AWSSupport-ConfigureDNSQueryLogging - AWS Systems Manager 自動化手冊參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSSupport-ConfigureDNSQueryLogging

Description

AWSSupport-ConfigureDNSQueryLogging執行手冊會針對來自虛擬私有雲端 (VPC) 或 Amazon Route 53 託管區域的 DNS 查詢設定記錄。您可以選擇將查詢日誌發佈到 Amazon CloudWatch 日誌、Amazon 簡單儲存服務 (Amazon S3) 或亞馬遜資料 Firehose。如需有關查詢記錄和解析器查詢記錄檔的詳細資訊,請參閱公用 DNS 查詢記錄解析器查詢記錄。

運行此自動化(控制台)

文件類型

 自動化

擁有者

Amazon

平台

Linux,macOS, Windows

參數

  • AutomationAssumeRole

    類型:字串

    說明:(選用) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 (ARN)。如果未指定角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。

  • LogDestination阿恩

    類型:字串

    說明:(選用) 您要傳送查詢 CloudWatch 日誌的日誌群組、Amazon S3 儲存貯體或 Firehose 串流的 ARN。請注意,Route 53 公用 DNS 查詢記錄僅支援記 CloudWatch 錄檔群組。如果您未指定此參數的值,則自動化會建立具有該格式的 CloudWatch Logs 群組 AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } ,以及用於發佈查詢記錄的 IAM 資源政策。由自動化操作建立的「 CloudWatch 記錄」群組的保留期為 14 天。

  • QueryLog类型

    類型:字串

    描述:(選擇性) 您要記錄的查詢類型。

    有效值:公開 | 解析器/私有

    預設值:公開

  • ResourceId

    類型:字串

    描述:(必填)您要記錄其查詢的資源 ID。如果PublicQueryLogType參數指定,則資源必須是 Route 53 私用主控區域的 ID。如果Resolver/PrivateQueryLogType參數指定,則資源必須是 VPC 的 ID。

必要的 IAM 許可

AutomationAssumeRole參數需要執行下列動作,才能成功使用 Runbook。

  • ec2:DescribeVpcs

  • firehose:ListTagsForDeliveryStream

  • firehose:PutRecord

  • firehose:PutRecordBatch

  • firehose:TagDeliveryStream

  • iam:AttachRolePolicy

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:CreateServiceLinkedRole

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:TagRole

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:DescribeResourcePolicies

  • logs:ListLogDeliveries

  • logs:PutResourcePolicy

  • logs:PutRetentionPolicy

  • logs:UpdateLogDelivery

  • route53:CreateQueryLoggingConfig

  • route53:DeleteQueryLoggingConfig

  • route53:GetHostedZone

  • route53resolver:AssociateResolverQueryLogConfig

  • route53resolver:CreateResolverQueryLogConfig

  • route53resolver:DeleteResolverQueryLogConfig

  • s3:GetBucketAcl

文件步驟

  • aws:executeScript-驗證您為ResourceId參數指定的資源存在,並檢查資源類型是否符合所需選QueryLogType項。

  • aws:executeScript-驗證您為LogDestinationArn參數指定的值是否符合所需QueryLogType的值。

  • aws:executeScript-驗證 Route 53 所需的許可,以將日誌發佈到日 CloudWatch 誌日誌群組,並在不存在的情況下創建所需的 IAM 資源策略。

  • aws:executeScript-在選取的目的地啟用 DNS 查詢記錄。