AWSSupport-ConfigureDNSQueryLogging

AutomationAssumeRole

類型：字串

說明：（選用） 允許 Systems Manager Automation 代表您執行動作ARN的 （） 角色的 AWS Identity and Access Management Amazon Resource Name （IAM）。如果未指定角色，Systems Manager Automation 會使用啟動此 Runbook 的使用者許可。

LogDestinationArn

類型：字串

說明：（選用） 您要傳送查詢日誌ARN的 CloudWatch Logs 群組、Amazon S3 儲存貯體或 Firehose 串流的 。請注意，Route 53 公有DNS查詢記錄僅支援 CloudWatch Logs 群組。如果您未指定此參數的值，自動化會建立格式為 AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } 的 CloudWatch Logs 群組，以及發佈查詢日誌IAM的資源政策。自動化建立的 CloudWatch 日誌群組具有 14 天的保留期。

QueryLogType

類型：字串

描述：（選用） 您要記錄的查詢類型。

有效值：公有 | Resolver/Private

預設：公有

ResourceId

類型：字串

描述：（必要） 您要記錄其查詢的資源 ID。如果您Public為 QueryLogType 參數指定 ，資源必須是 Route 53 私有託管區域的 ID。如果您Resolver/Private為 QueryLogType 參數指定 ，資源必須是 的 IDVPC。

ec2:DescribeVpcs

firehose:ListTagsForDeliveryStream

firehose:PutRecord

firehose:PutRecordBatch

firehose:TagDeliveryStream

iam:AttachRolePolicy

iam:CreatePolicy

iam:CreateRole

iam:CreateServiceLinkedRole

iam:DeletePolicy

iam:DeleteRole

iam:DeleteRolePolicy

iam:GetPolicy

iam:GetRole

iam:PassRole

iam:PutRolePolicy

iam:TagRole

iam:UpdateRole

logs:CreateLogDelivery

logs:CreateLogGroup

logs:DeleteLogDelivery

logs:DeleteLogGroup

logs:DescribeLogGroups

logs:DescribeLogStreams

logs:DescribeResourcePolicies

logs:ListLogDeliveries

logs:PutResourcePolicy

logs:PutRetentionPolicy

logs:UpdateLogDelivery

route53:CreateQueryLoggingConfig

route53:DeleteQueryLoggingConfig

route53:GetHostedZone

route53resolver:AssociateResolverQueryLogConfig

route53resolver:CreateResolverQueryLogConfig

route53resolver:DeleteResolverQueryLogConfig

s3:GetBucketAcl

aws:executeScript - 驗證您為ResourceId參數指定的資源是否存在，並檢查資源類型是否符合所需的QueryLogType選項。

aws:executeScript - 驗證您為 LogDestinationArn 參數指定的值是否符合所需的 QueryLogType 。

aws:executeScript - 驗證 Route 53 將日誌發佈至 CloudWatch Logs 日誌群組所需的許可，並在不存在時建立所需的IAM資源政策。

aws:executeScript - 在選取的目的地上啟用DNS查詢記錄。