AWSSupport-ConfigureDNSQueryLogging - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-ConfigureDNSQueryLogging

Deskripsi

AWSSupport-ConfigureDNSQueryLoggingRunbook mengonfigurasi pencatatan untuk kueri DNS yang berasal dari cloud pribadi virtual (VPC) Anda atau untuk zona yang dihosting Amazon Route 53. Anda dapat memilih untuk mempublikasikan log kueri ke Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3), atau Amazon Data Firehose. Untuk informasi selengkapnya tentang pencatatan kueri dan log kueri penyelesai, lihat Pencatatan kueri DNS Publik dan pencatatan kueri Resolver.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux,macOS, Windows

Parameter

  • AutomationAssumeRole

    Tipe: String

    Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • LogDestinationArn

    Tipe: String

    Deskripsi: (Opsional) ARN dari grup CloudWatch Log, bucket Amazon S3, atau aliran Firehose yang ingin Anda kirimi log kueri. Perhatikan bahwa pencatatan kueri DNS publik Route 53 hanya mendukung grup CloudWatch Log. Jika Anda tidak menentukan nilai untuk parameter ini, otomatisasi akan membuat grup CloudWatch Log dengan format AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } , dan kebijakan sumber daya IAM untuk mempublikasikan log kueri. Grup CloudWatch Log yang dibuat oleh otomatisasi memiliki periode retensi 14 hari.

  • QueryLogType

    Tipe: String

    Deskripsi: (Opsional) Jenis kueri yang ingin Anda log.

    Nilai yang valid: Publik | Resolver/Pribadi

    Default: Publik

  • ResourceId

    Tipe: String

    Deskripsi: (Wajib) ID sumber daya yang pertanyaannya ingin Anda log. Jika Anda menentukan Public QueryLogType parameter, sumber daya harus ID dari zona host pribadi Route 53. Jika Anda menentukan Resolver/Private QueryLogType parameter, sumber daya harus berupa ID VPC.

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ec2:DescribeVpcs

  • firehose:ListTagsForDeliveryStream

  • firehose:PutRecord

  • firehose:PutRecordBatch

  • firehose:TagDeliveryStream

  • iam:AttachRolePolicy

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:CreateServiceLinkedRole

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:TagRole

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:DescribeResourcePolicies

  • logs:ListLogDeliveries

  • logs:PutResourcePolicy

  • logs:PutRetentionPolicy

  • logs:UpdateLogDelivery

  • route53:CreateQueryLoggingConfig

  • route53:DeleteQueryLoggingConfig

  • route53:GetHostedZone

  • route53resolver:AssociateResolverQueryLogConfig

  • route53resolver:CreateResolverQueryLogConfig

  • route53resolver:DeleteResolverQueryLogConfig

  • s3:GetBucketAcl

Langkah Dokumen

  • aws:executeScript- Memverifikasi sumber daya yang Anda tentukan untuk ResourceId parameter yang ada, dan memeriksa apakah jenis sumber daya cocok dengan QueryLogType opsi yang diperlukan.

  • aws:executeScript- Memverifikasi bahwa nilai yang Anda tentukan untuk LogDestinationArn parameter cocok dengan yang diperlukanQueryLogType.

  • aws:executeScript- Memverifikasi izin yang diperlukan untuk Route 53 untuk mempublikasikan log ke grup CloudWatch log Log, dan membuat kebijakan sumber daya IAM yang diperlukan jika tidak ada.

  • aws:executeScript- Mengaktifkan pencatatan query DNS pada tujuan yang dipilih.