfragen verwalten](resolver-query-logging-configurations-managing.md)

# AWS Ressourcen, an die Sie VPC Resolver-Abfrageprotokolle senden können
<a name="resolver-query-logs-choosing-target-resource"></a>

**Anmerkung**  
Wenn Sie erwarten, Abfragen für Workloads mit hohen Abfragen pro Sekunde (QPS) zu protokollieren, sollten Sie Amazon S3 verwenden, um sicherzustellen, dass Ihre Abfrageprotokolle beim Schreiben an Ihr Ziel nicht eingeschränkt werden. Wenn Sie Amazon verwenden CloudWatch, können Sie Ihr Limit für Anfragen pro Sekunde für den `PutLogEvents` Vorgang erhöhen. Weitere Informationen zur Erhöhung Ihrer CloudWatch Limits finden Sie unter [CloudWatch Log-Kontingente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) im * CloudWatch Amazon-Benutzerhandbuch*.

Sie können VPC Resolver-Abfrageprotokolle an die folgenden AWS Ressourcen senden:

**Amazon CloudWatch Logs (Amazon CloudWatch Logs) -Protokollgruppe**  
Sie können Protokolle mit Logs Insights analysieren und Metriken und Alarme erstellen.  
Weitere Informationen finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).

**Amazon-S3-Bucket.**  
Das Speichern von Protokollen in einem S3-Bucket ist bei der langfristigen Protokollarchivierung wirtschaftlich. Die Latenz ist normalerweise höher.  
Alle serverseitigen S3-Verschlüsselungsoptionen werden unterstützt. Weitere Informationen finden Sie unter [Schützen von Daten mit serverseitiger Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) im *Amazon-S3-Entwicklerhandbuch*.  
Wenn Sie sich für serverseitige Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS) entscheiden, müssen Sie die Schlüsselrichtlinie für Ihren vom Kunden verwalteten Schlüssel aktualisieren, damit das Konto für die Protokollzustellung in Ihren Amazon S3 S3-Bucket schreiben kann. Weitere Informationen zur erforderlichen Schlüsselrichtlinie für die Verwendung mit SSE-KMS finden Sie unter [serverseitige Verschlüsselung des Amazon S3 S3-Buckets](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2) im * CloudWatch Amazon-Benutzerhandbuch*.  
Wenn sich der S3-Bucket in einem Konto befindet, das Ihnen gehört, werden die erforderlichen Berechtigungen automatisch Ihrer Bucket-Richtlinie hinzugefügt. Wenn Sie Protokolle an einen S3-Bucket in einem Konto senden möchten, das Sie nicht besitzen, muss der Besitzer des S3-Buckets Berechtigungen für Ihr Konto in seiner Bucket-Richtlinie hinzufügen. Zum Beispiel:    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "CrossAccountAccess",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your_bucket_name"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "iam_user_arn_or_account_number_for_root"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::your_bucket_name"
        }
    ]
}
```
 Wenn Sie Protokolle in einem zentralen S3-Bucket für Ihre Organisation speichern möchten, sollten Sie die Konfiguration der Abfrageprotokollierung über ein zentralisiertes Konto (mit den erforderlichen Berechtigungen zum Schreiben in einen zentralen Bucket) einrichten und[RAM](query-logging-configurations-managing-sharing.md), um die Konfiguration über Konten hinweg freizugeben.
Weitere Informationen finden Sie im [Benutzerhandbuch für Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/).

**Firehose-Bereitstellungsdat**  
Sie können Protokolle in Echtzeit an Amazon OpenSearch Service, Amazon Redshift oder andere Anwendungen streamen.  
Weitere Informationen finden Sie im [Amazon Data Firehose Developer Guide](https://docs.aws.amazon.com/firehose/latest/dev/).

Informationen zu den Preisen für die Resolver-Abfrageprotokollierung finden Sie unter [ CloudWatch Amazon-Preise](https://aws.amazon.com/cloudwatch/pricing/).

CloudWatch Bei der Verwendung von VPC Resolver-Protokollen fallen Gebühren für Vending Logs an, auch wenn Protokolle direkt in Amazon S3 veröffentlicht werden. Weitere Informationen finden Sie unter [*Preise für Logs* bei Amazon CloudWatch ](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs).

# Konfigurationen für die Protokollierung von Resolver-Abfragen verwalten
<a name="resolver-query-logging-configurations-managing"></a>

## Konfiguration (VPC Resolver-Abfrageprotokollierung)
<a name="resolver-query-logs-configuring"></a>

Sie können die VPC Resolver-Abfrageprotokollierung auf zwei Arten konfigurieren:
+ **Direkte VPC-Zuordnung** — VPCs Direkter Zugriff auf eine Konfiguration zur Abfrageprotokollierung.
+ **Profilzuordnung** — Ordnen Sie eine Abfrageprotokollierungskonfiguration einem Route 53 53-Profil zu, wodurch die Protokollierung auf alle mit diesem Profil VPCs verknüpften Profile angewendet wird. Weitere Informationen finden Sie unter [Ordnen Sie die Konfigurationen der VPC Resolver-Abfrageprotokollierung einem Route 53 53-Profil zu](profile-associate-query-logging.md).

Um mit der Protokollierung von DNS-Abfragen zu beginnen, die von Ihrem stammen VPCs, führen Sie die folgenden Aufgaben in der Amazon Route 53-Konsole aus:<a name="resolver-query-logs-configuring-procedure"></a>

**So konfigurieren Sie die Protokollierung der Resolver-Abfrage**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Erweitern Sie das Route-53-Konsolenmenü. Wählen Sie oben links in der Konsole die drei horizontalen Balken (![\[Menu icon\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/images/menu-icon.png)) aus.

1. Wählen Sie im Resolver-Menü die Option **Abfrageprotokollierung**.

1. Wählen Sie in der Regionsauswahl die AWS Region aus, in der Sie die Konfiguration für die Abfrageprotokollierung erstellen möchten. Dies muss dieselbe Region sein, in der Sie die Region erstellt haben VPCs , für die Sie DNS-Abfragen protokollieren möchten. Wenn Sie VPCs in mehreren Regionen arbeiten, müssen Sie mindestens eine Konfiguration für die Abfrageprotokollierung für jede Region erstellen.

1. Wählen Sie **Konfigurieren der Abfrageprotokollierung**.

1. Geben Sie die folgenden Werte an:  
**Name der Abfrageprotokollierungskonfiguration**  
Geben Sie einen Namen für Ihre Abfrageprotokollierungskonfiguration ein. Der Name wird in der Konsole in der Liste der Konfigurationen für die Abfrageprotokollierung angezeigt. Geben Sie einen Namen ein, den Sie später bei der Suche nach dieser Konfiguration unterstützen.  
**Ziel der Abfrageprotokolle**  
Wählen Sie den AWS Ressourcentyp aus, an den VPC Resolver Abfrageprotokolle senden soll. Informationen zur Auswahl zwischen den Optionen (CloudWatch Logs-Protokollgruppe, S3-Bucket und Firehose-Lieferstream) finden Sie unter[AWS Ressourcen, an die Sie VPC Resolver-Abfrageprotokolle senden können](resolver-query-logs-choosing-target-resource.md).  
Nachdem Sie den Ressourcentyp ausgewählt haben, können Sie entweder eine weitere Ressource dieses Typs erstellen oder eine vorhandene Ressource auswählen, die mit dem aktuellen AWS Konto erstellt wurde.  
Sie können nur Ressourcen auswählen, die in der AWS -Region erstellt wurden, die Sie in Schritt 4 ausgewählt haben, der Region, in der Sie die Abfrageprotokollierungskonfiguration erstellen. Wenn Sie eine neue Ressource erstellen, wird diese Ressource in derselben Region erstellt.  
**VPCs um Abfragen zu protokollieren für**  
Bei dieser Konfiguration für die Abfrageprotokollierung werden DNS-Abfragen protokolliert, die ihren Ursprung in der VPCs von Ihnen ausgewählten Datei haben. **Aktivieren Sie das Kontrollkästchen für jede VPC in der aktuellen Region, für die VPC Resolver Abfragen protokollieren soll, und wählen Sie dann Wählen aus.**  
**Alternative**: Anstatt eine VPCs direkte Zuordnung vorzunehmen, können Sie diese Abfrageprotokollierungskonfiguration einem Route 53 53-Profil zuordnen, wodurch die Protokollierung auf alle mit diesem Profil VPCs verknüpften Daten angewendet wird. Weitere Informationen finden Sie unter [Ordnen Sie die Konfigurationen der VPC Resolver-Abfrageprotokollierung einem Route 53 53-Profil zu](profile-associate-query-logging.md).  
Die VPC Protokollzustellung kann für einen bestimmten Zieltyp nur einmal aktiviert werden. Die Protokolle können nicht an mehrere Ziele desselben Typs übermittelt werden. Beispielsweise können VPC Protokolle nicht an zwei Amazon S3 Ziele übermittelt werden.

1. Wählen Sie **Konfigurieren der Abfrageprotokollierung** aus.

**Anmerkung**  
Sie sollten innerhalb weniger Minuten nach erfolgreicher Erstellung der Konfiguration für die Abfrageprotokollierung DNS-Abfragen von Ressourcen in Ihrer VPC in den Protokollen anzeigen.

# Werte, die in den VPC Resolver-Abfrageprotokollen erscheinen
<a name="resolver-query-logs-format"></a>

Jede Protokolldatei enthält einen einzelnen Protokolleintrag für jede DNS-Abfrage, die Amazon Route 53 von DNS-Resolvern am entsprechenden Edge-Standort erhalten hat. Jeder Protokolleintrag enthält die folgenden Werte:

**version**  
Die Versionsnummer dieses Abfrageprotokolls. Die aktuelle Version ist `1.1`.  
Der Versions-Schlüsselwert enthält eine Haupt- und eine Nebenversion im Format **major\$1version.minor\$1version**.. Sie können beispielsweise ein `version`-Wert`1.7`, wobei `1 ` die Hauptversion ist, und `7` die Nebenversion.  
Die Hauptversion wird erhöht, wenn Route 53 eine Änderung an der Ereignisstruktur vornimmt, die nicht abwärtskompatibel ist. Dies beinhaltet das Entfernen eines JSON-Feldes, das bereits vorhanden ist, oder das Ändern, wie die Inhalte eines Feldes dargestellt werden (Beispiel: ein Datumsformat).  
 Route 53 erhöht die Nebenversion, wenn eine Änderung der Protokolldatei neue Felder hinzufügt. Dies kann auftreten, wenn neue Informationen für einige oder alle vorhandenen DNS-Abfragen innerhalb einer VPC verfügbar sind. 

**account\$1id**  
Die ID des AWS Kontos, das die VPC erstellt hat.

**Region**  
Die AWS Region, in der Sie die VPC erstellt haben.

**vpc\$1id**  
Die ID der VPC, in der die Abfrage stammt.

**query\$1timestamp**  
Das Datum und die Uhrzeit, an dem/zu der auf die Anforderung geantwortet hat; im ISO 8601-Format und in koordinierter Weltzeit (Coordinated Universal Time, UTC), z. B. `2017-03-16T19:20:177Z`.   
Informationen zum ISO 8601-Format finden Sie im Wikipedia-Artikel [ISO 8601](https://en.wikipedia.org/wiki/ISO_8601). Informationen zu UTC finden Sie im Wikipedia-Artikel [Coordinated Universal Time](https://en.wikipedia.org/wiki/Coordinated_Universal_Time).

**query\$1name**  
Der Domainnamen (example.com) oder Subdomainname (www.example.com), der in der Abfrage angegeben wurde.

**query\$1type**  
Entweder der DNS-Datensatztyp, der in der Anfrage angegeben wurde, oder `ANY`. Informationen zu den von Route 53 unterstützten Typen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md).

**query\$1class**  
Die ID der Abfrage.

**rcode**  
Der DNS-Antwortcode, den VPC Resolver als Antwort auf die DNS-Anfrage zurückgegeben hat. Ein Code, der angibt, ob die Abfrage gültig war oder nicht. Der gängigste Antwortcode ist `NOERROR` und bedeutet, dass die Abfrage gültig war. Wenn die Antwort nicht gültig ist, gibt Resolver einen Antwortcode mit Erklärung aus. Eine Liste möglicher Antwortcodes finden Sie unter [DNS RCODEs](https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6) auf der IANA-Website.

**Antwort\$1Typ**  
Der DNS-Eintragstyp (z. B. A, MX oder CNAME) des Werts, den VPC Resolver als Antwort auf die Abfrage zurückgibt. Informationen zu den von Route 53 unterstützten Typen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md).

**rdata**  
Der Wert, den VPC Resolver als Antwort auf die Abfrage zurückgegeben hat. Für einen A-Datensatz ist dies beispielsweise eine IP-Adresse im IPv4 Format. Für einen CNAME-Datensatz ist dies der Domainname im CNAME-Datensatz. 

**Antwort\$1Klasse**  
Die Klasse der VPC-Resolver-Antwort auf die Abfrage.

**srcaddr**  
IP-Adresse des Hosts, von dem die Anfrage stammt. 

**srcport**  
Der Port auf der Instance, von der die Abfrage stammt.

**Transport**  
Das Protokoll, das zum Senden der DNS-Abfrage verwendet wird.

**srcids**  
IDs von dem`instance`, und dem`resolver_endpoint`, von dem `resolver_network_interface` die DNS-Abfrage stammt oder über die die DNS-Anfrage weitergeleitet wurde.

**Instance**  
Die ID der Instance, von der die Abfrage stammt.  
 Wenn Sie in den Route 53 VPC Resolver-Abfrageprotokollen eine Instance-ID sehen, die in Ihrem Konto nicht sichtbar ist, kann das daran liegen, dass die DNS-Abfrage entweder AWS CloudShell von der Amazon EKS- oder der Fargate-Konsole stammt, die von Ihnen verwendet wurde. AWS Lambda

**resolver\$1endpoint**  
Die ID des Auflösungsendpunkts, der die DNS-Abfrage an On-Premises-DNS-Server weiterleitet.  
Wenn Sie CNAME-Einträge haben, die über verschiedene Weiterleitungsregeln mit unterschiedlichen Resolver-Endpunkten verknüpft sind, zeigen Abfrageprotokolle nur die ID des letzten Resolver-Endpunkts an, der in der Kette verwendet wurde. Um den gesamten Auflösungspfad über mehrere Endpunkte hinweg nachzuverfolgen, können Sie die Protokolle verschiedener Konfigurationen der Abfrageprotokollierung korrelieren.

**firewall\$1rule\$1group\$1id**  
Die ID des DNS-Firewall-Regelgruppe, die dem Domainnamen in der Abfrage entspricht. Diese Option wird nur aufgefüllt, wenn die DNS-Firewall eine Übereinstimmung für eine Regel gefunden hat, deren Aktion auf Warnung oder Blockierung festgelegt ist.  
Weitere Informationen zu Firewll-Regelgruppen finden Sie in der [DNS-Firewall-Regelgruppen und -Regeln](resolver-dns-firewall-rule-groups.md).

**firewall\$1rule\$1action**  
Die Aktion, die von der Regel angegeben wurde, die dem Domainnamen in der Abfrage entspricht. Diese Option wird nur aufgefüllt, wenn die DNS-Firewall eine Übereinstimmung für eine Regel gefunden hat, deren Aktion auf Warnung oder Blockierung festgelegt ist.

**Firewall\$1domain\$1list\$1id**  
Die Domainliste, die von der Regel verwendet wurde, die dem Domainnamen in der Abfrage entspricht. Diese Option wird nur aufgefüllt, wenn die DNS-Firewall eine Übereinstimmung für eine Regel gefunden hat, deren Aktion auf Warnung oder Blockierung festgelegt ist.

**additional\$1properties**  
Zusätzliche Informationen zu den Protokollübermittlungsereignissen. **is\$1delayed**: Wenn es zu einer Verzögerung bei der Übermittlung der Protokolle kommt.

# Beispiel für das Route 53 VPC Resolver-Abfrageprotokoll
<a name="resolver-query-logs-example-json"></a>

Hier ist ein Beispiel für ein Resolver-Abfrageprotokoll:

```
          
      {
        "srcaddr": "4.5.64.102",
        "vpc_id": "vpc-7example",
        "answers": [
            {
                "Rdata": "203.0.113.9",
                "Type": "PTR",
                "Class": "IN"
            }
        ],
        "firewall_rule_group_id": "rslvr-frg-01234567890abcdef",
        "firewall_rule_action": "BLOCK",
        "query_name": "15.3.4.32.in-addr.arpa.",
        "firewall_domain_list_id": "rslvr-fdl-01234567890abcdef",
        "query_class": "IN",
        "srcids": {
            "instance": "i-0d15cd0d3example"
        },
        "rcode": "NOERROR",
        "query_type": "PTR",
        "transport": "UDP",
        "version": "1.100000",
        "account_id": "111122223333",
        "srcport": "56067",
        "query_timestamp": "2021-02-04T17:51:55Z",
        "region": "us-east-1"
    }
```

# Konfiguration der Resolver-Abfrageprotokollierung mit anderen Konten teilen AWS
<a name="query-logging-configurations-managing-sharing"></a>

Sie können die Konfigurationen für die Abfrageprotokollierung, die Sie mit einem AWS Konto erstellt haben, mit anderen AWS Konten teilen. Um Konfigurationen gemeinsam zu nutzen, ist die Route 53 VPC Resolver-Konsole in AWS Resource Access Manager integriert. Weitere Informationen zu Resource Access Manager finden Sie im [Benutzerhandbuch zu Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html).

Beachten Sie Folgendes:

**Zuordnen zu gemeinsam genutzten Konfigurationen für die VPCs Abfrageprotokollierung**  
Wenn ein anderes AWS Konto eine oder mehrere Konfigurationen mit Ihrem Konto gemeinsam genutzt hat, können Sie sie auf dieselbe Weise VPCs mit der Konfiguration verknüpfen, wie Sie sie VPCs mit Konfigurationen verknüpfen, die Sie erstellt haben.

**Löschen oder Aufheben der Freigabe einer Konfiguration**  
Wenn Sie eine Konfiguration mit anderen Konten teilen und dann entweder die Konfiguration löschen oder die gemeinsame Nutzung beenden und wenn eine oder mehrere mit der Konfiguration verknüpft VPCs waren, beendet Route 53 VPC Resolver die Protokollierung von DNS-Abfragen, die ihren Ursprung in diesen Konten haben. VPCs

**Maximale Anzahl von Konfigurationen für die Abfrageprotokollierung VPCs , die einer Konfiguration zugeordnet werden können**  
Wenn ein Konto eine Konfiguration erstellt und sie mit einem oder mehreren anderen Konten gemeinsam nutzt, wird die maximale Anzahl davon VPCs , die der Konfiguration zugeordnet werden kann, pro Konto angewendet. Wenn Sie beispielsweise 10.000 Konten in Ihrer Organisation haben, können Sie die Konfiguration für die Abfrageprotokollierung im zentralen Konto erstellen und sie über teilen, AWS RAM um sie für die Organisationskonten freizugeben. Die Organisationskonten verknüpfen die Konfiguration dann damit, dass sie sie VPCs anhand der VPC-Zuordnungen für die Abfrageprotokollkonfiguration ihres Kontos pro AWS-Region Limit von 100 zählen. Wenn sich jedoch alle in einem einzigen Konto VPCs befinden, müssen die Dienstlimits des Kontos möglicherweise erhöht werden.  
Aktuelle VPC-Resolver-Kontingente finden Sie unter. [Kontingente auf Route 53 VPC Resolver](DNSLimitations.md#limits-api-entities-resolver)

**Berechtigungen**  
Um eine Regel mit einem anderen AWS Konto zu teilen, benötigen Sie die Berechtigung, die [PutResolverQueryLogConfigPolicy](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53resolver_PutResolverQueryLogConfigPolicy.html)Aktion zu verwenden.

**Einschränkungen für das AWS Konto, mit dem eine Regel geteilt wird**  
Das Konto, für das eine Regel freigegeben werden, kann die Regel nicht ändern oder löschen. 

**Tagging**  
Nur das Konto, das eine Regel erstellt hat, kann Tags zu dieser hinzufügen, löschen oder anzeigen.

Führen Sie die folgenden Schritte aus, um den aktuellen Freigabestatus einer Regel (einschließlich des Kontos, das die Regel freigegeben hat, oder des Kontos, für das eine Regel freigegeben wurde) anzuzeigen und um Regeln für ein anderes Konto freizugeben.<a name="resolver-rules-managing-sharing-procedure"></a>

**Um den Freigabestatus anzuzeigen und Konfigurationen für die Abfrageprotokollierung mit einem anderen AWS Konto zu teilen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Wählen Sie im Navigationsbereich die Option **Query Editor (Abfrage-Editor)** aus.

1. Wählen Sie in der Navigationsleiste die Region aus, in der Sie die Regel erstellt haben.

   Die Spalte **Sharing status (Freigabestatus)** zeigt den aktuellen Freigabestatus der Regeln, die von dem aktuellen Konto erstellt wurden oder die für das aktuelle Konto freigegeben wurden:
   + **Nicht geteilt**: Das aktuelle AWS Konto hat die Regel erstellt, und die Regel wird nicht mit anderen Konten geteilt.
   + **Shared by me (Von mir freigegeben)**: Das aktuelle Konto hat die Regel erstellt und für ein oder mehrere Konten freigegeben.
   + **Shared with me (Für mich freigegeben)**: Ein anderes Konto hat die Regel erstellt und für das aktuelle Konto freigegeben.

1. Wählen Sie den Namen der Regel, für die Sie Freigabeinformationen anzeigen möchten oder die Sie für ein anderes Konto freigeben möchten.

   Auf der *rule name* Seite **Regel:** zeigt der Wert unter **Besitzer** die ID des Kontos an, mit dem die Regel erstellt wurde. Dies ist das aktuelle Konto, sofern der Wert unter **Sharing Status (Freigabestatus)** nicht **Shared with me (Für mich freigegeben)** lautet. In diesem Fall handelt es sich bei **Owner (Eigentümer)** um das Konto, das die Regel erstellt und für das aktuelle Konto freigegeben hat.

   Der Freigabestatus wird ebenfalls angezeigt.

1. Wählen Sie **Konfiguration teilen**, um die AWS RAM Konsole zu öffnen

1. Um eine Ressourcenfreigabe zu erstellen, folgen Sie den Schritten [unter Erstellen einer Ressourcenfreigabe AWS RAM im AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *Benutzerhandbuch*.
**Anmerkung**  
Sie können keine Freigabeeinstellungen aktualisieren. Wenn Sie eine der folgenden Einstellungen ändern möchten, müssen Sie eine Regel mit den neuen Einstellungen freigeben und die alten Freigabeeinstellungen anschließend entfernen.