Wie lese ich das Feld configurationItemDiff in Amazon SNS ConfigurationItemChangeNotification-Benachrichtigungen?
Ich habe eine ConfigurationItemChangeNotification-Benachrichtigung vom Amazon Simple Notification Service (Amazon SNS) erhalten. Warum habe ich diese Benachrichtigung erhalten und wie interpretiere ich die Informationen im Feld configurationItemDiff?
Lösung
AWS Config erstellt ein Konfigurationselement, wenn sich die Konfiguration einer Ressource ändert (erstellen/aktualisieren/löschen). Eine Liste der Ressourcen, die AWS Config unterstützt, finden Sie unter Unterstützte Ressourcentypen. AWS Config verwendet Amazon SNS, um eine Benachrichtigung zu senden, sobald die Änderungen vorgenommen werden. Die Amazon SNS-Benachrichtigungs-Payload enthält Felder, mit denen Sie die Ressourcenänderungen in einer bestimmten AWS-Region nachverfolgen können. Weitere Informationen finden Sie unter Beispiel für Benachrichtigungen zur Änderung von Konfigurationselementen.
Um zu verstehen, warum Sie eine ConfigurationItemChangeNotification-Benachrichtigung erhalten, lesen Sie die configurationItemDiff-Details. Die Felder variieren je nach Änderungstyp und können unterschiedliche Kombinationen wie UPDATE-UPDATE, UPDATE-CREATE und DELETE-DELETE bilden. Im Folgenden finden Sie Erläuterungen zu einigen gängigen Kombinationen.
UPDATE-CREATE und UPDATE-UPDATE
Das folgende Beispiel enthält Änderungen der direkten Ressourcenbeziehungen und Ressourcenkonfigurationen. Die configurationItemDiff-Details enthalten die folgenden Informationen:
Durchgeführte Aktion: Eine im Konto enthaltene verwaltete Richtlinie wurde einer AWS Identity and Access Management (IAM)-Rolle zugeordnet.
Durchgeführte grundlegende Operation: UPDATE (Aktualisierung der Anzahl von Verknüpfungen des Ressourcentyps AWS::IAM::Policy in einem Konto).
Typkombinationen ändern:
- Änderung der direkten Ressourcenbeziehung zu UPDATE-CREATE. Zwischen einer IAM-Richtlinie und einer IAM-Rolle wurde ein neuer Anhang oder eine neue Verknüpfung erstellt.
- Änderung der Ressourcenkonfiguration zu UPDATE-UPDATE. Die Anzahl der IAM-Richtlinien-Zuordnungen ist von 2 auf 3 gestiegen, als die Richtlinie der IAM-Rolle zugeordnet wurde.
Beispiel für eine configurationItemDiff-Benachrichtigung für UPDATE-CREATE und UPDATE-UPDATE:
{ "configurationItemDiff": { "changedProperties": { "Relationships.0": { "previousValue": null, "updatedValue": { "resourceId": "AROA6D3M4S53*********", "resourceName": "Test1", "resourceType": "AWS::IAM::Role", "name": "Is attached to Role" }, "changeType": "CREATE" >>>>>>>>>>>>>>>>>>>> 1 }, "Configuration.AttachmentCount": { "previousValue": 2, "updatedValue": 3, "changeType": "UPDATE" >>>>>>>>>>>>>>>>>>>> 2 } }, "changeType": "UPDATE" } }
UPDATE-DELETE
Das folgende Beispiel beinhaltet Änderungen der direkten Ressourcenbeziehungen. Die configurationItemDiff-Details enthalten die folgenden Informationen:
Durchgeführte Aktion: Eine im Konto vorhandene verwaltete Richtlinie wurde von einem IAM-Benutzer getrennt.
Durchgeführte grundlegende Operation: UPDATE (Aktualisierung der Berechtigungsrichtlinie für den Ressourcentyp AWS::IAM::User).
Typkombination ändern: Änderung der direkten Ressourcenbeziehung zu UPDATE-DELETE. Die Verknüpfung zwischen einem IAM-Benutzer und einer IAM-Richtlinie in einem Konto wurde gelöscht.
Beispiel für eine configurationItemDiff-Benachrichtigung für UPDATE-DELETE:
{ "configurationItemDiff": { "changedProperties": { "Configuration.UserPolicyList.0": { "previousValue": { "policyName": "Test2", "policyDocument": "{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "aws:RequestTag/VPCId": "*" } } } ] }" }, "updatedValue": null, "changeType": "DELETE" >>>>>>>>>>>>>>>>>>>> 3 } }, "changeType": "UPDATE" } }
DELETE-DELETE
Das folgende Beispiel enthält Änderungen der direkten Ressourcenbeziehungen und Ressourcenkonfigurationen. Die configurationItemDiff-Details enthalten die folgenden Informationen:
Durchgeführte Aktion: Eine in einem Konto vorhandene IAM-Rolle wurde gelöscht.
Durchgeführte grundlegende Operation: DELETE (eine Ressource des Ressourcentyps AWS::IAM::Role wurde gelöscht).
Typkombination ändern: Änderung der direkten Ressourcenbeziehung und Änderung der Ressourcenkonfiguration zu DELETE-DELETE. Durch das Löschen der IAM-Rolle wurde ebenfalls die Zuordnung der IAM-Richtlinie zur IAM-Rolle gelöscht.
Beispiel für eine configurationItemDiff-Benachrichtigung für DELETE-DELETE:
{ "configurationItemDiff": { "changedProperties": { "Relationships.0": { "previousValue": { "resourceId": "ANPAIJ5MXUKK*********", "resourceName": "AWSCloudTrailAccessPolicy", "resourceType": "AWS::IAM::Policy", "name": "Is attached to CustomerManagedPolicy" }, "updatedValue": null, "changeType": "DELETE" }, "Configuration": { "previousValue": { "path": "/", "roleName": "CloudTrailRole", "roleId": "AROAJITJ6YGM*********", "arn": "arn:aws:iam::123456789012:role/CloudTrailRole", "createDate": "2017-12-06T10:27:51.000Z", "assumeRolePolicyDocument": "{"Version":"2012-10-17","Statement":[{"Sid":"","Effect":"Allow","Principal":{"AWS":"arn:aws:iam::123456789012:root"},"Action":"sts:AssumeRole","Condition":{"StringEquals":{"sts:ExternalId":"123456"}}}]}", "instanceProfileList": [], "rolePolicyList": [], "attachedManagedPolicies": [ { "policyName": "AWSCloudTrailAccessPolicy", "policyArn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy" } ], "permissionsBoundary": null, "tags": [], "roleLastUsed": null }, "updatedValue": null, "changeType": "DELETE" } }, "changeType": "DELETE" }
Ähnliche Informationen
Benachrichtigungen, die AWS Config an ein Amazon SNS-Thema sendet
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 6 Monaten