AWSSupport-ConfigureDNSQueryLogging - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-ConfigureDNSQueryLogging

Beschreibung

Das AWSSupport-ConfigureDNSQueryLogging Runbook konfiguriert die Protokollierung für DNS Abfragen, die ihren Ursprung in Ihrer Virtual Private Cloud (VPC) haben, oder für gehostete Zonen von Amazon Route 53. Sie können wählen, ob Sie Abfrageprotokolle in Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) oder Amazon Data Firehose veröffentlichen möchten. Weitere Informationen zur Abfrageprotokollierung und Resolver-Abfrageprotokollen finden Sie unter Öffentliche Abfrageprotokollierung und DNS Resolver-Abfrageprotokollierung.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

Linux, macOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der Rolle AWS Identity and Access Management (IAM), der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • LogDestinationArn

    Typ: Zeichenfolge

    Beschreibung: (Optional) Die ARN CloudWatch Logs-Gruppe, den Amazon S3 S3-Bucket oder den Firehose-Stream, an den Sie Abfrageprotokolle senden möchten. Beachten Sie, dass die öffentliche DNS Abfrageprotokollierung auf Route 53 nur CloudWatch Logs-Gruppen unterstützt. Wenn Sie keinen Wert für diesen Parameter angeben, erstellt die Automatisierung eine CloudWatch Protokollgruppe mit dem Format AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } und einer IAM Ressourcenrichtlinie für die Veröffentlichung der Abfrageprotokolle. Die durch die Automatisierung erstellte CloudWatch Protokollgruppe hat eine Aufbewahrungsfrist von 14 Tagen.

  • QueryLogType

    Typ: Zeichenfolge

    Beschreibung: (Optional) Die Arten von Abfragen, die Sie protokollieren möchten.

    Gültige Werte: Public | Resolver/Private

    Standard: Öffentlich

  • ResourceId

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die ID der Ressource, deren Abfragen Sie protokollieren möchten. Wenn Sie Public für den QueryLogType Parameter angeben, muss es sich bei der Ressource um die ID einer privaten gehosteten Route 53-Zone handeln. Wenn Sie Resolver/Private für den QueryLogType Parameter angeben, muss die Ressource die ID einer seinVPC.

Erforderliche IAM Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ec2:DescribeVpcs

  • firehose:ListTagsForDeliveryStream

  • firehose:PutRecord

  • firehose:PutRecordBatch

  • firehose:TagDeliveryStream

  • iam:AttachRolePolicy

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:CreateServiceLinkedRole

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:TagRole

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:DescribeResourcePolicies

  • logs:ListLogDeliveries

  • logs:PutResourcePolicy

  • logs:PutRetentionPolicy

  • logs:UpdateLogDelivery

  • route53:CreateQueryLoggingConfig

  • route53:DeleteQueryLoggingConfig

  • route53:GetHostedZone

  • route53resolver:AssociateResolverQueryLogConfig

  • route53resolver:CreateResolverQueryLogConfig

  • route53resolver:DeleteResolverQueryLogConfig

  • s3:GetBucketAcl

Dokumentschritte

  • aws:executeScript- Überprüft, ob die Ressource, die Sie für den ResourceId Parameter angeben, vorhanden ist, und prüft, ob der Ressourcentyp der erforderlichen QueryLogType Option entspricht.

  • aws:executeScript- Überprüft, ob der Wert, den Sie für den LogDestinationArn Parameter angeben, dem erforderlichen Wert entspricht. QueryLogType

  • aws:executeScript- Überprüft die erforderlichen Berechtigungen für Route 53, um Protokolle in der Protokollgruppe CloudWatch Logs zu veröffentlichen, und erstellt die erforderliche IAM Ressourcenrichtlinie, falls diese nicht vorhanden ist.

  • aws:executeScript- Aktiviert die DNS Abfrageprotokollierung am ausgewählten Ziel.