本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
查詢 AWS 資源目前的組態狀態
| 介紹進階查詢的預覽功能,可讓您使用生成人工智慧 (生成 AI) 功能,以純英文輸入提示, ready-to-use並將其轉換為查詢格式。如需詳細資訊,請參閱進階查詢的自然語言查詢處理器。 |
您可以使用 AWS Config ,根據單一帳戶和區域的組態屬性,或在多個帳戶和區域中查詢 AWS 資源的目前組態狀態。您可以在 AWS Config 支援 AWS 的資源清單中,針對目前的資源狀態中繼資料執行屬性型查詢。如需所支援資源類型清單的詳細資訊,請參閱《進階查詢支援的資源類型
進階查詢提供單一查詢端點和查詢語言,以取得目前的資源狀態中繼資料,而不執行服務特定描述API呼叫。您可以使用組態彙總器,跨多個帳戶和 AWS 區域從中央帳戶執行相同的查詢。
主題
功能
AWS Config 使用結構化查詢語言 SELECT (SQL) 語法的子集,對目前的組態項目 (CI) 資料執行屬性型查詢和彙總。查詢的複雜性範圍從標籤和/或資源識別符的比對,到更複雜的查詢,例如檢視所有已停用版本控制的 Amazon S3 儲存貯體。這可讓您準確查詢所需的目前資源狀態,而不必執行 AWS 服務特定的API呼叫。
它支援 AVG、COUNT、MAX、MIN 和 SUM 等彙總函數。
您可以將進階查詢用於:
-
庫存管理;例如,擷取特定大小的 Amazon EC2執行個體清單。
-
安全性和營運情報 (例如,擷取啟用或停用特定組態屬性的資源清單)。
-
成本最佳化;例如,識別未連接到任何EC2執行個體的 Amazon EBS磁碟區清單。
-
合規資料;例如,擷取所有一致性套件及其合規狀態的清單。
如需有關如何使用 AWS SQL查詢語言的資訊,請參閱什麼是 SQL(結構化查詢語言)?
限制
注意
進階查詢不支援未設定為由組態記錄器記錄的資源查詢。當資源已發現,但未設定為由組態記錄器記錄configurationItemStatus時, 會在 ResourceNotRecorded中 AWS Config 建立組態項目 (CIs)。雖然彙總器會彙總這些 CIs,但進階查詢不支援CIs使用 進行查詢ResourceNotRecorded。請更新您的記錄器設定,以啟用要查詢之資源類型的記錄。
作為 SQL 的子集SELECT,查詢語法具有下列限制:
-
查詢中不支援
ALL、AS、DISTINCT、FROM、HAVING、JOIN和UNION關鍵字。不支援NULL值查詢。 -
不支援查詢第三方資源。使用進階查詢擷取的第三方資源,會將組態欄位設定為
NULL。 -
不支援使用SQL查詢解壓縮巢狀結構 (例如標籤)。
-
CIDR 符號會轉換為 IP 範圍以進行搜尋。這意味著
"="和"BETWEEN"會搜尋包含所提供 IP 的任何範圍,而不是確切的 IP。若要搜尋確切的 IP 範圍,您需要新增其他條件,才能在範圍IPs之外排除。例如,若要搜尋 10.0.0.0/24 並且只搜尋該 IP 區塊,您可以執行下列動作:SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup' AND configuration.ipPermissions.ipRanges BETWEEN '10.0.0.0' AND '10.0.0.255' AND NOT configuration.ipPermissions.ipRanges < '10.0.0.0' AND NOT configuration.ipPermissions.ipRanges > '10.0.0.255'對於 192.168.0.2/32,您可以使用類似的方式進行搜尋:
SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup' AND configuration.ipPermissions.ipRanges = '192.168.0.2' AND NOT configuration.ipPermissions.ipRanges > '192.168.0.2' AND NOT configuration.ipPermissions.ipRanges < '192.168.0.2' -
在物件陣列中查詢多種屬性時,系統會針對所有陣列元素進行比對。例如,對於具有規則 A 和 B 的資源 R,資源符合規則 A,但不符合規則 B。則資源 R 儲存為:
{ configRuleList: [ { configRuleName: 'A', complianceType: 'compliant' }, { configRuleName: 'B', complianceType: 'non_compliant' } ] }R 將通過下列查詢傳回:
SELECT configuration WHERE configuration.configRuleList.complianceType = 'non_compliant' AND configuration.configRuleList.configRuleName = 'A'第一個條件
configuration.configRuleList.complianceType = 'non_compliant'會套用至 R. 中的ALL元素configRuleList,因為 R 具有 complianceType = ‘non_compliant’ 的規則 (規則 B),因此條件會評估為 true。第二個條件configuration.configRuleList.configRuleName會套用至 R. 中的ALL元素configRuleList,因為 R 具有規則 (規則 A),其中 configRuleName = ‘A’,因此條件會評估為 true。由於這兩個條件都為 True,R 將被傳回。 -
SELECT所有欄位速記 (也就是SELECT *) 只會選取 CI 最上層的純量屬性。傳回的純量屬性為accountId、awsRegion、arn、availabilityZone、configurationItemCaptureTime、resourceCreationTime、resourceId、resourceName、resourceType和version。 -
萬用字元限制:
-
只支援對屬性值使用萬用字元,對屬性金鑰不支援 (例如:支援
...WHERE someKey LIKE 'someValue%',但不支援...WHERE 'someKey%' LIKE 'someValue%')。 -
僅支援尾碼萬用字元 (例如:支援
...LIKE 'AWS::EC2::%'和...LIKE 'AWS::EC2::_',但不支援...LIKE '%::EC2::Instance'和...LIKE '_::EC2::Instance')。 -
萬用字元符合項目的長度必須至少為三個字元 (例如,允許
...LIKE 'abc%'和...LIKE 'abc_',但不允許...LIKE 'ab%'和...LIKE 'ab_')。
注意
系統也會將 "
_" (單底線) 視為萬用字元。 -
-
彙總限制:
-
彙總函數只能接受單一引數或屬性。
-
彙總函數無法將其他函數視為引數。
-
具有
ORDER BY子句 (參考彙總函數) 的GROUP BY,可能只包含單一屬性。 -
所有其他彙總
GROUP BY子句可以最多包含三個屬性。 -
除非
ORDER BY子句具有彙總函數,否則所有彙總查詢都支援分頁功能。例如,如果Y是彙總函數,則GROUP BY X, ORDER BY Y沒有作用。 -
彙總不支援
HAVING子句。
-
-
不相符的識別符限制:
不相符的識別符是具有相同拼字,但大小寫不同的屬性。進階查詢不支援處理包含不相符識別符的查詢。例如:
-
兩個屬性具有完全相同的拼字,但具有不同的大小寫 (
configuration.dbclusterIdentifier和configuration.dBClusterIdentifier)。 -
兩個屬性,其中一個屬性是另一個屬性的子集,並且具有不同的大小寫 (
configuration.ipAddress和configuration.ipaddressPermissions)。
-
區域支援
下列區域支援進階查詢:
| 區域名稱 | 區域 | 端點 | 通訊協定 |
|---|---|---|---|
| 美國東部 (俄亥俄) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 美國東部 (維吉尼亞北部) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 美國西部 (加利佛尼亞北部) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 美國西部 (奧勒岡) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 非洲 (開普敦) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 亞太區域 (香港) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 亞太區域 (海德拉巴) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| 亞太區域 (雅加達) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 亞太區域 (馬來西亞) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
| 亞太區域 (墨爾本) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 亞太區域 (孟買) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 亞太區域 (大阪) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 亞太區域 (首爾) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 亞太區域 (新加坡) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 亞太區域 (雪梨) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 亞太區域 (東京) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 加拿大 (中部) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 加拿大西部 (卡加利) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 歐洲 (法蘭克福) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 歐洲 (愛爾蘭) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 歐洲 (倫敦) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 歐洲 (米蘭) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 歐洲 (巴黎) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 歐洲 (西班牙) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 歐洲 (斯德哥爾摩) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 歐洲 (蘇黎世) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| 以色列 (特拉維夫) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 中東 (巴林) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 中東 (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 南美洲 (聖保羅) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國東部) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (美國西部) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
