Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWSSupport-ConfigureDNSQueryLogging
Description
Le AWSSupport-ConfigureDNSQueryLogging runbook configure la journalisation des DNS requêtes provenant de votre cloud privé virtuel (VPC) ou des zones hébergées sur Amazon Route 53. Vous pouvez choisir de publier les journaux de requêtes sur Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) ou Amazon Data Firehose. Pour plus d'informations sur la journalisation des requêtes et les journaux des requêtes du résolveur, voir Journalisation des DNSrequêtes publiques et Journalisation des requêtes du résolveur.
Exécuter cette automatisation (console)
Type de document
Automatisation
Propriétaire
Amazon
Plateformes
LinuxmacOS, Windows
Paramètres
-
AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
-
LogDestinationArn
Type : String
Description : (Facultatif) Le groupe ARN de CloudWatch journaux, le bucket Amazon S3 ou le flux Firehose auxquels vous souhaitez envoyer les journaux de requêtes. Notez que la journalisation des DNS requêtes publiques Route 53 ne prend en charge que CloudWatch les groupes de journaux. Si vous ne spécifiez aucune valeur pour ce paramètre, l'automatisation crée un groupe de CloudWatch journaux au format
AWSSupport-ConfigureDNSQueryLogging-{automation:et une politique de IAM ressources pour publier les journaux de requêtes. Le groupe CloudWatch Logs créé par l'automatisation a une période de conservation de 14 jours.EXECUTION_ID} -
QueryLogType
Type : String
Description : (Facultatif) Les types de requêtes que vous souhaitez enregistrer.
Valeurs valides : Public | Résolveur/Privé
Par défaut : Public
-
ResourceId
Type : String
Description : (Obligatoire) L'ID de la ressource dont vous souhaitez enregistrer les requêtes. Si vous spécifiez
PublicleQueryLogTypeparamètre, la ressource doit être l'ID d'une zone hébergée privée Route 53. Si vous spécifiezResolver/PrivateleQueryLogTypeparamètre, la ressource doit être l'ID d'unVPC.
IAMAutorisations requises
Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
-
ec2:DescribeVpcs -
firehose:ListTagsForDeliveryStream -
firehose:PutRecord -
firehose:PutRecordBatch -
firehose:TagDeliveryStream -
iam:AttachRolePolicy -
iam:CreatePolicy -
iam:CreateRole -
iam:CreateServiceLinkedRole -
iam:DeletePolicy -
iam:DeleteRole -
iam:DeleteRolePolicy -
iam:GetPolicy -
iam:GetRole -
iam:PassRole -
iam:PutRolePolicy -
iam:TagRole -
iam:UpdateRole -
logs:CreateLogDelivery -
logs:CreateLogGroup -
logs:DeleteLogDelivery -
logs:DeleteLogGroup -
logs:DescribeLogGroups -
logs:DescribeLogStreams -
logs:DescribeResourcePolicies -
logs:ListLogDeliveries -
logs:PutResourcePolicy -
logs:PutRetentionPolicy -
logs:UpdateLogDelivery -
route53:CreateQueryLoggingConfig -
route53:DeleteQueryLoggingConfig -
route53:GetHostedZone -
route53resolver:AssociateResolverQueryLogConfig -
route53resolver:CreateResolverQueryLogConfig -
route53resolver:DeleteResolverQueryLogConfig -
s3:GetBucketAcl
Étapes de document
-
aws:executeScript- Vérifie que la ressource que vous spécifiez pour leResourceIdparamètre existe et vérifie si le type de ressource correspond à l'QueryLogTypeoption requise. -
aws:executeScript- Vérifie que la valeur que vous spécifiez pour leLogDestinationArnparamètre correspond à la valeur requise.QueryLogType -
aws:executeScript- Vérifie les autorisations requises pour que Route 53 publie des journaux dans le groupe de CloudWatch journaux Logs et crée la politique de IAM ressources requise si elle n'existe pas. -
aws:executeScript- Active l'enregistrement des DNS requêtes sur la destination sélectionnée.
