Amazon SNS ConfigurationItemChangeNotification 알림의 configurationItemDiff 필드를 이해하려면 어떻게 해야 합니까?
최종 업데이트 날짜: 2021년 4월 29일
ConfigurationItemChangeNotification Amazon Simple Notification Service(Amazon SNS) 알림을 받았습니다. 이 알림을 받은 이유는 무엇이고 configurationItemDiff 필드의 정보를 어떻게 해석합니까?
해결 방법
AWS Config는 리소스 구성이 변경(생성/업데이트/삭제)될 때마다 구성 항목을 생성합니다. AWS Config에서 지원하는 리소스 목록은 지원되는 리소스 유형을 참조하세요. AWS Config는 변경 사항이 발생할 때 Amazon SNS를 사용하여 알림을 전송합니다. Amazon SNS 알림 페이로드에는 지정된 AWS 리전의 리소스 변경 사항을 추적하는 데 도움이 되는 필드가 포함되어 있습니다. 자세한 내용은 구성 항목 변경 알림 예를 참조하세요.
ConfigurationItemChangeNotification 알림을 받는 이유를 이해하려면 configurationItemDiff 세부 정보를 검토하세요. 필드는 변경 유형에 따라 다르며 UPDATE-UPDATE, UPDATE-CREATE 및 DELETE-DELETE와 같은 다양한 조합을 구성할 수 있습니다. 다음은 몇 가지 일반적인 조합에 대한 설명입니다.
UPDATE-CREATE 및 UPDATE-UPDATE
다음 예제에는 리소스 직접 관계 및 리소스 구성의 변경 사항이 포함됩니다. configurationItemDiff 세부 정보에서 다음 정보를 확인할 수 있습니다.
수행된 작업: 계정에 있는 관리형 정책이 AWS Identity and Access Management(IAM) 역할에 연결되었습니다.
수행된 기본 작업: UPDATE(계정에 있는 AWS::IAM::Policy 리소스 유형의 연결 수 업데이트).
유형 조합 변경:
- 리소스 직접 관계 변경 UPDATE-CREATE. IAM 정책과 IAM 역할 간에 새 연결 또는 연관이 생성되었습니다.
- 리소스 구성 변경 UPDATE-UPDATE. 정책이 IAM 역할에 연결될 때 IAM 정책 연결 수가 2에서 3으로 증가했습니다.
UPDATE-CREATE 및 UPDATE-UPDATE configurationItemDiff 알림 예:
{
"configurationItemDiff": {
"changedProperties": {
"Relationships.0": {
"previousValue": null,
"updatedValue": {
"resourceId": "AROA6D3M4S53*********",
"resourceName": "Test1",
"resourceType": "AWS::IAM::Role",
"name": "Is attached to Role"
},
"changeType": "CREATE" >>>>>>>>>>>>>>>>>>>> 1
},
"Configuration.AttachmentCount": {
"previousValue": 2,
"updatedValue": 3,
"changeType": "UPDATE" >>>>>>>>>>>>>>>>>>>> 2
}
},
"changeType": "UPDATE"
}
}
UPDATE-DELETE
다음 예제에는 리소스 직접 관계의 변경 사항이 포함됩니다. configurationItemDiff 세부 정보에서 다음 정보를 확인할 수 있습니다.
수행된 작업: 계정에 있는 관리형 정책이 IAM 사용자에서 분리되었습니다.
수행된 기본 작업: UPDATE(AWS::IAM::User 리소스 유형에 연결된 권한 정책 업데이트).
유형 조합 변경: 리소스 직접 관계 변경 UPDATE-DELETE. 계정의 IAM 사용자와 IAM 정책 간의 연결이 삭제되었습니다.
UPDATE-DELETE configurationItemDiff 알림 예:
{
"configurationItemDiff": {
"changedProperties": {
"Configuration.UserPolicyList.0": {
"previousValue": {
"policyName": "Test2",
"policyDocument": "{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringLike": {
"aws:RequestTag/VPCId": "*"
}
}
}
]
}"
},
"updatedValue": null,
"changeType": "DELETE" >>>>>>>>>>>>>>>>>>>> 3
}
},
"changeType": "UPDATE"
}
}
DELETE-DELETE
다음 예제에는 리소스 직접 관계 및 리소스 구성의 변경 사항이 포함됩니다. configurationItemDiff 세부 정보에서 다음 정보를 확인할 수 있습니다.
수행된 작업: 계정에 있는 IAM 역할이 삭제되었습니다.
수행된 기본 작업: DELETE(AWS::IAM::Role 리소스 유형의 리소스가 삭제됨).
유형 조합 변경: 리소스 직접 관계 변경 및 리소스 구성 변경 DELETE-DELETE. IAM 역할 삭제로 IAM 정책과 IAM 역할의 연결도 삭제되었습니다.
DELETE-DELETE configurationItemDiff 알림 예:
{
"configurationItemDiff": {
"changedProperties": {
"Relationships.0": {
"previousValue": {
"resourceId": "ANPAIJ5MXUKK*********",
"resourceName": "AWSCloudTrailAccessPolicy",
"resourceType": "AWS::IAM::Policy",
"name": "Is attached to CustomerManagedPolicy"
},
"updatedValue": null,
"changeType": "DELETE"
},
"Configuration": {
"previousValue": {
"path": "/",
"roleName": "CloudTrailRole",
"roleId": "AROAJITJ6YGM*********",
"arn": "arn:aws:iam::123456789012:role/CloudTrailRole",
"createDate": "2017-12-06T10:27:51.000Z",
"assumeRolePolicyDocument": "{"Version":"2012-10-17","Statement":[{"Sid":"","Effect":"Allow","Principal":{"AWS":"arn:aws:iam::123456789012:root"},"Action":"sts:AssumeRole","Condition":{"StringEquals":{"sts:ExternalId":"123456"}}}]}",
"instanceProfileList": [],
"rolePolicyList": [],
"attachedManagedPolicies": [
{
"policyName": "AWSCloudTrailAccessPolicy",
"policyArn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy"
}
],
"permissionsBoundary": null,
"tags": [],
"roleLastUsed": null
},
"updatedValue": null,
"changeType": "DELETE"
}
},
"changeType": "DELETE"
}