Consulta del estado de la configuración actual de AWS los recursos con AWS Config - AWS Config
CaracterísticasLimitacionesRango CIDR notation/IP Varias propiedades dentro de una matrizCompatibilidad de la región

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consulta del estado de la configuración actual de AWS los recursos con AWS Config

Presentamos una función de vista previa para consultas avanzadas que permite utilizar las capacidades de inteligencia artificial generativa (IA generativa) para introducir solicitudes en un lenguaje sencillo y convertirlas en un formato de consulta. ready-to-use Para obtener más información, consulte Procesador de consultas en lenguaje natural para consultas avanzadas.

Puede utilizarla AWS Config para consultar el estado de configuración actual de AWS los recursos en función de las propiedades de configuración de una sola cuenta y región o de varias cuentas y regiones. Puede realizar consultas basadas en propiedades en función de los metadatos del estado actual de los AWS recursos en una lista de recursos compatibles AWS Config . Para obtener más información sobre la lista de tipos de recursos compatibles, consulte Tipos de recursos compatibles para consultas avanzadas.

La característica Consultas avanzadas proporciona un único punto de conexión de consultas, así como un lenguaje de consultas, para obtener los metadatos del estado actual de los recursos, sin necesidad de realizar llamadas a la API “describe” específicas de los servicios. Puede usar agregadores de configuración para ejecutar las mismas consultas desde una cuenta central en varias cuentas y regiones. AWS

Temas

Características

AWS Config utiliza un subconjunto de la SELECT sintaxis del lenguaje de consultas estructurado (SQL) para realizar consultas y agregaciones basadas en propiedades en los datos del elemento de configuración (CI) actual. Las consultas varían en complejidad, desde coincidencias con identificadores de and/or recursos de etiquetas hasta consultas más complejas, como la visualización de todos los buckets de Amazon S3 que tienen deshabilitado el control de versiones. Esto le permite consultar exactamente el estado actual de los recursos que necesita sin realizar llamadas a la API específicas del AWS servicio.

Admite funciones de agregación como, por ejemplo, AVG, COUNT, MAX, MIN y SUM.

Puede utilizar las consultas avanzadas para tareas de:

  • Gestión de inventario; por ejemplo, para recuperar una lista de EC2 instancias de Amazon de un tamaño determinado.

  • Seguridad e inteligencia operativa; por ejemplo, para recuperar una lista de los recursos que tienen una propiedad de configuración específica habilitada o deshabilitada.

  • Optimización de costos; por ejemplo, para identificar una lista de volúmenes de Amazon EBS que no están adjuntos a ninguna EC2 instancia.

  • Datos de conformidad; por ejemplo, para recuperar una lista de todos los paquetes de conformidad y su estado de conformidad.

Para obtener información sobre cómo utilizar el lenguaje de consultas AWS SQL, consulte ¿Qué es SQL (lenguaje de consulta estructurado)? .

Limitaciones

nota

La consulta avanzada no admite la consulta de recursos que no se hayan configurado para que los grabe el grabador de configuración. AWS Config crea elementos de configuración (CIs) configurationItemStatus cuando se descubre un recurso pero no está configurado para que el grabador de configuración lo grabe. ResourceNotRecorded Si bien un agregador los agregará CIs, la consulta avanzada no admite consultas CIs con. ResourceNotRecorded Actualice la configuración del grabador para permitir el registro de los tipos de recursos que desee consultar.

Dado que es un subconjunto del comando SELECT de SQL, la sintaxis de consultas tiene las siguientes limitaciones:

  • No se admiten las palabras clave ALL, AS, DISTINCT, FROM, HAVING, JOIN ni UNION en una consulta. No se admiten consultas con valores NULL.

  • No se admiten CASE declaraciones complejas para crear un campo de prioridad directamente en la consulta.

  • No se admite la consulta de recursos de terceros. Los recursos de terceros recuperados mediante consultas avanzadas tendrán el campo de configuración establecido como NULL.

  • No se admite la posibilidad de desempaquetar estructuras anidadas (como etiquetas) con consultas SQL.

  • No se admite la consulta de recursos eliminados. Para descubrir los recursos eliminados, consulte Buscar recursos descubiertos por AWS Config.

  • La sintaxis abreviada del comando SELECT para todas las columnas (es decir SELECT *) selecciona únicamente las propiedades escalares de nivel superior de un CI. Las propiedades escalares devueltas son accountId, awsRegion, arn, availabilityZone, configurationItemCaptureTime, resourceCreationTime, resourceId, resourceName, resourceType y version.

  • Limitaciones de los caracteres comodín:

    • Los caracteres comodín solo se admiten para los valores de las propiedades, no para las claves de las propiedades (por ejemplo, se admite ...WHERE someKey LIKE 'someValue%', pero no ...WHERE 'someKey%' LIKE 'someValue%').

    • Solo se admiten los caracteres comodín como sufijo (por ejemplo, se admiten ...LIKE 'AWS::EC2::%' y ...LIKE 'AWS::EC2::_', pero no ...LIKE '%::EC2::Instance' y ...LIKE '_::EC2::Instance').

    • Las coincidencias con caracteres comodín deben ser de tres caracteres como mínimo (por ejemplo, ...LIKE 'ab%' y ...LIKE 'ab_' no se permiten pero ...LIKE 'abc%' y ...LIKE 'abc_' sí).

    nota

    El "_" (subrayado único) también se considera un comodín.

  • Límites de las agregaciones:

    • Las funciones de agregación únicamente pueden aceptar un solo argumento o propiedad.

    • Las funciones de agregación no pueden tomar otras funciones como argumentos.

    • GROUP BY con una cláusula ORDER BY que haga referencia a funciones de agregación puede contener solamente una propiedad única.

    • Para todas las demás agregaciones, las cláusulas GROUP BY pueden contener hasta tres propiedades.

    • La paginación es compatible con todas las consultas agregadas, excepto cuando la cláusula ORDER BY tiene una función de agregación. Por ejemplo, GROUP BY X, ORDER BY Y no funciona si Y es una función de agregación.

    • No se admiten las cláusulas HAVING en las agregaciones.

  • Limitaciones de los identificadores no coincidentes:

    Los identificadores no coincidentes son propiedades que tienen la misma ortografía pero distintas mayúsculas y minúsculas. La consulta avanzada no admite el procesamiento de consultas que contengan identificadores no coincidentes. Por ejemplo:

    • Dos propiedades que tienen exactamente la misma ortografía pero con mayúsculas y minúsculas diferentes (configuration.dbclusterIdentifier y configuration.dBClusterIdentifier).

    • Dos propiedades en las que una es un subconjunto de la otra y tienen mayúsculas diferentes (configuration.ipAddress y configuration.ipaddressPermissions).

Comportamiento del notation/IP rango CIDR para consultas avanzadas

La notación CIDR se convierte en rangos de IP para la búsqueda.

Esto significa que "=" y "BETWEEN" buscan cualquier rango que incluya la IP proporcionada, en lugar de buscar uno exacto.

Para buscar un rango de IP exacto, debe agregar condiciones adicionales para excluir IPs fuera del rango.

ejemplo Buscando el bloque CIDR exacto 10.0.0.0/24
SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup'
  AND configuration.ipPermissions.ipRanges BETWEEN '10.0.0.0'
  AND '10.0.0.255'
  AND NOT configuration.ipPermissions.ipRanges < '10.0.0.0'
  AND NOT configuration.ipPermissions.ipRanges > '10.0.0.255'
ejemplo Buscando la dirección IP exacta 192.168.0.2/32
SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup'
  AND configuration.ipPermissions.ipRanges = '192.168.0.2'
  AND NOT configuration.ipPermissions.ipRanges > '192.168.0.2'
  AND NOT configuration.ipPermissions.ipRanges < '192.168.0.2'

Comportamiento de varias propiedades dentro de una matriz para consultas avanzadas

Al consultar varias propiedades de una matriz de objetos, las coincidencias se calculan con todos los elementos de la matriz.

Por ejemplo, para un recurso R con las reglas A y B, el recurso cumple con la regla A pero no cumple con la regla B. El recurso R se almacena como:

{ 
    configRuleList: [ 
        {
            configRuleName: 'A', complianceType: 'compliant'
        }, 
        {   
            configRuleName: 'B', complianceType: 'non_compliant'
        } 
    ]
}

R será devuelto por esta consulta:

SELECT configuration WHERE configuration.configRuleList.complianceType = 'non_compliant' 
AND configuration.configRuleList.configRuleName = 'A'

La primera condición configuration.configRuleList.complianceType = 'non_compliant' se aplica a TODOS los elementos de R.configRuleList, dado que R tiene una regla (regla B) con ComplianceType = 'non_compliant', la condición se evalúa como verdadera.

La segunda condición configuration.configRuleList.configRuleName se aplica a TODOS los elementos de R.configRuleList, dado que R tiene una regla (regla A) con configRuleName = 'A', la condición se evalúa como verdadera. Como ambas condiciones son ciertas, se devolverá R.

Compatibilidad de la región

Las consultas avanzadas se admiten en las siguientes regiones:

Nombre de la región Región Punto de conexión Protocolo
Este de EE. UU. (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
Este de EE. UU. (Norte de Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
Oeste de EE. UU. (Norte de California) us-west-1 config.us-west-1.amazonaws.com HTTPS
Oeste de EE. UU. (Oregón) us-west-2 config.us-west-2.amazonaws.com HTTPS
África (Ciudad del Cabo) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asia-Pacífico (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asia-Pacífico (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asia-Pacífico (Yakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asia-Pacífico (Malasia) ap-southeast-5 config.ap-southeast-5.amazonaws.com HTTPS
Asia-Pacífico (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia-Pacífico (Bombay) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asia-Pacífico (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asia-Pacífico (Seúl) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asia-Pacífico (Singapur) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia-Pacífico (Sídney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia-Pacífico (Taipéi) ap-east-2 config.ap-east-2.amazonaws.com HTTPS
Asia-Pacífico (Tailandia) ap-southeast-7 config.ap-southeast-7.amazonaws.com HTTPS
Asia-Pacífico (Tokio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canadá (centro) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Oeste de Canadá (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Fráncfort) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irlanda) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Milán) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (París) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (España) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Estocolmo) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zúrich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
México (central) mx-central-1 config.mx-central-1.amazonaws.com HTTPS
Medio Oriente (Baréin) me-south-1 config.me-south-1.amazonaws.com HTTPS
Medio Oriente (EAU) me-central-1 config.me-central-1.amazonaws.com HTTPS
América del Sur (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (Este de EE. UU.) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (EE. UU.-Oeste) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS