No puedo ver los últimos cambios de configuración Relaciones indirectas en AWS Config

Preguntas frecuentes

No puedo ver los últimos cambios de configuración

¿Debería poder ver los cambios de configuración de inmediato?

AWS Config por lo general, registra los cambios de configuración de los recursos inmediatamente después de detectar un cambio o con la frecuencia que especifique. Aunque el sistema hace todo lo posible porque sea así, a veces puede tardar más tiempo. Si los problemas persisten después de un tiempo, ponte en contacto con Amazon Soportey proporciona tus AWS Config estadísticas compatibles CloudWatch. Para obtener más información sobre estas métricas, consulte AWS Config Usage and Success Metrics.

Relaciones indirectas en AWS Config

Temas

¿Qué es una relación de recursos?
¿Qué es una relación directa e indirecta con respecto a un recurso?
¿Qué relaciones indirectas AWS Config admite?
¿Qué escenarios utilizan la relación indirecta?
¿Cómo se crean los elementos de configuración según la relación directa e indirecta?
¿Cuáles son los elementos de configuración que se generan por las relaciones indirectas?
¿Cómo deshabilito la relación indirecta?
¿Cómo puedo obtener los datos de configuración vinculados con las relaciones indirectas?

¿Qué es una relación de recursos?

En AWS, los recursos se refieren a entidades que se pueden administrar, como una instancia de Amazon Elastic Compute Cloud (Amazon EC2), una AWS CloudFormation pila o un bucket de Amazon S3. AWS Config es un servicio que rastrea y monitorea los recursos mediante la creación de elementos de configuración (CIs) cada vez que se detecta un cambio en un tipo de recurso registrado, o con la frecuencia de grabación que usted establezca. Por ejemplo, cuando AWS Config se configura para rastrear EC2 las instancias de Amazon, crea un elemento de configuración cada vez que se crea, actualiza o elimina una instancia. Cada elemento de configuración creado por AWS Config tiene varios campos, entre los que se incluyenaccountId, arn (Nombre del recurso de Amazon) awsRegionconfiguration,tags,, yrelationships. El campo de relaciones de un CI permite AWS Config mostrar cómo se vinculan los recursos entre sí. Por ejemplo, una relación puede indicar que un volumen de Amazon EBS con ID vol-123ab45d está adjunto a una EC2 instancia de Amazon con IDi-a1b2c3d4, que está asociada a un grupo sg-ef678hk de seguridad.

¿Qué es una relación directa e indirecta con respecto a un recurso?

AWS Config deriva las relaciones para la mayoría de los tipos de recursos del campo de configuración, que se denominan relaciones «directas». Una relación directa es una conexión unidireccional (A→B) entre un recurso (A) y otro recurso (B), que normalmente se obtiene a partir de la respuesta descrita por la API del recurso (A). En el pasado, para algunos tipos de recursos que AWS Config inicialmente eran compatibles, también capturaba las relaciones de las configuraciones de otros recursos, creando relaciones «indirectas» que eran bidireccionales (B→A). Por ejemplo, la relación entre una EC2 instancia de Amazon y su grupo de seguridad es directa porque los grupos de seguridad se incluyen en la respuesta de la API descrita para la EC2 instancia de Amazon. Por otro lado, la relación entre un grupo de seguridad y una EC2 instancia de Amazon es indirecta porque la descripción de un grupo de seguridad no devuelve ninguna información sobre las instancias a las que está asociado.

Por ejemplo, las relaciones indirectas pueden ayudar a responder a las siguientes preguntas:

Cuando se produce un error en una puerta de enlace NAT, ¿qué EC2 instancias de las subredes privadas se ven afectadas?
Si se modifica una tabla de enrutamiento, ¿qué EC2 instancia podría experimentar problemas de conectividad?
¿Qué grupo de seguridad nunca se usó?
¿Qué ENI secundario adjunto a una EC2 instancia está asociado al grupo de seguridad?

Como resultado, cuando se detecta un cambio en la configuración de un recurso, AWS Config no solo se crea un CI para ese recurso, sino que también se genera CIs para cualquier recurso relacionado, incluidos los que tienen relaciones indirectas. Por ejemplo, cuando AWS Config detecta cambios en una EC2 instancia de Amazon, crea un CI para la instancia y un CI para el grupo de seguridad asociado a la instancia.

¿Qué relaciones indirectas AWS Config admite?

Se admiten las siguientes relaciones indirectas de recursos AWS Config.

Tipo de recurso	está relacionado indirectamente con el tipo de recurso
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`,`AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

¿Qué escenarios utilizan la relación indirecta?

A continuación se muestran los AWS servicios y la función del servicio que utilizan una relación indirecta.

AWS característica	Escenario
AWS Config regla gestionada	La regla ec2- security-group-attached-to -eni comprueba si los grupos de seguridad no predeterminados están conectados a las interfaces de red elásticas (ENI). Sin una relación indirecta, tendría que crear una regla personalizada para comprobar si los grupos de seguridad no predeterminados están conectados a un ENI.
AWS Firewall Manager	La política de auditoría de uso de los grupos de seguridad utiliza una relación indirecta para saber cuándo se utilizó un grupo de seguridad por última vez. Sin una relación indirecta, tendría que crear y asociar un grupo de seguridad a los nuevos recursos al mismo tiempo para evitar activar la regla. AWS Firewall Manager
Recursos predeterminados	Recursos predeterminados cuando se crea una VPC no predeterminada: Grupo de seguridad predeterminado, ACL de red predeterminada y tabla de enrutamiento predeterminada. Recursos predeterminados cuando se crea una VPC predeterminada: Todo lo que se crea con una VPC no predeterminada, una puerta de enlace a Internet y una subred predeterminada en cada zona de disponibilidad a la que tenga acceso. La VPC se crea automáticamente por defecto cuando una cuenta llama EC2 por primera vez. Se crea una subred predeterminada para las cuentas de una zona de disponibilidad recién lanzada. Sin una relación indirecta, tendría que esperar hasta 12 horas para que Antientropy registre los cambios en los recursos predeterminados.

AWS característica

Escenario

AWS Config regla gestionada

La regla ec2- security-group-attached-to -eni comprueba si los grupos de seguridad no predeterminados están conectados a las interfaces de red elásticas (ENI).

Sin una relación indirecta, tendría que crear una regla personalizada para comprobar si los grupos de seguridad no predeterminados están conectados a un ENI.

AWS Firewall Manager

La política de auditoría de uso de los grupos de seguridad utiliza una relación indirecta para saber cuándo se utilizó un grupo de seguridad por última vez.

Sin una relación indirecta, tendría que crear y asociar un grupo de seguridad a los nuevos recursos al mismo tiempo para evitar activar la regla. AWS Firewall Manager

Recursos predeterminados

Recursos predeterminados cuando se crea una VPC no predeterminada:
- Grupo de seguridad predeterminado, ACL de red predeterminada y tabla de enrutamiento predeterminada.
Recursos predeterminados cuando se crea una VPC predeterminada:
- Todo lo que se crea con una VPC no predeterminada, una puerta de enlace a Internet y una subred predeterminada en cada zona de disponibilidad a la que tenga acceso.
La VPC se crea automáticamente por defecto cuando una cuenta llama EC2 por primera vez.
- Se crea una subred predeterminada para las cuentas de una zona de disponibilidad recién lanzada.

Sin una relación indirecta, tendría que esperar hasta 12 horas para que Antientropy registre los cambios en los recursos predeterminados.

¿Cómo se crean los elementos de configuración según la relación directa e indirecta?

En el caso de una relación directa entre los recursos (A→B), cualquier cambio de configuración en el recurso B también iniciará un elemento de configuración (CI) para el recurso A. Del mismo modo, para una relación indirecta (B→A), cuando se produce un cambio de configuración en el recurso A, se generará un nuevo CI para el recurso B. Por ejemplo, la EC2 instancia de Amazon con el grupo de seguridad es una relación directa, por lo que cualquier cambio de configuración en un grupo de seguridad generará un CI para el grupo de seguridad y un CI para la EC2 instancia. Del mismo modo, el grupo de seguridad con la EC2 instancia de Amazon es una relación indirecta, por lo que cualquier cambio de configuración en una EC2 instancia generaría un CI para la EC2 instancia de Amazon y un CI para el grupo de seguridad.

¿Cuáles son los elementos de configuración que se generan por las relaciones indirectas?

A continuación, se muestran los elementos de configuración adicionales (CIs) generados debido a las relaciones indirectas entre los recursos.

Cambios de configuración de los siguientes tipos de recurso	se generará CIs para los siguientes tipos de recursos
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`, `AWS::EC2::Subnet`, `AWS::EC2::VPNGateway` y `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

¿Cómo deshabilito la relación indirecta?

Complete los siguientes pasos para deshabilitar la relación indirecta:

Abre un AWS Support caso desde tu cuenta o desde la cuenta de administración para varias cuentas.
Seleccione Técnico para el tipo de soporte.
En Servicio, seleccione AWS Config.
En Categoría, selecciona Otros.
Seleccione el nivel de gravedad adecuado.
Escriba Disable Indirect Relationship en la línea de asunto.
En la descripción:
- Confirma que has leído estas preguntas frecuentes y quieres continuar.
- Enumere las regiones en las que desea deshabilitar la relación indirecta.
- Si la envía desde una cuenta de administración, incluya la cuenta IDs y sus regiones asociadas.
- En el caso de varias cuentas, puedes adjuntar un archivo CSV con la cuenta IDs y las regiones.

Un AWS Support ingeniero le proporcionará los próximos pasos y las actualizaciones de estado. Le recomendamos que mantenga una lista de AWS cuentas y regiones en las que la relación indirecta esté deshabilitada. En el caso de cuentas nuevas, envía un nuevo AWS Support caso para deshabilitar la relación indirecta.

¿Cómo puedo obtener los datos de configuración vinculados con las relaciones indirectas?

Puede ejecutar consultas de lenguaje de consulta estructurado (SQL) en las consultas AWS Config avanzadas para recuperar los datos de configuración relacionados con las relaciones indirectas de los recursos. Por ejemplo, si desea recuperar la lista de EC2 instancias de Amazon relacionadas con un grupo de seguridad, utilice la siguiente consulta:


SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Crear un punto de enlace de la VPC

Ejemplos de código