Abfragen des aktuellen Konfigurationsstatus von AWS -Ressourcen - AWS Config
FeaturesEinschränkungenUnterstützung von Regionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Abfragen des aktuellen Konfigurationsstatus von AWS -Ressourcen

Einführung einer Vorschaufunktion für erweiterte Abfragen, mit der Sie mithilfe von Funktionen generativer künstlicher Intelligenz (generative KI) Eingabeaufforderungen in einfachem Englisch eingeben und in ein ready-to-use Abfrageformat konvertieren können. Weitere Informationen finden Sie unter Abfrageprozessor in natürlicher Sprache für erweiterte Abfragen.

Sie können AWS Config damit den aktuellen Konfigurationsstatus von AWS Ressourcen auf der Grundlage von Konfigurationseigenschaften für ein einzelnes Konto und eine Region oder für mehrere Konten und Regionen abfragen. Sie können eigenschaftsbasierte Abfragen anhand der Metadaten zum aktuellen AWS Ressourcenstatus in einer Liste unterstützter Ressourcen durchführen. AWS Config Weitere Informationen zu unterstützten Ressourcentypen finden Sie in der Liste der unterstützten Ressourcentypen für erweiterte Abfragen.

Advanced Queries bietet einen einzigen Abfrageendpunkt und eine Abfragesprache, um Metadaten zum aktuellen Ressourcenstatus abzurufen, ohne dienstspezifische Describe-Aufrufe ausführen zu müssen. API Sie können Konfigurationsaggregatoren verwenden, um dieselben Abfragen von einem zentralen Konto aus über mehrere Konten und AWS Regionen hinweg auszuführen.

Themen

Features

AWS Config verwendet eine Teilmenge der SELECT Syntax der strukturierten Abfragesprache (SQL), um eigenschaftsbasierte Abfragen und Aggregationen für die aktuellen Configuration Item (CI) -Daten durchzuführen. Die Komplexität der Abfragen reicht von Übereinstimmungen mit Tag- und/oder Ressourcen-IDs bis hin zu komplexeren Abfragen, z. B. der Anzeige aller Amazon S3 S3-Buckets, für die die Versionierung deaktiviert ist. Auf diese Weise können Sie genau den aktuellen Ressourcenstatus abfragen, den Sie benötigen, ohne dienstspezifische Aufrufe durchführen AWS zu müssen. API

Aggregationsfunktionen wie AVG, COUNT, MAX, MIN und SUM werden unterstützt.

Sie können erweiterte Abfragen für Folgendes verwenden:

  • Inventarverwaltung; zum Beispiel, um eine Liste von EC2 Amazon-Instances einer bestimmten Größe abzurufen.

  • Sicherheits- und Betriebsinformationen, um beispielsweise eine Liste mit Ressourcen abzufragen, bei denen eine bestimmte Konfigurationseigenschaft aktiviert bzw. deaktiviert ist.

  • Kostenoptimierung, z. B. um eine Liste von EBS Amazon-Volumes zu identifizieren, die keiner EC2 Instance zugeordnet sind.

  • Compliance-Daten, z. B. um eine Liste all Ihrer Conformance Packs und deren Compliance-Status abzurufen.

Informationen zur Verwendung der AWS SQL Abfragesprache finden Sie unter Was ist SQL (Strukturierte Abfragesprache)? .

Einschränkungen

Anmerkung

Advanced Query unterstützt nicht das Abfragen von Ressourcen, die nicht für die Aufzeichnung durch den Konfigurationsrekorder konfiguriert wurden. AWS Config erstellt Konfigurationselemente (CIs) mitResourceNotRecorded, configurationItemStatus wenn eine Ressource erkannt wurde, aber nicht für die Aufzeichnung durch den Konfigurationsrekorder konfiguriert ist. Ein Aggregator aggregiert diese DatenCIs, eine erweiterte Abfrage unterstützt jedoch keine Abfragen CIs mit. ResourceNotRecorded Aktualisieren Sie Ihre Recorder-Einstellungen, um die Aufzeichnung der Ressourcentypen zu ermöglichen, die Sie abfragen möchten.

Als Teilmenge von SQL SELECT hat die Abfragesyntax folgende Einschränkungen:

  • Keine Unterstützung für die Schlüsselwörter ALL, AS, DISTINCT, FROM, HAVING, JOIN und UNION in einer Abfrage. Abfragen von NULL-Werten werden nicht unterstützt.

  • Keine Unterstützung für Abfragen von Ressourcen von Drittanbietern. Bei Ressourcen von Drittanbietern, die mit erweiterten Abfragen abgerufen wurden, ist das Konfigurationsfeld auf NULL festgelegt.

  • Verschachtelte Strukturen (wie Tags), die mit Abfragen entpackt werden, werden nicht unterstützt. SQL

  • CIDRDie Notation wird für die Suche in IP-Bereiche umgewandelt. Das bedeutet, dass mit "=" und "BETWEEN" nach allen Bereichen gesucht wird, die die angegebene IP enthalten, nicht nach einem bestimmten Bereich. Um nach einem exakten IP-Bereich zu suchen, müssen Sie zusätzliche Bedingungen für den Ausschluss IPs außerhalb des Bereichs hinzufügen. Um beispielsweise nach 10.0.0.0/24 und nur nach diesem IP-Block zu suchen, können Sie Folgendes verwenden:

    SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup'
  AND configuration.ipPermissions.ipRanges BETWEEN '10.0.0.0'
  AND '10.0.0.255'
  AND NOT configuration.ipPermissions.ipRanges < '10.0.0.0'
  AND NOT configuration.ipPermissions.ipRanges > '10.0.0.255'

    Nach 192.168.0.2/32 können Sie auf ähnliche Weise suchen:

    SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup'
  AND configuration.ipPermissions.ipRanges = '192.168.0.2'
  AND NOT configuration.ipPermissions.ipRanges > '192.168.0.2'
  AND NOT configuration.ipPermissions.ipRanges < '192.168.0.2'

  • Bei der Abfrage nach mehreren Eigenschaften innerhalb eines Arrays von Objekten werden Übereinstimmungen mit allen Array-Elementen berechnet. Für eine Ressource R mit den Regeln A und B ist die Ressource beispielsweise konform mit Regel A, aber nicht konform mit Regel B. Die Ressource R wird wie folgt gespeichert: 

    { 
    configRuleList: [ 
        {
            configRuleName: 'A', complianceType: 'compliant'
        }, 
        {   
            configRuleName: 'B', complianceType: 'non_compliant'
        } 
    ]
}

    R wird von dieser Abfrage zurückgegeben:

    SELECT configuration WHERE configuration.configRuleList.complianceType = 'non_compliant' 
AND configuration.configRuleList.configRuleName = 'A'

    Die erste Bedingung configuration.configRuleList.complianceType = 'non_compliant' wird auf ALL Elemente in R configRuleList angewendet. Da R eine Regel (Regel B) mit complianceType = 'non_compliant' hat, wird die Bedingung als wahr bewertet. Die zweite Bedingung configuration.configRuleList.configRuleName wird auf ALL Elemente in R angewendetconfigRuleList, da R eine Regel (Regel A) mit configRuleName = 'A' hat, die Bedingung wird als wahr bewertet. Da beide Bedingungen „true“ sind, wird R zurückgegeben.

  • Die Kurznotation „SELECT alle Spalten“ (d. h. SELECT *) wählt ausschließlich die obersten, skalaren Eigenschaften eines CI aus. Die zurückgegebenen skalaren Eigenschaften lauten accountId, awsRegion, arn, availabilityZone, configurationItemCaptureTime, resourceCreationTime, resourceId, resourceName, resourceType und version.

  • Platzhalterbeschränkungen:

    • Platzhalter werden nur für Eigenschaftswerte und nicht für Eigenschaftsschlüssel unterstützt (z. B. wird ...WHERE someKey LIKE 'someValue%' unterstützt, ...WHERE 'someKey%' LIKE 'someValue%' jedoch nicht).

    • Unterstützt werden nur Suffixplatzhalter (z. B. werden ...LIKE 'AWS::EC2::%' und ...LIKE 'AWS::EC2::_' unterstützt, ...LIKE '%::EC2::Instance' und ...LIKE '_::EC2::Instance' jedoch nicht).

    • Platzhalterübereinstimmungen müssen aus mindestens drei Zeichen bestehen (z. B. sind ...LIKE 'ab%' und ...LIKE 'ab_' nicht zulässig, aber ...LIKE 'abc%' und ...LIKE 'abc_' sind zulässig).

    Anmerkung

    _“ (einzelner Unterstrich) wird ebenfalls als Platzhalter behandelt.

  • Aggregationsbeschränkungen:

    • Aggregationsfunktionen akzeptieren ausschließlich ein einziges Argument oder eine einzige Eingenschaft.

    • Aggregatfunktionen nehmen keine anderen Funktionen als Argumente an.

    • GROUP BY mit einer ORDER BY-Klausel, die auf Aggregatfunktionen verweist, darf nur eine einzige Eigenschaft enthalten.

    • Für alle anderen Aggregationen können GROUP BY-Klauseln bis zu drei Eigenschaften enthalten.

    • Die Paginierung wird für alle Aggregatabfragen unterstützt, es sei denn, die ORDER BY-Klausel hat eine Aggregatfunktion. GROUP BY X, ORDER BY Y funktioniert z. B. nicht, wenn Y eine Aggregatfunktion ist.

    • Keine Unterstützung für HAVING-Klauseln in Aggregationen.

  • Einschränkungen bei nicht übereinstimmenden Bezeichnern:

    Nicht übereinstimmende Bezeichner sind Eigenschaften, die dieselbe Schreibweise, aber unterschiedliche Groß- und Kleinschreibung aufweisen. Die erweiterte Abfrage unterstützt nicht die Verarbeitung von Abfragen, die nicht übereinstimmende Bezeichner enthalten. Beispielsweise:

    • Zwei Eigenschaften mit exakt derselben Schreibweise, aber mit unterschiedlicher Groß- und Kleinschreibung (configuration.dbclusterIdentifier und configuration.dBClusterIdentifier).

    • Zwei Eigenschaften, bei denen eine Eigenschaft eine Teilmenge der anderen ist und die Groß- und Kleinschreibung (configuration.ipAddress und configuration.ipaddressPermissions) unterschiedlich ist.

Unterstützung von Regionen

Erweiterte Abfragen werden in den folgenden Regionen unterstützt:

Name der Region Region Endpunkt Protocol (Protokoll)
USA Ost (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
USA Ost (Nord-Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
USA West (Nordkalifornien) us-west-1 config.us-west-1.amazonaws.com HTTPS
USA West (Oregon) us-west-2 config.us-west-2.amazonaws.com HTTPS
Afrika (Kapstadt) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asien-Pazifik (Hongkong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asien-Pazifik (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asien-Pazifik (Jakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asien-Pazifik (Malaysia) ap-southeast-5 config.ap-southeast-5.amazonaws.com HTTPS
Asien-Pazifik (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asien-Pazifik (Mumbai) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asien-Pazifik (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asien-Pazifik (Seoul) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asien-Pazifik (Singapur) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asien-Pazifik (Sydney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asien-Pazifik (Tokio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Kanada (Zentral) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Kanada West (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Frankfurt) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irland) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (London) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Mailand) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (Paris) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (Spanien) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Stockholm) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zürich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Naher Osten (Bahrain) me-south-1 config.me-south-1.amazonaws.com HTTPS
Naher Osten (UAE) me-central-1 config.me-central-1.amazonaws.com HTTPS
Südamerika (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (US-Ost) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (US-West) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS