Menanyakan Status Konfigurasi AWS Sumber Daya Saat Ini dengan AWS Config - AWS Config
FiturBatasanKisaran CIDR notation/IP Beberapa properti dalam arraySupport Wilayah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menanyakan Status Konfigurasi AWS Sumber Daya Saat Ini dengan AWS Config

Memperkenalkan fitur pratinjau untuk kueri lanjutan yang memungkinkan Anda menggunakan kemampuan kecerdasan buatan generatif (AI generatif) untuk memasukkan petunjuk dalam bahasa Inggris biasa dan mengubahnya menjadi format kueri. ready-to-use Untuk informasi selengkapnya, lihat Pemroses kueri bahasa alami untuk kueri lanjutan.

Anda dapat menggunakan AWS Config untuk menanyakan status konfigurasi sumber AWS daya saat ini berdasarkan properti konfigurasi untuk satu akun dan Wilayah atau di beberapa akun dan Wilayah. Anda dapat melakukan kueri berbasis properti terhadap metadata status AWS sumber daya saat ini di seluruh daftar sumber daya yang mendukung. AWS Config Untuk informasi selengkapnya tentang daftar jenis sumber daya yang didukung, lihat Jenis Sumber Daya yang Didukung untuk Kueri Lanjutan.

Kueri lanjutan menyediakan satu titik akhir kueri dan bahasa kueri untuk mendapatkan metadata status sumber daya saat ini tanpa melakukan panggilan API deskripsi khusus layanan. Anda dapat menggunakan agregator konfigurasi untuk menjalankan kueri yang sama dari akun pusat di beberapa akun dan Wilayah. AWS

Topik

Fitur

AWS Config menggunakan subset SELECT sintaks bahasa kueri terstruktur (SQL) untuk melakukan kueri dan agregasi berbasis properti pada data item konfigurasi (CI) saat ini. Kueri berkisar dalam kompleksitas dari kecocokan terhadap pengidentifikasi and/or sumber daya tag, hingga kueri yang lebih kompleks, seperti melihat semua bucket Amazon S3 yang menonaktifkan versi. Ini memungkinkan Anda untuk menanyakan dengan tepat status sumber daya saat ini yang Anda butuhkan tanpa melakukan AWS panggilan API khusus layanan.

Ini mendukung fungsi agregasi sepertiAVG,,COUNT, MAXMIN, danSUM.

Anda dapat menggunakan kueri lanjutan untuk:

  • Manajemen inventaris; misalnya, untuk mengambil daftar EC2 instans Amazon dengan ukuran tertentu.

  • Keamanan dan intelijen operasional; misalnya, untuk mengambil daftar sumber daya yang memiliki properti konfigurasi tertentu diaktifkan atau dinonaktifkan.

  • Optimalisasi biaya; misalnya, untuk mengidentifikasi daftar volume Amazon EBS yang tidak dilampirkan ke EC2 instance apa pun.

  • Data kepatuhan; misalnya, untuk mengambil daftar semua paket kesesuaian Anda dan status kepatuhannya.

Untuk informasi tentang cara menggunakan AWS SQL Query Language, lihat Apa itu SQL (Structured Query Language)? .

Batasan

catatan

Kueri lanjutan tidak mendukung sumber daya kueri yang belum dikonfigurasi untuk direkam oleh perekam konfigurasi. AWS Config membuat Item Konfigurasi (CIs) dengan ResourceNotRecorded configurationItemStatus ketika sumber daya telah ditemukan tetapi tidak dikonfigurasi untuk direkam oleh perekam konfigurasi. Sementara agregator akan menggabungkan ini CIs, kueri lanjutan tidak mendukung kueri dengan. CIs ResourceNotRecorded Perbarui pengaturan perekam Anda untuk mengaktifkan perekaman jenis sumber daya yang ingin Anda kueri.

Sebagai bagian dari SQLSELECT, sintaks kueri memiliki batasan berikut:

  • Tidak ada dukungan untukALL,AS,DISTINCT,FROM,HAVING,JOIN, dan UNION kata kunci dalam kueri. NULLkueri nilai tidak didukung.

  • Tidak ada dukungan untuk CASE pernyataan kompleks untuk membuat bidang prioritas langsung dalam kueri.

  • Tidak ada dukungan untuk kueri pada sumber daya pihak ketiga. Sumber daya pihak ketiga yang diambil menggunakan kueri lanjutan akan memiliki bidang konfigurasi yang ditetapkan sebagai. NULL

  • Tidak ada dukungan untuk struktur bersarang (seperti tag) untuk dibongkar dengan kueri SQL.

  • Tidak ada dukungan untuk menanyakan sumber daya yang dihapus. Untuk menemukan sumber daya yang dihapus, lihat Mencari Sumber Daya yang Ditemukan oleh AWS Config.

  • Singkatan SELECT semua kolom (yaituSELECT *) hanya memilih properti skalar tingkat atas dari CI. Sifat skalar yang dikembalikan adalah accountIdawsRegion,,arn,availabilityZone,configurationItemCaptureTime,resourceCreationTime,resourceId, resourceNameresourceType, danversion.

  • Batasan wildcard:

    • Wildcard hanya didukung untuk nilai properti dan bukan untuk kunci properti (misalnya, ...WHERE someKey LIKE 'someValue%' didukung tetapi tidak ...WHERE 'someKey%' LIKE 'someValue%' didukung).

    • Support hanya untuk wildcard akhiran (misalnya, ...LIKE 'AWS::EC2::%' dan ...LIKE 'AWS::EC2::_' didukung tetapi ...LIKE '%::EC2::Instance' dan tidak ...LIKE '_::EC2::Instance' didukung).

    • Pencocokan wildcard harus memiliki panjang minimal tiga karakter (misalnya, ...LIKE 'ab%' dan tidak ...LIKE 'ab_' diperbolehkan tetapi ...LIKE 'abc%' diizinkan). ...LIKE 'abc_'

    catatan

    _" (garis bawah tunggal) juga diperlakukan sebagai wildcard.

  • Batasan agregasi:

    • Fungsi agregat hanya dapat menerima satu argumen atau properti.

    • Fungsi agregat tidak dapat mengambil fungsi lain sebagai argumen.

    • GROUP BYdengan ORDER BY klausa referensi fungsi agregat mungkin hanya berisi satu properti.

    • Untuk semua GROUP BY klausa agregasi lainnya mungkin berisi hingga tiga properti.

    • Pagination didukung untuk semua kueri agregat kecuali ketika ORDER BY klausa memiliki fungsi agregat. Misalnya, GROUP BY X, ORDER BY Y tidak berfungsi jika Y merupakan fungsi agregat.

    • Tidak ada dukungan untuk HAVING klausa dalam agregasi.

  • Batasan pengenal yang tidak cocok:

    Pengidentifikasi yang tidak cocok adalah properti yang memiliki ejaan yang sama tetapi kasus yang berbeda (huruf besar dan kecil). Kueri lanjutan tidak mendukung kueri pemrosesan yang berisi pengidentifikasi yang tidak cocok. Misalnya:

    • Dua properti yang memiliki ejaan yang sama persis tetapi dengan casing yang berbeda (configuration.dbclusterIdentifierdanconfiguration.dBClusterIdentifier).

    • Dua properti di mana satu properti adalah bagian dari yang lain, dan mereka memiliki casing yang berbeda (configuration.ipAddressdanconfiguration.ipaddressPermissions).

Perilaku notation/IP rentang CIDR untuk kueri lanjutan

Notasi CIDR dikonversi ke rentang IP untuk pencarian.

Ini berarti bahwa "=" dan "BETWEEN" mencari rentang apa pun yang mencakup IP yang disediakan, bukan yang tepat.

Untuk mencari rentang IP yang tepat, Anda perlu menambahkan kondisi tambahan untuk mengecualikan IPs di luar jangkauan.

contoh Mencari blok CIDR yang tepat 10.0.0.0/24
SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup'
  AND configuration.ipPermissions.ipRanges BETWEEN '10.0.0.0'
  AND '10.0.0.255'
  AND NOT configuration.ipPermissions.ipRanges < '10.0.0.0'
  AND NOT configuration.ipPermissions.ipRanges > '10.0.0.255'
contoh Mencari alamat IP yang tepat 192.168.0.2/32
SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup'
  AND configuration.ipPermissions.ipRanges = '192.168.0.2'
  AND NOT configuration.ipPermissions.ipRanges > '192.168.0.2'
  AND NOT configuration.ipPermissions.ipRanges < '192.168.0.2'

Beberapa properti dalam perilaku array untuk kueri lanjutan

Saat melakukan kueri terhadap beberapa properti dalam array objek, kecocokan dihitung terhadap semua elemen array.

Misalnya, untuk sumber daya R dengan aturan A dan B, sumber daya sesuai dengan aturan A tetapi tidak sesuai dengan aturan B. Sumber daya R disimpan sebagai:

{ 
    configRuleList: [ 
        {
            configRuleName: 'A', complianceType: 'compliant'
        }, 
        {   
            configRuleName: 'B', complianceType: 'non_compliant'
        } 
    ]
}

R akan dikembalikan oleh kueri ini:

SELECT configuration WHERE configuration.configRuleList.complianceType = 'non_compliant' 
AND configuration.configRuleList.configRuleName = 'A'

Kondisi pertama configuration.configRuleList.complianceType = 'non_compliant' diterapkan ke SEMUA elemen di R.configRuleList, karena R memiliki aturan (aturan B) dengan complianceType = 'non_compliant', kondisi dievaluasi sebagai true.

Kondisi kedua configuration.configRuleList.configRuleName diterapkan pada SEMUA elemen di R.configRuleList, karena R memiliki aturan (aturan A) dengan configRuleName = 'A', kondisi dievaluasi sebagai benar. Karena kedua kondisi tersebut benar, R akan dikembalikan.

Support Wilayah

Kueri lanjutan didukung di Wilayah berikut:

Nama Wilayah Wilayah Titik Akhir Protokol
AS Timur (Ohio) us–east-2 config.us-east-2.amazonaws.com HTTPS
AS Timur (Virginia Utara) us-east-1 config.us-east-1.amazonaws.com HTTPS
AS Barat (California Utara) us-west-1 config.us-west-1.amazonaws.com HTTPS
AS Barat (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS
Afrika (Cape Town) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asia Pasifik (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asia Pasifik (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asia Pasifik (Jakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asia Pasifik (Malaysia) ap-southeast-5 config.ap-southeast-5.amazonaws.com HTTPS
Asia Pasifik (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia Pasifik (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asia Pasifik (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asia Pasifik (Seoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asia Pasifik (Singapura) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia Pasifik (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia Pasifik (Taipei) ap-timur-2 config.ap-east-2.amazonaws.com HTTPS
Asia Pasifik (Thailand) ap-tenggara 7 config.ap-southeast-7.amazonaws.com HTTPS
Asia Pacific (Tokyo) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Kanada (Pusat) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Kanada Barat (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Eropa (Frankfurt) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Eropa (Irlandia) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Eropa (London) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Eropa (Milan) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Eropa (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Eropa (Spanyol) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Eropa (Stockholm) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Eropa (Zürich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Meksiko (Tengah) mx-pusat-1 config.mx-central-1.amazonaws.com HTTPS
Timur Tengah (Bahrain) me-south-1 config.me-south-1.amazonaws.com HTTPS
Timur Tengah (UAE) me-central-1 config.me-central-1.amazonaws.com HTTPS
Amerika Selatan (Sao Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (AS-Timur) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (AS-Barat) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS