Starten Sie eine Ressourcenprüfung mit dem CloudFormation IaC-Generator - AWS CloudFormation
Starten Sie eine Ressourcenprüfung (Konsole)Starten Sie eine Ressourcenprüfung (AWS CLI)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Starten Sie eine Ressourcenprüfung mit dem CloudFormation IaC-Generator

Bevor Sie eine Vorlage aus vorhandenen Ressourcen erstellen, müssen Sie zunächst eine Ressourcenprüfung durchführen, um Ihre aktuellen Ressourcen und deren Beziehungen zu ermitteln.

Sie können eine Ressourcenprüfung mit einer der folgenden Optionen starten. Wenn Sie den IaC-Generator zum ersten Mal verwenden, empfehlen wir Ihnen die erste Option.

  • Alle Ressourcen scannen (vollständiger Scan)- Scannt alle vorhandenen Ressourcen im aktuellen Konto und in der Region. Dieser Scanvorgang kann bei 1.000 Ressourcen bis zu 10 Minuten dauern.

  • Bestimmte Ressourcen scannen (Teilscan)- Wählen Sie manuell aus, welche Ressourcentypen im aktuellen Konto und in der Region gescannt werden sollen. Diese Option ermöglicht einen schnelleren und gezielteren Scanprozess und ist daher ideal für die iterative Entwicklung von Vorlagen.

Nach Abschluss des Scans können Sie auswählen, welche Ressourcen und die damit verbundenen Ressourcen bei der Erstellung Ihrer Vorlage berücksichtigt werden sollen. Bei der Verwendung der partiellen Überprüfung sind verwandte Ressourcen bei der Vorlagenerstellung nur dann verfügbar, wenn entweder:

  • Sie haben sie vor dem Start des Scans speziell ausgewählt, oder

  • Sie wurden benötigt, um Ihre ausgewählten Ressourcentypen zu entdecken.

Wenn Sie beispielsweise AWS::EKS::Nodegroup auswählen, ohne AWS::EKS::Clusterauszuwählen, bezieht der IaC-Generator automatisch AWS::EKS::Cluster-Ressourcen in den Scan mit ein, da für die Erkennung der Knotengruppe zuerst der Cluster erkannt werden muss. In allen anderen Fällen wird der Scan nur die von Ihnen ausgewählten Ressourcen berücksichtigen.

Anmerkung

Bevor Sie fortfahren, vergewissern Sie sich, dass Sie über die erforderlichen Berechtigungen für die Arbeit mit dem IaC-Generator verfügen. Weitere Informationen finden Sie unter Für das Scannen von Ressourcen erforderliche IAM-Berechtigungen.

Starten Sie eine Ressourcenprüfung (Konsole)

So starten Sie einen Ressourcenscan für alle Ressourcentypen (vollständiger Scan)

  1. Öffnen Sie die Seite IaC-Generator der CloudFormation-Konsole.

  2. Wählen Sie in der Navigationsleiste am oberen Rand des Bildschirms das AWS-Region, das die zu scannenden Ressourcen enthält.

  3. Wählen Sie im Bereich Scans die Option Einen neuen Scan starten und dann Alle Ressourcen scannen.

So starten Sie einen Ressourcenscan für bestimmte Ressourcentypen (Teilscan)

  1. Öffnen Sie die Seite IaC-Generator der CloudFormation-Konsole.

  2. Wählen Sie in der Navigationsleiste am oberen Rand des Bildschirms das AWS-Region, das die zu scannenden Ressourcen enthält.

  3. Wählen Sie im Bereich Scans die Option Einen neuen Scan starten und dann Bestimmte Ressourcen scannen.

  4. Wählen Sie im Dialogfeld Teilweise Überprüfung starten bis zu 100 Ressourcentypen aus und wählen Sie dann Überprüfung starten.

Starten Sie eine Ressourcenprüfung (AWS CLI)

So starten Sie einen Ressourcenscan für alle Ressourcentypen (vollständiger Scan)

Verwenden Sie den folgenden Befehl start-resource-scan . Ersetzen Sie us-east-1 durch AWS-Region die die zu überprüfenden Ressourcen enthält.

aws cloudformation start-resource-scan --region us-east-1

Bei Erfolg gibt dieser Befehl die ARN des Scans zurück. Beachten Sie die ARN in der Eigenschaft ResourceScanId . Sie benötigen sie, um Ihre Vorlage zu erstellen.

{
    "ResourceScanId":
      "arn:aws:cloudformation:region:account-id:resourceScan/0a699f15-489c-43ca-a3ef-3e6ecfa5da60"
}
So starten Sie einen Ressourcenscan für bestimmte Ressourcentypen (Teilscan)

  1. Verwenden Sie den folgenden Befehl cat um die Ressourcentypen, die Sie scannen möchten, in einer JSON-Datei mit dem Namen config.json in Ihrem Home-Verzeichnis zu speichern. Nachfolgend sehen Sie eine Beispielkonfiguration, die nach Amazon EC2-Instances, Sicherheitsgruppen und allen Amazon S3-Ressourcen scannt.

    $ cat > config.json
[
  {
    "Types":[
      "AWS::EC2::Instance",
      "AWS::EC2::SecurityGroup",
      "AWS::S3::*"
    ]
  }
]

  2. Verwenden Sie den Befehl start-resource-scan mit der Option --scan-filters zusammen mit der von Ihnen erstellten config.json-Datei, um den partiellen Scan zu starten. Ersetzen Sie us-east-1 durch AWS-Region die die zu überprüfenden Ressourcen enthält.

    aws cloudformation start-resource-scan --scan-filters file://config.json --region us-east-1

    Bei Erfolg gibt dieser Befehl die ARN des Scans zurück. Beachten Sie die ARN in der Eigenschaft ResourceScanId . Sie benötigen sie, um Ihre Vorlage zu erstellen.

    {
    "ResourceScanId":
      "arn:aws:cloudformation:region:account-id:resourceScan/0a699f15-489c-43ca-a3ef-3e6ecfa5da60"
}
So überwachen Sie den Fortschritt einer Ressourcenprüfung

Verwenden Sie den Befehl describe-resource-scan . Ersetzen Sie bei der Option --resource-scan-id die Beispiel-ARN durch die tatsächliche ARN.

aws cloudformation describe-resource-scan --region us-east-1 \
  --resource-scan-id arn:aws:cloudformation:us-east-1:123456789012:resourceScan/0a699f15-489c-43ca-a3ef-3e6ecfa5da60

Ist der Befehl erfolgreich, wird eine Ausgabe zurückgegeben, die wie folgt aussehen sollte: 

{
    "ResourceScanId": "arn:aws:cloudformation:region:account-id:resourceScan/0a699f15-489c-43ca-a3ef-3e6ecfa5da60",
    "Status": "COMPLETE",
    "StartTime": "2023-08-21T03:10:38.485000+00:00",
    "EndTime": "2023-08-21T03:20:28.485000+00:00",
    "PercentageCompleted": 100.0,
    "ResourceTypes": [
        "AWS::CloudFront::CachePolicy",
        "AWS::CloudFront::OriginRequestPolicy",
        "AWS::EC2::DHCPOptions",
        "AWS::EC2::InternetGateway",
        "AWS::EC2::KeyPair",
        "AWS::EC2::NetworkAcl",
        "AWS::EC2::NetworkInsightsPath",
        "AWS::EC2::NetworkInterface",
        "AWS::EC2::PlacementGroup",
        "AWS::EC2::Route",
        "AWS::EC2::RouteTable",
        "AWS::EC2::SecurityGroup",
        "AWS::EC2::Subnet",
        "AWS::EC2::SubnetCidrBlock",
        "AWS::EC2::SubnetNetworkAclAssociation",
        "AWS::EC2::SubnetRouteTableAssociation",
        ...
    ],
    "ResourcesRead": 676
}

Bei einem Teil-Scan sieht die Ausgabe ähnlich aus wie die folgende: 

{
    "ResourceScanId": "arn:aws:cloudformation:region:account-id:resourceScan/0a699f15-489c-43ca-a3ef-3e6ecfa5da60",
    "Status": "COMPLETE",
    "StartTime": "2025-03-06T18:24:19.542000+00:00",
    "EndTime": "2025-03-06T18:25:23.142000+00:00",
    "PercentageCompleted": 100.0,
    "ResourceTypes": [
        "AWS::EC2::Instance",
        "AWS::EC2::SecurityGroup",
        "AWS::S3::Bucket",
        "AWS::S3::BucketPolicy"
    ],
    "ResourcesRead": 65,
    "ScanFilters": [
        {
            "Types": [
                "AWS::EC2::Instance",
                "AWS::EC2::SecurityGroup",
                "AWS::S3::*"
            ]
        }
    ]
}

Eine Beschreibung der Felder in der Ausgabe finden Sie unter DescribeResourceScan in der AWS CloudFormation API-Referenz.