Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # `AWSSupport-ConfigureDNSQueryLogging` **Description** Le `AWSSupport-ConfigureDNSQueryLogging` runbook configure la journalisation des requêtes DNS provenant de votre cloud privé virtuel (VPC) ou des zones hébergées sur Amazon Route 53. Vous pouvez choisir de publier les journaux de requêtes sur Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) ou Amazon Data Firehose. Pour plus d'informations sur la journalisation des requêtes et les journaux des requêtes du résolveur, consultez les sections Journalisation des [requêtes DNS publiques et Journalisation](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html) des [requêtes du résolveur](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html). [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureDNSQueryLogging) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** LinuxmacOS, Windows **Paramètres** + AutomationAssumeRole Type : Chaîne Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook. + LogDestinationArn Type : Chaîne Description : (Facultatif) L'ARN du groupe de CloudWatch journaux, du compartiment Amazon S3 ou du flux Firehose auquel vous souhaitez envoyer les journaux de requêtes. Notez que la journalisation des requêtes DNS publiques Route 53 ne prend en charge que les groupes de CloudWatch journaux. Si vous ne spécifiez aucune valeur pour ce paramètre, l'automatisation crée un groupe de CloudWatch journaux au format ` AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } ` et une politique de ressources IAM pour publier les journaux de requêtes. Le groupe CloudWatch Logs créé par l'automatisation a une période de conservation de 14 jours. + QueryLogType Type : Chaîne Description : (Facultatif) Les types de requêtes que vous souhaitez enregistrer. Valeurs valides : Public \$1 Résolveur/Privé Par défaut : Public + ResourceId Type : Chaîne Description : (Obligatoire) L'ID de la ressource dont vous souhaitez enregistrer les requêtes. Si vous spécifiez `Public` le `QueryLogType` paramètre, la ressource doit être l'ID d'une zone hébergée privée Route 53. Si vous spécifiez `Resolver/Private` le `QueryLogType` paramètre, la ressource doit être l'ID d'un VPC. **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `ec2:DescribeVpcs` + `firehose:ListTagsForDeliveryStream` + `firehose:PutRecord` + `firehose:PutRecordBatch` + `firehose:TagDeliveryStream` + `iam:AttachRolePolicy` + `iam:CreatePolicy` + `iam:CreateRole` + `iam:CreateServiceLinkedRole` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:TagRole` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `logs:DescribeResourcePolicies` + `logs:ListLogDeliveries` + `logs:PutResourcePolicy` + `logs:PutRetentionPolicy` + `logs:UpdateLogDelivery` + `route53:CreateQueryLoggingConfig` + `route53:DeleteQueryLoggingConfig` + `route53:GetHostedZone` + `route53resolver:AssociateResolverQueryLogConfig` + `route53resolver:CreateResolverQueryLogConfig` + `route53resolver:DeleteResolverQueryLogConfig` + `s3:GetBucketAcl` **Étapes de document** + `aws:executeScript`- Vérifie que la ressource que vous spécifiez pour le `ResourceId` paramètre existe et vérifie si le type de ressource correspond à l'`QueryLogType`option requise. + `aws:executeScript`- Vérifie que la valeur que vous spécifiez pour le `LogDestinationArn` paramètre correspond à la valeur requise. `QueryLogType` + `aws:executeScript`- Vérifie les autorisations requises pour que Route 53 publie des journaux dans le groupe de CloudWatch journaux Logs et crée la politique de ressources IAM requise si elle n'existe pas. + `aws:executeScript`- Active l'enregistrement des requêtes DNS sur la destination sélectionnée.