本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSSupport-ConfigureDNSQueryLogging
Description
AWSSupport-ConfigureDNSQueryLogging
執行手冊會針對來自虛擬私有雲端 (VPC) 或 Amazon Route 53 託管區域的 DNS 查詢設定記錄。您可以選擇將查詢日誌發佈到 Amazon CloudWatch 日誌、Amazon 簡單儲存服務 (Amazon S3) 或亞馬遜資料 Firehose。如需有關查詢記錄和解析器查詢記錄檔的詳細資訊,請參閱公用 DNS 查詢記錄和解析器查詢記錄。
文件類型
自動化
擁有者
Amazon
平台
Linux,macOS, Windows
參數
-
AutomationAssumeRole
類型:字串
說明:(選用) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 (ARN)。如果未指定角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。
-
LogDestination阿恩
類型:字串
說明:(選用) 您要傳送查詢 CloudWatch 日誌的日誌群組、Amazon S3 儲存貯體或 Firehose 串流的 ARN。請注意,Route 53 公用 DNS 查詢記錄僅支援記 CloudWatch 錄檔群組。如果您未指定此參數的值,則自動化會建立具有該格式的 CloudWatch Logs 群組
AWSSupport-ConfigureDNSQueryLogging-{automation:
,以及用於發佈查詢記錄的 IAM 資源政策。由自動化操作建立的「 CloudWatch 記錄」群組的保留期為 14 天。EXECUTION_ID
} -
QueryLog类型
類型:字串
描述:(選擇性) 您要記錄的查詢類型。
有效值:公開 | 解析器/私有
預設值:公開
-
ResourceId
類型:字串
描述:(必填)您要記錄其查詢的資源 ID。如果
Public
為QueryLogType
參數指定,則資源必須是 Route 53 私用主控區域的 ID。如果Resolver/Private
為QueryLogType
參數指定,則資源必須是 VPC 的 ID。
必要的 IAM 許可
此AutomationAssumeRole
參數需要執行下列動作,才能成功使用 Runbook。
-
ec2:DescribeVpcs
-
firehose:ListTagsForDeliveryStream
-
firehose:PutRecord
-
firehose:PutRecordBatch
-
firehose:TagDeliveryStream
-
iam:AttachRolePolicy
-
iam:CreatePolicy
-
iam:CreateRole
-
iam:CreateServiceLinkedRole
-
iam:DeletePolicy
-
iam:DeleteRole
-
iam:DeleteRolePolicy
-
iam:GetPolicy
-
iam:GetRole
-
iam:PassRole
-
iam:PutRolePolicy
-
iam:TagRole
-
iam:UpdateRole
-
logs:CreateLogDelivery
-
logs:CreateLogGroup
-
logs:DeleteLogDelivery
-
logs:DeleteLogGroup
-
logs:DescribeLogGroups
-
logs:DescribeLogStreams
-
logs:DescribeResourcePolicies
-
logs:ListLogDeliveries
-
logs:PutResourcePolicy
-
logs:PutRetentionPolicy
-
logs:UpdateLogDelivery
-
route53:CreateQueryLoggingConfig
-
route53:DeleteQueryLoggingConfig
-
route53:GetHostedZone
-
route53resolver:AssociateResolverQueryLogConfig
-
route53resolver:CreateResolverQueryLogConfig
-
route53resolver:DeleteResolverQueryLogConfig
-
s3:GetBucketAcl
文件步驟
-
aws:executeScript
-驗證您為ResourceId
參數指定的資源存在,並檢查資源類型是否符合所需選QueryLogType
項。 -
aws:executeScript
-驗證您為LogDestinationArn
參數指定的值是否符合所需QueryLogType
的值。 -
aws:executeScript
-驗證 Route 53 所需的許可,以將日誌發佈到日 CloudWatch 誌日誌群組,並在不存在的情況下創建所需的 IAM 資源策略。 -
aws:executeScript
-在選取的目的地啟用 DNS 查詢記錄。