Query dello stato di configurazione corrente diAWSRisorse - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Query dello stato di configurazione corrente diAWSRisorse

È possibile utilizzareAWS Configper eseguire le query dello stato di configurazione corrente diAWSrisorse basate sulle proprietà di configurazione per un singolo account e regione o per più account e regioni. È possibile eseguire query ad hoc basate su proprietà rispetto alla correnteAWSmetadati dello stato delle risorse su tutte le risorse cheAWS Configsupporta. La funzione di query avanzata fornisce un singolo endpoint di query e un potente linguaggio di query per ottenere i metadati dello stato delle risorse correnti, senza eseguire le chiamate API descrittive specifiche del servizio. È possibile utilizzare gli aggregatori di configurazione per eseguire le stesse query da un account centrale su più account eAWSRegioni.

AWS Config utilizza un sottoinsieme della sintassi Structured Query Language (SQL) SELECT per eseguire query e aggregazioni basate sulle proprietà sui dati dell'elemento di configurazione corrente. Le query variano in complessità da semplici corrispondenze a tag e/o identificativi di risorse, a query più complesse, come la visualizzazione di tutti i bucket Amazon S3 con la funzione Versioni multiple disabilitata. Ciò ti consente di eseguire esattamente la query dello stato corrente della risorsa di cui hai bisogno senza eseguire.AWSchiamate API specifiche per il servizio.

È possibile utilizzare le query avanzate per:

  • Gestione dell'inventario, ad esempio per recuperare un elenco di istanze Amazon EC2 di dimensioni specifiche.

  • Sicurezza e intelligenza operativa, ad esempio per recuperare un elenco di risorse che hanno una specifica proprietà di configurazione abilitata o disabilitata.

  • Ottimizzazione dei costi, ad esempio per identificare un elenco di volumi Amazon EBS che non sono collegati a nessuna istanza EC2.

  • Dati di conformità, ad esempio per recuperare un elenco di tutti i pacchetti di conformità e il relativo stato di conformità.

Caratteristiche

Il linguaggio di query supporta l'interrogazioneAWSrisorse basate sulle proprietà CI di tuttiAWStipi di risorsa supportati daAWS Config, inclusi dati di configurazione, tag e relazioni. Si tratta di un sottoinsieme del comando SQL SELECT con limitazioni, come indicato nella sezione seguente. Supporta le funzioni di aggregazione, ad esempio AVG, COUNT, MAX, MIN e SUM.

Restrizioni

Come sottoinsieme di SQL SELECT, la sintassi di query ha le limitazioni seguenti:

  • Nessun supporto perALL,AS,DISTINCT,FROM,HAVING,JOIN, eUNIONparole chiave in una query.NULLle query di valore non sono supportate.

  • Nessun supporto per le query su risorse di terze parti. Le risorse di terze parti recuperate utilizzando query avanzate avranno il campo di configurazione impostato comeNULL.

  • Nessun supporto per le strutture nidificate (come i tag) da decomprimere con query SQL.

  • La notazione CIDR viene convertita in intervalli IP per la ricerca. Ciò significa che"="e"BETWEEN"cerca qualsiasi intervallo che includa l'IP fornito, anziché quello esatto. Per cercare un intervallo IP esatto, è necessario aggiungere condizioni aggiuntive per escludere IP al di fuori dell'intervallo. Ad esempio, per cercare 10.0.0.0/24 e solo quel blocco IP, puoi eseguire:

    SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup' AND configuration.ipPermissions.ipRanges BETWEEN '10.0.0.0' AND '10.0.0.255' AND NOT configuration.ipPermissions.ipRanges < '10.0.0.0' AND NOT configuration.ipPermissions.ipRanges > '10.0.0.255'

    Per 192.168.0.2/32, puoi cercare in modo simile:

    SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup' AND configuration.ipPermissions.ipRanges = '192.168.0.2' AND NOT configuration.ipPermissions.ipRanges > '192.168.0.2' AND NOT configuration.ipPermissions.ipRanges < '192.168.0.2'
  • Quando si eseguono query su più proprietà all'interno di un array di oggetti, le corrispondenze vengono calcolate su tutti gli elementi dell'array. Ad esempio, per una risorsa R con le regole A e B, la risorsa è conforme alla regola A ma non conforme alla regola B. La risorsa R è memorizzata come:

    { configRuleList: [ { configRuleName: 'A', complianceType: 'compliant' }, { configRuleName: 'B', complianceType: 'non_compliant' } ] }

    R verrà restituito da questa query:

    SELECT configuration WHERE configuration.configRuleList.complianceType = 'non_compliant' AND configuration.configRuleList.configRuleName = 'A'

    La prima condizioneconfiguration.configRuleList.complianceType = 'non_compliant'viene applicato a TUTTI gli elementi di R.configRuleList, poiché R ha una regola (regola B) con ComplianceType = 'non_compliant', la condizione viene valutata come true. La seconda condizioneconfiguration.configRuleList.configRuleNameviene applicato a TUTTI gli elementi di R.configRulelist, perché R ha una regola (regola A) con configRuleName = 'A', la condizione viene valutata come true. Poiché entrambe le condizioni sono vere, R verrà restituito.

  • Il formato abbreviato SELECT per tutte le colonne (cioè SELECT *) seleziona solo le proprietà scalari di livello superiore di un elemento di configurazione. Le proprietà scalari restituite sono accountId, awsRegion, arn, availabilityZone, configurationItemCaptureTime, resourceCreationTime, resourceId, resourceName, resourceType e version.

  • Limitazioni dei caratteri jolly:

    • I caratteri jolly sono supportati solo per i valori di proprietà e non per le chiavi di proprietà (ad esempio, ...WHERE someKey LIKE 'someValue%' è supportato, mentre ...WHERE 'someKey%' LIKE 'someValue%' non è supportato).

    • Support per solo caratteri jolly suffisso (ad esempio,...LIKE 'AWS::EC2::%'e...LIKE 'AWS::EC2::_'è supportato ma...LIKE '%::EC2::Instance'e...LIKE '_::EC2::Instance'non è supportato).

    • Le corrispondenze con caratteri jolly devono contenere almeno tre caratteri (ad esempio,...LIKE 'ab%'e...LIKE 'ab_'non è consentito, ma...LIKE 'abc%'e...LIKE 'abc_'è consentito).

    Nota

    Il»_«(carattere di sottolineatura singolo) è considerato un carattere jolly.

  • Limitazioni delle aggregazioni:

    • Le funzioni di aggregazione possono accettare un solo argomento o una sola proprietà.

    • Le funzioni di aggregazione non possono accettare altre funzioni come argomenti.

    • GROUP BYcon unORDER BYLa clausola che fa riferimento alle funzioni aggregate può contenere una sola proprietà.

    • Per tutte le altre aggregazioniGROUP BYLe clausole possono contenere fino a tre proprietà.

    • L'impaginazione è supportata per tutte le query aggregate tranne quandoORDER BYclausola ha una funzione aggregata. Ad esempio,GROUP BY X, ORDER BY Ynon funziona seYè una funzione aggregata.

    • Nessun supporto per le clausole HAVING nelle aggregazioni.

Supporto nelle regioni

Le query avanzate sono supportate nelle seguenti regioni geografiche:

Nome regione Regione Endpoint Protocollo
Africa (Città del Capo)* af-south-1 config.af-south-1.amazonaws.com HTTPS
Asia Pacifico (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asia Pacifico (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asia Pacifico (Seul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asia Pacifico (Singapore) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia Pacifico (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia Pacifico (Tokyo) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
AWS GovCloud (US-Est) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (US-West) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS
Canada (Central) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Cina (Pechino)* cn-north-1 config.cn-north-1.amazonaws.com.cn HTTPS
China (Ningxia)* cn-northwest-1 config.cn-northwest-1.amazonaws.com.cn HTTPS
Europe (Frankfurt) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europe (Ireland) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (Londra) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Milano)* eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europe (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europe (Stoccolma) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Medio Oriente (Bahrein) me-south-1 config.me-south-1.amazonaws.com HTTPS
South America (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
Stati Uniti orientali (Virginia settentrionale) us-east-1 config.us-east-1.amazonaws.com HTTPS
Stati Uniti orientali (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
Stati Uniti occidentali (California settentrionale) us-west-1 config.us-west-1.amazonaws.com HTTPS
Stati Uniti occidentali (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS

*Le query salvate non sono disponibili nelle regioni Africa (Città del Capo) e UE (Milano).

*Le query avanzate per multi-account multi-account non sono disponibili nelle regioni Africa (Città del Capo), Europa (Milano), Cina (Pechino) e Cina (Cina (Cina) e Cina (Ningxia).