常见问题 - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

常见问题

AWS Config 资源关系的更改

AWS Config 资源关系中的新变化是什么?

为了优化与记录与临时工作负载相关的更改相关的成本,AWS Config 将发布一个更新,以配置项目 (CI) 中的七种 Amazon EC2 资源类型2021 年 8 月 1 日。临时工作负载的示例包括对 Amazon Elastic Compute Cloud (Amazon EC2) 竞价型实例的更改、Amazon Elastic MapReduce 作业以及 Amazon EC2 自动扩展。此更新针对 Amazon EC2 实例、安全组、网络接口、子网、VPC、VPN 网关和客户网关资源类型优化了 CI 模型,以记录直接关系和弃用间接关系。

什么是与资源相关的直接关系和直接关系?

直接关系被定义为资源 (A) 和另一资源 (B) 之间的单向关系 (A->B),通常来自资源 (A) 的描述 API 响应。另一方面,间接关系是 AWS Config 推断的关系(B->A),以创建双向关系。例如,Amazon EC2 实例-> 安全组是一种直接关系,因为安全组是作为 Amazon EC2 实例描述 API 响应的一部分返回的。但是安全组-> Amazon EC2实例是间接关系,因为在描述 Amazon EC2 安全组时不会返回 Amazon EC2 实例。

此更改对 AWS Config 订阅者有什么好处?

通过弃用间接关系,与关系更改相关的配置项目较少。这有助于控制 AWS Config 成本,尤其是在临时工作负载的情况下,因为 Amazon EC2 资源类型的配置更改量很大。

正在删除哪些资源关系?

以下资源关系被弃用。

资源类型 与资源类型的间接关系
AWS::EC2::CustomerGateway AWS::VPN::Connection
AWS::EC2::Instance AWS::EC2::EIP, AWS::EC2::RouteTable
AWS::EC2::NetworkInterface AWS::EC2::EIP, AWS::EC2::RouteTable
AWS::EC2::SecurityGroup AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Subnet AWS::EC2::Instance, AWS::EC2::NetworkACL, AWS::EC2::NetworkInterface, AWS::EC2::RouteTable
AWS::EC2::VPC AWS::EC2::Instance, AWS::EC2::InternetGateway, AWS::EC2::NetworkACL, AWS::EC2::NetworkInterface, AWS::EC2::RouteTable, AWS::EC2::Subnet, AWS::EC2::VPNGateway, AWS::EC2::SecurityGroup
AWS::EC2::VPNGateway AWS::EC2::RouteTable, AWS::EC2::VPNConnection

AWS Config 托管规则如何受到影响?

AWS Config 托管规则对上述资源之一触发,由 AWS Config 团队进行更新。如果您尚未为这些规则定义标签,则无需执行任何操作。如果定义了标签,则可能需要更新托管规则的标签。

对于这些资源类型使用配置触发器的自定义 AWS Config 规则有何确切影响?

如果您使用的自定义规则不是由上表中列出的资源触发的,则无需执行其他操作。如果您有触发上表中某个资源的规则,请检查该规则以确定 “符合性” 状态是否需要来自表中列出的其他资源的信息。对资源关系的更改将导致触发的更改减少,因为间接关系(在上表中列出)将不再被跟踪。添加相关资源作为附加配置触发器添加,或者如果信息对于规则的实施逻辑至关重要,则使用高级查询。

对于具有配置更改的托管规则,我是否应该预期会延迟报告评估结果?

任何受此更改影响的受管理裁决都将被更新。在报告具有配置更改的托管规则的评估结果时,您不应遇到任何延迟。

对历史数据的影响是什么? 它是否仍然显示有关间接关系的详细信息?

间接关系将在历史ConfigurationItems记录,但在不建议使用之前不会在ConfigurationItems弃用后记录。

生成的输出是否有变化GetResourceConfigHistoryAPI?

使用的模型GetResourceConfigHistoryAPI 不会更改,并且返回的数据没有更改ConfigurationItems在弃用之前记录。ConfigurationItems在弃用后记录的间接关系不再包括关系字段。

配置项目的资源架构是否有任何更改?

数据的架构没有更改configuration字段中的配置项。唯一的变化是关系字段将不再包含指定的间接关系。

是否有其他替代方案来检索间接关系?

随着高级查询的启动,您可以运行结构化查询语言 (SQL) 查询。例如,如果要检索与安全组相关的 EC2 实例列表,请使用以下查询:

SELECT resourceId, resourceType WHERE resourceType ='AWS::EC2::Instance' AND relationships.resourceId = 'sg-234213'

这里提供示例关系查询:示例查询