Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWSSupport-ConfigureDNSQueryLogging
Descripción
El AWSSupport-ConfigureDNSQueryLogging runbook configura el registro de DNS las consultas que se originan en su nube privada virtual (VPC) o en las zonas alojadas en Amazon Route 53. Puede optar por publicar los registros de consultas en Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) o Amazon Data Firehose. Para obtener más información sobre el registro de consultas y los registros de consultas de Resolver, consulte Registro público de DNS consultas y Registro de consultas de Resolver.
Ejecuta esta automatización (consola)
Tipo de documento
Automatización
Propietario
Amazon
Plataformas
Linux, macOS, Windows
Parámetros
-
AutomationAssumeRole
Tipo: cadena
Descripción: (opcional) El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.
-
LogDestinationArn
Tipo: cadena
Descripción: (opcional) El grupo CloudWatch Logs, el bucket ARN de Amazon S3 o la transmisión Firehose a los que desee enviar los registros de consultas. Tenga en cuenta que el registro público de DNS consultas de Route 53 solo admite grupos CloudWatch de registros. Si no especifica un valor para este parámetro, la automatización crea un grupo de CloudWatch registros con el formato
AWSSupport-ConfigureDNSQueryLogging-{automation:y una política de IAM recursos para publicar los registros de consultas. El grupo de CloudWatch registros creado por la automatización tiene un período de retención de 14 días.EXECUTION_ID} -
QueryLogType
Tipo: cadena
Descripción: (opcional) los tipos de consultas que desea registrar.
Valores válidos: Public | Resolver/Private
Predeterminado: Public
-
ResourceId
Tipo: cadena
Descripción: (obligatorio) el ID del recurso cuyas consultas desea registrar. Si especifica
Publicpara el parámetroQueryLogType, el recurso debe ser el ID de una zona alojada privada de Route 53. Si especificasResolver/PrivateelQueryLogTypeparámetro, el recurso debe ser el ID de unVPC.
IAMPermisos necesarios
El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.
-
ec2:DescribeVpcs -
firehose:ListTagsForDeliveryStream -
firehose:PutRecord -
firehose:PutRecordBatch -
firehose:TagDeliveryStream -
iam:AttachRolePolicy -
iam:CreatePolicy -
iam:CreateRole -
iam:CreateServiceLinkedRole -
iam:DeletePolicy -
iam:DeleteRole -
iam:DeleteRolePolicy -
iam:GetPolicy -
iam:GetRole -
iam:PassRole -
iam:PutRolePolicy -
iam:TagRole -
iam:UpdateRole -
logs:CreateLogDelivery -
logs:CreateLogGroup -
logs:DeleteLogDelivery -
logs:DeleteLogGroup -
logs:DescribeLogGroups -
logs:DescribeLogStreams -
logs:DescribeResourcePolicies -
logs:ListLogDeliveries -
logs:PutResourcePolicy -
logs:PutRetentionPolicy -
logs:UpdateLogDelivery -
route53:CreateQueryLoggingConfig -
route53:DeleteQueryLoggingConfig -
route53:GetHostedZone -
route53resolver:AssociateResolverQueryLogConfig -
route53resolver:CreateResolverQueryLogConfig -
route53resolver:DeleteResolverQueryLogConfig -
s3:GetBucketAcl
Pasos de documentos
-
aws:executeScript: verifica que el recurso que especificó para el parámetroResourceIdexiste y comprueba si el tipo de recurso coincide con la opción requeridaQueryLogType. -
aws:executeScript: comprueba que el valor especificado para el parámetroLogDestinationArncoincide con elQueryLogTyperequerido. -
aws:executeScript- Verifica los permisos necesarios para que Route 53 publique registros en el grupo de CloudWatch registros y crea la política de IAM recursos requerida si no existe. -
aws:executeScript- Habilita el registro de DNS consultas en el destino seleccionado.
