本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # `AWSSupport-ConfigureDNSQueryLogging` **描述** `AWSSupport-ConfigureDNSQueryLogging` 运行手册为源自虚拟私有云 (VPC) 的或为 Amazon Route 53 托管区的 DNS 查询配置日志记录。您可以选择将查询日志发布到亚马逊日 CloudWatch 志、亚马逊简单存储服务 (Amazon S3) Service 或亚马逊 Data Firehose。有关查询日志记录和解析器查询日志的更多信息,请参阅[公共 DNS 查询日志记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html)和[解析器查询日志记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)。 [运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureDNSQueryLogging) **文档类型** 自动化 **所有者** Amazon **平台** Linux、macOS、Windows **参数** + AutomationAssumeRole 类型:字符串 描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。 + LogDestinationArn 类型:字符串 描述:(可选)您要向其发送查询日志的 CloudWatch 日志组、Amazon S3 存储桶或 Firehose 流的 ARN。请注意,Route 53 公共 DNS 查询日志记录仅支持 CloudWatch 日志组。如果您未为此参数指定值,则自动化会创建一个格式为的 CloudWatch 日志组` AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } `,以及用于发布查询日志的 IAM 资源策略。自动化创建的 CloudWatch 日志组的保留期为 14 天。 + QueryLogType 类型:字符串 描述:(可选)要记录的查询的类型。 有效值:公共 \$1 解析器/私有 默认:公共 + ResourceId 类型:字符串 描述:(必需)要记录其查询的资源的 ID。如果您为 `QueryLogType` 参数指定 `Public`,则资源必须是 Route 53 私有托管区的 ID。如果您 为 `QueryLogType` 参数指定 `Resolver/Private`,则资源必须是 VPC 的 ID。 **所需的 IAM 权限** `AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。 + `ec2:DescribeVpcs` + `firehose:ListTagsForDeliveryStream` + `firehose:PutRecord` + `firehose:PutRecordBatch` + `firehose:TagDeliveryStream` + `iam:AttachRolePolicy` + `iam:CreatePolicy` + `iam:CreateRole` + `iam:CreateServiceLinkedRole` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:TagRole` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `logs:DescribeResourcePolicies` + `logs:ListLogDeliveries` + `logs:PutResourcePolicy` + `logs:PutRetentionPolicy` + `logs:UpdateLogDelivery` + `route53:CreateQueryLoggingConfig` + `route53:DeleteQueryLoggingConfig` + `route53:GetHostedZone` + `route53resolver:AssociateResolverQueryLogConfig` + `route53resolver:CreateResolverQueryLogConfig` + `route53resolver:DeleteResolverQueryLogConfig` + `s3:GetBucketAcl` **文档步骤** + `aws:executeScript` - 验证您为 `ResourceId` 参数指定的资源是否存在,并检查资源类型是否匹配所需的 `QueryLogType` 选项。 + `aws:executeScript` - 验证您为 `LogDestinationArn` 参数指定的值是否匹配所需的 `QueryLogType` 值。 + `aws:executeScript`-验证 Route 53 向日志组发布日志所需的权限,如果不存在所需的 IAM 资源策略,则创建所需的 IAM 资源策略。 CloudWatch + `aws:executeScript` - 对所选目标启用 DNS 查询日志记录。