AWSSupport-ConfigureDNSQueryLogging - AWS Systems Manager 自动化运行手册参考

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWSSupport-ConfigureDNSQueryLogging

描述

AWSSupport-ConfigureDNSQueryLogging 运行手册为源自虚拟私有云 (VPC) 的或为 Amazon Route 53 托管区的 DNS 查询配置日志记录。您可以选择将查询日志发布到亚马逊日 CloudWatch 志、亚马逊简单存储服务 (Amazon S3) Service 或亚马逊 Data Firehose。有关查询日志记录和解析器查询日志的更多信息,请参阅公共 DNS 查询日志记录解析器查询日志记录

运行此自动化(控制台)

文档类型

自动化

所有者

Amazon

平台

Linux,macOS, Windows

参数

  • AutomationAssumeRole

    类型:字符串

    描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。

  • LogDestinationArn

    类型:字符串

    描述:(可选)您要向其发送查询日志的 CloudWatch 日志组、Amazon S3 存储桶或 Firehose 流的 ARN。请注意,Route 53 公共 DNS 查询日志记录仅支持 CloudWatch 日志组。如果您未为此参数指定值,则自动化会创建一个格式为的 CloudWatch 日志组 AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } ,以及用于发布查询日志的 IAM 资源策略。自动化创建的 CloudWatch 日志组的保留期为 14 天。

  • QueryLogType

    类型:字符串

    描述:(可选)要记录的查询的类型。

    有效值:公共 | 解析器/私有

    默认:公共

  • ResourceId

    类型:字符串

    描述:(必需)要记录其查询的资源的 ID。如果您为 QueryLogType 参数指定 Public,则资源必须是 Route 53 私有托管区的 ID。如果您 为 QueryLogType 参数指定 Resolver/Private,则资源必须是 VPC 的 ID。

所需的 IAM 权限

AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。

  • ec2:DescribeVpcs

  • firehose:ListTagsForDeliveryStream

  • firehose:PutRecord

  • firehose:PutRecordBatch

  • firehose:TagDeliveryStream

  • iam:AttachRolePolicy

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:CreateServiceLinkedRole

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:TagRole

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:DescribeResourcePolicies

  • logs:ListLogDeliveries

  • logs:PutResourcePolicy

  • logs:PutRetentionPolicy

  • logs:UpdateLogDelivery

  • route53:CreateQueryLoggingConfig

  • route53:DeleteQueryLoggingConfig

  • route53:GetHostedZone

  • route53resolver:AssociateResolverQueryLogConfig

  • route53resolver:CreateResolverQueryLogConfig

  • route53resolver:DeleteResolverQueryLogConfig

  • s3:GetBucketAcl

文档步骤

  • aws:executeScript - 验证您为 ResourceId 参数指定的资源是否存在,并检查资源类型是否匹配所需的 QueryLogType 选项。

  • aws:executeScript - 验证您为 LogDestinationArn 参数指定的值是否匹配所需的 QueryLogType 值。

  • aws:executeScript-验证 Route 53 向日志组发布日志所需的权限,如果不存在所需的 IAM 资源策略,则创建所需的 IAM 资源策略。 CloudWatch

  • aws:executeScript - 对所选目标启用 DNS 查询日志记录。