Acceso a la API de AWS Health - AWS Health
Puntos de conexiónUso de la demostración de punto de conexión de alta disponibilidadFirma de solicitudes API de AWS Health

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso a la API de AWS Health

AWS Health es un servicio web RESTful que usa HTTPS como transporte y JSON como formato de serialización de mensajes. Su código de aplicación puede realizar solicitudes directamente a la API de AWS Health. Cuando utiliza directamente la API de REST, es necesario escribir el código necesario para firmar y autenticar sus solicitudes. Para obtener más información sobre las operaciones y parámetros de AWS Health, consulte la Referencia de la API de AWS Health.

nota

Para poder usar la API de AWS Health, debe contar con un plan de soporte Business, Enterprise On-Ramp o Enterprise de AWS Support. Si llama a la API de AWS Health desde una cuenta de AWS que no tenga un plan de soporte Business, Enterprise On-Ramp o Enterprise, recibirá un error de SubscriptionRequiredException.

Puede utilizar los SDK de AWS para contener las llamadas a la AWS Health API de REST, que puede simplificar el desarrollo de su aplicación. Una vez que especifique sus credenciales de AWS, estas bibliotecas se encargarán de la autenticación y la firma de solicitudes en su nombre.

AWS Health también proporciona un AWS Health Panel de control en el AWS Management Console que puede usted utilizar para ver y buscar eventos y entidades afectadas. Consulte Cómo empezar a usar tu AWS Health panel de control: el estado de tu cuenta.

Puntos de conexión

La API de AWS Health sigue una arquitectura de aplicaciones y tiene dos puntos de conexión regionales en una configuración activa-pasiva. Para admitir la conmutación por error de DNS activa-pasiva, AWS Health proporciona un único punto de conexión global. Puede realizar una búsqueda de DNS en el punto de conexión global para determinar el punto de conexión activo y la región AWS de firma correspondiente. Esto le ayuda a saber qué punto de conexión debe utilizar en su código, de modo que pueda obtener la información más reciente de AWS Health.

Al realizar una solicitud al punto de conexión global, debe especificar sus credenciales de acceso de AWS al punto de conexión regional al que se dirige y configurar la firma para su región. De lo contrario, es posible que se produzca un error en la autenticación. Para obtener más información, consulte Firma de solicitudes API de AWS Health.

En la siguiente tabla, se representa la configuración por defecto.

Descripción Región de firma Punto de enlace Protocolo
Activa

us-east-1

health.us-east-1.amazonaws.com

 HTTPS
Pasivo

us-east-2

health.us-east-2.amazonaws.com

 HTTPS
Global

us-east-1

nota

Esta es la región de firma del punto de conexión activo actual.

global.health.amazonaws.com

 HTTPS

Para determinar si un punto de conexión es el punto de conexión activo, realice una búsqueda de DNS en el CNAME del punto de conexión global y, a continuación, extraiga la región AWS del nombre resuelto.

ejemplo : búsqueda de DNS en el punto de conexión global

El siguiente comando completa una búsqueda de DNS en el punto de conexión global.health.amazonaws.com A continuación, el devuelve el punto de conexión de la región us-east-1. Este resultado le indica qué punto de conexión debe utilizarse para AWS Health.

dig global.health.amazonaws.com | grep CNAME
global.health.amazonaws.com. 10 IN CNAME health.us-east-1.amazonaws.com
sugerencia

Tanto los puntos de conexión activos como los pasivos devuelven datos de AWS Health. Sin embargo, los datos de AWS Health más recientes solo están disponibles en el punto de conexión activo. Los datos del punto de conexión pasivo serán coherentes con el punto de conexión activo. Le recomendamos que reinicie todos los flujos de trabajo cuando cambie el punto de conexión activo.

Uso de la demostración de punto de conexión de alta disponibilidad

En los siguientes ejemplos de código, AWS Health utiliza una búsqueda de DNS en el punto de conexión global para determinar el punto de conexión regional activo y la región de firma. A continuación, el código reinicia el flujo de trabajo si cambia el punto de conexión activo.

Uso de demostración para Java

Requisito previo

Debe instalar Gradle.

Para usar el ejemplo de Java

  1. Descargue la demostración del punto de conexión de AWS Health alta disponibilidad desde GitHub.

  2. Desplácese hasta el directorio del proyecto high-availability-endpoint/java de demostración.

  3. En una ventana con una línea de comandos, escriba el siguiente comando:

    gradle build

  4. Ingrese los siguientes comandos para especificar sus credenciales de AWS.

    export AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
export AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
export AWS_SESSION_TOKEN="your-aws-token"

  5. Ingrese el comando siguiente para ejecutar la demostración.

    gradle run
    ejemplo : resultado del evento de AWS Health

    El ejemplo de código devuelve el evento de AWS Health reciente de los últimos siete días en su cuenta de AWS. En el siguiente ejemplo, el resultado incluye un evento de AWS Health para el servicio de AWS Config.

    > Task :run
[main] INFO aws.health.high.availability.endpoint.demo.HighAvailabilityV2Workflow - EventDetails(Event=Event(Arn=arn:aws:health:global::event/CONFIG/AWS_CONFIG_OPERATIONAL_NOTIFICATION/AWS_CONFIG_OPERATIONAL_NOTIFICATION_88a43e8a-e419-4ca7-9baa-56bcde4dba3, 
Service=CONFIG, EventTypeCode=AWS_CONFIG_OPERATIONAL_NOTIFICATION, EventTypeCategory=accountNotification, Region=global, StartTime=2020-09-11T02:55:49.899Z, LastUpdatedTime=2020-09-11T03:46:31.764Z, 
StatusCode=open, EventScopeCode=ACCOUNT_SPECIFIC), EventDescription=EventDescription(LatestDescription=As part of our ongoing efforts to optimize costs associated with recording changes related to certain ephemeral workloads, 
AWS Config is scheduled to release an update to relationships modeled within ConfigurationItems (CI) for 7 EC2 resource types on August 1, 2021. 
Examples of ephemeral workloads include changes to Amazon Elastic Compute Cloud (Amazon EC2) Spot Instances, Amazon Elastic MapReduce jobs, and Amazon EC2 Autoscaling. 
This update will optimize CI models for EC2 Instance, SecurityGroup, Network Interface, Subnet, VPC, VPN Gateway, and Customer Gateway resource types to record direct relationships and deprecate indirect relationships.
 
A direct relationship is defined as a one-way relationship (A->B) between a resource (A) and another resource (B), and is typically derived from the Describe API response of resource (A). 
An indirect relationship, on the other hand, is a relationship that AWS Config infers (B->A), in order to create a bidirectional relationship. 
For example, EC2 instance -> Security Group is a direct relationship, since security groups are returned as part of the describe API response for an EC2 instance. 
But Security Group -> EC2 instance is an indirect relationship, since EC2 instances are not returned when describing an EC2 Security group.
 
Until now, AWS Config has recorded both direct and indirect relationships. With the launch of Advanced queries in March 2019, indirect relationships can easily be answered by running Structured Query Language (SQL) queries such as:
 
SELECT
 resourceId,
 resourceType
WHERE
 resourceType ='AWS::EC2::Instance'
AND
 relationships.resourceId = 'sg-234213'
 
By deprecating indirect relationships, we can optimize the information contained within a
Configuration Item while reducing AWS Config costs related to relationship changes. 
This is especially useful in case of ephemeral workloads where there is a high volume of configuration changes for EC2 resource types.
 
Which resource relationships are being removed?
 
Resource Type: Related Resource Type
1 AWS::EC2::CustomerGateway: AWS::VPN::Connection
2 AWS::EC2::Instance: AWS::EC2::EIP, AWS::EC2::RouteTable
3 AWS::EC2::NetworkInterface: AWS::EC2::EIP, AWS::EC2::RouteTable
4 AWS::EC2::SecurityGroup: AWS::EC2::Instance, AWS::EC2::NetworkInterface
5 AWS::EC2::Subnet: AWS::EC2::Instance, AWS::EC2::NetworkACL, AWS::EC2::NetworkInterface, AWS::EC2::RouteTable
6 AWS::EC2::VPC: AWS::EC2::Instance, AWS::EC2::InternetGateway, AWS::EC2::NetworkACL, AWS::EC2::NetworkInterface, AWS::EC2::RouteTable, AWS::EC2::Subnet, AWS::EC2::VPNGateway, AWS::EC2::SecurityGroup
7 AWS::EC2::VPNGateway: AWS::EC2::RouteTable, AWS::EC2::VPNConnection
 
Alternate mechanism to retrieve this relationship information:
The SelectResourceConfig API accepts a SQL SELECT command, performs the corresponding search, and returns resource configurations matching the properties. You can use this API to retrieve the same relationship information. 
For example, to retrieve the list of all EC2 Instances related to a particular VPC vpc-1234abc, you can use the following query:
 
SELECT
 resourceId,
 resourceType
WHERE
 resourceType ='AWS::EC2::Instance'
AND
 relationships.resourceId = 'vpc-1234abc'
 
If you have any questions regarding this deprecation plan, please contact AWS Support [1]. Additional sample queries to retrieve the relationship information for the resources listed above is provided in [2].
 
[1] https://aws.amazon.com/support
[2] https://docs.aws.amazon.com/config/latest/developerguide/examplerelationshipqueries.html),
EventMetadata={})

Recursos de Java

  • Para obtener más información, consulte Interface HealthClient en la referencia de la API AWS SDK for Java y en el código fuente.

  • Para obtener más información sobre la biblioteca utilizada en esta demostración para búsquedas de DNS, consulte dnsjava en GitHub.

Uso de la demostración de Python

Requisito previo

Debe instalar Python 3.

Para usar el ejemplo de Python

  1. Descargue la demostración del punto de conexión de AWS Health alta disponibilidad desde GitHub.

  2. Desplácese hasta el directorio del proyecto high-availability-endpoint/python de demostración.

  3. En una ventana con una línea de comandos, escriba los siguientes comandos:

    pip3 install virtualenv 
virtualenv -p python3 v-aws-health-env
    nota

    En Python 3.3 y posteriores, puede utilizar el módulo venv integrado para crear un entorno virtual, en lugar de instalar virtualenv. Para obtener más información, consulte venv - Creación de entornos virtuales en el sitio web de Python.

    python3 -m venv v-aws-health-env

  4. Especifique el siguiente comando para activar el entorno virtual.

    source v-aws-health-env/bin/activate

  5. Ingrese el siguiente comando para instalar las dependencias.

    pip install -r requirements.txt

  6. Ingrese los siguientes comandos para especificar sus credenciales de AWS.

    export AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
export AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
export AWS_SESSION_TOKEN="your-aws-token"

  7. Ingrese el comando siguiente para ejecutar la demostración.

    python3 main.py
    ejemplo : resultado del evento de AWS Health

    El ejemplo de código devuelve el evento de AWS Health reciente de los últimos siete días en su cuenta de AWS. El siguiente resultado devuelve un evento de AWS Health para una notificación de seguridad de AWS.

    INFO:botocore.credentials:Found credentials in environment variables.
INFO:root:Details: {'arn': 'arn:aws:health:global::event/SECURITY/AWS_SECURITY_NOTIFICATION/AWS_SECURITY_NOTIFICATION_0e35e47e-2247-47c4-a9a5-876544042721', 
'service': 'SECURITY', 'eventTypeCode': 'AWS_SECURITY_NOTIFICATION', 'eventTypeCategory': 'accountNotification', 'region': 'global', 'startTime': datetime.datetime(2020, 8, 19, 23, 30, 42, 476000, 
tzinfo=tzlocal()), 'lastUpdatedTime': datetime.datetime(2020, 8, 20, 20, 44, 9, 547000, tzinfo=tzlocal()), 'statusCode': 'open', 'eventScopeCode': 'PUBLIC'}, description: 
{'latestDescription': 'This is the second notice regarding TLS requirements on FIPS endpoints.\n\nWe
are in the process of updating all AWS Federal Information Processing Standard (FIPS) endpoints across all AWS regions 
to Transport Layer Security (TLS) version 1.2 by March 31, 2021 . In order to avoid an interruption in service, we encourage you to act now, by ensuring that you connect to AWS FIPS endpoints at a TLS version of 1.2. 
If your client applications fail to support TLS 1.2 it will result in connection failures when TLS versions below 1.2 are no longer supported.\n\nBetween now and March 31, 2021 AWS will remove TLS 1.0 and TLS 1.1 support from each FIPS endpoint where no connections below TLS 1.2 are detected over a 30-day period. 
After March 31, 2021 we may deploy this change to all AWS FIPS endpoints, even if there continue
to be customer connections detected at TLS versions below 1.2. \n\nWe will provide additional updates and reminders on the AWS Security Blog, with a ‘TLS’ tag [1]. If you need further guidance or assistance, please contact AWS Support [2] or your Technical Account Manager (TAM). 
Additional information is below.\n\nHow can I identify clients that are connecting with TLS
1.0/1.1?\nFor customers using S3 [3], Cloudfront [4] or Application Load Balancer [5] you can use
your access logs to view the TLS connection information for these services, and identify client
connections that are not at TLS 1.2. If you are using the AWS Developer Tools on your clients, 
you can find information on how to properly configure your client’s TLS versions by visiting Tools to Build on AWS [7] or our associated AWS Security Blog has a link for each unique code language [7].\n\nWhat is Transport Layer Security (TLS)?\nTransport Layer Security (TLS Protocols) are cryptographic protocols designed to provide secure communication across a computer network 
[6].\n\nWhat are AWS FIPS endpoints? \nAll AWS services offer Transport Layer Security (TLS) 1.2 encrypted endpoints that can be used for all API calls. Some AWS services also offer FIPS 140-2 endpoints [9] for customers that require use of FIPS validated cryptographic libraries. \n\n[1] https://aws.amazon.com/blogs/security/tag/tls/\n[2] https://aws.amazon.com/support\n[3] 
https://docs.aws.amazon.com/AmazonS3/latest/dev/LogFormat.html\n[4] https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html\n[5] https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html\n[6] https://aws.amazon.com/tools\n[7] https://aws.amazon.com/blogs/security/tls-1-2-to-become-the-minimum-for-all-aws-fips-endpoints\n[8] 
https://en.wikipedia.org/wiki/Transport_Layer_Security\n[9] https://aws.amazon.com/compliance/fips'}

  8. Una vez que haya terminado, ingrese el siguiente comando para desactivar la máquina virtual.

    deactivate

Recursos de Python

Firma de solicitudes API de AWS Health

Cuando utiliza los SDK de AWS o el AWS Command Line Interface (AWS CLI) para realizar solicitudes a AWS, estas herramientas firman automáticamente en su nombre las solicitudes con la clave de acceso especificada al configurar las herramientas. Por ejemplo, si usa el AWS SDK for Java para la demostración anterior de puntos de conexión de alta disponibilidad, no tiene que firmar las solicitudes personalmente.

Ejemplos de código Java

Para ver más ejemplos sobre cómo usar la API de AWS Health con el AWS SDK for Java, consulte este código de ejemplo.

Cuando realice solicitudes, se desaconseja encarecidamente que utilice las credenciales de la cuenta raíz de AWS para obtener acceso a AWS Health normalmente. Puede utilizar las credenciales de un usuario de IAM. Para obtener más información, consulte Proteger las claves de acceso AWS de usuario raíz de su cuenta en la Guía del usuario de IAM.

Si no utiliza los SDK de AWS o el AWS CLI, debe firmar usted mismo las solicitudes. Le recomendamos utilizar la versión de firma 4 de AWS. Para obtener más información, consulte Firma de solicitudes de la API de AWS en la Referencia general de AWS.