よくある質問 - AWS Config
最新の設定変更が表示されないAWS Config における間接的な関係

よくある質問

最新の設定変更が表示されない

設定変更をすぐに表示することは可能ですか?

AWS Config は通常、変更が検出された直後、または指定した頻度でリソースの設定変更を記録します。ただし、これはベストエフォートベースであり、場合によっては時間がかかることがあります。問題がいつか解決しない場合は、AWS Supportに連絡して、Amazon CloudWatch でサポートされている AWS Config メトリクスを指定します。これらの使用状況メトリクスの詳細については、「AWS Config Usage and Success Metrics」を参照してください 。

AWS Config における間接的な関係

リソース関係とは何ですか?

AWS では、リソースとは Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、AWS CloudFormation スタック、Amazon S3 バケットなどの管理可能なエンティティを指します。AWS Config は、記録されたリソースタイプへの変更が検出されるたびに、または設定した頻度で記録しているときに、設定項目 (CI) を作成してリソースを追跡および監視するサービスです。例えば、AWS Config が Amazon EC2 インスタンスを追跡するように設定されている場合、インスタンスが作成、更新、または削除されるたびに設定項目が作成されます。AWS Config によって作成された各設定項目には、accountIdarn (Amazon リソースネーム)、awsRegionconfigurationtagsrelationships などの複数のフィールドがあります。CI の関係フィールドでは、AWS Config が、リソース同士がどのようにリンクされているかを表示できます。例えば関係は、セキュリティグループ sg-ef678hk に関連付けられている Amazon EC2 インスタンス (ID は i-a1b2c3d4) に接続された Amazon EBS ボリューム (ID は vol-123ab45d) を示す場合があります。

リソースに関する直接的な関係と間接的な関係とは何ですか?

AWS Config は、設定フィールドからほとんどのリソースタイプの関係を導き出します。これを「直接的な」関係と呼びます。直接的な関係は、リソース (A) と別のリソース (B) との間の一方向関係 (A→B) であり、通常、リソース (A) の Describe API レスポンスから取得されます。以前は、AWS Config が当初サポートしていた一部のリソースタイプについて、他のリソースの設定から関係もキャプチャし、双方向 (B→A) の「間接的な」関係を作成していました。例えば、Amazon EC2 インスタンスとそのセキュリティグループの関係は直接的です。セキュリティグループは Amazon EC2 インスタンスの Describe API レスポンスに含まれるためです。一方、セキュリティグループと Amazon EC2 インスタンスの関係は間接的です。セキュリティグループを記述しても、関連付けられているインスタンスに関する情報は返されないためです。その結果、リソース設定の変更が検出されると、AWS Config はそのリソースの CI を作成するだけでなく、間接的な関係を持つリソースを含む関連リソースの CI も生成します。例えば、Amazon EC2AWS Config インスタンスの変更を検出すると、そのインスタンスの CI と、そのインスタンスに関連付けられているセキュリティグループの CI が作成されます。

AWS Config では、どの間接な関係がサポートされていますか?

AWS Config では、以下の間接的なリソース関係がサポートされています。

リソースタイプ は、リソースタイプに間接的に関連しています
AWS::EC2::RouteTable AWS::EC2::Instance, AWS::EC2::NetworkInterface, AWS::EC2::Subnet, AWS::EC2::VPNGateway, AWS::EC2::VPC
AWS::EC2::EIP AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Instance AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkACL AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::VPNConnection AWS::EC2::VPNGateway, AWS::EC2::CustomerGateway
AWS::EC2::InternetGateway AWS::EC2::VPC
AWS::EC2::SecurityGroup AWS::EC2::VPC
AWS::EC2::Subnet AWS::EC2::VPC
AWS::EC2::VPNGateway AWS::EC2::VPC

直接的な関係と間接的な関係によって設定項目はどのように作成されますか?

リソース間の直接的な関係 (A→B) では、リソース B の設定を変更すると、リソース A の設定項目 (CI) も開始されます。同様に、間接的な関係 (B→A) の場合、リソース A の設定が変更されると、リソース B に新しい CI が生成されます。例えば、Amazon EC2 インスタンスとセキュリティグループは直接的な関係であるため、セキュリティグループの設定を変更すると、セキュリティグループの CI と EC2 インスタンスの CI が生成されます。同様に、セキュリティグループと Amazon EC2 インスタンスは間接的な関係であるため、EC2 インスタンスの設定を変更すると、Amazon EC2 インスタンスの CI とセキュリティグループの CI が生成されます。

間接的な関係によって生成される設定項目にはどのようなものがありますか?

以下は、間接的なリソース関係によって生成される追加の設定項目 (CI) です。

次のリソースタイプへの設定変更 は、次のリソースタイプの CI を生成します
AWS::EC2::RouteTable AWS::EC2::InstanceAWS::EC2::NetworkInterfaceAWS::EC2::SubnetAWS::EC2::VPNGateway、および AWS::EC2::VPC
AWS::EC2::EIP AWS::EC2::Instance, AWS::EC2::NetworkInterface
AWS::EC2::Instance AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkInterface AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::NetworkACL AWS::EC2::Subnet, AWS::EC2::VPC
AWS::EC2::VPNConnection AWS::EC2::VPNGateway, AWS::EC2::CustomerGateway
AWS::EC2::InternetGateway AWS::EC2::VPC
AWS::EC2::SecurityGroup AWS::EC2::VPC
AWS::EC2::Subnet AWS::EC2::VPC
AWS::EC2::VPNGateway AWS::EC2::VPC

間接的な関係に関連する設定データを取得する方法を教えてください。

AWS Config 高度なクエリで構造化クエリ言語 (SQL) のクエリを実行して、間接的なリソース関係に関連する設定データを取得することができます。例えば、セキュリティグループに関連する Amazon EC2 インスタンスのリストを取得する場合は、次のクエリを使用します。

SELECT
    resourceId,
    resourceType
    WHERE
    resourceType ='AWS::EC2::Instance' 
    AND
    relationships.resourceId = 'sg-234213'