常见问题 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

常见问题

更改为Amazon Config资源关系

有什么新变化Amazon Config资源关系?

为了优化记录的资源变更数量,Amazon Config将发布对七个 Amazon EC2 资源类型的配置项目 (CI) 中建模的关系的更新。此更新优化了 Amazon EC2 实例、安全组、网络接口、子网、VPC、VPN 网关和客户网关资源类型的 CI 模型,以记录直接关系并弃用间接关系。

什么是与资源的直接关系和间接关系?

直接关系被定义为资源 (A) 和另一个资源 (B) 之间的单向关系 (A->B),通常源自资源 (A) 的 Descripe API 响应。另一方面,间接关系是一种关系Amazon Config推断 (B->A),以创建双向关系。例如,Amazon EC2 实例-> 安全组是一种直接关系,因为安全组是作为 Amazon EC2 实例的描述 API 响应的一部分返回的。但是安全组-> Amazon EC2实例是一种间接关系,因为在描述 Amazon EC2 安全组时不会返回 Amazon EC2 实例。

此更改的好处是什么Amazon ConfigCribers

通过弃用间接关系,减少了与关系变更相关的配置项目。这可能有助于遏制Amazon Config成本尤其是在临时工作负载的情况下,在这种情况下,Amazon EC2 资源类型的配置发生了大量更改。

哪些资源关系正在被删除?

以下资源关系将被弃用。

资源类型 与资源类型的间接关系
AWS::EC2::CustomerGateway AWS::VPN::Connection
AWS::EC2::Instance AWS::EC2::EIP, AWS::EC2::RouteTable
AWS::EC2::NetworkInterface AWS::EC2::EIP, AWS::EC2::RouteTable
AWS::EC2::SecurityGroup AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Subnet AWS::EC2::Instance, AWS::EC2::NetworkACL, AWS::EC2::NetworkInterface, AWS::EC2::RouteTable
AWS::EC2::VPNGateway AWS::EC2::RouteTable, AWS::EC2::VPNConnection

的工作原理Amazon Config托管规则受到影响了吗?

Amazon Config在上面列出的其中一个资源上触发的托管规则将由Amazon Config团队。如果您尚未为这些规则定义标签,则无需采取任何操作。如果定义了标记,则可能需要更新托管规则的标签。

具体来说,Amazon Config托管式规则ec-security-group-attached-to-enid受到影响,因为一旦间接关系被弃用,触发此规则的配置项目将不再创建。如果您使用此规则,请将其从评估的配置中删除Amazon资源并将其替换为新的ec2security-group-attached-to-eni-peric规则。这些区域有:ec2security-group-attached-to-eni-peric规则不会受到这种弃用的影响,因为它是定期触发的,而不是在配置更改时触发的。

定制的确切影响是什么Amazon Config为这些资源类型使用配置触发器的规则?

如果您使用的自定义规则不是由上表中列出的资源触发的,则您无需采取进一步的操作。如果您有触发上表中某项资源的规则,请检查该规则以确定合规状态是否需要来自表中列出的其他资源的信息。资源关系的更改将减少触发的更改,因为将不再跟踪间接关系(如上表所列)。添加相关资源作为额外的配置触发器,或者如果信息对规则的实现逻辑至关重要,则使用高级查询。

如果配置发生更改,我是否应该预计会延迟报告托管规则的评估结果?

任何受此更改影响的托管规则都将更新。在报告带有配置更改的托管规则的评估结果时,您不应遇到任何延迟。

对历史数据有什么影响? 它还会显示有关间接关系的详细信息吗?

间接关系将在历史记录中可用ConfigurationItems在它们被弃用之前录制,但将不可用ConfigurationItems弃用后录制。

生成的输出有变化吗GetResourceConfigHistoryAPI?

中使用的模型GetResourceConfigHistoryAPI 未更改,返回的数据也没有变化ConfigurationItems在弃用之前录制。ConfigurationItems弃用后录制的不再包含间接关系关系字段中返回的子位置类型。

配置项目的资源架构有什么变化吗?

中的数据架构没有变化配置配置项目中的字段。唯一的变化是关系配置项目中的字段将不再包含指定的间接关系。

还有其他方法可以检索间接关系吗?

随着高级查询的启动,您可以运行结构化查询语言 (SQL) 查询。例如,如果您想检索与安全组相关的 EC2 实例列表,请使用以下查询:

SELECT resourceId, resourceType WHERE resourceType ='AWS::EC2::Instance' AND relationships.resourceId = 'sg-234213'

关系查询示例可在此处获得:示例