Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWSSupport-ConfigureDNSQueryLogging
Descripción
El manual de procedimientos AWSSupport-ConfigureDNSQueryLogging configura el registro de las consultas de DNS que se originan en su nube privada virtual (VPC) o en las zonas alojadas de Amazon Route 53. Puede optar por publicar los registros de consultas en Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) o Amazon Data Firehose. Para obtener más información sobre el registro de consultas y el solucionador de registros de consultas, consulte Registro de consultas de DNS público y Solucionador de registro de consultas .
Ejecuta esta automatización (consola)
Tipo de documento
Automatización
Propietario
Amazon
Plataformas
Linux, macOS, Windows
Parámetros
-
AutomationAssumeRole
Tipo: cadena
Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.
-
LogDestinationArn
Tipo: cadena
Descripción: (opcional) El ARN del grupo CloudWatch Logs, el bucket de Amazon S3 o la transmisión Firehose a los que desea enviar los registros de consultas. Tenga en cuenta que el registro de consultas de DNS público de Route 53 solo admite grupos de CloudWatch registros. Si no especifica un valor para este parámetro, la automatización crea un grupo de CloudWatch registros con el formato
AWSSupport-ConfigureDNSQueryLogging-{automation:y una política de recursos de IAM para publicar los registros de consultas. El grupo de CloudWatch registros creado por la automatización tiene un período de retención de 14 días.EXECUTION_ID} -
QueryLogTipo
Tipo: cadena
Descripción: (opcional) los tipos de consultas que desea registrar.
Valores válidos: Public | Resolver/Private
Predeterminado: Public
-
ResourceId
Tipo: cadena
Descripción: (obligatorio) el ID del recurso cuyas consultas desea registrar. Si especifica
Publicpara el parámetroQueryLogType, el recurso debe ser el ID de una zona alojada privada de Route 53. Si especificaResolver/Privatepara el parámetroQueryLogType, el recurso debe ser el ID de una VPC.
Permisos de IAM necesarios
El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.
-
ec2:DescribeVpcs -
firehose:ListTagsForDeliveryStream -
firehose:PutRecord -
firehose:PutRecordBatch -
firehose:TagDeliveryStream -
iam:AttachRolePolicy -
iam:CreatePolicy -
iam:CreateRole -
iam:CreateServiceLinkedRole -
iam:DeletePolicy -
iam:DeleteRole -
iam:DeleteRolePolicy -
iam:GetPolicy -
iam:GetRole -
iam:PassRole -
iam:PutRolePolicy -
iam:TagRole -
iam:UpdateRole -
logs:CreateLogDelivery -
logs:CreateLogGroup -
logs:DeleteLogDelivery -
logs:DeleteLogGroup -
logs:DescribeLogGroups -
logs:DescribeLogStreams -
logs:DescribeResourcePolicies -
logs:ListLogDeliveries -
logs:PutResourcePolicy -
logs:PutRetentionPolicy -
logs:UpdateLogDelivery -
route53:CreateQueryLoggingConfig -
route53:DeleteQueryLoggingConfig -
route53:GetHostedZone -
route53resolver:AssociateResolverQueryLogConfig -
route53resolver:CreateResolverQueryLogConfig -
route53resolver:DeleteResolverQueryLogConfig -
s3:GetBucketAcl
Pasos de documentos
-
aws:executeScript: verifica que el recurso que especificó para el parámetroResourceIdexiste y comprueba si el tipo de recurso coincide con la opción requeridaQueryLogType. -
aws:executeScript: comprueba que el valor especificado para el parámetroLogDestinationArncoincide con elQueryLogTyperequerido. -
aws:executeScript- Verifica los permisos necesarios para que Route 53 publique registros en el grupo de CloudWatch registros y crea la política de recursos de IAM requerida si no existe. -
aws:executeScript: habilita el registro de consulta de DNS en el destino seleccionado.
