ASFF 属性 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

ASFF 属性

下面列出了 ASFF 的属性和对象。对于对象,要查看对象属性和子字段的详细信息,请选择对象名称。

必需属性

以下属性对所有结果都是必需的。

AwsAccountId

必填

应用查找结果的 AWS 账户 ID。

类型: String

最大长度:12 位

示例

"AwsAccountId": "111111111111"
CreatedAt

必填

指示创建结果捕获的潜在安全问题的时间。

时间戳反映创建结果记录的时间。CreatedAt因此,它可能与 FirstObservedAt 时间戳不同,后者反映首次观察到事件或漏洞的时间。

该时间戳必须 在第一代结果中提供,并且不能 在随后更新结果时更改。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreatedAt": "2017-03-22T13:22:13.933Z"
注意

结果将在最近更新后 90 天或创建后 90 天(如果未发生更新)后删除。要将结果存储 90 天以上,您可以在 Amazon EventBridge 中配置将结果路由到 S3 存储桶的规则。

Description

必填

结果说明。该字段可以是非特定的样板文本,也可以是特定于结果实例的详细信息。

类型: String

最大长度: 1024

示例

"Description": "The version of openssl found on instance i-abcd1234 is known to contain a vulnerability."
GeneratorId

必填

生成结果的特定于解决方案的组件(离散的逻辑单元)的标识符。在安全结果产品的各种解决方案中,此生成器可称为规则、检查、探测器、插件等。

类型: 字符串或 ARN

最大长度: 512

示例

"GeneratorId": "acme-vuln-9ab348"
Id

必填

结果的特定于产品的标识符。

类型: 字符串或 ARN

最大长度: 512

结果 ID 必须遵守以下限制:

  • ID 在产品中必须保持全局唯一。要强制实现唯一性,您可以将公共 AWS 区域名称和账户 ID 合并到该标识符中。

  • 无论以前的结果是否不再存在,您都无法 回收标识符。

  • 该 ID 只能包含 RFC-3986 统一资源标识符 (URI) 的第 2.3 部分中定义的非预留字符集中的字符: 一般语法

  • 对于非 AWS 服务,ID 不能 将文字字符串“arn:”作为前缀。

  • 对于 AWS 服务,ID 必须 为结果的 ARN(如果有)。否则,您可以使用任何其他唯一标识符。

需要在结果产品中保留这些限制,但不需要在结果产品之间保留这些限制。

示例

"Id": "us-west-2/111111111111/98aebb2207407c87f51e89943f12b1ef"
ProductArn

必填

Security Hub 生成的 ARN,用于在产品注册到 Security Hub 后唯一地标识第三方结果产品。

类型: 进行筛选

该字段的格式是 arn:partition:securityhub:region:account-id:product/company-id/product-id

  • 对于与 Security Hub 集成的 AWS 服务,company-id 必须为“aws”,product-id 必须为 AWS 公共服务名称。由于 AWS 产品和服务未与账户关联,因此 ARN 的 account-id 部分为空。尚未与 Security Hub 集成的 AWS 服务被视为第三方产品。

  • 对于公共产品,company-idproduct-id 必须为注册时指定的 ID 值。

  • 对于私有产品,company-id 必须为账户 ID。product-id 必须为保留字“default”或注册时指定的 ID。

示例:

// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default" // Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
Resources

必填

一组资源数据类型,用于说明结果引用的资源。

类型: 最多包含 32 个资源对象的数组

示例

"Resources": [ { "Type": "AwsEc2Instance", "Id": "i-cafebabe", "Partition": "aws", "Region": "us-west-2", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }, "Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" } } } ]
SchemaVersion

必填

格式化结果的架构版本。该字段的值必须为 AWS 确定的官方发布版本之一。

在当前版本中,AWS Security Finding 格式架构版本为 2018-10-08

类型: String

最大长度: 10

Format: YYYY-MM-DD

示例

"SchemaVersion": "2018-10-08"
Severity

必填

结果的严重性。

结果中的 LabelNormalized 必须已填充。Label 是首选属性。如果两个属性都未填充,则结果无效。

结果提供商可以提供结果的初始严重性信息,但在此之后无法更新。严重性信息只能使用 BatchUpdateFindings 进行更新。

类型: 对象

示例

"Severity": { "Label": "CRITICAL", "Original": "8.3" }
Title

必填

结果的标题。该字段可以包含非特定的样板文本,也可以包含特定于结果实例的详细信息。

类型: String

最大长度: 256

Types

必填

一个或多个 namespace/category/classifier 格式的结果类型,用于对结果进行分类。

类型: 最多包含 50 个字符串的数组

  • namespace 必须 是预定义的命名空间值集中的值。

    有效值:Software and Configuration Checks| TTPs | Effects | Unusual Behaviors |Sensitive Data Identifications

  • category 可能 是任意值,但建议 结果产品使用 ASFF 的类型分类 中的结果类型分类中的类别。

  • classifier 可能 是任意值,但建议 结果提供商尽可能使用发布的标准定义的逐字标识符。

所有结果类型都需要命名空间,但类别和分类器是可选的。如果指定分类器,您还必须指定类别。

'/' 字符为保留字,不得 在类别或分类器中使用。不支持转义“/”字符。

示例

"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
UpdatedAt

必填

指示结果提供商上次更新结果记录的时间。

此时间戳反映的是上次或最近一次更新结果记录的时间。因此,它可能与 LastObservedAt 时间戳不同,后者反映上次或最近一次观察到事件或漏洞的时间。

更新结果记录时,必须将该时间戳更新为当前时间戳。创建结果记录时,CreatedAtUpdatedAt 时间戳必须为相同的时间戳。更新结果记录后,该字段的值必须大于其包含的所有先前值。

请注意,UpdatedAt 不会通过 BatchUpdateFindings 中的更改进行更新。 它仅由 BatchImportFindings 更新。

结果将在最近更新后 90 天或创建后 90 天(如果未发生更新)后删除。要将结果存储 90 天以上,您可以在 CloudWatch Events 中配置将结果路由到 Amazon S3 存储桶的规则。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

其他顶级属性

Compliance

可选

与控制相关的结果详细信息。仅针对从控制生成的结果返回。

类型: 对象

示例

"Compliance": { "RelatedRequirements": ["Req1", "Req2"], "Status": "PASSED", "StatusReasons": [ { "ReasonCode": "CLOUDWATCH_ALARMS_NOT_PRESENT"; "Description": "CloudWatch alarms do not exist in the account" } ] }
Confidence

可选

结果的置信度。置信度的定义是结果准确识别其旨在识别的行为或问题的可能性。

结果提供商可以为此属性提供初始值,但在此之后无法更新它。此属性只能使用 BatchUpdateFindings 进行更新。

类型: 整数(范围 0–100)

使用比例刻度对置信度进行评分 (0–100),0 表示置信度为 0%,100 表示​​置信度为 100%。

但是,基于网络流量的统计偏差的数据泄漏检测具有低得多的置信度 - 因为尚未验证实际的泄漏。

示例

"Confidence": 42
Criticality

可选

分配给与结果关联的资源的重要性级别。评分为 0 意味着底层资源不关键,对于最关键的资源,评分为 100。

结果提供商可以为此属性提供初始值,但在此之后无法更新它。此属性只能使用 BatchUpdateFindings 进行更新。

类型: 整数(范围 0–100)

使用仅支持全整型的比例刻度,在 0–100 的范围内对紧迫性评分。评分为 0 意味着底层资源不关键,对于最关键的资源,评分为 100。

概括来说,在评估重要性时,您需要考虑以下事项:

  • 哪些结果会影响比其他资源更关键的资源?

  • 与其他资源相比,这些资源的重要性高多少?

对于每个资源,请考虑以下各项:

  • 受影响的资源是否包含敏感数据(例如,包含 PII 的 S3 存储桶)?

  • 受影响的资源是否使攻击者能够提升访问权限或提高执行其他恶意活动的能力(例如,泄露的 sysadmin 账户)?

  • 资源是否为业务关键型资产(例如,在受到攻击时可能会对收入造成重大影响的关键业务系统)?

您可以使用以下准则:

  • 对于支持关键任务型系统或包含高度敏感数据的资源,评分范围为 75–100。

  • 对于支持重要(但非关键)系统或包含中等重要程度数据的资源,评分范围为 25–75。

  • 对于支持非重要系统或包含非敏感数据的资源,评分范围 为 0–24。

示例

"Criticality": 99
FirstObservedAt

可选

指示首次观察到结果捕获的潜在安全问题的时间。

此时间戳反映首次观察到事件或漏洞的时间。因此,它可能与 CreatedAt 时间戳不同,后者反映创建此结果记录的时间。

此时间戳应在结果记录的更新之间不可变,但如果确定更准确的时间戳,则可以更新。

类型:String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"FirstObservedAt": "2017-03-22T13:22:13.933Z"
LastObservedAt

可选

指示安全结果产品最近观察到结果捕获的潜在安全问题的时间。

此时间戳反映的是上次或最近一次观察到事件或漏洞的时间。因此,它可能与 UpdatedAt 时间戳不同,后者反映此结果记录上次或最近更新的时间。

您可以提供该时间戳,但在首次观察时,该时间戳不是必需的。如果在这种情况下提供该字段,则该时间戳应与 FirstObservedAt 时间戳相同。每次观察到结果时,您应该更新该字段,以反映上次或最近一次观察的时间戳。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"LastObservedAt": "2017-03-23T13:22:13.933Z"
Malware

可选

与结果相关的恶意软件的列表。

类型: 最多包含五个恶意软件对象的数组

示例:

"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]
Network

可选

有关结果的网络相关信息的详情。

类型: 对象

示例

"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }
NetworkPath

可选

与结果相关的网络路径。

中的每个条目均表示路径的一个组件。NetworkPath

类型: 对象数组

Note

可选

添加到结果中的用户定义的备注。

结果提供商可以为结果提供初始注释,但不能在此之后添加注释。

注释只能使用 BatchUpdateFindings 进行更新。

类型: 对象

示例

"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }
PatchSummary

可选

提供补丁合规性摘要。

类型: 对象

Process

可选

有关结果的进程相关信息的详情。

类型: 对象

示例:

"Process": { "Name": "syslogd", "Path": "/usr/sbin/syslogd", "Pid": 12345, "ParentPid": 56789, "LaunchedAt": "2018-09-27T22:37:31Z", "TerminatedAt": "2018-09-27T23:37:31Z" }
ProductFields

可选

一种数据类型,其中安全结果产品可以包含不属于定义的 AWS Security Finding 格式的其他特定于解决方案的详细信息。

类型: 最多 50 个键值对的映射

该字段不应包含冗余数据,并且不能包含与 AWS Security Finding 格式字段冲突的数据。

aws/”前缀仅代表 AWS 产品和服务的保留命名空间,不得与来自合作伙伴产品的结果一起提交。

虽然不是必需的,但产品应将字段名称格式化为 company-id/product-id/field-name,其中 company-idproduct-id 与结果的 ProductArn 中提供的名称匹配。

字段名称可以包含字母数字字符、空格和以下符号:_ . / = + \ - @

示例

"ProductFields": { "generico/secure-pro/Count": "6", "generico/secure-pro/Action.Type", "AWS_API_CALL", "API", "DeleteTrail", "Service_Name": "cloudtrail.amazonaws.com", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures" }
RecordState

可选

结果的记录状态。

默认情况下,在最初由服务生成时,结果被视为 ACTIVE

ARCHIVED 状态表示应从视图中隐藏结果。已存档的查找结果不会立即删除。您可以搜索、查看和报告这些结果。

结果提供商可以更新记录状态。如果删除了关联的资源、不存在资源或禁用了控制,Security Hub 还会自动存档基于控件的结果。

类型: 枚举

有效值: ACTIVE|ARCHIVED

示例

"RecordState": "ACTIVE"
RelatedFindings

可选

相关结果的列表。

结果提供商可以提供相关结果的初始列表,但在此之后不能更新列表。相关结果的列表只能使用 BatchUpdateFindings 进行更新。

类型: 最多包含 10 个 RelatedFinding 对象的数组

示例

"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]
Remediation

可选

结果的修复方案。

类型: 对象

示例

"Remediation": { "Recommendation": { "Text": "Run sudo yum update and cross your fingers and toes.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" } }
SourceUrl

可选

一个链接 URL,指向有关结果产品中当前结果的页面。

类型: URL

ThreatIntelIndicators

可选

与结果相关的威胁情报详细信息。

类型: 最多包含五个威胁情报指标对象的数组

示例

"ThreatIntelIndicators": [ { "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888" } ]
UserDefinedFields

可选

与结果关联的名称/值字符串对的列表。这些是添加到结果的自定义用户定义字段。可以通过您的特定配置自动生成这些字段。

结果产品不得 将该字段用于产品生成的数据。相反,结果产品可以将 ProductFields 字段用于未映射到任何标准 AWS Security Finding 格式字段的数据。

这些字段只能使用 BatchUpdateFindings 进行更新。

类型: 最多 50 个键值对的映射

格式: 键名称只能包含字母、数字和以下特殊字符:-_=+@./:

示例

"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday" }
VerificationState

可选

结果的准确性。结果产品可以提供 UNKNOWN 作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品应提供该值。该字段通常由用户确定或在调查结果后采取操作填充。

结果提供商可以为此属性提供初始值,但在此之后无法更新它。此属性只能使用 BatchUpdateFindings 进行更新。

类型: 枚举

有效值:

  • UNKNOWN – 安全结果的默认配置(除非用户更改)

  • TRUE_POSITIVE – 确认安全结果后,由用户设置该值

  • FALSE_POSITIVE – 确定安全结果为误报后,由用户设置该值

  • BENIGN_POSITIVE – 当结果不构成任何威胁和/或符合预期时,由用户将该值设置为 TRUE_POSITIVE 的特殊情况

Vulnerabilities

可选

应用于结果的漏洞列表。

类型: 对象数组

Workflow

可选

提供有关结果调查状态的信息。

工作流程状态不适用于结果提供商。工作流程状态只能使用 BatchUpdateFindings 进行更新。 客户还可以从 控制台更新它。请参阅设置查找的工作流程状态

类型:对象

示例:

Workflow: { "Status": "NEW" }
WorkflowState(已淘汰)

可选

此字段将被弃用以支持 Workflow 对象的 Status 字段。

结果的工作流程状态。结果产品可以提供 NEW 作为该字段的值。如果在结果产品的系统中存在有意义的类比,则结果产品可以为该字段提供值。

类型: 枚举

有效值:

  • NEW – 这可能与处于 Active 记录状态的结果关联。这是任何新结果的默认工作流程状态。

  • ASSIGNED – 这可能与处于 Active 记录状态的结果关联。已确认结果并将其提供给某人进行审核或解决。

  • IN_PROGRESS – 这可能与处于 Active 记录状态的结果关联。团队成员正在积极调查结果。

  • RESOLVED – 这可能与处于 Archived 记录状态的结果关联。这不同于 DEFERRED 结果:如果再次出现该结果(由本地服务更新) 有任何新结果与此匹配,则以活动的新结果形式向客户提供该结果。

  • DEFERRED – 这可能与处于 Archived 记录状态的结果关联,这意味着不会在设置的时间段内或无限期地显示与该结果匹配的任何其他结果。

    客户认为该结果不适用, 这是客户不希望包含在活动数据集中的已知问题。

  • DUPLICATE – 这可能与处于 Archived 记录状态的结果关联。这意味着该结果与另一个结果完全相同。

示例

"WorkflowState": "NEW"

Compliance

包含与控制相关的结果详细信息。仅针对作为对控制运行的检查结果生成的查找结果返回。

示例

"Compliance": { "RelatedRequirements": ["Req1", "Req2"], "Status": "FAILED", "StatusReasons": [ { "ReasonCode": "CLOUDWATCH_ALARMS_NOT_PRESENT", "Description": "CloudWatch alarms do not exist in the account" } ] }

Compliance 对象可能具有以下属性。

RelatedRequirements

可选

对于 Security Hub 控制,与该控制相关的行业或监管框架要求。对该控制的检查与这些要求一致。

您最多可以提供 32 个相关的要求。

要标识要求,请使用其标识符。

类型: 字符串数组

Status

可选

安全检查的结果。

类型: 枚举

有效值:

  • PASSED – 接受评估的所有资源都已通过安全检查。如果 Compliance.StatusPASSED,则 Security Hub 会自动将 Workflow.Status 设置为 RESOLVED

  • WARNING – 某些信息缺失或您的配置不支持此检查。

  • FAILED – 至少有一个接受评估的资源未能通过安全检查。

  • NOT_AVAILABLE – 由于服务中断或 API 错误,无法执行检查。状态还可能指示 NOT_AVAILABLE 评估结果为 AWS Config。NOT_APPLICABLE 在这种情况下,Security Hub 在 3 天后自动将结果存档。

示例

"Status": "PASSED"
StatusReasons

可选

对于从控制生成的结果,Compliance.Status 值背后的原因列表。

有关状态代码及其含义的列表,请参阅 ASFF 中与控制相关的信息

类型:String

示例:

"StatusReasons": [ { "Description": "CloudWatch alarms do not exist in the account", "ReasonCode": "CW_ALARMS_NOT_PRESENT" } ]

StatusReasons

对于从控制生成的结果,Compliance.Status 值的原因列表。

"StatusReasons": [ { "Description": "CloudWatch alarms do not exist in the account", "ReasonCode": "CW_ALARMS_NOT_PRESENT" } ]

StatusReasons 对象中的每个原因都可以具有以下属性。

Description

可选

原因的相应说明。

类型: String

ReasonCode

必填

表示当前控制状态的原因的代码。

类型: String

有关可用状态代码及其含义的列表,请参阅 安全检查的结果

Malware

Malware 对象提供与结果相关的恶意软件列表。它是一个数组,可以包含最多 5 个恶意软件对象。

示例

"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" } ]

每个恶意软件对象可能具有以下属性。

Name

必填

观察到的恶意软件的名称。

类型: String

最大长度: 64

示例

"Name": "Stringler"
Path

可选

观察到的恶意软件的系统路径。

类型: String

最大长度: 512

示例

"Path": "/usr/sbin/stringler"
State

可选

观察到的恶意软件的状态。

类型: 枚举

有效值: OBSERVED| REMOVAL_FAILED |REMOVED

示例

"State": "OBSERVED"
Type

可选

观察到的恶意软件的类型。

类型: 枚举

有效值: ADWARE| BLENDED_THREAT | BOTNET_AGENT | COIN_MINER | EXPLOIT_KIT | KEYLOGGER | MACRO | POTENTIALLY_UNWANTED | SPYWARE | RANSOMWARE | REMOTE_ACCESS | ROOTKIT | TROJAN | VIRUS |WORM

示例

"Type": "COIN_MINER"

Network

有关结果的网络相关信息的详情。

示例

"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com" }

Network 对象可能具有以下属性。

DestinationDomain

可选

有关结果的网络相关信息的目标域。

类型: String

最大长度: 128

示例

"DestinationDomain": "there.com"
DestinationIpV4

可选

有关结果的网络相关信息的目标 IPv4 地址。

类型:IPv4

示例

"DestinationIpV4": "2.3.4.5"
DestinationIpV6

可选

有关结果的网络相关信息的目标 IPv6 地址。

类型:IPv6

示例

"DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C"
DestinationPort

可选

有关结果的网络相关信息的目标端口。

类型: Number

有效值: 范围为 0–65535

示例

"DestinationPort": "80"
Direction

可选

与结果关联的网络流量的方向。

类型: 枚举

有效值: IN|OUT

示例

"Direction": "IN"
OpenPortRange

可选

网络中存在的开放端口的范围。

类型: 对象

Protocol

可选

有关结果的网络相关信息的协议。

类型: String

最大长度: 16

除了结果产品可以确定更准确的协议的情况以外,该名称应为关联端口的 IANA 注册名称

示例

"Protocol": "TCP"
SourceDomain

可选

有关结果的网络相关信息的源域。

类型: String

最大长度: 128

示例

"SourceDomain": "here.com"
SourceIpV4

可选

有关结果的网络相关信息的源 IPv4 地址。

类型:IPv4

示例

"SourceIpV4": "1.2.3.4"
SourceIpV6

可选

有关结果的网络相关信息的源 IPv6 地址。

类型:IPv6

示例

"SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C"
SourceMac

可选

有关结果的网络相关信息的源媒体访问控制 (MAC) 地址。

类型: String

格式: 必须匹配MM:MM:MM:SS:SS:SS

示例

"SourceMac": "00:0d:83:b1:c0:8e"
SourcePort

可选

有关结果的网络相关信息的源端口。

类型: Number

有效值: 范围为 0–65535

示例

"SourcePort": "80"

OpenPortRange

提供开放端口范围的开始和结束端口。

OpenPortRange 可能具有以下属性。

Begin

可选

端口范围中的第一个端口。

类型: 整数

End

可选

端口范围中的最后一个端口。

类型: 整数

NetworkPath

对象提供有关与结果相关的网络路径的信息。NetworkPath下的每个条目均表示该路径的一个组件。NetworkPath

示例

"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { Address": ["203.0.113.0/24"] } }, "Ingress": { "Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } } ]

网络路径的每个组件可能具有以下属性。

ComponentId

必填

网络路径中组件的标识符。

类型: String

ComponentType

必填

组件的类型。

类型: String

Egress

可选

有关网络路径中当前组件后面的组件的信息。

类型: 对象

Ingress

可选

有关网络路径中当前组件之前的组件的信息。

类型: 对象

Egress

对象包含有关位于网络路径中的当前组件之后的组件的信息。Egress它可能具有以下属性。

Destination

可选

有关组件的目标的信息。

类型: 对象

Protocol

可选

用于组件的协议。

类型:String

Source

可选

有关组件原点的信息。

类型: 对象

Ingress

对象包含有关网络路径中的上一个组件的信息。Ingress它可能具有以下属性。

Destination

可选

有关上一个组件的目标的信息。

类型: 对象

Protocol

可选

上一组件使用的协议。

类型: String

Source

可选

有关上一个组件的原点的信息。

类型: 对象

Destination

Destination 中的 Egress 对象包含上一个或下一个组件的目标信息。Ingress它可能具有以下属性。

Address

可选

上一组件或下一组件的 IP 地址。

类型: 字符串数组

PortRanges

可选

上一组件或下一组件的目标的打开端口范围列表。

类型: 对象数组

PortRanges.Begin

可选

对于打开的端口范围,为范围的开始。

类型: 整数

PortRanges.End

可选

对于开放的端口范围,为范围的结束。

类型: Number

Source

Source 下的 Egress 对象包含有关上一组件或下一组件的原点的信息。Ingress它可能具有以下属性。

Address

可选

上一组件或下一组件的源的 IP 地址。

类型: 字符串数组

PortRanges

可选

上一组件或下一组件的源的打开端口范围列表。

类型:对象数组

PortRanges.Begin

可选

对于打开的端口范围,为范围的开始。

类型: 整数

PortRanges.End

可选

对于开放的端口范围,为范围的结束。

类型: Number

Note

Note 对象将用户定义的备注添加到结果中。

结果提供商可以为结果提供初始注释,但不能在此之后添加注释。注释只能使用 BatchUpdateFindings 进行更新。

示例

"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z" }

Note 对象可能具有以下属性。

Text

必填

结果备注的文本。

类型: String

最大长度: 512

示例

"Text": "Example text."
UpdatedAt

必填

指示备注的更新时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"UpdatedAt": "2018-08-31T00:15:09Z"
UpdatedBy

必填

创建备注的委托人。

类型: 字符串或 ARN

最大长度: 512

示例

"UpdatedBy": "jsmith"

PatchSummary

对象针对所选合规性标准提供实例补丁合规性状态的概述。PatchSummary

示例

"PatchSummary" : { "Id" : "pb-123456789098" "InstalledCount" : "100", "MissingCount" : "100", "FailedCount" : "0", "InstalledOtherCount" : "1023", "InstalledRejectedCount" : "0", "InstalledPendingReboot" : "0", "OperationStartTime" : "2018-09-27T23:37:31Z", "OperationEndTime" : "2018-09-27T23:39:31Z", "RebootOption" : "RebootIfNeeded", "Operation" : "Install" }

PatchSummary 对象可能具有以下属性。

FailedCount

可选

合规性标准中安装失败的补丁的数量。

类型: Number

最小值: 0

最大值: 100,000

Id

必填

用于确定补丁合规性状态的合规性标准的标识符。

类型: String

最小长度: 20

最大长度: 128

InstalledCount

可选

合规性标准中已成功安装的补丁的数量。

类型: Number

最小值: 0

最大值: 100,000

InstalledOtherCount

可选

不属于合规性标准的已安装补丁的数量。

类型: Number

最小值: 0

最大值: 100,000

InstalledPendingReboot

可选

已应用但需要重启实例以便标记为已安装的补丁的数量。

类型: Number

最小值: 0

最大值: 100,000

InstalledRejectedCount

可选

已安装但也位于客户拒绝的补丁列表中的补丁数。

类型: Number

最小值: 0

最大值: 100,000

MissingCount

可选

属于合规性标准但未安装的补丁数。该计数包括安装失败的补丁。

类型: Number

最小值: 0

最大值: 100,000

Operation

可选

已执行的补丁操作的类型。

对于 Patch Manager,这些值为 SCANINSTALL

类型: String

最大长度: 256

OperationEndTime

可选

指示完成操作的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"OperationEndTime": "2020-06-22T17:40:12.322Z"
OperationStartTime

可选

指示操作开始时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"OperationStartTime": "2020-06-22T17:40:12.322Z"
RebootOption

可选

为实例指定的重启选项。

类型: String

最大长度: 256

有效值: NoReboot | RebootIfNeeded.

Process

Process 对象提供有关结果的进程相关详细信息。

示例

"Process": { "Name": "syslogd", "Path": "/usr/sbin/syslogd", "Pid": 12345, "ParentPid": 56789, "LaunchedAt": "2018-09-27T22:37:31Z", "TerminatedAt": "2018-09-27T23:37:31Z" }

Process 对象可能具有以下属性。

LaunchedAt

可选

指示启动进程的时间。

类型:String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"LaunchedAt": "2018-09-27T22:37:31Z"
Name

可选

进程的名称。

类型: String

最大长度: 64

示例

"Name": "syslogd"
ParentPid

可选

父进程 ID。

类型: Number

示例

"ParentPid": 56789
Path

可选

进程可执行文件的路径。

类型: String

最大长度: 512

示例

"Path": "/usr/sbin/syslogd"
Pid

可选

进程 ID。

类型: Number

示例

"Pid": 12345
TerminatedAt

可选

指示终止进程的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"TerminatedAt": "2018-09-27T23:37:31Z"

RelatedFindings

RelatedFindings 对象提供与当前结果相关的结果列表。

结果提供商可以提供相关结果的初始列表,但在此之后无法更新它。RelatedFindings 只能使用 BatchUpdateFindings 更新。

示例

"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" } ]

每个相关的结果对象可能具有以下属性。

Id

必填

产品为相关结果生成的标识符。

类型: 字符串或 ARN

最大长度: 512

示例

"Id": "123e4567-e89b-12d3-a456-426655440000"
ProductArn

必填

生成相关结果的产品的 ARN。

类型: 进行筛选

示例

"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"

Remediation

Remediation 对象提供有关为解决结果问题而建议的修复步骤的信息。

示例

"Remediation": { "Recommendation": { "Text": "Run sudo yum update and cross your fingers and toes.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" } }

Remediation 对象可能具有以下属性。

Recommendation

可选

关于如何纠正结果中发现的问题的建议。

Recommendation 字段旨在方便提供手动指令或详细信息,以帮助解决结果中发现的问题。

如果建议对象存在,则 TextUrl 字段必须存在并填写了该字段。这两个字段可以同时存在,并填写了这些字段。

类型: 对象

示例

"Recommendation": { "Text": "Example text.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" }

Recommendation

Recommendation 对象可能具有以下属性。

Text

可选

一个自由格式的字符串,其内容为呈现给用户时指示如何处理该结果的建议。该字段可以包含非特定的样板文本,也可以包含特定于结果实例的详细信息。

类型: String

最大长度: 512

示例

"Text": "Example text."
Url

可选

一个链接 URL,指向结果的结果类型的一般修复信息。

该 URL 不得要求提供凭证才能访问。它必须可从公有 Internet 访问,不得提出任何上下文或会话要求。

类型: URL

示例

"Url": "http://myfp.com/recommendations/example_domain.html"

Resources

Resources 对象提供有关结果中涉及的资源的信息。

它包含一个最多包含 32 个资源对象的数组。

示例

"Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:111122223333:instance/i-1234567890abcdef0", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "TARGET", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }, "Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" } } } ]

每个资源对象可能具有以下属性。

Details

可选

此字段提供了有关使用相应子字段的单个资源的其他详细信息。

必须在 Resources 字段中的单独资源对象中提供每个资源。

Security Hub 为支持的资源类型提供一组可用的子字段。这些子字段对应于资源 Type 的值。 请尽可能使用提供的类型和子字段。

例如,如果资源是 S3 存储桶,则将资源 Type 设置为 AwsS3Bucket,并在 AwsS3Bucket 子字段中提供资源详细信息。

Other 子字段允许您提供自定义字段和值。在以下情况下,可以使用 Other 子字段。

  • 资源类型(资源 Type 的值)没有相应的子字段。要提供资源的详细信息,请使用 Other 详细信息子字段。

  • 资源类型的子字段不包含要填充的所有字段。在此情况下,可使用资源类型的子字段来填充可用字段。使用 Other 子字段填充未在特定于类型的子字段中的字段。

  • 资源类型不是提供的类型之一。在这种情况下,请将资源 Type 设置为 Other,并使用 Other 详细信息子字段填写详细信息。

类型: 对象

示例

"Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" }, "AwsS3Bucket": { "OwnerId": "da4d66eac431652a4d44d490a00500bded52c97d235b7b4752f9f688566fe6de", "OwnerName": "acmes3bucketowner" }, "Other": [ { "Key": "LightPen", "Value": "blinky" }, { "Key": "SerialNo", "Value": "1234abcd" } ] }
Id

必填

给定资源类型的规范标识符。

对于由 AWS 标识的 ARNs 资源,这必须是 ARN。

对于缺少 AWS 的所有其他 ARNs 资源类型,这必须是创建该资源的 AWS 服务定义的标识符。

对于非 AWS 资源,这应该是与资源关联的唯一标识符。

类型: 字符串或 ARN

最大长度: 512

示例

"Id": "arn:aws:s3:::example-bucket"
Partition

可选

区域分配到的规范 AWS 分区名称。

类型: 枚举

有效值:

分区

Description

aws

商业

aws-cn

中国

aws-us-gov

AWS GovCloud (US)

示例

"Partition": "aws"
Region

可选

该资源所在的规范 AWS 外部区域名称。

类型: String

最大长度: 16

示例

"Region": "us-west-2"
ResourceRole

可选

标识结果中资源的角色。资源是结果活动的目标,

类型: String

有效值: ACTOR|TARGET

Tags

可选

在处理结果时,与资源关联的 AWS 标签的列表。仅为具有关联的标签的资源包含 Tags 属性。如果资源没有关联的标签,请不要在结果中包含 Tags 属性。

类型:标签映射

最大标签数: 50

每个值的最大长度: 256

下面是适用于标签的基本限制:

  • 您只能在该字段中提供 AWS 资源上实际存在的标签。要为 AWS Security Finding 格式中未定义的资源类型提供数据,请使用 Other 详细信息子字段。

  • 值限制为字母数字字符、空格、+、-、=、.、_、:、/ 和 @。

  • 值限制为最大 256 个字符的 AWS 标签值长度。

示例

"Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }
Type

必填

要为其提供详细信息的资源的类型。

如果可能,使用提供的资源类型之一,例如 AwsEc2InstanceAwsS3Bucket

如果资源类型不与任何提供的资源类型匹配,则将资源 Type 设置为 Other,并使用 Other 详细信息子字段填充详细信息。

类型: String

最大长度: 256

支持的值如下所示。如果类型具有相应的子字段,要查看子字段的详细信息,请选择类型名称。

示例

"Type": "AwsS3Bucket"

AwsApiGatewayRestApi

对象包含有关 AwsApiGatewayRestApi 版本 1 中的 REST API 的信息。Amazon API Gateway

示例

AwsApiGatewayRestApi: { "Id": "exampleapi", "Name": "Security Hub", "Description": "AWS Security Hub", "CreatedDate": "2018-11-18T10:20:05-08:00", "Version": "2018-10-26", "BinaryMediaTypes" : ["-'*~1*'"], "MinimumCompressionSize": 1024, "ApiKeySource": "AWS_ACCOUNT_ID", "EndpointConfiguration": { "Types": [ "REGIONAL" ] } }

AwsApiGatewayRestApi 可能具有以下属性。

ApiKeySource

可选

用于根据使用计划对请求进行计量的 API 键的源。

HEADER 指示是否要从请求的 X-API-Key 标头读取 API 密钥。

AUTHORIZER 指示是否要从自定义授权方的 UsageIdentifierKey 中读取 API 密钥。

类型: String

有效值: HEADER|AUTHORIZER

BinaryMediaTypes

可选

REST API 支持的二进制媒体类型的列表。

类型: 字符串数组

CreatedDate

可选

指示创建 API 的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例:

"CreatedDate": "2017-03-22T13:22:13.933Z"
Description

可选

REST API 的描述。

类型: String

EndpointConfiguration

可选

REST API 的终端节点配置。

类型: 对象

Id

可选

REST API 的标识符。

类型: String

MinimumCompressionSize

可选

启用压缩之前负载的最小大小(以字节为单位)。

如果为 null,则禁用压缩。

如果为 0,则压缩所有负载。

类型: Number

最小值: 0

最大值: 10.485,760

Name

可选

REST API 的名称。

类型: String

Version

可选

REST API 的版本标识符。

类型: String

EndpointConfiguration

对象包含有关 API 的终端节点的信息。EndPointConfiguration

EndPointConfiguration 可能具有以下属性。

Types

可选

REST API 的终端节点类型的列表。

对于边缘优化的 API,终端节点类型为 EDGE。 对于区域 API,终端节点类型为 REGIONAL。 对于私有 API,终端节点类型为 PRIVATE

类型: 字符串数组

有效值: EDGE| REGIONAL |PRIVATE

AwsApiGatewayStage

对象提供有关版本 1 AwsApiGatewayStage 阶段的信息。Amazon API Gateway

示例

"AwsApiGatewayStage": { "DeploymentId": "n7hlmf", "ClientCertificateId": "a1b2c3", "StageName": "Prod", "Description" : "Stage Description", "CacheClusterEnabled": false, "CacheClusterSize" : "1.6", "CacheClusterStatus": "NOT_AVAILABLE", "MethodSettings": [ { "MetricsEnabled": true, "LoggingLevel": "INFO", "DataTraceEnabled": false, "ThrottlingBurstLimit": 100, "ThrottlingRateLimit": 5.0, "CachingEnabled": false, "CacheTtlInSeconds": 300, "CacheDataEncrypted": false, "RequireAuthorizationForCacheControl": true, "UnauthorizedCacheControlHeaderStrategy": "SUCCEED_WITH_RESPONSE_HEADER", "HttpMethod": "POST", "ResourcePath": "/echo" } ], "Variables": {"test": "value"}, "DocumentationVersion": "2.0", "AccessLogSettings": { "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }", "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod" }, "CanarySettings": { "PercentTraffic": 0.0, "DeploymentId": "ul73s8", "StageVariableOverrides" : [ "String" : "String" ], "UseStageCache": false }, "TracingEnabled": false, "CreatedDate": "2018-07-11T10:55:18-07:00", "LastUpdatedDate": "2020-08-26T11:51:04-07:00", "WebAclArn" : "arn:aws:waf-regional:us-west-2:111122223333:webacl/cb606bd8-5b0b-4f0b-830a-dd304e48a822" }

AwsApiGatewayStage 可能具有以下属性。

AccessLogSettings

可选

用于记录阶段访问的设置。

类型: 对象

CacheClusterEnabled

可选

指示是否为阶段启用缓存集群。

类型: 布尔型

CacheClusterSize

可选

如果启用了缓存集群,则为缓存集群的大小。

类型: String

CacheClusterStatus

可选

如果启用了缓存集群,则为缓存集群的状态。

类型: String

CanarySettings

可选

有关阶段中金丝雀版本部署的设置的信息。

类型: 对象

ClientCertificateId

可选

阶段的客户端证书的标识符。

类型: String

CreatedDate

可选

指示创建阶段的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreatedDate": "2017-03-22T13:22:13.933Z"
DeploymentId

可选

阶段指向的部署的标识符。

类型: String

Description

可选

阶段的描述。

类型: String

DocumentationVersion

可选

与阶段关联的 API 文档的版本。

类型: String

LastUpdatedDate

可选

指示最近更新阶段的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"LastUpdatedDate": "2017-03-22T13:22:13.933Z"
MethodSettings

可选

定义阶段的方法设置。

对于每个方法,键都是方法路径,其定义如下:

  • 对于单个方法覆盖,键为 <resource_path>/<http_method>。 例如,accounts/DELETE

  • 要覆盖阶段中的所有方法,键为 /*/*

类型: 对象数组

StageName

可选

阶段的名称。

类型: String

TracingEnabled

可选

指示是否为阶段启用 AWS X-Ray 的活动跟踪。

类型: 布尔型

Variables

可选

定义阶段变量的映射。

变量名称可以包含字母数字和下划线字符。

变量值可以包含以下字符:

  • 大写和小写字母

  • 数字

  • 特殊字符 -._~:/?#&=,

类型: 字符串映射

WebAclArn

可选

与阶段关联的 Web ACL 的 ARN。

类型: String

AccessLogSettings

对象包含有关阶段日志记录访问的设置的信息。AccessLogSettings

AccessLogSettings 可能具有以下属性。

DestinationArn

可选

接收访问日志的 CloudWatch Logs 日志组或 Kinesis Data Firehose 传输流的 ARN。

对于 Kinesis Data Firehose 传输流,流名称始终以 amazon-apigateway- 开头。

类型: String

Format

可选

数据的访问日志的单行格式,由选定的 $context 变量指定。格式必须至少包括 $context.requestId

类型: String

CanarySettings

对象包含有关阶段中金丝雀版本部署的设置的信息。CanarySettings

CanarySettings 可能具有以下属性。

DeploymentId

可选

Canary 部署的部署标识符。

类型: String

PercentTraffic

可选

转换到金丝雀部署的流量百分比。

类型: Number

最小值: 0

最大值: 100

StageVariableOverrides

可选

在金丝雀版本部署中覆盖的阶段变量。变量包括金丝雀版本中引入的新阶段变量。

每个变量都以阶段变量名称和变量值之间的字符串到字符串映射形式表示。

"variableName" : "variableValue"

类型: 对象

UseStageCache

可选

指示金丝雀部署是否使用阶段缓存。

类型: 布尔型

MethodSettings

对象定义阶段的方法设置。MethodSettings

中的每个方法对象可能具有以下属性。MethodSettings

CacheDataEncrypted

可选

指示是否加密缓存的响应。

类型: 布尔型

CachingEnabled

可选

指示是为请求缓存还是返回响应。对于要缓存的响应,必须在阶段上启用缓存集群。

类型: 布尔型

CacheTtlInSeconds

可选

指定缓存响应的生存时间 (TTL),以秒为单位。TTL 越高,响应的缓存时间就越长。

类型: Number

DataTraceEnabled

可选

指示是否为方法启用数据跟踪日志记录。数据跟踪日志记录会影响推送到 CloudWatch Logs 的日志条目。

类型: 布尔型

HttpMethod

可选

HTTP 方法。您可以将星号 (*) 作为通配符以将方法设置应用于多个方法。

类型: String

LoggingLevel

可选

此方法的日志记录级别。日志记录级别会影响推送到 CloudWatch Logs 的日志条目。

如果日志记录级别为 ERROR,则日志仅包含错误级别的条目。

如果日志记录级别为 INFO,则日志包含 ERROR 事件和额外的信息性事件。

类型: String

有效值: OFF| ERROR |INFO

MetricsEnabled

可选

指示是否为方法启用 CloudWatch 指标。

类型: 布尔型

RequireAuthorizationForCacheControl

可选

指示是否需要对缓存失效请求进行授权。

类型: 布尔型

ResourcePath

可选

此方法的资源路径。正斜杠 (/) 编码为约 1。初始斜杠必须包含正斜杠。

例如,路径值 /resource/subresource 必须编码为 /~1resource~1subresource

要指定根路径,请仅使用斜杠 (/)。您可以将星号 (*) 作为通配符以将方法设置应用于多个方法。

类型: String

ThrottlingBurstLimit

可选

方法的限制。

类型: 数字(整数)

ThrottlingRateLimit

可选

方法的限制速率。

类型: Number

UnauthorizedCacheControlHeaderStrategy

可选

指示如何处理缓存失效的未经授权的请求。

类型: String

有效值: FAIL_WITH_403| SUCCEED_WITH_RESPONSE_HEADER |SUCCEED_WITHOUT_RESPONSE_HEADER

AwsApiGatewayV2Api

对象包含有关 AwsApiGatewayV2Api 中版本 2 API 的信息。Amazon API Gateway

示例

"AwsApiGatewayV2Api": { "ApiEndpoint": "https://example.us-west-2.amazonaws.com", "ApiId": "a1b2c3d4", "ApiKeySelectionExpression": "$request.header.x-api-key", "CreatedDate": "2020-03-28T00:32:37Z", "Description": "ApiGatewayV2 Api", "Version": "string", "Name": "my-api", "ProtocolType": "HTTP", "RouteSelectionExpression": "$request.method $request.path", "CorsConfiguration": { "AllowOrigins": [ "*" ], "AllowCredentials": true, "ExposeHeaders": [ "string" ], "MaxAge": 3000, "AllowMethods": [ "GET", "PUT", "POST", "DELETE", "HEAD" ], "AllowHeaders": [ "*" ] } }

AwsApiGatewayV2Api 可能具有以下属性。

ApiEndpoint

可选

API 的 URI。

类型: String

Format: <api-id>.execute-api.<region>.amazonaws.com

阶段名称通常附加到 URI 后,即可构成已部署 API 阶段的完整路径。

ApiId

可选

API 的标识符。

类型: String

ApiKeySelectionExpression

可选

一个 API 键选择表达式。仅 WebSocket API 支持。

类型: String

CorsConfiguration

可选

跨源资源共享 (CORS) 配置。仅 HTTP APIs 支持。

类型: 对象

CreatedDate

可选

指示创建 API 的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreatedDate": "2017-03-22T13:22:13.933Z"
Description

可选

API 的描述。

类型: String

Name

可选

API 的名称。

类型: String

ProtocolType

可选

API 的 API 协议。

类型: String

有效值: WEBSOCKET|HTTP

RouteSelectionExpression

可选

API 的路由选择表达式。

对于 HTTP APIs,必须为 ${request.method} ${request.path}。 这是 HTTP APIs 的默认值。

对于 WebSocket APIs,没有默认值。

类型: String

Version

可选

API 的版本标识符。

类型:String

CorsConfiguration

对象包含 API 的跨源资源共享 (CORS) 配置。CorsConfiguration仅 HTTP API 支持 CORS。

CorsConfiguration 可能具有以下属性。

AllowCredentials

可选

指示 CORS 请求是否包含凭证。

类型: 布尔型

AllowHeaders

可选

允许用于 CORS 请求的标头。

类型: 字符串数组

AllowMethods

可选

CORS 请求的允许方法。

类型: 字符串数组

AllowOrigins

可选

CORS 请求允许的源。

类型: 字符串数组

ExposeHeaders

可选

针对 CORS 请求的公开标头。

类型: 字符串数组

MaxAge

可选

浏览器缓存预检请求结果的秒数。

类型: Number

AwsApiGatewayV2Stage

AwsApiGatewayV2Stage 包含有关 Amazon API Gateway 的版本 2 阶段的信息。

示例

"AwsApiGatewayV2Stage": { "CreatedDate": "2020-04-08T00:36:05Z", "Description" : "ApiGatewayV2", "DefaultRouteSettings": { "DetailedMetricsEnabled": false, "LoggingLevel": "INFO", "DataTraceEnabled": true, "ThrottlingBurstLimit": 100, "ThrottlingRateLimit": 50 }, "DeploymentId": "x1zwyv", "LastUpdatedDate": "2020-04-08T00:36:13Z", "RouteSettings": { "DetailedMetricsEnabled": false, "LoggingLevel": "INFO", "DataTraceEnabled": true, "ThrottlingBurstLimit": 100, "ThrottlingRateLimit": 50 }, "StageName": "prod", "StageVariables": [ "function": "my-prod-function" ], "AccessLogSettings": { "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }", "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod" }, "AutoDeploy": false, "LastDeploymentStatusMessage": "Message", "ApiGatewayManaged": true, }

AwsApiGatewayV2Stage 可能具有以下属性。

AccessLogSettings

可选

有关阶段访问日志记录设置的信息。

类型: 对象

ApiGatewayManaged

可选

指示阶段是否由 API 网关 管理。

类型: 布尔型

AutoDeploy

可选

指示对 API 的更新是否自动触发新部署。

类型: 布尔型

CreatedDate

可选

指示创建阶段的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreatedDate": "2017-03-22T13:22:13.933Z"
DefaultRouteSettings

可选

阶段的默认路由设置。

类型: 对象

DeploymentId

可选

与阶段关联的部署的标识符。

类型: String

Description

可选

阶段的描述。

类型: String

LastDeploymentStatusMessage

可选

阶段的上次部署的状态。仅在阶段启用了自动部署时支持。

类型: String

LastUpdatedDate

可选

指示最近更新阶段的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"LastUpdatedDate": "2017-03-22T13:22:13.933Z"
RouteSettings

可选

阶段的路由设置。

类型: 对象

StageName

可选

阶段的名称。

类型: String

StageVariables

可选

定义阶段变量的映射。

变量名称可以包含字母数字和下划线字符。

变量值可以包含以下字符:

  • 大写和小写字母

  • 数字

  • 特殊字符 -._~:/?#&=,

类型: 字符串映射

AccessLogSettings

对象包含有关阶段日志记录访问的设置的信息。AccessLogSettings

AccessLogSettings 可能具有以下属性。

DestinationArn

可选

接收访问日志的 CloudWatch Logs 日志组的 ARN。

类型: String

Format

可选

数据的访问日志的单行格式,由选定的 $context 变量指定。格式必须至少包括 $context.requestId

类型: String

DefaultRouteSettings 和 RouteSettings

对象包含阶段的默认路由设置。DefaultRouteSettings

对象包含阶段的路由设置。RouteSettings

这些对象可能具有以下属性。

DataTraceEnabled

可选

指示是否启用数据跟踪日志记录。数据跟踪日志记录会影响推送到 CloudWatch Logs 的日志条目。仅对于 WebSocket APIs 支持。

类型: 布尔型

DetailedMetricsEnabled

可选

指示是否启用详细指标。

类型: 布尔型

LoggingLevel

可选

日志记录的级别。日志记录级别会影响推送到 CloudWatch Logs 的日志条目。仅对于 WebSocket APIs 支持。

如果日志记录级别为 ERROR,则日志仅包含错误级别的条目。

如果日志记录级别为 INFO,则日志包含 ERROR 事件和额外的信息性事件。

类型: String

有效值: OFF| ERROR |INFO

ThrottlingBurstLimit

可选

限制突增限制。

类型: Number

ThrottlingRateLimit

可选

限制速率限制。

类型: Number

AwsAutoScalingAutoScalingGroup

对象提供有关自动扩展组的详细信息。AwsAutoScalingAutoScalingGroup

示例

"AwsAutoScalingAutoScalingGroup": { "CreatedTime": "2017-10-17T14:47:11Z", "HealthCheckGracePeriod": 300, "HealthCheckType": "EC2", "LaunchConfigurationName": "mylaunchconf", "LoadBalancerNames": [] }

AwsAutoScalingAutoScalingGroup 对象可能具有以下属性。

CreatedTime

可选

指示创建自动扩展组的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

HealthCheckGracePeriod

可选

在检查已投入使用的 EC2 实例的运行状况之前等待的时间(以秒为单位)。Amazon EC2 Auto Scaling

类型: 整数

HealthCheckType

可选

要用于运行状况检查的服务。

类型: String

最大长度: 32

有效值: EC2|ELB

LaunchConfigurationName

可选

启动配置的名称。

类型: String

最大长度: 32

LoadBalancerNames

可选

与组关联的负载均衡器的列表。

类型: 字符串数组

每个负载均衡器名称不得超过 255 个字符。

AwsCertificateManagerCertificate

对象提供有关 AwsCertificateManagerCertificate (AWS Certificate Manager) 证书的详细信息。ACM

示例

"AwsCertificateManagerCertificate": { "CertificateAuthorityArn": "arn:aws:acm:us-west-2:444455556666:certificate-authority/example", "CreatedAt": "2019-05-24T18:12:02.000Z", "DomainName": "example.amazondomains.com", "DomainValidationOptions": [ { "DomainName": "example.amazondomains.com", "ResourceRecord": { "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com", "Type": "CNAME", "Value": "_example.acm-validations.aws." }, "ValidationDomain": "example.amazondomains.com"", "ValidationEmails": [], "ValidationMethod": "DNS", "ValidationStatus": "SUCCESS" } ], "ExtendedKeyUsages": [ { "Name": "TLS_WEB_SERVER_AUTHENTICATION", "OId": "1.3.6.1.5.5.7.3.1" }, { "Name": "TLS_WEB_CLIENT_AUTHENTICATION", "OId": "1.3.6.1.5.5.7.3.2" } ], "FailureReason": "", "ImportedAt": "2018-08-17T00:13:00.000Z", "InUseBy": ["arn:aws:amazondomains:us-west-2:444455556666:loadbalancer/example"], "IssuedAt": "2020-04-26T00:41:17.000Z", "Issuer": "Amazon", "KeyAlgorithm": "RSA-1024", "KeyUsages": [ { "Name": "DIGITAL_SIGNATURE", }, { "Name": "KEY_ENCIPHERMENT", } ], "NotAfter": "2021-05-26T12:00:00.000Z", "NotBefore": "2020-04-26T00:00:00.000Z", "Options": { "CertificateTransparencyLoggingPreference": "ENABLED", } "RenewalEligibility": "ELIGIBLE", "RenewalSummary": { "DomainValidationOptions": [ { "DomainName": "example.amazondomains.com", "ResourceRecord": { "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com", "Type": "CNAME", "Value": "_example.acm-validations.aws.com", }, "ValidationDomain": "example.amazondomains.com", "ValidationEmails": [], "ValidationMethod": "DNS", "ValidationStatus": "SUCCESS" } ], "RenewalStatus": "SUCCESS", "RenewalStatusReason": "", "UpdatedAt": "2020-04-26T00:41:35.000Z", }, "Serial": "02:ac:86:b6:07:2f:0a:61:0e:3a:ac:fd:d9:ab:17:1a", "SignatureAlgorithm": "SHA256WITHRSA", "Status": "ISSUED", "Subject": "CN=example.amazondomains.com"", "SubjectAlternativeNames": ["example.amazondomains.com"], "Type": "AMAZON_ISSUED" }

AwsCertificateManagerCertificate 可能具有以下属性。

CertificateAuthorityArn

可选

用于颁发证书的私有证书颁发机构 (CA) 的 ARN。

类型: String

CreatedAt

可选

指示请求证书的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreatedAt": "2017-03-22T13:22:13.933Z"
DomainName

可选

由证书保护的完全限定域名 (FQDN),如 www.example.com。

类型: String

最小长度: 1

最大长度: 253

DomainValidationOptions

可选

包含有关因 RequestCertificate 请求而进行的每个域名的初始验证的信息。

仅在证书类型为 AMAZON_ISSUED 时提供。

类型: 对象数组

ExtendedKeyUsages

可选

包含扩展密钥用法 X.509 v3 扩展对象的列表。每个对象指定一个可以使用证书公有密钥的目的,并包含一个名称和对象标识符 (OID)。

类型: 对象数组

FailureReason

可选

对于失败的证书请求,为失败原因。

类型: String

有效值: NO_AVAILABLE_CONTACTS| ADDITIONAL_VERIFICATION_REQUIRED | DOMAIN_NOT_ALLOWED | INVALID_PUBLIC_DOMAIN | DOMAIN_VALIDATION_DENIED | CAA_ERROR | PCA_LIMIT_EXCEEDED | PCA_INVALID_ARN | PCA_INVALID_STATE | PCA_REQUEST_FAILED | PCA_NAME_CONSTRAINTS_VALIDATION | PCA_RESOURCE_NOT_FOUND | PCA_INVALID_ARGS | PCA_INVALID_DURATION | PCA_ACCESS_DENIED | SLR_NOT_FOUND |OTHER

ImportedAt

可选

指示导入证书的时间。如果证书类型为 IMPORTED,则提供。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"ImportedAt": "2017-03-22T13:22:13.933Z"
InUseBy

可选

使用证书的 ARNs 资源的 AWS 列表。

类型: 字符串数组

IssuedAt

可选

指示颁发证书的时间。如果证书类型为 AMAZON_ISSUED,则提供。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"IssuedAt": "2017-03-22T13:22:13.933Z"
Issuer

可选

颁发和签署证书的证书颁发机构的名称。

类型: String

KeyAlgorithm

可选

用于生成公有-私有密钥对的算法。

类型: String

有效值: RSA_2048| RSA_1024 | RSA_4096 | EC_prime256v1 | EC_secp384r1 |EC_secp521r1

KeyUsages

可选

密钥用法 X.509 v3 扩展对象的列表。

类型: 对象数组

NotAfter

可选

证书变为无效状态的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"NotAfter": "2017-03-22T13:22:13.933Z"
NotBefore

可选

证书无效之前的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"NotBefore": "2017-03-22T13:22:13.933Z"
Options

可选

提供一个值以指定是否将证书添加到透明度日志中。

类型: 对象

RenewalEligibility

可选

证书是否符合续订资格。

类型: String

有效值: ELIGIBLE|INELIGIBLE

RenewalSummary

可选

有关证书的 ACM 托管续订状态的信息。仅在证书类型为 AMAZON_ISSUED 时提供。

类型: 对象

Serial

可选

证书的序列号。

类型: String

SignatureAlgorithm

可选

用于签署证书的算法。

类型: String

Status

可选

证书的状态。

类型: String

有效值: PENDING_VALIDATION| ISSUED | INACTIVE | EXPIRED | VALIDATION_TIMED_OUT | REVOKED |FAILED

Subject

可选

与证书中包含的公有密钥关联的实体的名称。

类型: String

SubjectAlternativeNames

可选

证书中包含的一个或多个域名(使用者备用名称)。此列表包含绑定到证书中包含的公有密钥的域名。

主题备用名称包括证书的规范域名 (CN) 以及可用于连接到网站的其他域名。

类型: 字符串数组

最小项数: 1

最大项数: 100

每个项目的最小长度: 1

每个项目的最大长度: 253

Type

可选

证书的源。对于 ACM 提供的证书,TypeAMAZON_ISSUED。 对于使用 ImportCertificate 导入的证书,TypeIMPORTED

类型: String

有效值: IMPORTED| AMAZON_ISSUED |PRIVATE

DomainValidationOptions

对象包含有关以下内容之一的信息:DomainValidationOptions

  • RequestCertificate 请求而进行的每个域名的初始验证

  • 证书中每个域名的验证,因为它与 ACM 托管续订相关

DomainValidationOptions 可能具有以下属性。

DomainName

可选

证书中的完全限定域名 (FQDN)。

类型:String

ResourceRecord

可选

添加到 DNS 数据库以进行域验证的 CNAME 记录。

类型: 对象

ValidationDomain

可选

用于发送域验证电子邮件的域名。ACM

类型: String

ValidationEmails

可选

用于发送域验证电子邮件的电子邮件地址的列表。ACM

类型: 字符串数组

ValidationMethod

可选

用于验证域名的方法。

类型: String

ValidationStatus

可选

域名的验证状态。

类型: String

ResourceRecord 提供有关资源的以下详细信息。

Name

可选

资源的名称。

类型: String

Type

可选

资源的类型。

类型: String

Value

可选

资源的值。

类型: String

ExtendedKeyUsages

ExtendedKeyUsages 包含扩展密钥用法 X.509 v3 扩展对象的列表。

每个扩展对象可能具有以下属性。

Name

可选

扩展值的名称。指示证书公有密钥的使用目的。

类型: String

Oid

可选

扩展值的对象标识符 (OID)。

类型: String

格式: 按句点分隔的数字

示例

"OId": "1.3.6.1.5.5.7.3.1"

KeyUsages

对象包含密钥用法 X.509 v3 扩展对象的列表。KeyUsages

每个扩展对象可能具有以下属性。

Name

可选

密钥用法扩展名称。

类型: String

Options

对象包含证书的其他选项。Options

目前,唯一的选项指示是否将证书添加到透明度日志中。

Options 可能具有以下属性。

CertificateTransparencyLoggingPreference

可选

是否将证书添加到透明度日志。

类型: String

有效值: DISABLED|ENABLED

RenewalSummary

对象包含有关 RenewalSummary 证书的 ACM 托管续订的信息。AMAZON_ISSUED

RenewalSummary 可能具有以下属性。

DomainValidationOptions

可选

有关证书中每个域名的验证的信息,因为它与 ACM 托管续订相关。仅在证书类型为 AMAZON_ISSUED 时提供。

类型: 对象数组

RenewalStatus

可选

证书的 ACM 托管续订的状态。

类型: String

有效值: PENDING_AUTO_RENEWAL| PENDING_VALIDATION | SUCCESS |FAILED

RenewalStatusReason

可选

续订请求不成功的原因。

类型: String

有效值: NO_AVAILABLE_CONTACTS| ADDITIONAL_VERIFICATION_REQUIRED | DOMAIN_NOT_ALLOWED | INVALID_PUBLIC_DOMAIN | DOMAIN_VALIDATION_DENIED | CAA_ERROR | PCA_LIMIT_EXCEEDED | PCA_INVALID_ARN | PCA_INVALID_STATE | PCA_REQUEST_FAILED | PCA_NAME_CONSTRAINTS_VALIDATION | PCA_RESOURCE_NOT_FOUND | PCA_INVALID_ARGS | PCA_INVALID_DURATION | PCA_ACCESS_DENIED | SLR_NOT_FOUND |OTHER

UpdatedAt

可选

指示上次更新续订摘要的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"UpdatedAt": "2017-03-22T13:22:13.933Z"

AwsCloudFrontDistribution

AwsCloudFrontDistribution 对象提供有关分配配置的详细信息。

它可能具有以下属性。

CacheBehaviors

可选

提供有关分配的缓存配置的信息。

类型: 对象

DefaultCacheBehavior

可选

配置的默认缓存行为。

类型: 对象

DefaultRootObject

可选

当查看器请求分配的根 URL (http://www.example.com) 而不是分配中的对象 (http://www.example.com/product-description.html).) 时,CloudFront 为响应来自源(例如,index.html)的请求而发送的对象

类型: String

DomainName

可选

与分配对应的域名。

类型: String

Etag

可选

实体标签是对象的哈希。

类型: String

LastModifiedTime

可选

指示分配上次修改的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

Logging

可选

控制是否写入分配的访问日志的复杂类型。

类型: 对象

OriginGroups

可选

提供有关分配中的源组的信息。

类型: 对象

Origins

可选

包含此分配的源和源组信息的复杂类型。

类型: String

Status

可选

表示分配的当前状态。

类型: String

WebAclId

可选

指定要与该分配关联的 AWS WAF Web ACL(如果有)的唯一标识符。

类型: String

CacheBehaviors

对象提供有关分配缓存的信息。CacheBehaviors对象包含对象的 CacheBehaviors 数组。Items对象表示缓存行为。Items

中的每个对象可能具有以下属性。Items

ViewerProtocolPolicy

可选

查看器可用于访问源中的文件的协议。可以指定以下选项:

  • allow-all – 查看器可以使用 HTTP 或 HTTPS。

  • redirect-to-https – CloudFront 使用 HTTP 状态代码 301 (永久移动) 和 HTTPS URL 响应 HTTP 请求。然后,查看器会使用新 URL 重新提交。

  • https-only – CloudFront 使用 HTTP 状态代码 403(禁止)响应 HTTP 请求。

类型: String

有效值: allow-all| https-only |redirect-to-https

DefaultCacheBehavior

对象包含有关分配的默认缓存配置的信息。DefaultCacheBehavior

DefaultCacheBehavior 可能具有以下属性。

ViewerProtocolPolicy

可选

查看器可用于访问源中的文件的协议。可以指定以下选项:

  • allow-all – 查看器可以使用 HTTP 或 HTTPS。

  • redirect-to-https – CloudFront 使用 HTTP 状态代码 301(永久移动)和 HTTPS URL 响应 HTTP 请求。然后,查看器会使用新 URL 重新提交。

  • https-only – CloudFront 使用 HTTP 状态代码 403(禁止)响应 HTTP 请求。

类型: String

有效值: allow-all| https-only |redirect-to-https

Logging

Logging 对象提供有关分配日志记录的信息。

它可能具有以下属性。

Bucket

可选

在其中存储访问日志的 S3 存储桶。

类型: String

Enabled

可选

您可以使用该字段启用或禁用所选的分配。

类型: 布尔型

IncludeCookies

可选

指定是否希望 CloudFront 在访问日志中包含 Cookie。

类型: 布尔型

Prefix

可选

您希望 CloudFront 在该分配的访问日志文件名前面添加的可选字符串。

类型: String

OriginGroups

对象包含有关分配的源组的信息。OriginGroups

结构如下所示:

"OriginGroups": { "Items": [ { "FailoverCriteria": { "StatusCodes": { "Items": [ number ], "Quantity": number } } } ] },

OriginGroups 包含一个 Items 对象数组。每个对象均表示一个源组。

每个 Items 对象包含一个 FailoverCriteria 对象。对象提供有关源组故障转移时间的信息。FailoverCriteria

FailoverCriteria 对象包含 StatusCodes 对象。StatusCodes 指示导致故障转移的状态代码。

Items

可选

可能导致故障转移到下一个源的状态代码值的列表。

类型: 数字数组。

Quantity

可选

可能导致故障转移的状态代码的数量。

类型: Number

Origins

Origins 对象包含有关该分配的源和源组的信息。

它可能包含以下属性。

Items

可选

包含此分配的源或源组的复杂类型。

类型: 对象数组

每一项可能具有以下属性。

DomainName

可选

Amazon S3 源: 您希望 CloudFront 从中获取此源的对象的 S3 存储桶的 DNS 名称。

类型: String

Id

可选

源或源组的唯一标识符。

类型: String

OriginPath

可选

导致 CloudFront 从 S3 存储桶中的目录或自定义源中请求内容的可选元素。

类型: String

S3OriginConfig

可选

作为未配置静态网站托管的 S3 存储桶的源。

类型:对象

S3OriginConfig 可能具有以下属性。

OriginAccessIdentity

可选

要与源关联的 CloudFront 源访问标识。

类型: String

AwsCloudTrailTrail

对象提供有关 AwsCloudTrailTrail 跟踪的详细信息。CloudTrail

示例

"AwsCloudTrailTrail": { "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:CloudTrail/regression:*", "CloudWatchLogsRoleArn": "arn:aws:iam::866482105055:role/CloudTrail_CloudWatchLogs", "HasCustomEventSelectors": true, "HomeRegion": "us-west-2", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "KmsKeyId": "kmsKeyId", "LogFileValidationEnabled": true, "Name": "regression-trail", "S3BucketName": "cloudtrail-bucket", "S3KeyPrefix": "s3KeyPrefix", "SnsTopicArn": "arn:aws:sns:us-east-2:123456789012:MyTopic", "SnsTopicName": "snsTopicName", "TrailArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail" }

AwsCloudTrailTrail 可能具有以下属性。

CloudWatchLogsLogGroupArn

可选

日志传送到的日志组的 ARN。CloudTrail

类型: String

CloudWatchLogsRoleArn

可选

终端节点在写入日志组时所代入的角色的 ARN。CloudWatch Logs

类型: String

HasCustomEventSelectors

可选

指示跟踪是否具有自定义事件选择器。

类型: 布尔型

HomeRegion

可选

创建跟踪的区域。

类型: String

IncludeGlobalServiceEvents

可选

指示跟踪是否将来自全球服务(如 IAM)的事件发布到日志文件。

类型: 布尔型

IsMultiRegionTrail

可选

指示跟踪是仅应用于当前区域还是应用于所有区域。

类型: 布尔型

IsOrganizationTrail

可选

在 AWS Organizations 中为组织中的所有账户创建跟踪,还是仅为当前 AWS 账户创建跟踪。

类型: 布尔型

KmsKeyId

可选

用于加密日志的 AWS KMS 密钥 ID。

类型: String

LogFileValidationEnabled

可选

指示是否启用 CloudTrail 日志文件验证。

类型: 布尔型

Name

可选

跟踪的名称。

类型:String

S3BucketName

可选

在其中发布日志文件的 S3 存储桶的名称。

类型: String

最小长度: 3

最大长度: 63

S3KeyPrefix

可选

S3 键前缀。键前缀是在发布日志文件的 S3 存储桶的名称之后添加的。

类型:String

最大长度: 200

SnsTopicArn

可选

用于日志文件传输通知的 SNS 主题的 ARN。

类型: String

SnsTopicName

可选

用于日志文件传输通知的 SNS 主题的名称。

类型: String

最大长度: 255

TrailArn

可选

跟踪的 ARN。

类型: String

AwsCodeBuildProject

AwsCodeBuildProject 对象提供有关 AWS CodeBuild 项目的信息。

示例

"AwsCodeBuildProject": { "EncryptionKey": "my-symm-key", "Environment": { "Type": "LINUX_CONTAINER", "Certificate": "myX509", "ImagePullCredentialsType": "CODEBUILD", "RegistryCredential": { "Credential": "my_dockerhub_secret", "CredentialProvider": "SECRETS_MANAGER" } }, "Name": "my-cd-project", "Source": { "Type": "CODECOMMIT", "Location": "https://git-codecommit.us-east-2.amazonaws.com/v1/repos/MyDemoRepo", "GitCloneDepth": 1 }, "ServiceRole": "arn:aws:iam:myrole", "VpcConfig": { "VpcId": "vpc-1234456", "Subnets": ["sub-12344566"], "SecurityGroupIds": ["sg-123456789012"] } }

AwsCodeBuildProject 对象可能具有以下属性。

EncryptionKey

可选

用于加密构建输出构件的 AWS KMS 客户主密钥 (CMK)。

注意

如果您的服务角色具有一个跨账户 KMS 密钥的权限,则您可使用此密钥来加密构建输出构件。

您可以指定 CMK 的 ARN 或 CMK 别名 (如果可用) (使用格式 alias/alias-name).

类型:String

最小长度: 1

Environment

可选

有关该构建项目的构建环境的信息。

类型: 对象

Name

可选

构建项目的名称。

类型: String

最小长度: 2

最大长度: 255

模式: [A-Za-z0-9][A-Za-z0-9\\-_]{1,254}

ServiceRole

可选

允许 CodeBuild 代表 AWS 账户与相关的 AWS 服务进行交互的 IAM 角色的 ARN。

类型: String

最小长度: 1

Source

可选

有关此构建项目的构建输入源代码的信息。

类型: 对象

VpcConfig

可选

有关 CodeBuild 访问的 VPC 配置的信息。

类型: 对象

Environment

Environment 对象提供有关构建项目的构建环境的信息。

它可能具有以下属性。

Certificate

可选

要用于此构建项目的证书。

类型: String

ImagePullCredentialsType

可选

CodeBuild 用于在您的生成中拉取映像的凭证的类型。有两个有效值:

CODEBUILD 指定 CodeBuild 使用其自己的凭证。这要求您修改 ECR 存储库策略以信任 CodeBuild 服务委托人。

SERVICE_ROLE 指定 CodeBuild 使用您的构建项目的服务角色。

当您使用跨账户或专用镜像仓库镜像时,必须使用 SERVICE_ROLE 凭证。当您使用 CodeBuild 精选镜像时,必须使用 CODEBUILD 凭证。

类型: String

有效值: CODEBUILD|SERVICE_ROLE

RegistryCredential

可选

用于访问私有注册表的凭证。

类型: 对象

Type

必填

要用于相关构建的构建环境的类型。

类型: String

有效值: WINDOWS_CONTAINER| LINUX_CONTAINER | LINUX_GPU_CONTAINER |ARM_CONTAINER

RegistryCredentials 对象中的每个注册表凭证具有以下属性。

Credential

必填

使用 AWS Secrets Manager 创建的凭证的 ARN 或名称。

注意

只有在凭证在当前 AWS 区域中存在时,才能使用凭证的名称。

类型: String

最小长度: 1

CredentialProvider

必填

创建访问私有 Docker 注册表凭证的服务。Secrets Manager 的有效值为 SECRETS_MANAGER

类型: String

有效值SECRETS_MANAGER

Source

Source 对象提供有关该构建项目的构建输入源代码的信息。

它可能具有以下属性。

GitCloneDepth

可选

有关构建项目的 Git 克隆深度的信息。

类型: 整数

最小值: 0

Location

可选

有关要生成的源代码的位置的信息。

类型: String

有效值:

  • 对于在 AWS CodePipeline 中的管道的源操作中指定的源代码设置,不应指定 location。如果指定,CodePipeline 将忽略该值。这是因为,CodePipeline 使用管道的源操作中的设置而不是该值。

  • 对于 AWS CodeCommit 存储库中的源代码,这是包含源代码和构建规范文件的存储库的 HTTPS 克隆 URL(例如 https://git-codecommit.region-ID.amazonaws.com/v1/repos/repo-name)。

  • 对于 S3 输入存储桶中的源代码,这是以下内容之一。

    • 包含源代码的 ZIP 文件的路径(例如,bucket-name/path/to/object-name.zip)。

    • 包含源代码的文件夹的路径(例如,bucket-name/path/to/source-code/folder/)。

  • 对于 GitHub 存储库中的源代码,则为指向包含源和构建规范文件的存储库的 HTTPS 克隆 URL。

  • 对于 Bitbucket 存储库中的源代码,这是包含源和构建规范文件的存储库的 HTTPS 克隆 URL。

Type

必填

包含要构建的源代码的存储库的类型。

类型: String

有效值:

  • BITBUCKET ‐ 源代码位于 Bitbucket 存储库中。

    CODECOMMIT ‐ 源代码位于 CodeCommit 存储库中。

    CODEPIPELINE ‐ 源代码设置是在 CodePipeline 中的管道的源操作中指定的。

    GITHUB ‐ 源代码位于 GitHub 存储库中。

    GITHUB_ENTERPRISE ‐ 源代码位于 GitHub Enterprise 存储库中。

    NO_SOURCE ‐ 项目没有输入源代码。

    S3 ‐ 源代码位于 Amazon S3 输入存储桶中。

VpcConfig

VpcConfig 对象提供有关 CodeBuild 访问的 VPC 配置的信息。

它可能具有以下属性。

SecurityGroupIds

可选

您的 IDs 中的一个或多个安全组 Amazon VPC 的列表。

类型: 字符串数组

数组成员: 最多 5 项

每个项目的最小长度: 1

Subnets

可选

您的 IDs 中的一个或多个子网 Amazon VPC 的列表。

类型: 字符串数组

数组成员: 最多 16 项

每个项目的最小长度: 1

VpcId

可选

VPC 的 ID。

类型: String

最小长度: 1

AwsDynamoDbTable

对象提供有关 AwsDynamoDbTable 表的详细信息。DynamoDB

示例

"AwsDynamoDbTable": { "AttributeDefinitions": [ { "AttributeName": "attribute1", "AttributeType": "value 1" }, { "AttributeName": "attribute2", "AttributeType": "value 2" }, { "AttributeName": "attribute3", "AttributeType": "value 3" } ], "BillingModeSummary": { "BillingMode": "PAY_PER_REQUEST", "LastUpdateToPayPerRequestDateTime": "2019-12-03T15:23:10.323Z" }, "CreationDateTime": "2019-12-03T15:23:10.248Z", "GlobalSecondaryIndexes": [ { "Backfilling": false, "IndexArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/index/exampleIndex", "IndexName": "standardsControlArnIndex", "IndexSizeBytes": 1862513, "IndexStatus": "ACTIVE", "ItemCount": 20, "KeySchema": [ { "AttributeName": "City", "KeyType": "HASH" }, { "AttributeName": "Date", "KeyType": "RANGE" } ], "Projection": { "NonKeyAttributes": ["predictorName"], "ProjectionType": "ALL" }, "ProvisionedThroughput": { "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z", "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z", "NumberOfDecreasesToday": 0, "ReadCapacityUnits": 100, "WriteCapacityUnits": 50 }, } ], "GlobalTableVersion": "V1", "ItemCount": 2705, "KeySchema": [ { "AttributeName": "zipcode", "KeyType": "HASH" } ], "LatestStreamArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/stream/2019-12-03T23:23:10.248", "LatestStreamLabel": "2019-12-03T23:23:10.248", "LocalSecondaryIndexes": [ { "IndexArn": "arn:aws:dynamodb:us-east-1:111122223333:table/exampleGroup/index/exampleId", "IndexName": "CITY_DATE_INDEX_NAME", "KeySchema": [ { "AttributeName": "zipcode", "KeyType": "HASH" } ], "Projection": { "NonKeyAttributes": ["predictorName"], "ProjectionType": "ALL" }, } ], "ProvisionedThroughput": { "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z", "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z", "NumberOfDecreasesToday": 0, "ReadCapacityUnits": 100, "WriteCapacityUnits": 50 }, "Replicas": [ { "GlobalSecondaryIndexes":[ { "IndexName": "CITY_DATE_INDEX_NAME", "ProvisionedThroughputOverride": { "ReadCapacityUnits": 10 } } ], "KmsMasterKeyId" : "KmsMasterKeyId" "ProvisionedThroughputOverride": { "ReadCapacityUnits": 10 }, "RegionName": "regionName", "ReplicaStatus": "CREATING", "ReplicaStatusDescription": "replicaStatusDescription" } ], "RestoreSummary" : { "SourceBackupArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/backup/backup1", "SourceTableArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable", "RestoreDateTime": "2020-06-22T17:40:12.322Z", "RestoreInProgress": true }, "SseDescription": { "InaccessibleEncryptionDateTime": "2018-01-26T23:50:05.000Z", "Status": "ENABLED", "SseType": "KMS", "KmsMasterKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key1" }, "StreamSpecification" : { "StreamEnabled": true, "StreamViewType": "NEW_IMAGE" }, "TableId": "example-table-id-1", "TableName": "example-table", "TableSizeBytes": 1862513, "TableStatus": "ACTIVE" }

它可能具有以下属性。

AttributeDefinitions

可选

表的属性定义的列表。

类型: 对象的数组。

BillingModeSummary

可选

有关表中读/写容量的计费的信息。

类型: 对象

CreationDateTime

可选

指示创建表的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreationDateTime": "2020-06-22T17:40:12.322Z"
GlobalSecondaryIndexes

可选

表的全局二级索引列表。

类型: 对象数组

GlobalTableVersion

可选

正在使用的全局表的版本。

类型: String

ItemCount

可选

表中的项目数。

类型: Number

KeySchema

可选

表的主键结构。

类型: 对象数组

LatestStreamArn

可选

表的最新流的 ARN。

类型: String

LatestStreamLabel

可选

最新流的标签。标签不是唯一标识符。

类型: String

LocalSecondaryIndexes

可选

表的本地二级索引列表。

类型: 对象数组

ProvisionedThroughput

可选

有关表的预置吞吐量的信息。

类型: 对象

Replicas

可选

此表的副本列表。

类型: 对象数组

RestoreSummary

可选

有关表还原的信息。

类型: 对象

SseDescription

可选

有关表的服务器端加密的信息。

类型: 对象

StreamSpecification

可选

表的当前 DynamoDB 流 配置。

类型: 对象

TableId

可选

表的标识符。

类型: String

TableName

可选

表的名称。

类型: String

最小长度: 3

最大长度: 255

TableSizeBytes

可选

表的总大小,以字节为单位。

类型: 整数

TableStatus

可选

表的当前状态。

类型: String

有效值: CREATING| UPDATING | DELETING | ACTIVE | INACCESSIBLE_ENCRYPTION_CREDENTIALS | ARCHIVING |ARCHIVED

AttributeDefinitions

对象包含表的属性定义列表。AttributeDefinitions

它可能具有以下属性。

AttributeName

可选

属性的名称。

类型:String

AttributeType

可选

属性的类型。

类型: String

BillingModeSummary

对象提供有关表上读/写容量的计费的信息。BillingModeSummary

它可能具有以下属性。

BillingMode

可选

用于对读取和写入吞吐量收费和管理容量的方法。

类型: String

有效值: PROVISIONED|PAY_PER_REQUEST

LastUpdateToPayPerRequestDateTime

可选

如果账单模式为 PAY_PER_REQUEST,则指示账单模式设置为该值的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"LastUpdateToPayPerRequestDateTime": "2020-06-22T17:40:12.322Z"

GlobalSecondaryIndexes

对象包含表的全局二级索引列表。GlobalSecondaryIndexes

它可能具有以下属性。

Backfilling

可选

索引当前是否正在回填。

类型: 布尔型

IndexArn

可选

索引的 ARN。

类型: String

IndexName

可选

索引的名称。

类型: String

IndexSizeBytes

可选

索引的总大小,以字节为单位。

类型: Number

IndexStatus

可选

索引的当前状态。

类型: String

有效值: CREATING| UPDATING | DELETING |ACTIVE

ItemCount

可选

索引中的项目数。

类型: Number

KeySchema

可选

索引的键架构。

类型:对象数组

Projection

可选

从表复制到索引中的属性。

类型: 对象

ProvisionedThroughput

可选

有关索引的预置吞吐量设置的信息。

类型: 对象

KeySchema

对象包含表的键架构、全局二级索引或本地二级索引。KeySchema

键架构的每个组件可能具有以下属性。

AttributeName

可选

属性的名称。

类型: String

KeyType

可选

用于属性的密钥的类型。

类型: String

有效值: HASH|RANGE

LocalSecondaryIndexes

LocalSecondaryIndexes 可能具有以下属性。

IndexArn

可选

索引的 ARN。

类型: String

IndexName

可选

索引的名称。

类型: String

最小长度: 3

最大长度: 255

KeySchema

可选

索引的完整键架构。

类型: 对象数组

Projection

可选

从表复制到索引中的属性。这些属性是主键属性和索引键属性(它们会自动投影)之外的属性。

类型:对象

Projection (对于全局和本地二级索引)

对于全局和本地二级索引,Projection 对象标识从表复制到索引中的属性。

它可能具有以下属性。

NonKeyAttributes

可选

投影到索引中的非键属性。对于每个属性,请提供属性名称。

类型: 字符串数组

最大项数: 20

每个属性的最小长度: 1

每个属性的最大长度: 225

ProjectionType

可选

投影到索引中的属性的类型。

类型: String

有效值: ALL| KEYS_ONLY |INCLUDE

ProvisionedThroughput

对象包含有关表或全局二级索引的预置吞吐量的信息。ProvisionedThroughput

它可能具有以下属性。

LastDecreaseDateTime

可选

指示上次减少预配置吞吐量的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"LastDecreaseDateTime": "2020-06-22T17:40:12.322Z"
LastIncreaseDateTime

可选

指示上次增加预配置吞吐量的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"LastIncreaseDateTime": "2020-06-22T17:40:12.322Z"
NumberOfDecreasesToday

可选

在当前 UTC 日历日内减少了预配置吞吐量的次数。

类型: Number

ReadCapacityUnits

可选

在 DynamoDB 返回 ThrottlingException 之前,每秒使用的最大强一致性读取数。

类型: Number

WriteCapacityUnits

可选

在 DynamoDB 返回 ThrottlingException 之前,每秒使用的最大写入数。

类型: Number

Replicas

对象包含此表的副本列表。Replicas

每个副本可能具有以下属性。

GlobalSecondaryIndexes

可选

副本的全局二级索引列表。

类型:对象数组

GlobalSecondaryIndexes.IndexName

可选

索引的名称。

类型: String

GlobalSecondaryIndexes.ProvisionedThroughputOverride

可选

索引的预配置吞吐量的特定于副本的配置。

类型: 对象

KmsMasterKeyID

可选

将用于副本 AWS KMS 加密的 AWS KMS 客户主密钥 (CMK) 的标识符。

类型: String

ProvisionedThroughputOverride

可选

预配置吞吐量的特定于副本的配置。

类型: 对象

RegionName

可选

副本所在区域的名称。

类型: String

ReplicaStatus

可选

副本的当前状态。

类型: String

有效值: CREATING| CREATION_FAILED | UPDATING | DELETING |ACTIVE

ReplicaStatusDescription

可选

有关副本状态的详细信息。

类型: String

对象为表或全局二级索引的预置吞吐量提供特定于副本的配置。ProvisionedThroughputOverride

它可能具有以下属性。

ReadCapacityUnits

可选

副本的读取容量单位。

类型: Number

最小值: 1

RestoreSummary

对象提供有关表还原的信息。RestoreSummary

它可能具有以下属性。

RestoreDateTime

可选

指示表还原到的时间点。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"RestoreDateTime": "2020-06-22T17:40:12.322Z"
RestoreInProgress

可选

当前是否正在还原。

类型: 布尔型

SourceBackupArn

可选

从中还原表的源备份的 ARN。

类型: String

SourceTableArn

可选

备份的源表的 ARN。

类型: String

SseDescription

对象提供有关表的服务器端加密的信息。SseDescription

它可能具有以下属性。

InaccessibleEncryptionDateTime

可选

如果无法访问密钥,则为 DynamoDB 检测到无法访问密钥的日期和时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"InaccessibleEncryptionDateTime": "2020-06-22T17:40:12.322Z"
KmsMasterKeyArn

可选

用于 AWS KMS 加密的 AWS KMS 客户主密钥 (CMK) 的 ARN。

类型: String

SseType

可选

服务器端加密的类型。

类型: String

有效值KMS

Status

可选

服务器端加密的状态。

类型: String

有效值: ENABLED|UPDATING

StreamSpecification

对象包含表的当前 StreamSpecification 配置。DynamoDB 流

它可能具有以下属性。

StreamEnabled

可选

指示是否在表上启用 DynamoDB 流。

类型: 布尔型

StreamViewType

可选

确定写入表的信息。

类型: String

有效值: NEW_IMAGE| OLD_IMAGE | NEW_AND_OLD_IMAGES |KEYS_ONLY

AwsEc2Eip

对象提供有关弹性 IP 地址的信息。AwsEc2Eip

示例

"AwsEc2Eip": { "InstanceId": "instance1", "PublicIp": "192.0.2.04", "AllocationId": "eipalloc-example-id-1", "AssociationId": "eipassoc-example-id-1", "Domain": "vpc", "PublicIpv4Pool": "anycompany", "NetworkBorderGroup": "eu-central-1", "NetworkInterfaceId": "eni-example-id-1", "NetworkInterfaceOwnerId": "777788889999", "PrivateIpAddress": "192.0.2.03" }

AwsEc2Eip 对象可能具有以下属性。

AllocationId

可选

分配的标识符,用于表示与 AWS 结合使用的弹性 IP 地址的分配。Amazon VPC

类型: String

AssociationId

可选

表示弹性 IP 地址与 EC2 实例的关联的标识符。

类型: String

Domain

可选

要在其中分配地址的域。

如果该地址用于 VPC 中的 EC2 实例,则 Domainvpc。 否则,Domainstandard

类型: String

有效值: standard|vpc

InstanceId

可选

EC2 实例的标识符。

类型: String

NetworkBorderGroup

可选

通告弹性 IP 地址的位置的名称。

类型: String

NetworkInterfaceId

可选

网络接口的标识符。

类型: String

NetworkInterfaceOwnerId

可选

网络接口所有者的 AWS 账户 ID。

类型: String

格式: 必须是 12 位的数字。

PrivateIpAddress

可选

与弹性 IP 地址关联的私有 IP 地址。

类型:IPv4

PublicIp

可选

与 EC2 实例关联的公有 IP 地址。

类型:IPv4

PublicIpv4Pool

可选

IP 地址池的标识符。此参数允许 Amazon EC2 从地址池中选择 IP 地址。

类型: String

AwsEc2Instance

Amazon EC2 实例的详细信息。

类型:对象

AwsEc2Instance 对象可能具有以下属性。

IamInstanceProfileArn

可选

实例的 IAM 配置文件 ARN。

类型: String

格式: 符合 AWS ARN 格式

ImageId

可选

实例的 Amazon 系统映像 (AMI) ID。

类型: String

最大长度: 64

IpV4Addresses

可选

与实例关联的 IPv4 地址。

类型: 最多包含 10 个 IPv4 地址的数组

IpV6Addresses

可选

与实例关联的 IPv6 地址。

类型: 最多包含 10 个 IPv6 地址的数组

KeyName

可选

与实例关联的键名称。

类型: String

最大长度: 128

LaunchedAt

可选

指示实例启动的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

SubnetId

可选

启动实例的子网的标识符。

类型: String

最大长度: 32

Type

可选

实例的实例类型。必须为有效的 EC2 实例类型

类型: String

最大长度: 16

VpcId

可选

启动实例的 VPC 的标识符。

类型: String

最大长度: 32

AwsEc2NetworkInterface

AwsEc2NetworkInterface 对象提供有关 Amazon EC2 网络接口的信息。

示例

"AwsEc2NetworkInterface": { "Attachment": { "AttachTime": "2019-01-01T03:03:21Z", "AttachmentId": "eni-attach-43348162", "DeleteOnTermination": true, "DeviceIndex": 123, "InstanceId": "i-1234567890abcdef0", "InstanceOwnerId": "123456789012", "Status": 'ATTACHED' }, "SecurityGroups": [ { "GroupName": "my-security-group", "GroupId": "sg-903004f8" }, ], "NetworkInterfaceId": 'eni-686ea200', "SourceDestCheck": false }

AwsEc2NetworkInterface 对象可能具有以下属性。

Attachment

可选

有关网络接口附加的信息。

类型: 对象

NetworkInterfaceId

可选

网络接口的 ID。

类型: String

SecurityGroups

可选

网络接口的安全组。

类型: 组对象数组

SourceDestCheck

可选

指示是否验证实例的进出流量。

类型: 布尔型

Attachment

Attachment 对象提供有关网络接口附加的信息。

它可能具有以下属性。

AttachmentId

可选

网络接口附加的标识符

类型: String

AttachTime

可选

指示何时启动附加。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

DeleteOnTermination

可选

指示在实例终止时是否删除网络接口。

类型: 布尔型

DeviceIndex

可选

实例上的网络接口附件的设备索引。

类型: 整数

InstanceId

可选

实例的 ID。

类型: String

InstanceOwnerId

可选

实例所有者的 AWS 账户 ID。

类型: String

Status

可选

附加状态。

类型: String

有效值: attaching| attached | detaching |detached

SecurityGroups

SecurityGroups 对象包含网络接口的安全组列表。

每个安全组可能具有以下属性。

GroupId

可选

安全组 ID.

类型: String

GroupName

可选

安全组的名称。

类型: String

AwsEc2SecurityGroup

AwsEc2SecurityGroup 对象描述 Amazon EC2 安全组。

示例

"AwsEc2SecurityGroup": { "GroupName": "MySecurityGroup", "GroupId": "sg-903004f8", "OwnerId": "123456789012", "VpcId": "vpc-1a2b3c4d", "IpPermissions": [ { "IpProtocol": "-1", "IpRanges": [], "UserIdGroupPairs": [ { "UserId": "123456789012", "GroupId": "sg-903004f8" } ], "PrefixListIds": [ {"PrefixListId": "pl-63a5400a"} ] }, { "PrefixListIds": [], "FromPort": 22, "IpRanges": [ { "CidrIp": "203.0.113.0/24" } ], "ToPort": 22, "IpProtocol": "tcp", "UserIdGroupPairs": [] } ] }

AwsEc2SecurityGroup 对象可能具有以下属性。

GroupId

可选

安全组 ID.

类型: String

GroupName

可选

安全组的名称。

类型: String

IpPermissions

可选

与安全组关联的入站规则。

类型: IP 权限对象数组

IpPermissionsEgress

可选

[仅限 VPC] 与安全组关联的出站规则。

类型: IP 权限对象数组

OwnerId

可选

安全组所有者的 AWS 账户 ID。

类型: String

VpcId

可选

[仅限 VPC] 安全组的 VPC 的 ID。

类型: String

IP 权限对象

IpPermissionsIpPermissionsEgress 对象均包含 IP 权限对象数组。

每个 IP 权限对象可能具有以下属性。

FromPort

可选

TCP 和 UDP 协议的端口范围的起始端口或 ICMP/ICMPv6 类型编号。

-1 指示所有 ICMP/ICMPv6 类型。如果您指定所有 ICMP/ICMPv6 类型,则必须指定所有代码。

类型: 整数

IpProtocol

可选

IP 协议名称(tcpudpicmpicmpv6)或编号(请参阅协议编号列表)。

[仅限 VPC] 使用 -1 可指定所有协议。

当授权安全组规则时,指定 -1tcpudpicmpicmpv6 意外的协议编号将允许所有端口上的流量,无论您指定的端口范围如何。

对于 tcpudpicmp,您必须指定端口范围。

对于 icmpv6,端口范围是可选的。如果省略端口范围,则允许所有类型和代码的流量。

类型: String

IpRanges

可选

IP 地址范围。

类型: IP 范围对象的数组

PrefixListIds

可选

[仅限 VPC] IDs 服务的前缀列表 AWS。借助出站规则,这是 AWS 服务,用于从与安全组关联的实例通过 VPC 终端节点访问 。

类型: 前缀列表 ID 对象数组

ToPort

可选

TCP 和 UDP 协议的端口范围的结尾协议或 ICMP/ICMPv6 代码。

-1 指示所有 ICMP/ICMPv6 代码。如果您指定所有 ICMP/ICMPv6 类型,则必须指定所有代码。

类型: 整数

UserIdGroupPairs

可选

安全组和 AWS 账户 ID 对。

类型: 用户 ID 组对对象数组

IpRanges 数组中的每个条目可能具有以下属性。

CidrIp

可选

IP 地址范围。

您可以指定 CIDR 范围或源安全组,但不能同时指定两者。

要指定单个 IPv4 地址,请使用 /32 前缀长度。

要指定单个 IPv6 地址,请使用 /128 前缀长度。

类型: String

PrefixListIds 数组中的每个条目可能具有以下属性。

PrefixListId

可选

前缀 ID。

类型: String

UserIdGroupPairs 数组中的每个条目可能具有以下属性。

GroupId

可选

安全组 ID.

类型: String

UserId

可选

AWS 账户 ID。

对于另一个 VPC 中引用的安全组,将在响应中返回引用的安全组的账户 ID。如果删除了引用的安全组,则不会返回该值。

[Amazon EC2-Classic] 在添加或删除在另一个 AWS 账户中引用安全组的规则时是必需的。

类型: String

AwsEc2Volume

对象提供有关 EC2 卷的详细信息。AwsEc2Volume

示例

"AwsEc2Volume": { "Attachments": [ { "AttachTime": "2017-10-17T14:47:11Z", "DeleteOnTermination": true, "InstanceId": "i-123abc456def789g", "Status": "attached" } ], "CreateTime": "2020-02-24T15:54:30Z", "Encrypted": true, "KmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "Size": 80, "SnapshotId": "", "Status": "available" }

AwsEc2Volume 对象可能具有以下属性。

Attachments

可选

卷附件。

类型: 对象数组

CreateTime

可选

指示卷的创建时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

Encrypted

可选

卷是否加密。

类型: 布尔型

KmsKeyId

可选

已用于保护卷的卷加密密钥的 AWS KMS 客户主密钥 (CMK) 的 ARN。

类型: String

Size

可选

卷的大小(以 GiBs 为单位)。

类型: 整数

SnapshotId

可选

从中创建卷的快照。

类型: String

Status

可选

卷状态。

类型: String

有效值: creating| available | in-use | deleting | deleted |error

Attachments

对象包含 EC2 卷的一组附件。Attachments每个附件可能具有以下属性。

AttachTime

可选

启动附件的日期和时间。

类型: 字符串(时间戳)

Format: yyyy-MM-ddTHH:mm:ssZ

DeleteOnTermination

可选

EBS 卷是否在 EC2 实例终止时删除。

类型: 布尔型

InstanceId

可选

EC2 实例的标识符。

类型: String

Status

可选

卷的附加状态。

类型: String

有效值: attaching| attached | detaching | detached |busy

AwsEc2Vpc

对象提供有关 EC2 Virtual Private Cloud (VPC) 的详细信息。AwsEc2Vpc

示例

"AwsEc2Vpc": { "CidrBlockAssociationSet": [ { "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97", "CidrBlock": "192.0.2.0/24", "CidrBlockState": "associated" } ], "DhcpOptionsId": "dopt-4e42ce28", "Ipv6CidrBlockAssociationSet": [ { "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97", "CidrBlockState": "associated", "Ipv6CidrBlock": "192.0.2.0/24" } ], "State": "available" }

AwsEc2Vpc 对象可能具有以下属性。

CidrBlockAssociationSet

可选

有关与 VPC 关联的 IPv4 CIDR 块的信息。

类型: 对象数组

DhcpOptionsId

可选

与 VPC 关联的一组动态主机配置协议 (DHCP) 选项的标识符。如果默认选项与 VPC 关联,则为 default

类型: String

最大长度: 32

IpV6CidrBlockAssociationSet

可选

有关与 VPC 关联的 IPv6 CIDR 块的信息。

类型: 对象的数组。

State

可选

VPC 的当前状态。

类型: String

最大长度: 32

有效值: pending|available

CidrBlockAssociationSet

对象提供 IPV4 CIDR 块关联的列表。CidrBlockAssociationSet

每个 CIDR 块关联可以包含以下属性。

AssociationId

可选

CIDR 块的关联 ID。IPv4

类型: String

最大长度: 32

CidrBlock

可选

CIDR 块。IPv4

类型:CIDR IPV4

CidrBlockState

可选

有关 CIDR 块状态的信息。

类型: String

最大长度: 32

IpV6CidrBlockAssociationSet

对象提供 IPV6 CIDR 块关联的列表。IPV6CidrBlockAssociationSet

每个 CIDR 块关联可以包含以下属性。

Associationid

可选

CIDR 块的关联 ID。IPv6

类型: String

最大长度: 32

CidrBlockState

可选

有关 CIDR 块状态的信息。

类型: String

最大长度: 32

IpV6CidrBlock

可选

CIDR 块。IPv6

类型: CIDR IPV6

AwsElasticSearchDomain

AwsElasticSearchDomain 对象提供有关 Elasticsearch 域的详细信息。

它可能具有以下属性。

AccessPolicies

可选

指定新 Amazon ES 域的访问策略的 IAM 策略文档。

类型: String

DomainEndpointOptions

可选

域终端节点的其他选项。

类型: 对象

DomainStatus

可选

有关域状态的详细信息。

类型: 对象

ElasticsearchVersion

可选

Elasticsearch 版本。

类型: String

EncryptionAtRestOptions

可选

有关静态加密配置的详细信息。

类型: 对象

NodeToNodeEncryptionOptions

可选

有关节点到节点的加密配置的详细信息。

类型: 对象

VPCOptions

可选

Amazon ES 根据域的 VPCOptions 得出的信息。

类型: 对象

DomainEndpointOptions

DomainEndpointOptions 对象提供有关域终端节点的其他选项的信息。

它可能具有以下属性。

EnforceHTTPS

可选

是否要求到域的所有流量都通过 HTTPS 到达。

类型: 布尔型

TLSSecurityPolicy

可选

要应用于 Elasticsearch 域的 HTTPS 终端节点的 TLS 安全策略。

类型: String

有效值:

  • Policy-Min-TLS-1-0-2019-07,它支持 TLSv1.0 和更高版本

  • Policy-Min-TLS-1-2-2019-07, 仅支持TLSv1.2

DomainStatus

DomainStatus 对象提供有关域状态的详细信息。

它可能具有以下属性。

DomainId

可选

Amazon ES 域的唯一标识符。

类型: String

DomainName

可选

Amazon ES 域的名称。

域名在一个 AWS 区域内相同账户拥有的所有域中是唯一的。

域名必须以小写字母开头,且必须包含 3 到 28 个字符。

有效的字符包括 a-z (仅小写字母)、0-9 和 – (连字符)。

类型: String

Endpoint

可选

用于向 Amazon ES 域提交索引、搜索和数据上传请求的特定于域的终端节点。

终端节点是服务 URL。

类型: String

Endpoints

可选

当 Amazon ES 域使用 VPC 终端节点时存在的键值对。

类型: 键值对的映射

示例

"vpc": "<VPC_ENDPOINT>"

EncryptionAtRestOptions

EncryptionAtRestOptions 对象提供有关静态加密配置的详细信息。

它可能具有以下属性。

Enabled

可选

是否启用静态加密。

类型: 布尔型

KmsKeyId

可选

AWS KMS 密钥 ID。采用形式 1a2a3a4-1a2a-3a4a-5a6a-1a2a3a4a5a6a

类型: String

NodeToNodeEncryptionOptions

NodeToNodeEncryptionOptions 对象提供有关节点到节点的加密配置的详细信息。

它可能具有以下属性。

Enabled

可选

是否启用节点到节点的加密。

类型: 布尔型

VpcOptions

VpcOptions 对象包含 Amazon ES 根据域的 VPCOptions 得出的信息。

它可能具有以下属性。

AvailabilityZones

可选

与 VPC 子网关联的可用区列表。

类型: 字符串数组

SecurityGroupIds

可选

与域的 VPC 终端节点关联的安全组 IDs 的列表

类型: 字符串数组。

SubnetIds

可选

与域的 VPC 终端节点关联的子网 IDs 的列表。

类型: 字符串数组

VPCId

可选

VPC 的 ID。

类型: String

AwsElbLoadBalancer

对象包含有关 Classic 负载均衡器的详细信息。AwsElbLoadBalancer

示例

"AwsElbLoadBalancer": { "AvailabilityZones": ["us-west-2a"], "BackendServerDescriptions": [ { "InstancePort": 80, "PolicyNames": ["doc-example-policy"] } ], "CanonicalHostedZoneName": "Z3DZXE0EXAMPLE", "CanonicalHostedZoneNameID": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com", "CreatedTime": "2020-08-03T19:22:44.637Z", "DnsName": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com", "HealthCheck": { "HealthyThreshold": 2, "Interval": 30, "Target": "HTTP:80/png", "Timeout": 3, "UnhealthyThreshold": 2 }, "Instances": [ { "InstanceId": "i-example" } ], "ListenerDescriptions": [ { "Listener": { "InstancePort": 443, "InstanceProtocol": "HTTPS", "LoadBalancerPort": 443, "Protocol": "HTTPS", "SslCertificateId": "arn:aws:iam::444455556666:server-certificate/my-server-cert" }, "PolicyNames": ["ELBSecurityPolicy-TLS-1-2-2017-01"] } ], "LoadBalancerAttributes": { "AccessLog": { "EmitInterval": 60, "Enabled": true, "S3BucketName": "doc-example-bucket", "S3BucketPrefix": "doc-example-prefix" }, "ConnectionDraining": { "Enabled": false, "Timeout": 300 }, "ConnectionSettings": { "IdleTimeout": 30 }, "CrossZoneLoadBalancing": { "Enabled": true } }, "LoadBalancerName": "example-load-balancer", "Policies": { "AppCookieStickinessPolicies": [ { "CookieName": "", "PolicyName": "" } ], "LbCookieStickinessPolicies": [ { "CookieExpirationPeriod": 60, "PolicyName": "my-example-cookie-policy" } ], "OtherPolicies": [ "my-PublicKey-policy", "my-authentication-policy", "my-SSLNegotiation-policy", "my-ProxyProtocol-policy", "ELBSecurityPolicy-2015-03" ] }, "Scheme": "internet-facing", "SecurityGroups": ["sg-example"], "SourceSecurityGroup": { "GroupName": "my-elb-example-group", "OwnerAlias": "444455556666" }, "Subnets": ["subnet-example"], "VpcId": "vpc-a01106c2" }

AwsElbLoadBalancer 可能具有以下属性。

AvailabilityZones

可选

负载均衡器的可用区列表。

类型: 字符串数组

BackendServerDescriptions

可选

有关 EC2 实例配置的信息。

类型: 对象数组

CanonicalHostedZoneName

可选

负载均衡器的 Amazon Route 53 托管区域的名称。

类型: String

CanonicalHostedZoneNameID

可选

负载均衡器的 Amazon Route 53 托管区域的 ID。

类型: String

CreatedTime

可选

指示创建负载均衡器的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreatedTime": "2017-03-22T13:22:13.933Z"
DnsName

可选

负载均衡器的 DNS 名称。

类型: String

HealthCheck

可选

有关在负载均衡器上执行的运行状况检查的信息。

类型: 对象

Instances

可选

负载均衡器的 EC2 实例的列表。

类型: 对象数组

ListenerDescriptions

可选

为负载均衡器侦听器启用的策略。

类型: 对象数组

LoadBalancerAttributes

可选

负载均衡器的属性。

类型: 对象

LoadBalancerName

可选

负载均衡器的名称。

类型: String

Policies

可选

负载均衡器的策略。

类型:对象

Scheme

可选

负载均衡器的类型。仅在负载均衡器位于 VPC 中时提供。

如果 Schemeinternet-facing,则负载均衡器具有可解析为公有 IP 地址的公有 DNS 名称。

如果 Schemeinternal,则负载均衡器具有可解析为私有 IP 地址的公有 DNS 名称。

类型: String

有效值: internet-facing|internal

SecurityGroups

可选

负载均衡器的安全组。仅在负载均衡器位于 VPC 中时提供。

类型: 字符串数组

SourceSecurityGroup

可选

有关负载均衡器的安全组的信息。这是用于入站规则的安全组。

类型: 对象

Subnets

可选

负载均衡器的子网标识符列表。

类型: 字符串数组

VpcId

可选

负载均衡器的 VPC 的标识符。

类型: String

BackendServerDescriptions

对象提供有关负载均衡器的 EC2 实例配置的信息。BackendServerDescriptions

对于每个 EC2 实例,BackendServerDescriptions 可能具有以下属性。

InstancePort

可选

EC2 实例正在侦听的端口。

类型: Number

PolicyNames

可选

为 EC2 实例启用的策略的名称。

类型: 字符串数组

HealthCheck

对象包含有关在负载均衡器上执行的运行状况检查的信息。HealthCheck

HealthCheck 可能具有以下属性。

HealthyThreshold

可选

在实例变为“Healthy”状态之前,需要连续成功通过运行状况检查的次数。

类型: Number

最小值: 2

最大值: 10

Interval

可选

单个实例的运行状况检查之间的大致间隔时间(以秒为单位)。

类型:数字

最小值: 5

最大值: 300

Target

可选

要检查的实例。目标指定协议和端口。可用的协议为 TCP、SSL、HTTP 和 HTTPS。有效端口范围从 1 到 65535。

对于 HTTP 和 HTTPS 协议,目标还将指定 ping 路径。

对于 TCP 协议,目标指定为 TCP: <port>

对于 SSL 协议,目标指定为 SSL.<port>

对于 HTTP 和 HTTPS 协议,目标指定为 <protocol>:<port>/<path to ping>

类型: String

最大长度: 1024

示例:HTTP:80/png

Timeout

可选

时长(以秒为单位),在此期间无响应意味着未通过运行状况检查。

类型: Number

最小值: 2

最大值: 60

UnhealthyThreshold

可选

在实例变为“Unhealthy”状态之前,必须发生的连续运行状况检查失败次数。

类型: Number

最小值: 2

最大值: 10

Instances

对象包含负载均衡器的 EC2 实例的列表。Instances

每个 EC2 实例可能具有以下属性。

InstanceId

可选

实例标识符。

类型: String

ListenerDescriptions

对象列出为负载均衡器侦听器启用的策略。ListenerDescriptions

ListenerDescriptions 可能具有以下属性。

Listener

可选

有关侦听器的信息。

类型: 对象

PolicyNames

可选

为侦听器启用的策略。

类型: 字符串数组

对象包含有关侦听器的信息。Listener

Listener 可能具有以下属性。

InstancePort

可选

实例正在侦听的端口。

类型: Number

最小值: 1

最大值: 65,535

InstanceProtocol

可选

用于将流量路由到实例的协议。

类型: String

有效值: HTTP| HTTPS | TCP |SSL

LoadBalancerPort

可选

负载均衡器正在侦听的端口。

在 EC2-VPC 上,您可以指定 1-65535 范围内的任何端口。

在 EC2-Classic 上,您可以指定以下列表中的任何端口: 25、80、443、465、587、1024-65535。

类型: Number

Protocol

可选

要用于路由的负载均衡器传输协议。

类型: String

有效值: HTTP| HTTPS | TCP |SSL

SslCertificateId

可选

服务器证书的 ARN。

类型: String

LoadBalancerAttributes

对象包含负载均衡器的属性。LoadBalancerAttributes

LoadBalancerAttributes 可能具有以下属性。

AccessLog

可选

有关负载均衡器的访问日志配置的信息。

如果启用了访问日志,则负载均衡器会捕获有关所有请求的详细信息。它将信息传送到指定的 S3 存储桶。

类型: 对象

ConnectionDraining

可选

有关负载均衡器的连接耗尽配置的信息。

如果启用了连接耗尽,负载均衡器将允许现有请求完成,然后再将流量从已取消注册或运行状况不佳的实例转移。

类型: 对象

ConnectionSettings

可选

负载均衡器的连接设置。

如果配置了空闲超时,则负载均衡器允许连接在指定的持续时间内保持空闲状态。当连接空闲时,不会通过该连接发送任何数据。

类型: 对象

CrossZoneLoadBalancing

可选

负载均衡器的跨区域负载均衡设置。

如果启用了跨区域负载均衡,则无论可用区如何,负载均衡器都会在所有实例上平均地路由请求流量。

类型: 对象

对象包含有关负载均衡器的访问日志配置的信息。AccessLog

AccessLog 可能具有以下属性。

EmitInterval

可选

发布访问日志的间隔(以分钟为单位)。

您可以每 5 分钟或每 60 分钟发布一次访问日志。

类型: Number

有效值: 5|60

Enabled

可选

指示是否为负载均衡器启用访问日志。

类型: 布尔型

S3BucketName

可选

存储访问日志的 S3 存储桶的名称。

类型: String

S3BucketPrefix

可选

为 S3 存储桶创建的逻辑层次结构。

如果未提供前缀,则将日志置于存储桶的根级别。

类型: String

对象包含有关负载均衡器的连接耗尽配置的信息。ConnectionDraining

ConnectionDraining 可能具有以下属性。

Enabled

可选

指示是否为负载均衡器启用连接耗尽功能。

类型: 布尔型

Timeout

可选

取消注册实例前使现有连接保持打开状态的最长时间(以秒为单位)。

类型: Number

对象包含负载均衡器的连接设置。ConnectionSettings

ConnectionSettings 可能具有以下属性。

IdleTimeout

可选

在负载均衡器关闭连接之前,连接可以处于空闲状态(不通过连接发送任何数据)的时间(以秒为单位)。

类型: Number

对象包含负载均衡器的跨区域负载均衡设置。CrossZoneLoadBalancing

CrossZoneLoadBalancing 可能具有以下属性。

Enabled

可选

指示是否为负载均衡器启用跨区域负载均衡。

类型: 布尔型

Policies

对象包含有关负载均衡器策略的信息。Policies

Policies 可能具有以下属性。

AppCookieStickinessPolicies

可选

使用 CreateAppCookieStickinessPolicy 创建的粘性策略。

类型: 对象数组

LbCookieStickinessPolicies

可选

使用 CreateLBCookieStickinessPolicy 创建的粘性策略。

类型: 对象数组

OtherPolicies

可选

粘性策略以外的策略。

类型: 字符串数组

对象包含有关使用 AppCookieStickinessPolicies 创建的粘性策略的信息。CreateAppCookieStickinessPolicy

每个策略可能具有以下属性。

CookieName

可选

用于粘性的应用程序 Cookie 的名称。

类型: String

PolicyName

可选

正在创建的策略的 mnemonic 名称。该名称在负载均衡器的策略集中必须是唯一的。

类型: String

对象包含有关使用 LbCookieStickinessPolicies 创建的粘性策略的信息。CreateLBCookieStickinessPolicy

每个策略可能具有以下属性。

CookieExpirationPeriod

可选

Cookie 被视为过期的时间长度(以秒为单位)。如果未指定过期期限,则粘性会话在浏览器会话的持续时间内持续。

类型: Number

PolicyName

可选

策略的名称。该名称在负载均衡器的策略集中必须是唯一的。

类型: String

SourceSecurityGroup

对象包含有关负载均衡器的安全组的信息。SourceSecurityGroup

SourceSecurityGroup 可能具有以下属性。

GroupName

可选

安全组的名称。

类型: String

OwnerAlias

可选

安全组的所有者。

类型: String

AwsElbv2LoadBalancer

AwsElbv2LoadBalancer 对象提供有关负载均衡器的信息。

它可能具有以下属性。

AvailabilityZones

可选

负载均衡器的可用区。

类型: 对象

CanonicalHostedZoneId

可选

与负载均衡器关联的 Amazon Route 53 托管区域的 ID。

类型: String

CreatedTime

可选

指示创建负载均衡器的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

DNSName

可选

负载均衡器的公有 DNS 名称。

类型: String

IpAddressType

可选

负载均衡器的子网所使用的 IP 地址的类型。

可能的值为 ipv4(对于 IPv4 地址)和 dualstack(对于 IPv4 和 IPv6 地址)。

类型: String

Scheme

可选

面向 Internet 的负载均衡器的节点具有公有 IP 地址。

类型: String

SecurityGroups

可选

负载均衡器的安全组的 IDs。

类型: 字符串数组

State

可选

负载均衡器的状态。

类型: 对象

Type

可选

负载均衡器的类型。

类型: String

VpcId

可选

负载均衡器的 VPC 的 ID。

类型: String

AvailabilityZones

指定负载均衡器的可用区。

每个可用区可能具有以下属性。

SubnetId

可选

子网的 ID。

类型: String

ZoneName

可选

可用区的名称。

类型: String

State

有关负载均衡器状态的信息。

State 对象可能具有以下属性。

Code

可选

状态代码。

负载均衡器的初始状态为正在配置。

负载均衡器完全设置并准备路由流量后,其状态为活动。

如果无法设置负载均衡器,则其状态为失败。

类型: String

Reason

可选

状态的描述。

类型: String

AwsIamAccessKey

对象包含与结果相关的 AwsIamAccessKey 访问密钥的详细信息。IAM

AwsIamAccessKey 对象可能具有以下属性。

AccessKeyId

可选

访问密钥的标识符。

类型: String

最小长度: 16

最大长度: 128

AccountId

可选

密钥的账户 ID。AWS

类型: String

CreatedAt

可选

指示创建相关 IAM 访问密钥的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

PrincipalId

可选

与访问密钥关联的委托人的 ID。

类型: String

PrincipalName

可选

委托人的名称。

类型: String

PrincipalType

可选

委托人的类型。

类型: String

SessionContext

可选

有关密钥用于的会话的信息。

类型: 对象

Status

可选

与结果相关的 IAM 访问密钥的状态。有效值为 ACTIVEINACTIVE

类型: 枚举

SessionContext

对象提供有关已使用密钥的会话的信息。SessionContext

SessionContext 可能具有以下属性。

Attributes

可选

密钥用于的会话的属性。

类型: 对象

SessionIssuer

可选

有关创建了会话的实体的信息。

类型: 对象

Attributes 对象可能具有以下属性。

CreationDate

可选

指示创建会话的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreationDate": "2017-03-22T13:22:13.933Z"
MfaAuthenticated

可选

指示会话是否使用了多重验证 (MFA)。

类型: 布尔型

SessionIssuer 对象可能具有以下属性。

AccountId

可选

创建会话的 AWS 账户的标识符。

类型: String

Arn

可选

会话的 ARN。

类型: String

PrincipalId

可选

创建会话的委托人(用户、角色或组)的委托人 ID。

类型: String

Type

可选

创建会话的委托人(用户、角色或组)的类型。

类型: String

UserName

可选

创建会话的委托人的名称。

类型: String

AwsIamGroup

对象包含有关 AwsIamGroup 组的详细信息。IAM

示例

"AwsIamGroup": { "AttachedManagedPolicies": [ { "PolicyArn": "arn:aws:iam::aws:policy/ExampleManagedAccess", "PolicyName": "ExampleManagedAccess", } ], "CreateDate": "2020-04-28T14:08:37.000Z", "GroupId": "AGPA4TPS3VLP7QEXAMPLE", "GroupName": "Example_User_Group", "GroupPolicyList": [ { "PolicyName": "ExampleGroupPolicy" } ], "Path": "/" }

AwsIamGroup 可能具有以下属性。

AttachedManagedPolicies

可选

附加到 IAM 组的托管策略的列表。

类型: 对象数组

CreateDate

可选

指示创建 IAM 组的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreateDate": "2017-03-22T13:22:13.933Z"
GroupId

可选

组的标识符。IAM

类型: String

最小长度: 16

最大长度: 128

GroupName

可选

组的名称。IAM

类型: String

最小长度: 1

最大长度: 128

GroupPolicyList

可选

嵌入到组中的内联策略的列表。

类型: 对象数组

Path

可选

该组的路径。

类型: String

最小长度: 1

最大长度: 512

AttachedManagedPolicies

对象包含附加到 AttachedManagedPolicies 组的托管策略的列表。IAM

每个策略可能具有以下属性。

PolicyArn

可选

策略的 ARN。

类型: String

最小长度: 20

最大长度: 2,048

PolicyName

可选

策略的名称。

类型: String

最小长度: 1

最大长度: 128

GroupPolicyList

对象包含嵌入到组中的内联策略的列表。GroupPolicyList

每个策略可能具有以下属性。

PolicyName

可选

策略的名称。

类型: String

最小长度: 1

最大长度: 128

AwsIamPolicy

对象表示 AwsIamPolicy 权限策略。IAM

示例

"AwsIamPolicy": { "AttachmentCount": 1, "CreateDate": "2017-09-14T08:17:29.000Z", "DefaultVersionId": "v1", "Description": "Example IAM policy", "IsAttachable": true, "Path": "/", "PermissionsBoundaryUsageCount": 5, "PolicyId": "ANPAJ2UCCR6DPCEXAMPLE", "PolicyName": "EXAMPLE-MANAGED-POLICY", "PolicyVersionList": [ { "VersionId": "v1", "IsDefaultVersion": true, "CreateDate": "2017-09-14T08:17:29.000Z" } ], "UpdateDate": "2017-09-14T08:17:29.000Z" }

它可能具有以下属性。

AttachmentCount

可选

策略附加到的用户、组和角色的数量。

类型: Number

CreateDate

可选

创建策略的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreateDate": "2020-06-22T17:40:12.322Z"
DefaultVersionId

可选

策略默认版本的标识符。

类型: String

Description

可选

策略的描述。

类型: String

最大长度: 1,000

IsAttachable

可选

策略是否可以附加到用户、组或角色。

类型: 布尔型

Path

可选

策略的路径。

类型: String

最小长度: 1

最大长度: 512

有关路径的更多信息,请参阅 中的 IAM 标识符IAM 用户指南。

PermissionsBoundaryUsageCount

可选

使用策略设置权限边界的用户和角色的数量。

类型: Number

PolicyId

可选

策略的唯一标识符。

类型: String

最小长度: 16

最大长度: 128

PolicyName

可选

策略的名称。

类型: String

最小长度: 1

最大长度: 128

PolicyVersionList

可选

策略的版本列表。

类型: 对象数组

UpdateDate

可选

最近更新策略的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"UpdateDate": "2020-06-22T17:40:12.322Z"

PolicyVersionList

对象包含 PolicyVersionList 策略的版本列表。IAM

每个版本可能具有以下属性。

CreateDate

可选

指示版本的创建时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreateDate": "2020-06-22T17:40:12.322Z"
IsDefaultVersion

可选

版本是否为默认版本。

类型: 布尔型

VersionId

可选

策略版本的标识符。

类型: String

AwsIamRole

对象包含有关 AwsIamRole 角色的信息,包括该角色的所有策略。IAM

示例

"AwsIamRole": { "AssumeRolePolicyDocument": "{'Version': '2012-10-17','Statement': [{'Effect': 'Allow','Action': 'sts:AssumeRole'}]}", "AttachedManagedPolicies": [ { "PolicyArn": "arn:aws:iam::aws:policy/ExamplePolicy1", "PolicyName": "Example policy 1" }, { "PolicyArn": "arn:aws:iam::444455556666:policy/ExamplePolicy2", "PolicyName": "Example policy 2" } ], "CreateDate": "2020-03-14T07:19:14.000Z", "InstanceProfileList": [ { "Arn": "arn:aws:iam::333333333333:ExampleProfile", "CreateDate": "2020-03-11T00:02:27Z", "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Roles": [ { "Arn": "arn:aws:iam::444455556666:role/example-role", "AssumeRolePolicyDocument": "", "CreateDate": "2020-03-11T00:02:27Z", "Path": "/", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "RoleName": "example-role", } ] } ], "MaxSessionDuration": 3600, "Path": "/", "PermissionsBoundary": { "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AdministratorAccess", "PermissionsBoundaryType": "PermissionsBoundaryPolicy" }, "RoleId": "AROA4TPS3VLEXAMPLE", "RoleName": "BONESBootstrapHydra-OverbridgeOpsFunctionsLambda", "RolePolicyList": [ { "PolicyName": "Example role policy" } ] }

AwsIamRole 对象可能具有以下属性。

AssumeRolePolicyDocument

可选

授予代入角色的权限的信任策略。

类型: String

AttachedManagedPolicies

可选

附加到角色的托管策略列表。

类型: 对象数组

CreateDate

可选

指示创建角色的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

InstanceProfileList

可选

包含此角色的实例配置文件的列表。

类型: 对象数组

PermissionsBoundary

可选

角色的权限边界。

类型: 对象

RoleId

可选

用于标识角色的稳定的唯一字符串。

类型: String

RoleName

可选

标识角色的友好名称。

类型: String

RolePolicyList

可选

嵌入到角色中的内联策略的列表。

类型: 对象数组

MaxSessionDuration

可选

要为指定角色设置的最大会话持续时间(以秒为单位)。

类型: 整数

Path

可选

角色的路径。

类型: String

AttachedManagedPolicies

对象包含附加到角色的托管策略的列表。AttachedManagedPolicies

每个策略可能具有以下属性。

PolicyArn

可选

策略的 ARN。

类型: String

最小长度: 20

最大长度: 2,048

PolicyName

可选

策略的名称。

类型: String

最小长度: 1

最大长度: 128

InstanceProfileList

对象包含包含此角色的实例配置文件的列表。InstanceProfileList

每个实例配置文件可能具有以下属性。

Arn

可选

实例配置文件的 ARN。

类型: String

CreateDate

可选

指示创建实例配置文件的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreateDate": "2017-03-22T13:22:13.933Z"
InstanceProfileId

可选

实例配置文件的标识符。

类型: String

最小长度: 16

最大长度: 128

InstanceProfileName

可选

实例配置文件的名称。

类型: String

最小长度: 1

最大长度: 128

Path

可选

实例配置文件的路径。

类型: String

最小长度: 1

最大长度: 512

Roles

可选

与实例配置文件关联的角色。

类型: 对象数组

中的每个角色可能具有以下属性。Roles

Arn

可选

角色的 ARN。

类型: String

AssumeRolePolicyDocument

可选

用于授予实体代入角色的权限的策略。

类型: String

最小长度: 1

最大长度: 131,072

CreateDate

可选

指示创建角色的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreateDate": "2017-03-22T13:22:13.933Z"
Path

可选

角色的路径。

类型: String

最小长度: 1

最大长度: 512

RoleId

可选

角色的标识符。

类型: String

最小长度: 16

最大长度: 128

RoleName

可选

角色的名称。

类型: String

最小长度: 1

最大长度: 64

PermissionsBoundary

对象提供有关角色的权限边界的信息。PermissionsBoundary

PermissionsBoundary 可能具有以下属性。

PermissionsBoundaryArn

可选

用于设置权限边界的策略的 ARN。

类型: String

PermissionsBoundaryType

可选

用于设置权限边界的资源的类型。

类型:String

有效值:Policy

RolePolicyList

List 对象包含嵌入到角色中的内联策略列表。RolePolicy

每个策略可能具有以下属性。

PolicyName

可选

策略的名称。

类型: String

最小长度: 1

最大长度: 128

AwsIamUser

对象提供有关 AwsIamUser 用户的信息。IAM

示例

"AwsIamUser": { "AttachedManagedPolicies": [ { "PolicyName": "ExamplePolicy", "PolicyArn": "arn:aws:iam::aws:policy/ExampleAccess" } ], "CreateDate": "2018-01-26T23:50:05.000Z", "GroupList": [], "Path": "/", "PermissionsBoundary" : { "PermissionsBoundaryArn" : "arn:aws:iam::aws:policy/AdministratorAccess", "PermissionsBoundaryType" : "PermissionsBoundaryPolicy" }, "UserId": "AIDACKCEVSQ6C2EXAMPLE", "UserName": "ExampleUser", "UserPolicyList": [ { "PolicyName": "InstancePolicy" } ] }

它可能具有以下属性。

AttachedManagedPolicies

可选

附加到用户的托管策略的列表。

类型: 对象数组

CreateDate

可选

指示创建用户的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"CreateDate": "2020-06-22T17:40:12.322Z"
GroupList

可选

用户所属的 IAM 组列表。

类型: 字符串数组

最小长度: 1

最大长度: 128

Path

可选

用户的路径。

类型: String

最小长度: 1

最大长度: 512

PermissionsBoundary

可选

用户的权限边界。

类型: 对象

UserId

可选

用户的唯一标识符。

类型: String

最小长度: 16

最大长度: 128

UserName

可选

用户的名称。

类型: String

最小长度: 1

最大长度: 64

UserPolicyList

可选

嵌入到用户中的内联策略的列表。

类型: 对象数组

AttachedManagedPolicies

对象包含附加到 AttachedManagedPolicies 用户的托管策略的列表。IAM

每个策略可能具有以下属性。

PolicyArn

可选

策略的 ARN。

类型: String

PolicyName

可选

策略的名称。

类型: String

PermissionsBoundary

对象包含有关用于为用户设置权限边界的策略的信息。PermissionsBoundary

它可能具有以下属性。

PermissionsBoundaryArn

可选

用于为用户设置权限边界的策略的 ARN。

类型: String

最小长度: 20

最大长度: 2,048

PermissionsBoundaryType

可选

权限边界的使用类型。

类型: String

该值必须为 PermissionsBoundaryPolicy

UserPolicyList

对象包含嵌入到用户中的内联策略的列表。UserPolicyList

每个策略可能具有以下属性。

PolicyName

可选

策略的名称。

类型: String

最小长度: 1

最大长度: 128

AwsKmsKey

对象提供有关 AwsKmsKey 客户主密钥 (CMK) 的详细信息。AWS KMS

AwsKmsKey 对象可能具有以下属性。

AWSAccountId

可选

拥有 CMK 的账户的 AWS 账户标识符。

类型: String

CreationDate

可选

指示 CMK 的创建时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

Description

可选

密钥的描述。

类型: String

KeyId

必填

CMK 的全局唯一标识符。

类型: String

最小长度为 1。最大长度为 2,048。

KeyManager

可选

CMK 的管理器。CMKs 账户中的 AWS 是由客户托管的或 AWS 托管的。

类型: String

有效值: AWS | CUSTOMER.

KeyState

可选

CMK 的状态。

类型: String

有效值: Enabled| Disabled | PendingDeletion | PendingImport |Unavailable

Origin

可选

CMK 的密钥材料的源。

当此值为 AWS_KMS 时,AWS KMS 会创建密钥材料。

当此值为 EXTERNAL 时,密钥材料是从您现有的密钥管理基础设施导入的或 CMK 缺少密钥材料。

当此值为 AWS_CLOUDHSM 时,密钥材料是在与自定义密钥存储关联的 AWS CloudHSM 集群中创建的。

类型: String

有效值: AWS_KMS| EXTERNAL |AWS_CLOUDHSM

AwsLambdaFunction

AwsLambdaFunction 对象提供有关 Lambda 函数的配置的详细信息。

它可能具有以下属性。

Code

可选

一个 AwsLambdaFunctionCode 对象。

类型: 对象

CodeSha256

可选

函数部署包的 SHA256 哈希。

类型: String

DeadLetterConfig

可选

函数的死信队列。

类型: 对象

Environment

可选

函数的环境变量设置。

类型: 对象

FunctionName

可选

函数的名称。

类型:String

Handler

可选

为开始运行函数而调用的函数。Lambda

类型: String

KmsKeyArn

可选

用于加密函数的环境变量的 AWS KMS 密钥。仅当您配置了客户管理的 CMK 时,才会返回此密钥。

类型: String

LastModified

可选

该函数上次更新的日期和时间,采用 ISO-8601 格式 (YYYY-MM-DDThh:mm:ss.sTZD)。

类型: String

Layers

可选

函数的层。

类型: 对象

MasterArn

可选

对于 Lambda@Edge 函数,为主函数的 ARN。

类型:String

MemorySize

可选

分配给函数的内存。

类型: 整数

RevisionId

可选

函数或别名的最新更新版本。

类型: String

Role

可选

函数的执行角色。

类型: String

Runtime

可选

Lambda 函数的运行时环境。

类型: String

Timeout

可选

Lambda 在停止函数前允许其运行的时间。

类型: 整数

TracingConfig

可选

函数的 AWS X-Ray 跟踪配置。

类型: 对象

Version

可选

Lambda 函数的版本。

类型: String

VpcConfig

可选

函数的网络配置。

类型: 对象

Code

一个 AwsLambdaFunctionCode 对象。

Code 对象可能具有以下属性。

S3Bucket

可选

与函数位于同一 AWS 区域的 S3 存储桶。存储桶可能位于不同的 AWS 账户中。

类型: String

S3Key

可选

部署程序包的 Amazon S3 键。

类型: String

S3ObjectVersion

可选

对于版本控制的对象,指要使用的部署程序包对象的版本。

类型: String

ZipFile

可选

部署程序包的 base64 编码内容。AWS开发工具包和 AWS CLI 客户端为您处理编码。

类型: String

DeadLetterConfig

包含有关 Lambda 函数的死信队列的信息。

DeadLetterConfig 对象可能具有以下属性。

TargetArn

可选

包含死信队列的 Amazon SQS 队列或 Amazon SNS 主题的 Amazon 资源名称 (ARN)。

类型: String

Environment

包含 Lambda 函数的环境变量设置。

Environment 对象可能具有以下属性。

Variables

可选

环境变量键值对。

类型: 字符串到字符串映射

Error

可选

无法应用的环境变量的错误消息。

类型:对象

Error 对象可能具有以下属性。

ErrorCode

可选

错误代码。

类型: String

Message

可选

错误消息。

类型: String

Layers

Lambda 函数的层。

每个层对象可能具有以下属性。

Arn

可选

函数层的 ARN。

类型: String

CodeSize

可选

层存档的大小(以字节为单位)。

类型: 整数

TracingConfig

包含 AWS X-Ray 函数的跟踪配置。

TracingConfig 对象可能具有以下属性。

Mode

可选

跟踪模式。

类型: String

VpcConfig

包含 Lambda 函数的网络配置。

VpcConfig 对象可能具有以下属性。

SecurityGroupIds

可选

VPC 安全组 IDs 的列表。

类型: 字符串数组

SubnetIds

可选

VPC 子网 IDs 的列表。

类型: 字符串数组

AwsLambdaLayerVersion

AwsLambdaLayerVersion 对象提供有关 Lambda 层版本的详细信息。

示例

"AwsLambdaLayerVersion": { "Version": 2, "CompatibleRuntimes": [ "java8" ], "CreatedDate": "2019-10-09T22:02:00.274+0000" }

AwsLambdaLayerVersion 对象可能具有以下属性。

CompatibleRuntimes

可选

层的兼容运行时。

类型: 字符串数组

最大项数: 5

有效值: nodejs10.x| nodejs12.x | java8 | java11 | python2.7 | python3.6 | python3.7 | python3.8 | dotnetcore1.0 | dotnetcore2.1 | go1.x | ruby2.5 |provided

CreatedDate

可选

指示层版本的创建时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

Version

可选

版本号。

类型: 长整型

AwsRdsDbCluster

对象提供有关 AwsRdsDbCluster 数据库集群的详细信息。Amazon RDS

Example

"AwsRdsDbCluster": { "AllocatedStorage": 1, "AvailabilityZones": [ "us-east-1c", "us-east-1e", "us-east-1a" ], "BackupRetentionPeriod": 1, "DatabaseName": "", "Status": "modifying", "Endpoint": "database-3.cluster-example.us-east-1.rds.amazonaws.com", "ReaderEndpoint": "database-3.cluster-ro-example.us-east-1.rds.amazonaws.com", "CustomEndpoints": [], "MultiAz": false, "Engine": "aurora-mysql", "EngineVersion": "5.7.mysql_aurora.2.03.4", "Port": 3306, "MasterUsername": "admin", "PreferredBackupWindow": "04:52-05:22", "PreferredMaintenanceWindow": "sun:09:32-sun:10:02", "ReadReplicaIdentifiers": [], "VpcSecurityGroups": [ { "VpcSecurityGroupId": "sg-example-1", "Status": "active" } ], "HostedZoneId": "ZONE1", "StorageEncrypted": true, "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1", "DbClusterResourceId": "cluster-example", "AssociatedRoles": [ { "RoleArn": "arn:aws:iam::777788889999:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Status": "PENDING" } ], "ClusterCreateTime": "2020-06-22T17:40:12.322Z", "EnabledCloudwatchLogsExports": [ "audit", "error", "general", "slowquery" ], "EngineMode": "provisioned", "DeletionProtection": false, "HttpEndpointEnabled": false, "ActivityStreamStatus": "stopped", "CopyTagsToSnapshot": true, "CrossAccountClone": false, "DomainMemberships": [], "DbClusterParameterGroup": "cluster-parameter-group", "DbSubnetGroup": "subnet-group", "DbClusterOptionGroupMemberships": [], "DbClusterIdentifier": "database-3", "DbClusterMembers": [ { "IsClusterWriter": true, "PromotionTier": 1, "DbInstanceIdentifier": "database-3-instance-1", "DbClusterParameterGroupStatus": "in-sync" } ], "IamDatabaseAuthenticationEnabled": false }

对象可以包含以下属性。AwsRdsDbCluster

ActivityStreamStatus

可选

数据库活动流的状态。

类型: String

有效值: stopped| starting | started |stopping

AllocatedStorage

可选

对于除 Amazon Aurora 之外的所有数据库引擎,请指定分配的存储大小 (GiB)。

对于 Aurora,AllocatedStorage 始终为 1。数据库集群存储大小不固定。Aurora相反,它会根据需要自动调整。

类型: Number

AssociatedRoles

可选

与数据库集群关联的 IAM 角色的列表。

类型: 对象数组

AvailabilityZones

可选

可以在其中创建数据库集群中的实例的可用区 (AZ) 的列表。

类型: 字符串数组

示例

"AvailabilityZones": [ "us-east-1c", "us-east-1e", "us-east-1a" ]
BackupRetentionPeriod

可选

自动备份的保留天数。

类型: Number

最小值: 1

最大值: 35

ClusterCreateTime

可选

以通用协调时间 (UTC) 指示创建数据库集群的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"ClusterCreateTime": "2020-06-22T17:40:12.322Z"
CopyTagsToSnapshot

可选

是否将标签从数据库集群复制到数据库集群的快照。

类型: 布尔型

CrossAccountClone

可选

数据库集群是否为不同 AWS 账户拥有的数据库集群的克隆。

类型: 布尔型

CustomEndpoints

可选

数据库集群的自定义终端节点列表。

类型: 字符串数组

DatabaseName

可选

数据库的名称。

类型: String

DbClusterIdentifier

可选

用户分配给集群的数据库集群标识符。此标识符是标识数据库集群的唯一密钥。

类型: String

DbClusterMembers

可选

组成数据库集群的实例的列表。

类型: 对象数组

DbClusterOptionGroupMemberships

可选

此数据库集群的选项组成员资格的列表。

类型: 对象数组

DbClusterParameterGroup

可选

数据库集群的数据库集群参数组的名称。

类型: String

DbClusterResourceId

可选

数据库集群的标识符。该标识符在每个 AWS 区域中必须是唯一的,并且不可变。

类型: String

DbSubnetGroup

可选

与数据库集群关联的子网组,包括子网组中的名称、描述和子网。

类型: String

DeletionProtection

可选

数据库集群是否启用了删除保护。

类型: 布尔型

DomainMemberships

可选

与数据库集群关联的 Active Directory 域成员资格记录。

类型: 对象数组

EnabledCloudwatchLogsExports

可选

此数据库集群配置为导出到 CloudWatch Logs 的日志类型的列表。

类型: 字符串数组

示例

"EnabledCloudwatchLogsExports": [ "audit", "error", "general", "slowquery" ]
Endpoint

可选

数据库集群的主实例的连接终端节点。

类型: String

Engine

可选

要用于此数据库集群的数据库引擎的名称。

类型: String

有效值: aurora| aurora-mysql | aurora-postgresql

EngineMode

可选

数据库集群的数据库引擎模式。

类型: String

有效值: provisioned| serverless | parallelquery | global |multimaster

EngineVersion

可选

要使用的数据库引擎的版本号。

类型: String

示例

"EngineVersion": "5.7.mysql_aurora.2.03.4",
HostedZoneId

可选

指定 Amazon Route 53 在您创建托管区域时分配的标识符。

类型: String

HttpEndpointEnabled

可选

是否启用 Aurora Serverless 数据库集群的 HTTP 终端节点。

类型: 布尔型

IamDatabaseAuthenticationEnabled

可选

是否启用 IAM 账户到数据库账户的映射。

类型: 布尔型

KmsKeyId

可选

用于加密数据库集群中的数据库实例的 AWS KMS 主密钥的 ARN。

类型: String

MasterUsername

可选

数据库集群的主用户名称。

类型: String

MultiAz

可选

数据库集群是否在多个可用区中具有实例。

类型: 布尔型

Port

可选

数据库集群中的数据库实例接受连接的端口号。

类型: Number

PreferredBackupWindow

可选

每天创建自动备份的时间范围(如果启用了自动备份)。

类型: 字符串

Format: HH:MM-HH:MM

示例

"PreferredBackupWindow": "04:52-05:22"
PreferredMaintenanceWindow

可选

可进行系统维护的每周时间范围(采用通用协调时间 (UTC))。

类型: String

Format: <day>:HH:MM-<day>:HH:MM

对于天数值,请使用 mon | tue | wed|thu | fri | sat | sun

示例

"PreferredMaintenanceWindow": "sun:09:32-sun:10:02"
ReaderEndpoint

可选

数据库集群的读取器终端节点。

类型: String

ReadReplicaIdentifiers

可选

与此数据库集群关联的只读副本的标识符。

类型: 字符串数组

Status

可选

此数据库集群的当前状态。

类型: String

StorageEncrypted

可选

数据库集群是否已加密。

类型: 布尔型

VpcSecurityGroups

可选

数据库集群所属的 VPC 安全组的列表。

类型: 对象数组

AssociatedRoles

对象指定与 AssociatedRoles 数据库集群关联的 IAM 角色的列表。Amazon RDS

每个角色可能具有以下属性。

RoleArn

可选

与 IAM 数据库集群关联的 Amazon RDS 角色的 ARN。

类型: String

Status

可选

角色与数据库集群之间的关联的状态。IAM

类型: String

有效值: ACTIVE| PENDING |INVALID

DbClusterMembers

对象包含集群中实例的列表。DbClusterMembers

对于每个实例,该对象可能具有以下属性。

DbClusterParameterGroupStatus

可选

数据库集群的此成员的数据库集群参数组状态。

类型: String

DbInstanceIdentifier

可选

数据库集群的此成员的实例标识符。

类型: String

IsClusterWriter

可选

集群成员是否为数据库集群的主实例。

类型: 布尔型

PromotionTier

可选

指定在现有主实例失败时将 Aurora 副本提升为主实例的顺序。

类型: Number

DbClusterOptionGroupMemberships

对象包含此数据库集群的选项组成员列表。DbClusterOptionGroupMemberships

每个选项组成员资格可能具有以下属性。

DbClusterOptionGroupName

可选

数据库集群选项组的名称。

类型: String

Status

可选

数据库集群选项组的状态。

类型: String

DomainMemberships

对象包含数据库集群的 Active Directory 域成员资格列表。DomainMemberships

每个成员资格可能具有以下属性。

Domain

可选

Active Directory 域的标识符。

类型: String

Fqdn

可选

Active Directory 域的完全限定域名。

类型: String

IamRoleName

可选

在对 Directory Service 进行 API 调用时使用的 IAM 角色的名称。

类型: String

Status

可选

数据库集群的 Active Directory 域成员资格状态。

类型: String

VpcSecurityGroups

对象包含数据库集群所属的 VPC 安全组的列表。VpcSecurityGroups

每个安全组可能具有以下属性。

Status

可选

VPC 安全组的状态。

类型: 字符串

VpcSecurityGroupId

可选

VPC 安全组的名称。

类型: 字符串

AwsRdsDbClusterSnapshot

对象包含有关 AwsRdsDbClusterSnapshot 数据库集群快照的信息。Amazon RDS

示例

"AwsRdsDbClusterSnaphot": { "AvailabilityZones": [ "us-east-1a", "us-east-1d", "us-east-1e" ], "SnapshotCreateTime": "2020-06-22T17:40:12.322Z", "Engine": "aurora", "AllocatedStorage": 0, "Status": "available", "Port": 0, "VpcId": "vpc-faf7e380", "ClusterCreateTime": "2020-06-12T13:23:15.577Z", "MasterUsername": "admin", "EngineVersion": "5.6.10a", "LicenseModel": "aurora", "SnapshotType": "automated", "PercentProgress": 100, "StorageEncrypted": true, "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1", "DbClusterIdentifier": "database-2", "DbClusterSnapshotIdentifier": "rds:database-2-2020-06-23-03-52", "IamDatabaseAuthenticationEnabled": false }

AwsRdsDbClusterSnapshot 可能具有以下属性。

AllocatedStorage

可选

指定分配的存储大小(以 GiB 为单位)。

类型: Number

AvailabilityZones

可选

可在其中创建数据库集群中的实例的可用区的列表。

类型: 字符串数组

ClusterCreateTime

可选

以通用协调时间 (UTC) 指示创建数据库集群的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"ClusterCreateTime": "2020-06-22T17:40:12.322Z"
DbClusterIdentifier

可选

数据库集群标识符。

类型: String

格式: 必须为小写

DbClusterSnapshotIdentifier

可选

数据库集群快照的标识符。

类型: String

Engine

可选

用于此数据库集群的数据库引擎的名称。

类型: String

EngineVersion

可选

要使用的数据库引擎的版本。

类型: String

IamDatabaseAuthenticationEnabled

可选

是否启用 IAM 账户到数据库账户的映射。

类型: 布尔型

KmsKeyId

可选

用于加密数据库集群中的数据库实例的 AWS KMS 主密钥的 ARN。

类型: String

LicenseModel

可选

此数据库集群快照的许可模式信息。

类型: String

MasterUsername

可选

数据库集群的主用户名称。

类型: String

PercentProgress

可选

指定估计的已传输数据百分比。

类型: Number

示例

"PercentProgress": 100
Port

可选

数据库集群中的数据库实例接受连接的端口号。

类型: Number

SnapshotCreateTime

可选

指示拍摄快照的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"SnapshotCreateTime": "2020-06-22T17:40:12.322Z"
SnapshotType

可选

数据库集群快照的类型。

类型: String

Status

可选

此数据库集群快照的状态。

类型: String

StorageEncrypted

可选

数据库集群是否已加密。

类型: 布尔型

VpcId

可选

与数据库集群快照关联的 VPC ID。

类型: String

AwsRdsDbInstance

AwsRdsDbInstance 对象提供有关 Amazon RDS 数据库实例的详细信息。

示例

"AwsRdsDbInstance": { "AllocatedStorage": 20, "AssociatedRoles": [], "AutoMinorVersionUpgrade": true, "AvailabilityZone": "us-east-1d", "BackupRetentionPeriod": 7, "CaCertificateIdentifier": "certificate1", "CharacterSetName": "", "CopyTagsToSnapshot": true, "DbClusterIdentifier": "", "DbInstanceArn": "arn:aws:rds:us-east-1:111122223333:db:database-1", "DbInstanceClass": "db.t2.micro", "DbInstanceIdentifier": "database-1", "DbInstancePort": 0, "DbInstanceStatus": "available", "DbiResourceId": "db-EXAMPLE123", "DbName": "", "DbParameterGroups": [ { "DbParameterGroupName": "default.mysql5.7", "ParameterApplyStatus": "in-sync" } ], "DbSecurityGroups": [], "DbSubnetGroup": { "DbSubnetGroupName": "my-group-123abc", "DbSubnetGroupDescription": "My subnet group", "VpcId": "vpc-example1", "SubnetGroupStatus": "Complete", "Subnets": [ { "SubnetIdentifier": "subnet-123abc", "SubnetAvailabilityZone": { "Name": "us-east-1d" }, "SubnetStatus": "Active" }, { "SubnetIdentifier": "subnet-456def", "SubnetAvailabilityZone": { "Name": "us-east-1c" }, "SubnetStatus": "Active" } ], "DbSubnetGroupArn": "" }, "DeletionProtection": false, "DomainMemberships": [], "EnabledCloudWatchLogsExports": [], "Endpoint": { "address": "database-1.example.us-east-1.rds.amazonaws.com", "port": 3306, "hostedZoneId": "ZONEID1" }, "Engine": "mysql", "EngineVersion": "5.7.22", "EnhancedMonitoringResourceArn": "arn:aws:logs:us-east-1:111122223333:log-group:Example:log-stream:db-EXAMPLE1", "IamDatabaseAuthenticationEnabled": false, "InstanceCreateTime": "2020-06-22T17:40:12.322Z", "Iops": "", "KmsKeyId": "", "LatestRestorableTime": "2020-06-24T05:50:00.000Z", "LicenseModel": "general-public-license", "ListenerEndpoint": "", "MasterUsername": "admin", "MaxAllocatedStorage": 1000, "MonitoringInterval": 60, "MonitoringRoleArn": "arn:aws:iam::111122223333:role/rds-monitoring-role", "MultiAz": false, "OptionGroupMemberships": [ { "OptionGroupName": "default:mysql-5-7", "Status": "in-sync" } ], "PreferredBackupWindow": "03:57-04:27", "PreferredMaintenanceWindow": "thu:10:13-thu:10:43", "PendingModifiedValues": { "DbInstanceClass": "", "AllocatedStorage": "", "MasterUserPassword": "", "Port": "", "BackupRetentionPeriod": "", "MultiAZ": "", "EngineVersion": "", "LicenseModel": "", "Iops": "", "DbInstanceIdentifier": "", "StorageType": "", "CaCertificateIdentifier": "", "DbSubnetGroupName": "", "PendingCloudWatchLogsExports": "", "ProcessorFeatures": [] }, "PerformanceInsightsEnabled": false, "PerformanceInsightsKmsKeyId": "", "PerformanceInsightsRetentionPeriod": "", "ProcessorFeatures": [], "PromotionTier": "", "PubliclyAccessible": false, "ReadReplicaDBClusterIdentifiers": [], "ReadReplicaDBInstanceIdentifiers": [], "ReadReplicaSourceDBInstanceIdentifier": "", "SecondaryAvailabilityZone": "", "StatusInfos": [], "StorageEncrypted": false, "StorageType": "gp2", "TdeCredentialArn": "", "Timezone": "", "VpcSecurityGroups": [ { "VpcSecurityGroupId": "sg-example1", "Status": "active" } ] }

它可能具有以下属性。

AllocatedStorage

可选

最初为数据库实例分配的存储量(以 GB 为单位)。

类型: Number

AssociatedRoles

可选

与数据库实例关联的 IAM 角色。

类型: 角色对象数组

AutoMinorVersionUpgrade

可选

指示是否自动应用次要版本补丁。

类型: 布尔型

AvailabilityZone

可选

将在其中创建数据库实例的可用区。

类型: String

BackupRetentionPeriod

可选

保留自动备份的天数。

类型: Number

最小值: 0

最大值: 35

CACertificateIdentifier

可选

此数据库实例的 CA 证书的标识符。

类型: String

CharacterSetName

可选

此数据库实例关联到的字符集的名称。

类型: String

CopyTagsToSnapshot

可选

是否将资源标签复制到数据库实例的快照。

类型: 布尔型

DBClusterIdentifier

可选

如果数据库实例属于某个数据库集群,则包含数据库实例所属的数据库集群的名称。

类型: String

DBInstanceClass

可选

包含数据库实例的计算和内存容量级别名称。

类型: String

DBInstanceIdentifier

可选

包含用户提供的数据库标识符。此标识符是标识数据库实例的唯一密钥。

类型: String

DbInstancePort

可选

指定数据库实例侦听的端口。如果数据库实例属于某个数据库集群,则此端口可能不同于数据库集群的端口。

类型: 整数

DbInstanceStatus

可选

数据库实例的当前状态。

类型: String

DbiResourceId

可选

数据库实例的 AWS 区域唯一且不变的标识符。

每次访问数据库实例的 CloudTrail 密钥时,可以在 AWS KMS 日志条目中找到该标识符。

类型: String

DBName

可选

此参数的含义因您使用的引擎的数据库而异。

MySQL、MariaDB、SQL Server、PostgreSQL

包含在创建时为该实例提供的初始数据库的名称(如果在创建数据库实例时指定)。在数据库实例的使用期间会始终返回同一名称。

类型: String

Oracle

包含创建的数据库实例的 Oracle 系统 ID (SID)。在返回的参数不适用于 Oracle 数据库实例时不显示。

类型: String

DbParameterGroups

可选

要分配给数据库实例的数据库参数组的列表。

类型: 对象数组

DbSecurityGroups

可选

要分配到数据库实例的数据库安全组的列表。

类型: 字符串数组

DbSubnetGroup

可选

有关与数据库实例关联的子网组的信息。

类型: 对象

DeletionProtection

可选

指示数据库实例是否启用了删除保护。在启用删除保护时,无法删除数据库。

类型: 布尔型

DomainMemberships

可选

与数据库实例关联的 Active Directory 域成员资格记录。

类型: 对象数组

EnabledCloudwatchLogsExports

可选

此数据库实例配置为导出到 CloudWatch Logs 的日志类型的列表。

类型: 字符串数组

Endpoint

可选

指定连接终端节点。

类型: 对象

Engine

可选

提供要用于此数据库实例的数据库引擎的名称。

类型: String

EngineVersion

可选

指示数据库引擎版本。

类型: String

EnhancedMonitoringResourceArn

可选

接收数据库实例的增强监控指标数据的 CloudWatch Logs 日志流的 ARN。

类型: String

IamDatabaseAuthenticationEnabled

可选

如果启用了 IAM 账户到数据库账户的映射,则为 true,否则为 false。

可为以下数据库引擎启用 IAM 数据库身份验证:

  • 对于 MySQL 5.6,次要版本 5.6.34 或更高版本

  • 对于 MySQL 5.7,次要版本 5.7.16 或更高版本

  • Aurora 5.6 或更高版本

类型: 布尔型

InstanceCreateTime

可选

指示创建数据库实例的时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

Iops

可选

指定此数据库实例的预置 IOPS(每秒 I/O 操作数)。

类型: Number

KmsKeyId

可选

如果 StorageEncrypted 为 true,则为加密的数据库实例的 AWS KMS 密钥标识符。

类型: String

LatestRestorableTime

可选

指定数据库可以使用时间点还原的最新还原时间。

类型: String

格式: 使用 date-timeRFC 3339 第 5.6 节“Internet 日期/时间格式”中指定的 格式。该值不能包含空格。

示例

"LatestRestorableTime": "2020-06-22T17:40:12.322Z"
LicenseModel

可选

该数据库实例的许可模式信息。

类型: String

ListenerEndpoint

可选

有关 SQL Server Always On 的侦听器连接终端节点的信息。

类型: 对象

MasterUsername

可选

数据库实例的主用户名。

类型: String

MaxAllocatedStorage

可选

可以自动扩展数据库实例存储的上限。Amazon RDS

类型: Number

MonitoringInterval

可选

收集数据库实例的增强监控指标的时间点之间的间隔,以秒为单位。

类型: Number

MonitoringRoleArn

可选

允许 IAM 将增强监控指标发送到 Amazon RDS 的 CloudWatch Logs 角色的 ARN。

类型: String

MultiAz

可选

数据库实例是否为多可用区部署。

类型: 布尔型

OptionGroupMemberships

可选

此数据库实例的选项组成员资格的列表。

类型: 对象数组

PendingModifiedValues

可选

对当前待处理的数据库实例的更改。

类型: 对象

PerformanceInsightsEnabled

可选

指示是否为数据库实例启用 Performance Insights。

类型: 布尔型

PerformanceInsightsKmsKeyId

可选

用于加密 Performance Insights 数据的 AWS KMS 密钥的标识符。

类型: String

PerformanceInsightsRetentionPeriod

可选

保留 Performance Insights 数据的天数。

类型: Number

PreferredBackupWindow

可选

每天创建自动备份的时间范围(如果启用了自动备份)。

类型: 字符串

Format: HH:MM-HH:MM

示例

"PreferredBackupWindow": "04:52-05:22"
PreferredMaintenanceWindow