Come faccio a comprendere il campo configurationItemDiff nelle notifiche ConfigurationItemChangeNotification di Amazon SNS?
Ho ricevuto una notifica di ConfigurationItemChangeNotification di Amazon Simple Notification Service (Amazon SNS). Perché ho ricevuto questa notifica e come posso interpretare le informazioni nel campo configurationItemDiff?
Risoluzione
AWS Config crea un elemento di configurazione ogni volta che la configurazione di una risorsa cambia (creazione/aggiornamento/eliminazione). Per un elenco delle risorse supportate da AWS Config, consulta Tipi di risorse supportati. AWS Config utilizza Amazon SNS per inviare una notifica quando si verificano le modifiche. Il payload di notifica di Amazon SNS include campi per aiutarti a tenere traccia delle modifiche alle risorse in una determinata Regione AWS. Per ulteriori informazioni, consulta Esempio di notifiche di modifica degli elementi di configurazione.
Per capire perché ricevi una notifica di notifica di ConfigurationItemChangeNotification, consulta i dettagli di configurationItemDiff . I campi variano a seconda del tipo di modifica e possono formare diverse combinazioni come AGGIORNA-AGGIORNA, AGGIORNA-CREA e ELIMINA-ELIMINA. Di seguito vengono spiegate alcune combinazioni comuni.
AGGIORNA-CREA e AGGIORNA-AGGIORNA
L'esempio seguente include le modifiche nelle relazioni dirette delle risorse e nelle configurazioni delle risorse. I dettagli di configurationItemDiff rivelano le seguenti informazioni:
Azione eseguita: Una policy gestita presente nell'account è stata associata a un ruolo di AWS Identity and Access Management (IAM).
Operazione di base eseguita: AGGIORNAMENTO (aggiornamento del numero di associazioni del tipo di risorsa AWS::IAM::Policy in un account).
Cambia le combinazioni di tipi:
- Modifica della relazione diretta tra risorse AGGIORNA-CREA. È stato creato un nuovo allegato o associazione tra una policy IAM e un ruolo IAM.
- Modifica della configurazione delle risorse AGGIORNA-AGGIORNA. Il numero di associazioni di policy IAM è aumentato da 2 a 3 quando la policy è stata associata al ruolo IAM.
Esempio di notifica AGGIORNA-CREA e AGGIORNA-AGGIORNA configurationItemDiff:
{ "configurationItemDiff": { "changedProperties": { "Relationships.0": { "previousValue": null, "updatedValue": { "resourceId": "AROA6D3M4S53*********", "resourceName": "Test1", "resourceType": "AWS::IAM::Role", "name": "Is attached to Role" }, "changeType": "CREATE" >>>>>>>>>>>>>>>>>>>> 1 }, "Configuration.AttachmentCount": { "previousValue": 2, "updatedValue": 3, "changeType": "UPDATE" >>>>>>>>>>>>>>>>>>>> 2 } }, "changeType": "UPDATE" } }
AGGIORNA-ELIMINA
L'esempio seguente include le modifiche nelle relazioni dirette tra le risorse. I dettagli di configurationItemDiff rivelano le seguenti informazioni:
Azione eseguita: Una policy gestita presente nell'account è stata scollegata da un utente IAM.
Operazione di base eseguita: AGGIORNA (aggiornamento della policy delle autorizzazioni associata al tipo di risorsa AWS::IAM::User).
Cambia combinazione di tipi: Modifica della relazione diretta tra risorse AGGIORNA-ELIMINA. L'associazione tra un utente IAM e una policy IAM in un account è stata eliminata.
Esempio di notifica AGGIORNA-ELIMINA configurationItemDiff:
{ "configurationItemDiff": { "changedProperties": { "Configuration.UserPolicyList.0": { "previousValue": { "policyName": "Test2", "policyDocument": "{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "aws:RequestTag/VPCId": "*" } } } ] }" }, "updatedValue": null, "changeType": "DELETE" >>>>>>>>>>>>>>>>>>>> 3 } }, "changeType": "UPDATE" } }
ELIMINA-ELIMINA
L'esempio seguente include le modifiche nelle relazioni dirette delle risorse e nelle configurazioni delle risorse. I dettagli di configurationItemDiff rivelano le seguenti informazioni:
Azione eseguita: Un ruolo IAM presente in un account è stato eliminato.
Operazione di base eseguita: ELIMINA (è stata eliminata una risorsa del tipo di risorsa AWS::IAM::Role).
Cambia combinazione di tipi: Modifica della relazione diretta delle risorse e modifica della configurazione delle risorse ELIMINA-ELIMINA. L'eliminazione del ruolo IAM ha anche eliminato l'associazione della policy IAM con il ruolo IAM.
Esempio di notifica ELIMINA-ELIMINA configurationItemDiff:
{ "configurationItemDiff": { "changedProperties": { "Relationships.0": { "previousValue": { "resourceId": "ANPAIJ5MXUKK*********", "resourceName": "AWSCloudTrailAccessPolicy", "resourceType": "AWS::IAM::Policy", "name": "Is attached to CustomerManagedPolicy" }, "updatedValue": null, "changeType": "DELETE" }, "Configuration": { "previousValue": { "path": "/", "roleName": "CloudTrailRole", "roleId": "AROAJITJ6YGM*********", "arn": "arn:aws:iam::123456789012:role/CloudTrailRole", "createDate": "2017-12-06T10:27:51.000Z", "assumeRolePolicyDocument": "{"Version":"2012-10-17","Statement":[{"Sid":"","Effect":"Allow","Principal":{"AWS":"arn:aws:iam::123456789012:root"},"Action":"sts:AssumeRole","Condition":{"StringEquals":{"sts:ExternalId":"123456"}}}]}", "instanceProfileList": [], "rolePolicyList": [], "attachedManagedPolicies": [ { "policyName": "AWSCloudTrailAccessPolicy", "policyArn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy" } ], "permissionsBoundary": null, "tags": [], "roleLastUsed": null }, "updatedValue": null, "changeType": "DELETE" } }, "changeType": "DELETE" }
Informazioni correlate
Notifiche inviate da AWS Config a un argomento di Amazon SNS
Contenuto pertinente
- AWS UFFICIALEAggiornata 8 mesi fa
- Come faccio a creare un'applicazione per la piattaforma Android in Amazon SNS per le notifiche push?AWS UFFICIALEAggiornata 2 anni fa