Resumen Requisitos previos y limitaciones Herramientas Epics Información adicional

Encuentre los recursos de AWS en función de su fecha de creación mediante las consultas avanzadas de AWS Config.

Creado por Inna Saman (AWS)

Entorno: producción

Tecnologías: operaciones; Seguridad, identidad y conformidad

Servicios de AWS: AWS Config; Amazon EBS; Amazon EC2; Amazon S3; AWS Lambda

Resumen

Este patrón muestra cómo encontrar recursos de AWS en función de su fecha de creación mediante la característica de consultas avanzadas de AWS Config.

Las consultas avanzadas de AWS Config utilizan un subconjunto de SQL para consultar el estado de configuración de los recursos de AWS para la gestión del inventario, la inteligencia operativa, la seguridad y la conformidad. Puede utilizar estas consultas para buscar recursos de AWS en una sola cuenta de AWS y región de AWS o en varias cuentas y regiones. Al ejecutar una consulta que utilice la resourceCreationTimepropiedad, puede devolver una lista de sus recursos de AWS en función de su fecha de creación específica. Puede ejecutar consultas avanzadas de AWS Config utilizando cualquiera de las siguientes opciones:

El editor de consultas de AWS Config de la consola de AWS Config
La interfaz de la línea de comandos de AWS (AWS CLI)

La consulta de ejemplo de la sección Additional information (Información adicional) de este patrón devuelve una lista de los recursos de AWS creados en un período específico de 60 días. El resultado de la consulta incluye información sobre lo siguiente para cada recurso identificado:

ID de cuenta
Región
Nombre del recurso
ID de recurso
Tipo de recurso
Etiquetas
Hora de creación

La consulta de ejemplo también muestra cómo se puede ajustar la lista de inventario a tipos de recursos específicos con la opción «WHERE... Instrucción IN". Puede utilizar una consulta similar para buscar otros tipos de recursos de AWS que también funcionen con etiquetas.

Nota: Para consultar recursos en varias cuentas y regiones de AWS o en una organización de AWS Organizations, debe usar un agregador de AWS Config. Para obtener más información, consulte Agregación de datos de varias cuentas y regiones en la Guía del desarrollador de AWS Config. Los recursos globales se registran únicamente en su región de origen. Por ejemplo, AWS Identity and Access Management (IAM) es un recurso global y está registrado en us-east-1 (región de Virginia del Norte).

Requisitos previos y limitaciones

Requisitos previos

Una o más cuentas de AWS activas con AWS Config activado para registrar todos los tipos de recursos compatibles (configuración predeterminada)
(Para consultas de varias cuentas y varias regiones) Un agregador de AWS Config activado

Limitaciones

Los resultados de las consultas avanzadas de AWS Config están paginados. Al elegir exportar, se exportan hasta 500 resultados desde la consola de administración de AWS. También puede usar las API para recuperar hasta 100 resultados paginados a la vez.
Las consultas avanzadas de AWS Config utilizan un subconjunto de SQL que tiene sus propias limitaciones de sintaxis. Para obtener más información, consulte Limitaciones a la hora de Consultar el estado de configuración actual de los recursos de AWS en la Guía para desarrolladores de AWS Config.

Herramientas

Herramientas

AWS Config brinda una visión detallada de la configuración de los recursos de AWS y de cómo están configurados. Lo ayuda a identificar cómo se relacionan los recursos entre sí y cómo han cambiado sus configuraciones a lo largo del tiempo.
La interfaz de la línea de comandos de AWS (AWS CLI) es una herramienta de código abierto que le permite interactuar con los servicios de AWS mediante comandos en su intérprete de comandos de la línea de comandos.

Epics

Tarea	Descripción	Habilidades requeridas
Compruebe que los recursos consultados son compatibles con AWS Config.	Para obtener una lista completa de los recursos de AWS compatibles con AWS Config, consulte los Tipos de recursos compatibles en la Guía para desarrolladores de AWS Config.	Administrador de la nube
Verifique que el registrador de configuración está creado y en funcionamiento.	Siga las instrucciones de Administrar el registrador de configuración de la Guía para desarrolladores de AWS Config. Nota: AWS Config crea automáticamente y luego inicia el registrador de configuración predeterminado.	Administrador de la nube
Ejecute la consulta.	Siga las instrucciones de Consultas con el editor de consultas SQL (consola) o Consultas con el editor de consultas SQL (AWS CLI) de la Guía para desarrolladores de AWS Config. Nota: Si recibe errores al ejecutar los comandos de la CLI de AWS, asegúrese de utilizar la versión más reciente de la CLI de AWS. Para consultas de cuenta y región de AWS únicas En la página del Query editor (Editor de consultas), en la sección Query scope (Alcance de la consulta), asegúrese de elegir Solo esta cuenta y región. Para consultas de varias cuentas y varias regiones En la página del Query editor (Editor de consultas), en la sección Query scope (Alcance de la consulta), asegúrese de crear y seleccionar un agregador de AWS Config. Para obtener más información, consulte Agregar datos de varias cuentas y regiones en la Guía del desarrollador de AWS Config. Si las consultas en varias cuentas o regiones no funcionan, siga las instrucciones de Solución de problemas relacionados con la agregación de datos de varias cuentas y regiones de la Guía para desarrolladores de AWS Config. Nota: Para modificar el ámbito de la consulta en función del tipo de recurso, utilice el constructo WHERE resourceType IN (…). Para ver un ejemplo de consulta, consulte el Ejemplo de consulta avanzada de AWS Config en la sección Additional information (Información adicional).	Administrador de la nube

Tarea

Descripción

Habilidades requeridas

Compruebe que los recursos consultados son compatibles con AWS Config.

Para obtener una lista completa de los recursos de AWS compatibles con AWS Config, consulte los Tipos de recursos compatibles en la Guía para desarrolladores de AWS Config.

Administrador de la nube

Verifique que el registrador de configuración está creado y en funcionamiento.

Siga las instrucciones de Administrar el registrador de configuración de la Guía para desarrolladores de AWS Config.

Nota: AWS Config crea automáticamente y luego inicia el registrador de configuración predeterminado.

Administrador de la nube

Ejecute la consulta.

Siga las instrucciones de Consultas con el editor de consultas SQL (consola) o Consultas con el editor de consultas SQL (AWS CLI) de la Guía para desarrolladores de AWS Config.

Nota: Si recibe errores al ejecutar los comandos de la CLI de AWS, asegúrese de utilizar la versión más reciente de la CLI de AWS.

Para consultas de cuenta y región de AWS únicas

En la página del Query editor (Editor de consultas), en la sección Query scope (Alcance de la consulta), asegúrese de elegir Solo esta cuenta y región.

Para consultas de varias cuentas y varias regiones

En la página del Query editor (Editor de consultas), en la sección Query scope (Alcance de la consulta), asegúrese de crear y seleccionar un agregador de AWS Config. Para obtener más información, consulte Agregar datos de varias cuentas y regiones en la Guía del desarrollador de AWS Config.

Si las consultas en varias cuentas o regiones no funcionan, siga las instrucciones de Solución de problemas relacionados con la agregación de datos de varias cuentas y regiones de la Guía para desarrolladores de AWS Config.

Nota: Para modificar el ámbito de la consulta en función del tipo de recurso, utilice el constructo WHERE resourceType IN (…). Para ver un ejemplo de consulta, consulte el Ejemplo de consulta avanzada de AWS Config en la sección Additional information (Información adicional).

Administrador de la nube

Información adicional

Ejemplo de consulta avanzada de AWS Config

La consulta de ejemplo de la sección Additional information (Información adicional) de este patrón devuelve una lista de los recursos de AWS creados en un período específico de 60 días. Para ver más ejemplos de consultas avanzadas de AWS Config, consulte Ejemplos de consultas en la Guía para desarrolladores de AWS Config.


SELECT
  accountId,
  awsRegion,
  resourceName,
  resourceId,
  resourceType,
  resourceCreationTime,
  tags
WHERE
  resourceType IN (
    'AWS::CloudFormation::Stack',
    'AWS::EC2::VPC',
    'AWS::EC2::Volume',
    'AWS::EC2::Instance',
    'AWS::RDS::DBInstance',
    'AWS::ElasticLoadBalancingV2::LoadBalancer',
    'AWS::ServiceCatalog::CloudFormationProvisionedProduct',
    'AWS::EC2::NetworkInterface',
    'AWS::EC2::Subnet',
    'AWS::EC2::SecurityGroup',
    'AWS::AutoScaling::AutoScalingGroup',
    'AWS::Lambda::Function',
    'AWS::DynamoDB::Table',
    'AWS::S3::Bucket'
  )
  AND resourceCreationTime BETWEEN '2022-05-23T00:00:00.000Z' AND '2022-07-23T17:59:51.000Z'
ORDER BY
  accountId ASC,
  resourceType ASC

Protección y privacidad de datos

AWS Config se activa en cada región de AWS por separado. Para cumplir con los requisitos reglamentarios, es necesario tener en cuenta consideraciones especiales como la creación de agregadores regionales independientes. Para obtener más información, consulte Protección de datos en AWS Config en la Guía para desarrolladores de AWS Config.

Permisos de IAM

Se requiere la política administrada de AWS_ ConfigRole AWS como conjunto mínimo de permisos para ejecutar consultas avanzadas de AWS Config. Para obtener más información, consulte Política de rol de IAM para obtener detalles de configuración en la sección Permisos para el rol de IAM asignado a AWS Config de la Guía para desarrolladores de AWS Config.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cree paneles de control basados en etiquetas automáticamente CloudWatch

Vea los detalles de la instantánea de EBS de su cuenta u organización de AWS