Não consigo ver minhas últimas alterações de configuração Relações indiretas em AWS Config

Perguntas frequentes

Não consigo ver minhas últimas alterações de configuração

Posso esperar ver minhas alterações de configuração imediatamente?

AWS Config geralmente registra as alterações de configuração em seus recursos logo após a detecção de uma alteração ou na frequência especificada por você. No entanto, isso é feito com base no melhor esforço e às vezes pode levar mais tempo. Se os problemas persistirem depois de algum tempo, entre em contato Suportee forneça suas AWS Config métricas que são suportadas pela Amazon. CloudWatch Para obter informações sobre essas métricas, consulte Métricas de uso e sucesso do AWS Config.

Relações indiretas em AWS Config

Tópicos

O que é relacionamento de recursos?
O que é uma relação direta e indireta referente a um recurso?
Quais relacionamentos indiretos AWS Config apoiam?
Quais cenários usam relacionamento indireto?
Como os itens de configuração são criados devido ao relacionamento direto e indireto?
Quais são os itens de configuração gerados devido a relacionamentos indiretos?
Como faço para desativar o relacionamento indireto?
Como faço para recuperar dados de configuração relacionados a relacionamentos indiretos?

O que é relacionamento de recursos?

Em AWS, os recursos se referem a entidades que são gerenciáveis, como uma instância do Amazon Elastic Compute Cloud EC2 (Amazon), uma AWS CloudFormation pilha ou um bucket do Amazon S3. AWS Config é um serviço que rastreia e monitora recursos criando itens de configuração (CIs) sempre que uma alteração em um tipo de recurso registrado é detectada ou na frequência de gravação que você define. Por exemplo, quando AWS Config configurado para rastrear EC2 instâncias da Amazon, ele cria um item de configuração toda vez que uma instância é criada, atualizada ou excluída. Cada item de configuração criado por AWS Config tem vários campos, incluindoaccountId, arn (Amazon Resource Name) awsRegionconfiguration,tags,, relationships e. O campo de relacionamentos de um IC permite AWS Config exibir como os recursos estão vinculados uns aos outros. Por exemplo, um relacionamento pode indicar que um volume do Amazon EBS com ID vol-123ab45d está anexado a uma EC2 instância da Amazon com IDi-a1b2c3d4, que está associada ao grupo sg-ef678hk de segurança.

O que é uma relação direta e indireta referente a um recurso?

AWS Config deriva os relacionamentos da maioria dos tipos de recursos do campo de configuração, que são chamados de relacionamentos “diretos”. Um relacionamento direto é uma conexão unidirecional (A→B) entre um recurso (A) e outro recurso (B), normalmente obtida da descrição da resposta da API do recurso (A). No passado, para alguns tipos de recursos AWS Config inicialmente compatíveis, ele também capturava relacionamentos das configurações de outros recursos, criando relacionamentos “indiretos” que eram bidirecionais (B→A). Por exemplo, a relação entre uma EC2 instância da Amazon e seu grupo de segurança é direta porque os grupos de segurança estão incluídos na resposta de descrição da API para a EC2 instância da Amazon. Por outro lado, a relação entre um grupo de segurança e uma EC2 instância da Amazon é indireta porque a descrição de um grupo de segurança não retorna nenhuma informação sobre as instâncias às quais ele está associado.

Por exemplo, relacionamentos indiretos podem ajudar a responder às seguintes perguntas:

Quando um gateway NAT falha, quais EC2 instâncias em sub-redes privadas são afetadas?
Se uma tabela de rotas for modificada, qual EC2 instância poderá ter problemas de conectividade?
Qual grupo de segurança nunca foi usado?
Qual ENI secundária anexada a uma EC2 instância está associada ao grupo de segurança?

Como resultado, quando uma alteração na configuração do recurso é detectada, AWS Config não apenas cria um IC para esse recurso, mas também gera CIs para todos os recursos relacionados, incluindo aqueles com relacionamentos indiretos. Por exemplo, quando AWS Config detecta alterações em uma EC2 instância da Amazon, ele cria um CI para a instância e um CI para o grupo de segurança associado à instância.

Quais relacionamentos indiretos AWS Config apoiam?

As seguintes relações indiretas de recursos são suportadas em AWS Config.

Tipo de recurso	está indiretamente relacionado ao tipo de recurso
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`,`AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

Quais cenários usam relacionamento indireto?

Abaixo estão os AWS serviços e o recurso do serviço usando relacionamento indireto.

AWS recurso	Cenário
AWS Config regra gerenciada	A regra ec2- security-group-attached-to -eni verifica se grupos de segurança não padrão estão conectados às Elastic Network Interfaces (ENI). Sem um relacionamento indireto, você precisaria criar uma regra personalizada para verificar se grupos de segurança não padrão estão anexados a uma ENI.
AWS Firewall Manager	Auditoria de uso A política de grupo de segurança usa relacionamento indireto para entender quando um grupo de segurança foi usado pela última vez. Sem um relacionamento indireto, você precisaria criar e associar um grupo de segurança a novos recursos ao mesmo tempo para evitar o acionamento da regra com. AWS Firewall Manager
Recursos padrão	Recursos padrão quando uma VPC não padrão é criada: Grupo de segurança padrão, ACL de rede padrão e tabela de rotas padrão. Recursos padrão quando uma VPC padrão é criada: Tudo o que é criado com uma VPC não padrão, um gateway de internet e uma sub-rede padrão em cada zona de disponibilidade à qual você tem acesso. A própria criação de VPC padrão quando uma conta é chamada EC2 pela primeira vez. Sub-rede padrão criada para contas em uma zona de disponibilidade recém-lançada. Sem um relacionamento indireto, você precisaria esperar até 12 horas para que a anti-entropia registrasse as alterações nos recursos padrão.

AWS recurso

Cenário

AWS Config regra gerenciada

A regra ec2- security-group-attached-to -eni verifica se grupos de segurança não padrão estão conectados às Elastic Network Interfaces (ENI).

Sem um relacionamento indireto, você precisaria criar uma regra personalizada para verificar se grupos de segurança não padrão estão anexados a uma ENI.

AWS Firewall Manager

Auditoria de uso A política de grupo de segurança usa relacionamento indireto para entender quando um grupo de segurança foi usado pela última vez.

Sem um relacionamento indireto, você precisaria criar e associar um grupo de segurança a novos recursos ao mesmo tempo para evitar o acionamento da regra com. AWS Firewall Manager

Recursos padrão

Recursos padrão quando uma VPC não padrão é criada:
- Grupo de segurança padrão, ACL de rede padrão e tabela de rotas padrão.
Recursos padrão quando uma VPC padrão é criada:
- Tudo o que é criado com uma VPC não padrão, um gateway de internet e uma sub-rede padrão em cada zona de disponibilidade à qual você tem acesso.
A própria criação de VPC padrão quando uma conta é chamada EC2 pela primeira vez.
- Sub-rede padrão criada para contas em uma zona de disponibilidade recém-lançada.

Sem um relacionamento indireto, você precisaria esperar até 12 horas para que a anti-entropia registrasse as alterações nos recursos padrão.

Como os itens de configuração são criados devido ao relacionamento direto e indireto?

Para um relacionamento direto entre recursos (A→B), qualquer alteração na configuração do recurso B também iniciará um item de configuração (CI) para o recurso A. Da mesma forma, para um relacionamento indireto (B→A), quando houver uma alteração na configuração do recurso A, um novo IC será gerado para o recurso B. Por exemplo, a EC2 instância da Amazon com o grupo de segurança é um relacionamento direto, portanto, qualquer alteração na configuração de um grupo de segurança geraria um IC para o grupo de segurança, bem como um CI para a EC2 instância. Da mesma forma, o grupo de segurança com a EC2 instância da Amazon é uma relação indireta, portanto, qualquer alteração na configuração de uma EC2 instância geraria um CI para a EC2 instância da Amazon, bem como um CI para o grupo de segurança.

Quais são os itens de configuração gerados devido a relacionamentos indiretos?

Abaixo estão os itens de configuração adicionais (CIs) gerados devido a relacionamentos indiretos de recursos.

As alterações de configuração para os seguintes tipos de recursos	serão gerados CIs para os seguintes tipos de recursos
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`, `AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, e `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

Como faço para desativar o relacionamento indireto?

Conclua as etapas a seguir para desativar o relacionamento indireto:

Abra um AWS Support caso da sua conta ou da conta de gerenciamento para várias contas.
Selecione Técnico para o tipo de suporte.
Em Serviço, selecione AWS Config.
Em Categoria, selecione Outro.
Selecione o nível de severidade apropriado.
Insira Desativar relacionamento indireto na linha de assunto.
Na descrição:
- Confirme que você leu este FAQ e deseja continuar.
- Liste as regiões nas quais você deseja desativar o relacionamento indireto.
- Se estiver enviando de uma conta de gerenciamento, inclua a conta IDs e suas regiões associadas.
- Para várias contas, você pode anexar um arquivo CSV com a conta IDs e as regiões.

Um AWS Support engenheiro fornecerá as próximas etapas e atualizações de status. Recomendamos que você mantenha uma lista de AWS contas e regiões nas quais o relacionamento indireto está desativado. Para novas contas, envie um novo AWS Support caso para desativar o relacionamento indireto.

Como faço para recuperar dados de configuração relacionados a relacionamentos indiretos?

Você pode executar consultas SQL (Structured Query Language) em Consultas AWS Config avançadas para recuperar dados de configuração relacionados a relacionamentos indiretos de recursos. Por exemplo, se você quiser recuperar a lista de EC2 instâncias da Amazon relacionadas a um grupo de segurança, use a seguinte consulta:


SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar um endpoint de VPC

Exemplos de código