Impossible de voir mes dernières modifications de configuration Relations indirectes dans AWS Config

Questions fréquentes (FAQ)

Impossible de voir mes dernières modifications de configuration

Puis-je m'attendre à voir mes modifications de configuration immédiatement ?

AWS Config enregistre généralement les modifications de configuration de vos ressources juste après la détection d'une modification, ou à la fréquence que vous spécifiez. Cependant, cela se fait dans la mesure du possible et peut parfois prendre plus de temps. Si les problèmes persistent après un certain temps, contactez Supportet fournissez vos AWS Config statistiques prises en charge par Amazon CloudWatch. Pour plus d'informations sur ces mesures, consultez la section Mesures AWS Config d'utilisation et de réussite.

Relations indirectes dans AWS Config

Rubriques

Qu'est-ce que la relation entre les ressources ?
Que sont les relations directes et indirectes entre les ressources ?
Quelles sont les relations indirectes prises AWS Config en charge ?
Quels scénarios utilisent une relation indirecte ?
Comment les éléments de configuration sont-ils créés en cas de relation directe et indirecte ?
Quels sont les éléments de configuration générés par les relations indirectes ?
Comment désactiver la relation indirecte ?
Comment récupérer les données de configuration liées aux relations indirectes ?

Qu'est-ce que la relation entre les ressources ?

Dans AWS, les ressources font référence à des entités gérables, telles qu'une instance Amazon Elastic Compute Cloud (Amazon EC2), une AWS CloudFormation pile ou un compartiment Amazon S3. AWS Config est un service qui suit et surveille les ressources en créant des éléments de configuration (CIs) chaque fois qu'une modification d'un type de ressource enregistrée est détectée, ou à la fréquence d'enregistrement que vous avez définie. Par exemple, lorsqu'il AWS Config est configuré pour suivre les EC2 instances Amazon, il crée un élément de configuration chaque fois qu'une instance est créée, mise à jour ou supprimée. Chaque élément de configuration créé par AWS Config comporte plusieurs champsaccountId, notamment arn (Amazon Resource Name)awsRegion,configuration,tags, etrelationships. Le champ de relations d'un CI permet d' AWS Config afficher comment les ressources sont liées les unes aux autres. Par exemple, une relation peut indiquer qu'un volume Amazon EBS avec ID vol-123ab45d est attaché à une EC2 instance Amazon avec IDi-a1b2c3d4, qui est associée à un groupe sg-ef678hk de sécurité.

Que sont les relations directes et indirectes entre les ressources ?

AWS Config déduit les relations pour la plupart des types de ressources à partir du champ de configuration, appelées relations « directes ». Une relation directe est une connexion unidirectionnelle (A→B) entre une ressource (A) et une autre ressource (B), généralement obtenue à partir de la réponse de description de l'API de la ressource (A). Dans le passé, pour certains types de ressources AWS Config initialement pris en charge, il capturait également les relations issues des configurations d'autres ressources, créant ainsi des relations « indirectes » bidirectionnelles (B→A). Par exemple, la relation entre une EC2 instance Amazon et son groupe de sécurité est directe car les groupes de sécurité sont inclus dans la réponse de description de l'API pour l' EC2 instance Amazon. D'autre part, la relation entre un groupe de sécurité et une EC2 instance Amazon est indirecte car la description d'un groupe de sécurité ne renvoie aucune information sur les instances auxquelles il est associé.

Par exemple, les relations indirectes peuvent aider à répondre aux questions suivantes :

En cas de défaillance d'une passerelle NAT, quelles EC2 instances des sous-réseaux privés sont affectées ?
Si une table de routage est modifiée, quelle EC2 instance peut rencontrer des problèmes de connectivité ?
Quel groupe de sécurité n'a jamais été utilisé ?
Quelle ENI secondaire attachée à une EC2 instance est associée au groupe de sécurité ?

Par conséquent, lorsqu'un changement de configuration de ressource est détecté, AWS Config non seulement un CI est créé pour cette ressource, mais également CIs pour toutes les ressources associées, y compris celles présentant des relations indirectes. Par exemple, lorsqu'il AWS Config détecte des modifications dans une EC2 instance Amazon, il crée un CI pour l'instance et un CI pour le groupe de sécurité associé à l'instance.

Quelles sont les relations indirectes prises AWS Config en charge ?

Les relations de ressources indirectes suivantes sont prises en charge dans AWS Config.

Type de ressource	est indirectement lié au type de ressource
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`,`AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

Quels scénarios utilisent une relation indirecte ?

Vous trouverez ci-dessous les AWS services et les fonctionnalités du service utilisant une relation indirecte.

AWS fonctionnalité	Scénario
AWS Config règle gérée	La règle ec2- security-group-attached-to -eni vérifie si des groupes de sécurité autres que ceux par défaut sont attachés aux Elastic Network Interfaces (ENI). Sans relation indirecte, vous devez créer une règle personnalisée pour vérifier si des groupes de sécurité autres que ceux par défaut sont attachés à un ENI.
AWS Firewall Manager	Audit d'utilisation La politique du groupe de sécurité utilise une relation indirecte pour comprendre quand un groupe de sécurité a été utilisé pour la dernière fois. Sans relation indirecte, vous devez créer et associer un groupe de sécurité à de nouvelles ressources en même temps pour éviter de déclencher la règle avec AWS Firewall Manager.
Ressources par défaut	Ressources par défaut lorsqu'un VPC autre que le VPC par défaut est créé : Groupe de sécurité par défaut, ACL réseau par défaut et table de routage par défaut. Ressources par défaut lors de la création d'un VPC par défaut : Tout ce qui est créé avec un VPC autre que celui par défaut, une passerelle Internet et un sous-réseau par défaut dans chaque zone de disponibilité à laquelle vous avez accès. Création d'un VPC par défaut elle-même lorsqu'un compte appelle EC2 pour la première fois. Sous-réseau par défaut créé pour les comptes dans une zone de disponibilité récemment lancée. Sans relation indirecte, il faudrait attendre jusqu'à 12 heures pour que l'anti-entropie enregistre les modifications apportées aux ressources par défaut.

AWS fonctionnalité

Scénario

AWS Config règle gérée

La règle ec2- security-group-attached-to -eni vérifie si des groupes de sécurité autres que ceux par défaut sont attachés aux Elastic Network Interfaces (ENI).

Sans relation indirecte, vous devez créer une règle personnalisée pour vérifier si des groupes de sécurité autres que ceux par défaut sont attachés à un ENI.

AWS Firewall Manager

Audit d'utilisation La politique du groupe de sécurité utilise une relation indirecte pour comprendre quand un groupe de sécurité a été utilisé pour la dernière fois.

Sans relation indirecte, vous devez créer et associer un groupe de sécurité à de nouvelles ressources en même temps pour éviter de déclencher la règle avec AWS Firewall Manager.

Ressources par défaut

Ressources par défaut lorsqu'un VPC autre que le VPC par défaut est créé :
- Groupe de sécurité par défaut, ACL réseau par défaut et table de routage par défaut.
Ressources par défaut lors de la création d'un VPC par défaut :
- Tout ce qui est créé avec un VPC autre que celui par défaut, une passerelle Internet et un sous-réseau par défaut dans chaque zone de disponibilité à laquelle vous avez accès.
Création d'un VPC par défaut elle-même lorsqu'un compte appelle EC2 pour la première fois.
- Sous-réseau par défaut créé pour les comptes dans une zone de disponibilité récemment lancée.

Sans relation indirecte, il faudrait attendre jusqu'à 12 heures pour que l'anti-entropie enregistre les modifications apportées aux ressources par défaut.

Comment les éléments de configuration sont-ils créés en cas de relation directe et indirecte ?

Pour une relation directe entre les ressources (A→B), tout changement de configuration apporté à la ressource B générera également un élément de configuration (CI) pour la ressource A. De même, pour une relation indirecte (B→A), lorsqu'une modification de configuration est apportée à la ressource A, un nouveau CI est généré pour la ressource B. Par exemple, Amazon entre une EC2 instance et un groupe de sécurité est une relation directe, de sorte que toute modification de configuration apportée à un groupe de sécurité générera un CI pour le groupe de sécurité ainsi qu'un CI pour l' EC2instance. De même, le groupe de sécurité et l' EC2 instance Amazon sont une relation indirecte, de sorte que toute modification de configuration apportée à une EC2 instance génèrera un CI pour l' EC2instance Amazon ainsi qu'un CI pour le groupe de sécurité.

Quels sont les éléments de configuration générés par les relations indirectes ?

Vous trouverez ci-dessous les éléments de configuration supplémentaires (CIs) générés en raison de relations de ressources indirectes.

Des changements de configuration sont apportés aux types de ressources suivants	sera généré CIs pour les types de ressources suivants
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`, `AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, et `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

Comment désactiver la relation indirecte ?

Procédez comme suit pour désactiver la relation indirecte :

Ouvrez un AWS Support dossier depuis votre compte ou depuis le compte de gestion pour plusieurs comptes.
Sélectionnez Technique pour le type de support.
Pour Service, sélectionnez AWS Config.
Pour Catégorie, sélectionnez Autre.
Sélectionnez le niveau de gravité approprié.
Entrez Désactiver la relation indirecte dans la ligne d'objet.
Dans la description :
- Confirmez que vous avez lu cette FAQ et que vous souhaitez continuer.
- Répertoriez les régions dans lesquelles vous souhaitez désactiver les relations indirectes.
- Si vous soumettez depuis un compte de gestion, incluez le compte IDs et les régions associées.
- Pour plusieurs comptes, vous pouvez joindre un fichier CSV avec le compte IDs et les régions.

Un AWS Support ingénieur fournira les prochaines étapes et des mises à jour sur le statut. Nous vous recommandons de conserver une liste des AWS comptes et des régions dans lesquels la relation indirecte est désactivée. Pour les nouveaux comptes, soumettez un nouveau AWS Support dossier pour désactiver la relation indirecte.

Comment récupérer les données de configuration liées aux relations indirectes ?

Vous pouvez exécuter des requêtes SQL (Structured Query Language) dans les requêtes AWS Config avancées pour récupérer les données de configuration relatives aux relations de ressources indirectes. Par exemple, si vous souhaitez récupérer la liste des EC2 instances Amazon associées à un groupe de sécurité, utilisez la requête suivante :


SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création d'un point de terminaison de VPC

Exemples de code