Acesso à API do AWS Health - AWS Health
EndpointsUsando a demonstração de endpoint de alta disponibilidadeAssinar solicitações de API do AWS Health

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acesso à API do AWS Health

O AWS Health é um serviço web RESTful que usa HTTPS como um transporte e JSON (JavaScript Object Notation) como um formato de serialização de mensagens. O código de seu aplicativo pode fazer solicitações diretamente à API do AWS Health. Quando usar a API REST diretamente, você deverá gravar o código necessário para assinar e autenticar suas solicitações. Para mais informações sobre as operações e parâmetros do AWS Health consulte AWS HealthReferências de API do .

nota

É necessário ter um plano de suporte Business, Enterprise On-Ramp ou Enterprise do AWS Support para usar a API do AWS Health. Se você chamar a API do AWS Health de uma conta AWS que não tenha um plano de suporte Business, Enterprise On-Ramp ou Enterprise receberá uma mensagem de erro SubscriptionRequiredException.

Você pode usar o SDKs de AWS que encapsulam as chamadas da AWS Health API REST, que simplificam o seu desenvolvimento de aplicativos. Você fornece suas credenciais AWS, e essas bibliotecas cuidam da autenticação e da assinatura das solicitações.

AWS Health também oferece um AWS Health Dashboard no AWS Management Console que você pode usar para exibir e pesquisar eventos e entidades afetadas. Consulte Conceitos básicos do seu AWS Health Dashboard: a integridade da sua conta.

Endpoints

A API AWS Health segue uma arquitetura de aplicativo multirregional Arquitetura e tem dois endpoints regionais em uma configuração ativa-passiva. Para oferecer suporte ao failover de DNS ativo-passivo, AWS Health fornece um endpoint único e global. Você pode realizar uma pesquisa de DNS no endpoint global para determinar o endpoint ativo e a região de assinatura correspondente AWS. Isso ajuda você a saber qual endpoint usar em seu código, para que você possa obter as informações mais recentes AWS Health.

Ao fazer uma solicitação ao endpoint global, você deve especificar suas credenciais de acesso de AWS ao endpoint regional de destino e configurar a assinatura para sua região. Caso contrário, sua autenticação poderá falhar. Para obter mais informações, consulte Assinar solicitações de API do AWS Health.

A tabela a seguir representa a configuração padrão.

Descrição Região de assinatura Endpoint Protocolo
Ativo

us-east-1

health.us-east-1.amazonaws.com

 HTTPS
Passivo

us-east-2

health.us-east-2.amazonaws.com

 HTTPS
Global

us-east-1

nota

Essa é a região de assinatura do endpoint ativo atual.

global.health.amazonaws.com

 HTTPS

Para determinar se um endpoint é o endpoint ativo, faça uma pesquisa de DNS no CNAME do endpoint global e, em seguida, extraia a região AWS do nome resolvido.

exemplo : pesquisa de DNS no endpoint global

. Em seguida, o comando retorna o endpoint Região us-east-1. Essa saída informa para qual endpoint você deve usar AWS Health.

dig global.health.amazonaws.com | grep CNAME
global.health.amazonaws.com. 10 IN CNAME health.us-east-1.amazonaws.com
dica

Tanto os endpoints ativos quanto os passivos retornam dados AWS Health. No entanto, os dados AWS Health mais recentes só estão disponíveis no endpoint ativo. Os dados do endpoint passivo acabarão sendo consistentes com o endpoint ativo. Recomendamos que você reinicie todos os fluxos de trabalho quando o endpoint ativo for alterado.

Usando a demonstração de endpoint de alta disponibilidade

Nos exemplos de código a seguir, AWS Health usa uma pesquisa de DNS no endpoint global para determinar o endpoint regional ativo e a região de assinatura. Em seguida, o código reinicia o fluxo de trabalho se o endpoint ativo for alterado.

Uso a demonstração do Java

Pré-requisito

Você deve instalar o Gradle.

Para usar o exemplo Java

  1. Baixe a demonstração de endpoint de alta disponibilidade AWS Health no GitHub.

  2. Navegue até o diretório de projeto do high-availability-endpoint/java.

  3. Em uma janela de linha de comando, digite o seguinte comando:

    gradle build

  4. Insira os comandos a seguir para especificar as suas credenciais AWS.

    export AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
export AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
export AWS_SESSION_TOKEN="your-aws-token"

  5. Insira o comando a seguir para executar a ferramenta .

    gradle run
    exemplo : saída do evento de AWS Health

    O exemplo de código retorna o evento de AWS Health recente dos últimos sete dias em sua conta AWS. No exemplo a seguir, a saída inclui um evento de AWS Health para o serviço AWS Config.

    > Task :run
[main] INFO aws.health.high.availability.endpoint.demo.HighAvailabilityV2Workflow - EventDetails(Event=Event(Arn=arn:aws:health:global::event/CONFIG/AWS_CONFIG_OPERATIONAL_NOTIFICATION/AWS_CONFIG_OPERATIONAL_NOTIFICATION_88a43e8a-e419-4ca7-9baa-56bcde4dba3, 
Service=CONFIG, EventTypeCode=AWS_CONFIG_OPERATIONAL_NOTIFICATION, EventTypeCategory=accountNotification, Region=global, StartTime=2020-09-11T02:55:49.899Z, LastUpdatedTime=2020-09-11T03:46:31.764Z, 
StatusCode=open, EventScopeCode=ACCOUNT_SPECIFIC), EventDescription=EventDescription(LatestDescription=As part of our ongoing efforts to optimize costs associated with recording changes related to certain ephemeral workloads, 
AWS Config is scheduled to release an update to relationships modeled within ConfigurationItems (CI) for 7 EC2 resource types on August 1, 2021. 
Examples of ephemeral workloads include changes to Amazon Elastic Compute Cloud (Amazon EC2) Spot Instances, Amazon Elastic MapReduce jobs, and Amazon EC2 Autoscaling. 
This update will optimize CI models for EC2 Instance, SecurityGroup, Network Interface, Subnet, VPC, VPN Gateway, and Customer Gateway resource types to record direct relationships and deprecate indirect relationships.
 
A direct relationship is defined as a one-way relationship (A->B) between a resource (A) and another resource (B), and is typically derived from the Describe API response of resource (A). 
An indirect relationship, on the other hand, is a relationship that AWS Config infers (B->A), in order to create a bidirectional relationship. 
For example, EC2 instance -> Security Group is a direct relationship, since security groups are returned as part of the describe API response for an EC2 instance. 
But Security Group -> EC2 instance is an indirect relationship, since EC2 instances are not returned when describing an EC2 Security group.
 
Until now, AWS Config has recorded both direct and indirect relationships. With the launch of Advanced queries in March 2019, indirect relationships can easily be answered by running Structured Query Language (SQL) queries such as:
 
SELECT
 resourceId,
 resourceType
WHERE
 resourceType ='AWS::EC2::Instance'
AND
 relationships.resourceId = 'sg-234213'
 
By deprecating indirect relationships, we can optimize the information contained within a
Configuration Item while reducing AWS Config costs related to relationship changes. 
This is especially useful in case of ephemeral workloads where there is a high volume of configuration changes for EC2 resource types.
 
Which resource relationships are being removed?
 
Resource Type: Related Resource Type
1 AWS::EC2::CustomerGateway: AWS::VPN::Connection
2 AWS::EC2::Instance: AWS::EC2::EIP, AWS::EC2::RouteTable
3 AWS::EC2::NetworkInterface: AWS::EC2::EIP, AWS::EC2::RouteTable
4 AWS::EC2::SecurityGroup: AWS::EC2::Instance, AWS::EC2::NetworkInterface
5 AWS::EC2::Subnet: AWS::EC2::Instance, AWS::EC2::NetworkACL, AWS::EC2::NetworkInterface, AWS::EC2::RouteTable
6 AWS::EC2::VPC: AWS::EC2::Instance, AWS::EC2::InternetGateway, AWS::EC2::NetworkACL, AWS::EC2::NetworkInterface, AWS::EC2::RouteTable, AWS::EC2::Subnet, AWS::EC2::VPNGateway, AWS::EC2::SecurityGroup
7 AWS::EC2::VPNGateway: AWS::EC2::RouteTable, AWS::EC2::VPNConnection
 
Alternate mechanism to retrieve this relationship information:
The SelectResourceConfig API accepts a SQL SELECT command, performs the corresponding search, and returns resource configurations matching the properties. You can use this API to retrieve the same relationship information. 
For example, to retrieve the list of all EC2 Instances related to a particular VPC vpc-1234abc, you can use the following query:
 
SELECT
 resourceId,
 resourceType
WHERE
 resourceType ='AWS::EC2::Instance'
AND
 relationships.resourceId = 'vpc-1234abc'
 
If you have any questions regarding this deprecation plan, please contact AWS Support [1]. Additional sample queries to retrieve the relationship information for the resources listed above is provided in [2].
 
[1] https://aws.amazon.com/support
[2] https://docs.aws.amazon.com/config/latest/developerguide/examplerelationshipqueries.html),
EventMetadata={})

Recursos de Java

  • Para obter mais informações, consulte a interface HealthClient na Referência da API do AWS SDK for Java e o código-fonte.

  • Para obter mais informações sobre a biblioteca usada nesta demonstração para pesquisas de DNS, consulte dnsjava no GitHub.

Usar a demonstração do Python

Pré-requisito

Você deve instalar o Python 3.

Para usar o exemplo do Python

  1. Baixe a demonstração de endpoint de alta disponibilidade AWS Health no GitHub.

  2. Navegue até o diretório de projeto do high-availability-endpoint/python.

  3. Em uma janela de linha de comando, digite o seguinte comando:

    pip3 install virtualenv 
virtualenv -p python3 v-aws-health-env
    nota

    Para Python 3.3 e mais recente, você pode usar o módulo venv integrado para criar um ambiente virtual, em vez de instalar o virtualenv. Para obter mais informações, consulte venv: criação de ambientes virtuais no site da Python.

    python3 -m venv v-aws-health-env

  4. Insira o seguinte comando para ativar o ambiente virtual:

    source v-aws-health-env/bin/activate

  5. Execute o seguinte comando para instalar as dependências.

    pip install -r requirements.txt

  6. Insira os comandos a seguir para especificar as suas credenciais AWS.

    export AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
export AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
export AWS_SESSION_TOKEN="your-aws-token"

  7. Insira o comando a seguir para executar o demo

    python3 main.py
    exemplo : saída do evento de AWS Health

    O exemplo de código retorna o evento de AWS Health recente dos últimos sete dias em sua conta AWS. A saída a seguir retorna um evento de AWS Health para uma notificação de segurança AWS.

    INFO:botocore.credentials:Found credentials in environment variables.
INFO:root:Details: {'arn': 'arn:aws:health:global::event/SECURITY/AWS_SECURITY_NOTIFICATION/AWS_SECURITY_NOTIFICATION_0e35e47e-2247-47c4-a9a5-876544042721', 
'service': 'SECURITY', 'eventTypeCode': 'AWS_SECURITY_NOTIFICATION', 'eventTypeCategory': 'accountNotification', 'region': 'global', 'startTime': datetime.datetime(2020, 8, 19, 23, 30, 42, 476000, 
tzinfo=tzlocal()), 'lastUpdatedTime': datetime.datetime(2020, 8, 20, 20, 44, 9, 547000, tzinfo=tzlocal()), 'statusCode': 'open', 'eventScopeCode': 'PUBLIC'}, description: 
{'latestDescription': 'This is the second notice regarding TLS requirements on FIPS endpoints.\n\nWe
are in the process of updating all AWS Federal Information Processing Standard (FIPS) endpoints across all AWS regions 
to Transport Layer Security (TLS) version 1.2 by March 31, 2021 . In order to avoid an interruption in service, we encourage you to act now, by ensuring that you connect to AWS FIPS endpoints at a TLS version of 1.2. 
If your client applications fail to support TLS 1.2 it will result in connection failures when TLS versions below 1.2 are no longer supported.\n\nBetween now and March 31, 2021 AWS will remove TLS 1.0 and TLS 1.1 support from each FIPS endpoint where no connections below TLS 1.2 are detected over a 30-day period. 
After March 31, 2021 we may deploy this change to all AWS FIPS endpoints, even if there continue
to be customer connections detected at TLS versions below 1.2. \n\nWe will provide additional updates and reminders on the AWS Security Blog, with a ‘TLS’ tag [1]. If you need further guidance or assistance, please contact AWS Support [2] or your Technical Account Manager (TAM). 
Additional information is below.\n\nHow can I identify clients that are connecting with TLS
1.0/1.1?\nFor customers using S3 [3], Cloudfront [4] or Application Load Balancer [5] you can use
your access logs to view the TLS connection information for these services, and identify client
connections that are not at TLS 1.2. If you are using the AWS Developer Tools on your clients, 
you can find information on how to properly configure your client’s TLS versions by visiting Tools to Build on AWS [7] or our associated AWS Security Blog has a link for each unique code language [7].\n\nWhat is Transport Layer Security (TLS)?\nTransport Layer Security (TLS Protocols) are cryptographic protocols designed to provide secure communication across a computer network 
[6].\n\nWhat are AWS FIPS endpoints? \nAll AWS services offer Transport Layer Security (TLS) 1.2 encrypted endpoints that can be used for all API calls. Some AWS services also offer FIPS 140-2 endpoints [9] for customers that require use of FIPS validated cryptographic libraries. \n\n[1] https://aws.amazon.com/blogs/security/tag/tls/\n[2] https://aws.amazon.com/support\n[3] 
https://docs.aws.amazon.com/AmazonS3/latest/dev/LogFormat.html\n[4] https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html\n[5] https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html\n[6] https://aws.amazon.com/tools\n[7] https://aws.amazon.com/blogs/security/tls-1-2-to-become-the-minimum-for-all-aws-fips-endpoints\n[8] 
https://en.wikipedia.org/wiki/Transport_Layer_Security\n[9] https://aws.amazon.com/compliance/fips'}

  8. Ao terminar, insira o comando a seguir para desativar a máquina virtual.

    deactivate

Recursos Python

Assinar solicitações de API do AWS Health

Quando você usa as AWS SDKs ou a AWS Command Line Interface (AWS CLI) para fazer solicitações para AWS, essas ferramentas assinam automaticamente as solicitações para você com a chave de acesso que você especifica ao configurar as ferramentas. Por exemplo, se você usar o AWS SDK for Java para a demonstração anterior do endpoint de alta disponibilidade, não precisará assinar solicitações por si mesmo.

Exemplos de código Java

Para ver mais exemplos de como usar a API AWS Health com o AWS SDK for Java, consulte este código de exemplo.

Ao fazer as suas solicitações, é altamente recomendável que você não use as credenciais da sua conta raiz AWS para o acesso regular ao AWS Health. Você pode usar as credenciais de um usuário do IAM. Para obter mais informações, consulte Bloquear suas chaves de acesso (raiz) da conta da AWS no Manual do usuário do IAM.

Se você não usar os AWS SDKs ou o AWS CLI, então precisará cadastrar as suas solicitações você mesmo. Recomendamos usar a AWS Versão 4 da assinatura. Para obter mais informações, consulte Assinatura de solicitações da API AWS da no Referência geral da AWS.