Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Consulta del estado de la configuración actual de AWS los recursos con AWS Config
Presentamos una función de vista previa para consultas avanzadas que permite utilizar las capacidades de inteligencia artificial generativa (IA generativa) para introducir solicitudes en un lenguaje sencillo y convertirlas en un formato de consulta. ready-to-use Para obtener más información, consulte Procesador de consultas en lenguaje natural para consultas avanzadas. |
Puede utilizarla AWS Config para consultar el estado de configuración actual de AWS los recursos en función de las propiedades de configuración de una sola cuenta y región o de varias cuentas y regiones. Puede realizar consultas basadas en propiedades en función de los metadatos del estado actual de los AWS recursos en una lista de recursos compatibles AWS Config . Para obtener más información sobre la lista de tipos de recursos compatibles, consulte Tipos de recursos compatibles para consultas avanzadas
La característica Consultas avanzadas proporciona un único punto de conexión de consultas, así como un lenguaje de consultas, para obtener los metadatos del estado actual de los recursos, sin necesidad de realizar llamadas a la API “describe” específicas de los servicios. Puede usar agregadores de configuración para ejecutar las mismas consultas desde una cuenta central en varias cuentas y regiones. AWS
Temas
Características
AWS Config utiliza un subconjunto de la SELECT
sintaxis del lenguaje de consultas estructurado (SQL) para realizar consultas y agregaciones basadas en propiedades en los datos del elemento de configuración (CI) actual. Las consultas varían en complejidad, desde coincidencias con identificadores de and/or recursos de etiquetas hasta consultas más complejas, como la visualización de todos los buckets de Amazon S3 que tienen deshabilitado el control de versiones. Esto le permite consultar exactamente el estado actual de los recursos que necesita sin realizar llamadas a la API específicas del AWS servicio.
Admite funciones de agregación como, por ejemplo, AVG
, COUNT
, MAX
, MIN
y SUM
.
Puede utilizar las consultas avanzadas para tareas de:
-
Gestión de inventario; por ejemplo, para recuperar una lista de EC2 instancias de Amazon de un tamaño determinado.
-
Seguridad e inteligencia operativa; por ejemplo, para recuperar una lista de los recursos que tienen una propiedad de configuración específica habilitada o deshabilitada.
-
Optimización de costos; por ejemplo, para identificar una lista de volúmenes de Amazon EBS que no están adjuntos a ninguna EC2 instancia.
-
Datos de conformidad; por ejemplo, para recuperar una lista de todos los paquetes de conformidad y su estado de conformidad.
Para obtener información sobre cómo utilizar el lenguaje de consultas AWS SQL, consulte ¿Qué es SQL (lenguaje de consulta estructurado)?
Limitaciones
nota
La consulta avanzada no admite la consulta de recursos que no se hayan configurado para que los grabe el grabador de configuración. AWS Config crea elementos de configuración (CIs) configurationItemStatus
cuando se descubre un recurso pero no está configurado para que el grabador de configuración lo grabe. ResourceNotRecorded
Si bien un agregador los agregará CIs, la consulta avanzada no admite consultas CIs con. ResourceNotRecorded
Actualice la configuración del grabador para permitir el registro de los tipos de recursos que desee consultar.
Dado que es un subconjunto del comando SELECT
de SQL, la sintaxis de consultas tiene las siguientes limitaciones:
-
No se admiten las palabras clave
ALL
,AS
,DISTINCT
,FROM
,HAVING
,JOIN
niUNION
en una consulta. No se admiten consultas con valoresNULL
. -
No se admiten
CASE
declaraciones complejas para crear un campo de prioridad directamente en la consulta. -
No se admite la consulta de recursos de terceros. Los recursos de terceros recuperados mediante consultas avanzadas tendrán el campo de configuración establecido como
NULL
. -
No se admite la posibilidad de desempaquetar estructuras anidadas (como etiquetas) con consultas SQL.
-
No se admite la consulta de recursos eliminados. Para descubrir los recursos eliminados, consulte Buscar recursos descubiertos por AWS Config.
-
La sintaxis abreviada del comando
SELECT
para todas las columnas (es decirSELECT *
) selecciona únicamente las propiedades escalares de nivel superior de un CI. Las propiedades escalares devueltas sonaccountId
,awsRegion
,arn
,availabilityZone
,configurationItemCaptureTime
,resourceCreationTime
,resourceId
,resourceName
,resourceType
yversion
. -
Limitaciones de los caracteres comodín:
-
Los caracteres comodín solo se admiten para los valores de las propiedades, no para las claves de las propiedades (por ejemplo, se admite
...WHERE someKey LIKE 'someValue%'
, pero no...WHERE 'someKey%' LIKE 'someValue%'
). -
Solo se admiten los caracteres comodín como sufijo (por ejemplo, se admiten
...LIKE 'AWS::EC2::%'
y...LIKE 'AWS::EC2::_'
, pero no...LIKE '%::EC2::Instance'
y...LIKE '_::EC2::Instance'
). -
Las coincidencias con caracteres comodín deben ser de tres caracteres como mínimo (por ejemplo,
...LIKE 'ab%'
y...LIKE 'ab_'
no se permiten pero...LIKE 'abc%'
y...LIKE 'abc_'
sí).
nota
El "
_
" (subrayado único) también se considera un comodín. -
-
Límites de las agregaciones:
-
Las funciones de agregación únicamente pueden aceptar un solo argumento o propiedad.
-
Las funciones de agregación no pueden tomar otras funciones como argumentos.
-
GROUP BY
con una cláusulaORDER BY
que haga referencia a funciones de agregación puede contener solamente una propiedad única. -
Para todas las demás agregaciones, las cláusulas
GROUP BY
pueden contener hasta tres propiedades. -
La paginación es compatible con todas las consultas agregadas, excepto cuando la cláusula
ORDER BY
tiene una función de agregación. Por ejemplo,GROUP BY X, ORDER BY Y
no funciona siY
es una función de agregación. -
No se admiten las cláusulas
HAVING
en las agregaciones.
-
-
Limitaciones de los identificadores no coincidentes:
Los identificadores no coincidentes son propiedades que tienen la misma ortografía pero distintas mayúsculas y minúsculas. La consulta avanzada no admite el procesamiento de consultas que contengan identificadores no coincidentes. Por ejemplo:
-
Dos propiedades que tienen exactamente la misma ortografía pero con mayúsculas y minúsculas diferentes (
configuration.dbclusterIdentifier
yconfiguration.dBClusterIdentifier
). -
Dos propiedades en las que una es un subconjunto de la otra y tienen mayúsculas diferentes (
configuration.ipAddress
yconfiguration.ipaddressPermissions
).
-
Comportamiento del notation/IP rango CIDR para consultas avanzadas
La notación CIDR se convierte en rangos de IP para la búsqueda.
Esto significa que "="
y "BETWEEN"
buscan cualquier rango que incluya la IP proporcionada, en lugar de buscar uno exacto.
Para buscar un rango de IP exacto, debe agregar condiciones adicionales para excluir IPs fuera del rango.
ejemplo Buscando el bloque CIDR exacto 10.0.0.0/24
SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup' AND configuration.ipPermissions.ipRanges BETWEEN '10.0.0.0' AND '10.0.0.255' AND NOT configuration.ipPermissions.ipRanges < '10.0.0.0' AND NOT configuration.ipPermissions.ipRanges > '10.0.0.255'
ejemplo Buscando la dirección IP exacta 192.168.0.2/32
SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup' AND configuration.ipPermissions.ipRanges = '192.168.0.2' AND NOT configuration.ipPermissions.ipRanges > '192.168.0.2' AND NOT configuration.ipPermissions.ipRanges < '192.168.0.2'
Comportamiento de varias propiedades dentro de una matriz para consultas avanzadas
Al consultar varias propiedades de una matriz de objetos, las coincidencias se calculan con todos los elementos de la matriz.
Por ejemplo, para un recurso R con las reglas A y B, el recurso cumple con la regla A pero no cumple con la regla B. El recurso R se almacena como:
{ configRuleList: [ { configRuleName: 'A', complianceType: 'compliant' }, { configRuleName: 'B', complianceType: 'non_compliant' } ] }
R será devuelto por esta consulta:
SELECT configuration WHERE configuration.configRuleList.complianceType = 'non_compliant' AND configuration.configRuleList.configRuleName = 'A'
La primera condición configuration.configRuleList.complianceType =
'non_compliant'
se aplica a TODOS los elementos de R.configRuleList, dado que R tiene una regla (regla B) con ComplianceType = 'non_compliant', la condición se evalúa como verdadera.
La segunda condición configuration.configRuleList.configRuleName
se aplica a TODOS los elementos de R.configRuleList, dado que R tiene una regla (regla A) con configRuleName = 'A', la condición se evalúa como verdadera. Como ambas condiciones son ciertas, se devolverá R.
Compatibilidad de la región
Las consultas avanzadas se admiten en las siguientes regiones:
Nombre de la región | Región | Punto de conexión | Protocolo |
---|---|---|---|
Este de EE. UU. (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
Este de EE. UU. (Norte de Virginia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
Oeste de EE. UU. (Norte de California) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
Oeste de EE. UU. (Oregón) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
África (Ciudad del Cabo) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
Asia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
Asia-Pacífico (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
Asia-Pacífico (Yakarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
Asia-Pacífico (Malasia) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
Asia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
Asia-Pacífico (Bombay) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
Asia-Pacífico (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
Asia-Pacífico (Seúl) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
Asia-Pacífico (Singapur) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
Asia-Pacífico (Sídney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
Asia-Pacífico (Taipéi) | ap-east-2 | config.ap-east-2.amazonaws.com | HTTPS |
Asia-Pacífico (Tailandia) | ap-southeast-7 | config.ap-southeast-7.amazonaws.com | HTTPS |
Asia-Pacífico (Tokio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
Canadá (centro) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
Oeste de Canadá (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
Europa (Fráncfort) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
Europa (Milán) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
Europa (París) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
Europa (España) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
Europa (Zúrich) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
México (central) | mx-central-1 | config.mx-central-1.amazonaws.com | HTTPS |
Medio Oriente (Baréin) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
Medio Oriente (EAU) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
América del Sur (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
AWS GovCloud (EE. UU.-Oeste) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |