Impossible de voir mes dernières modifications de configuration Relations indirectes dans AWS Config

Questions fréquentes (FAQ)

Impossible de voir mes dernières modifications de configuration

Puis-je m'attendre à voir mes modifications de configuration immédiatement ?

AWS Config enregistre généralement les modifications de configuration de vos ressources juste après la détection d'une modification, ou à la fréquence que vous spécifiez. Cependant, cela se fait dans la mesure du possible et peut parfois prendre plus de temps. Si les problèmes persistent après un certain temps, contactez Supportet fournissez vos AWS Config statistiques prises en charge par Amazon CloudWatch. Pour plus d'informations sur ces mesures, consultez la section Mesures AWS Config d'utilisation et de réussite.

Relations indirectes dans AWS Config

Rubriques

Qu'est-ce que la relation entre les ressources ?
Que sont les relations directes et indirectes entre les ressources ?
Quelles sont les relations indirectes prises AWS Config en charge ?
Quels scénarios utilisent une relation indirecte ?
Comment les éléments de configuration sont-ils créés en cas de relation directe et indirecte ?
Quels sont les éléments de configuration générés par les relations indirectes ?
Comment désactiver la relation indirecte ?
Comment récupérer les données de configuration liées aux relations indirectes ?

Qu'est-ce que la relation entre les ressources ?

Dans AWS, les ressources font référence à des entités gérables, telles qu'une instance Amazon Elastic Compute Cloud (Amazon EC2), une AWS CloudFormation pile ou un bucket Amazon S3. AWS Config est un service qui suit et surveille les ressources en créant des éléments de configuration (CIs) chaque fois qu'une modification d'un type de ressource enregistrée est détectée, ou à la fréquence d'enregistrement que vous avez définie. Par exemple, lorsqu'il AWS Config est configuré pour suivre les instances Amazon EC2, il crée un élément de configuration chaque fois qu'une instance est créée, mise à jour ou supprimée. Chaque élément de configuration créé par AWS Config comporte plusieurs champsaccountId, notamment arn (Amazon Resource Name)awsRegion,configuration,tags, etrelationships. Le champ de relations d'un CI permet d' AWS Config afficher comment les ressources sont liées les unes aux autres. Par exemple, une relation peut indiquer qu'un volume Amazon EBS présentant l'ID vol-123ab45d est attaché à une instance Amazon EC2 présentant l'ID i-a1b2c3d4, elle-même associée au groupe de sécurité sg-ef678hk.

Que sont les relations directes et indirectes entre les ressources ?

AWS Config déduit les relations pour la plupart des types de ressources à partir du champ de configuration, appelées relations « directes ». Une relation directe est une connexion unidirectionnelle (A→B) entre une ressource (A) et une autre ressource (B), généralement obtenue à partir de la réponse de description de l'API de la ressource (A). Dans le passé, pour certains types de ressources AWS Config initialement pris en charge, il capturait également les relations issues des configurations d'autres ressources, créant ainsi des relations « indirectes » bidirectionnelles (B→A). Par exemple, la relation entre une instance Amazon EC2 et son groupe de sécurité est directe car les groupes de sécurité sont inclus dans la réponse de description de l'API pour l'instance Amazon EC2. D'autre part, la relation entre un groupe de sécurité et une instance Amazon EC2 est indirecte car la description d'un groupe de sécurité ne renvoie aucune information sur les instances auxquelles il est associé.

Par exemple, les relations indirectes peuvent aider à répondre aux questions suivantes :

En cas de défaillance d'une passerelle NAT, quelles instances EC2 situées dans des sous-réseaux privés sont affectées ?
Si une table de routage est modifiée, quelle instance EC2 peut rencontrer des problèmes de connectivité ?
Quel groupe de sécurité n'a jamais été utilisé ?
Quel ENI secondaire attaché à une instance EC2 est associé au groupe de sécurité ?

Par conséquent, lorsqu'un changement de configuration de ressource est détecté, AWS Config non seulement un CI est créé pour cette ressource, mais également CIs pour toutes les ressources associées, y compris celles présentant des relations indirectes. Par exemple, lorsqu'il AWS Config détecte des modifications dans une instance Amazon EC2, il crée un CI pour l'instance et un CI pour le groupe de sécurité associé à l'instance.

Quelles sont les relations indirectes prises AWS Config en charge ?

Les relations de ressources indirectes suivantes sont prises en charge dans AWS Config.

Type de ressource	est indirectement lié au type de ressource
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`,`AWS::EC2::Subnet`, `AWS::EC2::VPNGateway`, `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

Quels scénarios utilisent une relation indirecte ?

Vous trouverez ci-dessous les AWS services et les fonctionnalités du service utilisant une relation indirecte.

AWS fonctionnalité	Scénario
AWS Config règle gérée	La règle ec2- security-group-attached-to -eni vérifie si des groupes de sécurité autres que ceux par défaut sont attachés aux Elastic Network Interfaces (ENI). Sans relation indirecte, vous devez créer une règle personnalisée pour vérifier si des groupes de sécurité autres que ceux par défaut sont attachés à un ENI.
AWS Firewall Manager	Audit d'utilisation La politique du groupe de sécurité utilise une relation indirecte pour comprendre quand un groupe de sécurité a été utilisé pour la dernière fois. Sans relation indirecte, vous devez créer et associer un groupe de sécurité à de nouvelles ressources en même temps pour éviter de déclencher la règle avec AWS Firewall Manager.
Ressources par défaut	Ressources par défaut lorsqu'un VPC autre que le VPC par défaut est créé : Groupe de sécurité par défaut, ACL réseau par défaut et table de routage par défaut. Ressources par défaut lors de la création d'un VPC par défaut : Tout ce qui est créé avec un VPC autre que celui par défaut, une passerelle Internet et un sous-réseau par défaut dans chaque zone de disponibilité à laquelle vous avez accès. Création d'un VPC par défaut lorsqu'un compte appelle EC2 pour la première fois. Sous-réseau par défaut créé pour les comptes dans une zone de disponibilité récemment lancée. En l'absence de relation indirecte, il faudrait attendre jusqu'à 12 heures pour que la définition de référence automatique enregistre les modifications apportées aux ressources par défaut.

AWS fonctionnalité

Scénario

AWS Config règle gérée

La règle ec2- security-group-attached-to -eni vérifie si des groupes de sécurité autres que ceux par défaut sont attachés aux Elastic Network Interfaces (ENI).

Sans relation indirecte, vous devez créer une règle personnalisée pour vérifier si des groupes de sécurité autres que ceux par défaut sont attachés à un ENI.

AWS Firewall Manager

Audit d'utilisation La politique du groupe de sécurité utilise une relation indirecte pour comprendre quand un groupe de sécurité a été utilisé pour la dernière fois.

Sans relation indirecte, vous devez créer et associer un groupe de sécurité à de nouvelles ressources en même temps pour éviter de déclencher la règle avec AWS Firewall Manager.

Ressources par défaut

Ressources par défaut lorsqu'un VPC autre que le VPC par défaut est créé :
- Groupe de sécurité par défaut, ACL réseau par défaut et table de routage par défaut.
Ressources par défaut lors de la création d'un VPC par défaut :
- Tout ce qui est créé avec un VPC autre que celui par défaut, une passerelle Internet et un sous-réseau par défaut dans chaque zone de disponibilité à laquelle vous avez accès.
Création d'un VPC par défaut lorsqu'un compte appelle EC2 pour la première fois.
- Sous-réseau par défaut créé pour les comptes dans une zone de disponibilité récemment lancée.

En l'absence de relation indirecte, il faudrait attendre jusqu'à 12 heures pour que la définition de référence automatique enregistre les modifications apportées aux ressources par défaut.

Comment les éléments de configuration sont-ils créés en cas de relation directe et indirecte ?

Pour une relation directe entre les ressources (A→B), tout changement de configuration apporté à la ressource B générera également un élément de configuration (CI) pour la ressource A. De même, pour une relation indirecte (B→A), lorsqu'un changement de configuration est apporté à la ressource A, un nouveau CI est généré pour la ressource B. Par exemple, l'instance Amazon EC2 avec le groupe de sécurité est une relation directe, de sorte que tout changement de configuration apporté à un groupe de sécurité générerait un CI pour le groupe de sécurité ainsi qu'un CI pour l'instance EC2. De même, le groupe de sécurité et l'instance Amazon EC2 constituent une relation indirecte, de sorte que tout changement de configuration apporté à une instance EC2 générera un CI pour l'instance Amazon EC2 ainsi qu'un CI pour le groupe de sécurité.

Quels sont les éléments de configuration générés par les relations indirectes ?

Vous trouverez ci-dessous les éléments de configuration supplémentaires (CIs) générés en raison de relations de ressources indirectes.

Des changements de configuration sont apportés aux types de ressources suivants	sera généré CIs pour les types de ressources suivants
`AWS::EC2::RouteTable`	`AWS::EC2::Instance`, `AWS::EC2::NetworkInterface`, `AWS::EC2::Subnet`, `AWS::EC2::VPNGateway` et `AWS::EC2::VPC`
`AWS::EC2::EIP`	`AWS::EC2::Instance`,`AWS::EC2::NetworkInterface`
`AWS::EC2::Instance`	`AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkInterface`	`AWS::EC2::SecurityGroup`,`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::NetworkACL`	`AWS::EC2::Subnet`, `AWS::EC2::VPC`
`AWS::EC2::VPNConnection`	`AWS::EC2::VPNGateway`, `AWS::EC2::CustomerGateway`
`AWS::EC2::InternetGateway`	`AWS::EC2::VPC`
`AWS::EC2::SecurityGroup`	`AWS::EC2::VPC`
`AWS::EC2::Subnet`	`AWS::EC2::VPC`
`AWS::EC2::VPNGateway`	`AWS::EC2::VPC`

Comment désactiver la relation indirecte ?

Procédez comme suit pour désactiver la relation indirecte :

Ouvrez un AWS Support dossier depuis votre compte ou depuis le compte de gestion pour plusieurs comptes.
Sélectionnez Technique pour le type de support.
Pour Service, sélectionnez AWS Config.
Pour Catégorie, sélectionnez Autre.
Sélectionnez le niveau de gravité approprié.
Entrez Désactiver la relation indirecte dans la ligne d'objet.
Dans la description :
- Confirmez que vous avez lu cette FAQ et que vous souhaitez continuer.
- Répertoriez les régions dans lesquelles vous souhaitez désactiver les relations indirectes.
- Si vous soumettez depuis un compte de gestion, incluez le compte IDs et les régions associées.
- Pour plusieurs comptes, vous pouvez joindre un fichier CSV avec le compte IDs et les régions.

Un AWS Support ingénieur fournira les prochaines étapes et des mises à jour sur le statut. Nous vous recommandons de conserver une liste des AWS comptes et des régions dans lesquels la relation indirecte est désactivée. Pour les nouveaux comptes, soumettez un nouveau AWS Support dossier pour désactiver la relation indirecte.

Comment récupérer les données de configuration liées aux relations indirectes ?

Vous pouvez exécuter des requêtes SQL (Structured Query Language) dans les requêtes AWS Config avancées pour récupérer les données de configuration relatives aux relations de ressources indirectes. Si vous souhaitez par exemple récupérer la liste des instances Amazon EC2 associées à un groupe de sécurité, utilisez la requête suivante :


SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création d'un point de terminaison de VPC

Exemples de code