よくある質問 - AWS Config
最新の設定変更が表示されないAWS Config における間接的な関係

よくある質問

最新の設定変更が表示されない

設定変更をすぐに表示することは可能ですか?

AWS Config は通常、変更が検出された直後、または指定した頻度でリソースの設定変更を記録します。ただし、これはベストエフォートベースであり、場合によっては時間がかかることがあります。問題がいつか解決しない場合は、サポートに連絡して、Amazon CloudWatch でサポートされている AWS Config メトリクスを指定します。これらの使用状況メトリクスの詳細については、「AWS Config Usage and Success Metrics」を参照してください 。

AWS Config における間接的な関係

リソース関係とは何ですか?

AWS では、リソースとは Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、AWS CloudFormation スタック、Amazon S3 バケットなどの管理可能なエンティティを指します。AWS Config は、記録されたリソースタイプへの変更が検出されるたびに、または設定した頻度で記録しているときに、設定項目 (CI) を作成してリソースを追跡および監視するサービスです。例えば、AWS Config が Amazon EC2 インスタンスを追跡するように設定されている場合、インスタンスが作成、更新、または削除されるたびに設定項目が作成されます。AWS Config によって作成された各設定項目には、accountIdarn (Amazon リソースネーム)、awsRegionconfigurationtagsrelationships などの複数のフィールドがあります。CI の関係フィールドでは、AWS Config が、リソース同士がどのようにリンクされているかを表示できます。例えば関係は、セキュリティグループ sg-ef678hk に関連付けられている Amazon EC2 インスタンス (ID は i-a1b2c3d4) に接続された Amazon EBS ボリューム (ID は vol-123ab45d) を示す場合があります。

リソースに関する直接的な関係と間接的な関係とは何ですか?

AWS Config は、設定フィールドからほとんどのリソースタイプの関係を導き出します。これを「直接的な」関係と呼びます。直接的な関係は、リソース (A) と別のリソース (B) との間の一方向関係 (A→B) であり、通常、リソース (A) の Describe API レスポンスから取得されます。以前は、AWS Config が当初サポートしていた一部のリソースタイプについて、他のリソースの設定から関係もキャプチャし、双方向 (B→A) の「間接的な」関係を作成していました。例えば、Amazon EC2 インスタンスとそのセキュリティグループの関係は直接的です。セキュリティグループは Amazon EC2 インスタンスの Describe API レスポンスに含まれるためです。一方、セキュリティグループと Amazon EC2 インスタンスの関係は間接的です。セキュリティグループを記述しても、関連付けられているインスタンスに関する情報は返されないためです。

例えば、間接的な関係は、以下の質問に答える上で役立ちます。

  • NAT ゲートウェイが失敗した場合、プライベートサブネット内のどの EC2 インスタンスが影響を受けますか?

  • ルートテーブルが変更された場合、どの EC2 インスタンスで接続の問題が発生する恐れがありますか?

  • 使用されたことがないセキュリティグループはどれですか?

  • EC2 インスタンスにアタッチされたどのセカンダリ ENI がセキュリティグループに関連付けられていますか?

その結果、リソース設定の変更が検出されると、AWS Config はそのリソースの CI を作成するだけでなく、間接的な関係を持つリソースを含む関連リソースの CI も生成します。例えば、Amazon EC2AWS Config インスタンスの変更を検出すると、そのインスタンスの CI と、そのインスタンスに関連付けられているセキュリティグループの CI が作成されます。

AWS Config では、どの間接な関係がサポートされていますか?

AWS Config では、以下の間接的なリソース関係がサポートされています。

リソースタイプ は、リソースタイプに間接的に関連しています
AWS::EC2::RouteTable AWS::EC2::Instance, AWS::EC2::NetworkInterface, AWS::EC2::Subnet, AWS::EC2::VPNGateway, AWS::EC2::VPC
AWS::EC2::EIP AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Instance AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkACL AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::VPNConnection AWS::EC2::VPNGateway, AWS::EC2::CustomerGateway
AWS::EC2::InternetGateway AWS::EC2::VPC
AWS::EC2::SecurityGroup AWS::EC2::VPC
AWS::EC2::Subnet AWS::EC2::VPC
AWS::EC2::VPNGateway AWS::EC2::VPC

間接的な関係を使用するシナリオはどれですか?

以下は、間接的な関係を使用するAWSサービスと当該サービスの機能です。

AWS 機能 シナリオ
AWS Config マネージドルール

ec2-security-group-attached-to-eni ルールは、デフォルト以外のセキュリティグループが Elastic Network Interfaces (ENI) にアタッチされているかどうかを確認します。

間接的な関係がなければ、デフォルト以外のセキュリティグループが ENI にアタッチされているかどうかを確認するカスタムルールを作成する必要があります。
AWS Firewall Manager

Usage Audit Security Group ポリシーは、間接的な関係を使用して、セキュリティグループが最後に使用された日時を把握します。

間接的な関係がなければ、AWS Firewall Manager でルールがトリガーされないように、セキュリティグループを同時に構築して新しいリソースに関連付ける必要があります。
デフォルトリソース

  • デフォルト以外の VPC が作成された場合のデフォルトリソース:

    • デフォルトのセキュリティグループ、デフォルトのネットワーク ACL、およびデフォルトのルートテーブル。

  • デフォルト VPC が作成された場合のデフォルトリソース:

    • アクセス可能な各アベイラビリティーゾーンのデフォルト以外の VPC、インターネットゲートウェイ、デフォルトサブネットを使用して作成されたすべてのもの。

  • アカウントが EC2 を初めて呼び出す際に、デフォルトの VPC を作成します。

    • 新しく起動されたアベイラビリティーゾーンのアカウント用に作成されたデフォルトのサブネット。

間接的な関係がなければ、デフォルトのリソースへの変更が自動ベースラインで記録されるまで最大 12 時間待つ必要があります。

直接的な関係と間接的な関係によって設定項目はどのように作成されますか?

リソース間の直接的な関係 (A→B) では、リソース B の設定を変更すると、リソース A の設定項目 (CI) も開始されます。同様に、間接的な関係 (B→A) の場合、リソース A の設定が変更されると、リソース B に新しい CI が生成されます。例えば、Amazon EC2 インスタンスとセキュリティグループは直接的な関係であるため、セキュリティグループの設定を変更すると、セキュリティグループの CI と EC2 インスタンスの CI が生成されます。同様に、セキュリティグループと Amazon EC2 インスタンスは間接的な関係であるため、EC2 インスタンスの設定を変更すると、Amazon EC2 インスタンスの CI とセキュリティグループの CI が生成されます。

間接的な関係によって生成される設定項目にはどのようなものがありますか?

以下は、間接的なリソース関係によって生成される追加の設定項目 (CI) です。

次のリソースタイプへの設定変更 は、次のリソースタイプの CI を生成します
AWS::EC2::RouteTable AWS::EC2::Instance, AWS::EC2::NetworkInterface, AWS::EC2::Subnet, AWS::EC2::VPNGateway, および AWS::EC2::VPC
AWS::EC2::EIP AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Instance AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkACL AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::VPNConnection AWS::EC2::VPNGateway, AWS::EC2::CustomerGateway
AWS::EC2::InternetGateway AWS::EC2::VPC
AWS::EC2::SecurityGroup AWS::EC2::VPC
AWS::EC2::Subnet AWS::EC2::VPC
AWS::EC2::VPNGateway AWS::EC2::VPC

間接的な関係を無効にするにはどうすればよいですか?

間接的な関係を無効にするには、次の手順を実行します。

  1. アカウントまたは複数のアカウントの管理アカウントから AWS サポートケースを開きます。

  2. サポートタイプの [テクニカル] を選択します。

  3. [サービス] で、[AWS Config] を選択します。

  4. [カテゴリ] で、[その他] を選択します。

  5. 適切な重要度レベルを選択します。

  6. 件名に「間接的な関係を無効にする」と入力します。

  7. [説明] で以下を行います。

    • このよくある質問を読んだ上で次に進むことを確認します。

    • 間接的な関係を無効にするリージョンを一覧表示します。

    • 管理アカウントから送信する場合は、アカウント ID と関連するリージョンを含めます。

    • 複数のアカウントの場合、アカウント ID とリージョンを含む CSV ファイルの添付が可能です。

AWS サポートのエンジニアが次のステップとステータスの更新をご案内します。間接的な関係が無効になっている AWS アカウントとリージョンのリストを維持することをお勧めします。新しいアカウントの場合は、間接的な関係を無効にする新しい AWS サポートケースを送信します。

間接的な関係に関連する設定データを取得する方法を教えてください。

AWS Config 高度なクエリで構造化クエリ言語 (SQL) のクエリを実行して、間接的なリソース関係に関連する設定データを取得することができます。例えば、セキュリティグループに関連する Amazon EC2 インスタンスのリストを取得する場合は、次のクエリを使用します。

SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'