Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Trouvez des ressources AWS en fonction de leur date de création à l'aide des requêtes avancées AWS Config
Créée par Inna Saman (AWS)
Récapitulatif
Ce modèle montre comment rechercher des ressources AWS en fonction de leur date de création à l'aide de la fonctionnalité de requête avancée AWS Config.
Les requêtes avancées AWS Config utilisent un sous-ensemble de code SQL pour demander l'état de configuration des ressources AWS à des fins de gestion des stocks, de renseignement opérationnel, de sécurité et de conformité. Vous pouvez utiliser ces requêtes pour rechercher des ressources AWS dans un seul compte AWS et une seule région AWS ou dans plusieurs comptes et régions. En exécutant une requête qui utilise la resourceCreationTimepropriété, vous pouvez renvoyer une liste de vos ressources AWS en fonction de leur date de création spécifique. Vous pouvez exécuter des requêtes avancées de configuration AWS en utilisant l'une des méthodes suivantes :
L'éditeur de requêtes AWS Config dans la console AWS Config
L'interface de ligne de commande AWS (AWS CLI)
L'exemple de requête figurant dans la section Informations supplémentaires de ce modèle renvoie une liste de ressources AWS créées au cours d'une période spécifique de 60 jours. La sortie de la requête inclut des informations sur les éléments suivants pour chaque ressource identifiée :
ID de compte
Région
Nom de la ressource
ID de ressource
Type de ressource
Balises
Heure de création
L'exemple de requête montre également comment la liste d'inventaire peut être étendue à des types de ressources spécifiques avec un « OÙ... Déclaration « IN ». Vous pouvez utiliser une requête similaire pour trouver d'autres types de ressources AWS qui fonctionnent également avec des balises.
Note
Pour interroger des ressources sur plusieurs comptes et régions AWS ou au sein d'une organisation AWS Organizations, vous devez utiliser un agrégateur AWS Config. Pour plus d'informations, consultez la section Agrégation de données multicomptes et multirégions dans le manuel AWS Config Developer Guide. Les ressources mondiales ne sont enregistrées que dans leur région d'origine. Par exemple, AWS Identity and Access Management (IAM) est une ressource mondiale enregistrée dans us-east-1 (région de Virginie du Nord).
Conditions préalables et limitations
Prérequis
Un ou plusieurs comptes AWS actifs avec AWS Config activé pour enregistrer tous les types de ressources pris en charge (configuration par défaut)
(Pour les requêtes multicomptes et multirégions) Un agrégateur AWS Config activé
Limites
Les résultats des requêtes avancées AWS Config sont paginés. Lorsque vous choisissez d'exporter, jusqu'à 500 résultats sont exportés depuis l'AWS Management Console. Vous pouvez également l'utiliser APIs pour récupérer jusqu'à 100 résultats paginés à la fois.
Les requêtes avancées AWS Config utilisent un sous-ensemble de SQL qui possède ses propres limites de syntaxe. Pour plus d'informations, consultez la section Limitations relatives à l'interrogation sur l'état de configuration actuel des ressources AWS dans le manuel AWS Config Developer Guide.
Outils
Outils
AWS Config fournit une vue détaillée des ressources de votre compte AWS et de leur configuration. Il vous aide à identifier les liens entre les ressources et l'évolution de leurs configurations au fil du temps.
L'interface de ligne de commande AWS (AWS CLI) est un outil open source qui vous permet d'interagir avec les services AWS par le biais de commandes dans votre shell de ligne de commande.
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
| Vérifiez que les ressources que vous interrogez sont prises en charge par AWS Config. | Pour obtenir la liste complète des ressources AWS prises en charge par AWS Config, consultez la section Types de ressources pris en charge dans le guide du développeur AWS Config. | Administrateur du cloud |
| Vérifiez que l'enregistreur de configuration est créé et en cours d'exécution. | Suivez les instructions de la section Gestion de l'enregistreur de configuration du manuel AWS Config Developer Guide. NoteAWS Config crée puis démarre automatiquement l'enregistreur de configuration par défaut. | Administrateur du cloud |
| Exécutez la requête. | Suivez les instructions de la section Requête à l'aide de l'éditeur de requêtes SQL (console) ou Requête à l'aide de l'éditeur de requêtes SQL (CLI AWS) du manuel AWS Config Developer Guide. NoteSi vous recevez des erreurs lors de l'exécution des commandes de l'AWS CLI, assurez-vous que vous utilisez la version la plus récente de l'AWS CLI. Pour les requêtes relatives à un seul compte AWS ou à une région Sur la page de l'éditeur de requêtes, dans la section Champ d'application de la requête, assurez-vous de sélectionner Ce compte et cette région uniquement. Pour les requêtes multi-comptes et multi-régions Sur la page de l'éditeur de requêtes, dans la section Champ d'application de la requête, assurez-vous de créer et de sélectionner un agrégateur AWS Config. Pour plus d'informations, consultez la section Agrégation de données multicomptes et multirégions dans le manuel AWS Config Developer Guide. Si les requêtes portant sur plusieurs comptes ou régions ne fonctionnent pas, suivez les instructions de la section Résolution des problèmes liés à l'agrégation de données multicomptes et multirégions du manuel AWS Config Developer Guide. NotePour modifier l'étendue de la requête en fonction du type de ressource, utilisez la construction WHERE ResourceType IN (...). Pour un exemple de requête, consultez la requête avancée Example AWS Config dans la section Informations supplémentaires. | Administrateur du cloud |
Informations supplémentaires
Exemple de requête avancée AWS Config
L'exemple de requête suivant renvoie une liste de ressources AWS créées au cours d'une période spécifique de 60 jours. Pour d'autres exemples de requêtes avancées AWS Config, consultez la section Exemples de requêtes du manuel AWS Config Developer Guide.
SELECT
accountId,
awsRegion,
resourceName,
resourceId,
resourceType,
resourceCreationTime,
tags
WHERE
resourceType IN (
'AWS::CloudFormation::Stack',
'AWS::EC2::VPC',
'AWS::EC2::Volume',
'AWS::EC2::Instance',
'AWS::RDS::DBInstance',
'AWS::ElasticLoadBalancingV2::LoadBalancer',
'AWS::ServiceCatalog::CloudFormationProvisionedProduct',
'AWS::EC2::NetworkInterface',
'AWS::EC2::Subnet',
'AWS::EC2::SecurityGroup',
'AWS::AutoScaling::AutoScalingGroup',
'AWS::Lambda::Function',
'AWS::DynamoDB::Table',
'AWS::S3::Bucket'
)
AND resourceCreationTime BETWEEN '2022-05-23T00:00:00.000Z' AND '2022-07-23T17:59:51.000Z'
ORDER BY
accountId ASC,
resourceType ASCConfidentialité et protection des données
AWS Config est activé séparément dans chaque région AWS. Pour se conformer aux exigences réglementaires, des considérations spéciales doivent s'appliquer, telles que la création d'agrégateurs régionaux distincts. Pour plus d'informations, consultez la section Protection des données dans AWS Config dans le guide du développeur AWS Config.
Autorisations IAM
La politique gérée AWS_COnFigRole par AWS est requise en tant qu'ensemble minimal d'autorisations pour exécuter des requêtes avancées AWS Config. Pour plus d'informations, consultez la politique de rôle IAM pour obtenir les détails de configuration dans la section Autorisations pour le rôle IAM attribué à AWS Config du guide du développeur AWS Config.
