Impossibile visualizzare le mie ultime modifiche alla configurazione Relazioni indirette in AWS Config

Domande frequenti

Impossibile visualizzare le mie ultime modifiche alla configurazione

Posso aspettarmi di vedere subito le mie modifiche alla configurazione?

AWS Config di solito registra le modifiche alla configurazione delle risorse subito dopo che viene rilevata una modifica o alla frequenza specificata. Tuttavia, questa operazione viene effettuata con il massimo impegno e a volte può richiedere più tempo. Se i problemi persistono dopo qualche tempo, contatta Supportoe fornisci i tuoi AWS Config parametri supportati da Amazon. CloudWatch Per informazioni su queste metriche, consulta Metriche di AWS Config utilizzo e successo.

Relazioni indirette in AWS Config

Argomenti

Cos'è la relazione tra risorse?
Che cos'è una relazione diretta e indiretta rispetto a una risorsa?
Quali relazioni indirette AWS Config supporta?
Quali scenari utilizzano una relazione indiretta?
Come vengono creati gli elementi di configurazione come conseguenza delle relazioni dirette e indirette?
Quali sono gli elementi di configurazione generati n base alle relazioni indirette?
Come posso disabilitare la relazione indiretta?
Come posso recuperare i dati di configurazione relativi alle relazioni indirette?

Cos'è la relazione tra risorse?

Nel AWS, le risorse si riferiscono a entità gestibili, come un'istanza Amazon Elastic Compute Cloud EC2 (Amazon), uno AWS CloudFormation stack o un bucket Amazon S3. AWS Config è un servizio che traccia e monitora le risorse creando elementi di configurazione (CIs) ogni volta che viene rilevata una modifica a un tipo di risorsa registrata o alla frequenza di registrazione impostata. Ad esempio, quando AWS Config è configurato per tracciare EC2 le istanze Amazon, crea un elemento di configurazione ogni volta che un'istanza viene creata, aggiornata o eliminata. Ogni elemento di configurazione creato da AWS Config ha diversi campiaccountId, tra cui arn (Amazon Resource Name) awsRegionconfiguration,tags, erelationships. Il campo delle relazioni di un CI AWS Config consente di visualizzare come le risorse sono collegate tra loro. Ad esempio, una relazione può indicare che un volume Amazon EBS con ID vol-123ab45d è collegato a un' EC2 istanza Amazon con IDi-a1b2c3d4, associata al gruppo sg-ef678hk di sicurezza.

Che cos'è una relazione diretta e indiretta rispetto a una risorsa?

AWS Config ricava le relazioni per la maggior parte dei tipi di risorse dal campo di configurazione, che sono chiamate relazioni «dirette». Una relazione diretta è una connessione unidirezionale (A→B) tra una risorsa (A) e un'altra risorsa (B), in genere ottenuta dalla risposta API di descrizione della risorsa (A). In passato, per alcuni tipi di risorse AWS Config inizialmente supportati, acquisiva anche le relazioni derivanti dalle configurazioni di altre risorse, creando relazioni «indirette» bidirezionali (B→A). Ad esempio, la relazione tra un' EC2 istanza Amazon e il relativo gruppo di sicurezza è diretta perché i gruppi di sicurezza sono inclusi nella risposta API di descrizione per l' EC2 istanza Amazon. D'altra parte, la relazione tra un gruppo di sicurezza e un' EC2 istanza Amazon è indiretta perché la descrizione di un gruppo di sicurezza non restituisce alcuna informazione sulle istanze a cui è associato.

Ad esempio, le relazioni indirette possono aiutare a rispondere alle seguenti domande:

In caso di guasto di un gateway NAT, quali EC2 istanze nelle sottoreti private ne risentono?
Se una tabella di routing viene modificata, quale EC2 istanza potrebbe presentare problemi di connettività?
Quale gruppo di sicurezza non è mai stato utilizzato?
Quale ENI secondario collegato a un' EC2 istanza è associato al gruppo di sicurezza?

Di conseguenza, quando viene rilevata una modifica alla configurazione di una risorsa, AWS Config non solo crea un CI per quella risorsa, ma genera CIs anche tutte le risorse correlate, comprese quelle con relazioni indirette. Ad esempio, quando AWS Config rileva modifiche in un' EC2 istanza Amazon, crea un CI per l'istanza e un CI per il gruppo di sicurezza associato all'istanza.

Quali relazioni indirette AWS Config supporta?

Sono supportate le seguenti relazioni indirette con le risorse AWS Config.

Tipo di risorsa	relazione indiretta con il tipo di risorsa
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`,`AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

Quali scenari utilizzano una relazione indiretta?

Di seguito sono riportati i AWS servizi e le funzionalità del servizio che utilizzano la relazione indiretta.

AWS caratteristica	Scenario
AWS Config regola gestita	La regola ec2- security-group-attached-to -eni verifica se i gruppi di sicurezza non predefiniti sono collegati a Elastic Network Interfaces (ENI). Senza una relazione indiretta, sarebbe necessario creare una regola personalizzata per verificare se i gruppi di sicurezza non predefiniti sono collegati a un ENI.
AWS Firewall Manager	La politica di Usage Audit Security Group utilizza una relazione indiretta per capire quando un gruppo di sicurezza è stato utilizzato l'ultima volta. Senza una relazione indiretta, sarebbe necessario creare e associare contemporaneamente un gruppo di sicurezza a nuove risorse per evitare di attivare la regola con AWS Firewall Manager.
Risorse predefinite	Risorse predefinite quando viene creato un VPC non predefinito: Gruppo di sicurezza predefinito, ACL di rete predefinito e tabella di routing predefinita. Risorse predefinite quando viene creato un VPC predefinito: Tutto ciò che viene creato con VPC non predefinito, un gateway Internet e una sottorete predefinita in ogni zona di disponibilità a cui hai accesso. Creazione predefinita del VPC quando un account chiama EC2 per la prima volta in assoluto. Subnet predefinita creata per gli account in una zona di disponibilità appena lanciata. Senza una relazione indiretta, sarebbe necessario attendere fino a 12 ore affinché l'antientropia registri le modifiche alle risorse predefinite.

AWS caratteristica

Scenario

AWS Config regola gestita

La regola ec2- security-group-attached-to -eni verifica se i gruppi di sicurezza non predefiniti sono collegati a Elastic Network Interfaces (ENI).

Senza una relazione indiretta, sarebbe necessario creare una regola personalizzata per verificare se i gruppi di sicurezza non predefiniti sono collegati a un ENI.

AWS Firewall Manager

La politica di Usage Audit Security Group utilizza una relazione indiretta per capire quando un gruppo di sicurezza è stato utilizzato l'ultima volta.

Senza una relazione indiretta, sarebbe necessario creare e associare contemporaneamente un gruppo di sicurezza a nuove risorse per evitare di attivare la regola con AWS Firewall Manager.

Risorse predefinite

Risorse predefinite quando viene creato un VPC non predefinito:
- Gruppo di sicurezza predefinito, ACL di rete predefinito e tabella di routing predefinita.
Risorse predefinite quando viene creato un VPC predefinito:
- Tutto ciò che viene creato con VPC non predefinito, un gateway Internet e una sottorete predefinita in ogni zona di disponibilità a cui hai accesso.
Creazione predefinita del VPC quando un account chiama EC2 per la prima volta in assoluto.
- Subnet predefinita creata per gli account in una zona di disponibilità appena lanciata.

Senza una relazione indiretta, sarebbe necessario attendere fino a 12 ore affinché l'antientropia registri le modifiche alle risorse predefinite.

Come vengono creati gli elementi di configurazione come conseguenza delle relazioni dirette e indirette?

Per una relazione diretta tra risorse (A→B), qualsiasi modifica alla configurazione della risorsa B avvierà un elemento di configurazione anche per la risorsa A. Analogamente, per una relazione indiretta (B→A), in caso di modifica della configurazione della risorsa A, verrà generato un nuovo CI per la risorsa B. Ad esempio, tra EC2 istanza Amazon e gruppo di sicurezza è una relazione diretta, quindi qualsiasi modifica alla configurazione di un gruppo di sicurezza genererebbe un CI per il gruppo di sicurezza e un CI per l' EC2istanza. Allo stesso modo, il gruppo di sicurezza con l' EC2 istanza Amazon è una relazione indiretta, quindi qualsiasi modifica alla configurazione di un' EC2 istanza genererebbe un CI per l' EC2istanza Amazon e un CI per il gruppo di sicurezza.

Quali sono gli elementi di configurazione generati n base alle relazioni indirette?

Di seguito sono riportati gli elementi di configurazione aggiuntivi (CIs) generati a causa di relazioni indirette tra le risorse.

Modifiche alla configurazione dei seguenti tipi di risorse	genererà CIs per i seguenti tipi di risorse
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`, `AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, e `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

Come posso disabilitare la relazione indiretta?

Completa i seguenti passaggi per disabilitare la relazione indiretta:

Apri un Supporto AWS caso dal tuo account o dall'account di gestione per più account.
Seleziona Tecnico per il tipo di supporto.
Per Assistenza, seleziona AWS Config.
Per Categoria, seleziona Altro.
Seleziona il livello di gravità appropriato.
Inserisci Disabilita relazione indiretta nella riga dell'oggetto.
Nella descrizione:
- Conferma di aver letto queste domande frequenti e di voler procedere.
- Elenca le regioni in cui desideri disabilitare la relazione indiretta.
- Se effettui l'invio da un account di gestione, includi l'account IDs e le regioni associate.
- Per più account, puoi allegare un file CSV con account IDs e regioni.

Un Supporto AWS tecnico fornirà i passaggi successivi e gli aggiornamenti sullo stato. Ti consigliamo di mantenere un elenco di AWS account e regioni in cui la relazione indiretta è disabilitata. Per i nuovi account, invia un nuovo Supporto AWS caso per disabilitare la relazione indiretta.

Come posso recuperare i dati di configurazione relativi alle relazioni indirette?

È possibile eseguire query SQL (Structured Query Language) in AWS Config Advanced Queries per recuperare i dati di configurazione relativi alle relazioni indirette tra le risorse. Ad esempio, se desideri recuperare l'elenco delle EC2 istanze Amazon relative a un gruppo di sicurezza, utilizza la seguente query:


SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creare un endpoint VPC

Esempi di codice