よくある質問 - AWS Config
最新の設定変更が表示されないの間接的な関係 AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

よくある質問

最新の設定変更が表示されない

設定変更をすぐに表示することは可能ですか?

AWS Config 通常、 は、変更が検出された直後、または指定した頻度でリソースの設定変更を記録します。ただし、これはベストエフォートベースであり、場合によっては時間がかかることがあります。問題がしばらく経過しても解決しない場合は、 サポートに連絡して、Amazon CloudWatch でサポートされている AWS Config メトリクスを指定します。これらの使用状況メトリクスの詳細については、「AWS Config Usage and Success Metrics」を参照してください 。

の間接的な関係 AWS Config

リソース関係とは何ですか?

では AWS、リソースとは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、 AWS CloudFormation スタック、Amazon S3 バケットなど、管理可能なエンティティを指します。 AWS Config は、記録されたリソースタイプへの変更が検出されるたびに、または設定した記録頻度で、設定項目 (CIs) を作成してリソースを追跡およびモニタリングするサービスです。例えば、 AWS Config が Amazon EC2 インスタンスを追跡するように設定されている場合、インスタンスが作成、更新、または削除されるたびに設定項目が作成されます。によって作成された各設定項目 AWS Config には、、 arn (Amazon リソースネーム)accountIdawsRegion、、configurationtags、 などの複数のフィールドがありますrelationships。CI の関係フィールドを使用すると AWS Config 、 はリソースの相互リンク方法を表示できます。例えば関係は、セキュリティグループ sg-ef678hk に関連付けられている Amazon EC2 インスタンス (ID は i-a1b2c3d4) に接続された Amazon EBS ボリューム (ID は vol-123ab45d) を示す場合があります。

リソースに関する直接的な関係と間接的な関係とは何ですか?

AWS Config は、ほとんどのリソースタイプの関係を「直接」関係と呼ばれる設定フィールドから取得します。直接的な関係は、リソース (A) と別のリソース (B) との間の一方向関係 (A→B) であり、通常、リソース (A) の Describe API レスポンスから取得されます。以前は、 AWS Config 最初にサポートしていた一部のリソースタイプでは、他のリソースの設定から関係もキャプチャされ、双方向 (B→A) の「間接」関係が作成されていました。例えば、Amazon EC2 インスタンスとそのセキュリティグループの関係は直接的です。セキュリティグループは Amazon EC2 インスタンスの Describe API レスポンスに含まれるためです。一方、セキュリティグループと Amazon EC2 インスタンスの関係は間接的です。セキュリティグループを記述しても、関連付けられているインスタンスに関する情報は返されないためです。

たとえば、間接的な関係は、以下の質問に答えるのに役立ちます。

  • NAT ゲートウェイが失敗した場合、プライベートサブネット内のどの EC2 インスタンスが影響を受けますか?

  • ルートテーブルが変更された場合、どの EC2 インスタンスで接続の問題が発生する可能性がありますか?

  • 使用されたことがないセキュリティグループはどれですか?

  • EC2 インスタンスにアタッチされたどのセカンダリ ENI がセキュリティグループに関連付けられていますか?

その結果、リソース設定の変更が検出されると、 はそのリソースの CI AWS Config を作成するだけでなく、間接的な関係を含む関連リソースの CIs も生成します。たとえば、 が Amazon EC2 インスタンスの変更 AWS Config を検出すると、インスタンスの CI と、インスタンスに関連付けられているセキュリティグループの CI が作成されます。

はどの間接的な関係 AWS Config をサポートしていますか?

では、次の間接的なリソース関係がサポートされています AWS Config。

リソースタイプ は、リソースタイプに間接的に関連しています
AWS::EC2::RouteTable AWS::EC2::Instance, AWS::EC2::NetworkInterface, AWS::EC2::Subnet, AWS::EC2::VPNGateway, AWS::EC2::VPC
AWS::EC2::EIP AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Instance AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkACL AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::VPNConnection AWS::EC2::VPNGateway, AWS::EC2::CustomerGateway
AWS::EC2::InternetGateway AWS::EC2::VPC
AWS::EC2::SecurityGroup AWS::EC2::VPC
AWS::EC2::Subnet AWS::EC2::VPC
AWS::EC2::VPNGateway AWS::EC2::VPC

間接的な関係を使用するシナリオはどれですか?

以下は、間接的な関係を使用する AWS サービスとサービスの機能です。

AWS 機能 シナリオ
AWS Config マネージドルール

ec2-security-group-attached-to-eni ルールは、デフォルト以外のセキュリティグループが Elastic Network Interfaces (ENI) にアタッチされているかどうかを確認します。

間接的な関係がなければ、デフォルト以外のセキュリティグループが ENI にアタッチされているかどうかを確認するカスタムルールを作成する必要があります。
AWS Firewall Manager

Usage Audit Security Group ポリシーは、間接的な関係を使用して、セキュリティグループが最後に使用された日時を把握します。

間接的な関係がなければ、ルールのトリガーを避けるために、セキュリティグループを同時に構築して新しいリソースに関連付ける必要があります AWS Firewall Manager。
デフォルトリソース

  • デフォルト以外の VPC が作成された場合のデフォルトリソース:

    • デフォルトのセキュリティグループ、デフォルトのネットワーク ACL、およびデフォルトのルートテーブル。

  • デフォルト VPC の作成時のデフォルトリソース:

    • アクセス可能な各アベイラビリティーゾーンのデフォルト以外の VPC、インターネットゲートウェイ、デフォルトサブネットで作成されるすべての 。

  • アカウントが EC2 を初めて呼び出すときのデフォルトの VPC 作成自体。

    • 新しく起動されたアベイラビリティーゾーンのアカウント用に作成されたデフォルトのサブネット。

間接的な関係がなければ、アンチエントロピーがデフォルトリソースの変更を記録するまで最大 12 時間待つ必要があります。

直接的な関係と間接的な関係によって設定項目はどのように作成されますか?

リソース間の直接的な関係 (A→B) では、リソース B の設定を変更すると、リソース A の設定項目 (CI) も開始されます。同様に、間接的な関係 (B→A) の場合、リソース A の設定が変更されると、リソース B に新しい CI が生成されます。例えば、Amazon EC2 インスタンスとセキュリティグループは直接的な関係であるため、セキュリティグループの設定を変更すると、セキュリティグループの CI と EC2 インスタンスの CI が生成されます。同様に、セキュリティグループと Amazon EC2 インスタンスは間接的な関係であるため、EC2 インスタンスの設定を変更すると、Amazon EC2 インスタンスの CI とセキュリティグループの CI が生成されます。

間接的な関係によって生成される設定項目にはどのようなものがありますか?

以下は、間接的なリソース関係によって生成される追加の設定項目 (CI) です。

次のリソースタイプへの設定変更 は、次のリソースタイプの CI を生成します
AWS::EC2::RouteTable AWS::EC2::Instance, AWS::EC2::NetworkInterface, AWS::EC2::Subnet, AWS::EC2::VPNGateway, および AWS::EC2::VPC
AWS::EC2::EIP AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Instance AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkACL AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::VPNConnection AWS::EC2::VPNGateway, AWS::EC2::CustomerGateway
AWS::EC2::InternetGateway AWS::EC2::VPC
AWS::EC2::SecurityGroup AWS::EC2::VPC
AWS::EC2::Subnet AWS::EC2::VPC
AWS::EC2::VPNGateway AWS::EC2::VPC

間接的な関係を無効にするにはどうすればよいですか?

間接関係を無効にするには、次の手順を実行します。

  1. アカウントまたは複数のアカウントの管理アカウントから AWS サポート ケースを開きます。

  2. サポートタイプのテクニカルを選択します。

  3. サービス で、 を選択しますAWS Config

  4. カテゴリ で、その他 を選択します。

  5. 適切な重要度レベルを選択します。

  6. 件名に「間接関係を無効にする」と入力します。

  7. 説明:

    • このよくある質問を読み、続行することを確認します。

    • 間接的な関係を無効にするリージョンを一覧表示します。

    • 管理アカウントから送信する場合は、アカウント IDsと関連するリージョンを含めます。

    • 複数のアカウントの場合、アカウント IDsとリージョンを含む CSV ファイルをアタッチできます。

AWS サポート エンジニアが次のステップとステータスの更新を提供します。間接的な関係が無効になっている AWS アカウントとリージョンのリストを維持することをお勧めします。新しいアカウントの場合は、間接的な関係を無効にする新しい AWS サポート ケースを送信します。

間接的な関係に関連する設定データを取得する方法を教えてください。

AWS Config 高度なクエリで構造化クエリ言語 (SQL) クエリを実行して、間接的なリソース関係に関連する設定データを取得できます。例えば、セキュリティグループに関連する Amazon EC2 インスタンスのリストを取得する場合は、次のクエリを使用します。

SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'