Häufig gestellte Fragen - AWS Config
Meine letzten Konfigurationsänderungen können nicht angezeigt werdenIndirekte Beziehungen in AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Häufig gestellte Fragen

Meine letzten Konfigurationsänderungen können nicht angezeigt werden

Kann ich damit rechnen, dass ich meine Konfigurationsänderungen sofort sehe?

AWS Config zeichnet in der Regel Konfigurationsänderungen an Ihren Ressourcen auf, unmittelbar nachdem eine Änderung erkannt wurde, oder in der von Ihnen angegebenen Häufigkeit. Dies erfolgt jedoch nach bestem Wissen und kann manchmal länger dauern. Wenn die Probleme nach einiger Zeit weiterhin bestehen, wenden Sie sich an uns Supportund geben Sie Ihre von Amazon unterstützten AWS Config Messwerte an. CloudWatch Informationen zu diesen Kennzahlen finden Sie unter AWS Config Nutzungs- und Erfolgsmetriken.

Indirekte Beziehungen in AWS Config

Was ist eine Ressourcenbeziehung?

In beziehen sich Ressourcen auf Entitäten AWS, die verwaltbar sind, z. B. eine Amazon Elastic Compute Cloud (Amazon EC2) -Instance, einen AWS CloudFormation Stack oder einen Amazon S3 S3-Bucket. AWS Config ist ein Service, der Ressourcen verfolgt und überwacht, indem er Konfigurationselemente (CIs) erstellt, wann immer eine Änderung an einem aufgezeichneten Ressourcentyp festgestellt wird, oder bei der von Ihnen festgelegten Aufzeichnungshäufigkeit. Wenn es beispielsweise für die Nachverfolgung von EC2 Amazon-Instances eingerichtet AWS Config ist, erstellt es jedes Mal, wenn eine Instance erstellt, aktualisiert oder gelöscht wird, ein Konfigurationselement. Jedes von erstellte Konfigurationselement AWS Config hat mehrere FelderaccountId, darunter arn (Amazon-Ressourcenname)awsRegion,configuration,tags, undrelationships. Das Beziehungsfeld eines CI AWS Config ermöglicht die Anzeige, wie Ressourcen miteinander verknüpft sind. Eine Beziehung kann beispielsweise darauf hinweisen, dass ein Amazon EBS-Volume mit ID an eine EC2 Amazon-Instance mit ID angehängt vol-123ab45d isti-a1b2c3d4, die einer Sicherheitsgruppe sg-ef678hk zugeordnet ist.

Was ist eine direkte und eine indirekte Beziehung in Bezug auf eine Ressource?

AWS Config leitet die Beziehungen für die meisten Ressourcentypen aus dem Konfigurationsfeld ab, die als „direkte“ Beziehungen bezeichnet werden. Eine direkte Beziehung ist eine unidirektionale Verbindung (A→B) zwischen einer Ressource (A) und einer anderen Ressource (B), die typischerweise aus der Describe-API-Antwort der Ressource (A) abgerufen wird. In der Vergangenheit wurden für einige Ressourcentypen, die AWS Config ursprünglich unterstützt wurden, auch Beziehungen aus den Konfigurationen anderer Ressourcen erfasst, wodurch „indirekte“ Beziehungen geschaffen wurden, die bidirektional sind (B→A). Beispielsweise ist die Beziehung zwischen einer EC2 Amazon-Instance und ihrer Sicherheitsgruppe direkt, da die Sicherheitsgruppen in der Describe-API-Antwort für die EC2 Amazon-Instance enthalten sind. Andererseits ist die Beziehung zwischen einer Sicherheitsgruppe und einer EC2 Amazon-Instance indirekt, da die Beschreibung einer Sicherheitsgruppe keine Informationen über die Instances zurückgibt, mit denen sie verknüpft ist.

Indirekte Beziehungen können beispielsweise helfen, die folgenden Fragen zu beantworten:

  • Welche EC2 Instanzen in privaten Subnetzen sind betroffen, wenn ein NAT-Gateway ausfällt?

  • Bei welcher EC2 Instanz könnten Verbindungsprobleme auftreten, wenn eine Routing-Tabelle geändert wird?

  • Welche Sicherheitsgruppe wurde nie verwendet?

  • Welche sekundäre ENI, die an eine EC2 Instance angehängt ist, ist der Sicherheitsgruppe zugeordnet?

Wenn also eine Änderung der Ressourcenkonfiguration erkannt wird, wird AWS Config nicht nur ein CI für diese Ressource erstellt, sondern es wird auch CIs für alle zugehörigen Ressourcen generiert, einschließlich solcher mit indirekten Beziehungen. Wenn beispielsweise Änderungen an einer EC2 Amazon-Instance AWS Config erkannt werden, erstellt es ein CI für die Instance und ein CI für die Sicherheitsgruppe, die der Instance zugeordnet ist.

Welche indirekten Beziehungen werden AWS Config unterstützt?

Die folgenden indirekten Ressourcenbeziehungen werden in unterstützt AWS Config.

Ressourcentyp steht in indirektem Zusammenhang mit dem Ressourcentyp
AWS::EC2::RouteTable AWS::EC2::Instance, AWS::EC2::NetworkInterface, AWS::EC2::Subnet, AWS::EC2::VPNGateway, AWS::EC2::VPC
AWS::EC2::EIP AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Instance AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkACL AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::VPNConnection AWS::EC2::VPNGateway, AWS::EC2::CustomerGateway
AWS::EC2::InternetGateway AWS::EC2::VPC
AWS::EC2::SecurityGroup AWS::EC2::VPC
AWS::EC2::Subnet AWS::EC2::VPC
AWS::EC2::VPNGateway AWS::EC2::VPC

In welchen Szenarien werden indirekte Beziehungen verwendet?

Im Folgenden sind die AWS Dienste und die Funktionen des Dienstes aufgeführt, die eine indirekte Beziehung verwenden.

AWS Merkmal Szenario
AWS Config verwaltete Regel

Die ec2- security-group-attached-to -eni-Regel prüft, ob nicht standardmäßige Sicherheitsgruppen an Elastic Network Interfaces (ENI) angehängt sind.

Ohne eine indirekte Beziehung müssten Sie eine benutzerdefinierte Regel erstellen, um zu überprüfen, ob nicht standardmäßige Sicherheitsgruppen an eine ENI angehängt sind.
AWS Firewall Manager

Verwendung Die Audit Security Gruppenrichtlinie verwendet eine indirekte Beziehung, um zu ermitteln, wann eine Sicherheitsgruppe zuletzt verwendet wurde.

Ohne eine indirekte Beziehung müssten Sie eine Sicherheitsgruppe erstellen und gleichzeitig neuen Ressourcen zuordnen, um zu verhindern, dass die Regel mit AWS Firewall Manager ausgelöst wird.
Standardressourcen

  • Standardressourcen, wenn eine nicht standardmäßige VPC erstellt wird:

    • Standardsicherheitsgruppe, Standard-Netzwerk-ACL und Standard-Routing-Tabelle.

  • Standardressourcen, wenn eine Standard-VPC erstellt wird:

    • Alles, was mit einer nicht standardmäßigen VPC, einem Internet-Gateway und einem Standardsubnetz in jeder Availability Zone, auf die Sie Zugriff haben, erstellt wurde.

  • Die standardmäßige VPC-Erstellung erfolgt selbst, wenn ein Konto EC2 zum ersten Mal aufgerufen wird.

    • Standard-Subnetz, das für Konten in einer neu gestarteten Availability Zone erstellt wurde.

Ohne eine indirekte Beziehung müssten Sie bis zu 12 Stunden warten, bis Anti-Entropy Änderungen an Standardressourcen aufzeichnet.

Wie werden die Konfigurationselemente aufgrund der direkten und indirekten Beziehung erstellt?

Bei einer direkten Beziehung zwischen Ressourcen (A→B) wird bei jeder Konfigurationsänderung an der Ressource B auch ein Konfigurationselement (CI) für die Ressource A initiiert. Ähnlich wird bei einer indirekten Beziehung (B→A), wenn eine Konfigurationsänderung an Ressource A vorgenommen wird, ein neues CI für Ressource B generiert. Beispielsweise ist die EC2 Amazon-Instance zur Sicherheitsgruppe eine direkte Beziehung, sodass jede Konfigurationsänderung an einer Sicherheitsgruppe sowohl ein CI für die Sicherheitsgruppe als auch ein CI für die EC2 Instance generieren würde. In ähnlicher Weise ist die Sicherheitsgruppe zur EC2 Amazon-Instance eine indirekte Beziehung, sodass jede Konfigurationsänderung an einer EC2 Instance sowohl ein CI für die EC2 Amazon-Instance als auch ein CI für die Sicherheitsgruppe generieren würde.

Welche Konfigurationselemente werden aufgrund indirekter Beziehungen generiert?

Im Folgenden sind die zusätzlichen Konfigurationselemente (CIs) aufgeführt, die aufgrund indirekter Ressourcenbeziehungen generiert wurden.

Konfigurationsänderungen an folgenden Ressourcentypen wird CIs für die folgenden Ressourcentypen generiert
AWS::EC2::RouteTable AWS::EC2::Instance, AWS::EC2::NetworkInterface, AWS::EC2::Subnet, AWS::EC2::VPNGateway, und AWS::EC2::VPC
AWS::EC2::EIP AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Instance AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkACL AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::VPNConnection AWS::EC2::VPNGateway, AWS::EC2::CustomerGateway
AWS::EC2::InternetGateway AWS::EC2::VPC
AWS::EC2::SecurityGroup AWS::EC2::VPC
AWS::EC2::Subnet AWS::EC2::VPC
AWS::EC2::VPNGateway AWS::EC2::VPC

Wie deaktiviere ich die indirekte Beziehung?

Gehen Sie wie folgt vor, um die indirekte Beziehung zu deaktivieren:

  1. Öffnen Sie einen AWS -Support Fall von Ihrem Konto oder vom Verwaltungskonto für mehrere Konten aus.

  2. Wählen Sie Technisch als Supporttyp aus.

  3. Wählen Sie für Service aus AWS Config.

  4. Wählen Sie als Kategorie die Option Andere aus.

  5. Wählen Sie den entsprechenden Schweregrad aus.

  6. Geben Sie in der Betreffzeile „Indirekte Beziehung deaktivieren“ ein.

  7. In der Beschreibung:

    • Bestätigen Sie, dass Sie diese häufig gestellten Fragen gelesen haben und fortfahren möchten.

    • Geben Sie die Regionen an, in denen Sie die indirekte Beziehung deaktivieren möchten.

    • Wenn Sie von einem Verwaltungskonto aus einreichen, geben Sie das Konto IDs und die zugehörigen Regionen an.

    • Bei mehreren Konten können Sie eine CSV-Datei mit Konto IDs und Regionen anhängen.

Ein AWS -Support Techniker informiert Sie über die nächsten Schritte und informiert Sie über den aktuellen Status. Wir empfehlen Ihnen, eine Liste mit AWS Konten und Regionen zu führen, in denen indirekte Beziehungen deaktiviert sind. Reichen Sie für neue Konten einen neuen AWS -Support Fall ein, um die indirekte Beziehung zu deaktivieren.

Wie rufe ich Konfigurationsdaten ab, die sich auf indirekte Beziehungen beziehen?

Sie können SQL-Abfragen (Structured Query Language) in AWS Config Advanced Queries ausführen, um Konfigurationsdaten abzurufen, die sich auf indirekte Ressourcenbeziehungen beziehen. Wenn Sie beispielsweise die Liste der EC2 Amazon-Instances abrufen möchten, die sich auf eine Sicherheitsgruppe beziehen, verwenden Sie die folgende Abfrage:

SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'