Impossible de voir mes dernières modifications de configuration Relations indirectes dans AWS Config

Questions fréquentes (FAQ)

Impossible de voir mes dernières modifications de configuration

Puis-je m'attendre à voir mes modifications de configuration immédiatement ?

AWS Config enregistre généralement les modifications de configuration de vos ressources juste après la détection d'une modification, ou à la fréquence que vous spécifiez. Cependant, cela se fait dans la mesure du possible et peut parfois prendre plus de temps. Si les problèmes persistent après un certain temps, contactez AWS Supportet fournissez vos AWS Config statistiques prises en charge par Amazon CloudWatch. Pour plus d'informations sur ces mesures, consultez la section Mesures AWS Config d'utilisation et de réussite.

Relations indirectes dans AWS Config

Rubriques

Qu'est-ce que la relation entre les ressources ?
Que sont les relations directes et indirectes entre les ressources ?
Quelles sont les relations indirectes prises AWS Config en charge ?
Comment les éléments de configuration sont-ils créés en cas de relation directe et indirecte ?
Quels sont les éléments de configuration générés par les relations indirectes ?
Comment récupérer les données de configuration liées aux relations indirectes ?

Qu'est-ce que la relation entre les ressources ?

Dans AWS, les ressources font référence à des entités gérables, telles qu'une instance Amazon Elastic Compute Cloud (Amazon EC2), une AWS CloudFormation pile ou un bucket Amazon S3. AWS Config est un service qui suit et surveille les ressources en créant des éléments de configuration (CI) chaque fois qu'une modification d'un type de ressource enregistrée est détectée, ou à la fréquence d'enregistrement que vous avez définie. Par exemple, lorsqu'il AWS Config est configuré pour suivre les instances Amazon EC2, il crée un élément de configuration chaque fois qu'une instance est créée, mise à jour ou supprimée. Chaque élément de configuration créé par AWS Config comporte plusieurs champsaccountId, notamment arn (Amazon Resource Name)awsRegion,configuration,tags, etrelationships. Le champ de relations d'un CI permet d' AWS Config afficher comment les ressources sont liées les unes aux autres. Par exemple, une relation peut indiquer qu'un volume Amazon EBS présentant l'ID vol-123ab45d est attaché à une instance Amazon EC2 présentant l'ID i-a1b2c3d4, elle-même associée au groupe de sécurité sg-ef678hk.

Que sont les relations directes et indirectes entre les ressources ?

AWS Config déduit les relations pour la plupart des types de ressources à partir du champ de configuration, appelées relations « directes ». Une relation directe est une connexion unidirectionnelle (A→B) entre une ressource (A) et une autre ressource (B), généralement obtenue à partir de la réponse de description de l'API de la ressource (A). Dans le passé, pour certains types de ressources AWS Config initialement pris en charge, il capturait également les relations issues des configurations d'autres ressources, créant ainsi des relations « indirectes » bidirectionnelles (B→A). Par exemple, la relation entre une instance Amazon EC2 et son groupe de sécurité est directe car les groupes de sécurité sont inclus dans la réponse de description de l'API pour l'instance Amazon EC2. D'autre part, la relation entre un groupe de sécurité et une instance Amazon EC2 est indirecte car la description d'un groupe de sécurité ne renvoie aucune information sur les instances auxquelles il est associé. Par conséquent, lorsqu'un changement de configuration de ressource est détecté, AWS Config crée non seulement un CI pour cette ressource, mais génère également des CI pour toutes les ressources associées, y compris celles présentant des relations indirectes. Par exemple, lorsqu'il AWS Config détecte des modifications dans une instance Amazon EC2, il crée un CI pour l'instance et un CI pour le groupe de sécurité associé à l'instance.

Quelles sont les relations indirectes prises AWS Config en charge ?

Les relations de ressources indirectes suivantes sont prises en charge dans AWS Config.

Type de ressource	est indirectement lié au type de ressource
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`, `AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

Comment les éléments de configuration sont-ils créés en cas de relation directe et indirecte ?

Pour une relation directe entre les ressources (A→B), tout changement de configuration apporté à la ressource B générera également un élément de configuration (CI) pour la ressource A. De même, pour une relation indirecte (B→A), lorsqu'un changement de configuration est apporté à la ressource A, un nouveau CI est généré pour la ressource B. Par exemple, l'instance Amazon EC2 avec le groupe de sécurité est une relation directe, de sorte que tout changement de configuration apporté à un groupe de sécurité générerait un CI pour le groupe de sécurité ainsi qu'un CI pour l'instance EC2. De même, le groupe de sécurité et l'instance Amazon EC2 constituent une relation indirecte, de sorte que tout changement de configuration apporté à une instance EC2 générera un CI pour l'instance Amazon EC2 ainsi qu'un CI pour le groupe de sécurité.

Quels sont les éléments de configuration générés par les relations indirectes ?

Vous trouverez ci-dessous les éléments de configuration supplémentaires (CI) générés en cas de relations de indirectes entre les ressources.

Des changements de configuration sont apportés aux types de ressources suivants	générera des CI pour les types de ressources suivants
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`, `AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, et `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

Comment récupérer les données de configuration liées aux relations indirectes ?

Vous pouvez exécuter des requêtes SQL (Structured Query Language) dans les requêtes AWS Config avancées pour récupérer les données de configuration relatives aux relations de ressources indirectes. Si vous souhaitez par exemple récupérer la liste des instances Amazon EC2 associées à un groupe de sécurité, utilisez la requête suivante :


SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création d'un point de terminaison de VPC

Exemples de code