Não consigo ver minhas últimas alterações de configuração Relações indiretas no AWS Config

Perguntas frequentes

Não consigo ver minhas últimas alterações de configuração

Posso esperar ver minhas alterações de configuração imediatamente?

Geralmente, o AWS Config grava as alterações na configuração dos seus recursos logo após a detecção da alteração ou na frequência especificada. No entanto, isso é feito com base no melhor esforço e às vezes pode levar mais tempo. Se os problemas persistirem depois de algum tempo, entre em contato com o Suporte e forneça suas métricas do AWS Config que são suportadas pelo Amazon CloudWatch. Para obter informações sobre essas métricas, consulte Métricas de uso e sucesso do AWS Config.

Relações indiretas no AWS Config

Tópicos

O que é relacionamento de recursos?
O que é uma relação direta e indireta referente a um recurso?
Quais relacionamentos indiretos têm suporte no AWS Config?
Quais cenários usam relação indireta?
Como os itens de configuração são criados devido ao relacionamento direto e indireto?
Quais são os itens de configuração gerados devido a relacionamentos indiretos?
Como faço para desabilitar a relação indireta?
Como faço para recuperar dados de configuração relacionados a relacionamentos indiretos?

O que é relacionamento de recursos?

Na AWS, os recursos se referem a entidades que são gerenciáveis, como instância do Amazon Elastic Compute Cloud (Amazon EC2), uma pilha do AWS CloudFormation ou um bucket do Amazon S3. O AWS Config é um serviço que rastreia e monitora recursos, criando itens de configuração (CIs) sempre que é detectada uma alteração em um tipo de recurso gravado ou na frequência de gravação definida. Por exemplo, quando o AWS Config é configurado para rastrear instâncias do Amazon EC2, ele cria um item de configuração toda vez que uma instância é criada, atualizada ou excluída. Cada item de configuração criado pelo AWS Config tem vários campos, incluindoaccountId, arn (Nome do recurso da Amazon), awsRegion, configuration, tags e relationships. O campo de relacionamentos de um IC permite que o AWS Config exiba como os recursos estão vinculados uns aos outros. Por exemplo, um relacionamento pode indicar que um volume do Amazon EBS com ID vol-123ab45d está vinculado a uma instância do Amazon EC2 com ID i-a1b2c3d4, que está associada ao grupo de segurança sg-ef678hk.

O que é uma relação direta e indireta referente a um recurso?

O AWS Config deriva os relacionamentos da maioria dos tipos de recursos do campo de configuração, que são chamados de relacionamentos “diretos”. Um relacionamento direto é uma conexão unidirecional (A→B) entre um recurso (A) e outro recurso (B), normalmente obtida da descrição da resposta da API do recurso (A). No passado, para alguns tipos de recursos inicialmente com suporte para o AWS Config, ele também capturava relacionamentos das configurações de outros recursos, criando relacionamentos “indiretos” que eram bidirecionais (B→A). Por exemplo, o relacionamento entre uma instância do Amazon EC2 e seu grupo de segurança é direta porque os grupos de segurança estão incluídos na resposta de descrição da API para a instância do Amazon EC2. Por outro lado, o relacionamento entre um grupo de segurança e uma instância do Amazon EC2 é indireta porque a descrição de um grupo de segurança não retorna nenhuma informação sobre as instâncias às quais ele está associado.

Por exemplo, as relações indiretas podem ajudar a responder às seguintes perguntas:

Quando um gateway NAT falha, quais instâncias do EC2 em sub-redes privadas são afetadas?
Se uma tabela de rotas for modificada, qual instância do EC2 poderá ter problemas de conectividade?
Qual grupo de segurança nunca foi usado?
Qual ENI secundária anexada a uma instância do EC2 está associada ao grupo de segurança?

Como resultado, quando é detectada uma alteração na configuração do recurso, o AWS Config não apenas cria um CI para esse recurso, mas também gera CIs para quaisquer recursos relacionados, incluindo aqueles com relacionamentos indiretos. Por exemplo, quando o AWS Config detecta alterações em uma instância do Amazon EC2, ele cria um CI para a instância e um CI para o grupo de segurança associado à instância.

Quais relacionamentos indiretos têm suporte no AWS Config?

As seguintes relações indiretas de recursos têm suporte no AWS Config.

Tipo de recurso	está indiretamente relacionado ao tipo de recurso
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`,`AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

Quais cenários usam relação indireta?

Abaixo são apresentados os serviços da AWS e o recurso do serviço usando relação indireta.

AWSRecurso do	Cenário
regra gerenciada do AWS Config	A regra ec2-security-group-attached-to-eni verifica se grupos de segurança não padrão estão anexados a interfaces de rede elástica (ENI). Sem uma relação indireta, você precisaria criar uma regra personalizada para verificar se grupos de segurança não padrão estão anexados a uma ENI.
AWS Firewall Manager	A política grupo de segurança de auditoria de uso utiliza a relação indireta para entender quando um grupo de segurança foi usado pela última vez. Sem uma relação indireta, você precisaria criar e associar um grupo de segurança a novos recursos ao mesmo tempo para evitar o acionamento da regra com o AWS Firewall Manager.
Recursos padrão	Recursos padrão quando uma VPC não padrão é criada: Grupo de segurança padrão, ACL de rede padrão e tabela de rotas padrão. Recursos padrão quando uma VPC padrão é criada: Tudo o que é criado com uma VPC não padrão, um gateway da internet e uma sub-rede padrão em cada zona de disponibilidade à qual você tem acesso. A criação da VPC padrão em si quando uma conta chama o EC2 pela primeira vez. Sub-rede padrão criada para contas em uma zona de disponibilidade recém-lançada. Sem uma relação indireta, você precisaria esperar até 12 horas para que a definição automática de linhas de base registrasse as alterações nos recursos padrão.

AWSRecurso do

Cenário

regra gerenciada do AWS Config

A regra ec2-security-group-attached-to-eni verifica se grupos de segurança não padrão estão anexados a interfaces de rede elástica (ENI).

Sem uma relação indireta, você precisaria criar uma regra personalizada para verificar se grupos de segurança não padrão estão anexados a uma ENI.

AWS Firewall Manager

A política grupo de segurança de auditoria de uso utiliza a relação indireta para entender quando um grupo de segurança foi usado pela última vez.

Sem uma relação indireta, você precisaria criar e associar um grupo de segurança a novos recursos ao mesmo tempo para evitar o acionamento da regra com o AWS Firewall Manager.

Recursos padrão

Recursos padrão quando uma VPC não padrão é criada:
- Grupo de segurança padrão, ACL de rede padrão e tabela de rotas padrão.
Recursos padrão quando uma VPC padrão é criada:
- Tudo o que é criado com uma VPC não padrão, um gateway da internet e uma sub-rede padrão em cada zona de disponibilidade à qual você tem acesso.
A criação da VPC padrão em si quando uma conta chama o EC2 pela primeira vez.
- Sub-rede padrão criada para contas em uma zona de disponibilidade recém-lançada.

Sem uma relação indireta, você precisaria esperar até 12 horas para que a definição automática de linhas de base registrasse as alterações nos recursos padrão.

Como os itens de configuração são criados devido ao relacionamento direto e indireto?

Para um relacionamento direto entre recursos (A→B), qualquer alteração na configuração do recurso B também iniciará um item de configuração (CI) para o recurso A. Da mesma forma, para um relacionamento indireto (B→A), quando houver uma alteração na configuração do recurso A, um novo CI será gerado para o recurso B. Por exemplo, a instância do Amazon EC2 com o grupo de segurança é um relacionamento direto, portanto, qualquer alteração na configuração de um grupo de segurança geraria um CI para o grupo de segurança, bem como um CI para a instância do EC2. Da mesma forma, o grupo de segurança com a instância do Amazon EC2 é um relacionamento indireto, portanto, qualquer alteração na configuração de uma instância do EC2 geraria um CI para a instância do Amazon EC2, bem como um CI para o grupo de segurança.

Quais são os itens de configuração gerados devido a relacionamentos indiretos?

Abaixo estão os itens de configuração (CIs) adicionais gerados devido aos relacionamentos indiretos de recursos.

As alterações de configuração para os seguintes tipos de recursos	irá gerar CIs para os seguintes tipos e recursos
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`, `AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, e `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

Como faço para desabilitar a relação indireta?

Conclua as seguintes etapas para desabilitar a relação indireta:

Abra um caso no AWS Support usando sua conta ou a conta gerencial para várias contas.
Selecione Técnico para o tipo de suporte.
Em Serviço, selecione AWS Config.
Em “Categoria”, selecione Outro.
Selecione o nível de severidade apropriado.
Insira Desabilitar a relação indireta na linha de assunto.
Na descrição:
- Confirme que você leu a seção de perguntas e respostas e deseja continuar.
- Liste as regiões nas quais você deseja desabilitar a relação indireta.
- Se estiver enviando de uma conta gerencial, inclua os IDs da conta e as respectivas regiões.
- Para várias contas, você pode anexar um arquivo CSV com IDs de conta e região.

Um engenheiro do AWS Support apresentará as próximas etapas e atualizações de status. Recomendamos que você mantenha uma lista de contas e regiões da AWS nas quais a relação indireta está desabilitada. Para novas contas, envie um novo caso ao AWS Support para desabilitar a relação indireta.

Como faço para recuperar dados de configuração relacionados a relacionamentos indiretos?

Você pode executar consultas SQL (Structured Query Language) em Consultas Avançadas do AWS Config para recuperar dados de configuração relacionados a relacionamentos indiretos de recursos. Por exemplo, se você quiser recuperar a lista de instâncias do Amazon EC2 relacionadas a um grupo de segurança, use a seguinte consulta:


SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar um endpoint de VPC

Exemplos de código