Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWSSupport-ConfigureDNSQueryLogging
Descripción
El manual de procedimientos AWSSupport-ConfigureDNSQueryLogging
configura el registro de las consultas de DNS que se originan en su nube privada virtual (VPC) o en las zonas alojadas de Amazon Route 53. Puede optar por publicar los registros de consultas en Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) o Amazon Data Firehose. Para obtener más información sobre el registro de consultas y el solucionador de registros de consultas, consulte Registro de consultas de DNS público y Solucionador de registro de consultas .
Ejecuta esta automatización (consola)
Tipo de documento
Automatización
Propietario
Amazon
Plataformas
Linux, macOS, Windows
Parámetros
-
AutomationAssumeRole
Tipo: cadena
Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.
-
LogDestinationArn
Tipo: cadena
Descripción: (opcional) El ARN del grupo CloudWatch Logs, el bucket de Amazon S3 o la transmisión Firehose a los que desea enviar los registros de consultas. Tenga en cuenta que el registro de consultas de DNS público de Route 53 solo admite grupos de CloudWatch registros. Si no especifica un valor para este parámetro, la automatización crea un grupo de CloudWatch registros con el formato
AWSSupport-ConfigureDNSQueryLogging-{automation:
y una política de recursos de IAM para publicar los registros de consultas. El grupo de CloudWatch registros creado por la automatización tiene un período de retención de 14 días.EXECUTION_ID
} -
QueryLogTipo
Tipo: cadena
Descripción: (opcional) los tipos de consultas que desea registrar.
Valores válidos: Public | Resolver/Private
Predeterminado: Public
-
ResourceId
Tipo: cadena
Descripción: (obligatorio) el ID del recurso cuyas consultas desea registrar. Si especifica
Public
para el parámetroQueryLogType
, el recurso debe ser el ID de una zona alojada privada de Route 53. Si especificaResolver/Private
para el parámetroQueryLogType
, el recurso debe ser el ID de una VPC.
Permisos de IAM necesarios
El parámetro AutomationAssumeRole
requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.
-
ec2:DescribeVpcs
-
firehose:ListTagsForDeliveryStream
-
firehose:PutRecord
-
firehose:PutRecordBatch
-
firehose:TagDeliveryStream
-
iam:AttachRolePolicy
-
iam:CreatePolicy
-
iam:CreateRole
-
iam:CreateServiceLinkedRole
-
iam:DeletePolicy
-
iam:DeleteRole
-
iam:DeleteRolePolicy
-
iam:GetPolicy
-
iam:GetRole
-
iam:PassRole
-
iam:PutRolePolicy
-
iam:TagRole
-
iam:UpdateRole
-
logs:CreateLogDelivery
-
logs:CreateLogGroup
-
logs:DeleteLogDelivery
-
logs:DeleteLogGroup
-
logs:DescribeLogGroups
-
logs:DescribeLogStreams
-
logs:DescribeResourcePolicies
-
logs:ListLogDeliveries
-
logs:PutResourcePolicy
-
logs:PutRetentionPolicy
-
logs:UpdateLogDelivery
-
route53:CreateQueryLoggingConfig
-
route53:DeleteQueryLoggingConfig
-
route53:GetHostedZone
-
route53resolver:AssociateResolverQueryLogConfig
-
route53resolver:CreateResolverQueryLogConfig
-
route53resolver:DeleteResolverQueryLogConfig
-
s3:GetBucketAcl
Pasos de documentos
-
aws:executeScript
: verifica que el recurso que especificó para el parámetroResourceId
existe y comprueba si el tipo de recurso coincide con la opción requeridaQueryLogType
. -
aws:executeScript
: comprueba que el valor especificado para el parámetroLogDestinationArn
coincide con elQueryLogType
requerido. -
aws:executeScript
- Verifica los permisos necesarios para que Route 53 publique registros en el grupo de CloudWatch registros y crea la política de recursos de IAM requerida si no existe. -
aws:executeScript
: habilita el registro de consulta de DNS en el destino seleccionado.