Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWSSupport-ConfigureDNSQueryLogging
Descrizione
Il AWSSupport-ConfigureDNSQueryLogging runbook configura la registrazione per le query DNS che provengono dal tuo cloud privato virtuale (VPC) o per le zone ospitate di Amazon Route 53. Puoi scegliere di pubblicare i log delle query su Amazon Logs, Amazon CloudWatch Simple Storage Service (Amazon S3) o Amazon Data Firehose. Per ulteriori informazioni sulla registrazione delle query e sui log delle query con resolver, consulta Public DNS query logging e Resolver query logging.
Esegui questa automazione (console)
Tipo di documento
Automazione
Proprietario
Amazon
Piattaforme
LinuxmacOS, Windows
Parametri
-
AutomationAssumeRole
Tipo: stringa
Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.
-
LogDestinationArn
Tipo: stringa
Descrizione: (Facoltativo) L'ARN del gruppo CloudWatch Logs, del bucket Amazon S3 o dello stream Firehose a cui desideri inviare i log delle query. Tieni presente che la registrazione delle query DNS pubbliche di Route 53 supporta solo i gruppi Logs. CloudWatch Se non si specifica un valore per questo parametro, l'automazione crea un gruppo CloudWatch Logs con il formato
AWSSupport-ConfigureDNSQueryLogging-{automation:e una policy delle risorse IAM per pubblicare i log delle query. Il gruppo CloudWatch Logs creato dall'automazione ha un periodo di conservazione di 14 giorni.EXECUTION_ID} -
QueryLogType
Tipo: stringa
Descrizione: (Facoltativo) I tipi di interrogazioni che si desidera registrare.
Valori validi: Public | Resolver/Private
Predefinito: pubblico
-
ResourceId
Tipo: stringa
Descrizione: (Obbligatorio) L'ID della risorsa di cui desideri registrare le interrogazioni. Se si specifica
PublicilQueryLogTypeparametro, la risorsa deve essere l'ID di una zona ospitata privata sulla Route 53. Se si specificaResolver/PrivateilQueryLogTypeparametro, la risorsa deve essere l'ID di un VPC.
Autorizzazioni IAM richieste
Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.
-
ec2:DescribeVpcs -
firehose:ListTagsForDeliveryStream -
firehose:PutRecord -
firehose:PutRecordBatch -
firehose:TagDeliveryStream -
iam:AttachRolePolicy -
iam:CreatePolicy -
iam:CreateRole -
iam:CreateServiceLinkedRole -
iam:DeletePolicy -
iam:DeleteRole -
iam:DeleteRolePolicy -
iam:GetPolicy -
iam:GetRole -
iam:PassRole -
iam:PutRolePolicy -
iam:TagRole -
iam:UpdateRole -
logs:CreateLogDelivery -
logs:CreateLogGroup -
logs:DeleteLogDelivery -
logs:DeleteLogGroup -
logs:DescribeLogGroups -
logs:DescribeLogStreams -
logs:DescribeResourcePolicies -
logs:ListLogDeliveries -
logs:PutResourcePolicy -
logs:PutRetentionPolicy -
logs:UpdateLogDelivery -
route53:CreateQueryLoggingConfig -
route53:DeleteQueryLoggingConfig -
route53:GetHostedZone -
route53resolver:AssociateResolverQueryLogConfig -
route53resolver:CreateResolverQueryLogConfig -
route53resolver:DeleteResolverQueryLogConfig -
s3:GetBucketAcl
Fasi del documento
-
aws:executeScript- Verifica l'esistenza della risorsa specificata per ilResourceIdparametro e verifica se il tipo di risorsa corrisponde all'opzione richiestaQueryLogType. -
aws:executeScript- Verifica che il valore specificato per ilLogDestinationArnparametro corrisponda a quello richiesto.QueryLogType -
aws:executeScript- Verifica le autorizzazioni richieste a Route 53 per pubblicare i log nel gruppo di log CloudWatch Logs e crea la politica delle risorse IAM richiesta se non esiste. -
aws:executeScript- Abilita la registrazione delle query DNS sulla destinazione selezionata.
