Amazon SNS ConfigurationItemChangeNotification 알림의 configurationItemDiff 필드를 이해하려면 어떻게 해야 합니까?
ConfigurationItemChangeNotification Amazon Simple Notification Service(Amazon SNS) 알림을 받았습니다. 이 알림을 받은 이유는 무엇이고 configurationItemDiff 필드의 정보를 어떻게 해석합니까?
해결 방법
AWS Config는 리소스 구성이 변경(생성/업데이트/삭제)될 때마다 구성 항목을 생성합니다. AWS Config에서 지원하는 리소스 목록은 지원되는 리소스 유형을 참조하세요. AWS Config는 변경 사항이 발생할 때 Amazon SNS를 사용하여 알림을 전송합니다. Amazon SNS 알림 페이로드에는 지정된 AWS 리전의 리소스 변경 사항을 추적하는 데 도움이 되는 필드가 포함되어 있습니다. 자세한 내용은 구성 항목 변경 알림 예를 참조하세요.
ConfigurationItemChangeNotification 알림을 받는 이유를 이해하려면 configurationItemDiff 세부 정보를 검토하세요. 필드는 변경 유형에 따라 다르며 UPDATE-UPDATE, UPDATE-CREATE 및 DELETE-DELETE와 같은 다양한 조합을 구성할 수 있습니다. 다음은 몇 가지 일반적인 조합에 대한 설명입니다.
UPDATE-CREATE 및 UPDATE-UPDATE
다음 예제에는 리소스 직접 관계 및 리소스 구성의 변경 사항이 포함됩니다. configurationItemDiff 세부 정보에서 다음 정보를 확인할 수 있습니다.
수행된 작업: 계정에 있는 관리형 정책이 AWS Identity and Access Management(IAM) 역할에 연결되었습니다.
수행된 기본 작업: UPDATE(계정에 있는 AWS::IAM::Policy 리소스 유형의 연결 수 업데이트).
유형 조합 변경:
- 리소스 직접 관계 변경 UPDATE-CREATE. IAM 정책과 IAM 역할 간에 새 연결 또는 연관이 생성되었습니다.
- 리소스 구성 변경 UPDATE-UPDATE. 정책이 IAM 역할에 연결될 때 IAM 정책 연결 수가 2에서 3으로 증가했습니다.
UPDATE-CREATE 및 UPDATE-UPDATE configurationItemDiff 알림 예:
{ "configurationItemDiff": { "changedProperties": { "Relationships.0": { "previousValue": null, "updatedValue": { "resourceId": "AROA6D3M4S53*********", "resourceName": "Test1", "resourceType": "AWS::IAM::Role", "name": "Is attached to Role" }, "changeType": "CREATE" >>>>>>>>>>>>>>>>>>>> 1 }, "Configuration.AttachmentCount": { "previousValue": 2, "updatedValue": 3, "changeType": "UPDATE" >>>>>>>>>>>>>>>>>>>> 2 } }, "changeType": "UPDATE" } }
UPDATE-DELETE
다음 예제에는 리소스 직접 관계의 변경 사항이 포함됩니다. configurationItemDiff 세부 정보에서 다음 정보를 확인할 수 있습니다.
수행된 작업: 계정에 있는 관리형 정책이 IAM 사용자에서 분리되었습니다.
수행된 기본 작업: UPDATE(AWS::IAM::User 리소스 유형에 연결된 권한 정책 업데이트).
유형 조합 변경: 리소스 직접 관계 변경 UPDATE-DELETE. 계정의 IAM 사용자와 IAM 정책 간의 연결이 삭제되었습니다.
UPDATE-DELETE configurationItemDiff 알림 예:
{ "configurationItemDiff": { "changedProperties": { "Configuration.UserPolicyList.0": { "previousValue": { "policyName": "Test2", "policyDocument": "{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "aws:RequestTag/VPCId": "*" } } } ] }" }, "updatedValue": null, "changeType": "DELETE" >>>>>>>>>>>>>>>>>>>> 3 } }, "changeType": "UPDATE" } }
DELETE-DELETE
다음 예제에는 리소스 직접 관계 및 리소스 구성의 변경 사항이 포함됩니다. configurationItemDiff 세부 정보에서 다음 정보를 확인할 수 있습니다.
수행된 작업: 계정에 있는 IAM 역할이 삭제되었습니다.
수행된 기본 작업: DELETE(AWS::IAM::Role 리소스 유형의 리소스가 삭제됨).
유형 조합 변경: 리소스 직접 관계 변경 및 리소스 구성 변경 DELETE-DELETE. IAM 역할 삭제로 IAM 정책과 IAM 역할의 연결도 삭제되었습니다.
DELETE-DELETE configurationItemDiff 알림 예:
{ "configurationItemDiff": { "changedProperties": { "Relationships.0": { "previousValue": { "resourceId": "ANPAIJ5MXUKK*********", "resourceName": "AWSCloudTrailAccessPolicy", "resourceType": "AWS::IAM::Policy", "name": "Is attached to CustomerManagedPolicy" }, "updatedValue": null, "changeType": "DELETE" }, "Configuration": { "previousValue": { "path": "/", "roleName": "CloudTrailRole", "roleId": "AROAJITJ6YGM*********", "arn": "arn:aws:iam::123456789012:role/CloudTrailRole", "createDate": "2017-12-06T10:27:51.000Z", "assumeRolePolicyDocument": "{"Version":"2012-10-17","Statement":[{"Sid":"","Effect":"Allow","Principal":{"AWS":"arn:aws:iam::123456789012:root"},"Action":"sts:AssumeRole","Condition":{"StringEquals":{"sts:ExternalId":"123456"}}}]}", "instanceProfileList": [], "rolePolicyList": [], "attachedManagedPolicies": [ { "policyName": "AWSCloudTrailAccessPolicy", "policyArn": "arn:aws:iam::123456789012:policy/AWSCloudTrailAccessPolicy" } ], "permissionsBoundary": null, "tags": [], "roleLastUsed": null }, "updatedValue": null, "changeType": "DELETE" } }, "changeType": "DELETE" }
관련 정보
관련 콘텐츠
- 질문됨 한 달 전
- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 2년 전
