查询的当前配置状态Amazon资源 - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查询的当前配置状态Amazon资源

您可以使用Amazon Config查询当前配置状态Amazon资源,基于单个账户和区域的配置属性或跨多个账户和区域的配置属性。您可以针对当前Amazon资源状态元数据Amazon Config支持。高级查询功能提供了单一查询终端节点和强大的查询语言以获得当前资源状态元数据,而无需执行特定于服务的描述 API 调用。您可以使用配置聚合器跨多个账户和中央账户运行相同的查询Amazon区域。

Amazon Config 使用结构化查询语言 (SQL) SELECT 语法的一部分来对当前配置项 (CI) 数据执行基于属性的查询和聚合。查询的复杂程度不同,既可以是简单的标签和/或资源标识符匹配,也可以是更复杂的查询,例如查看禁用了版本控制所有 Amazon S3 存储桶。这样,您就可以精确地查询您所需的当前资源状态,而无需执行Amazon特定于服务的 API 调用。

您可以使用高级查询来实现:

  • 清单管理;例如,检索特定大小的 Amazon EC2 实例的列表。

  • 安全和运营智能;例如,检索已启用或禁用特定配置属性的资源的列表。

  • 成本优化;例如,确定未挂载到任何 EC2 实例的 Amazon EBS 卷的列表。

  • 合规性数据;例如,检索所有合规性包及其合规性状态的列表。

Features

查询语言支持查询Amazon资源基于所有Amazon支持的资源类型Amazon Config,包括配置数据、标签和关系。它是 SQL SELECT 命令的一个子集,带有一些限制,如下一节中所述。它支持聚合函数,例如 AVGCOUNTMAXMINSUM

Limitations

作为 SQL SELECT 的一个子集,查询语法有以下限制:

  • 不支持ALLASDISTINCTFROMHAVINGJOIN, 和UNION关键字。NULL值查询不支持。

  • 不支持查询第三方资源。使用高级查询检索的第三方资源将将配置字段设置为NULL

  • 不支持用 SQL 查询解包的嵌套结构(如标签)。

  • 当针对象数组内的多个属性执行查询时,将针对所有数组元素计算匹配项。例如,对于具有规则 A 和 B 的资源 R,资源符合规则 A,但不符合规则 B。资源 R 存储为:

    { configRuleList: [ { configRuleName: 'A', complianceType: 'compliant' }, { configRuleName: 'B', complianceType: 'non_compliant' } ] }

    R 将通过此查询返回:

    SELECT configuration WHERE configuration.configRuleList.complianceType = 'non_compliant' AND configuration.configRuleList.configRuleName = 'A'

    第一个条件configuration.configRuleList.complianceType = 'non_compliant'应用于 R.ConfigruleList 中的所有元素,因为 R 具有符合性类型 = '不兼容' 的规则(规则 B),因此条件将被评估为真。第二个条件configuration.configRuleList.configRuleName应用于 R.ConfigruleList 中的所有元素,因为 R 具有一个规则(规则 A),其名称 = 'A',所以条件被评估为真。由于这两个条件都为真,R 将被返回。

  • 针对所有列的 SELECT 简写形式(也就是 SELECT *)将仅选择 CI 的顶级标量属性。返回的标量属性为 accountIdawsRegionarnavailabilityZoneconfigurationItemCaptureTimeresourceCreationTimeresourceIdresourceNameresourceTypeversion

  • 通配符限制:

    • 通配符仅支持属性值,但不支持属性键(例如支持 ...WHERE someKey LIKE 'someValue%',但不支持 ...WHERE 'someKey%' LIKE 'someValue%')。

    • 仅 Support 后缀通配符(例如,...LIKE 'AWS::EC2::%'...LIKE 'AWS::EC2::_'支持,但...LIKE '%::EC2::Instance'...LIKE '_::EC2::Instance'不支持)。

    • 通配符匹配项的长度必须至少为 3 个字符(例如,...LIKE 'ab%'...LIKE 'ab_'不允许,但...LIKE 'abc%'...LIKE 'abc_'允许)。

    注意

    的”_”(单下划线)也被视为通配符。

  • 聚合限制:

    • 聚合函数仅可接受一个参数或属性。

    • 聚合函数无法采用其他函数作为参数。

    • GROUP BY带有ORDER BY引用聚合函数的子句可能仅包含一个属性。

    • 对于所有其他聚合GROUP BY子句最多可包含三个属性。

    • 所有聚合查询都支持分页,除非ORDER BY子句具有聚合函数。例如,GROUP BY X, ORDER BY Y不起作用,如果Y是一个聚合函数。

    • 不支持聚合中的 HAVING 子句。

区域支持

以下区域支持高级查询:

区域名称 区域 Endpoint 协议
非洲(开普敦)* af-south-1 config.af-south-1.amazonaws.com HTTPS
中东(巴林) me-south-1 config.me-south-1.amazonaws.com HTTPS
亚太地区(香港) ap-east-1 config.ap-east-1.amazonaws.com HTTPS
亚太地区 (孟买) ap-south-1 config.ap-south-1.amazonaws.com HTTPS
亚太地区 (首尔) ap-northeast-2 config.ap-northeast-2.amazonaws.com HTTPS
亚太地区(新加坡) ap-southeast-1 config.ap-southeast-1.amazonaws.com HTTPS
亚太地区(悉尼) ap-southeast-2 config.ap-southeast-2.amazonaws.com HTTPS
亚太区域(东京) ap-northeast-1 config.ap-northeast-1.amazonaws.com HTTPS
Amazon GovCloud(美国东部) us-gov-east-1 config.us-gov-east-1.amazonaws.com HTTPS
Amazon GovCloud(美国西部) us-gov-west-1 config.us-gov-west-1.amazonaws.com HTTPS
加拿大(中部) ca-central-1 config.ca-central-1.amazonaws.com HTTPS
欧洲(法兰克福) eu-central-1 config.eu-central-1.amazonaws.com HTTPS
欧洲(爱尔兰) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
欧洲(伦敦) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
欧洲(米兰)* eu-south-1 config.eu-south-1.amazonaws.com HTTPS
欧洲(巴黎) eu-west-3 config.eu-west-3.amazonaws.com HTTPS
欧洲(斯德哥尔摩) eu-north-1 config.eu-north-1.amazonaws.com HTTPS
南美洲(圣保罗) sa-east-1 config.sa-east-1.amazonaws.com HTTPS
美国东部(弗吉尼亚北部) us-east-1 config.us-east-1.amazonaws.com HTTPS
美国东部 (俄亥俄) us-east-2 config.us-east-2.amazonaws.com HTTPS
美国西部(加利福尼亚北部) us-west-1 config.us-west-1.amazonaws.com HTTPS
美国西部(俄勒冈) us-west-2 config.us-west-2.amazonaws.com HTTPS

* 保存的查询不适用于非洲(开普敦)和欧洲(米兰)区域。

* 针对多账户多区域的高级查询不适用于非洲(开普敦)和欧洲(米兰)区域。