No puedo ver los últimos cambios de configuración Relaciones indirectas en AWS Config

Preguntas frecuentes

No puedo ver los últimos cambios de configuración

¿Debería poder ver los cambios de configuración de inmediato?

Normalmente, AWS Config registra los cambios de configuración en los recursos justo después de detectar el cambio, o con la frecuencia que usted especifique. Aunque el sistema hace todo lo posible porque sea así, a veces puede tardar más tiempo. Si sigue habiendo problemas después de algún tiempo, póngase en contacto con Soporte e indique las métricas de AWS Config de Amazon CloudWatch. Para obtener más información sobre estas métricas, consulte AWS Config Usage and Success Metrics.

Relaciones indirectas en AWS Config

Temas

¿Qué es una relación de recursos?
¿Qué es una relación directa e indirecta con respecto a un recurso?
¿Qué relaciones indirectas admite AWS Config?
¿Qué escenarios utilizan relación indirecta?
¿Cómo se crean los elementos de configuración según la relación directa e indirecta?
¿Cuáles son los elementos de configuración que se generan por las relaciones indirectas?
¿Cómo deshabilito la relación indirecta?
¿Cómo puedo obtener los datos de configuración vinculados con las relaciones indirectas?

¿Qué es una relación de recursos?

En AWS, los recursos hacen referencia a entidades administrables como una instancia de Amazon Elastic Compute Cloud (Amazon EC2), una pila de AWS CloudFormation o un bucket de Amazon S3. AWS Config es un servicio que realiza un seguimiento y supervisa los recursos al crear elementos de configuración (CI, por sus siglas en inglés) cuando se detecta un cambio en un tipo de recurso registrado, o con la frecuencia de registro que defina. Por ejemplo, cuando AWS Config se configura para realizar un seguimiento de las instancias de Amazon EC2, crea un elemento de configuración cada vez que se crea, actualiza o elimina una instancia. Cada elemento de configuración creado por AWS Config tiene varios campos, como accountId, arn (nombre del recurso de Amazon), awsRegion, configuration, tags y relationships. El campo de relaciones de un CI permite a AWS Config mostrar cómo se vinculan los recursos entre sí. Por ejemplo, una relación puede indicar que un volumen de Amazon EBS con el ID vol-123ab45d está asociado a una instancia de Amazon EC2 con el ID i-a1b2c3d4, que está asociado al grupo de seguridad sg-ef678hk.

¿Qué es una relación directa e indirecta con respecto a un recurso?

AWS Config deriva las relaciones para la mayoría de los tipos de recursos del campo de configuración. Estas relaciones son directas. Una relación directa es una conexión unidireccional (A→B) entre un recurso (A) y otro recurso (B), que normalmente se obtiene a partir de la respuesta descrita por la API del recurso (A). En el pasado, para algunos tipos de recursos que AWS Config admitía inicialmente, también capturaba las relaciones de las configuraciones de otros recursos, creando relaciones indirectas que eran bidireccionales (B→A). Por ejemplo, la relación entre una instancia de Amazon EC2 y su grupo de seguridad es directa porque los grupos de seguridad se incluyen en la respuesta descrita por la API para la instancia de Amazon EC2. Por otro lado, la relación entre un grupo de seguridad y una instancia de Amazon EC2 es indirecta porque la descripción de un grupo de seguridad no devuelve información sobre las instancias a las que está asociado.

Por ejemplo, las relaciones indirectas pueden ayudar a responder a las preguntas siguientes:

Cuando falla una puerta de enlace NAT, ¿qué instancias de EC2 de las subredes privadas se ven afectadas?
Si se modifica una tabla de enrutamiento, ¿qué instancia de EC2 podría tener problemas de conectividad?
¿Qué grupo de seguridad no se ha utilizado nunca?
¿Qué ENI secundaria conectada a una instancia de EC2 está asociada al grupo de seguridad?

En consecuencia, cuando se detecta un cambio en la configuración de un recurso, AWS Config no solo crea un CI para ese recurso, sino que también genera CI para cualquier recurso relacionado, incluidos los que tienen relaciones indirectas. Por ejemplo, cuando AWS Config detecta cambios en una instancia de Amazon EC2, crea un CI para la instancia y un CI para el grupo de seguridad asociado a la instancia.

¿Qué relaciones indirectas admite AWS Config?

En AWS Config se admiten las siguientes relaciones indirectas de recursos.

Tipo de recurso	está relacionado indirectamente con el tipo de recurso
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`,`AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

¿Qué escenarios utilizan relación indirecta?

A continuación se muestran los servicios de AWS y la característica del servicio que utiliza una relación indirecta.

AWSCaracterística de	Escenario
regla administrada de AWS Config	La regla ec2-security-group-attached-to-eni comprueba si hay grupos de seguridad no predeterminados conectados a interfaces de red elásticas (ENI). Sin una relación indirecta, tendría que crear una regla personalizada para comprobar si los grupos de seguridad no predeterminados están conectados a un ENI.
AWS Firewall Manager	La política Grupo de seguridad de auditoría de uso utiliza una relación indirecta para saber cuándo se utilizó un grupo de seguridad por última vez. Sin una relación indirecta, tendría que crear y asociar un grupo de seguridad a los nuevos recursos al mismo tiempo para evitar desencadenar la regla con AWS Firewall Manager.
Recursos predeterminados	Recursos predeterminados cuando se crea una VPC no predeterminada: Grupo de seguridad predeterminado, ACL de red predeterminada y tabla de enrutamiento predeterminada. Recursos predeterminados cuando se crea una VPC predeterminada: Todo lo que se crea con una VPC predeterminada, una puerta de enlace de Internet y una subred predeterminada en cada zona de disponibilidad a la que tenga acceso. Creación de una VPC predeterminada cuando una cuenta llama a EC2 por primera vez. Se crea una subred predeterminada para cuentas en una zona de disponibilidad recién lanzada. Sin una relación indirecta, tendría que esperar hasta 12 horas para que la línea de base automática registrara cambios en los recursos predeterminados.

AWSCaracterística de

Escenario

regla administrada de AWS Config

La regla ec2-security-group-attached-to-eni comprueba si hay grupos de seguridad no predeterminados conectados a interfaces de red elásticas (ENI).

Sin una relación indirecta, tendría que crear una regla personalizada para comprobar si los grupos de seguridad no predeterminados están conectados a un ENI.

AWS Firewall Manager

La política Grupo de seguridad de auditoría de uso utiliza una relación indirecta para saber cuándo se utilizó un grupo de seguridad por última vez.

Sin una relación indirecta, tendría que crear y asociar un grupo de seguridad a los nuevos recursos al mismo tiempo para evitar desencadenar la regla con AWS Firewall Manager.

Recursos predeterminados

Recursos predeterminados cuando se crea una VPC no predeterminada:
- Grupo de seguridad predeterminado, ACL de red predeterminada y tabla de enrutamiento predeterminada.
Recursos predeterminados cuando se crea una VPC predeterminada:
- Todo lo que se crea con una VPC predeterminada, una puerta de enlace de Internet y una subred predeterminada en cada zona de disponibilidad a la que tenga acceso.
Creación de una VPC predeterminada cuando una cuenta llama a EC2 por primera vez.
- Se crea una subred predeterminada para cuentas en una zona de disponibilidad recién lanzada.

Sin una relación indirecta, tendría que esperar hasta 12 horas para que la línea de base automática registrara cambios en los recursos predeterminados.

¿Cómo se crean los elementos de configuración según la relación directa e indirecta?

En el caso de una relación directa entre los recursos (A→B), cualquier cambio de configuración en el recurso B también iniciará un elemento de configuración (CI) para el recurso A. Del mismo modo, para una relación indirecta (B→A), cuando se produce un cambio de configuración en el recurso A, se genera un nuevo CI para el recurso B. Por ejemplo, la instancia de Amazon EC2 con el grupo de seguridad tienen una relación directa, por lo que cualquier cambio de configuración en un grupo de seguridad generará un CI para el grupo de seguridad y un CI para la instancia de EC2. Del mismo modo, el grupo de seguridad con la instancia de Amazon EC2 tienen una relación indirecta, por lo que cualquier cambio de configuración en una instancia de EC2 generaría un CI para la instancia de Amazon EC2 y un CI para el grupo de seguridad.

¿Cuáles son los elementos de configuración que se generan por las relaciones indirectas?

A continuación, se muestran los elementos de configuración (CI) adicionales generados debido a las relaciones indirectas entre los recursos.

Cambios de configuración de los siguientes tipos de recurso	se generan CI para los siguientes tipos de recurso
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`, `AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, y `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

¿Cómo deshabilito la relación indirecta?

Siga estos pasos para deshabilitar la relación indirecta:

Abra un caso de AWS Support desde su cuenta o desde la cuenta de administración para varias cuentas.
Seleccione Técnico como tipo de soporte.
En Servicios, seleccione AWS Config.
En Categoría, selecciona Otros.
Seleccione el nivel de gravedad adecuado.
Escriba Deshabilitar relación indirecta en la línea de asunto.
En la descripción:
- Confirme que ha leído estas preguntas frecuentes y que quiere continuar.
- Enumere las regiones en las que desee deshabilitar la relación indirecta.
- Si envía desde una cuenta de administración, incluya los ID de cuenta y sus regiones asociadas.
- En el caso de varias cuentas, puede adjuntar un archivo CSV con ID y regiones de las cuentas.

Un ingeniero de AWS Support le proporcionará los próximos pasos y las actualizaciones de estado. Le recomendamos que mantenga una lista de cuentas y regiones de AWS en las que la relación indirecta esté deshabilitada. En el caso de cuentas nuevas, envíe un nuevo caso de AWS Support para deshabilitar la relación indirecta.

¿Cómo puedo obtener los datos de configuración vinculados con las relaciones indirectas?

Puede ejecutar consultas de lenguaje de consulta estructurada (SQL) en las consultas avanzadas de AWS Config para recuperar los datos de configuración vinculados con las relaciones indirectas de los recursos. Por ejemplo, si desea recuperar la lista de instancias de Amazon EC2 relacionadas con un grupo de seguridad, utilice la siguiente consulta:


SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Crear un punto de enlace de la VPC

Ejemplos de código