翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用したリソースの AWS 現在の設定状態のクエリ AWS Config
| 高度なクエリのプレビュー機能を導入すると、生成人工知能 (生成 AI) 機能を使用して平易な英語でプロンプトを入力し、すぐに使用できるクエリ形式に変換できます。詳細については、「Natural language query processor for advanced queries」を参照してください。 |
を使用して AWS Config 、1 つのアカウントとリージョン、または複数のアカウントとリージョンの設定プロパティに基づいて、 AWS リソースの現在の設定状態をクエリできます。が AWS Config サポートする AWS リソースのリスト全体で、現在のリソース状態メタデータに対してプロパティベースのクエリを実行できます。サポートされているリソースタイプのリストの詳細については、「Supported Resource Types for Advanced Queries
高度なクエリ機能では、単一のクエリエンドポイントとクエリ言語を使用して、現在のリソース状態のメタデータを取得できます。サービス固有の記述用 API コールを実行する必要はありません。設定アグリゲータを使用して、複数のアカウントと AWS リージョンにわたって中央アカウントから同じクエリを実行できます。
トピック
特徴
AWS Config は、構造化クエリ言語 (SQL) SELECT構文のサブセットを使用して、現在の設定項目 (CI) データに対してプロパティベースのクエリと集計を実行します。このクエリは、タグやリソース識別子との一致から、バージョニングが無効になっているすべての Amazon S3 バケットの表示など、複雑性の高いクエリまで多岐にわたります。これにより、 AWS サービス固有の API コールを実行せずに、必要な現在のリソース状態を正確にクエリできます。
また、集計関数 (例: AVG、COUNT、MAX、MIN、SUM) をサポートしています。
以下の場合は、高度なクエリを使用することができます。
-
インベントリ管理 (例: 特定のサイズの Amazon EC2 インスタンスのリストの取得)。
-
セキュリティとオペレーションのインテリジェンス (例: 特定の設定プロパティーが有効または無効になっているリソースのリストの取得)。
-
コスト最適化 (例: どの EC2 インスタンスにもアタッチされていない Amazon EBS ボリュームのリストの識別)。
-
コンプライアンスデータ (例: すべてのコンフォーマンスパックとそのコンプライアンスステータスのリストの取得)。
AWS SQL クエリ言語の使用方法については、「SQL (構造化クエリ言語) とは
制限
注記
アドバンストクエリは、設定レコーダーによって記録されるように設定されていないリソースのクエリをサポートしていません。リソースが検出されたが、設定レコーダーによって記録されるように設定されていない場合configurationItemStatus、 ResourceNotRecordedで を使用して設定項目 (CIs) AWS Config を作成します。アグリゲーターはこれらの CI を集約しますが、高度なクエリでは ResourceNotRecorded での CI のクエリをサポートしていません。レコーダー設定を更新して、クエリするリソースタイプを記録できるようにしてください。
SQL SELECT のサブセットとして、クエリ構文には次の制限があります。
-
ALL、AS、DISTINCT、FROM、HAVING、JOIN、およびUNIONなどのクエリのキーワードはサポートされていません。NULL値のクエリはサポートされていません。 -
クエリで優先度フィールドを直接作成するための複雑な
CASEステートメントはサポートされていません。 -
サードパーティーリソースに対するクエリはサポートされていません。高度なクエリを使用して取得したサードパーティーリソースでは、設定フィールドが
NULLに設定されます。 -
SQL クエリで展開されるネスト構造 (タグなど) はサポートされていません。
-
削除されたリソースのクエリはサポートされていません。削除されたリソースを検出するには、「検出されたリソースの検索 AWS Config」を参照してください。
-
すべての
SELECT列の省略表現 (つまりSELECT *) では、CI の最上位のスカラープロパティのみ選択されます。スカラープロパティは、accountId、awsRegion、arn、availabilityZone、configurationItemCaptureTime、resourceCreationTime、resourceId、resourceName、resourceType、versionが返ります。 -
ワイルドカードの制限:
-
ワイルドカードは、プロパティ値でのみサポートされており、プロパティキーではサポートされていません (例:
...WHERE someKey LIKE 'someValue%'はサポートされますが、...WHERE 'someKey%' LIKE 'someValue%'はサポートされません)。 -
サフィックスのワイルドカードのみをサポートします (例:
...LIKE 'AWS::EC2::%'と...LIKE 'AWS::EC2::_'はサポートされますが、...LIKE '%::EC2::Instance'と...LIKE '_::EC2::Instance'はサポートされません)。 -
ワイルドカードの一致は、3 文字以上でなければなりません (例:
...LIKE 'ab%'と...LIKE 'ab_'は許可されていませんが、...LIKE 'abc%'と...LIKE 'abc_'は許可されています)。
注記
「
_」(単一のアンダースコア) もワイルドカードとして扱われます。 -
-
集約の制限:
-
集計関数は、単一の引数またはプロパティのみ受け入れることができます。
-
集計関数では、その他の関数を引数として取ることはできません。
-
GROUP BYは集約関数を参照するORDER BY句と組み合わせて、単一プロパティのみ含めることができます。 -
その他のすべての集約
GROUP BY句には 3 つまでのプロパティを含めることができます。 -
ページ割りは、
ORDER BY句に集計関数がある場合を除き、すべての集約クエリでサポートされています。例えば、Yが集計関数の場合、GROUP BY X, ORDER BY Yは機能しません。 -
集約では、
HAVING句はサポートされていません。
-
-
不一致の識別子に関する制限事項:
不一致の識別子とは、スペルは同じで、アルファベットの大文字と小文字が異なるプロパティのことです。詳細クエリは、不一致の識別子を含むクエリの処理をサポートしていません。例:
-
スペルがまったく同じで、アルファベットの大文字と小文字が異なる 2 つのプロパティ (
configuration.dbclusterIdentifierおよびconfiguration.dBClusterIdentifier)。 -
一方のプロパティがもう一方のプロパティのサブセットで、アルファベットの大文字と小文字が異なる 2 つのプロパティ (
configuration.ipAddressおよびconfiguration.ipaddressPermissions)。
-
高度なクエリの CIDR 表記/IP 範囲の動作
CIDR 表記は、検索用の IP 範囲に変換されます。
これは、"=" と "BETWEEN" が厳密な IP 範囲ではなく、提供された IP が含まれるすべての範囲を検索することを意味します。
厳密な IP 範囲を検索するには、範囲外の IP を除外するための条件を追加する必要があります。
例 正確な CIDR ブロック 10.0.0.0/24 の検索
SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup' AND configuration.ipPermissions.ipRanges BETWEEN '10.0.0.0' AND '10.0.0.255' AND NOT configuration.ipPermissions.ipRanges < '10.0.0.0' AND NOT configuration.ipPermissions.ipRanges > '10.0.0.255'
例 正確な IP アドレス 192.168.0.2/32 の検索
SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup' AND configuration.ipPermissions.ipRanges = '192.168.0.2' AND NOT configuration.ipPermissions.ipRanges > '192.168.0.2' AND NOT configuration.ipPermissions.ipRanges < '192.168.0.2'
高度なクエリの配列動作内の複数のプロパティ
オブジェクトの配列内の複数のプロパティに対してクエリを実行する場合、一致はすべての配列要素に対して計算されます。
例えば、ルール A と B を持つリソース R の場合、リソースはルール A に準拠していますが、ルール B には準拠していません。リソース R は次のように保存されます。
{ configRuleList: [ { configRuleName: 'A', complianceType: 'compliant' }, { configRuleName: 'B', complianceType: 'non_compliant' } ] }
R は、このクエリによって返されます。
SELECT configuration WHERE configuration.configRuleList.complianceType = 'non_compliant' AND configuration.configRuleList.configRuleName = 'A'
最初の条件configuration.configRuleList.complianceType = 'non_compliant'は R.configRuleList のすべての要素に適用されます。R には complianceType = 'non_compliant' のルール (ルール B) があるため、条件は true と評価されます。
2 番目の条件configuration.configRuleList.configRuleNameは R.configRuleList のすべての要素に適用されます。R には configRuleName = 'A' のルール (ルール A) があるため、条件は true と評価されます。両方の条件が true であるため、R が返されます。
リージョンのサポート
高度なクエリは、次のリージョンでサポートされています。
| リージョン名 | リージョン | エンドポイント | プロトコル |
|---|---|---|---|
| 米国東部 (オハイオ) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 米国東部 (バージニア北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 米国西部 (北カリフォルニア) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 米国西部 (オレゴン) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| アフリカ (ケープタウン) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| アジアパシフィック (ハイデラバード) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (マレーシア) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
| アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (ニュージーランド) | ap-southeast-6 | config.ap-southeast-6.amazonaws.com | HTTPS |
| アジアパシフィック (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (台北) | ap-east-2 | config.ap-east-2.amazonaws.com | HTTPS |
| アジアパシフィック (タイ) | ap-southeast-7 | config.ap-southeast-7.amazonaws.com | HTTPS |
| アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| カナダ西部 (カルガリー) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| ヨーロッパ (ミラノ) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧州 (スペイン) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧州 (チューリッヒ) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| イスラエル (テルアビブ) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| メキシコ (中部) | mx-central-1 | config.mx-central-1.amazonaws.com | HTTPS |
| 中東 (バーレーン) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中東 (アラブ首長国連邦) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
