AWSSupport-ConfigureDNSQueryLogging - AWS Systems Manager オートメーションランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-ConfigureDNSQueryLogging

説明

AWSSupport-ConfigureDNSQueryLogging ランブックは、仮想プライベートクラウド (VPC) または Amazon Route 53 ホストゾーンで発生するDNSクエリのログ記録を設定します。クエリログを Amazon CloudWatch Logs、Amazon Simple Storage Service (Amazon S3)、または Amazon Data Firehose に発行できます。クエリログとリゾルバークエリログの詳細については、「パブリックDNSクエリログリゾルバークエリログ」を参照してください。

このオートメーションを実行する (コンソール)

ドキュメントタイプ

Automation

[所有者]

Amazon

[Platforms] (プラットフォーム)

Linux、macOS, Windows

パラメータ

  • AutomationAssumeRole

    型: 文字列

    説明: (オプション) Systems Manager Automation が AWS Identity and Access Management ユーザーに代わってアクションを実行できるようにする () ロールARNの Amazon リソースネーム (IAM)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

  • LogDestinationArn

    型: 文字列

    説明: (オプション) クエリログを送信する CloudWatch Logs グループ、Amazon S3 バケット、または Firehose ストリームARNの 。Route 53 のパブリックDNSクエリログ記録は、 CloudWatch ロググループのみをサポートすることに注意してください。このパラメータの値を指定しない場合、オートメーションは の形式とクエリログを発行するIAMリソースポリシーを持つ CloudWatch Logs AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } グループを作成します。オートメーションによって作成された CloudWatch Logs グループの保存期間は 14 日間です。

  • QueryLogType

    型: 文字列

    説明: (オプション) 記録するクエリのタイプ。

    有効な値: パブリック | リゾルバー/プライベート

    デフォルト: パブリック

  • ResourceId

    型: 文字列

    説明: (必須) クエリを記録するリソースの ID。QueryLogType パラメータに Public を指定する場合、リソースは Route 53 プライベートホストゾーンの ID である必要があります。QueryLogType パラメータResolver/Privateに を指定する場合、リソースは の ID である必要がありますVPC。

必要なIAMアクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

  • ec2:DescribeVpcs

  • firehose:ListTagsForDeliveryStream

  • firehose:PutRecord

  • firehose:PutRecordBatch

  • firehose:TagDeliveryStream

  • iam:AttachRolePolicy

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:CreateServiceLinkedRole

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:TagRole

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:DescribeResourcePolicies

  • logs:ListLogDeliveries

  • logs:PutResourcePolicy

  • logs:PutRetentionPolicy

  • logs:UpdateLogDelivery

  • route53:CreateQueryLoggingConfig

  • route53:DeleteQueryLoggingConfig

  • route53:GetHostedZone

  • route53resolver:AssociateResolverQueryLogConfig

  • route53resolver:CreateResolverQueryLogConfig

  • route53resolver:DeleteResolverQueryLogConfig

  • s3:GetBucketAcl

ドキュメントステップ

  • aws:executeScript - ResourceId パラメータに指定したリソースが存在することを確認し、リソースタイプが必須の QueryLogType オプションと一致するかどうかを確認します。

  • aws:executeScript - LogDestinationArn パラメータに指定した値が必須の QueryLogType 値と一致することを確認します。

  • aws:executeScript - Route 53 がログログ CloudWatch グループにログを発行するために必要なアクセス許可を検証し、存在しない場合は必要なIAMリソースポリシーを作成します。

  • aws:executeScript - 選択した送信先でDNSクエリログ記録を有効にします。