使用 SQL 丝滑查询你的云 API 数据 - Steampipe

使用 SQL 丝滑查询你的云 API 数据 - Steampipe

Steampipe: select * from cloud 可以让你使用 SQL 来即时查询你的云服务（AWS、Azure、GCP、Github、Slack 等），是一个开源 的 CLI 工具，不需要数据库。Steampipe 将 API 和服务暴露成高性能关系数据库，使你能够编写基于 SQL 的查询来探索动态数据。Mods 通过使用简单 HCL 构建的 Dashboard、报告和控件扩展 Steampipe 的功能。

安装

假如你是 Linux 用户，则可以使用下面的命令进行一键安装。

安装后检测是否成功。

~$ steampipe -vsteampipe version 0.15.2

如果显示了上面的版本信息证明安装成功了。

接下来就可以根据自己的需要去安装对应的插件了 steampipe plugin install steampipe。

如果你是 Mac 用户，则可以使用 Homebrew 进行一键安装 brew install steampipe。

使用

这里我们以 AWS 为例进行说明如何使用 steampipe。

首先，下载并安装 Steampipe，然后安装插件：

steampipe plugin install aws

Steampipe 将在你第一次运行 steampipe 查询时下载和安装额外的组件，因此它最初可能需要几秒钟的时间来加载。

插件安装完成后，Steampipe 将使用你的凭证文件和/或环境变量中的默认 AWS 凭证，所以你需要确保这些也已经配置好了。

我们可以使用 profile 参数从 AWS 凭证文件中指定命名配置文件。每个配置文件的连接，使用命名配置文件可能是最常见的配置：

aws 凭证文件

[profile_y]aws_access_key_id = AKIA4YFAKEKEYXTDS252aws_secret_access_key = SH42YMW5p3EThisIsNotRealzTiEUwXN8BOIOF5J8mregion = us-west-2[profile_z]aws_access_key_id = AKIA4YFAKEKEYJ7HS98Faws_secret_access_key = Apf938vDKd8ThisIsNotRealzTiEUwXj9nKLWP9mg4

aws.spc

connection "aws_account_y" { plugin = "aws" profile = "profile_y" regions = ["us-east-1", "us-west-2"]}connection "aws_account_z" { plugin = "aws" profile = "profile_z" regions = ["ap-southeast-1", "ap-southeast-2"]}

如果你能运行 aws ec2 describe-vpcs，则证明就可以使用了。

Steampipe 提供的命令允许你在不离开查询 shell 的情况下发现和探索表和数据。可以运行 steampipe query 来打开交互式查询会话：

然后运行 .tables 命令可以列出可用的表：

> .tables ==> aws +----------------------------------------+---------------------------------------------+ | table | description | +----------------------------------------+---------------------------------------------+ | aws_accessanalyzer_analyzer | AWS Access Analyzer | | aws_account | AWS Account | | aws_acm_certificate | AWS ACM Certificate | | aws_api_gateway_api_key | AWS API Gateway API Key | ... +----------------------------------------+---------------------------------------------+

正常情况下我们会看到 aws 插件中有很多可用的表！比如有一个 aws_iam_role 表，我们可以来运行 .inspect 命令来查看该表中的内容：

> .inspect aws_iam_role +---------------------------+-----------------------------+---------------------------------------------------------------------------------------------------+ | column | type | description | +---------------------------+-----------------------------+---------------------------------------------------------------------------------------------------+ | account_id | text | The AWS Account ID in which the resource is located. | | akas | jsonb | Array of globally unique identifier strings (also known as) for the resource. | | arn | text | The Amazon Resource Name (ARN) specifying the role. | | assume_role_policy | jsonb | The policy that grants an entity permission to assume the role. | | assume_role_policy_std | jsonb | Contains the assume role policy in a canonical form for easier searching. | | attached_policy_arns | jsonb | A list of managed policies attached to the role. | | create_date | timestamp without time zone | The date and time when the role was created. | | description | text | A user-provided description of the role. | | inline_policies | jsonb | A list of policy documents that are embedded as inline policies for the role.. ... +---------------------------+-----------------------------+---------------------------------------------------------------------------------------------------+

现在我们知道 aws_iam_role 表中有哪些列可用，我们就可以运行一个简单的查询来列出角色：

select name from aws_iam_role

再查询一个稍微复杂的场景，让我们找到没有应用边界策略的角色：

select namefrom aws_iam_rolewhere permissions_boundary_arn is null;

和其他数据库一样，我们也可以将表连接在一起。例如，我们可以找到所有附加了 AWS 托管策略的角色：

select r.name, policy_arn, p.is_aws_managedfrom aws_iam_role as r, jsonb_array_elements_text(attached_policy_arns) as policy_arn, aws_iam_policy as pwhere p.arn = policy_arn and p.is_aws_managed;

+-------------------------------------------------------+------------------------------------------------------------------------------------+----------------+ | name | policy_arn | is_aws_managed | +-------------------------------------------------------+------------------------------------------------------------------------------------+----------------+ | aws-elasticbeanstalk-ec2-role | arn:aws:iam::aws:policy/AWSElasticBeanstalkWorkerTier | true | | aws-elasticbeanstalk-ec2-role | arn:aws:iam::aws:policy/AWSElasticBeanstalkMulticontainerDocker | true || admin | arn:aws:iam::aws:policy/ReadOnlyAccess | true | | AWSServiceRoleForSSO | arn:aws:iam::aws:policy/aws-service-role/AWSSSOServiceRolePolicy | true | | AWSServiceRoleForAccessAnalyzer | arn:aws:iam::aws:policy/aws-service-role/AccessAnalyzerServiceRolePolicy | true | | aws-elasticbeanstalk-service-role | arn:aws:iam::aws:policy/service-role/AWSElasticBeanstalkEnhancedHealth | true | | AWSServiceRoleForElasticLoadBalancing | arn:aws:iam::aws:policy/aws-service-role/AWSElasticLoadBalancingServiceRolePolicy | true | | aws-elasticbeanstalk-service-role | arn:aws:iam::aws:policy/service-role/AWSElasticBeanstalkService | true | | AWSServiceRoleForOrganizations | arn:aws:iam::aws:policy/aws-service-role/AWSOrganizationsServiceTrustPolicy | true | +-------------------------------------------------------+------------------------------------------------------------------------------------+----------------+

Steampipe 插件提供了一种简单的方式来查询您的配置，而 Steampipe modes 允许你创建和共享 dahsboard、报告和控件。Steampipe Dashboard 可让你可视化你的 Steampipe 数据。

我们可以下载 AWS Insights mod 并查看仪表板。首先克隆 repo：

然后切换到该目录并运行 steampipe 仪表板：

cd steampipe-mod-aws-insights steampipe dashboard

这样就可以启动 Dashboard 了。

你可以在任何页面顶部的搜索栏中导航到另一个仪表板，或者，你可以单击左上角的 Steampipe logo 返回主页。完成后，你可以返回终端控制台并键入 Ctrl+c 退出。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。