Pertanyaan yang Sering Diajukan - AWS Config
Tidak dapat melihat perubahan konfigurasi terbaru sayaHubungan Tidak Langsung di AWS Config

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertanyaan yang Sering Diajukan

Tidak dapat melihat perubahan konfigurasi terbaru saya

Dapatkah saya berharap untuk melihat perubahan konfigurasi saya segera?

AWS Config biasanya mencatat perubahan konfigurasi ke sumber daya Anda tepat setelah perubahan terdeteksi, atau pada frekuensi yang Anda tentukan. Namun, ini atas dasar upaya terbaik dan kadang-kadang bisa memakan waktu lebih lama. Jika masalah berlanjut setelah beberapa waktu, hubungi Dukungandan berikan AWS Config metrik Anda yang didukung oleh Amazon. CloudWatch Untuk informasi tentang metrik ini, lihat Metrik AWS Config Penggunaan dan Sukses.

Hubungan Tidak Langsung di AWS Config

Apa itu hubungan sumber daya?

Di AWS, sumber daya merujuk ke entitas yang dapat dikelola, seperti instans Amazon Elastic Compute Cloud EC2 (Amazon), AWS CloudFormation tumpukan, atau bucket Amazon S3. AWS Config adalah layanan yang melacak dan memantau sumber daya dengan membuat item konfigurasi (CIs) setiap kali perubahan ke jenis sumber daya yang direkam terdeteksi, atau pada frekuensi perekaman yang Anda tetapkan. Misalnya, ketika AWS Config diatur untuk melacak EC2 instans Amazon, itu akan membuat item konfigurasi setiap kali instance dibuat, diperbarui, atau dihapus. Setiap item konfigurasi yang dibuat oleh AWS Config memiliki beberapa bidang, termasukaccountId, arn (Nama Sumber Daya Amazon),awsRegion,configuration,tags, danrelationships. Bidang hubungan CI memungkinkan AWS Config untuk menampilkan bagaimana sumber daya dihubungkan satu sama lain. Misalnya, hubungan dapat menunjukkan bahwa volume Amazon EBS dengan ID vol-123ab45d dilampirkan ke EC2 instans Amazon dengan IDi-a1b2c3d4, yang terkait dengan grup sg-ef678hk keamanan.

Apa hubungan langsung dan tidak langsung sehubungan dengan sumber daya?

AWS Config menurunkan hubungan untuk sebagian besar jenis sumber daya dari bidang konfigurasi, yang disebut hubungan “langsung”. Hubungan langsung adalah koneksi satu arah (A→B) antara sumber daya (A) dan sumber daya lain (B), biasanya diperoleh dari respon API deskripsi sumber daya (A). Di masa lalu, untuk beberapa jenis sumber daya yang AWS Config awalnya didukung, ia juga menangkap hubungan dari konfigurasi sumber daya lain, menciptakan hubungan “tidak langsung” yang dua arah (B→A). Misalnya, hubungan antara EC2 instans Amazon dan grup keamanannya bersifat langsung karena grup keamanan disertakan dalam respons API deskripsi untuk EC2 instans Amazon. Di sisi lain, hubungan antara grup keamanan dan EC2 instans Amazon tidak langsung karena menggambarkan grup keamanan tidak mengembalikan informasi apa pun tentang instance yang terkait dengannya.

Misalnya, hubungan tidak langsung dapat membantu menjawab pertanyaan-pertanyaan berikut:

  • Ketika Gateway NAT gagal, EC2 instance mana di subnet pribadi yang terpengaruh?

  • Jika tabel rute dimodifikasi, EC2 instance mana yang mungkin mengalami masalah konektivitas?

  • Kelompok keamanan mana yang tidak pernah digunakan?

  • ENI sekunder mana yang melekat pada EC2 instance yang terkait dengan grup keamanan?

Akibatnya, ketika perubahan konfigurasi sumber daya terdeteksi, AWS Config tidak hanya membuat CI untuk sumber daya itu, tetapi juga menghasilkan CIs untuk sumber daya terkait, termasuk yang memiliki hubungan tidak langsung. Misalnya, ketika AWS Config mendeteksi perubahan dalam EC2 instans Amazon, itu membuat CI untuk instance dan CI untuk grup keamanan yang terkait dengan instance.

Hubungan tidak langsung mana yang AWS Config mendukung?

Hubungan sumber daya tidak langsung berikut didukung di AWS Config.

Jenis sumber daya secara tidak langsung terkait dengan jenis sumber daya
AWS::EC2::RouteTable AWS::EC2::Instance, AWS::EC2::NetworkInterface, AWS::EC2::Subnet, AWS::EC2::VPNGateway, AWS::EC2::VPC
AWS::EC2::EIP AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Instance AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkACL AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::VPNConnection AWS::EC2::VPNGateway, AWS::EC2::CustomerGateway
AWS::EC2::InternetGateway AWS::EC2::VPC
AWS::EC2::SecurityGroup AWS::EC2::VPC
AWS::EC2::Subnet AWS::EC2::VPC
AWS::EC2::VPNGateway AWS::EC2::VPC

Skenario mana yang menggunakan hubungan tidak langsung?

Di bawah ini adalah AWS layanan dan fitur layanan menggunakan hubungan tidak langsung.

AWS fitur Skenario
AWS Config aturan terkelola

Aturan ec2- security-group-attached-to -eni memeriksa apakah grup keamanan non-default dilampirkan ke Antarmuka Jaringan Elastis (ENI).

Tanpa hubungan tidak langsung, Anda perlu membuat aturan khusus untuk memeriksa apakah grup keamanan non-default dilampirkan ke ENI.
AWS Firewall Manager

Kebijakan Grup Keamanan Audit Penggunaan menggunakan hubungan tidak langsung untuk memahami kapan grup keamanan terakhir digunakan.

Tanpa hubungan tidak langsung, Anda perlu membangun dan mengaitkan grup keamanan dengan sumber daya baru pada saat yang sama untuk menghindari memicu aturan dengan AWS Firewall Manager.
Sumber daya default

  • Sumber daya default saat VPC non-default dibuat:

    • Grup keamanan default, ACL jaringan default, dan tabel rute default.

  • Sumber daya default saat VPC default dibuat:

    • Segala sesuatu yang dibuat dengan VPC non-default, gateway internet, dan subnet default di setiap Availability Zone yang dapat Anda akses.

  • Pembuatan VPC default itu sendiri saat akun menelepon EC2 untuk pertama kalinya.

    • Subnet default dibuat untuk akun di Availability Zone yang baru diluncurkan.

Tanpa hubungan tidak langsung, Anda harus menunggu hingga 12 jam agar anti-entropi merekam perubahan pada sumber daya default.

Bagaimana item konfigurasi dibuat karena hubungan langsung dan tidak langsung?

Untuk hubungan langsung antara sumber daya (A→B), setiap perubahan konfigurasi ke sumber daya B akan memulai item konfigurasi (CI) untuk sumber daya A juga. Demikian pula, untuk hubungan tidak langsung (B → A), ketika ada perubahan konfigurasi ke sumber daya A CI baru akan dihasilkan untuk sumber daya B. EC2 Misalnya, instans Amazon ke grup keamanan adalah hubungan langsung sehingga setiap perubahan konfigurasi ke grup keamanan akan menghasilkan CI untuk grup keamanan serta CI untuk instance. EC2 Demikian pula, grup keamanan ke EC2 instans Amazon adalah hubungan tidak langsung sehingga setiap perubahan konfigurasi ke EC2 instance akan menghasilkan CI untuk EC2 instans Amazon serta CI untuk grup keamanan.

Apa item konfigurasi yang dihasilkan karena hubungan tidak langsung?

Di bawah ini adalah item konfigurasi tambahan (CIs) yang dihasilkan karena hubungan sumber daya tidak langsung.

Perubahan konfigurasi ke jenis sumber daya berikut akan menghasilkan CIs untuk jenis sumber daya berikut
AWS::EC2::RouteTable AWS::EC2::Instance,AWS::EC2::NetworkInterface,AWS::EC2::Subnet,AWS::EC2::VPNGateway, dan AWS::EC2::VPC
AWS::EC2::EIP AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Instance AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkACL AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::VPNConnection AWS::EC2::VPNGateway, AWS::EC2::CustomerGateway
AWS::EC2::InternetGateway AWS::EC2::VPC
AWS::EC2::SecurityGroup AWS::EC2::VPC
AWS::EC2::Subnet AWS::EC2::VPC
AWS::EC2::VPNGateway AWS::EC2::VPC

Bagaimana cara menonaktifkan hubungan tidak langsung?

Selesaikan langkah-langkah berikut untuk menonaktifkan hubungan tidak langsung:

  1. Buka AWS Dukungan kasing dari akun Anda atau dari akun manajemen untuk beberapa akun.

  2. Pilih Teknis untuk jenis dukungan.

  3. Untuk Layanan, pilih AWS Config.

  4. Untuk Kategori, pilih Lainnya.

  5. Pilih tingkat keparahan yang sesuai.

  6. Masukkan Nonaktifkan Hubungan Tidak Langsung di baris subjek.

  7. Dalam deskripsi:

    • Konfirmasikan bahwa Anda telah membaca FAQ ini dan ingin melanjutkan.

    • Buat daftar wilayah tempat Anda ingin menonaktifkan hubungan tidak langsung.

    • Jika mengirimkan dari akun manajemen, sertakan akun IDs dan wilayah terkait mereka.

    • Untuk beberapa akun, Anda dapat melampirkan file CSV dengan akun IDs dan wilayah.

Seorang AWS Dukungan insinyur akan memberikan langkah selanjutnya dan pembaruan status. Kami menyarankan Anda mempertahankan daftar AWS akun dan wilayah di mana hubungan tidak langsung dinonaktifkan. Untuk akun baru, kirimkan AWS Dukungan kasus baru untuk menonaktifkan hubungan tidak langsung.

Bagaimana cara mengambil data konfigurasi yang terkait dengan hubungan tidak langsung?

Anda dapat menjalankan kueri Structured Query Language (SQL) di Kueri AWS Config Lanjutan untuk mengambil data konfigurasi yang terkait dengan hubungan sumber daya tidak langsung. Misalnya, jika Anda ingin mengambil daftar EC2 instans Amazon yang terkait dengan grup keamanan, gunakan kueri berikut:

SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'