As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # `AWSSupport-ConfigureDNSQueryLogging` **Descrição** O runbook `AWSSupport-ConfigureDNSQueryLogging` configura o registro em log para consultas ao DNS que se originam em sua nuvem privada virtual (VPC) ou em zonas hospedadas do Amazon Route 53. Você pode optar por publicar registros de consulta no Amazon CloudWatch Logs, no Amazon Simple Storage Service (Amazon S3) ou no Amazon Data Firehose. Para obter mais informações sobre logs de consultas e logs de consultas do resolvedor, consulte [log público de consultas ao DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html) e [log de consultas do resolvedor](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html). [Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureDNSQueryLogging) **Tipo de documento** Automação **Proprietário** Amazon **Plataformas** Linux, macOS, Windows **Parâmetros** + AutomationAssumeRole Tipo: String Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook. + LogDestinationArn Tipo: string Descrição: (Opcional) O ARN do grupo CloudWatch Logs, bucket do Amazon S3 ou stream do Firehose para o qual você deseja enviar registros de consulta. Observe que o registro de consultas DNS públicas do Route 53 só oferece suporte a grupos de CloudWatch registros. Se você não especificar um valor para esse parâmetro, a automação cria um grupo de CloudWatch registros com o formato ` AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } ` e uma política de recursos do IAM para publicar os registros de consulta. O grupo de CloudWatch registros criado pela automação tem um período de retenção de 14 dias. + QueryLogType Tipo: string Descrição: (opcional) Os tipos de consultas que deseja fazer o log. Valores válidos: Public \$1 Resolver/Private Padrão: Public + ResourceId Tipo: string Descrição: (obrigatório) O ID do recurso cujas consultas deseja fazer o log. Se `Public` for especificado para o parâmetro `QueryLogType`, o recurso deverá ser o ID de uma zona hospedada privada do Route 53. Se você especificar `Resolver/Private` para o parâmetro `QueryLogType`, o recurso deverá ser o ID de uma VPC. **Permissões obrigatórias do IAM** O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito. + `ec2:DescribeVpcs` + `firehose:ListTagsForDeliveryStream` + `firehose:PutRecord` + `firehose:PutRecordBatch` + `firehose:TagDeliveryStream` + `iam:AttachRolePolicy` + `iam:CreatePolicy` + `iam:CreateRole` + `iam:CreateServiceLinkedRole` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:TagRole` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `logs:DescribeResourcePolicies` + `logs:ListLogDeliveries` + `logs:PutResourcePolicy` + `logs:PutRetentionPolicy` + `logs:UpdateLogDelivery` + `route53:CreateQueryLoggingConfig` + `route53:DeleteQueryLoggingConfig` + `route53:GetHostedZone` + `route53resolver:AssociateResolverQueryLogConfig` + `route53resolver:CreateResolverQueryLogConfig` + `route53resolver:DeleteResolverQueryLogConfig` + `s3:GetBucketAcl` **Etapas do documento** + `aws:executeScript` :Verifica se o recurso especificado para o parâmetro `ResourceId` existe e se o tipo de recurso corresponde à opção `QueryLogType` obrigatória. + `aws:executeScript` :Verifica se o valor especificado para o parâmetro `LogDestinationArn` corresponde ao `QueryLogType` obrigatório. + `aws:executeScript`- Verifica as permissões necessárias para o Route 53 publicar registros no grupo de CloudWatch registros de registros e cria a política de recursos do IAM necessária, caso ela não exista. + `aws:executeScript` :Habilita o log de consultas ao DNS no destino selecionado.