AWSSupport-ConfigureDNSQueryLogging - AWS Systems Manager 自動化ランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-ConfigureDNSQueryLogging

説明

AWSSupport-ConfigureDNSQueryLogging ランブックは、仮想プライベートクラウド (VPC) または Amazon Route 53 ホストゾーンで発生する DNS クエリのロギングを設定します。Amazon CloudWatch Logs、Amazon Simple Storage Service (Amazon S3)、または Amazon Data Firehose にクエリログを発行することを選択できます。クエリロギングとリゾルバークエリログの詳細については、「パブリック DNS クエリロギング」「リゾルバークエリロギング」を参照してください。

このオートメーションを実行する (コンソール)

ドキュメントタイプ

Automation

[所有者]

Amazon

[Platforms] (プラットフォーム)

Linux、macOS、Windows

パラメータ

  • AutomationAssumeRole

    タイプ: 文字列

    説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

  • LogDestinationArn

    タイプ: 文字列

    説明: (オプション) クエリログを送信する CloudWatch Logs グループ、Amazon S3 バケット、または Firehose ストリームの ARN。Route 53 パブリック DNS クエリロギングは CloudWatch Logs グループのみをサポートしていることに注意してください。このパラメータに値を指定しない場合、自動化では AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } という形式で CloudWatch Logs グループを作成し、クエリログを公開する IAM リソースポリシーを作成します。自動化によって作成された CloudWatch Logs グループの保持期間は 14 日間です。

  • QueryLogType

    タイプ: 文字列

    説明: (オプション) 記録するクエリのタイプ。

    有効な値: パブリック | リゾルバー/プライベート

    デフォルト: パブリック

  • ResourceId

    タイプ: 文字列

    説明: (必須) クエリを記録するリソースの ID。QueryLogType パラメータに Public を指定する場合、リソースは Route 53 プライベートホストゾーンの ID である必要があります。QueryLogType パラメータに Resolver/Private を指定する場合、リソースは VPC の ID である必要があります。

必要な IAM アクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

  • ec2:DescribeVpcs

  • firehose:ListTagsForDeliveryStream

  • firehose:PutRecord

  • firehose:PutRecordBatch

  • firehose:TagDeliveryStream

  • iam:AttachRolePolicy

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:CreateServiceLinkedRole

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:TagRole

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:DescribeResourcePolicies

  • logs:ListLogDeliveries

  • logs:PutResourcePolicy

  • logs:PutRetentionPolicy

  • logs:UpdateLogDelivery

  • route53:CreateQueryLoggingConfig

  • route53:DeleteQueryLoggingConfig

  • route53:GetHostedZone

  • route53resolver:AssociateResolverQueryLogConfig

  • route53resolver:CreateResolverQueryLogConfig

  • route53resolver:DeleteResolverQueryLogConfig

  • s3:GetBucketAcl

ドキュメントステップ

  • aws:executeScript - ResourceId パラメータに指定したリソースが存在することを確認し、リソースタイプが必須の QueryLogType オプションと一致するかどうかを確認します。

  • aws:executeScript - LogDestinationArn パラメータに指定した値が必須の QueryLogType 値と一致することを確認します。

  • aws:executeScript - Route 53 が CloudWatch Logs ロググループにログを発行するために必要な権限を確認し、必要な IAM リソースポリシーが存在しない場合はそれを作成します。

  • aws:executeScript - 選択した宛先で DNS クエリのロギングを有効にします。