AWSSupport-ConfigureDNSQueryLogging

Description

Le AWSSupport-ConfigureDNSQueryLogging runbook configure la journalisation des requêtes DNS provenant de votre cloud privé virtuel (VPC) ou des zones hébergées sur Amazon Route 53. Vous pouvez choisir de publier les journaux de requêtes sur Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) ou Amazon Data Firehose. Pour plus d'informations sur la journalisation des requêtes et les journaux des requêtes du résolveur, consultez les sections Journalisation des requêtes DNS publiques et Journalisation des requêtes du résolveur.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

LinuxmacOS, Windows

Paramètres

• AutomationAssumeRole

  Type : chaîne

  Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

• LogDestinationArn

  Type : chaîne

  Description : (Facultatif) L'ARN du groupe de CloudWatch journaux, du compartiment Amazon S3 ou du flux Firehose auquel vous souhaitez envoyer les journaux de requêtes. Notez que la journalisation des requêtes DNS publiques de Route 53 ne prend en charge que CloudWatch les groupes de journaux. Si vous ne spécifiez aucune valeur pour ce paramètre, l'automatisation crée un groupe de CloudWatch journaux au format AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } et une politique de ressources IAM pour publier les journaux de requêtes. Le groupe CloudWatch Logs créé par l'automatisation a une période de conservation de 14 jours.

• QueryLogType

  Type : chaîne

  Description : (Facultatif) Les types de requêtes que vous souhaitez enregistrer.

  Valeurs valides : Public | Résolveur/Privé

  Par défaut : Public

• ResourceId

  Type : chaîne

  Description : (Obligatoire) L'ID de la ressource dont vous souhaitez enregistrer les requêtes. Si vous spécifiez Public le QueryLogType paramètre, la ressource doit être l'ID d'une zone hébergée privée Route 53. Si vous spécifiez Resolver/Private le QueryLogType paramètre, la ressource doit être l'ID d'un VPC.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

• ec2:DescribeVpcs

• firehose:ListTagsForDeliveryStream

• firehose:PutRecord

• firehose:PutRecordBatch

• firehose:TagDeliveryStream

• iam:AttachRolePolicy

• iam:CreatePolicy

• iam:CreateRole

• iam:CreateServiceLinkedRole

• iam:DeletePolicy

• iam:DeleteRole

• iam:DeleteRolePolicy

• iam:GetPolicy

• iam:GetRole

• iam:PassRole

• iam:PutRolePolicy

• iam:TagRole

• iam:UpdateRole

• logs:CreateLogDelivery

• logs:CreateLogGroup

• logs:DeleteLogDelivery

• logs:DeleteLogGroup

• logs:DescribeLogGroups

• logs:DescribeLogStreams

• logs:DescribeResourcePolicies

• logs:ListLogDeliveries

• logs:PutResourcePolicy

• logs:PutRetentionPolicy

• logs:UpdateLogDelivery

• route53:CreateQueryLoggingConfig

• route53:DeleteQueryLoggingConfig

• route53:GetHostedZone

• route53resolver:AssociateResolverQueryLogConfig

• route53resolver:CreateResolverQueryLogConfig

• route53resolver:DeleteResolverQueryLogConfig

• s3:GetBucketAcl

Étapes de document

• aws:executeScript- Vérifie que la ressource que vous spécifiez pour le ResourceId paramètre existe et vérifie si le type de ressource correspond à l'QueryLogTypeoption requise.

• aws:executeScript- Vérifie que la valeur que vous spécifiez pour le LogDestinationArn paramètre correspond à la valeur requise. QueryLogType

• aws:executeScript- Vérifie les autorisations requises pour que Route 53 publie des journaux dans le groupe de CloudWatch journaux Logs et crée la politique de ressources IAM requise si elle n'existe pas.

• aws:executeScript- Active l'enregistrement des requêtes DNS sur la destination sélectionnée.