翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の現在の設定状態のクエリ AWS リソース
| 生成人工知能 (生成 AI) 機能を使用してプロンプトをプレーン英語で入力し、クエリ形式に変換できる高度な ready-to-use クエリのプレビュー機能を紹介します。詳細については、「Natural language query processor for advanced queries」を参照してください。 |
以下を使用できます..。 AWS Config の現在の設定状態をクエリするには AWS リソースは、単一のアカウントとリージョン、または複数のアカウントとリージョンにわたる設定プロパティに基づいています。現在の に対してプロパティベースのクエリを実行できます。 AWS リソースのリスト全体のリソース状態メタデータ AWS Config は をサポートしています。サポートされているリソースタイプのリストの詳細については、「Supported Resource Types for Advanced Queries
アドバンストクエリは、サービス固有の describe API呼び出しを実行せずに、現在のリソース状態メタデータを取得するための単一のクエリエンドポイントとクエリ言語を提供します。設定アグリゲータを使用して、複数のアカウントおよび にわたる中央アカウントから同じクエリを実行できます。 AWS リージョン。
トピック
機能
AWS Config は、構造化クエリ言語 (SQL) SELECT構文のサブセットを使用して、現在の設定項目 (CI) データに対してプロパティベースのクエリと集計を実行します。クエリは、タグやリソース識別子との一致から、バージョニングが無効になっているすべての Amazon S3 バケットの表示など、より複雑なクエリまで、複雑さが増します。これにより、 を実行することなく、必要な現在のリソース状態を正確にクエリできます。 AWS サービス固有のAPI呼び出し。
また、集計関数 (例: AVG、COUNT、MAX、MIN、SUM) をサポートしています。
以下の場合は、高度なクエリを使用することができます。
-
インベントリ管理。例えば、特定のサイズの Amazon EC2インスタンスのリストを取得する場合などです。
-
セキュリティとオペレーションのインテリジェンス (例: 特定の設定プロパティーが有効または無効になっているリソースのリストの取得)。
-
コストの最適化。例えば、EC2インスタンスにアタッチされていない Amazon EBSボリュームのリストを識別します。
-
コンプライアンスデータ (例: すべてのコンフォーマンスパックとそのコンプライアンスステータスのリストの取得)。
の使用方法については、「」を参照してください。 AWS SQL クエリ言語、「What is SQL (Structured Query Language)?
制限事項
注記
アドバンストクエリは、設定レコーダーによって記録されるように設定されていないリソースのクエリをサポートしていません。 AWS Config は、リソースが検出されたが、設定レコーダーによって記録されるように設定されていない場合configurationItemStatus、 ResourceNotRecordedに を使用して設定項目 (CIs) を作成します。アグリゲータはこれらの を集約しますがCIs、アドバンストクエリは CIsを使用したクエリをサポートしていませんResourceNotRecorded。レコーダー設定を更新して、クエリするリソースタイプを記録できるようにしてください。
のサブセットとしてSQLSELECT、クエリ構文には次の制限があります。
-
ALL、AS、DISTINCT、FROM、HAVING、JOIN、およびUNIONなどのクエリのキーワードはサポートされていません。NULL値のクエリはサポートされていません。 -
サードパーティーリソースに対するクエリはサポートされていません。高度なクエリを使用して取得したサードパーティーリソースでは、設定フィールドが
NULLに設定されます。 -
ネストされた構造 (タグなど) をSQLクエリで解凍することはできません。
-
CIDR 表記は、検索のために IP 範囲に変換されます。これは、
"="と"BETWEEN"が厳密な IP 範囲ではなく、提供された IP が含まれるすべての範囲を検索することを意味します。正確な IP 範囲を検索するには、IPsその範囲外を除外する条件を追加する必要があります。例えば、10.0.0.0/24 とその IP ブロックのみを検索するには、以下を実行できます。SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup' AND configuration.ipPermissions.ipRanges BETWEEN '10.0.0.0' AND '10.0.0.255' AND NOT configuration.ipPermissions.ipRanges < '10.0.0.0' AND NOT configuration.ipPermissions.ipRanges > '10.0.0.255'192.168.0.2/32 についても、同様の方法で検索できます。
SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup' AND configuration.ipPermissions.ipRanges = '192.168.0.2' AND NOT configuration.ipPermissions.ipRanges > '192.168.0.2' AND NOT configuration.ipPermissions.ipRanges < '192.168.0.2' -
オブジェクトの配列内の複数のプロパティに対してクエリを実行すると、すべての配列要素に対する一致が計算されます。例えば、ルール A と B を持つリソース R の場合、リソースはルール A に準拠していますが、ルール B には準拠していません。リソース R は次のように保存されます。
{ configRuleList: [ { configRuleName: 'A', complianceType: 'compliant' }, { configRuleName: 'B', complianceType: 'non_compliant' } ] }R は、このクエリによって返されます。
SELECT configuration WHERE configuration.configRuleList.complianceType = 'non_compliant' AND configuration.configRuleList.configRuleName = 'A'最初の条件
configuration.configRuleList.complianceType = 'non_compliant'は R のALL要素に適用されます。R には complianceType =「non_compliant」のルール (ルール B) configRuleListがあるため、条件は true として評価されます。2 番目の条件configuration.configRuleList.configRuleNameは R のALL要素に適用されます。R には =「A」の configRuleNameルール (ルール A) configRuleListがあるため、条件は true として評価されます。両方の条件が true であるため、R が返されます。 -
すべての
SELECT列の省略表現 (つまりSELECT *) では、CI の最上位のスカラープロパティのみ選択されます。スカラープロパティは、accountId、awsRegion、arn、availabilityZone、configurationItemCaptureTime、resourceCreationTime、resourceId、resourceName、resourceType、versionが返ります。 -
ワイルドカードの制限:
-
ワイルドカードは、プロパティ値でのみサポートされており、プロパティキーではサポートされていません (例:
...WHERE someKey LIKE 'someValue%'はサポートされますが、...WHERE 'someKey%' LIKE 'someValue%'はサポートされません)。 -
サフィックスのワイルドカードのみをサポートします (例:
...LIKE 'AWS::EC2::%'と...LIKE 'AWS::EC2::_'はサポートされますが、...LIKE '%::EC2::Instance'と...LIKE '_::EC2::Instance'はサポートされません)。 -
ワイルドカードの一致は、3 文字以上でなければなりません (例:
...LIKE 'ab%'と...LIKE 'ab_'は許可されていませんが、...LIKE 'abc%'と...LIKE 'abc_'は許可されています)。
注記
「
_」(単一のアンダースコア) もワイルドカードとして扱われます。 -
-
集約の制限:
-
集計関数は、単一の引数またはプロパティのみ受け入れることができます。
-
集計関数では、その他の関数を引数として取ることはできません。
-
GROUP BYは集約関数を参照するORDER BY句と組み合わせて、単一プロパティのみ含めることができます。 -
その他のすべての集約
GROUP BY句には 3 つまでのプロパティを含めることができます。 -
ページ割りは、
ORDER BY句に集計関数がある場合を除き、すべての集約クエリでサポートされています。例えば、Yが集計関数の場合、GROUP BY X, ORDER BY Yは機能しません。 -
集約では、
HAVING句はサポートされていません。
-
-
不一致の識別子に関する制限事項:
不一致の識別子とは、スペルは同じで、アルファベットの大文字と小文字が異なるプロパティのことです。詳細クエリは、不一致の識別子を含むクエリの処理をサポートしていません。例:
-
スペルがまったく同じで、アルファベットの大文字と小文字が異なる 2 つのプロパティ (
configuration.dbclusterIdentifierおよびconfiguration.dBClusterIdentifier)。 -
一方のプロパティがもう一方のプロパティのサブセットで、アルファベットの大文字と小文字が異なる 2 つのプロパティ (
configuration.ipAddressおよびconfiguration.ipaddressPermissions)。
-
リージョンのサポート
高度なクエリは、次のリージョンでサポートされています。
| リージョン名 | リージョン | エンドポイント | プロトコル |
|---|---|---|---|
| 米国東部 (オハイオ) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 米国東部 (バージニア北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 米国西部 (北カリフォルニア) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 米国西部 (オレゴン) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| アフリカ (ケープタウン) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| アジアパシフィック (ハイデラバード) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (メルボルン) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| アジアパシフィック (ムンバイ) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| アジアパシフィック (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| アジアパシフィック (ソウル) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (シンガポール) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| アジアパシフィック (シドニー) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| アジアパシフィック (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| カナダ (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| カナダ西部 (カルガリー) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 欧州 (フランクフルト) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 欧州 (アイルランド) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 欧州 (ロンドン) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| ヨーロッパ (ミラノ) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 欧州 (パリ) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 欧州 (スペイン) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 欧州 (ストックホルム) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 欧州 (チューリッヒ) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| イスラエル (テルアビブ) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中東 (バーレーン) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中東 (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南米 (サンパウロ) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (米国西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
