AWSSupport-ConfigureDNSQueryLogging - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-ConfigureDNSQueryLogging

Beschreibung

Das AWSSupport-ConfigureDNSQueryLogging Runbook konfiguriert die Protokollierung für DNS-Abfragen, die ihren Ursprung in Ihrer Virtual Private Cloud (VPC) haben, oder für gehostete Zonen von Amazon Route 53. Sie können wählen, ob Sie Abfrageprotokolle in Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) oder Amazon Data Firehose veröffentlichen möchten. Weitere Informationen zur Abfrageprotokollierung und Resolver-Abfrageprotokollen finden Sie unter Öffentliche DNS-Abfrageprotokollierung und Resolver-Abfrageprotokollierung.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

Linux, macOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • LogDestinationArn

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der ARN der CloudWatch Logs-Gruppe, des Amazon S3 S3-Buckets oder des Firehose-Streams, an den Sie Abfrageprotokolle senden möchten. Beachten Sie, dass die öffentliche DNS-Abfrageprotokollierung von Route 53 nur CloudWatch Logs-Gruppen unterstützt. Wenn Sie keinen Wert für diesen Parameter angeben, erstellt die Automatisierung eine CloudWatch Logs-Gruppe mit dem Format AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } und einer IAM-Ressourcenrichtlinie zur Veröffentlichung der Abfrageprotokolle. Die durch die Automatisierung erstellte CloudWatch Protokollgruppe hat eine Aufbewahrungsfrist von 14 Tagen.

  • QueryLogType

    Typ: Zeichenfolge

    Beschreibung: (Optional) Die Arten von Abfragen, die Sie protokollieren möchten.

    Gültige Werte: Public | Resolver/Private

    Standard: Öffentlich

  • ResourceId

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die ID der Ressource, deren Abfragen Sie protokollieren möchten. Wenn Sie Public für den QueryLogType Parameter angeben, muss es sich bei der Ressource um die ID einer privaten gehosteten Route 53-Zone handeln. Wenn Sie Resolver/Private für den QueryLogType Parameter angeben, muss die Ressource die ID einer VPC sein.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ec2:DescribeVpcs

  • firehose:ListTagsForDeliveryStream

  • firehose:PutRecord

  • firehose:PutRecordBatch

  • firehose:TagDeliveryStream

  • iam:AttachRolePolicy

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:CreateServiceLinkedRole

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:TagRole

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:DescribeResourcePolicies

  • logs:ListLogDeliveries

  • logs:PutResourcePolicy

  • logs:PutRetentionPolicy

  • logs:UpdateLogDelivery

  • route53:CreateQueryLoggingConfig

  • route53:DeleteQueryLoggingConfig

  • route53:GetHostedZone

  • route53resolver:AssociateResolverQueryLogConfig

  • route53resolver:CreateResolverQueryLogConfig

  • route53resolver:DeleteResolverQueryLogConfig

  • s3:GetBucketAcl

Dokumentschritte

  • aws:executeScript- Überprüft, ob die Ressource, die Sie für den ResourceId Parameter angeben, vorhanden ist, und prüft, ob der Ressourcentyp der erforderlichen QueryLogType Option entspricht.

  • aws:executeScript- Überprüft, ob der Wert, den Sie für den LogDestinationArn Parameter angeben, dem erforderlichen Wert entspricht. QueryLogType

  • aws:executeScript- Überprüft die erforderlichen Berechtigungen für Route 53, um Protokolle in der Protokollgruppe CloudWatch Logs zu veröffentlichen, und erstellt die erforderliche IAM-Ressourcenrichtlinie, falls diese nicht vorhanden ist.

  • aws:executeScript- Aktiviert die DNS-Abfrageprotokollierung am ausgewählten Ziel.