`AWSSupport-ConfigureDNSQueryLogging`

Descrição

O AWSSupport-ConfigureDNSQueryLogging runbook configura o registro em log para DNS consultas originadas em sua nuvem privada virtual () VPC ou para zonas hospedadas no Amazon Route 53. Você pode optar por publicar registros de consulta no Amazon CloudWatch Logs, no Amazon Simple Storage Service (Amazon S3) ou no Amazon Data Firehose. Para obter mais informações sobre o registro de consultas e registros de consultas do resolvedor, consulte Registro de DNSconsultas públicas e Registro de consultas do resolvedor.

Executar esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

AutomationAssumeRole

Tipo: string

Descrição: (Opcional) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
LogDestinationArn

Tipo: string

Descrição: (Opcional) O grupo CloudWatch Logs, bucket ARN do Amazon S3 ou stream do Firehose para o qual você deseja enviar os registros de consulta. Observe que o registro de DNS consultas públicas do Route 53 só é compatível com grupos de CloudWatch registros. Se você não especificar um valor para esse parâmetro, a automação cria um grupo de CloudWatch registros com o formato AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } e uma política de IAM recursos para publicar os registros de consulta. O grupo de CloudWatch registros criado pela automação tem um período de retenção de 14 dias.
QueryLogType

Tipo: string

Descrição: (opcional) Os tipos de consultas que deseja fazer o log.

Valores válidos: Public | Resolver/Private

Padrão: Public
ResourceId

Tipo: string

Descrição: (obrigatório) O ID do recurso cujas consultas deseja fazer o log. Se Public for especificado para o parâmetro QueryLogType, o recurso deverá ser o ID de uma zona hospedada privada do Route 53. Se você especificar Resolver/Private para o QueryLogType parâmetro, o recurso deverá ser o ID de umVPC.

IAMPermissões necessárias

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

ec2:DescribeVpcs
firehose:ListTagsForDeliveryStream
firehose:PutRecord
firehose:PutRecordBatch
firehose:TagDeliveryStream
iam:AttachRolePolicy
iam:CreatePolicy
iam:CreateRole
iam:CreateServiceLinkedRole
iam:DeletePolicy
iam:DeleteRole
iam:DeleteRolePolicy
iam:GetPolicy
iam:GetRole
iam:PassRole
iam:PutRolePolicy
iam:TagRole
iam:UpdateRole
logs:CreateLogDelivery
logs:CreateLogGroup
logs:DeleteLogDelivery
logs:DeleteLogGroup
logs:DescribeLogGroups
logs:DescribeLogStreams
logs:DescribeResourcePolicies
logs:ListLogDeliveries
logs:PutResourcePolicy
logs:PutRetentionPolicy
logs:UpdateLogDelivery
route53:CreateQueryLoggingConfig
route53:DeleteQueryLoggingConfig
route53:GetHostedZone
route53resolver:AssociateResolverQueryLogConfig
route53resolver:CreateResolverQueryLogConfig
route53resolver:DeleteResolverQueryLogConfig
s3:GetBucketAcl

Etapas do documento

aws:executeScript :Verifica se o recurso especificado para o parâmetro ResourceId existe e se o tipo de recurso corresponde à opção QueryLogType obrigatória.
aws:executeScript :Verifica se o valor especificado para o parâmetro LogDestinationArn corresponde ao QueryLogType obrigatório.
aws:executeScript- Verifica as permissões necessárias para o Route 53 publicar registros no grupo de CloudWatch registros de registros e cria a política de IAM recursos necessária, caso ela não exista.
aws:executeScript- Ativa o registro de DNS consultas no destino selecionado.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS-CloseSecurityGroup

AWSSupport-ConfigureTrafficMirroring