Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # `AWSSupport-ConfigureDNSQueryLogging` **Deskripsi** `AWSSupport-ConfigureDNSQueryLogging`Runbook mengonfigurasi pencatatan untuk kueri DNS yang berasal dari cloud pribadi virtual (VPC) Anda atau untuk zona yang dihosting Amazon Route 53. Anda dapat memilih untuk mempublikasikan log kueri ke Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3), atau Amazon Data Firehose. Untuk informasi selengkapnya tentang pencatatan kueri dan log kueri penyelesai, lihat Pencatatan kueri [DNS Publik dan pencatatan kueri](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html) [Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html). [Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureDNSQueryLogging) **Jenis dokumen** Otomatisasi **Pemilik** Amazon **Platform** Linux,macOS, Windows **Parameter** + AutomationAssumeRole Tipe: String Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini. + LogDestinationArn Tipe: String Deskripsi: (Opsional) ARN dari grup CloudWatch Log, bucket Amazon S3, atau aliran Firehose yang ingin Anda kirimi log kueri. Perhatikan bahwa pencatatan kueri DNS publik Route 53 hanya mendukung grup CloudWatch Log. Jika Anda tidak menentukan nilai untuk parameter ini, otomatisasi akan membuat grup CloudWatch Log dengan format` AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } `, dan kebijakan sumber daya IAM untuk mempublikasikan log kueri. Grup CloudWatch Log yang dibuat oleh otomatisasi memiliki periode retensi 14 hari. + QueryLogType Tipe: String Deskripsi: (Opsional) Jenis kueri yang ingin Anda log. Nilai yang valid: Publik \$1 Resolver/Pribadi Default: Publik + ResourceId Tipe: String Deskripsi: (Wajib) ID sumber daya yang pertanyaannya ingin Anda log. Jika Anda menentukan `Public` `QueryLogType` parameter, sumber daya harus ID dari zona host pribadi Route 53. Jika Anda menentukan `Resolver/Private` `QueryLogType` parameter, sumber daya harus berupa ID VPC. **Izin IAM yang diperlukan** `AutomationAssumeRole`Parameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses. + `ec2:DescribeVpcs` + `firehose:ListTagsForDeliveryStream` + `firehose:PutRecord` + `firehose:PutRecordBatch` + `firehose:TagDeliveryStream` + `iam:AttachRolePolicy` + `iam:CreatePolicy` + `iam:CreateRole` + `iam:CreateServiceLinkedRole` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:TagRole` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `logs:DescribeResourcePolicies` + `logs:ListLogDeliveries` + `logs:PutResourcePolicy` + `logs:PutRetentionPolicy` + `logs:UpdateLogDelivery` + `route53:CreateQueryLoggingConfig` + `route53:DeleteQueryLoggingConfig` + `route53:GetHostedZone` + `route53resolver:AssociateResolverQueryLogConfig` + `route53resolver:CreateResolverQueryLogConfig` + `route53resolver:DeleteResolverQueryLogConfig` + `s3:GetBucketAcl` **Langkah Dokumen** + `aws:executeScript`- Memverifikasi sumber daya yang Anda tentukan untuk `ResourceId` parameter yang ada, dan memeriksa apakah jenis sumber daya cocok dengan `QueryLogType` opsi yang diperlukan. + `aws:executeScript`- Memverifikasi bahwa nilai yang Anda tentukan untuk `LogDestinationArn` parameter cocok dengan yang diperlukan`QueryLogType`. + `aws:executeScript`- Memverifikasi izin yang diperlukan untuk Route 53 untuk mempublikasikan log ke grup CloudWatch log Log, dan membuat kebijakan sumber daya IAM yang diperlukan jika tidak ada. + `aws:executeScript`- Mengaktifkan pencatatan query DNS pada tujuan yang dipilih.