本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # `AWSSupport-ConfigureDNSQueryLogging` **Description** `AWSSupport-ConfigureDNSQueryLogging` Runbook 會為源自您虛擬私有雲端 (VPC) 的 DNS 查詢或 Amazon Route 53 託管區域的 DNS 查詢設定記錄。您可以選擇將查詢日誌發佈至 Amazon CloudWatch Logs、Amazon Simple Storage Service (Amazon S3) 或 Amazon Data Firehose。如需查詢記錄和解析程式查詢日誌的詳細資訊,請參閱[公有 DNS 查詢記錄](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html)和[解析程式查詢記錄](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)。 [執行此自動化 (主控台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureDNSQueryLogging) **文件類型**  自動化 **擁有者** Amazon **平台** Linux、macOS、 Windows **參數** + AutomationAssumeRole 類型:字串 描述:(選用) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。如果未指定角色,Systems Manager Automation 會使用啟動此 Runbook 之使用者的許可。 + LogDestinationArn 類型:字串 描述:(選用) 您要傳送查詢日誌的 CloudWatch Logs 群組、Amazon S3 儲存貯體或 Firehose 串流的 ARN。請注意,Route 53 公有 DNS 查詢記錄僅支援 CloudWatch Logs 群組。如果您未指定此參數的值,自動化會建立格式為 ` AWSSupport-ConfigureDNSQueryLogging-{automation: EXECUTION_ID } ` 的 CloudWatch Logs 群組,以及發佈查詢日誌的 IAM 資源政策。自動化建立的 CloudWatch Logs 群組的保留期間為 14 天。 + QueryLogType 類型:字串 描述:(選用) 您要記錄的查詢類型。 有效值:公有 \$1 Resolver/Private 預設:公有 + ResourceId 類型:字串 描述:(必要) 您要記錄其查詢的資源 ID。如果您`Public`為 `QueryLogType` 參數指定 ,資源必須是 Route 53 私有託管區域的 ID。如果您`Resolver/Private`為 `QueryLogType` 參數指定 ,資源必須是 VPC 的 ID。 **必要的 IAM 許可** `AutomationAssumeRole` 參數需要下列動作才能成功使用 Runbook。 + `ec2:DescribeVpcs` + `firehose:ListTagsForDeliveryStream` + `firehose:PutRecord` + `firehose:PutRecordBatch` + `firehose:TagDeliveryStream` + `iam:AttachRolePolicy` + `iam:CreatePolicy` + `iam:CreateRole` + `iam:CreateServiceLinkedRole` + `iam:DeletePolicy` + `iam:DeleteRole` + `iam:DeleteRolePolicy` + `iam:GetPolicy` + `iam:GetRole` + `iam:PassRole` + `iam:PutRolePolicy` + `iam:TagRole` + `iam:UpdateRole` + `logs:CreateLogDelivery` + `logs:CreateLogGroup` + `logs:DeleteLogDelivery` + `logs:DeleteLogGroup` + `logs:DescribeLogGroups` + `logs:DescribeLogStreams` + `logs:DescribeResourcePolicies` + `logs:ListLogDeliveries` + `logs:PutResourcePolicy` + `logs:PutRetentionPolicy` + `logs:UpdateLogDelivery` + `route53:CreateQueryLoggingConfig` + `route53:DeleteQueryLoggingConfig` + `route53:GetHostedZone` + `route53resolver:AssociateResolverQueryLogConfig` + `route53resolver:CreateResolverQueryLogConfig` + `route53resolver:DeleteResolverQueryLogConfig` + `s3:GetBucketAcl` **文件步驟** + `aws:executeScript` - 驗證您為`ResourceId`參數指定的資源是否存在,並檢查資源類型是否符合所需的`QueryLogType`選項。 + `aws:executeScript` - 驗證您為 `LogDestinationArn` 參數指定的值是否符合所需的 `QueryLogType` 。 + `aws:executeScript` - 驗證 Route 53 發佈日誌至 CloudWatch Logs 日誌群組所需的許可,並在日誌不存在時建立所需的 IAM 資源政策。 + `aws:executeScript` - 在選取的目的地上啟用 DNS 查詢記錄。