Amazon SNS ConfigurationItemChangeNotification 알림의 configurationItemDiff 필드를 이해하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 4월 29일

ConfigurationItemChangeNotification Amazon Simple Notification Service(Amazon SNS) 알림을 받았습니다. 이 알림을 받은 이유는 무엇이고 configurationItemDiff 필드의 정보를 어떻게 해석합니까?

해결 방법

AWS Config는 리소스 구성이 변경(생성/업데이트/삭제)될 때마다 구성 항목을 생성합니다. AWS Config에서 지원하는 리소스 목록은 지원되는 리소스 유형을 참조하세요. AWS Config는 변경 사항이 발생할 때 Amazon SNS를 사용하여 알림을 전송합니다. Amazon SNS 알림 페이로드에는 지정된 AWS 리전의 리소스 변경 사항을 추적하는 데 도움이 되는 필드가 포함되어 있습니다. 자세한 내용은 구성 항목 변경 알림 예를 참조하세요.

ConfigurationItemChangeNotification 알림을 받는 이유를 이해하려면 configurationItemDiff 세부 정보를 검토하세요. 필드는 변경 유형에 따라 다르며 UPDATE-UPDATE, UPDATE-CREATE 및 DELETE-DELETE와 같은 다양한 조합을 구성할 수 있습니다. 다음은 몇 가지 일반적인 조합에 대한 설명입니다.

UPDATE-CREATE 및 UPDATE-UPDATE

다음 예제에는 리소스 직접 관계 및 리소스 구성의 변경 사항이 포함됩니다. configurationItemDiff 세부 정보에서 다음 정보를 확인할 수 있습니다.

수행된 작업: 계정에 있는 관리형 정책이 AWS Identity and Access Management(IAM) 역할에 연결되었습니다.

수행된 기본 작업: UPDATE(계정에 있는 AWS::IAM::Policy 리소스 유형의 연결 수 업데이트).

유형 조합 변경:

  1. 리소스 직접 관계 변경 UPDATE-CREATE. IAM 정책과 IAM 역할 간에 새 연결 또는 연관이 생성되었습니다.
  2. 리소스 구성 변경 UPDATE-UPDATE. 정책이 IAM 역할에 연결될 때 IAM 정책 연결 수가 2에서 3으로 증가했습니다.

UPDATE-CREATE 및 UPDATE-UPDATE configurationItemDiff 알림 예:

{
    "configurationItemDiff": {
        "changedProperties": {
            "Relationships.0": {
                "previousValue": null,
                "updatedValue": {
                    "resourceId": "AROA6D3M4S53*********",
                    "resourceName": "Test1",
                    "resourceType": "AWS::IAM::Role",
                    "name": "Is attached to Role"
                },
                "changeType": "CREATE"                >>>>>>>>>>>>>>>>>>>> 1
            },
            "Configuration.AttachmentCount": {
                "previousValue": 2,
                "updatedValue": 3,
                "changeType": "UPDATE"                 >>>>>>>>>>>>>>>>>>>> 2
            }
        },
        "changeType": "UPDATE"
    }
}

UPDATE-DELETE

다음 예제에는 리소스 직접 관계의 변경 사항이 포함됩니다. configurationItemDiff 세부 정보에서 다음 정보를 확인할 수 있습니다.

수행된 작업: 계정에 있는 관리형 정책이 IAM 사용자에서 분리되었습니다.

수행된 기본 작업: UPDATE(AWS::IAM::User 리소스 유형에 연결된 권한 정책 업데이트).

유형 조합 변경: 리소스 직접 관계 변경 UPDATE-DELETE. 계정의 IAM 사용자와 IAM 정책 간의 연결이 삭제되었습니다.

UPDATE-DELETE configurationItemDiff 알림 예:

{
  "configurationItemDiff": {
    "changedProperties": {
      "Configuration.UserPolicyList.0": {
        "previousValue": {
          "policyName": "Test2",
          "policyDocument": "{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/VPCId": "*"
                }
            }
        }
    ]
}"
        },
        "updatedValue": null,
        "changeType": "DELETE"                                >>>>>>>>>>>>>>>>>>>> 3
      }
    },
    "changeType": "UPDATE"
  }
}

DELETE-DELETE

다음 예제에는 리소스 직접 관계 및 리소스 구성의 변경 사항이 포함됩니다. configurationItemDiff 세부 정보에서 다음 정보를 확인할 수 있습니다.

수행된 작업: 계정에 있는 IAM 역할이 삭제되었습니다.

수행된 기본 작업: DELETE(AWS::IAM::Role 리소스 유형의 리소스가 삭제됨).

유형 조합 변경: 리소스 직접 관계 변경 및 리소스 구성 변경 DELETE-DELETE. IAM 역할 삭제로 IAM 정책과 IAM 역할의 연결도 삭제되었습니다.

DELETE-DELETE configurationItemDiff 알림 예:

{
  "configurationItemDiff": {
    "changedProperties": {
      "Relationships.0": {
        "previousValue": {
          "resourceId": "ANPAIJ5MXUKK*********",
          "resourceName": "AWSCloudTrailAccessPolicy",
          "resourceType": "AWS::IAM::Policy",
          "name": "Is attached to CustomerManagedPolicy"
        },
        "updatedValue": null,
        "changeType": "DELETE"
      },
      "Configuration": {
        "previousValue": {
          "path": "/",
          "roleName": "CloudTrailRole",
          "roleId": "AROAJITJ6YGM*********",
          "arn": "arn:aws:iam::123456789012:role/CloudTrailRole",
          "createDate": "2017-12-06T10:27:51.000Z",
          "assumeRolePolicyDocument": "{"Version":"2012-10-17","Statement":[{"Sid":"","Effect":"Allow","Principal":{"AWS":"arn:aws:iam::123456789012:root"},"Action":"sts:AssumeRole","Condition":{"StringEquals":{"sts:ExternalId":"123456"}}}]}",
          "instanceProfileList": [],
          "rolePolicyList": [],
          "attachedManagedPolicies": [
            {
              "policyName": "AWSCloudTrailAccessPolicy",
              "policyArn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy"
            }
          ],
          "permissionsBoundary": null,
          "tags": [],
          "roleLastUsed": null
        },
        "updatedValue": null,
        "changeType": "DELETE"
      }
    },
    "changeType": "DELETE"
  }

이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?