Consulta del estado de la configuración actual de AWS los recursos con AWS Config - AWS Config
CaracterísticasLimitacionesCompatibilidad de la región

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consulta del estado de la configuración actual de AWS los recursos con AWS Config

Presentamos una función de vista previa para consultas avanzadas que permite utilizar las funciones de inteligencia artificial generativa (IA generativa) para introducir solicitudes en un lenguaje sencillo y convertirlas en un ready-to-use formato de consulta. Para obtener más información, consulte Procesador de consultas en lenguaje natural para consultas avanzadas.

Puede utilizarla AWS Config para consultar el estado de configuración actual de AWS los recursos en función de las propiedades de configuración de una sola cuenta y región o de varias cuentas y regiones. Puede realizar consultas basadas en propiedades en función de los metadatos del estado actual de los AWS recursos en una lista de recursos compatibles AWS Config . Para obtener más información sobre la lista de tipos de recursos compatibles, consulte Tipos de recursos compatibles para consultas avanzadas.

Las consultas avanzadas proporcionan un único punto final de consulta y un lenguaje de consulta para obtener los metadatos del estado actual de los recursos sin realizar llamadas de descripción específicas del servicio. API Puede usar agregadores de configuración para ejecutar las mismas consultas desde una cuenta central en varias cuentas y regiones. AWS

Temas

Características

AWS Config utiliza un subconjunto de la SELECT sintaxis del lenguaje de consultas estructurado (SQL) para realizar consultas y agregaciones basadas en propiedades en los datos del elemento de configuración (CI) actual. Las consultas varían en complejidad, desde la simple coincidencia con las etiquetas o los identificadores de recursos hasta consultas más complejas, como ver todos los buckets de Amazon S3 que tengan desactivado el control de versiones. Esto le permite consultar exactamente el estado actual del recurso que necesita sin realizar llamadas específicas del servicio. AWS API

Admite funciones de agregación como, por ejemplo, AVG, COUNT, MAX, MIN y SUM.

Puede utilizar las consultas avanzadas para tareas de:

  • Gestión de inventario; por ejemplo, para recuperar una lista de EC2 instancias de Amazon de un tamaño determinado.

  • Seguridad e inteligencia operativa; por ejemplo, para recuperar una lista de los recursos que tienen una propiedad de configuración específica habilitada o deshabilitada.

  • Optimización de costes; por ejemplo, para identificar una lista de EBS volúmenes de Amazon que no están adjuntos a ninguna EC2 instancia.

  • Datos de conformidad; por ejemplo, para recuperar una lista de todos los paquetes de conformidad y su estado de conformidad.

Para obtener información sobre cómo utilizar el lenguaje de AWS SQL consultas, consulte ¿Qué es SQL (lenguaje de consulta estructurado)? .

Limitaciones

nota

La consulta avanzada no admite la consulta de recursos que no se hayan configurado para ser registrados por el grabador de configuración. AWS Config crea elementos de configuración (CIs) configurationItemStatus cuando se descubre un recurso pero no está configurado para que el grabador de configuración lo grabe. ResourceNotRecorded Si bien un agregador los agregaráCIs, la consulta avanzada no admite consultas CIs con. ResourceNotRecorded Actualice la configuración del grabador para permitir el registro de los tipos de recursos que desee consultar.

Como subconjunto de SQLSELECT, la sintaxis de la consulta tiene las siguientes limitaciones:

  • No se admiten las palabras clave ALL, AS, DISTINCT, FROM, HAVING, JOIN ni UNION en una consulta. No se admiten consultas con valores NULL.

  • No se admite la consulta de recursos de terceros. Los recursos de terceros recuperados mediante consultas avanzadas tendrán el campo de configuración establecido como NULL.

  • No se admite la posibilidad de desempaquetar estructuras anidadas (como etiquetas) con las consultas. SQL

  • CIDRLa notación se convierte en rangos de IP para la búsqueda. Esto significa que "=" y "BETWEEN" buscan cualquier rango que incluya la IP proporcionada, en lugar de buscar uno exacto. Para buscar un rango de IP exacto, debe agregar condiciones adicionales para excluir IPs fuera del rango. Por ejemplo, para buscar 10.0.0.0/24 y solo ese bloque de IP, puede hacer lo siguiente:

    SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup'
  AND configuration.ipPermissions.ipRanges BETWEEN '10.0.0.0'
  AND '10.0.0.255'
  AND NOT configuration.ipPermissions.ipRanges < '10.0.0.0'
  AND NOT configuration.ipPermissions.ipRanges > '10.0.0.255'

    Para 192.168.0.2/32, puede buscar de forma similar:

    SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup'
  AND configuration.ipPermissions.ipRanges = '192.168.0.2'
  AND NOT configuration.ipPermissions.ipRanges > '192.168.0.2'
  AND NOT configuration.ipPermissions.ipRanges < '192.168.0.2'

  • Al realizar la consulta de varias propiedades dentro de una matriz de objetos, las coincidencias se calculan para todos los elementos de la matriz. Por ejemplo, para un recurso R con las reglas A y B, el recurso cumple con la regla A pero no cumple con la regla B. El recurso R se almacena como: 

    { 
    configRuleList: [ 
        {
            configRuleName: 'A', complianceType: 'compliant'
        }, 
        {   
            configRuleName: 'B', complianceType: 'non_compliant'
        } 
    ]
}

    R será devuelto por esta consulta:

    SELECT configuration WHERE configuration.configRuleList.complianceType = 'non_compliant' 
AND configuration.configRuleList.configRuleName = 'A'

    La primera condición configuration.configRuleList.complianceType = 'non_compliant' se aplica a ALL los elementos de R.configRuleList, dado que R tiene una regla (regla B) con complianceType = 'non_compliant', la condición se evalúa como verdadera. La segunda condición configuration.configRuleList.configRuleName se aplica a ALL los elementos de R.configRuleList, dado que R tiene una regla (regla A) con configRuleName = 'A', la condición se evalúa como verdadera. Como ambas condiciones son ciertas, se devolverá R.

  • La sintaxis abreviada del comando SELECT para todas las columnas (es decir SELECT *) selecciona únicamente las propiedades escalares de nivel superior de un CI. Las propiedades escalares devueltas son accountId, awsRegion, arn, availabilityZone, configurationItemCaptureTime, resourceCreationTime, resourceId, resourceName, resourceType y version.

  • Limitaciones de los caracteres comodín:

    • Los caracteres comodín solo se admiten para los valores de las propiedades, no para las claves de las propiedades (por ejemplo, se admite ...WHERE someKey LIKE 'someValue%', pero no ...WHERE 'someKey%' LIKE 'someValue%').

    • Solo se admiten los caracteres comodín como sufijo (por ejemplo, se admiten ...LIKE 'AWS::EC2::%' y ...LIKE 'AWS::EC2::_', pero no ...LIKE '%::EC2::Instance' y ...LIKE '_::EC2::Instance').

    • Las coincidencias con caracteres comodín deben ser de tres caracteres como mínimo (por ejemplo, ...LIKE 'ab%' y ...LIKE 'ab_' no se permiten pero ...LIKE 'abc%' y ...LIKE 'abc_' sí).

    nota

    El "_" (subrayado único) también se considera un comodín.

  • Límites de las agregaciones:

    • Las funciones de agregación únicamente pueden aceptar un solo argumento o propiedad.

    • Las funciones de agregación no pueden tomar otras funciones como argumentos.

    • GROUP BY con una cláusula ORDER BY que haga referencia a funciones de agregación puede contener solamente una propiedad única.

    • Para todas las demás agregaciones, las cláusulas GROUP BY pueden contener hasta tres propiedades.

    • La paginación es compatible con todas las consultas agregadas, excepto cuando la cláusula ORDER BY tiene una función de agregación. Por ejemplo, GROUP BY X, ORDER BY Y no funciona si Y es una función de agregación.

    • No se admiten las cláusulas HAVING en las agregaciones.

  • Limitaciones de los identificadores no coincidentes:

    Los identificadores no coincidentes son propiedades que tienen la misma ortografía pero distintas mayúsculas y minúsculas. La consulta avanzada no admite el procesamiento de consultas que contengan identificadores no coincidentes. Por ejemplo:

    • Dos propiedades que tienen exactamente la misma ortografía pero con mayúsculas y minúsculas diferentes (configuration.dbclusterIdentifier y configuration.dBClusterIdentifier).

    • Dos propiedades en las que una es un subconjunto de la otra y tienen mayúsculas diferentes (configuration.ipAddress y configuration.ipaddressPermissions).

Compatibilidad de la región

Las consultas avanzadas se admiten en las siguientes regiones:

Nombre de la región Región Punto de conexión Protocolo
Este de EE. UU. (Ohio) us-east-2 config.us-east-2.amazonaws.com HTTPS
Este de EE. UU. (Norte de Virginia) us-east-1 config.us-east-1.amazonaws.com HTTPS
Oeste de EE. UU. (Norte de California) us-west-1 config.us-west-1.amazonaws.com HTTPS
Oeste de EE. UU. (Oregón) us-west-2 config.us-west-2.amazonaws.com HTTPS
África (Ciudad del Cabo) af-south-1 config.af-south-1.amazonaws.com HTTPS
Asia-Pacífico (Hong Kong) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
Asia-Pacífico (Hyderabad) ap-south-2 config.ap-south-2.amazonaws.com HTTPS
Asia-Pacífico (Yakarta) ap-southeast-3 config.ap-southeast-3.amazonaws.com HTTPS
Asia-Pacífico (Malasia) ap-southeast-5 config.ap-southeast-5.amazonaws.com HTTPS
Asia-Pacífico (Melbourne) ap-southeast-4 config.ap-southeast-4.amazonaws.com HTTPS
Asia-Pacífico (Bombay) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
Asia-Pacífico (Osaka) ap-northeast-3 config.ap-northeast-3.amazonaws.com HTTPS
Asia-Pacífico (Seúl) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
Asia-Pacífico (Singapur) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
Asia-Pacífico (Sídney) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
Asia-Pacífico (Tokio) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Canadá (centro) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
Oeste de Canadá (Calgary) ca-west-1 config.ca-west-1.amazonaws.com HTTPS
Europa (Fráncfort) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
Europa (Irlanda) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
Europa (Londres) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
Europa (Milán) eu-south-1 config.eu-south-1.amazonaws.com HTTPS
Europa (París) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
Europa (España) eu-south-2 config.eu-south-2.amazonaws.com HTTPS
Europa (Estocolmo) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
Europa (Zúrich) eu-central-2 config.eu-central-2.amazonaws.com HTTPS
Israel (Tel Aviv) il-central-1 config.il-central-1.amazonaws.com HTTPS
Medio Oriente (Baréin) me-south-1 config.me-south-1.amazonaws.com HTTPS
Oriente Medio (UAE) me-central-1 config.me-central-1.amazonaws.com HTTPS
América del Sur (São Paulo) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
AWS GovCloud (EEUU-Este) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
AWS GovCloud (Estados Unidos-Oeste) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS