Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # `AWSSupport-ConfigureDNSQueryLogging` **Beschreibung** Das `AWSSupport-ConfigureDNSQueryLogging` Runbook konfiguriert die Protokollierung für DNS-Abfragen, die ihren Ursprung in Ihrer Virtual Private Cloud (VPC) haben, oder für gehostete Zonen von Amazon Route 53. Sie können wählen, ob Sie Abfrageprotokolle in Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) oder Amazon Data Firehose veröffentlichen möchten. Weitere Informationen zur Abfrageprotokollierung und Resolver-Abfrageprotokollen finden Sie unter [Öffentliche DNS-Abfrageprotokollierung und [Resolver-Abfrageprotokollierung](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html). [Führen Sie diese Automatisierung aus (Konsole)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureDNSQueryLogging) **Art des Dokuments** Automatisierung **Eigentümer** Amazon **Plattformen** LinuxmacOS, Windows **Parameter** + AutomationAssumeRole Typ: Zeichenfolge Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet. + LogDestinationArn Typ: Zeichenfolge Beschreibung: (Optional) Der ARN der CloudWatch Logs-Gruppe, des Amazon S3 S3-Buckets oder des Firehose-Streams, an den Sie Abfrageprotokolle senden möchten. Beachten Sie, dass die öffentliche DNS-Abfrageprotokollierung von Route 53 nur CloudWatch Logs-Gruppen unterstützt. Wenn Sie keinen Wert für diesen Parameter angeben, erstellt die Automatisierung eine CloudWatch Logs-Gruppe mit dem Format ` AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } ` und einer IAM-Ressourcenrichtlinie zur Veröffentlichung der Abfrageprotokolle. Die durch die Automatisierung erstellte CloudWatch Protokollgruppe hat eine Aufbewahrungsfrist von 14 Tagen. + QueryLogType Typ: Zeichenfolge Beschreibung: (Optional) Die Arten von Abfragen, die Sie protokollieren möchten. Gültige Werte: Public \$1 Resolver/Private Standard: Öffentlich + ResourceId Typ: Zeichenfolge Beschreibung: (Erforderlich) Die ID der Ressource, deren Abfragen Sie protokollieren möchten. Wenn Sie `Public` für den `QueryLogType` Parameter angeben, muss es sich bei der Ressource um die ID einer privaten gehosteten Route 53-Zone handeln. Wenn Sie `Resolver/Private` für den `QueryLogType` Parameter angeben, muss die Ressource die ID einer VPC sein. **Erforderliche IAM-Berechtigungen** Der `AutomationAssumeRole` Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden. + `ec2:DescribeVpcs` + `firehose:ListTagsForDeliveryStream` + `firehose:PutRecord` + `firehose:PutRecordBatch` + `firehose:TagDeliveryStream` + `iam:AttachRolePolicy` + `iam:CreatePolicy` + `iam:CreateRole` + `iam:CreateServiceLinkedRole` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:TagRole` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `logs:DescribeResourcePolicies` + `logs:ListLogDeliveries` + `logs:PutResourcePolicy` + `logs:PutRetentionPolicy` + `logs:UpdateLogDelivery` + `route53:CreateQueryLoggingConfig` + `route53:DeleteQueryLoggingConfig` + `route53:GetHostedZone` + `route53resolver:AssociateResolverQueryLogConfig` + `route53resolver:CreateResolverQueryLogConfig` + `route53resolver:DeleteResolverQueryLogConfig` + `s3:GetBucketAcl` **Dokumentschritte** + `aws:executeScript`- Überprüft, ob die Ressource, die Sie für den `ResourceId` Parameter angeben, vorhanden ist, und prüft, ob der Ressourcentyp der erforderlichen `QueryLogType` Option entspricht. + `aws:executeScript`- Überprüft, ob der Wert, den Sie für den `LogDestinationArn` Parameter angeben, dem erforderlichen Wert entspricht. `QueryLogType` + `aws:executeScript`- Überprüft die erforderlichen Berechtigungen für Route 53, um Protokolle in der Protokollgruppe CloudWatch Logs zu veröffentlichen, und erstellt die erforderliche IAM-Ressourcenrichtlinie, falls diese nicht vorhanden ist. + `aws:executeScript`- Aktiviert die DNS-Abfrageprotokollierung am ausgewählten Ziel.