AWSSupport-ConfigureDNSQueryLogging - AWS Systems Manager 自動化 Runbook 參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSSupport-ConfigureDNSQueryLogging

Description

AWSSupport-ConfigureDNSQueryLogging Runbook 會為源自於您虛擬私有雲端 (VPC) 的 DNS 查詢或 Amazon Route 53 託管區域的 DNS 查詢設定記錄。您可以選擇將查詢日誌發佈至 Amazon CloudWatch Logs、Amazon Simple Storage Service (Amazon S3) 或 Amazon Data Firehose。如需查詢記錄和解析程式查詢日誌的詳細資訊,請參閱公有 DNS 查詢記錄解析程式查詢記錄

執行此自動化 (主控台)

文件類型

 自動化

擁有者

Amazon

平台

Linux、macOS、 Windows

參數

  • AutomationAssumeRole

    類型:字串

    描述:(選用) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。如果未指定角色,Systems Manager Automation 會使用啟動此 Runbook 之使用者的許可。

  • LogDestinationArn

    類型:字串

    描述:(選用) 您要傳送查詢日誌的 CloudWatch Logs 群組、Amazon S3 儲存貯體或 Firehose 串流的 ARN。請注意,Route 53 公有 DNS 查詢記錄僅支援 CloudWatch Logs 群組。如果您未指定此參數的值,自動化會建立格式為 AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } 的 CloudWatch Logs 群組,以及發佈查詢日誌的 IAM 資源政策。自動化建立的 CloudWatch Logs 群組的保留期間為 14 天。

  • QueryLogType

    類型:字串

    描述:(選用) 您要記錄的查詢類型。

    有效值:公有 | Resolver/Private

    預設:公有

  • ResourceId

    類型:字串

    描述:(必要) 您要記錄其查詢的資源 ID。如果您PublicQueryLogType 參數指定 ,資源必須是 Route 53 私有託管區域的 ID。如果您Resolver/PrivateQueryLogType 參數指定 ,資源必須是 VPC 的 ID。

必要的 IAM 許可

AutomationAssumeRole 參數需要下列動作才能成功使用 Runbook。

  • ec2:DescribeVpcs

  • firehose:ListTagsForDeliveryStream

  • firehose:PutRecord

  • firehose:PutRecordBatch

  • firehose:TagDeliveryStream

  • iam:AttachRolePolicy

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:CreateServiceLinkedRole

  • iam:DeletePolicy

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetPolicy

  • iam:GetRole

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:TagRole

  • iam:UpdateRole

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:DescribeResourcePolicies

  • logs:ListLogDeliveries

  • logs:PutResourcePolicy

  • logs:PutRetentionPolicy

  • logs:UpdateLogDelivery

  • route53:CreateQueryLoggingConfig

  • route53:DeleteQueryLoggingConfig

  • route53:GetHostedZone

  • route53resolver:AssociateResolverQueryLogConfig

  • route53resolver:CreateResolverQueryLogConfig

  • route53resolver:DeleteResolverQueryLogConfig

  • s3:GetBucketAcl

文件步驟

  • aws:executeScript - 驗證您為ResourceId參數指定的資源是否存在,並檢查資源類型是否符合所需的QueryLogType選項。

  • aws:executeScript - 驗證您為 LogDestinationArn 參數指定的值是否符合所需的 QueryLogType

  • aws:executeScript - 驗證 Route 53 發佈日誌至 CloudWatch Logs 日誌群組所需的許可,並在日誌不存在時建立所需的 IAM 資源政策。

  • aws:executeScript - 啟用所選目的地上的 DNS 查詢記錄。