FAQ

의 간접 관계 AWS Config

주제

리소스 관계란 무엇인가요?
리소스에 대한 직접 관계와 간접 관계는 무엇인가요?
가 AWS Config 지원하는 간접 관계는 무엇입니까?
간접 관계를 사용하는 시나리오는 무엇입니까?
직접 및 간접 관계로 인해 구성 항목이 어떻게 생성되나요?
간접 관계로 인해 생성되는 구성 항목은 무엇인가요?
간접 관계를 비활성화하려면 어떻게 해야 합니까?
간접 관계와 관련된 구성 데이터를 검색하려면 어떻게 해야 하나요?

리소스 관계란 무엇인가요?

에서 AWS리소스는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, AWS CloudFormation 스택 또는 Amazon S3 버킷과 같이 관리 가능한 엔터티를 나타냅니다. AWS Config 는 기록된 리소스 유형에 대한 변경이 감지될 때마다 또는 설정한 기록 빈도로 구성 항목(CIs)을 생성하여 리소스를 추적하고 모니터링하는 서비스입니다. 예를 들어 AWS Config 가 Amazon EC2 인스턴스를 추적하도록 설정된 경우 인스턴스가 생성, 업데이트 또는 삭제될 때마다 구성 항목을 생성합니다. 에서 생성한 각 구성 항목에 AWS Config 는 accountId, arn (Amazon 리소스 이름), , awsRegion, tags, configuration등 여러 필드가 있습니다relationships. CI의 관계 필드를 사용하면 AWS Config 가 리소스가 서로 연결되는 방식을 표시할 수 있습니다. 예를 들어, ID가 vol-123ab45d인 Amazon EBS 볼륨이 ID가 i-a1b2c3d4인 Amazon EC2 인스턴스에 연결되고, 이 인스턴스가 보안 그룹 sg-ef678hk와 연결되어 있음을 나타내는 관계가 있을 수 있습니다.

리소스에 대한 직접 관계와 간접 관계는 무엇인가요?

AWS Config 는 "직접" 관계라고 하는 구성 필드에서 대부분의 리소스 유형에 대한 관계를 도출합니다. 직접 관계는 리소스 (A)와 다른 리소스 (B) 간의 단방향 연결(A→B)이며, 일반적으로 리소스 (A)의 설명 API 응답에서 얻습니다. 과거에는 AWS Config 처음에가 지원하는 일부 리소스 유형의 경우 다른 리소스의 구성에서 관계를 캡처하여 양방향(B→A)인 "간접" 관계를 생성합니다. 예를 들어, Amazon EC2 인스턴스의 해당 보안 그룹 간의 관계는 직접적입니다. Amazon EC2 인스턴스의 설명 API 응답에 보안 그룹이 포함되어 있기 때문입니다. 반면, 한 보안 그룹과 Amazon EC2 인스턴스 간의 관계는 간접적입니다. 보안 그룹을 설명해도 연결된 인스턴스에 대한 정보가 반환되지 않기 때문입니다.

예를 들어 간접 관계는 다음 질문에 답하는 데 도움이 될 수 있습니다.

NAT 게이트웨이에 장애가 발생하면 프라이빗 서브넷의 어떤 EC2 인스턴스가 영향을 받나요?
라우팅 테이블이 수정된 경우 연결 문제가 발생할 수 있는 EC2 인스턴스는 무엇입니까?
어떤 보안 그룹이 사용된 적이 없나요?
EC2 인스턴스에 연결된 보조 ENI는 보안 그룹과 연결되어 있습니까?

따라서 리소스 구성 변경이 감지되면는 해당 리소스에 대한 CI를 생성할 AWS Config 뿐만 아니라 간접 관계가 있는 리소스를 포함한 모든 관련 리소스에 대한 CIs도 생성합니다. 예를 들어가 Amazon EC2 인스턴스의 변경 사항을 AWS Config 감지하면 인스턴스에 대한 CI와 인스턴스와 연결된 보안 그룹에 대한 CI가 생성됩니다.

가 AWS Config 지원하는 간접 관계는 무엇입니까?

다음과 같은 간접 리소스 관계가에서 지원됩니다 AWS Config.

리소스 유형	리소스 유형과 간접적으로 관련됨
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`,`AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

간접 관계를 사용하는 시나리오는 무엇입니까?

다음은 간접 관계를 사용하는 AWS 서비스와 서비스의 기능입니다.

AWS 기능	시나리오
AWS Config 관리형 규칙	ec2-security-group-attached-to-eni 규칙은 기본이 아닌 보안 그룹이 탄력적 네트워크 인터페이스(ENI)에 연결되어 있는지 확인합니다. 간접 관계가 없으면 기본이 아닌 보안 그룹이 ENI에 연결되어 있는지 확인하기 위해 사용자 지정 규칙을 생성해야 합니다.
AWS Firewall Manager	사용 감사 보안 그룹 정책은 간접 관계를 사용하여 보안 그룹이 마지막으로 사용된 시기를 이해합니다. 간접 관계가 없으면 규칙을 트리거하지 않도록 보안 그룹을 구축하고 새 리소스에 동시에 연결해야 합니다 AWS Firewall Manager.
기본 리소스	기본이 아닌 VPC가 생성될 때의 기본 리소스: 기본 보안 그룹, 기본 네트워크 ACL 및 기본 라우팅 테이블. 기본 VPC가 생성될 때의 기본 리소스: 기본이 아닌 VPC, 인터넷 게이트웨이 및 액세스 권한이 있는 각 가용 영역의 기본 서브넷으로 생성되는 모든 항목입니다. 계정이 EC2를 처음 호출할 때 기본 VPC 생성 자체입니다. 새로 시작된 가용 영역의 계정에 대해 생성된 기본 서브넷입니다. 간접 관계가 없으면 안티 엔트로피가 기본 리소스에 대한 변경 사항을 기록할 때까지 최대 12시간을 기다려야 합니다.

AWS 기능

시나리오

AWS Config 관리형 규칙

ec2-security-group-attached-to-eni 규칙은 기본이 아닌 보안 그룹이 탄력적 네트워크 인터페이스(ENI)에 연결되어 있는지 확인합니다.

간접 관계가 없으면 기본이 아닌 보안 그룹이 ENI에 연결되어 있는지 확인하기 위해 사용자 지정 규칙을 생성해야 합니다.

AWS Firewall Manager

사용 감사 보안 그룹 정책은 간접 관계를 사용하여 보안 그룹이 마지막으로 사용된 시기를 이해합니다.

간접 관계가 없으면 규칙을 트리거하지 않도록 보안 그룹을 구축하고 새 리소스에 동시에 연결해야 합니다 AWS Firewall Manager.

기본 리소스

기본이 아닌 VPC가 생성될 때의 기본 리소스:
- 기본 보안 그룹, 기본 네트워크 ACL 및 기본 라우팅 테이블.
기본 VPC가 생성될 때의 기본 리소스:
- 기본이 아닌 VPC, 인터넷 게이트웨이 및 액세스 권한이 있는 각 가용 영역의 기본 서브넷으로 생성되는 모든 항목입니다.
계정이 EC2를 처음 호출할 때 기본 VPC 생성 자체입니다.
- 새로 시작된 가용 영역의 계정에 대해 생성된 기본 서브넷입니다.

간접 관계가 없으면 안티 엔트로피가 기본 리소스에 대한 변경 사항을 기록할 때까지 최대 12시간을 기다려야 합니다.

직접 및 간접 관계로 인해 구성 항목이 어떻게 생성되나요?

리소스 간 직접 관계(A→B)의 경우 리소스 B의 구성이 변경되면 리소스 A에 대한 구성 항목(CI)도 시작됩니다. 마찬가지로 간접 관계(B→A)의 경우 리소스 A의 구성이 변경되면 리소스 B에 대해 새 CI가 생성됩니다. 예를 들어 Amazon EC2 인스턴스와 보안 그룹이 직접 관계라면 보안 그룹의 구성이 변경되면 보안 그룹에 대한 CI와 EC2 인스턴스에 대한 CI가 생성됩니다. 마찬가지로 Amazon EC2 인스턴스와 보안 그룹이 간접 관계라면 EC2 인스턴스의 구성이 변경되면 Amazon EC2 인스턴스에 대한 CI와 보안 그룹에 대한 CI가 생성됩니다.

간접 관계로 인해 생성되는 구성 항목은 무엇인가요?

다음은 간접적인 리소스 관계로 인해 생성되는 추가 구성 항목(CI)입니다.

다음 리소스 유형에 대한 구성 변경	다음 리소스 유형에 대한 CI를 생성
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`, `AWS::EC2::Subnet`, `AWS::EC2::VPNGateway` 및 `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

간접 관계를 비활성화하려면 어떻게 해야 합니까?

간접 관계를 비활성화하려면 다음 단계를 완료하세요.

계정 또는 여러 계정의 관리 계정에서 AWS Support 사례를 엽니다.
지원 유형으로 기술을 선택합니다.
서비스에서를 선택합니다AWS Config.
범주에서 기타를 선택합니다.
적절한 심각도 수준을 선택합니다.
제목 줄에 간접 관계 비활성화를 입력합니다.
설명에서 다음을 수행합니다.
- 이 FAQ를 읽었으며 계속 진행하고자 하는지 확인합니다.
- 간접 관계를 비활성화하려는 리전을 나열합니다.
- 관리 계정에서 제출하는 경우 계정 IDs와 관련 리전을 포함합니다.
- 여러 계정의 경우 계정 IDs 및 리전이 포함된 CSV 파일을 연결할 수 있습니다.

AWS Support 엔지니어가 다음 단계와 상태 업데이트를 제공합니다. 간접 관계가 비활성화된 AWS 계정 및 리전의 목록을 유지하는 것이 좋습니다. 새 계정의 경우 새 AWS Support 사례를 제출하여 간접 관계를 비활성화합니다.

간접 관계와 관련된 구성 데이터를 검색하려면 어떻게 해야 하나요?

AWS Config 고급 쿼리에서 구조화 쿼리 언어(SQL) 쿼리를 실행하여 간접 리소스 관계와 관련된 구성 데이터를 검색할 수 있습니다. 예를 들어 특정 보안 그룹과 관련된 Amazon EC2 인스턴스의 목록을 검색하려면 다음 쿼리를 사용합니다.


SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

VPC 엔드포인트 생성

코드 예제

FAQ

최신 구성 변경 사항을 볼 수 없습니다.

구성 변경 사항을 즉시 볼 수 있나요?