翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # `AWSSupport-ConfigureDNSQueryLogging` **説明** `AWSSupport-ConfigureDNSQueryLogging` ランブックは、仮想プライベートクラウド (VPC) または Amazon Route 53 ホストゾーンで発生する DNS クエリのロギングを設定します。Amazon CloudWatch Logs、Amazon Simple Storage Service (Amazon S3)、または Amazon Data Firehose にクエリログを発行することを選択できます。クエリロギングとリゾルバークエリログの詳細については、[「パブリック DNS クエリロギング」](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html)と[「リゾルバークエリロギング」](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)を参照してください。 [このオートメーションを実行する (コンソール)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureDNSQueryLogging) **ドキュメントタイプ** オートメーション **[所有者]** Amazon **[Platforms]** (プラットフォーム) Linux、macOS、Windows **パラメータ** + AutomationAssumeRole タイプ: 文字列 説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。 + LogDestinationArn タイプ: 文字列 説明: (オプション) クエリログを送信する CloudWatch Logs グループ、Amazon S3 バケット、または Firehose ストリームの ARN。Route 53 パブリック DNS クエリロギングは CloudWatch Logs グループのみをサポートしていることに注意してください。このパラメータに値を指定しない場合、自動化では ` AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } ` という形式で CloudWatch Logs グループを作成し、クエリログを公開する IAM リソースポリシーを作成します。自動化によって作成された CloudWatch Logs グループの保持期間は 14 日間です。 + QueryLogType タイプ: 文字列 説明: (オプション) 記録するクエリのタイプ。 有効な値: パブリック \$1 リゾルバー/プライベート デフォルト: パブリック + ResourceId タイプ: 文字列 説明: (必須) クエリを記録するリソースの ID。`QueryLogType` パラメータに `Public` を指定する場合、リソースは Route 53 プライベートホストゾーンの ID である必要があります。`QueryLogType` パラメータに `Resolver/Private` を指定する場合、リソースは VPC の ID である必要があります。 **必要な IAM アクセス許可** `AutomationAssumeRole` パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。 + `ec2:DescribeVpcs` + `firehose:ListTagsForDeliveryStream` + `firehose:PutRecord` + `firehose:PutRecordBatch` + `firehose:TagDeliveryStream` + `iam:AttachRolePolicy` + `iam:CreatePolicy` + `iam:CreateRole` + `iam:CreateServiceLinkedRole` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:TagRole` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `logs:DescribeResourcePolicies` + `logs:ListLogDeliveries` + `logs:PutResourcePolicy` + `logs:PutRetentionPolicy` + `logs:UpdateLogDelivery` + `route53:CreateQueryLoggingConfig` + `route53:DeleteQueryLoggingConfig` + `route53:GetHostedZone` + `route53resolver:AssociateResolverQueryLogConfig` + `route53resolver:CreateResolverQueryLogConfig` + `route53resolver:DeleteResolverQueryLogConfig` + `s3:GetBucketAcl` **ドキュメントステップ** + `aws:executeScript` - `ResourceId` パラメータに指定したリソースが存在することを確認し、リソースタイプが必須の `QueryLogType` オプションと一致するかどうかを確認します。 + `aws:executeScript` - `LogDestinationArn` パラメータに指定した値が必須の `QueryLogType` 値と一致することを確認します。 + `aws:executeScript` - Route 53 が CloudWatch Logs ロググループにログを発行するために必要な権限を確認し、必要な IAM リソースポリシーが存在しない場合はそれを作成します。 + `aws:executeScript` - 選択した宛先で DNS クエリのロギングを有効にします。