よくある質問 - AWS Config
最新の構成変更を確認できないにおける間接的な関係 AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

よくある質問

最新の構成変更を確認できない

設定の変更をすぐに確認できると期待できますか?

AWS Config 通常、変更が検出された直後、または指定した頻度で、リソースの設定変更を記録します。ただし、これはベストエフォート方式であり、場合によってはさらに時間がかかることがあります。しばらくしても問題が解決しない場合は、AWS Support AWS Config Amazonがサポートしているメトリックスを提供してください。 CloudWatchこれらのメトリックスについて詳しくは、「AWS Config 使用状況と成功のメトリクス」を参照してください。

における間接的な関係 AWS Config

リソース関係とは何ですか?

では AWS、リソースとは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、 AWS CloudFormation スタック、Amazon S3 バケットなど、管理可能なエンティティを指します。 AWS Config は、記録されたリソースタイプへの変更が検出されたとき、または設定した記録頻度で設定項目 (CI) を作成することにより、リソースを追跡および監視するサービスです。たとえば、Amazon EC2 インスタンスを追跡するように設定すると、 AWS Config インスタンスが作成、更新、または削除されるたびに設定項目が作成されます。 AWS Config によって作成された各設定項目には、arn (Amazon リソースネーム)、、awsRegionconfigurationtagsaccountIdrelationshipsなどの複数のフィールドがあります。CI のリレーションシップフィールドでは AWS Config 、リソース同士がどのようにリンクされているかを表示できます。例えば関係は、セキュリティグループ sg-ef678hk に関連付けられている Amazon EC2 インスタンス (ID は i-a1b2c3d4) に接続された Amazon EBS ボリューム (ID は vol-123ab45d) を示す場合があります。

リソースに関する直接的な関係と間接的な関係とは何ですか?

AWS Config ほとんどのリソースタイプのリレーションシップを設定フィールドから導き出します。これを「直接」リレーションシップと呼びます。直接的な関係は、リソース (A) と別のリソース (B) との間の一方向関係 (A→B) であり、通常、リソース (A) の Describe API レスポンスから取得されます。以前は、 AWS Config 当初サポートされていた一部のリソースタイプでは、他のリソースの構成からも関係を取り込み、双方向の「間接」関係 (B→A) を作成していました。例えば、Amazon EC2 インスタンスとそのセキュリティグループの関係は直接的です。セキュリティグループは Amazon EC2 インスタンスの Describe API レスポンスに含まれるためです。一方、セキュリティグループと Amazon EC2 インスタンスの関係は間接的です。セキュリティグループを記述しても、関連付けられているインスタンスに関する情報は返されないためです。その結果、リソース設定の変更が検出されると、 AWS Config はそのリソースの CI を作成するだけでなく、間接的な関係を持つリソースを含む関連リソースの CI も生成します。たとえば、Amazon EC2 AWS Config インスタンスで変更を検出すると、インスタンス用の CI と、インスタンスに関連付けられているセキュリティグループ用の CI が作成されます。

AWS Config どの間接関係がサポートされていますか?

では以下の間接的なリソース関係がサポートされています。 AWS Config

リソースタイプ は、リソースタイプに間接的に関連しています
AWS::EC2::RouteTable AWS::EC2::Instance, AWS::EC2::NetworkInterface, AWS::EC2::Subnet, AWS::EC2::VPNGateway, AWS::EC2::VPC
AWS::EC2::EIP AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Instance AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkACL AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::VPNConnection AWS::EC2::VPNGateway, AWS::EC2::CustomerGateway
AWS::EC2::InternetGateway AWS::EC2::VPC
AWS::EC2::SecurityGroup AWS::EC2::VPC
AWS::EC2::Subnet AWS::EC2::VPC
AWS::EC2::VPNGateway AWS::EC2::VPC

直接的な関係と間接的な関係によって設定項目はどのように作成されますか?

リソース間の直接的な関係 (A→B) では、リソース B の設定を変更すると、リソース A の設定項目 (CI) も開始されます。同様に、間接的な関係 (B→A) の場合、リソース A の設定が変更されると、リソース B に新しい CI が生成されます。例えば、Amazon EC2 インスタンスとセキュリティグループは直接的な関係であるため、セキュリティグループの設定を変更すると、セキュリティグループの CI と EC2 インスタンスの CI が生成されます。同様に、セキュリティグループと Amazon EC2 インスタンスは間接的な関係であるため、EC2 インスタンスの設定を変更すると、Amazon EC2 インスタンスの CI とセキュリティグループの CI が生成されます。

間接的な関係によって生成される設定項目にはどのようなものがありますか?

以下は、間接的なリソース関係によって生成される追加の設定項目 (CI) です。

次のリソースタイプへの設定変更 は、次のリソースタイプの CI を生成します
AWS::EC2::RouteTable AWS::EC2::InstanceAWS::EC2::NetworkInterfaceAWS::EC2::SubnetAWS::EC2::VPNGateway、および AWS::EC2::VPC
AWS::EC2::EIP AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Instance AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkACL AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::VPNConnection AWS::EC2::VPNGateway, AWS::EC2::CustomerGateway
AWS::EC2::InternetGateway AWS::EC2::VPC
AWS::EC2::SecurityGroup AWS::EC2::VPC
AWS::EC2::Subnet AWS::EC2::VPC
AWS::EC2::VPNGateway AWS::EC2::VPC

間接的な関係に関連する設定データを取得する方法を教えてください。

AWS Config アドバンストクエリで構造化クエリ言語 (SQL) クエリを実行すると、間接的なリソース関係に関連する設定データを取得できます。例えば、セキュリティグループに関連する Amazon EC2 インスタンスのリストを取得する場合は、次のクエリを使用します。

SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'