": {
...
}
}
```
+ **ResourceType**: Bei diesem Schlüssel muss es sich um eine der folgenden unterstützten Zeichenketten handeln. Die Konfiguration in diesem JSON-Objekt bezieht sich nur auf den angegebenen AWS Ressourcentyp. Unterstützte Ressourcentypen
```
AWS::EC2::Instance
AWS::EC2::Instance::Disk
AWS::RDS::DBInstance
AWS::Elasticsearch::Domain
AWS::OpenSearch::Domain
AWS::Redshift::Cluster
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::ElasticLoadBalancingV2::LoadBalancer::TargetGroup
AWS::ElasticLoadBalancing::LoadBalancer
AWS::FSx::FileSystem::ONTAP
AWS::FSx::FileSystem::ONTAP::Volume
AWS::FSx::FileSystem::Windows
AWS::EFS::FileSystem
AWS::EC2::NatGateway
AWS::EC2::VPNConnection
```
+ **ConfigurationId**: Dieser Schlüssel muss im Profil eindeutig sein und benennt den folgenden Konfigurationsblock eindeutig. Wenn Sie in Ihrem Anpassungsprofil eine **ConfigurationID** angeben, die mit der im Standardprofil angegebenen identisch ist, wird der im Anpassungsprofil definierte Konfigurationsblock wirksam.
+ **Aktiviert**: (optional, default=true) Geben Sie an, ob der Konfigurationsblock wirksam werden soll. Setzen Sie dies auf false, um einen Konfigurationsblock zu deaktivieren. Ein deaktivierter Konfigurationsblock verhält sich so, als ob er nicht im Profil vorhanden wäre.
+ **Tag**: Geben Sie das Tag an, für das diese Alarmdefinition gilt. Für jede Ressource (des entsprechenden Ressourcentyps), die diesen Tag-Schlüssel und -Wert hat, wird ein CloudWatch Alarm mit der angegebenen Definition erstellt. Dieses Feld ist ein JSON-Objekt mit den folgenden Feldern:
+ **Schlüssel**: Der Schlüssel des Tags, der zugeordnet werden soll. Denken Sie daran, dass, wenn Sie Resource Tagger verwenden, um die Tags auf die Ressource anzuwenden, der Schlüssel für das Tag immer mit **ams:rt**: beginnt.
+ **Wert**: Der Wert des Tags, der zugeordnet werden soll.
+ **AlarmDefinition**: Definiert den Alarm, der erstellt werden soll. Dies ist ein JSON-Objekt, dessen Felder unverändert an den CloudWatch `PutMetricAlarm` API-Aufruf übergeben werden (mit Ausnahme von Pseudoparametern; weitere Informationen finden Sie unter). [Beschleunigtes Konfigurationsprofil: Substitution von Pseudoparametern](acc-mem-config-doc-sub.md) Informationen darüber, welche Felder erforderlich sind, finden Sie in der Dokumentation. [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)
ODER
**CompositeAlarmDefinition**: Definiert einen zusammengesetzten Alarm, der erstellt werden soll. Wenn Sie einen zusammengesetzten Alarm erstellen, geben Sie einen Regelausdruck für den Alarm an, der den Alarmstatus anderer Alarme berücksichtigt, die Sie erstellt haben. Dies ist ein JSON-Objekt, dessen Felder unverändert an das `CloudWatchPutCompositeAlarm` übergeben werden. Der zusammengesetzte Alarm geht nur dann in den ALARM-Status über, wenn alle Bedingungen der Regel erfüllt sind. Die im Regelausdruck eines zusammengesetzten Alarms angegebenen Alarme können Metrikalarme und andere zusammengesetzte Alarme umfassen. Informationen darüber, welche Felder erforderlich sind, finden Sie in der [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)Dokumentation.
Beide Optionen bieten die folgenden Felder:
+ **AlarmName**: Geben Sie den Namen des Alarms an, den Sie für die Ressource erstellen möchten. Dieses Feld hat dieselben Regeln wie in der [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)Dokumentation angegeben. Da der Alarmname in einer Region jedoch eindeutig sein muss, hat der Alarm Manager eine zusätzliche Anforderung: Sie müssen den Pseudoparameter mit der eindeutigen Kennung im Namen des Alarms angeben (andernfalls fügt Alarm Manager den eindeutigen Bezeichner der Ressource an den Anfang des Alarmnamens an). Beispielsweise müssen Sie den **AWS::EC2::Instance**Ressourcentyp `${EC2::InstanceId}` im Alarmnamen angeben, oder er wird implizit am Anfang des Alarmnamens hinzugefügt. Eine Liste der Identifikatoren finden Sie unter. [Beschleunigtes Konfigurationsprofil: Substitution von Pseudoparametern](acc-mem-config-doc-sub.md)
Alle anderen Felder entsprechen den Angaben in der [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)oder der [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)Dokumentation.
+ **AlarmRule**: Geben Sie an, welche anderen Alarme ausgewertet werden sollen, um den Status dieses zusammengesetzten Alarms zu ermitteln. Für jeden Alarm, auf den Sie verweisen, müssen sie entweder in Ihrem Konto vorhanden sein CloudWatch oder im Alarm Manager-Konfigurationsprofil angegeben sein.
**Wichtig**
Sie können entweder **AlarmDefinition**oder **CompositeAlarmDefinition**in Ihrem Alarm Manager-Konfigurationsdokument angeben, aber beide können nicht gleichzeitig verwendet werden.
Im folgenden Beispiel erzeugt das System einen Alarm, wenn zwei angegebene metrische Alarme ihren Schwellenwert überschreiten:
```
{
"AWS::EC2::Instance": {
"LinuxResourceAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"CompositeAlarmDefinition": {
"AlarmName": "${EC2::InstanceId} Resource Usage High",
"AlarmDescription": "Alarm when a linux EC2 instance is using too much CPU and too much Disk",
"AlarmRule": "ALARM(\"${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}\") AND ALARM(\"${EC2::InstanceId}: CPU Too High\")"
}
}
}
}
```
**Wichtig**
Wenn Alarm Manager aufgrund einer fehlerhaften Konfiguration keinen Alarm erstellen oder löschen kann, sendet er die Benachrichtigung an das SNS-Thema **Direct-Customer-Alerts**. Dieser Alarm wird aufgerufen. **AlarmDependencyError**
Wir empfehlen dringend, dass Sie Ihr Abonnement für dieses SNS-Thema bestätigt haben. Um Nachrichten zu erhalten, die zu [einem Thema](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) veröffentlicht wurden, müssen Sie [einen Endpunkt](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html#sns-endpoints) für das Thema abonnieren. Einzelheiten finden Sie unter [Schritt 1: Ein Thema erstellen](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#step-create-queue).
**Anmerkung**
Wenn Alarme bei der Erkennung von Anomalien erstellt werden, erstellt Alarm Manager automatisch die erforderlichen Anomalieerkennungsmodelle für die angegebenen Messwerte. Wenn Alarme bei der Anomalieerkennung gelöscht werden, löscht Alarm Manager die zugehörigen Anomalieerkennungsmodelle nicht.
[Amazon CloudWatch begrenzt die Anzahl der Modelle zur Erkennung von Anomalien](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html), die Sie in einer bestimmten AWS Region verwenden können. Wenn Sie das Modellkontingent überschreiten, erstellt Alarm Manager keine neuen Alarme zur Erkennung von Anomalien. Sie müssen entweder ungenutzte Modelle löschen oder mit Ihrem AMS-Partner zusammenarbeiten, um eine Erhöhung des Limits zu beantragen.
Viele der von AMS Accelerate bereitgestellten Basisalarmdefinitionen führen das SNS-Thema **MMS-Thema** als Ziel auf. Dies dient zur Verwendung im AMS Accelerate-Überwachungsdienst und ist der Transportmechanismus, über den Ihre Alarmbenachrichtigungen an AMS Accelerate weitergeleitet werden. Geben Sie **MMS-Topic** nicht als Ziel für Alarme an, die nicht in der Baseline enthalten sind (und deren Überschreibungen), da der Service unbekannte Alarme ignoriert. Dies **führt nicht** dazu, dass AMS Accelerate auf Ihre benutzerdefinierten Alarme reagiert.
# Beschleunigtes Konfigurationsprofil: Substitution von Pseudoparametern
In jedem der Konfigurationsprofile können Sie Pseudoparameter angeben, die an Ort und Stelle wie folgt ersetzt werden:
+ Global — an einer beliebigen Stelle im Profil:
+ \$1 \$1AWS::AccountId\$1: Ersetzt durch Ihre AWS Konto-ID
+ \$1 \$1AWS::Partition\$1: Ersetzt durch die Partition der Ressource, in AWS-Region der sich die Ressource befindet (für die meisten ist das 'aws' AWS-Regionen); weitere Informationen finden Sie im Eintrag für die Partition in der [ARN-Referenz](https://docs.amazonaws.cn/en_us/general/latest/gr/aws-arns-and-namespaces.html).
+ \$1 \$1AWS::Region\$1: Ersetzt durch den Regionsnamen der Region, in der Ihre Ressource bereitgestellt wird (zum Beispiel us-east-1)
+ In einem **AWS::EC2::Instance**Ressourcentypblock:
+ \$1 \$1EC2::InstanceId\$1: (**Identifier**) wurde durch die Instance-ID Ihrer Amazon EC2 EC2-Instance ersetzt.
+ \$1 \$1EC2::InstanceName\$1: ersetzt durch den Namen Ihrer Amazon EC2 EC2-Instance. Wenn der Instance-Name nicht definiert ist, wird er durch die Instance-ID Ihrer Amazon EC2 EC2-Instance ersetzt.
+ In einem Block vom Ressourcentyp **AWS::EC2::Instance: :Disk:**
+ \$1 \$1EC2::InstanceId\$1: (**Identifier**) Ersetzt durch die Instance-ID Ihrer Amazon EC2 EC2-Instance.
+ \$1 \$1EC2::InstanceName\$1: Ersetzt durch den Namen Ihrer Amazon EC2 EC2-Instance. Wenn der Instance-Name nicht definiert ist, wird er durch die Instance-ID Ihrer Amazon EC2 EC2-Instance ersetzt.
+ \$1 \$1EC2: :Disk: :Device\$1: Ersetzt durch den Namen der Festplatte. [(Nur Linux, auf vom Agenten verwalteten Instanzen). CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ \$1 \$1EC2: :Disk::FSType\$1: Ersetzt durch den Dateisystemtyp der Festplatte. (Nur Linux, auf Instanzen, die von der [ CloudWatchAgent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)verwaltet werden).
+ \$1 \$1EC2: :Disk: :Path\$1: Ersetzt durch den Festplattenpfad. [(Nur Windows, dies ist die Laufwerksbezeichnung (z. B. c:/), nur auf einer vom Agenten verwalteten Instanz). CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ \$1 \$1EC2: :Disk: :UUID\$1: (**Identifier**) Ersetzt durch eine generierte UUID, die die Festplatte eindeutig identifiziert, muss diese im Namen des Alarms angegeben werden, da ein Alarm unter AWS::EC2::Instance::Disk Ressourcentyp einen Alarm pro Volume erzeugt. Durch die Angabe von \$1 \$1EC2: :Disk: :UUID\$1 bleibt die Eindeutigkeit der Alarmnamen gewahrt.
+ In einem Ressourcentypblock: **AWS::OpenSearch::Domain**
+ \$1 \$1OpenSearch::DomainName\$1: (**Identifier**) wurde durch den Namen Ihrer OpenSearch Domain ersetzt.
+ In einem **AWS::Elasticsearch::Domain**Ressourcentyp-Block:
+ \$1 \$1Elasticsearch::DomainName\$1: (**Identifier**) wurde durch den Namen Ihrer Elasticsearch-Domain ersetzt.
+ In einem **AWS::ElasticLoadBalancing::LoadBalancer**Ressourcentyp-Block:
+ \$1 \$1ElasticLoadBalancing::LoadBalancer: :Name\$1: (**Identifier**) wurde durch den Namen Ihres V1 Load Balancer ersetzt.
+ In einem **AWS::ElasticLoadBalancingV2::LoadBalancer**Ressourcentypblock:
+ \$1 \$1ElasticLoadBalancingV2:LoadBalancer: :Arn\$1: ersetzt durch den ARN Ihres V2 Load Balancer.
+ \$1 \$1ElasticLoadBalancingV2::LoadBalancer\$1: ersetzt durch den ARN Ihres V2 Load Balancer.
+ \$1 \$1ElasticLoadBalancingV2:LoadBalancer: :Name\$1: (**Identifier**) wurde durch den Namen Ihres V2 Load Balancer ersetzt.
+ \$1 \$1ElasticLoadBalancingV2::LoadBalancer:FullName\$1: ersetzt durch den vollständigen Namen Ihres V2 Load Balancer.
+ In einem **AWS::ElasticLoadBalancingV2::LoadBalancer::** Block vom TargetGroup Ressourcentyp:
+ \$1 \$1ElasticLoadBalancingV2:::TargetGroup:FullName\$1: (**Identifier**) wird durch den Zielgruppennamen Ihres V2 Load Balancer ersetzt.
+ \$1 \$1ElasticLoadBalancingV2:: :UUID\$1TargetGroup: (**Identifier**) wurde durch eine generierte UUID für Ihren V2 Load Balancer ersetzt.
+ \$1 \$1ElasticLoadBalancingV2::LoadBalancer:FullName\$1: Ersetzt durch den vollständigen Namen Ihres V2 Load Balancer.
+ In einem Block vom Typ **AWS::EC2::NatGateway**Ressource:
+ \$1 \$1NatGateway::NatGatewayId\$1: (**Identifier**) wurde durch die NAT-Gateway-ID ersetzt.
+ In einem **AWS: :RDS:: DBInstance** Ressourcentypblock:
+ \$1 \$1RDS:: DBInstance Identifier\$1: (**Identifier**) wurde durch Ihre RDS-DB-Instance-ID ersetzt.
+ In einem Block vom Typ **AWS::Redshift::Cluster**Ressource:
+ \$1 \$1Redshift::ClusterIdentifier\$1: (**Identifier**) wurde durch Ihre Redshift-Cluster-ID ersetzt.
+ In einem **AWS: :EC2:: VPNConnection Ressourcentypblock:**
+ \$1 \$1AWS::EC2::VpnConnectionId\$1: (**Identifier**) wurde durch Ihre VPN-ID ersetzt.
+ In einem Block vom Typ **AWS::EFS::FileSystem**Ressource:
+ \$1 \$1EFS::FileSystemId\$1: (**Identifier**) Ersetzt durch die Dateisystem-ID Ihres EFS-Dateisystems.
+ In einem **AWS::FSx::FileSystem: :ONTAP-Ressourcentypblock**:
+ \$1 \$1FSx::FileSystemId\$1: (**Identifier**) Ersetzt durch die Dateisystem-ID Ihres FSX-Dateisystems.
+ \$1 \$1FSx::FileSystem: :Throughput\$1: Ersetzt durch den Durchsatz Ihres FSX-Dateisystems.
+ \$1 \$1FSx::FileSystem: :Iops\$1: Ersetzt durch die IOPS des FSX-Dateisystems.
+ In einem **AWS::FSx::FileSystem: :ONTAP: :Volume-Ressourcentypblock**:
+ \$1 \$1FSx::FileSystemId\$1: (**Identifier**) Ersetzt durch die Dateisystem-ID Ihres FSX-Dateisystems.
+ \$1 \$1FSx: :ONTAP::VolumeId\$1: (**identifier**) Ersetzt durch die Volume-ID.
+ In einem **AWS::FSx::FileSystem: :Windows-Ressourcentypblock:**
+ \$1 \$1FSx::FileSystemId\$1: (**Identifier**) Ersetzt durch die Dateisystem-ID Ihres FSX-Dateisystems.
+ \$1 \$1FSx::FileSystem: :Throughput\$1: Ersetzt durch den Durchsatz Ihres FSX-Dateisystems.
**Anmerkung**
Alle mit einem **Bezeichner** markierten Parameter werden als Präfix für den Namen der erstellten Alarme verwendet, sofern Sie diesen Bezeichner nicht im Alarmnamen angeben.
# Beispiele für die Konfiguration von Beschleunigungsalarmen
Im folgenden Beispiel erzeugt das System einen Alarm für jede Festplatte, die an die entsprechende Linux-Instanz angeschlossen ist.
```
{
"AWS::EC2::Instance::Disk": {
"LinuxDiskAlarm": {
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "disk_used_percent",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "device",
"Value": "${EC2::Disk::Device}"
},
{
"Name": "fstype",
"Value": "${EC2::Disk::FSType}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
Im folgenden Beispiel erzeugt das System einen Alarm für jede Festplatte, die an die entsprechende Windows-Instanz angeschlossen ist.
```
{
"AWS::EC2::Instance::Disk": {
"WindowsDiskAlarm": {
"Tag": {
"Key": "ams:rt:mywindowsinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "LogicalDisk % Free Space",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "objectname",
"Value": "LogicalDisk"
},
{
"Name": "instance",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
# Ihre Accelerate Alarm Manager-Konfiguration anzeigen
Sowohl die **AMSManagedAlarme** als auch **CustomerManagedAlarms**können AppConfig mit überprüft werden [GetConfiguration](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_GetConfiguration.html).
Das Folgende ist ein Beispiel für den `GetConfiguration` Anruf:
```
aws appconfig get-configuration --application AMSAlarmManager --environment AMSInfrastructure --configuration AMSManagedAlarms --client-id
any-string outfile.json
```
+ **Anwendung**: Dies AppConfig ist die logische Einheit zur Bereitstellung von Funktionen; für den Alarm Manager ist dies `AMSAlarmManager`
+ **Umgebung**: Das ist die AMSInfrastructure Umgebung
+ **Konfiguration**: Für die Anzeige von AMS Accelerate-Basisalarmen lautet der Wert`AMSManagedAlarms`; für die Anzeige von Kundenalarmdefinitionen ist die Konfiguration `CustomerManagedAlarms`
+ **Client-ID**: Dies ist eine eindeutige Anwendungsinstanz-ID, bei der es sich um eine beliebige Zeichenfolge handeln kann
+ Die Alarmdefinitionen können in der angegebenen Ausgabedatei eingesehen werden, in diesem Fall `outfile.json`
Sie können anhand der vergangenen Bereitstellungen in der AMSInfrastructure Umgebung sehen, welche Version der Konfiguration für Ihr Konto bereitgestellt wurde.
# Konfiguration des Accelerate-Alarms ändern
Um neue Alarmdefinitionen hinzuzufügen oder zu aktualisieren, können Sie entweder ein Konfigurationsdokument [Verwenden CloudFormation zur Bereitstellung von Accelerate-Konfigurationsänderungen](acc-mem-deploy-change-cfn.md) bereitstellen oder die [CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API aufrufen.
Dies ist ein Linux-Befehlszeilenbefehl, der den Parameterwert in Base64 generiert, was der AppConfig CLI-Befehl erwartet. Weitere Informationen finden Sie in der AWS CLI Dokumentation [Binary/Blob (Binary Large Object)](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob).
Beispiel:
```
aws appconfig create-hosted-configuration-version --application-id application-id --configuration-profile-id configuration-profile-id --content base64-string
--content-type application/json
```
+ **Anwendungs-ID:** ID der Anwendung AMS AlarmManager; Sie können dies mit dem API-Aufruf herausfinden. [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)
+ **Konfigurationsprofil-ID**: ID der Konfiguration CustomerManagedAlarms; Sie können dies mit dem [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)API-Aufruf herausfinden.
+ **Inhalt**: Base64-Zeichenfolge des Inhalts, der erstellt werden soll, indem ein Dokument erstellt und in Base64 kodiert wird: cat alarms-v2.json \$1 base64 (siehe [Binary/Blob (Binary](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob) Large Object)).
**Inhaltstyp: MIME-Typ**, da Alarmdefinitionen in JSON geschrieben werden. `application/json`
**Wichtig**
Beschränken Sie den Zugriff auf die [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)und [StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)API-Aktionen auf vertrauenswürdige Benutzer, die sich mit den Verantwortlichkeiten und Konsequenzen der Implementierung einer neuen Konfiguration für Ihre Ziele auskennen.
Weitere Informationen zur Verwendung von AppConfig AWS-Funktionen zum Erstellen und Bereitstellen einer Konfiguration finden Sie unter [Arbeiten mit AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html).
# Ändern der Standardkonfiguration des Beschleunigungsalarms
Sie können das Standardkonfigurationsprofil zwar nicht ändern, aber Sie können die Standardeinstellungen überschreiben, indem Sie in Ihrem Anpassungsprofil einen Konfigurationsblock mit derselben **ConfigurationID** wie der Standardkonfigurationsblock angeben. Wenn Sie dies tun, überschreibt Ihr gesamter Konfigurationsblock den Standardkonfigurationsblock, für den die Tagging-Konfiguration angewendet werden soll.
Betrachten Sie zum Beispiel das folgende Standardkonfigurationsprofil:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 5,
...
}
}
}
}
```
Um den Schwellenwert für diesen Alarm auf 10 zu ändern, **müssen Sie die gesamte Alarmdefinition angeben**, nicht nur die Teile, die Sie ändern möchten. Sie könnten beispielsweise das folgende Anpassungsprofil angeben:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 10,
...
}
}
}
}
```
**Wichtig**
Denken Sie daran, Ihre Konfigurationsänderungen zu implementieren, nachdem Sie sie vorgenommen haben. In SSM AppConfig müssen Sie nach der Erstellung eine neue Version der Konfiguration bereitstellen.
# Implementieren von Accelerate-Alarm-Konfigurationsänderungen
Nachdem Sie eine Anpassung abgeschlossen haben, müssen Sie sie entweder mit AppConfig oder bereitstellen CloudFormation.
**Topics**
+ [Wird AppConfig zur Bereitstellung von Accelerate-Alarm-Konfigurationsänderungen verwendet](acc-mem-deploy-change-appconfig.md)
+ [Verwenden CloudFormation zur Bereitstellung von Accelerate-Konfigurationsänderungen](acc-mem-deploy-change-cfn.md)
# Wird AppConfig zur Bereitstellung von Accelerate-Alarm-Konfigurationsänderungen verwendet
Sobald die Anpassung abgeschlossen ist, verwenden Sie, AppConfig um Ihre Änderungen mit zu implementieren [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html).
```
aws appconfig start-deployment --application-id application_id
--environment-id environment_id Vdeployment-strategy-id
deployment_strategy_id --configuration-profile-id configuration_profile_id --configuration-version 1
```
+ **Anwendungs-ID**: ID der Anwendung`AMSAlarmManager`. Sie finden diese mithilfe des [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)API-Aufrufs.
+ **Umgebungs-ID**: Sie finden diese mit dem [ListEnvironments](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListEnvironments.html)API-Aufruf.
+ **ID der Bereitstellungsstrategie**: Sie finden diese mit dem [ListDeploymentStrategies](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListDeploymentStrategies.html)API-Aufruf.
+ **Konfigurationsprofil-ID**: ID von`CustomerManagedAlarms`; Sie finden diese ID mit dem [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)API-Aufruf.
+ **Konfigurationsversion**: Die Version des Konfigurationsprofils, das bereitgestellt werden soll.
**Wichtig**
Alarm Manager wendet die in den Konfigurationsprofilen angegebenen Alarmdefinitionen an. Alle manuellen Änderungen, die Sie mit dem AWS-Managementkonsole oder dem CloudWatch CLI/SDK an den CloudWatch Alarmen vornehmen, werden automatisch rückgängig gemacht. Stellen Sie daher sicher, dass Ihre Änderungen über den Alarm Manager definiert sind. Um zu verstehen, welche Alarme vom Alarm Manager erstellt werden, können Sie nach `ams:alarm-manager:managed` dem Tag mit dem Wert suchen. `true`
Beschränken Sie den Zugriff auf die [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)und [ StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)API-Aktionen auf vertrauenswürdige Benutzer, die sich mit den Verantwortlichkeiten und Konsequenzen der Implementierung einer neuen Konfiguration für Ihre Ziele auskennen.
Weitere Informationen zur Verwendung von AppConfig AWS-Funktionen zum Erstellen und Bereitstellen einer Konfiguration finden Sie in der [ AppConfig AWS-Dokumentation.](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html)
# Verwenden CloudFormation zur Bereitstellung von Accelerate-Konfigurationsänderungen
Wenn Sie Ihr `CustomerManagedAlarms` Konfigurationsprofil mithilfe von bereitstellen möchten CloudFormation, können Sie die folgenden CloudFormation Vorlagen verwenden. Geben Sie Ihre gewünschte JSON-Konfiguration in das `AMSAlarmManagerConfigurationVersion.Content` Feld ein.
Wenn Sie die Vorlagen in einem CloudFormation Stack oder Stack-Set bereitstellen, schlägt die Bereitstellung der `AMSResourceTaggerDeployment` Ressource fehl, wenn Sie das erforderliche JSON-Format für die Konfiguration nicht eingehalten haben. Einzelheiten [Beschleunigtes Konfigurationsprofil: Überwachung](acc-mem-config-doc-format.md) zum erwarteten Format finden Sie unter.
Hilfe zur Bereitstellung dieser Vorlagen als CloudFormation Stack oder Stack-Set finden Sie in der entsprechenden CloudFormation AWS-Dokumentation unten:
+ [Einen Stack auf der CloudFormation AWS-Konsole erstellen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
+ [Einen Stack mit AWS CLI erstellen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-cli-creating-stack.html)
+ [Ein Stack-Set erstellen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)
**Anmerkung**
Wenn Sie eine Konfigurationsversion mithilfe einer dieser Vorlagen bereitstellen und anschließend den CloudFormation Stack/das Stack-Set löschen, bleibt die Version der Vorlagenkonfiguration die aktuell bereitgestellte Version, und es erfolgt keine weitere Bereitstellung. Wenn Sie zu einer Standardkonfiguration zurückkehren möchten, müssen Sie entweder manuell eine leere Konfiguration bereitstellen (d. h. nur \$1\$1) oder Ihren Stack auf eine leere Konfiguration aktualisieren, anstatt den Stack zu löschen.
**JSON**
```
{
"Description": "Custom configuration for the AMS Alarm Manager.",
"Resources": {
"AMSAlarmManagerConfigurationVersion": {
"Type": "AWS::AppConfig::HostedConfigurationVersion",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"Content": "{}",
"ContentType": "application/json"
}
},
"AMSAlarmManagerDeployment": {
"Type": "AWS::AppConfig::Deployment",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"ConfigurationVersion": {
"Ref": "AMSAlarmManagerConfigurationVersion"
},
"DeploymentStrategyId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-Deployment-StrategyID"
},
"EnvironmentId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-EnvironmentId"
}
}
}
}
}
```
**YAML**
```
Description: Custom configuration for the AMS Alarm Manager.
Resources:
AMSAlarmManagerConfigurationVersion:
Type: AWS::AppConfig::HostedConfigurationVersion
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
Content: |
{
}
ContentType: application/json
AMSAlarmManagerDeployment:
Type: AWS::AppConfig::Deployment
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
ConfigurationVersion:
!Ref AMSAlarmManagerConfigurationVersion
DeploymentStrategyId:
!ImportValue AMS-Alarm-Manager-Configuration-Deployment-StrategyID
EnvironmentId:
!ImportValue AMS-Alarm-Manager-Configuration-EnvironmentId
```
# Rollback: Alarmänderungen beschleunigen
Sie können Alarmdefinitionen über denselben Bereitstellungsmechanismus rückgängig machen, indem Sie eine frühere Version des Konfigurationsprofils angeben und den Vorgang ausführen [ StartDeployment.](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)
# Aufbewahrung von Accelerate-Alarmen
Wenn von AMS überwachte Ressourcen gelöscht werden, werden alle von Alarm Manager für diese Ressourcen erstellten Alarme automatisch von Alarm Manager gelöscht. Wenn Sie bestimmte Alarme aus Prüfungs-, Konformitäts- oder historischen Gründen aufbewahren müssen, verwenden Sie die Funktion zur Aufbewahrung von Kennzeichnungen in Alarm Manager.
Um einen Alarm auch nach dem Löschen der überwachten Ressource beizubehalten, fügen Sie der benutzerdefinierten Konfiguration des Alarms ein `"ams:alarm-manager:retain" ` Tag hinzu, wie im folgenden Beispiel gezeigt.
```
{
"AWS::EC2::Instance": {
"AMSCpuAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: CPU Too High",
"AlarmDescription": "AMS Baseline Alarm for EC2 CPUUtilization",
[...]
"Tags": [
{
"Key": "ams:alarm-manager:retain",
"Value": "true"
}
]
}
}
}
}
```
Ein mit dem `"ams:alarm-manager:retain"` Tag konfigurierter Alarm wird nicht automatisch von Alarm Manager gelöscht, wenn die überwachte Ressource beendet wird. Der gespeicherte Alarm bleibt CloudWatch auf unbestimmte Zeit bestehen, bis Sie ihn manuell mithilfe von entfernen. CloudWatch
# Deaktivieren der Standardkonfiguration für den Beschleunigungsalarm
AMS Accelerate stellt das Standardkonfigurationsprofil für Ihr Konto bereit, das auf den Basisalarmen basiert. Diese Standardkonfiguration kann jedoch deaktiviert werden, indem eine der Alarmdefinitionen überschrieben wird. Sie können eine Standardkonfigurationsregel deaktivieren, indem Sie die **ConfigurationID** der Regel in Ihrem Anpassungskonfigurationsprofil überschreiben und das aktivierte Feld mit dem Wert false angeben.
Zum Beispiel, wenn die folgende Konfiguration im Standardkonfigurationsprofil vorhanden war:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
...
}
}
}
```
Sie könnten diese Tagging-Regel deaktivieren, indem Sie Folgendes in Ihr Anpassungskonfigurationsprofil aufnehmen:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": false
}
}
}
```
Um diese Änderungen vorzunehmen, muss die [CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API mit dem JSON-Profildokument aufgerufen werden (siehe[Konfiguration des Accelerate-Alarms ändern](acc-mem-change-am.md)) und anschließend bereitgestellt werden (siehe[Implementieren von Accelerate-Alarm-Konfigurationsänderungen](acc-mem-deploy-change.md)). Beachten Sie, dass Sie beim Erstellen der neuen Konfigurationsversion auch alle zuvor erstellten benutzerdefinierten Alarme, die Sie möchten, in das JSON-Profildokument aufnehmen müssen.
**Wichtig**
Wenn AMS Accelerate das Standardkonfigurationsprofil aktualisiert, wird es nicht anhand Ihrer konfigurierten benutzerdefinierten Alarme kalibriert. Überprüfen Sie daher die Änderungen an den Standardalarmen, wenn Sie sie in Ihrem Anpassungskonfigurationsprofil überschreiben.
# Zusätzliche CloudWatch Alarme für Accelerate erstellen
Sie können zusätzliche CloudWatch Alarme für AMS Accelerate erstellen, indem Sie benutzerdefinierte CloudWatch Metriken und Alarme für EC2 Amazon-Instances verwenden.
Erstellen Sie Ihr Anwendungsüberwachungsskript und Ihre benutzerdefinierte Metrik. Weitere Informationen und Zugriff auf Beispielskripts finden Sie unter [Monitoring Memory and Disk Metrics for Amazon EC2 Linux Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mon-scripts.html).
Die CloudWatch Überwachungsskripte für EC2 Linux-Amazon-Instances zeigen, wie benutzerdefinierte CloudWatch Metriken erstellt und verwendet werden. Diese Perl-Beispielskripts umfassen ein voll funktionsfähiges Beispiel, bei dem Speicher-, Auslagerungs- und Speicherplatz-Auslastungsmetriken für eine Linux-Instance gemeldet werden.
**Wichtig**
AMS Accelerate überwacht keine von Ihnen erstellten CloudWatch Alarme.
# Automatische AMS-Behebung von Warnmeldungen
Nach der Überprüfung behebt AWS Managed Services (AMS) automatisch bestimmte Warnmeldungen gemäß den in diesem Abschnitt beschriebenen Bedingungen und Prozessen.
| Name der Warnung | Description | Schwellenwerte | Action |
| --- | --- | --- | --- |
| Die Statusüberprüfung ist fehlgeschlagen | Mögliche Hardwarefehler oder ein Fehlerstatus der Instanz. | Das System hat in den letzten 15 Minuten mindestens einmal einen ausgefallenen Status erkannt. | Die automatische AMS-Problembehebung überprüft zunächst, ob auf die Instanz zugegriffen werden kann. Wenn auf die Instance nicht zugegriffen werden kann, wird die Instance gestoppt und neu gestartet. Das Stopp-and-Start-Verfahren ermöglicht es der Instanz, auf neue zugrunde liegende Hardware zu migrieren. Weitere Informationen finden Sie im folgenden Abschnitt „EC2 Status Check Failure Remediation Automation“. |
| AMSLinuxDiskUsage | Wird ausgelöst, wenn die Festplattenbelegung von einem Mount-Punkt (zugewiesener Speicherplatz auf einem Volume) auf Ihrer EC2-Instance voll ausgelastet ist. | Der Schwellenwert lag in den letzten 30 Minuten sechsmal über dem definierten Wert. | Die automatische AMS-Wiederherstellung löscht zunächst temporäre Dateien. Wenn dadurch nicht genügend Festplattenspeicher frei wird, wird das Volume erweitert, um Ausfallzeiten zu vermeiden, wenn das Volume voll wird. |
| AMSWindowsDiskUsage | Wenn die Festplattenbelegung von 1 Mountpoint (zugewiesener Speicherplatz auf einem Volume) auf Ihrer EC2-Instance voll ausgelastet ist. | Der Schwellenwert lag in den letzten 30 Minuten sechsmal über dem definierten Wert. | Die automatische AMS-Wiederherstellung löscht zunächst temporäre Dateien. Wenn dadurch nicht genügend Festplattenspeicher frei wird, wird das Volume erweitert, um Ausfallzeiten zu vermeiden, wenn das Volume voll wird. |
| RDS-EVENT-0089 | Die DB-Instance hat mehr als 90% ihres zugewiesenen Speichers verbraucht. | Der Speicher ist zu mehr als 90% zugewiesen. | Die automatische AMS-Problembehebung überprüft zunächst, ob sich die Datenbank in einem modifizierbaren und verfügbaren Zustand befindet oder ob der Speicher voll ist. Anschließend wird versucht, den zugewiesenen Speicher, die IOPS und den Speicherdurchsatz mithilfe eines Changesets zu erhöhen. CloudFormation Wenn eine Stack-Drift bereits erkannt wird, wird sie auf die RDS-API zurückgegriffen, um Ausfallzeiten zu vermeiden. Diese Funktion kann deaktiviert werden, indem der RDS-DB-Instance das folgende Tag hinzugefügt wird: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0007 | Der für die DB-Instance zugewiesene Speicherplatz ist erschöpft. Um das Problem zu lösen, weisen Sie zusätzlichen Speicher zu. | Der Speicherplatz ist zu 100% zugewiesen. | Die automatische AMS-Problembehebung überprüft zunächst, ob sich die Datenbank in einem modifizierbaren und verfügbaren Zustand befindet oder ob der Speicherplatz voll ist. Anschließend wird versucht, den zugewiesenen Speicher, die IOPS und den Speicherdurchsatz mithilfe eines Changesets zu erhöhen. CloudFormation Wenn eine Stack-Drift bereits erkannt wird, wird sie auf die RDS-API zurückgegriffen, um Ausfallzeiten zu vermeiden. Diese Funktion kann deaktiviert werden, indem der RDS-DB-Instance das folgende Tag hinzugefügt wird: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0224 | Der angeforderte zugewiesene Speicher erreicht oder überschreitet den konfigurierten maximalen Speicherschwellenwert. | Der maximale Speicherschwellenwert für die DB-Instance wurde ausgeschöpft oder ist größer oder gleich dem angeforderten zugewiesenen Speicher. | Die automatische AMS-Problembehebung überprüft zunächst, ob die angeforderte Menge an RDS-Speicher den maximalen Speicherschwellenwert überschreitet. Falls bestätigt, versucht AMS, den maximalen Speicherschwellenwert mit einem CloudFormation Changeset oder einer direkten RDS-API, falls Ressourcen nicht bereitgestellt werden, um 30% zu erhöhen. CloudFormation Diese Funktion kann deaktiviert werden, indem der RDS-DB-Instance das folgende Tag hinzugefügt wird: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-Speicherkapazität | Im zugewiesenen Speicher für die DB-Instance verbleiben weniger als 1 GB. | Der Speicherplatz ist zu 99% zugewiesen. | Die automatische AMS-Problembehebung überprüft zunächst, ob sich die Datenbank in einem modifizierbaren und verfügbaren Zustand befindet oder ob der Speicherplatz voll ist. Anschließend wird versucht, den zugewiesenen Speicher, die IOPS und den Speicherdurchsatz mithilfe eines Changesets zu erhöhen. CloudFormation Wenn eine Stack-Drift bereits erkannt wird, wird sie auf die RDS-API zurückgegriffen, um Ausfallzeiten zu vermeiden. Diese Funktion kann deaktiviert werden, indem der RDS-DB-Instance das folgende Tag hinzugefügt wird: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| AMSFSXONTAPVolumeCapacityUtilization | Das Amazon FSx for NetApp ONTAP-Volume hat mehr als den standardmäßig zugewiesenen Speicherplatz verbraucht (80%). | FSx für ONTAP liegt die Volumenkapazitätsauslastung zwei Stunden lang über 80% (Standardwert). | Die automatische AMS-Wiederherstellung überprüft zunächst, ob sich der Status des Volume-Lebenszyklus in einem veränderbaren Zustand befindet. Anschließend wird die Volume-Größe um 10% erweitert und gleichzeitig die maximale Kapazität des Dateisystems abgeglichen. Wenn das Dateisystem nicht genügend Speicherkapazität für die Volume-Erweiterung hat, werden sowohl das Volume als auch das Dateisystem zusammen erweitert. Diese Erweiterung ist auf maximal dreimal innerhalb eines Zeitraums von sieben Tagen begrenzt. Das maximale Speicherlimit, auf das AMS Automation erweitert wird, beträgt 5120 GiB. Wenn die iSCSI-LUN über dem Volume konfiguriert ist, erweitern Sie die iSCSI-LUN auf Betriebssystemebene. Weitere Informationen finden Sie unter [Warum befindet sich meine FSx for ONTAP](https://repost.aws/knowledge-center/fsx-ontap-lun-in-read-only-mode) LUN im schreibgeschützten Modus? |
## Fehler bei der EC2-Statusprüfung: Hinweise zur Automatisierung der Problembehebung
So funktioniert die automatische AMS-Problembehebung bei fehlgeschlagenen EC2-Statuschecks:
+ Wenn Ihre Amazon EC2 EC2-Instance nicht mehr erreichbar ist, muss die Instance gestoppt und erneut gestartet werden, damit sie auf neue Hardware migriert und wiederhergestellt werden kann.
+ Wenn die Ursache des Problems im Betriebssystem liegt (fehlende Geräte in FSTAB, Kernelbeschädigung usw.), kann die Automatisierung Ihre Instance nicht wiederherstellen.
+ Wenn Ihre Instance zu einer Auto Scaling Scaling-Gruppe gehört, ergreift die Automatisierung keine Aktion — die AutoScalingGroup Skalierungsaktion ersetzt die Instance.
+ Wenn für Ihre Instance EC2 Auto Recovery aktiviert ist, werden bei der Behebung keine Maßnahmen ergriffen.
## Automatisierung der Behebung der EC2-Volumennutzung
So funktioniert die automatische Behebung von Problemen mit der EC2-Volumennutzung durch AWS Managed Services (AMS):
+ Die Automatisierung überprüft zunächst, ob die Volumenerweiterung erforderlich ist und ob sie durchgeführt werden kann. Wenn die Erweiterung als angemessen erachtet wird, kann die Automatisierung die Volumenkapazität erhöhen. Dieser automatisierte Prozess bringt den Bedarf an Wachstum mit kontrollierter, begrenzter Expansion in Einklang.
+ Vor der Erweiterung eines Volumes führt die Automatisierung Säuberungsaufgaben (Windows: Disk Cleaner, Linux: Logrotate \$1 Simple Service Manager Agent Log entfernen) auf der Instanz aus, um Speicherplatz freizugeben.
**Anmerkung**
Die Bereinigungsaufgaben werden nicht auf Instances der EC2-Familie „T“ ausgeführt, da sie für die kontinuierliche Funktionalität auf CPU-Guthaben angewiesen sind.
+ Unter Linux unterstützt die Automatisierung nur die Erweiterung der Dateisysteme vom Typ EXT2 EXT3, EXT4 und XFS.
+ Unter Windows unterstützt die Automatisierung nur das New Technology File System (NTFS) und das Resilient File System (ReFS).
+ Die Automatisierung erweitert keine Volumes, die Teil von Logical Volume Manager (LVM) oder eines RAID-Arrays sind.
+ Durch die Automatisierung werden die *Instance-Speicher-Volumes* nicht erweitert.
+ Die Automatisierung ergreift keine Maßnahmen, wenn das betroffene Volumen bereits größer als 2 TiB ist.
+ Die Erweiterung durch Automatisierung ist auf maximal dreimal pro Woche und insgesamt auf das Fünffache während der gesamten Lebensdauer des Systems begrenzt.
+ Durch die Automatisierung wird das Volumen nicht erhöht, wenn die vorherige Erweiterung innerhalb der letzten sechs Stunden stattgefunden hat.
Wenn diese Regeln verhindern, dass die Automatisierung Maßnahmen ergreift, kontaktiert AMS Sie über eine ausgehende Serviceanfrage, um die nächsten zu ergreifenden Maßnahmen festzulegen.
## Automatisierung der Behebung von Ereignissen bei geringem Speicherplatz in Amazon RDS
So funktioniert die automatische Behebung von AWS Managed Services (AMS) bei Problemen mit unzureichendem Speicherplatz in Amazon RDS:
+ Bevor versucht wird, den Amazon RDS-Instance-Speicher zu erweitern, führt die Automatisierung mehrere Prüfungen durch, um sicherzustellen, dass sich die Amazon RDS-Instance in einem modifizierbaren und verfügbaren oder speichervollen Zustand befindet.
+ Wenn CloudFormation Stack-Drift erkannt wird, erfolgt die Behebung über die Amazon RDS-API.
+ Je nach auslösendem Ereignis werden bei der Behebung die Eigenschaften`MaxAllocatedStorage`,, `AllocatedStorage` oder geändert. `Iops` `StorageThroughput` Andere Amazon RDS-Instance-Eigenschaften werden nicht geändert. Weitere Informationen finden Sie unter [Einstellungen für DB-Instances](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ModifyInstance.Settings.html).
+ Die Behebungsaktion wird in den folgenden Szenarien nicht ausgeführt:
+ Der Amazon RDS-Instance-Status ist nicht „verfügbar“ oder „Speicher voll“.
+ Der Amazon RDS-Instance-Speicher kann derzeit nicht geändert werden (z. B. wenn der Speicher in den letzten sechs Stunden geändert wurde).
+ Für die Amazon RDS-Instance ist die automatische Speicherskalierung aktiviert.
+ Die Problembehebung ist auf eine Erweiterung alle sechs Stunden und nicht mehr als drei Erweiterungen innerhalb eines fortlaufenden Zeitraums von vierzehn Tagen begrenzt.
+ Wenn diese Szenarien eintreten, meldet sich AMS mit einem ausgehenden Vorfall an Sie, um die nächsten Maßnahmen festzulegen.
## Automatisierung der Wiederherstellung der Volumenkapazität mit ONTAP
So funktioniert die automatische Behebung von Problemen mit der ONTAP-Volumenkapazität von AWS Managed Services (AMS):
+ Vor der Erweiterung des Volumes überprüft die Automatisierung, ob sich der Lebenszyklusstatus des Volumes in einem modifizierbaren Zustand befindet.
+ Durch die Automatisierung wird die Volumegröße um 10% erweitert und gleichzeitig die maximale Kapazität des Dateisystems abgeglichen.
+ Wenn das Dateisystem nicht über genügend Speicherkapazität für die Volume-Erweiterung verfügt, werden sowohl die Volume- als auch die Dateisystemkapazität erweitert.
+ Die Problembehebung ist auf nicht mehr als drei Updates innerhalb eines Zeitraums von sieben Tagen beschränkt.
+ Das maximale Speicherlimit, auf das AMS Automation erweitert wird, beträgt 5120 GiB.
+ Wenn die iSCSI-LUN über dem Volume konfiguriert ist, müssen Sie die iSCSI-LUN nach Abschluss der automatischen Wiederherstellung manuell auf Betriebssystemebene erweitern. Weitere Informationen finden Sie unter [Warum ist meine FSx für ONTAP](https://repost.aws/knowledge-center/fsx-ontap-lun-in-read-only-mode) LUN im schreibgeschützten Modus?
# Verwenden von Amazon EventBridge Managed Rules in AMS
AMS Accelerate verwendet Amazon EventBridge Managed Rules. Eine verwaltete Regel ist ein einzigartiger Regeltyp, der direkt mit AMS verknüpft ist. Diese Regeln ordnen eingehende Ereignisse zu und senden sie zur Verarbeitung an Ziele. Verwaltete Regeln sind von AMS vordefiniert und enthalten Ereignismuster, die vom Service für die Verwaltung von Kundenkonten benötigt werden. Sofern nicht anders definiert, kann nur der Service, für den sie verantwortlich ist, diese verwalteten Regeln verwenden.
Die verwalteten AMS Accelerate-Regeln sind mit dem `events.managedservices.amazonaws.com` Service Principal verknüpft. Diese verwalteten Regeln werden über die [`AWSServiceRoleForManagedServices_Events`dienstbezogene Rolle](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/using-service-linked-roles.html#slr-evb-rule) verwaltet. Um diese Regeln zu löschen, ist eine besondere Bestätigung durch den Kunden erforderlich. Weitere Informationen finden Sie unter [Löschen verwalteter Regeln für AMS](#delete-managed-rules).
Weitere Informationen zu Regeln finden Sie unter [Regeln](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) im * EventBridge Amazon-Benutzerhandbuch*.
## Von AMS bereitgestellte Amazon EventBridge Managed Rules
**Von Amazon EventBridge verwaltete Regeln**
| Regelname | Description | Definition |
| --- | --- | --- |
| AmsAccessRolesRule | Diese Regel berücksichtigt Änderungen in bestimmten AMS Accelerate-Rollen und -Richtlinien. |
{
"source": ["aws.iam"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventName": [
"DeleteRole",
"DeletePolicy",
"CreatePolicyVersion",
"AttachRolePolicy",
"DetachRolePolicy"
],
"requestParameters": {
"$or": [
{
"roleName": [
"ams-access-admin",
"ams-access-admin-operations",
"ams-access-operations",
"ams-access-read-only",
"ams-access-security-analyst",
"ams-access-security-analyst-read-only"
]
},
{
"policyArn": [
"arn:*:iam::*:policy/ams-access-allow-pass-role",
"arn:*:iam::*:policy/ams-access-deny-cloudshell-policy",
"arn:*:iam::*:policy/ams-access-deny-operations-policy",
"arn:*:iam::*:policy/ams-access-deny-update-iam-policy",
"arn:*:iam::*:policy/ams-access-ssr-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-read-only-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-extended-policy",
"arn:*:iam::*:policy/ams-access-admin-policy",
"arn:*:iam::*:policy/ams-access-admin-operations-policy"
]
},
]
},
},
}
|
| AMSCoreRegel | Diese Regel leitet alle CloudWatch Amazon-Ereignisse AWS Config respektvoll an die AMS Config-Problembehebungs- und AMS-Überwachungsdienste weiter. Die AWS Config Ereignisse erzeugen und lösen sich auf. AWS Systems Manager OpsItems Die CloudWatch Amazon-Ereignisse überwachen CloudWatch Alarme. |
{
{
"source": ["aws.config", "aws.cloudwatch"],
"detail-type": ["Config Rules Compliance Change", "CloudWatch Alarm State Change"],
}
}
|
## Verwaltete Regeln für AMS erstellen
Sie müssen Amazon EventBridge Managed Rules nicht manuell erstellen. Wenn Sie in der AWS Management Console, der oder der AWS CLI AWS API bei AMS einsteigen, erstellt AMS sie für Sie.
## Verwaltete Regeln für AMS bearbeiten
AMS erlaubt Ihnen nicht, die verwalteten Regeln zu bearbeiten. Name und Ereignismuster für jede verwaltete Regel sind von AMS vordefiniert.
## Verwaltete Regeln für AMS löschen
Sie müssen die verwalteten Regeln nicht manuell löschen. Wenn Sie in der AWS Management Console, der oder der AWS API aus AMS aussteigen AWS CLI, bereinigt AMS die Ressourcen und löscht alle verwalteten Regeln, die AMS gehören, für Sie.
Falls AMS die verwalteten Regeln beim Offboarding nicht entfernt, können Sie die verwalteten Regeln auch über die EventBridge Amazon-Konsole, die AWS CLI oder die AWS API manuell löschen. Dazu müssen Sie zunächst Ihr Konto bei AMS verlassen und das Löschen der verwalteten Regeln erzwingen.
# Vertrauenswürdiger Remediator in AMS
Trusted Remediator ist eine AWS Managed Services Services-Lösung, die die Behebung von [AWS Trusted Advisor[AWS Security Hub CSPM](https://aws.amazon.com/security-hub/)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/), und Empfehlungen automatisiert. [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/) Trusted Remediator erstellt Empfehlungen Trusted Advisor, wenn Security Hub CSPM und Compute Optimizer Ihnen Möglichkeiten aufzeigen, Kosten zu senken, die Systemverfügbarkeit zu verbessern, die Leistung zu optimieren oder Sicherheitslücken für Sie zu schließen. AWS-Konten Mit Trusted Remediator können Sie diese Empfehlungen zu Sicherheit, Leistung, Kostenoptimierung, Fehlertoleranz und Servicebeschränkungen auf sichere, standardisierte Weise unter Verwendung etablierter Best Practices umsetzen. Trusted Remediator ermöglicht Ihnen die Konfiguration einer Behebungslösung und wird automatisch nach einem von Ihnen erstellten Zeitplan ausgeführt, wodurch der Behebungsprozess vereinfacht wird. Mit diesem optimierten Ansatz werden Probleme konsistent, effizient und ohne manuelles Eingreifen behoben.
## Die wichtigsten Vorteile von Trusted Remediator
Im Folgenden sind die wichtigsten Vorteile von Trusted Remediator aufgeführt:
+ **Verbesserte Sicherheit, Leistung und Kostenoptimierung:** Trusted Remediator hilft Ihnen dabei, die allgemeine Sicherheitslage Ihrer Konten zu verbessern, die Ressourcennutzung zu optimieren und die Betriebskosten zu senken.
+ **Self-Service-Einrichtung und Konfiguration:** Sie können Trusted Remediator so konfigurieren, dass es Ihren Anforderungen und Präferenzen entspricht.
+ **Automatisierte Trusted Advisor Prüfungen, Security Hub CSPM-Kontrollen und Behebung von AWS Compute Optimizer Empfehlungen:** Nach der Konfiguration führt Trusted Remediator automatisch die Behebungsmaßnahmen für ausgewählte Prüfungen aus. Durch diese Automatisierung entfällt die Notwendigkeit manueller Eingriffe.
+ **Implementierung bewährter Verfahren:** Abhilfemaßnahmen basieren auf etablierten bewährten Verfahren, sodass Probleme auf standardisierte und effektive Weise angegangen werden.
+ **Geplante Ausführung:** Sie können den Zeitplan für die Behebung wählen, der Ihren day-to-day betrieblichen Arbeitsabläufen entspricht.
Trusted Remediator ermöglicht es Ihnen, identifizierte Probleme in Ihren AWS Umgebungen proaktiv anzugehen und hilft Ihnen dabei, bewährte Verfahren einzuhalten und eine sichere, leistungsstarke und kostengünstige Cloud-Infrastruktur aufrechtzuerhalten.
## So funktioniert Trusted Remediator
Im Folgenden wird der Trusted Remediator-Arbeitsablauf veranschaulicht:
![\[Eine Abbildung des Trusted Remediator-Workflows.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/trusted-remediator-workflow.png)
Trusted Remediator bewertet Trusted Advisor, Security Hub CSPM- und Compute Optimizer Optimizer-Empfehlungen für Sie und erstellt in. AWS-Konten AWS Systems Manager [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html) OpsCenter Anschließend können Sie Trusted Remediator-Automatisierungsdokumente verwenden, um die Fehler automatisch oder manuell zu beheben. OpsItems Im Folgenden finden Sie Einzelheiten zu den einzelnen Behebungstypen:
+ **Automatisierte Behebung:** Trusted Remediator führt das Automatisierungsdokument aus und überwacht den Lauf. Nach Abschluss des Automatisierungsdokuments löst Trusted Remediator das Opsitem auf.
+ **Manuelle Korrektur: Trusted Remediator** erstellt das, damit Sie es überprüfen können. OpsItem Nach der Überprüfung starten Sie das Automatisierungsdokument.
Behebungsprotokolle werden in einem Amazon S3 S3-Bucket gespeichert. Sie können die Daten im S3-Bucket verwenden, um benutzerdefinierte Schnell-Dashboards für die Berichterstattung zu erstellen. AMS stellt auf Anfrage auch Berichte für Trusted Remediator bereit. Um diese Berichte zu erhalten, wenden Sie sich an Ihren CSDM. Weitere Informationen finden Sie unter [Trusted Remediator-Berichte](trusted-remediator-reports.md).
## Wichtige Begriffe für Trusted Remediator
Die folgenden Begriffe sollten Sie kennen, wenn Sie Trusted Remediator in AMS verwenden:
+ **AWS Trusted Advisor, AWS Security Hub und AWS Compute Optimizer:** Cloud-Optimierungsdienste bereitgestellt von AWS. Trusted Advisor, Security Hub CSPM und Compute Optimizer untersuchen Ihre AWS Umgebung und geben Empfehlungen auf der Grundlage von Best Practices in den folgenden sechs Kategorien:
+ Kostenoptimierung
+ Leistung
+ Sicherheit
+ Fehlertoleranz
+ Operative Exzellenz
+ Service Limits
Weitere Informationen finden Sie unter [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html), und [AWS Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html). [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/)
+ **Trusted Remediator:** Eine AMS-Problembehebungslösung für [Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)Prüfungen, [AWS Security Hub CSPM](https://aws.amazon.com/aws.amazon.com/security-hub/)Empfehlungen und [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)Empfehlungen. Trusted Remediator hilft Ihnen dabei, Trusted Advisor Prüfungen, Security Hub CSPM-Kontrollen und Compute Optimizer Optimizer-Empfehlungen mit bekannten Best Practices sicher zu beheben, um Sicherheit und Leistung zu verbessern und Kosten zu senken. Trusted Remediator ist einfach einzurichten und zu konfigurieren. Sie konfigurieren einmal und Trusted Remediator führt die Problembehebungen nach Ihrem bevorzugten Zeitplan (täglich oder wöchentlich) durch.
+ **AWS Systems Manager SSM-Dokument:** Eine JSON- oder YAML-Datei, die die Aktionen definiert, die auf Ihren Ressourcen AWS Systems Manager ausgeführt werden. AWS Das SSM-Dokument dient als deklarative Spezifikation zur Automatisierung betrieblicher Aufgaben über mehrere AWS Ressourcen und Instanzen hinweg.
+ **AWS Systems Manager OpsCenter OpsItem:** Eine Cloud-Ressource für das betriebliche Problemmanagement, mit der Sie betriebliche Probleme in Ihrer AWS Umgebung verfolgen und lösen können. OpsItems bietet eine zentrale Ansicht und ein Verwaltungssystem für betriebliche Daten und Probleme in allen AWS-Services Ressourcen. Jedes Problem OpsItem stellt ein betriebliches Problem dar, z. B. ein potenzielles Sicherheitsrisiko, ein Leistungsproblem oder einen betrieblichen Vorfall.
+ **Konfiguration:** Eine Konfiguration ist eine Reihe von Attributen, die in gespeichert sind [AWS AppConfig, eine Fähigkeit von AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/appconfig.html). Die Trusted Remediator-Anwendung AWS AppConfig hilft bei der Konfiguration von Behebungen auf Kontoebene. Sie können die AWS AppConfig Konsole oder die API verwenden, um Konfigurationen zu bearbeiten.
+ **Ausführungsmodus: Der** Ausführungsmodus ist ein Konfigurationsattribut, das festlegt, wie die Korrektur für jedes Trusted Advisor Prüfergebnis und die Empfehlungen von Compute Optimizer und Security Hub CSPM ausgeführt werden soll. ****Es gibt vier unterstützte Ausführungsmodi: **Automatisiert, Manuell, Bedingt** **und Inaktiv**.****
+ **Überschreiben von Ressourcen:** Diese Funktion verwendet Ressourcen-Tags, um eine Konfiguration für bestimmte Ressourcen zu überschreiben.
+ Protokoll **der Behebungselemente:** Eine Protokolldatei im S3-Protokoll-Bucket der Trusted Remediator-Wiederherstellung. Das Behebungselementprotokoll wird erstellt, wenn die Behebung erstellt wird. OpsItems Diese Protokolldatei enthält manuelle Ausführungskorrekturen OpsItems und automatische Ausführungskorrekturen. OpsItems Verwenden Sie diese Protokolldatei, um alle Behebungselemente nachzuverfolgen.
+ Protokoll zur **automatisierten Problembehebung: Eine Protokolldatei** im S3-Protokoll-Bucket der Trusted Remediator-Korrektur. Das Protokoll zur automatischen Problembehebung wird erstellt, wenn die automatisierte Ausführung eines SSM-Dokuments abgeschlossen ist. Dieses Protokoll enthält SSM-Ausführungsdetails für die automatische Behebung der Ausführung. OpsItems Verwenden Sie diese Protokolldatei, um automatisierte Problembehebungen nachzuverfolgen.
# Erste Schritte mit Trusted Remediator in AMS
Trusted Remediator ist in AMS ohne zusätzliche Kosten erhältlich. Trusted Remediator unterstützt Konfigurationen mit einem Konto und mehreren Konten.
## Integrieren Sie Trusted Remediator
Um Ihre AMS-Konten bei Trusted Remediator zu integrieren, senden Sie eine E-Mail an Ihre Cloud-Architekten oder Cloud Service Delivery Manager ()CSDMs. Geben Sie in der E-Mail folgende Informationen an:
+ **AWS-Konten:** Die zwölfstellige Konto-Identifikationsnummer. Alle Konten, die Sie bei Trusted Remediator registrieren möchten, müssen demselben Accelerate-Kunden gehören.
+ **Delegiertes Administratorkonto:** Das Konto, das für Compute Optimizer und Security Hub CSPM verwendet wird Trusted Advisor, prüft die Konfiguration für einzelne oder mehrere Konten.
+ **Mitgliedskonten: Dies sind die Konten**, die mit dem delegierten Administratorkonto verknüpft sind. Diese Konten erben die Konfigurationen des delegierten Administratorkontos. Sie können ein Mitgliedskonto oder mehrere Mitgliedskonten haben.
**Anmerkung**
Mitgliedskonten erben die Konfigurationen des delegierten Administratorkontos. Wenn Sie unterschiedliche Konfigurationen für bestimmte Konten benötigen, integrieren Sie mehrere delegierte Administratorkonten mit Ihren bevorzugten Konfigurationen. Planen Sie die Kontostruktur und die Konfigurationen mit Ihren Cloud-Architekten, bevor Sie an Bord gehen.
+ **AWS-Regionen:** Der AWS-Regionen Ort, an dem sich Ihre Ressourcen befinden. Eine Liste von finden Sie AWS-Regionen unter [AWS-Services Nach Regionen geordnet](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
+ **Behebungszeitplan und -zeit:** Ihr bevorzugter Behebungszeitplan (täglich oder wöchentlich). Trusted Remediator sammelt Trusted Advisor Prüfungen und leitet die Behebung zum geplanten Zeitpunkt ein. Sie können beispielsweise den Zeitplan für die Problembehebung auf jeden Sonntag um 1:00 Uhr (australische Eastern Standard Time) festlegen.
+ **Benachrichtigungs-E-Mail:** Trusted Remediator verwendet die Benachrichtigungs-E-Mail, um Sie täglich zu benachrichtigen, wenn es Korrekturen gibt. Der Betreff der Benachrichtigungs-E-Mail lautet „Trusted Remediator Remediation Summary“ und der Inhalt enthält Informationen zu Trusted Remediator-Korrekturen, die in den letzten 24 Stunden durchgeführt wurden.
**Anmerkung**
Überprüfen Sie Ihre Anwendungen und Ressourcen nach jeder geplanten Problembehebung. Wenn Sie zusätzlichen Support benötigen, wenden Sie sich an AMS.
Nachdem Sie Ihre Onboard-Anfrage mit den erforderlichen Angaben bei Ihrer CA oder CSDM eingereicht haben, leitet AMS Ihre Konten bei Trusted Remediator ein. Trusted Remediator verwendet eine Fähigkeit von AWS AppConfig AWS Systems Manager, um die Konfiguration für die Prüfungen zu definieren. Trusted Advisor Bei diesen Konfigurationen handelt es sich um eine Reihe von Attributen, die in AWS AppConfig gespeichert sind. Um zu verhindern, dass Ihre Ressourcen unbefugt belastet werden, werden alle unterstützten Trusted Advisor Prüfungen auf **Inaktiv** gesetzt, wenn Konten in Trusted Remediator integriert werden. Nach dem Onboarding können Sie die Konfigurationen über die AWS AppConfig Konsole oder API verwalten. Diese Konfigurationen helfen Ihnen dabei, bestimmte Trusted Advisor Prüfungen automatisch zu korrigieren oder die verbleibenden Prüfungen zu bewerten und manuell zu korrigieren. Die Konfigurationen sind in hohem Maße anpassbar, sodass Sie Konfigurationen für jede Trusted Advisor Prüfung anwenden können. Weitere Informationen finden Sie unter [Konfigurieren Sie Trusted Advisor die Problembehebung in Trusted Remediator](tr-configure-remediations.md).
## Wählen Sie die Prüfungen und Empfehlungen aus, die behoben werden sollen
Standardmäßig ist der Wiederherstellungsausführungsmodus für alle Trusted Advisor Prüfungen, Compute Optimizer Optimizer-Empfehlungen und Security Hub CSPM-Empfehlungen in Ihrer Konfiguration **inaktiv**. Dies verhindert unbefugte Problembehebungen und schont Ressourcen. AMS stellt kuratierte Dokumente zur SSM-Automatisierung zur Behebung von Schecks zur Trusted Advisor Verfügung.
Gehen Sie wie folgt vor, um die Prüfungen auszuwählen, die Sie mit Trusted Remediator korrigieren möchten:
1. Sehen Sie sich die Liste der unterstützten [Trusted Advisor](tr-supported-checks.md)[Compute Optimizer Optimizer-Empfehlungen](tr-supported-recommendations-co.md), [Security Hub CSPM-Empfehlungen](tr-supported-sec-hub-recommendations.md) und den Namen der zugehörigen SSM-Automatisierungsdokumente an, um zu entscheiden, welche Prüfungen und Empfehlungen Sie mit Trusted Remediator korrigieren möchten.
1. Aktualisieren Sie Ihre Konfiguration, um die Problembehebung für Ihre ausgewählten Trusted Advisor Prüfungen, Compute Optimizer Optimizer-Empfehlungen und Security Hub CSPM-Empfehlungen zu aktivieren. Anweisungen zur Auswahl von Prüfungen finden Sie unter. [Konfigurieren Sie Trusted Advisor die Problembehebung in Trusted Remediator](tr-configure-remediations.md)
## Verfolgen Sie Ihre Abhilfemaßnahmen in Trusted Remediator
Nachdem Sie Ihre Konfiguration auf Kontoebene aktualisiert haben, erstellt Trusted Remediator für jede Problembehebung neue Änderungen. OpsItems Trusted Remediator führt das SSM-Dokument zur automatisierten Behebung gemäß Ihrem Behebungsplan aus. OpsItems Anweisungen zum Anzeigen aller Behebungsmaßnahmen OpsItems von der Systems Manager OpsCenter Manager-Konsole aus finden Sie unter[Behebungen in Trusted Remediator nachverfolgen](tr-remediation.md#tr-remediation-track).
## Führen Sie manuelle Korrekturen in Trusted Remediator aus
Sie können Trusted Advisor Prüfungen sowie Empfehlungen von Compute Optimizer und Security Hub CSPM manuell korrigieren. Wenn Sie eine manuelle Korrektur einleiten, erstellt Trusted Remediator eine manuelle Ausführung. OpsItem Sie müssen das Dokument zur SSM-Automatisierung überprüfen und initiieren, um das zu beheben. OpsItems Weitere Informationen finden Sie unter [Führen Sie manuelle Korrekturen in Trusted Remediator aus](tr-remediation.md#tr-remediation-run).
# Compute Optimizer Optimizer-Empfehlungen, die von Trusted Remediator unterstützt werden
In der folgenden Tabelle sind die unterstützten Compute Optimizer Optimizer-Empfehlungen, SSM-Automatisierungsdokumente, vorkonfigurierte Parameter und das erwartete Ergebnis der Automatisierungsdokumente aufgeführt. Überprüfen Sie das erwartete Ergebnis, um mögliche Risiken auf der Grundlage Ihrer Geschäftsanforderungen besser zu verstehen, bevor Sie ein SSM-Automatisierungsdokument zur Behebung von Prüfungen aktivieren.
Stellen Sie sicher, dass die entsprechende Konfigurationsregel für jede Compute Optimizer Optimizer-Prüfung für die unterstützten Prüfungen vorhanden ist, für die Sie die Problembehebung aktivieren möchten. Weitere Informationen finden Sie unter [AWS Compute Optimizer Für Trusted Advisor Prüfungen anmelden](https://docs.aws.amazon.com/awssupport/latest/user/compute-optimizer-with-trusted-advisor.html).
| Option zur Optimierung | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
| --- | --- | --- |
| Passende Dimensionierung |
| [Empfehlungen Amazon EC2 EC2-Instances](https://aws.amazon.com/compute-optimizer/faqs/#topic-4) | **AWSManagedServices-TrustedRemediatorResizeInstanceByComputeOptimizerRecommendation** Der Amazon EC2 EC2-Instance-Typ wurde gemäß den Empfehlungen von Compute Optimizer aktualisiert. Es werden die optimalsten Optionen ausgewählt, wobei dieselben Plattformparameter (Architektur, Hypervisor, Netzwerkschnittstelle, Virtualisierungstyp usw.) beibehalten werden, sofern die Option vorhanden ist. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Amazon EBS-Volumenempfehlungen](https://aws.amazon.com/compute-optimizer/faqs/#topic-6) | **AWSManagedServices-ModifyEBSVolume** Das Amazon EBS-Volume wird gemäß den Empfehlungen von Compute Optimizer geändert. Die Änderung kann Volumetyp, Größe, IOPS und Volume-Generierung (gp2, gp3 usw.) umfassen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Empfehlungen für Lambda-Funktionen](https://aws.amazon.com/compute-optimizer/faqs/#topic-7) | **AWSManagedServices-TrustedRemediatorOptimizeLambdaMemory** AWS Lambda Funktionsspeicher optimiert gemäß den Empfehlungen von Compute Optimizer. | **RecommendedMemorySize **: Benutzerdefinierte Speichergröße, falls diese von den empfohlenen Optionen abweicht. Keine Einschränkungen |
| Ungenutzte Ressourcen |
| [Amazon EBS-Volume im Leerlauf](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-DeleteUnusedEBSVolume** Ein nicht angehängtes Amazon EBS-Volume wird gelöscht. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Amazon EC2 EC2-Instance im Leerlauf](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopEC2 Instanzen** Die Amazon EC2 EC2-Instance im Leerlauf wird gestoppt. | **ForceStopWithInstanceStore**: Um den Stopp für Instances zu erzwingen, die den Instance-Speicher verwenden, setzen Sie den Wert auf „true“. Um den Stopp nicht zu erzwingen, setzen Sie den Wert auf „false“. Der Standardwert 'false' verhindert, dass die Instanz beendet wird. Keine Einschränkungen |
| [Amazon RDS-Instance im Leerlauf](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopIdleRDSInstance** Stoppen Sie eine Amazon RDS-Instance im Leerlauf. Unterstützte Engines sind: MariaDB, Microsoft SQL Server, MySQL, Oracle, PostgreSQL. Dieses Dokument gilt nicht für Aurora MySQL und Aurora PostgreSQL. Die Instanz wird für bis zu 7 Tage gestoppt und automatisch neu gestartet. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
# Trusted Advisor von Trusted Remediator unterstützte Prüfungen
In der folgenden Tabelle sind die unterstützten Trusted Advisor Prüfungen, SSM-Automatisierungsdokumente, vorkonfigurierte Parameter und das erwartete Ergebnis der Automatisierungsdokumente aufgeführt. Überprüfen Sie das erwartete Ergebnis, um mögliche Risiken auf der Grundlage Ihrer Geschäftsanforderungen besser zu verstehen, bevor Sie ein Dokument zur SSM-Automatisierung zur Behebung von Prüfungen aktivieren.
Stellen Sie sicher, dass die entsprechende Konfigurationsregel für jede Trusted Advisor Prüfung für die unterstützten Prüfungen vorhanden ist, für die Sie die Problembehebung aktivieren möchten. Weitere Informationen finden Sie unter [AWS Trusted Advisor Checks anzeigen, die von bereitgestellt werden AWS Config](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html). Wenn eine Prüfung über entsprechende AWS Security Hub CSPM Steuerelemente verfügt, stellen Sie sicher, dass die Security Hub CSPM-Steuerung aktiviert ist. Weitere Informationen finden Sie unter [Aktivieren von Steuerelementen in Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html). Informationen zur Verwaltung vorkonfigurierter Parameter finden [Sie unter Konfiguration der Trusted Advisor Advisor-Prüfbehebung in Trusted Remediator](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html).
## Trusted Advisor Prüfungen zur Kostenoptimierung werden von Trusted Remediator unterstützt
| Überprüfen Sie ID und Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
| --- | --- | --- |
| [Z4 AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses) Nicht zugeordnete elastische IP-Adressen | **AWSManagedServices-TrustedRemediatorReleaseElasticIP** Gibt eine elastische IP-Adresse frei, die keiner Ressource zugeordnet ist. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c18d2gz150](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days) — Amazon EC2 EC2-Instances wurden gestoppt | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime** — Amazon EC2 EC2-Instances, die für eine bestimmte Anzahl von Tagen gestoppt wurden, werden beendet. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Keine Einschränkungen |
| [c18d2gz128](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy) Amazon-ECR-Repository ohne konfigurierte Lebenszyklus-Richtlinie | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy** Erstellt eine Lebenszyklusrichtlinie für das angegebene Repository, falls noch keine Lebenszyklusrichtlinie vorhanden ist. | **ImageAgeLimit:** Die maximale Altersgrenze in Tagen (1—365) für „jedes“ Bild im Amazon ECR-Repository. Keine Einschränkungen |
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes) Nicht ausgelastete Amazon EBS-Volumes | **AWSManagedServices-DeleteUnusedEBSVolume** Löscht nicht ausgelastete Amazon EBS-Volumes, wenn die Volumes in den letzten 7 Tagen nicht angehängt wurden. Ein Amazon EBS-Snapshot wird standardmäßig erstellt. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Keine Einschränkungen |
| [hj M8 LMh88u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers) Load Balancer im Leerlauf | **AWSManagedServices-DeleteIdleClassicLoadBalancer** Löscht einen Classic Load Balancer im Leerlauf, wenn er unbenutzt ist und keine Instances registriert sind. | **IdleLoadBalancerDays:** Die Anzahl der Tage, an denen der Classic Load Balancer 0 angeforderte Verbindungen hat, bevor er als inaktiv eingestuft wird. Die Standardeinstellung ist sieben Tage. Wenn die auto Ausführung aktiviert ist, löscht die Automatisierung inaktive Classic Load Balancer, wenn keine aktiven Back-End-Instances vorhanden sind. Für alle Classic Load Balancer im Leerlauf, die über aktive Back-End-Instances, aber keine fehlerfreien Back-End-Instances verfügen, wird keine auto Korrektur verwendet und OpsItems für die manuelle Korrektur wird eine automatische Korrektur erstellt. |
| [TI 39 Half U8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances) Amazon-RDS-DB-Instances im Leerlauf | **AWSManagedServices-StopIdleRDSInstance** Die Amazon RDS-DB-Instance, die sich in den letzten sieben Tagen im Leerlauf befand, wurde gestoppt. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size) AWS Lambda aufgrund der Speichergröße überdimensionierte Funktionen | **AWSManagedServices-ResizeLambdaMemory** AWS Lambda Die Speichergröße der Funktion wird auf die empfohlene Speichergröße von angepasst. Trusted Advisor | **RecommendedMemorySize:** Die empfohlene Speicherzuweisung für die Lambda-Funktion. Der Wertebereich liegt zwischen 128 und 10240. Wenn die Größe der Lambda-Funktion vor der Ausführung der Automatisierung geändert wurde, werden die Einstellungen möglicherweise von dieser Automatisierung mit dem von empfohlenen Wert überschrieben. Trusted Advisor |
| [QCH7dWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Low Utilization Amazon EC2 Instances | **AWSManagedServices-StopEC2Instance** (Standard-SSM-Dokument für den auto und manuellen Ausführungsmodus.) Amazon EC2 EC2-Instances mit geringer Auslastung werden gestoppt. | **ForceStopWithInstanceStore: Auf** setzen, `true` um das Stoppen von Instances mithilfe des Instance-Speichers zu erzwingen. Ansonsten auf `false` festlegen. Der Standardwert von `false` verhindert, dass die Instanz gestoppt wird. Gültige Werte sind wahr oder falsch (Groß- und Kleinschreibung beachten). Keine Einschränkungen |
| [QCH7dWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Low Utilization Amazon EC2 Instances | **AWSManagedServices-ResizeInstanceByOneLevel** Die Größe der Amazon EC2 EC2-Instance wird innerhalb desselben Instance-Familientyps um einen Instance-Typ nach unten geändert. Die Instance wird während der Größenänderung gestoppt und gestartet und nach Abschluss der Ausführung des SSM-Dokuments wieder in den Ausgangszustand versetzt. Diese Automatisierung unterstützt keine Größenänderung von Instances, die sich in einer Auto Scaling Scaling-Gruppe befinden. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Keine Einschränkungen |
| [QCH7dWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Low Utilization Amazon EC2 Instances | **AWSManagedServices-TerminateInstance** Amazon EC2 EC2-Instances mit geringer Auslastung werden beendet, wenn sie nicht Teil einer Auto Scaling Scaling-Gruppe sind und der Kündigungsschutz nicht aktiviert ist. Ein AMI wird standardmäßig erstellt. | **AMIBeforeKündigung erstellen:** Legen Sie diese Option auf `true` oder fest`false`, um ein Instance-AMI als Backup zu erstellen, bevor Sie die EC2-Instance beenden. Der Standardwert ist `true`. Gültige Werte sind `true` und `false` (Groß- und Kleinschreibung beachten). Keine Einschränkungen |
| [G31sq1e9u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters) Nicht ausgelastete Amazon Redshift-Cluster | **AWSManagedServices-PauseRedshiftCluster** Der Amazon Redshift Redshift-Cluster ist angehalten. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config) Konfiguration zum Abbruch unvollständiger mehrteiliger Uploads in Amazon S3 | **AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload** Der Amazon S3 S3-Bucket ist mit einer Lebenszyklusregel konfiguriert, um mehrteilige Uploads abzubrechen, die nach bestimmten Tagen unvollständig bleiben. | **DaysAfterInitiation:** Die Anzahl der Tage, nach denen Amazon S3 einen unvollständigen mehrteiligen Upload stoppt. Die Standardeinstellung ist auf 7 Tage festgelegt. Keine Einschränkungen |
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances) Empfehlungen zur Amazon EC2 EC2-Kostenoptimierung für Instances | Verwenden Sie Amazon EC2 EC2-Instance-Empfehlungen und Amazon EC2 EC2-Instance im Leerlauf von. [Compute Optimizer Optimizer-Empfehlungen, die von Trusted Remediator unterstützt werden](tr-supported-recommendations-co.md) | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes) Amazon EBS-Empfehlungen zur Kostenoptimierung für Volumen | Verwenden Sie Amazon EBS-Volumenempfehlungen und Amazon EBS-Volume im Leerlauf von. [Compute Optimizer Optimizer-Empfehlungen, die von Trusted Remediator unterstützt werden](tr-supported-recommendations-co.md) | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) Empfehlungen zur Amazon RDS-Kostenoptimierung für DB-Instances | Verwenden Sie die Amazon RDS-Instance im Leerlauf von[Compute Optimizer Optimizer-Empfehlungen, die von Trusted Remediator unterstützt werden](tr-supported-recommendations-co.md). | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) AWS Lambda Empfehlungen zur Kostenoptimierung für Funktionen | Verwenden Sie Lambda-Funktionsempfehlungen von[Compute Optimizer Optimizer-Empfehlungen, die von Trusted Remediator unterstützt werden](tr-supported-recommendations-co.md). | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
## Trusted Advisor Sicherheitsüberprüfungen, die von Trusted Remediator unterstützt werden
| Überprüfen Sie ID und Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
| --- | --- | --- |
| [12 Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys) Exposed Access Keys | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey** Der offengelegte IAM-Zugriffsschlüssel ist deaktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Anwendungen, die mit einem offengelegten IAM-Zugriffsschlüssel konfiguriert sind, können sich nicht authentifizieren. |
| Hs4Ma3G127 - API-Gateway-REST- und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein AWS Security Hub CSPM Entsprechender [APIGatewayScheck](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1): 1. | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** Die Ausführungsprotokollierung ist auf der API-Phase aktiviert. | **LogLevel:** Protokollierungsebene zur Aktivierung der Ausführungsprotokollierung, `ERROR` — Die Protokollierung ist nur für Fehler aktiviert. `INFO` - Die Protokollierung ist für alle Ereignisse aktiviert. Sie müssen API Gateway die Berechtigung zum Lesen und Schreiben von Protokollen CloudWatch für Ihr Konto erteilen, um das Ausführungsprotokoll zu aktivieren. Weitere Informationen finden Sie unter [ CloudWatch Protokollierung für REST APIs in API Gateway einrichten](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html). |
| Hs4Ma3G129 — API Gateway REST-API-Stufen sollten die Ablaufverfolgung aktiviert haben AWS X-Ray AWS Security Hub CSPM [APIGatewayEntsprechender](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3) Check: 3. | **AWSManagedServices-EnableApiGateWayXRayTracing** X-Ray-Tracing ist auf der API-Phase aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G202 - API-Gateway-REST-API-Cache-Daten sollten im Ruhezustand verschlüsselt werden AWS Security Hub CSPM Entsprechender [APIGatewayScheck](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5): 5. | **AWSManagedServices-EnableAPIGatewayCacheEncryption** Aktivieren Sie die Verschlüsselung im Ruhezustand für API-Gateway-REST-API-Cachedaten, wenn in der API-Gateway-REST-API-Stufe der Cache aktiviert ist. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G177 - [Entsprechende AWS Security Hub CSPM Prüfung — Auto Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten Load Balancer-Integritätsprüfungen verwenden 1. AutoScaling](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck** Elastic Load Balancing Health Checks sind für die Auto Scaling Group aktiviert. | **HealthCheckGracePeriod:** Die Zeit in Sekunden, die Auto Scaling wartet, bevor der Integritätsstatus einer Amazon Elastic Compute Cloud-Instance überprüft wird, die in Betrieb genommen wurde. Die Aktivierung von Elastic Load Balancing Health Checks kann dazu führen, dass eine laufende Instance ersetzt wird, wenn einer der Elastic Load Balancing Load Balancer, die der Auto Scaling Scaling-Gruppe zugeordnet sind, sie als fehlerhaft meldet. Weitere Informationen finden Sie unter [Einen Elastic Load Balancing Load Balancer zu Ihrer Auto Scaling Scaling-Gruppe hinzufügen](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html) |
| Hs4Ma3G245 — CloudFormation Stacks sollten in Amazon Simple Notification Service integriert werden AWS Security Hub CSPM Entsprechender [CloudFormationScheck](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1): 1. | **AWSManagedServices-EnableCFNStackNotification** Ordnen Sie einen CloudFormation Stack einem Amazon SNS SNS-Thema für die Benachrichtigung zu. | **BenachrichtigungARNs:** Die ARNs Amazon SNS SNS-Themen, die mit ausgewählten CloudFormation Stacks verknüpft werden sollen. Um die auto Korrektur zu aktivieren, muss der `NotificationARNs` vorkonfigurierte Parameter angegeben werden. |
| Hs4Ma3G210 — Bei Distributionen sollte die Protokollierung aktiviert sein CloudFront Entsprechender AWS Security Hub CSPM Scheck [CloudFront:](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5) 2. | **AWSManagedServices-EnableCloudFrontDistributionLogging** Die Protokollierung ist für CloudFront Amazon-Distributionen aktiviert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Um die auto Korrektur zu aktivieren, müssen die folgenden vorkonfigurierten Parameter angegeben werden: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Informationen zu diesen Behebungsbeschränkungen finden Sie unter [Wie aktiviere ich die Protokollierung für](https://repost.aws/knowledge-center/cloudfront-logging-requests) meine Distribution? CloudFront |
| Hs4Ma3G109 — CloudTrail Die Überprüfung der Protokolldatei sollte aktiviert sein AWS Security Hub CSPM Entsprechender [CloudTrailCheck](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4): 4. | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation** Aktiviert die Überprüfung des CloudTrail Trail-Logs. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G108 — CloudTrail Trails sollten in Amazon Logs integriert werden CloudWatch Entsprechender AWS Security Hub CSPM [CloudTrailScheck](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5): 5. | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch** AWS CloudTrail ist in CloudWatch Logs integriert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Um die auto Korrektur zu aktivieren, müssen die folgenden vorkonfigurierten Parameter angegeben werden: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G217 — CodeBuild Projektumgebungen sollten über eine Protokollierungskonfiguration verfügen AWS Entsprechender AWS Security Hub CSPM [CodeBuildScheck](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4): 4. | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig** Aktiviert die Protokollierung für das CodeBuild Projekt. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G306 - Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein Entsprechender AWS Security Hub CSPM Check: [DocumentDB.3](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot** Entfernt den öffentlichen Zugriff aus dem manuellen Cluster-Snapshot von Amazon DocumentDB. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G308 — Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein Entsprechender AWS Security Hub CSPM Check: [DocumentDB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection** Aktiviert den Löschschutz für den Amazon DocumentDB-Cluster. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G323 - Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein Entsprechender AWS Security Hub CSPM Check: [DynamoDB.6](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection** Aktiviert den Löschschutz für DynamoDB-Tabellen, die nicht von AMS stammen. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [EPS02JT06W](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots) — Öffentliche Amazon EBS-Snapshots | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot** Der öffentliche Zugriff für Amazon EBS Snapshot ist deaktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G118 - VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Verkehr zulassen AWS Security Hub CSPM Entsprechender [Check](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2): EC2.2 | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG** Alle Eingangs- und Ausgangsregeln in der Standardsicherheitsgruppe werden entfernt. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G117 — Angehängte EBS-Volumes sollten im Ruhezustand verschlüsselt werden Entsprechender AWS Security Hub CSPM Check[:](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) EC2.3 | **AWSManagedServices-EncryptInstanceVolume** Das angehängte Amazon EBS-Volume auf der Instance ist verschlüsselt. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Die Instanz wird im Rahmen der Problembehebung neu gestartet und ein Rollback ist möglich, wenn diese Einstellung auf „Hilft bei der Wiederherstellung“ gesetzt `DeleteStaleNonEncryptedSnapshotBackups` `false` ist. |
| Hs4Ma3G120 — Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden AWS Security Hub CSPM Entsprechender Check: [EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateInstance**(Standard-SSM-Dokument für den auto und manuellen Ausführungsmodus) Amazon EC2 EC2-Instances, die für 30 Tage gestoppt wurden, werden beendet. | **AMIBeforeKündigung erstellen:**. Um das Instanz-AMI als Backup zu erstellen, bevor Sie die EC2-Instance beenden, wählen Sie. `true` Um vor dem Beenden kein Backup zu erstellen, wählen Sie. `false` Der Standardwert ist `true`. Keine Einschränkungen |
| Hs4Ma3G120 — Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden AWS Security Hub CSPM Entsprechender Check: [EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime** — Amazon EC2 EC2-Instances, die für die im Security Hub definierte Anzahl von Tagen gestoppt wurden (Standardwert ist 30), werden beendet. | **AMIBeforeKündigung erstellen:** Um das Instance-AMI als Backup zu erstellen, bevor Sie die EC2-Instance beenden, wählen Sie. `true` Um vor dem Beenden kein Backup zu erstellen, wählen Sie. `false` Der Standardwert ist `true`. Keine Einschränkungen |
| Hs4Ma3G121 — Die EBS-Standardverschlüsselung sollte aktiviert sein Entsprechender AWS Security Hub CSPM Check[:](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7) EC2.7 | **AWSManagedServices-EncryptEBSByDefault** Die Amazon EBS-Verschlüsselung ist standardmäßig aktiviert für AWS-Region | Vorkonfigurierte Parameter sind nicht zulässig. Die standardmäßige Verschlüsselung ist eine regionsspezifische Einstellung. Wenn Sie es für eine Region aktivieren, können Sie es nicht für einzelne Volumes oder Snapshots in dieser Region deaktivieren. |
| Hs4Ma3G124 — Amazon EC2 EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2 AWS Security Hub CSPM Entsprechender Check: [EC2.8](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) | **AWSManagedServices-TrustedRemediator****Instanz aktivieren EC2 IMDSv2** Amazon EC2 EC2-Instances verwenden Instance Metadata Service Version 2 (IMDSv2). | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Keine Einschränkungen |
| Hs4Ma3G207 — EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen AWS Security Hub CSPM Entsprechender Check[:](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15) EC2.15 | **AWSManagedServices-UpdateAutoAssignPublicIpv4 Adressen** VPC-Subnetze sind so konfiguriert, dass öffentliche IP-Adressen nicht automatisch zugewiesen werden. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G209 — Nicht verwendete Network Access Control Lists wurden entfernt Entsprechender AWS Security Hub CSPM Check[:](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16) EC2.16 | **AWSManagedServices-DeleteUnusedNACL** Löschen Sie ungenutzte Netzwerk-ACL | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G215 — Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden Entsprechender AWS Security Hub CSPM [Scheck](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22): EC2.22 | **AWSManagedServices-DeleteSecurityGroups** Löschen Sie nicht verwendete Sicherheitsgruppen. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G247 — Amazon EC2 Transit Gateway sollte VPC-Anhangsanfragen nicht automatisch akzeptieren Entsprechender AWS Security Hub CSPM [Scheck: EC2.23](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach**- Deaktiviert die automatische Annahme von VPC-Anhangsanforderungen für das angegebene Amazon EC2 Transit Gateway, das nicht von AMS stammt. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G235 — Für private ECR-Repositorien sollte die Tag-Unveränderlichkeit konfiguriert sein Entsprechender AWS Security Hub CSPM Check[:](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) ECR.2 | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability** Setzt die Mutabilitätseinstellungen für das Image-Tag für das angegebene Repository auf IMMUTABLE. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G216 — Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein Entsprechender AWS Security Hub CSPM Scheck[: ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy** Für das ECR-Repository ist eine Lebenszyklusrichtlinie konfiguriert. | **LifecyclePolicyText:** Der Richtlinientext für das JSON-Repository, der auf das Repository angewendet werden soll. Um die auto Korrektur zu aktivieren, müssen die folgenden vorkonfigurierten Parameter angegeben werden: **LifecyclePolicyText** |
| Hs4Ma3G325 — Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein Entsprechender AWS Security Hub CSPM Scheck[:](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) EKS.8 | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog** Das Auditprotokoll ist für den EKS-Cluster aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G183 — Der Application Load Balancer sollte so konfiguriert sein, dass er HTTP-Header löscht AWS Security Hub CSPM Entsprechender [Check](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4): ELB.4 | **AWSConfigRemediation-DropInvalidHeadersForALB** Application Load Balancer ist für ungültige Header-Felder konfiguriert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G184 — Die Protokollierung von Application Load Balancers und Classic Load Balancers sollte aktiviert sein AWS Security Hub CSPM Entsprechender [Check](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5): ELB.5 | **AWSManagedServices-EnableELBLogging (Standard-SSM-Dokument für den auto und manuellen Ausführungsmodus)** Die Protokollierung von Application Load Balancer und Classic Load Balancer ist aktiviert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Um die auto Korrektur zu aktivieren, müssen die folgenden vorkonfigurierten Parameter angegeben werden: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Der Amazon S3 S3-Bucket muss über eine Bucket-Richtlinie verfügen, die Elastic Load Balancing die Erlaubnis erteilt, die Zugriffsprotokolle in den Bucket zu schreiben. |
| Hs4Ma3G184 — Die Protokollierung von Application Load Balancers und Classic Load Balancers sollte aktiviert sein AWS Security Hub CSPM Entsprechender [Check](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5): ELB.5 | **AWSManagedServices-EnableELBLoggingV2** Die Protokollierung von Application Load Balancer und Classic Load Balancer ist aktiviert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G326 — Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein Entsprechender AWS Security Hub CSPM Scheck: [EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess** Die Amazon EMR-Einstellungen für den öffentlichen Zugriff sperren sind für das Konto aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G135 - AWS KMS Schlüssel sollten nicht ungewollt gelöscht werden Entsprechender AWS Security Hub CSPM Scheck[:](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) KMS.3 | **AWSManagedServices-CancelKeyDeletion** AWS KMS Das Löschen des Schlüssels wurde abgebrochen. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G299 — Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein Entsprechender AWS Security Hub CSPM Scheck: [Neptune.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection** Aktiviert den Löschschutz für den Amazon Neptune Neptune-Cluster. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G319 — Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein AWS Security Hub CSPM Entsprechender [NetworkFirewallScheck](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9): 9. | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection**- Aktiviert den Löschschutz für die AWS-Netzwerk-Firewall. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G223 — OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden Entsprechender AWS Security Hub CSPM [OpenSearchScheck](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3): 3. | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption** Die Node-zu-Knoten-Verschlüsselung ist für die Domain aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Nachdem die node-to-node Verschlüsselung aktiviert wurde, können Sie die Einstellung nicht deaktivieren. Erstellen Sie stattdessen einen manuellen Snapshot der verschlüsselten Domain, erstellen Sie eine weitere Domain, migrieren Sie Ihre Daten und löschen Sie dann die alte Domain. |
| Hs4Ma3G222 — OpenSearch Die Protokollierung von Domänenfehlern in Logs sollte aktiviert sein CloudWatch Entsprechender AWS Security Hub CSPM Check[:](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) Opensearch.4 | **AWSManagedServices-EnableOpenSearchLogging** Die Fehlerprotokollierung ist für die Domain aktiviert. OpenSearch | CloudWatchLogGroupArn: Der ARN einer Amazon CloudWatch Logs-Protokollgruppe. Um die auto Korrektur zu aktivieren, muss der folgende vorkonfigurierte Parameter angegeben werden:. **CloudWatchLogGroupArn** Die CloudWatch Amazon-Ressourcenrichtlinie muss mit Berechtigungen konfiguriert werden. Weitere Informationen finden Sie unter [Aktivieren von Audit-Logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) im *Amazon OpenSearch Service-Benutzerhandbuch* |
| Hs4Ma3G221 — Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein Entsprechender Check AWS Security Hub CSPM : [Opensearch.5](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch Domains sind mit aktivierter Audit-Protokollierung konfiguriert. | **CloudWatchLogGroupArn:** Der ARN der CloudWatch Logs-Gruppe, in der Logs veröffentlicht werden sollen. Um die auto Korrektur zu aktivieren, muss der folgende vorkonfigurierte Parameter angegeben werden: **CloudWatchLogGroupArn** Die CloudWatch Amazon-Ressourcenrichtlinie muss mit Berechtigungen konfiguriert werden. Weitere Informationen finden Sie unter [Aktivieren von Audit-Logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) im *Amazon OpenSearch Service-Benutzerhandbuch* |
| Hs4Ma3G220 — Verbindungen zu OpenSearch Domains sollten mit TLS 1.2 verschlüsselt werden [Entsprechender AWS Security Hub CSPM Check: Opensearch.8](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2** Die TLS-Richtlinie ist auf `Policy-MIN-TLS-1-2-2019-07` gesetzt und nur verschlüsselte Verbindungen über HTTPS (TLS) sind erlaubt. | Vorkonfigurierte Parameter sind nicht erlaubt. Für die Verwendung von TLS 1.2 sind Verbindungen zu OpenSearch Domänen erforderlich. Das Verschlüsseln von Daten während der Übertragung kann die Leistung beeinträchtigen. Testen Sie Ihre Anwendungen mit dieser Funktion, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen. |
| Hs4Ma3G194 — Amazon RDS-Snapshot sollte privat sein Entsprechender AWS Security Hub CSPM Scheck: [RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** Der öffentliche Zugriff für Amazon RDS-Snapshot ist deaktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G192 — RDS-DB-Instances sollten den öffentlichen Zugriff verbieten, wie in der Konfiguration festgelegt PubliclyAccessible AWS AWS Security Hub CSPM Entsprechender [Check](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2): RDS.2 | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance** Deaktivieren Sie den öffentlichen Zugriff auf die RDS-DB-Instance. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G189 — Die erweiterte Überwachung ist für Amazon RDS-DB-Instances konfiguriert Entsprechender AWS Security Hub CSPM Scheck[:](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) RDS.6 | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring** Aktivieren Sie die erweiterte Überwachung für Amazon RDS-DB-Instances | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Wenn die erweiterte Überwachung vor der Ausführung der Automatisierung aktiviert ist, werden die Einstellungen möglicherweise durch diese Automatisierung mit den in den vorkonfigurierten Parametern konfigurierten MonitoringRoleName Werten MonitoringInterval und überschrieben. |
| Hs4Ma3G190 — Bei Amazon RDS-Clustern sollte der Löschschutz aktiviert sein Entsprechender AWS Security Hub CSPM Scheck: [RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** Der Löschschutz ist für Amazon RDS-Cluster aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G198 — Für Amazon RDS-DB-Instances sollte der Löschschutz aktiviert sein Entsprechender AWS Security Hub CSPM Scheck: [RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** Der Löschschutz ist für Amazon RDS-Instances aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G199 — RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch Entsprechender AWS Security Hub CSPM Scheck[:](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) RDS.9 | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports** RDS-Protokollexporte sind für die RDS-DB-Instance oder den RDS-DB-Cluster aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) für die dienstverknüpfte Rolle ist erforderlich. |
| Hs4Ma3G160 — Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden Entsprechender AWS Security Hub CSPM Scheck: [RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** AWS Identity and Access Management Die Authentifizierung ist für die RDS-Instanz aktiviert. | **ApplyImmediately:** Gibt an, ob die Änderungen in dieser Anfrage und alle ausstehenden Änderungen so schnell wie möglich asynchron angewendet werden. Um die Änderung sofort anzuwenden, wählen Sie`true`. Um die Änderung für das nächste Wartungsfenster zu planen, wählen Sie`false`. Keine Einschränkungen |
| Hs4Ma3G161 — Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden Entsprechender AWS Security Hub CSPM Scheck: [RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** Die IAM-Authentifizierung ist für den RDS-Cluster aktiviert. | **ApplyImmediately:** Gibt an, ob die Änderungen in dieser Anfrage und alle ausstehenden Änderungen so schnell wie möglich asynchron angewendet werden. Um die Änderung sofort anzuwenden, wählen Sie. `true` Um die Änderung für das nächste Wartungsfenster zu planen, wählen Sie`false`. Keine Einschränkungen |
| Hs4Ma3G162 — Automatische RDS-Upgrades für kleinere Versionen sollten aktiviert sein Entsprechender AWS Security Hub CSPM Scheck[:](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) RDS.13 | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade** Die automatische Upgrade-Konfiguration für Nebenversionen für Amazon RDS ist aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Die Amazon RDS-Instance muss sich im `available` Status befinden, damit diese Korrektur durchgeführt werden kann. |
| Hs4Ma3G163 — RDS-DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren Entsprechender AWS Security Hub CSPM [Scheck](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16): RDS.16 | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagtosnapshot`Die Einstellung für Amazon RDS-Cluster ist aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Amazon RDS-Instances müssen sich im Status „Verfügbar“ befinden, damit diese Korrektur durchgeführt werden kann. |
| Hs4Ma3G164 — RDS-DB-Instances sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren Entsprechender AWS Security Hub CSPM [Scheck](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17): RDS.17 | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagsToSnapshot`Die Einstellung für Amazon RDS ist aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Amazon RDS-Instances müssen sich im Status „Verfügbar“ befinden, damit diese Korrektur durchgeführt werden kann. |
| [RsS93 HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots) Öffentliche Amazon RDS-Snapshots | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** Der öffentliche Zugriff für Amazon RDS-Snapshot ist deaktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G103 — Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten Entsprechender AWS Security Hub CSPM Scheck: [Redshift.1](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster** Der öffentliche Zugriff auf den Amazon Redshift Redshift-Cluster ist deaktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Durch die Deaktivierung des öffentlichen Zugriffs werden alle Clients blockiert, die aus dem Internet kommen. Und der Amazon Redshift Redshift-Cluster befindet sich für einige Minuten im Änderungsstatus, während die Behebung den öffentlichen Zugriff auf den Cluster deaktiviert. |
| Hs4Ma3G106 — Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein Entsprechender AWS Security Hub CSPM Check: [Redshift.4](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging** Die Audit-Protokollierung ist für Ihren Amazon Redshift Redshift-Cluster während des Wartungsfensters aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Um die auto Korrektur zu aktivieren, müssen die folgenden vorkonfigurierten Parameter bereitgestellt werden. **BucketName:** Der Bucket muss sich im selben Bucket befinden. AWS-Region Der Cluster muss über die Berechtigungen „Read Bucket“ und „Put Object“ verfügen. Wenn die Redshift-Clusterprotokollierung vor der Ausführung der Automatisierung aktiviert ist, werden die Protokollierungseinstellungen möglicherweise durch diese Automatisierung mit den in den vorkonfigurierten Parametern konfigurierten `S3KeyPrefix` Werten `BucketName` und überschrieben. |
| Hs4Ma3G105 — Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein Entsprechender AWS Security Hub CSPM Check: [Redshift.6](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade**- Upgrades der Hauptversionen werden während des Wartungsfensters automatisch auf den Cluster angewendet. Es gibt keine unmittelbare Ausfallzeit für den Amazon Redshift Redshift-Cluster, aber Ihr Amazon Redshift Redshift-Cluster kann während seines Wartungsfensters Ausfallzeiten haben, wenn er auf eine Hauptversion aktualisiert wird. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G104 — Amazon Redshift Redshift-Cluster sollten erweitertes VPC-Routing verwenden Entsprechender AWS Security Hub CSPM Check: [Redshift.7](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting** Verbessertes VPC-Routing ist für Amazon Redshift Redshift-Cluster aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G173 — Die Einstellung S3 Block Public Access sollte auf Bucket-Ebene aktiviert sein AWS Security Hub CSPM Entsprechender [Check](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8): S3.8 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Öffentliche Zugriffssperren auf Bucket-Ebene werden für den Amazon S3 S3-Bucket angewendet. | Vorkonfigurierte Parameter sind nicht zulässig. Diese Korrektur kann sich auf die Verfügbarkeit von S3-Objekten auswirken. Informationen darüber, wie Amazon S3 den Zugriff bewertet, finden Sie unter [Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html). |
| Hs4Ma3G230 — Die Protokollierung des S3-Bucket-Servers sollte aktiviert sein AWS Security Hub CSPM Entsprechender [Check](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9): S3.9 | **AWSManagedServices-EnableBucketAccessLogging**(Standard-SSM-Dokument für den auto und manuellen Ausführungsmodus) Die Protokollierung Amazon S3 S3-Serverzugriffs ist aktiviert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Um die auto Korrektur zu aktivieren, muss der folgende vorkonfigurierte Parameter angegeben werden:. **TargetBucket** Der Ziel-Bucket muss sich im selben AWS-Region und AWS-Konto wie der Quell-Bucket befinden und über die richtigen Berechtigungen für die Protokollzustellung verfügen. Weitere Informationen finden Sie unter [Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| Hs4Ma3G230 — Die Protokollierung des S3-Bucket-Servers sollte aktiviert sein AWS Security Hub CSPM Entsprechender [Check](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9): S3.9 | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** — Die Amazon S3 S3-Bucket-Protokollierung ist aktiviert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Um die auto Korrektur zu aktivieren, müssen die folgenden Parameter angegeben werden: **TargetBucketTagKey**und **TargetBucketTagValue**. Der Ziel-Bucket muss sich im selben AWS-Region und AWS-Konto wie der Quell-Bucket befinden und über die richtigen Berechtigungen für die Protokollzustellung verfügen. Weitere Informationen finden Sie unter [Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| [Pfx0 RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) Amazon S3 Bucket-Berechtigungen | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Blockieren des öffentlichen Zugriffs | Es sind keine vorkonfigurierten Parameter zulässig. Diese Prüfung besteht aus mehreren Warnkriterien. Diese Automatisierung behebt Probleme mit dem öffentlichen Zugriff. Die Behebung anderer Konfigurationsprobleme, die mit gekennzeichnet sind, wird Trusted Advisor nicht unterstützt. Diese Korrektur unterstützt die Wiederherstellung von AWS-Service erstellten S3-Buckets (z. B. cf-templates-000000000000). |
| Hs4Ma3G272 — Benutzer sollten keinen Root-Zugriff auf Notebook-Instanzen haben SageMaker AWS Security Hub CSPM Entsprechender [SageMakerScheck](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3): 3. | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess** Der Root-Zugriff für Benutzer ist für die SageMaker Notebook-Instanz deaktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Diese Korrektur führt zu einem Ausfall, wenn sich die SageMaker Notebook-Instanz im Status befindet. InService |
| Hs4Ma3G179 — SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS Entsprechender AWS Security Hub CSPM Scheck[:](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) SNS.1 | **AWSManagedServices-EnableSNSEncryptionAtRest** Das SNS-Thema ist mit serverseitiger Verschlüsselung konfiguriert. | **KmsKeyId:** Die ID eines AWS verwalteten Kundenhauptschlüssels (CMK) für Amazon SNS oder eines benutzerdefinierten CMK, der für die serverseitige Verschlüsselung (SSE) verwendet werden soll. Die Standardeinstellung ist auf eingestellt. `alias/aws/sns` Wenn ein benutzerdefinierter AWS KMS Schlüssel verwendet wird, muss er mit den richtigen Berechtigungen konfiguriert werden. Weitere Informationen finden Sie unter [Serverseitige Verschlüsselung (SSE) für ein Amazon SNS SNS-Thema aktivieren](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) |
| Hs4Ma3G158 — SSM-Dokumente sollten nicht öffentlich sein Entsprechender AWS Security Hub CSPM Scheck: [SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing**- Deaktiviert das öffentliche Teilen von SSM-Dokumenten. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Hs4Ma3G136 — Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden Entsprechender AWS Security Hub CSPM Scheck: [SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest** Nachrichten in Amazon SQS sind verschlüsselt. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Anonym SendMessage und ReceiveMessage Anfragen an die verschlüsselte Warteschlange werden abgewiesen. Alle Anfragen zu Warteschlangen mit aktiviertem SSE müssen HTTPS und Signature Version 4 verwenden. |
## Trusted Advisor von Trusted Remediator unterstützte Fehlertoleranzprüfungen
| Überprüfen Sie ID und Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
| --- | --- | --- |
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery) Amazon DynamoDB DynamoDB-Wiederherstellung Point-in-time | **AWSManagedServices-TrustedRemediatorEnableDDBPITR** Aktiviert die point-in-time Wiederherstellung für DynamoDB-Tabellen. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [R365s2qddf](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) Amazon S3 Bucket-Versioning | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning** Die Amazon S3 S3-Bucket-Versionierung ist aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Diese Korrektur unterstützt nicht die Standardisierung AWS-Service erstellter S3-Buckets (zum Beispiel cf-templates-000000000000). |
| [BueAdJ7nRP](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging) Amazon S3 Bucket-Protokollierung | **AWSManagedServices-EnableBucketAccessLogging** Die Amazon S3 S3-Bucket-Protokollierung ist aktiviert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Um die auto Korrektur zu aktivieren, müssen die folgenden vorkonfigurierten Parameter angegeben werden: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Der Ziel-Bucket muss sich im selben AWS-Region und AWS-Konto wie der Quell-Bucket befinden und über die richtigen Berechtigungen für die Protokollzustellung verfügen. Weitere Informationen finden Sie unter [Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| [F2IK5R6DEP](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az) Amazon-RDS-Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ** Die Bereitstellung in mehreren Verfügbarkeitszonen ist aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Während dieser Änderung kann es zu Leistungseinbußen kommen. |
| [H7 IgTzj TYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots) Amazon-EBS-Snapshots | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot** Amazon EBSsnapshots wurden gegründet. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [op QPADk ZvH](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) RDS-Backups | **AWSManagedServices-EnableRDSBackupRetention** Die Aufbewahrung von Amazon RDS-Backups ist für die Datenbank aktiviert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Wenn der `ApplyImmediately` Parameter auf gesetzt ist`true`, werden die ausstehenden Änderungen in der Datenbank zusammen mit der RDSBackup Aufbewahrungseinstellung übernommen. |
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Bei Amazon RDS-DB-Instances ist die automatische Speicherskalierung deaktiviert | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling**- Die automatische Speicherskalierung ist für die Amazon RDS-DB-Instance aktiviert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Keine Einschränkungen |
| [7q GXs KIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining) Classic Load Balancer Balancer-Verbindungsabbau | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining** Das Entleeren von Verbindungen ist für Classic Load Balancer aktiviert. | **ConnectionDrainingTimeout:** Die maximale Zeit in Sekunden, um die bestehenden Verbindungen offen zu halten, bevor die Instances deregistriert werden. Die Standardeinstellung ist auf Sekunden festgelegt. `300` Keine Einschränkungen |
| [c18d2gz106](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan) Amazon EBS nicht im AWS Backup Plan enthalten | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan** Amazon EBS ist im AWS Backup Plan enthalten. | Bei der Behebung wird das Amazon EBS-Volume mit dem folgenden Tag-Paar versehen. Das Tag-Paar muss den tagbasierten Ressourcenauswahlkriterien für entsprechen. AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Keine Einschränkungen |
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan) Amazon DynamoDB-Tabelle nicht im Plan enthalten AWS Backup | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan** Amazon DynamoDB Table ist im AWS Backup Plan enthalten. | Remediation kennzeichnet Amazon DynamoDB mit dem folgenden Tag-Paar. Das Tag-Paar muss den tagbasierten Ressourcenauswahlkriterien für entsprechen. AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Keine Einschränkungen |
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan) Amazon EFS nicht im AWS Backup Plan enthalten | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan** Amazon EFS ist im AWS Backup Plan enthalten. | Bei der Problembehebung wird Amazon EFS mit dem folgenden Tag-Paar versehen. Das Tag-Paar muss den tagbasierten Ressourcenauswahlkriterien für entsprechen. AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Keine Einschränkungen |
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing) Network Load Balancer – Zonenübergreifender Lastausgleich | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing** Zonenübergreifendes Load Balancing ist auf dem Network Load Balancer aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off) Der Amazon `synchronous_commit` RDS-Parameter ist ausgeschaltet | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Der Parameter `synchronous_commit` ist für Amazon RDS aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off) Der Amazon `innodb_flush_log_at_trx_commit` RDS-Parameter ist nicht `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Der Parameter `innodb_flush_log_at_trx_commit` ist `1` für Amazon RDS auf eingestellt. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off) Der Amazon `sync_binlog` RDS-Parameter ist ausgeschaltet | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Der Parameter `sync_binlog` ist für Amazon RDS aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe) Die Amazon `innodb_default_row_format` RDS-Parametereinstellung ist unsicher | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Der Parameter `innodb_default_row_format` ist `DYNAMIC` für Amazon RDS auf eingestellt. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c18d2gz144](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled) Detaillierte Amazon-EC2-Überwachung nicht aktiviert | **AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring** Detailed Monitoring ist für Amazon EC2 aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
## Trusted Advisor Leistungsprüfungen werden von Trusted Remediator unterstützt
| Überprüfen Sie die ID und den Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
| --- | --- | --- |
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size) AWS Lambda Funktionen sind im Hinblick auf die Speichergröße nicht ausreichend bereitgestellt | **AWSManagedServices-ResizeLambdaMemory** Die Speichergröße der Lambda-Funktionen wird auf die empfohlene Speichergröße von angepasst. Trusted Advisor | **RecommendedMemorySize:** Die empfohlene Speicherzuweisung für die Lambda-Funktion. Der Wertebereich liegt zwischen 128 und 10240. Wenn die Größe der Lambda-Funktion vor der Ausführung der Automatisierung geändert wird, überschreibt diese Automatisierung möglicherweise die Einstellungen mit dem von empfohlenen Wert. Trusted Advisor |
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances) Hohe Nutzung Amazon-EC2-Instances | **AWSManagedServices-ResizeInstanceByOneLevel** Die Größe von Amazon EC2 EC2-Instances wird um einen Instance-Typ höher im selben Instance-Familientyp geändert. Die Instances werden während der Größenänderung gestoppt und gestartet und nach Abschluss der Ausführung wieder in den Ausgangszustand versetzt. Diese Automatisierung unterstützt keine Größenänderung von Instances, die sich in einer Auto Scaling Scaling-Gruppe befinden. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Keine Einschränkungen |
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal) Amazon `innodb_change_buffering` RDS-Parameter, der weniger als den optimalen Wert verwendet | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Der Wert des `innodb_change_buffering` Parameters ist `NONE` für Amazon RDS auf festgelegt. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off) Der Amazon `autovacuum` RDS-Parameter ist ausgeschaltet | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Der Parameter `autovacuum` ist für Amazon RDS aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off) Der Amazon `enable_indexonlyscan` RDS-Parameter ist ausgeschaltet | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Der Parameter `enable_indexonlyscan` ist für Amazon RDS aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off) Der Amazon `enable_indexscan` RDS-Parameter ist ausgeschaltet | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Der Parameter `enable_indexscan` ist für Amazon RDS aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off) Der Amazon `innodb_stats_persistent` RDS-Parameter ist ausgeschaltet | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Der Parameter `innodb_stats_persistent` ist für Amazon RDS aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on) Der Amazon `general_logging` RDS-Parameter ist aktiviert | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Der Parameter `general_logging` ist für Amazon RDS ausgeschaltet. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
## Trusted Advisor Von Trusted Remediator unterstützte Prüfungen von Service-Limits
| Überprüfen Sie die ID und den Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
| --- | --- | --- |
| [lN7 J9 RR0l7](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address) EC2-VPC Elastic IP-Adresse | **AWSManagedServices-UpdateVpcElasticIPQuota** Ein neues Limit für elastische EC2-VPC-IP-Adressen wird angefordert. Standardmäßig wird das Limit um 3 erhöht. | **Inkrement:** Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist `3`. Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem `OK` Status aktualisiert wird, kann es zu einer höheren Limiterhöhung kommen. |
| [kM7 J9 QQ0l7](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways) VPC-Internet-Gateways | **AWSManagedServices-IncreaseServiceQuota**- Ein neues Limit für VPC-Internet-Gateways wird angefordert. Standardmäßig wird das Limit um drei erhöht. | **Inkrement:** Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist `3`. Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem `OK` Status aktualisiert wird, kann es zu einer höheren Limiterhöhung kommen. |
| [jL7 J9 PP0l7](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check) VPC | **AWSManagedServices-IncreaseServiceQuota** Ein neues Limit für VPC wird angefordert. Standardmäßig wird das Limit um 3 erhöht. | **Inkrement:** Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist `3`. Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem `OK` Status aktualisiert wird, kann es zu einer höheren Limiterhöhung kommen. |
| [fW7 J9 HH0l7](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups) Auto Scaling-Gruppen | **AWSManagedServices-IncreaseServiceQuota** Ein neues Limit für Auto Scaling Scaling-Gruppen wird angefordert. Standardmäßig wird das Limit um 3 erhöht. | **Inkrement:** Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist `3`. Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem `OK` Status aktualisiert wird, kann es zu einer höheren Limiterhöhung kommen. |
| [3Njm0 DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups) RDS-Optionsgruppen | **AWSManagedServices-IncreaseServiceQuota** Ein neues Limit für Amazon RDS-Optionsgruppen wird beantragt. Standardmäßig wird das Limit um 3 erhöht. | **Inkrement:** Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist `3`. Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem `OK` Status aktualisiert wird, kann es zu einer höheren Limiterhöhung kommen. |
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers) ELB Application Load Balancers | **AWSManagedServices-IncreaseServiceQuota** Ein neues Limit für ELB Application Load Balancers wird angefordert. Standardmäßig wird das Limit um 3 erhöht. | **Inkrement:** Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist `3`. Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem `OK` Status aktualisiert wird, kann es zu einer höheren Limiterhöhung kommen. |
| [8 WiQ K YSt25](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers) ELB Network Load Balancers | **AWSManagedServices-IncreaseServiceQuota** Ein neues Limit für ELB Network Load Balancers wird angefordert. Standardmäßig wird das Limit um 3 erhöht. | **Inkrement:** Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist `3`. Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem `OK` Status aktualisiert wird, kann es zu einer höheren Limiterhöhung kommen. |
## Trusted Advisor Prüfungen der betrieblichen Exzellenz werden von Trusted Remediator unterstützt
| Überprüfen Sie die ID und den Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
| --- | --- | --- |
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled) Amazon API Gateway protokolliert keine Ausführungsprotokolle | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** Die Ausführungsprotokollierung ist auf der API-Phase aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Sie müssen API Gateway die Berechtigung zum Lesen und Schreiben von Protokollen CloudWatch für Ihr Konto erteilen, um das Ausführungsprotokoll zu aktivieren. Weitere Informationen finden Sie unter [ CloudWatch Protokollierung für REST APIs in API Gateway einrichten](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html). |
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled) Elastic-Load-Balancing-Löschschutz ist für Load Balancer nicht aktiviert | **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection**- Der Löschschutz ist für den Elastic Load Balancer aktiviert. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off) Amazon RDS Performance Insights ist ausgeschaltet | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights** Performance Insights ist für Amazon RDS aktiviert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Keine Einschränkungen |
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled) Amazon S3 S3-Zugriffsprotokolle aktiviert | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** Die Protokollierung des Amazon S3 S3-Bucket-Zugriffs ist aktiviert. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/tr-supported-checks.html) Um die auto Korrektur zu aktivieren, muss der folgende vorkonfigurierte Parameter angegeben werden: **TargetBucketTagKey**und. **TargetBucketTagValue** Der Ziel-Bucket muss sich im selben AWS-Region und AWS-Konto wie der Quell-Bucket befinden und über die richtigen Berechtigungen für die Protokollzustellung verfügen. Weitere Informationen finden Sie unter [Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
# Von Trusted Remediator unterstützte Security Hub CSPM-Empfehlungen
In der folgenden Tabelle sind die unterstützten Security Hub CSPM-Empfehlungen, SSM-Automatisierungsdokumente, vorkonfigurierte Parameter und das erwartete Ergebnis der Automatisierungsdokumente aufgeführt. Überprüfen Sie das erwartete Ergebnis, um mögliche Risiken auf der Grundlage Ihrer Geschäftsanforderungen besser zu verstehen, bevor Sie ein Dokument zur SSM-Automatisierung zur Behebung von Prüfungen aktivieren.
Stellen Sie sicher, dass Sie Security Hub CSPM für das Konto aktivieren. Weitere Informationen finden Sie unter [Security Hub CSPM aktivieren](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html).
| Überprüfen Sie die ID und den Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
| --- | --- | --- |
| Security-Hub-IAM-22 [IAM.22: IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden.](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-22) | **AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials** | **DeleteAccessKeys**: Auf true setzen, um ungenutzte Zugriffsschlüssel dauerhaft zu löschen, oder auf false, um sie zu deaktivieren (sodass sie inaktiv, aber wiederherstellbar sind).Keine Einschränkungen |
| Security-Hub-IAM-3 [IAM.3: Die Zugangsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden.](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-3) | **AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90 Tage** | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| Security-Hub-IAM-8 [IAM.8: Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden.](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-8) | **AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials** | **DeleteAccessKeys**: Auf true setzen, um ungenutzte Zugriffsschlüssel dauerhaft zu löschen, oder auf false, um sie zu deaktivieren (wodurch sie inaktiv, aber wiederherstellbar sind). Keine Einschränkungen |
| security-hub-networkfirewall-10 [NetworkFirewall.10: Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein.](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-10) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection** | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
| security-hub-networkfirewall-2 [NetworkFirewall.2: Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein.](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-2) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog** | **LogGroupName**: Der Name der CloudWatch Protokollgruppe, an die Protokolle gesendet werden sollen. **LogTypes**: Die Arten von Protokollen, die aktiviert werden sollen. Gültige Werte sind `FLOW`, `ALERT`, `TLS`. Keine Einschränkungen |
| security-hub-stepfunctions-1 [StepFunctions.1: Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben.](https://docs.aws.amazon.com/securityhub/latest/userguide/stepfunctions-controls.html#stepfunctions-1) | **AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging** | **LogGroupName**: Der Name der CloudWatch Protokollgruppe für die Step Functions-Protokollierung. **LoggingLevel**: Die Protokollierungsebene für Step Functions. Gültige Werte sind `ALL`, `ERROR`, `FATAL`. |
| security-hub-lambda-7 [Lambda.7: Für Lambda-Funktionen sollte AWS X-Ray Active Tracing aktiviert sein.](https://docs.aws.amazon.com/securityhub/latest/userguide/lambda-controls.html#lambda-7) | AWSManagedServices-TrustedRemediatorEnableLambdaXrayActiveTracing | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
# Konfigurieren Sie Trusted Advisor die Problembehebung in Trusted Remediator
Konfigurationen werden AWS AppConfig als Teil der Trusted Remediator-Anwendung gespeichert. Jede Trusted Advisor Prüfkategorie hat ein eigenes Konfigurationsprofil. Weitere Informationen zu Trusted Advisor Kategorien finden Sie unter [Prüfkategorien anzeigen](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor.html#view-check-categories).
Sie können Behebungen pro Ressource oder pro Trusted Advisor Prüfung konfigurieren. Sie können Ausnahmen mithilfe von Ressourcen-Tags anwenden.
**Anmerkung**
Die Behebung von Trusted Advisor Ergebnissen ist derzeit mit konfiguriert AWS AppConfig, und diese Funktion wird heute vollständig unterstützt. AMS geht davon aus, dass sich dies in future ändern wird. Es ist eine bewährte Methode, Gebäudeautomationen zu vermeiden, die darauf angewiesen sind AWS AppConfig, da sich diese Methode ändern kann. Beachten Sie, dass Sie aus Kompatibilitätsgründen möglicherweise in future Automatisierungen aktualisieren oder ändern müssen, die auf der aktuellen AWS AppConfig Implementierung basieren.
Das Feature-Flag Compute Optimizer -> EC2-Instances hat zusätzliche Parameter:
**allow-upscale Um das Hochskalieren von nicht optimierten EC2-Instances** mit unzureichender Bereitstellung zu ermöglichen. Der Standardwert ist „false“.
**min-savings-opportunity-percentage**Die Möglichkeit zur automatisierten Problembehebung in Prozent mit minimalen Einsparungen. Der Standardwert ist 10%
## Standardkonfigurationen für die Problembehebung
Die Konfigurationen für einzelne Trusted Advisor Prüfungen werden als AWS AppConfig Flags gespeichert. Der Flag-Name stimmt mit dem Schecknamen überein. Jede Prüfkonfiguration enthält die folgenden Attribute:
+ **Ausführungsmodus:** Legt fest, wie Trusted Remediator die Standardbehebung durchführt:
+ **Automatisiert:** Trusted Remediator korrigiert Ressourcen automatisch, indem es ein Dokument erstellt OpsItem, das SSM-Dokument ausführt und es nach erfolgreicher Ausführung wieder auflöst. OpsItem
+ **Manuell:** Ein OpsItem wird erstellt, aber das SSM-Dokument wird nicht automatisch ausgeführt. Sie überprüfen das SSM-Dokument OpsItem in der Konsole und führen es manuell aus. AWS Systems Manager OpsCenter
+ **Bedingt:** Die Wiederherstellung ist standardmäßig deaktiviert. Sie können es mithilfe von Tags für bestimmte Ressourcen aktivieren. Weitere Informationen finden Sie in den folgenden Abschnitten [Passen Sie die Problembehebung mit Ressourcen-Tags individuell an](#tr-con-rem-customize-tags) und[Passen Sie die Problembehebung mit Tags zum Überschreiben von Ressourcen individuell an](#tr-con-rem-resource-override).
+ **Inaktiv:** Es findet keine Korrektur statt und es OpsItem werden keine erstellt. Sie können den Ausführungsmodus für die Trusted Advisor Prüfung, die auf inaktiv gesetzt ist, nicht überschreiben.
+ **vorkonfigurierte Parameter:** Geben Sie Werte für SSM-Dokumentparameter ein, die für die automatische Korrektur erforderlich sind, im Format von, getrennt durch ein Komma (`Parameter=Value`,). Informationen zu [Trusted Advisor von Trusted Remediator unterstützte Prüfungen](tr-supported-checks.md) den unterstützten vorkonfigurierten Parametern für das zugehörige SSM-Dokument finden Sie für jede Prüfung.
+ **alternative-automation-document:** Dieses Attribut hilft dabei, das vorhandene Automatisierungsdokument durch ein anderes unterstütztes Dokument zu überschreiben (falls für die jeweilige Prüfung verfügbar). Dieses Attribut ist standardmäßig nicht ausgewählt.
**Anmerkung**
Das `alternative-automation-document` Attribut unterstützt keine benutzerdefinierten Automatisierungsdokumente. Sie können die vorhandenen unterstützten Trusted Remediator-Automatisierungsdokumente verwenden, die unter aufgeführt sind. [Trusted Advisor von Trusted Remediator unterstützte Prüfungen](tr-supported-checks.md)
Zur Überprüfung gibt es `Qch7DwouX1` beispielsweise drei zugehörige SSM-Dokumente: AWSManagedServices-StopEC 2Instance, und AWSManagedServices-ResizeInstanceByOneLevel. AWSManagedServices-TerminateInstance Der Wert für `alternative-automation-document` kann entweder AWSManagedServices-ResizeInstanceByOneLevel oder sein AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance ist das SSM-Standarddokument, das behoben werden muss). `Qch7DwouX1`
Der Wert für jedes Attribut muss den Einschränkungen dieses Attributs entsprechen.
**Tipp**
Bevor Sie die Standardkonfigurationen für Ihre Trusted Advisor Prüfungen anwenden, empfiehlt es sich, die in den folgenden Abschnitten beschriebenen Funktionen zur Kennzeichnung von Ressourcen und zur Außerkraftsetzung von Ressourcen in Betracht zu ziehen. Die Standardkonfigurationen gelten für alle Ressourcen innerhalb des Kontos, was möglicherweise nicht in allen Fällen wünschenswert ist.
Im Folgenden finden Sie ein Beispiel für einen Konsolen-Screenshot, bei dem **der Ausführungsmodus** auf **Manuell** gesetzt ist und die Attribute den jeweiligen Einschränkungen entsprechen.
![\[Eine Abbildung des Entscheidungsworkflows im Ausführungsmodus von Trusted Remediator.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/tr-exe-mode-man-new.png)
## Passen Sie die Problembehebung mit Ressourcen-Tags individuell an
Mit den **manual-for-tagged-only**Attributen **automated-for-tagged-only**und in der Prüfkonfiguration können Sie Ressourcen-Tags angeben, mit denen Sie festlegen können, wie Sie einzelne Prüfungen korrigieren möchten. Es hat sich bewährt, diese Methode zu verwenden, wenn Sie ein einheitliches Behebungsverhalten auf eine Gruppe von Ressourcen anwenden müssen, die dasselbe Tag oder dieselben Tags verwenden. Im Folgenden finden Sie Beschreibungen für diese Tags:
+ **automated-for-tagged-only:** Geben Sie Ressourcen-Tags (ein oder mehrere Tag-Paare, durch Kommas getrennt) für Prüfungen an, die unabhängig vom Standardausführungsmodus automatisch behoben werden sollen.
+ **manual-for-tagged-only:** Geben Sie Ressourcen-Tags (ein oder mehrere Tag-Paare, durch Kommas getrennt) für Problembehebungen an, die unabhängig vom Standardausführungsmodus manuell ausgeführt werden sollen.
Wenn Sie beispielsweise die automatische Behebung für alle Ressourcen aktivieren möchten, die nicht zur Produktion gehören, und die manuelle Korrektur für Produktionsressourcen erzwingen möchten, können Sie Ihre Konfiguration wie folgt festlegen:
```
"execution-mode": "Conditional",
"automated-for-tagged-only": "Environment=Non-Production",
"manual-for-tagged-only": "Environment=Production",
```
Nachdem Sie die vorherigen Konfigurationen für Ihre Ressourcen eingerichtet haben, überprüfen Sie, ob das Behebungsverhalten wie folgt aussieht:
+ Ressourcen, die mit 'Environment=Non-Production' gekennzeichnet sind, werden automatisch behoben.
+ Ressourcen, die mit 'Environment=Production' gekennzeichnet sind, erfordern zur Behebung manuelles Eingreifen.
+ Ressourcen ohne das Tag 'Environment' folgen dem Standard-Ausführungsmodus (in diesem Fall `Bedingt`). Es werden also keine Maßnahmen für die verbleibenden Ressourcen ergriffen).
Wenn Sie weitere Unterstützung bei Ihren Konfigurationen benötigen, wenden Sie sich an Ihren Cloud-Architekten.
## Passen Sie die Problembehebung mit Tags zum Überschreiben von Ressourcen individuell an
Mithilfe von Tags zum Überschreiben von Ressourcen können Sie das Behebungsverhalten für einzelne Ressourcen unabhängig von ihren Tags anpassen. Indem Sie einer Ressource ein bestimmtes Tag hinzufügen, überschreiben Sie den Standardausführungsmodus für diese Ressource und die Trusted Advisor Prüfung. Das Resource-Override-Tag hat Vorrang vor der Standardkonfiguration und den Einstellungen für das Ressourcen-Tagging. Wenn Sie also für eine Ressource, die das Resource Override-Tag verwendet, den Standardausführungsmodus auf **Automatisiert**, **Manuell** oder **Bedingt** festlegen, überschreibt dies den Standardausführungsmodus und alle Konfigurationen für das Ressourcen-Tagging.
Gehen Sie wie folgt vor, um den Ausführungsmodus für eine Ressource zu überschreiben:
1. Identifizieren Sie die Ressourcen, für die Sie die Behebungskonfiguration überschreiben möchten.
1. Ermitteln Trusted Advisor Sie die Scheck-ID für den Scheck, den Sie überschreiben möchten. Den Scheck IDs für unterstützte Trusted Advisor Check-ins finden Sie unter[Trusted Advisor von Trusted Remediator unterstützte Prüfungen](tr-supported-checks.md).
1. Fügen Sie den Ressourcen ein Tag mit dem folgenden Schlüssel und Wert hinzu:
+ **Tag-Schlüssel:** `TR-Trusted Advisor check ID-Execution-Mode` (Groß- und Kleinschreibung beachten)
Ersetzen Sie es im vorherigen Beispiel `Trusted Advisor check ID` mit einem Tag-Schlüssel durch den eindeutigen Bezeichner des Trusted Advisor Schecks, den Sie überschreiben möchten.
+ **Tag-Wert:** Verwenden Sie einen der folgenden Werte für den Tag-Wert:
+ **Automatisiert:** Trusted Remediator korrigiert automatisch die Ressource für diese Trusted Advisor Prüfung.
+ **Manuell:** Für die Ressource OpsItem wird eine erstellt, aber die Korrektur wird nicht automatisch durchgeführt. Sie überprüfen und führen die Problembehebung manuell über den aus. OpsItem
+ **Inaktiv:** Für diese Ressource und die angegebene Trusted Advisor Prüfung wurden keine Korrektur und OpsItem Erstellung durchgeführt.
Um beispielsweise ein Amazon EBS-Volume mit der Trusted Advisor Scheck-ID automatisch zu korrigieren, `DAvU99Dc4C` fügen Sie dem EBS-Volume ein Tag hinzu. Der **Tag-Schlüssel** ist `TR-DAvU99Dc4C-Execution-Mode` und der **Tag-Wert** ist. `Automated`
Im Folgenden finden Sie ein Beispiel für die Konsole, in der der Abschnitt „**Tags**“ angezeigt wird:
![\[Ein Beispiel für den Abschnitt „Tags“ auf der Konsole.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/tr-tags-example.png)
# Entscheidungsworkflow für den Ausführungsmodus
Es gibt mehrere Ebenen, um den Ausführungsmodus für Ihre Ressourcen und jede Trusted Advisor Prüfung zu konfigurieren. Das folgende Diagramm zeigt, wie Trusted Remediator anhand Ihrer Konfigurationen entscheidet, welcher Ausführungsmodus verwendet werden soll:
![\[Eine Abbildung des Entscheidungsablaufs für den Trusted Remediator-Ausführungsmodus.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/tr-ex-mode-workflow.png)
# Tutorials zur Konfiguration von Problembehebungen
Die folgenden Tutorials enthalten Beispiele für die Erstellung gängiger Problembehebungen in Trusted Remediator
## Korrigieren Sie alle Ressourcen manuell
In diesem Beispiel wird die manuelle Korrektur für alle Amazon EBS-Volumes mit der Trusted Advisor Scheck-ID DAv U99Dc4C (Underused Amazon EBS Volumes) konfiguriert.
**Konfigurieren Sie die manuelle Korrektur für Amazon EBS-Volumes mit der Prüf-ID U99Dc4C DAv**
1. [Öffnen Sie die Konsole unter appconfig. AWS AppConfig https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/appconfig)
Stellen Sie sicher, dass Sie sich mit dem **delegierten Administratorkonto** anmelden.
1. Wählen Sie **Trusted Remediator** aus der Liste der Anwendungen aus.
1. Wählen Sie das Konfigurationsprofil „**Kostenoptimierung**“ aus.
1. Wählen Sie das Kennzeichen Nicht **ausgelastete Amazon EBS-Volumes aus**.
1. **Wählen Sie für den **Ausführungsmodus Manuell** aus.**
1. Stellen Sie sicher, dass die **manual-for-tagged-only**Attribute **automated-for-tagged-only**und leer sind. Diese Attribute werden verwendet, um den Standard-Ausführungsmodus für Ressourcen mit passenden Tags zu überschreiben.
**Im Folgenden finden Sie ein Beispiel für den Abschnitt **Attribute** mit leeren Werten für **automated-for-tagged-only**und **manual-for-tagged-only**und **Manual** für den Ausführungsmodus:**
![\[Ein Beispiel für den Abschnitt Attribute.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/tr-tutorial1.png)
1. Wählen Sie **Speichern**, um den Wert zu aktualisieren, und wählen Sie dann **Neue Version speichern**, um die Änderungen zu übernehmen. Sie müssen **Neue Version speichern** auswählen, damit Trusted Remediator die Änderung erkennt.
1. Stellen Sie sicher, dass Ihre Amazon EBS-Volumes kein Tag mit dem Schlüssel `TR-DAvU99Dc4C-Execution-Mode` haben. Dieser Tag-Schlüssel überschreibt den Standard-Ausführungsmodus für dieses EBS-Volume.
## Korrigieren Sie alle Ressourcen automatisch, mit Ausnahme der ausgewählten Ressourcen
**In diesem Beispiel wird die automatische Problembehebung für alle Amazon EBS-Volumes mit der Trusted Advisor Scheck-ID DAv U99Dc4C (Nicht ausgelastete Amazon EBS-Volumes) konfiguriert, mit Ausnahme der angegebenen Volumes, die nicht behoben werden (als Inaktiv gekennzeichnet).**
**Automatische Problembehebung für Amazon EBS-Volumes mit der Prüf-ID DAv U99Dc4C konfigurieren, mit Ausnahme ausgewählter inaktiver Ressourcen**
1. [Öffnen Sie die Konsole unter appconfig. AWS AppConfig https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/appconfig)
Stellen Sie sicher, dass Sie sich mit dem **delegierten Administratorkonto** anmelden.
1. Wählen Sie **Trusted Remediator** aus der Liste der Anwendungen aus.
1. Wählen Sie das Konfigurationsprofil „**Kostenoptimierung**“ aus.
1. Wählen Sie das Kennzeichen Nicht **ausgelastete Amazon EBS-Volumes aus**.
1. **Wählen Sie für den **Ausführungsmodus Automatisiert** aus.**
1. Stellen Sie sicher, dass die **manual-for-tagged-only**Attribute **automated-for-tagged-only**und leer sind. Diese Attribute werden verwendet, um den Standard-Ausführungsmodus für Ressourcen mit passenden Tags zu überschreiben.
**Im Folgenden finden Sie ein Beispiel für den Abschnitt **Attribute** mit leeren Werten für **automated-for-tagged-only**und **manual-for-tagged-only**und **Automatisiert** für den Ausführungsmodus:**
![\[Ein Beispiel für den Abschnitt „Attribute“.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/tr-tutorial2.png)
1. Wählen Sie **Speichern**, um den Wert zu aktualisieren, und wählen Sie dann **Neue Version speichern**, um die Änderungen zu übernehmen. Sie müssen **Neue Version speichern** auswählen, damit Trusted Remediator die Änderung erkennt.
Zu diesem Zeitpunkt sind alle Amazon EBS-Volumes auf automatische Problembehebung eingestellt.
1. Automatische Problembehebung für ausgewählte Amazon EBS-Volumes außer Kraft setzen:
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. **Wählen Sie **Elastic Block Store, Volumes**.**
1. Wählen Sie **Tags** aus.
1. Wählen Sie **Tags verwalten** aus.
1. Fügen Sie das folgende Tag hinzu:
+ **Schlüssel:** TR- DAv U99Dc4C-Ausführungsmodus
+ **Wert:** Inaktiv
Im Folgenden finden Sie ein Beispiel für den Abschnitt „**Tags**“, in dem die Felder **Schlüssel** und **Wert** angezeigt werden:
![\[Ein Beispiel für den Abschnitt „Attribute“.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/tr-tutorial-inactive.png)
1. Wiederholen Sie die Schritte 2 bis 5 für alle Amazon EBS-Volumes, die Sie von der Problembehebung ausschließen möchten.
## Korrigieren Sie markierte Ressourcen automatisch
In diesem Beispiel wird die automatische Problembehebung für alle Amazon EBS-Volumes mit dem Tag `Stage=NonProd` mit der Trusted Advisor Prüf-ID DAv U99Dc4C (Underused Amazon EBS Volumes) konfiguriert. Alle anderen Ressourcen ohne dieses Tag werden nicht behoben.
**Automatische Problembehebung für Amazon EBS-Volumes mit dem Tag `Stage=NonProd` für die Scheck-ID U99Dc4C konfigurieren DAv**
1. [Öffnen Sie die Konsole unter appconfig. AWS AppConfig https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/appconfig)
Stellen Sie sicher, dass Sie sich mit dem **delegierten Administratorkonto** anmelden.
1. Wählen Sie **Trusted Remediator** aus der Liste der Anwendungen aus.
1. Wählen Sie das Konfigurationsprofil „**Kostenoptimierung**“ aus.
1. Wählen Sie das Kennzeichen Nicht **ausgelastete Amazon EBS-Volumes aus**.
1. **Wählen Sie für den **Ausführungsmodus die Option Conditional** aus.**
1. Legen Sie den Wert für **automated-for-tagged-only** auf `Stage=NonProd` fest. Dieses Attribut setzt den Standard `execution-mode` für Ressourcen mit passenden Tags außer Kraft. Stellen Sie sicher, dass die **manual-for-tagged-only**Attribute leer sind.
**Im Folgenden finden Sie ein Beispiel für den Abschnitt **Attributes**, der für den **automated-for-tagged-only**Ausführungsmodus auf **Stage= NonProd** und **Conditional** gesetzt ist:**
![\[Ein Beispiel für den Abschnitt Attributes.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/tr-tutorial-conditional.png)
1. Legen Sie optional die vorkonfigurierten Parameter auf einen der folgenden Werte fest:
+ `CreateSnapshot=false`um keinen Snapshot des Amazon EBS-Volumes zu erstellen, bevor es gelöscht wurde
+ `MinimumUnattachedDays=10`um die Mindestdauer des zu löschenden Amazon EBS-Volumes ohne Anhängen auf 10 Tage festzulegen
+ `CreateSnapshot=false`, `MinimumUnattachedDays=10` für beide der oben genannten
1. Wählen Sie **Speichern**, um den Wert zu aktualisieren, und wählen Sie dann **Neue Version speichern**, um die Änderungen zu übernehmen. Sie müssen **Neue Version speichern** auswählen, damit Trusted Remediator die Änderung erkennt.
1. Stellen Sie sicher, dass Ihre Amazon EBS-Volumes kein Tag mit dem Schlüssel `TR-DAvU99Dc4C-Execution-Mode` haben. Dieser Tag-Schlüssel überschreibt den Standard-Ausführungsmodus für dieses EBS-Volume.
# Arbeiten Sie mit Behebungen in Trusted Remediator
## Behebungen in Trusted Remediator nachverfolgen
Gehen Sie wie folgt vor, um OpsItems Behebungen nachzuverfolgen:
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie **Operations Management**, **OpsCenter**.
1. (Optional) Filtern Sie die Liste nach **Quelle=Trusted Remediator**, um nur Trusted Remediator OpsItems in die Liste aufzunehmen.
**Im Folgenden finden Sie ein Beispiel für den OpsCenter Bildschirm, der nach Source=Trusted Remediator gefiltert wurde:**
![\[Ein Beispiel für den Abschnitt Attribute.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/tr-opsitems-console.png)
**Anmerkung**
Zusätzlich zur Anzeige OpsItems von können Sie die OpsCenter Behebungsprotokolle im AMS S3-Bucket einsehen. Weitere Informationen finden Sie unter [Behebungsprotokolle in Trusted Remediator](tr-logging.md).
## Führen Sie manuelle Korrekturen in Trusted Remediator aus
Trusted Remediator erstellt vier Prüfungen, OpsItems die für die manuelle Behebung konfiguriert sind. Sie müssen diese Prüfungen überprüfen und den Behebungsprozess manuell starten.
Gehen Sie wie folgt vor OpsItem, um das manuell zu korrigieren:
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie **Operations Management**, **OpsCenter**.
1. (Optional) Filtern Sie die Liste nach **Quelle=Trusted Remediator**, um nur Trusted Remediator OpsItems in die Liste aufzunehmen.
1. Wählen Sie die aus OpsItem , die Sie überprüfen möchten.
1. Überprüfen Sie die Betriebsdaten von OpsItem. Die Betriebsdaten umfassen die folgenden Elemente:
+ **trustedAdvisorCheckKategorie:** Die Kategorie der Trusted Advisor Scheck-ID. Zum Beispiel Fehlertoleranz
+ **trustedAdvisorCheckID:** Die eindeutige Trusted Advisor Scheck-ID.
+ **trustedAdvisorCheckMetadaten:** Die Metadaten der Ressource, einschließlich der Ressourcen-ID.
+ **trustedAdvisorCheckName:** Der Name des Trusted Advisor Schecks.
+ **trustedAdvisorCheckStatus:** Der Status der Trusted Advisor Prüfung, die für die Ressource erkannt wurde.
1. Gehen Sie wie folgt vor OpsItem, um das Problem manuell zu beheben:
1. Wählen Sie **unter Runbooks** eines der zugehörigen Runbooks (SSM-Dokumente) aus.
1. Wählen Sie **Ausführen**.
1. Wählen Sie für **AutomationAssumeRole ** ` arn:aws:iam::AWS-Konto ID:role/ams_ssm_automation_role` aus. Ersetzen Sie AWS-Konto ID durch die Konto-ID, unter der die Korrektur ausgeführt wird. Weitere Parameterwerte finden Sie in den **Betriebsdaten**.
Um Ressourcen manuell zu korrigieren, AWS-Konto muss die Rolle oder der Benutzer, mit dem bzw. der sich authentifiziert hat, über die `iam:PassRole` Berechtigungen für die IAM-Rolle verfügen. `ams-ssm-automation-role` Weitere Informationen finden Sie unter [Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen Benutzer AWS-Service oder wenden Sie sich an](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) Ihren Cloud-Architekten.
1. Wählen Sie **Ausführen**.
1. Überwachen Sie den Fortschritt der Ausführung des SSM-Dokuments in der Spalte **Aktueller Status und Ergebnisse**.
1. Wählen Sie nach Abschluss des Dokuments „**Status festlegen“, „Gelöst“**, um das OpsItem manuell zu **lösen**. Wenn das Dokument fehlgeschlagen ist, überprüfen Sie die Details und führen Sie das SSMdocument erneut aus. Wenn Sie zusätzliche Unterstützung bei der Fehlerbehebung benötigen, erstellen Sie eine Serviceanfrage.
Um ein Problem zu lösen, OpsItem das nicht behoben wurde, wählen Sie „**Status auf **Gelöst** setzen“**.
1. Wiederholen Sie die Schritte 3 und 4 für alle verbleibenden manuellen OpsItems Problembehebungen.
## Beheben Sie Fehler bei Behebungen in Trusted Remediator
Wenden Sie sich an AMS, wenn Sie Unterstützung bei manuellen Problembehebungen und Mängelbehebungsfehlern benötigen.
Gehen Sie wie folgt vor, um den Status und die Ergebnisse der Problembehebung einzusehen:
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie **Operations Management**, **OpsCenter**.
1. (Optional) Filtern Sie die Liste nach **Quelle=Trusted Remediator**, um nur Trusted Remediator OpsItems in die Liste aufzunehmen.
1. Wählen Sie die aus OpsItem , die Sie überprüfen möchten.
1. Überprüfen Sie im Abschnitt **Automatisierungsausführungen** den **Namen und den Status des Dokuments** **sowie die Ergebnisse**.
1. Sehen Sie sich die folgenden häufigen Automatisierungsfehler an. Wenn Ihre Probleme hier nicht aufgeführt sind, wenden Sie sich an Ihren CSDM, um Unterstützung zu erhalten.
**Häufige Fehler bei der Problembehebung**
### Unter Automatisierungsausführungen sind keine Ausführungen aufgeführt
Keine Ausführungen im Zusammenhang mit dem deuten OpsItem möglicherweise darauf hin, dass die Ausführung aufgrund falscher Parameterwerte nicht gestartet werden konnte.
**Fehlerbehebungsschritte**
1. Überprüfen Sie in den **Betriebsdaten** den `trustedAdvisorCheckAutoRemediation` Eigenschaftswert.
1. Stellen Sie sicher, dass die Werte für **DocumentName**und **Parameter** korrekt sind. Die richtigen Werte finden Sie in [Konfigurieren Sie Trusted Advisor die Problembehebung in Trusted Remediator](tr-configure-remediations.md) den Einzelheiten zur Konfiguration der SSM-Parameter. Informationen zu den unterstützten Prüfungsparametern finden Sie unter [Trusted Advisor von Trusted Remediator unterstützte Prüfungen](tr-supported-checks.md)
1. Stellen Sie sicher, dass die Werte im SSM-Dokument den zulässigen Mustern entsprechen. Um die Parameterdetails im Dokumentinhalt anzuzeigen, wählen Sie den Dokumentnamen im Abschnitt **Runbooks** aus.
1. Nachdem Sie die Parameter überprüft und korrigiert haben, [führen Sie das SSM-Dokument erneut manuell aus](#tr-remediation).
1. Um zu verhindern, dass dieser Fehler erneut auftritt, stellen Sie sicher, dass Sie die Behebung mit den richtigen **Parameterwerten** in Ihrer Konfiguration konfigurieren. Weitere Informationen finden Sie unter [Konfigurieren Sie Trusted Advisor die Problembehebung in Trusted Remediator](tr-configure-remediations.md).
### Fehlgeschlagene Ausführungen bei Automatisierungsausführungen
Behebungsdokumente enthalten mehrere Schritte, die mit der AWS-Services Ausführung verschiedener Aktionen zusammenhängen. APIs Gehen Sie wie folgt vor, um eine bestimmte Ursache für den Fehler zu ermitteln:
**Fehlerbehebungsschritte**
1. Um die einzelnen Ausführungsschritte anzuzeigen, wählen Sie im Abschnitt **Automatisierungsausführungen** den Link **Ausführungs-ID** aus. Im Folgenden finden Sie ein Beispiel für die Systems Manager Manager-Konsole, in der die **Ausführungsschritte** für eine ausgewählte Automatisierung angezeigt werden:
![\[Ein Beispiel für die Systems Manager Manager-Konsole, die eine ausgewählte Automatisierung zeigt.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/tr-troubleshooting.png)
1. Wählen Sie den Schritt mit dem Status **Fehlgeschlagen** aus. Im Folgenden finden Sie Beispiele für Fehlermeldungen:
+ `NoSuchBucket - An error occurred (NoSuchBucket) when calling the GetPublicAccessBlock operation: The specified bucket does not exist`
Dieser Fehler weist darauf hin, dass in den vorkonfigurierten Parametern der Wartungskonfiguration der falsche Bucket-Name angegeben wurde.
Um diesen Fehler zu beheben, [führen Sie die Automatisierung manuell mit dem richtigen Bucket-Namen](#tr-remediation) aus. Um zu verhindern, dass dieses Problem erneut auftritt, [aktualisieren Sie die Wartungskonfiguration](tr-configure-remediations.md) mit dem richtigen Bucket-Namen.
+ `DB instance my-db-instance-1 is not in available status for modification.`
Dieser Fehler weist darauf hin, dass die Automatisierung die erwarteten Änderungen nicht vornehmen konnte, da sich die DB-Instance in einem ungültigen Zustand befand.
Um diesen Fehler zu beheben, [führen Sie die Automatisierung manuell aus](#tr-remediation).
# Behebungsprotokolle in Trusted Remediator
Trusted Remediator erstellt Protokolle im JSON-Format und lädt sie auf Amazon Simple Storage Service hoch. Die Protokolldateien werden in einen von AMS erstellten und benannten S3-Bucket hochgeladen. `ams-trusted-remediator-{your-account-id}-logs` AMS erstellt den S3-Bucket im Delegated Administrator-Konto. Sie können die Protokolldateien in Quick importieren, um benutzerdefinierte Behebungsberichte zu erstellen.
Weitere Informationen finden Sie unter [Trusted Remediator-Integration mit Quick](tr-qs-integration.md).
## Protokoll der Behebungselemente
Trusted Remediator erstellt das`Remediation item log`, wenn eine Behebung OpsItem erstellt wird. Dieses Protokoll enthält manuelle und automatisierte OpsItem Problembehebungen. OpsItem Sie können den verwenden`Remediation item log`, um den Überblick über alle Behebungen nachzuverfolgen.
**Speicherort des Korrekturelementprotokolls für Compute Optimizer Optimizer-Empfehlungen**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/compute_optimizer_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer check ID- Resource ID.json`
**Speicherort für das Protokoll des Behebungselements für Prüfungen Trusted Advisor **
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**Speicherort des Wiederherstellungselementprotokolls für Security Hub CSPM-Empfehlungen**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/security_hub_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Security Hub CSPM check ID- Resource ID.json`
**URL der Beispieldatei für das Behebungselement**
`s3:///ams-trusted-remediator-111122223333-logs/remediation_items/2023-02-06/1675660464-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Protokollformat für Compute Optimizer Remediation-Elemente**
```
{
"AccountID": "Account_ID",
"ComputeOptimizerCheckID": "Compute Optimizer check ID",
"ComputeOptimizerCheckName": "Compute Optimizer check name",
"ResourceID": "Resource ID",
"RemediationTime": Remediation creation time,
"ExecutionMode": "Automated or Manual",
"OpsItemID": "OpsItem ID"
}
```
**Trusted Advisor Protokollformat für das Behebungselement**
```
{
"TrustedAdvisorCheckID": Trusted Advisor check ID,
"TrustedAdvisorCheckName": Trusted Advisor check name,
"TrustedAdvisorCheckResultTime": 10 digits epoch time or unix timestamp,
"ResourceID": Resource ID,
"RemediationTime": Remediation creation time,
"ExecutionMode": Automated or Manual,
"OpsItemID": OpsItem ID
}
```
**Protokollformat für Security Hub CSPM Remediation-Elemente**
```
{
"AccountID": "Account_ID",
"SecurityHubCheckID": "Security Hub check ID",
"SecurityHubCheckName": "Security Hub check name",
"ResourceID": "Resource ID",
"RemediationTime": Remediation creation time,
"ExecutionMode": "Automated or Manual",
"OpsItemID": "OpsItem ID"
}
```
**Compute Optimizer Remediation-Artikelprotokollformat, Beispielinhalt**
```
{
"AccountID": "123456789012",
"ComputeOptimizerCheckID": "compute-optimizer-ebs",
"ComputeOptimizerCheckName": "EBS volumes",
"ResourceID": "vol-1235589366f77aca7",
"RemediationTime": 1755044783,
"ExecutionMode": "Manual",
"OpsItemID": "oi-b8888b38fe78"
}
```
**Trusted Advisor Protokollformat des Behebungselements, Beispielinhalt**
```
{
"TrustedAdvisorCheckID": "DAvU99Dc4C",
"TrustedAdvisorCheckName": "Underutilized Amazon EBS Volumes",
"TrustedAdvisorCheckResultTime": 1675614749,
"ResourceID": "vol-00bd8965660b4c16d",
"RemediationTime": 1675660464,
"OpsItemID": "oi-cca5df7af718"
}
```
**Security Hub CSPM Remediation-Elementprotokollformat, Beispielinhalt**
```
{
"AccountID": "012345678901",
"SecurityHubControlID": "security-hub-lambda-7",
"SecurityHubControlName": "Lambda functions should have AWS X-Ray active tracing enabled",
"SecurityHubControlResultTime": 1764580147,
"ResourceID": "test-lambda-7-xray-disabled",
"RemediationTime": 1764900171,
"ExecutionMode": "Manual",
"OpsItemID": "oi-ea12c3456d7f"
}
```
## Protokoll zur Ausführung automatisierter Problembehebungen, Compute Optimizer, Security Hub CSPM und Trusted Advisor
Trusted Remediator erstellt das`Automated remediation execution log`, wenn ein automatisierter SSM-Dokumentenlauf abgeschlossen ist. Dieses Protokoll enthält SSM-Ausführungsdetails nur für die automatisierte Problembehebung. OpsItem Sie können diese Protokolldatei verwenden, um automatisierte Problembehebungen nachzuverfolgen.
**Compute Optimizer — Speicherort des automatisierten Behebungsprotokolls**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer recommendation ID.json`
**Security Hub CSPM Automatischer Speicherort des Behebungsprotokolls**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Security Hub CSPM recommendation ID.json`
**Trusted Advisor Speicherort des automatisierten Behebungsprotokolls**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID-Resource ID.json`
**Compute Optimizer — Beispiel für den Speicherort eines automatisierten Behebungsprotokolls**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/1750908858-123456789012-compute-optimizer-ec2-i-1235173471d2cd789.json`
**Security Hub CSPM Beispiel für den Speicherort eines automatisierten Behebungsprotokolls**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/763247655-066028476520-security-hub-rds-8-miz-tr-sh-test-rds-instance-1.json`
**Trusted Advisor Beispiel für den Speicherort eines automatisierten Behebungsprotokolls**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2023-02-06/1675660573-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Format eines Beispielinhalts im Format eines automatisierten Behebungsprotokolls**
```
{
"OpsItemID": "oi-767c77e05301",
"SSMExecutionID": "93d091b2-778a-4cbc-b672-006954d76b86",
"SSMExecutionStatus": "Success"
}
```
## Protokoll der Mitgliedskonten
Trusted Remediator erstellt`Member accounts log`, wann Ihr Konto an- oder ausgegliedert wird. Sie können den verwenden`Member accounts log`, um die Konto-ID, den Onboarding-Status und die Ausführungszeit jedes Mitgliedskontos zu AWS-Regionen ermitteln.
**Speicherort der Protokollierung der Mitgliedskonten**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/configuration_logs/member_accounts.json`
**URL der Beispieldatei für das Protokoll der Mitgliedskonten**
`s3://ams-trusted-remediator-111122223333-logs/configuration_logs/member_accounts.json`
**Protokollformat für Mitgliedskonten**
```
{
"delegated_administrator_account_id": Delegated Administrator account id,
"appconfig_configuration_region": Trusted Remediator AppConfig Region,
"member_accounts": [
{
"account_id": Member account id
"account_partition": Member account partition (for example, aws),
"regions": [
{
"execution_time": Remediation execution time in cron schedule expression,
"execution_timezone": Timezone for the remediation execution time,
"region_name": AWS-Region name
}
...
]
}
...
],
"updated_at": Log update time,
}
```
**Beispielinhalt im Protokollformat für Mitgliedskonten**
```
{
"delegated_administrator_account_id": "111122223333",
"appconfig_configuration_region": "ap-southeast-2",
"member_accounts": [
{
"account_id": "222233334444",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 9 * * 6",
"execution_timezone": "Australia/Sydney",
"region_name": "ap-southeast-2"
},
{
"execution_time": "0 5 * * 7",
"execution_timezone": "UTC",
"region_name": "us-east-1"
}
]
},
{
"account_id": "333344445555",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 1 * * 5",
"execution_timezone": "Asia/Seoul",
"region_name": "ap-northeast-2"
}
]
}
],
"updated_at": "1730869607"
}
```
# Trusted Remediator-Integration mit Quick
Sie können die in Amazon S3 gespeicherten Trusted Remediator-Protokolle in Quick to build einen maßgeschneiderten Behebungsbericht integrieren. Eine schnelle Integration ist optional. Mit dieser Funktion können Sie die Protokolle verwenden, um benutzerdefinierte Berichts-Dashboards zu erstellen. Um auf Anfrage Berichte für Trusted Remediator zu erhalten, wenden Sie sich an Ihren CSDM. Weitere Informationen zu verfügbaren Trusted Remediator-Berichten finden Sie unter. [Trusted Remediator-Berichte](trusted-remediator-reports.md)
Weitere Informationen zur Visualisierung von Daten in Quick finden Sie unter Daten in Quick [visualisieren](https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html).
## Fügen Sie Quick for the Remediation-Elementprotokoll einen Datensatz hinzu
Gehen Sie wie folgt vor, um einen Datensatz zum Quick for the Remediation-Elementprotokoll hinzuzufügen:
1. Melden Sie sich bei der Quick Console an. Sie können den Schnellbericht in einem beliebigen Programm erstellen AWS-Region , das Quick unterstützt. Um die Leistung zu verbessern und die Kosten zu senken, empfiehlt es sich jedoch, den Bericht in der Region zu erstellen, in der sich der Trusted Remediator-Logging-Bucket befindet.
1. Wählen Sie **Datensätze**.
1. Wählen Sie **S3** aus.
1. Geben Sie in der **neuen S3-Datenquelle** die folgenden Werte ein:
+ **Name der Datenquelle:**` trusted-remediator-delegated_administrator_account_id-account_region-remediation-items`.
+ **Laden Sie eine Manifestdatei hoch:** Erstellen Sie eine JSON-Datei mit dem folgenden Inhalt und verwenden Sie sie. Wenn Sie die Datei erstellen, ersetzen Sie `logging_bucket_name` den URIPrefixes Schlüssel.
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_items/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ Wählen Sie **Connect** aus.
+ Wählen Sie im Fenster **Datensatzerstellung beenden** die Option **Visualisieren** aus.
+ Quick öffnet die neue Seite mit dem Analyseblatt. Sie sind jetzt bereit, mithilfe des Problemprotokolls zur Problembehebung eine neue Analyse zu erstellen.
Im Folgenden finden Sie eine Beispielanalyse:
![\[Ein Arbeitsblatt zur Beispielanalyse.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/tr-sample-analysis.png)
## Fügen Sie Quick einen Datensatz für das Protokoll zur Ausführung der automatisierten Problembehebung hinzu
1. Melden Sie sich bei der Quick Console an. Sie können den Schnellbericht in einem beliebigen Programm erstellen AWS-Region , das Quick unterstützt. Um die Leistung zu verbessern und die Kosten zu senken, empfiehlt es sich jedoch, den Bericht in der Region zu erstellen, in der sich der Trusted Remediator-Logging-Bucket befindet.
1. Wählen Sie **Datensätze**.
1. Wählen Sie **S3** aus.
1. Geben Sie in der **neuen S3-Datenquelle** die folgenden Werte ein:
+ **Name der Datenquelle:**`trusted-remediator-delegated_administrator_account_id-account_region-remediation-executions`.
+ **Laden Sie eine Manifestdatei hoch:** Erstellen Sie eine JSON-Datei mit dem folgenden Inhalt und verwenden Sie dann diese Datei. Wenn Sie die Datei erstellen, ersetzen Sie `logging_bucket_name` den URIPrefixes Schlüssel.
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_executions/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ Wählen Sie **Connect** aus.
+ Wählen Sie im Fenster **Datensatzerstellung beenden** die Option **Visualisieren** aus.
+ Quick öffnet die neue Seite mit dem Analyseblatt. Sie sind jetzt bereit, mithilfe des Problemprotokolls zur Problembehebung eine neue Analyse zu erstellen.
Im Folgenden finden Sie eine Beispielanalyse:
![\[Ein Arbeitsblatt zur Beispielanalyse.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/tr-sample-analysis2.png)
# Bewährte Methoden in Trusted Remediator
Im Folgenden finden Sie bewährte Methoden, die Ihnen bei der Verwendung von Trusted Remediator helfen sollen:
+ Wenn Sie sich über die Ergebnisse der Korrektur nicht sicher sind, beginnen Sie mit dem manuellen Ausführungsmodus. Manchmal kann die automatische Ausführung von Korrekturen von Anfang an zu unerwarteten Ergebnissen führen.
+ Führen Sie eine wöchentliche Überprüfung der Abhilfemaßnahmen durch OpsItems , um Einblicke in die Trusted Remediator-Ergebnisse zu erhalten.
+ Mitgliedskonten erben die Konfigurationen des delegierten Administratorkontos. Daher ist es wichtig, die Konten so zu strukturieren, dass Sie mehrere Konten mit denselben Konfigurationen verwalten können. Mithilfe von Tags können Sie Ressourcen von der Standardkonfiguration ausnehmen.
# Vertrauenswürdiger Remediator FAQs
Im Folgenden finden Sie häufig gestellte Fragen zu Trusted Remediator:
## Was ist Trusted Remediator und welche Vorteile habe ich davon?
Wenn Compute Optimizer Trusted Advisor oder Security Hub CSPM eine Nichtkonformität feststellt oder eine Empfehlung von Compute Optimizer oder Security Hub CSPM ausgibt, reagiert Trusted Remediator entsprechend Ihren Präferenzen, indem es entweder Abhilfemaßnahmen durchführt, die Genehmigung durch manuelle Korrekturen einholt oder die Abhilfemaßnahmen in Ihrem bevorstehenden Monthly Business Review (MBR) meldet. Die Behebung erfolgt zu Ihrem bevorzugten Zeitpunkt oder Zeitplan. Trusted Remediator bietet Ihnen die Möglichkeit, Prüfungen selbst zu verwalten und entsprechend zu reagieren. Sie haben die Flexibilität, Trusted Advisor Prüfungen einzeln oder in großen Mengen zu konfigurieren und zu korrigieren. Mit einer Bibliothek getesteter Dokumente zur Problembehebung erhöht AMS Ihre Konten ständig, indem es Sicherheitsüberprüfungen durchführt und bewährte Verfahren befolgt. AWS Sie werden nur benachrichtigt, wenn Sie dies in Ihrer Konfiguration angeben. AMS-Benutzer können sich ohne zusätzliche Kosten für Trusted Remediator anmelden.
## In welcher Beziehung steht Trusted Remediator zu anderen und wie funktioniert Trusted Remediator mit anderen zusammen? AWS-Services
Im Rahmen Ihres bestehenden Enterprise Support-Plans haben Sie Zugriff auf Trusted Advisor Prüfungen, Compute Optimizer Optimizer-Empfehlungen und Security Hub CSPM-Kontrollen. Trusted Remediator lässt sich in Trusted Advisor Compute Optimizer und Security Hub CSPM integrieren, um bestehende AMS-Automatisierungsfunktionen zu nutzen. Insbesondere verwendet AMS AWS Systems Manager Automatisierungsdokumente (Runbooks) für automatisierte Problembehebungen. AWS AppConfig wird verwendet, um die Behebungsworkflows zu konfigurieren. Sie können alle aktuellen und vergangenen Behebungen über den Systems Manager OpsCenter einsehen. Die Behebungsprotokolle werden in einem Amazon S3 S3-Bucket gespeichert. Sie können die Protokolle verwenden, um benutzerdefinierte Berichts-Dashboards in Quick zu importieren und zu erstellen.
## Wer konfiguriert die Abhilfemaßnahmen?
Sie besitzen die Konfigurationen in Ihrem Konto. Die Verwaltung Ihrer Konfigurationen liegt in Ihrer Verantwortung. Sie können sich an Ihre CA oder CDSM wenden, um Hilfe bei der Verwaltung Ihrer Konfigurationen zu erhalten. Sie können AMS auch über eine Serviceanfrage für Konfigurationsunterstützung, manuelle Korrekturen und die Behebung von Behebungsfehlern kontaktieren.
## Wie installiere ich Dokumente zur SSM-Automatisierung?
Dokumente zur SSM-Automatisierung werden automatisch an integrierte AMS-Konten weitergegeben.
## Werden AMS-eigene Ressourcen ebenfalls berichtigt?
AMS-eigene Ressourcen werden von Trusted Remediator nicht gekennzeichnet. Trusted Remediator konzentriert sich nur auf Ihre Ressourcen.
## In welcher AWS-Regionen Version ist Trusted Remediator verfügbar und wer kann ihn verwenden?
Trusted Remediator ist für AMS Accelerate-Kunden verfügbar. Eine aktuelle Liste der Support-Regionen finden Sie unter [AWS-Services Nach Regionen geordnet](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
## Wird Trusted Remediator zu einer Verlagerung von Ressourcen führen?
Da SSM-Automatisierungsdokumente Ressourcen direkt über die AWS API aktualisieren, kann es zu einer Verlagerung von Ressourcen kommen. Sie können Tags verwenden, um Ressourcen zu trennen, die mit Ihren vorhandenen Paketen erstellt wurden. CI/CD Sie können Trusted Remediator so konfigurieren, dass die markierten Ressourcen ignoriert werden, während Ihre anderen Ressourcen trotzdem repariert werden.
## Wie pausiere oder stoppe ich Trusted Remediator?
Sie können Trusted Remediator über die AWS AppConfig Anwendung ausschalten. Gehen Sie wie folgt vor, um Trusted Remediator anzuhalten oder zu beenden:
1. Öffnen Sie die AWS AppConfig Konsole unter [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
1. Wählen Sie Trusted Remediator aus.
1. Wählen Sie im Konfigurationsprofil **Einstellungen** aus.
1. Wählen Sie das Kennzeichen „**Trusted Remediator sperren**“ aus.
1. Setzen Sie den Wert des Attributs auf`suspended`. `true`
**Anmerkung**
Seien Sie vorsichtig, wenn Sie dieses Verfahren anwenden, da dadurch Trusted Remediator für alle Konten, die mit dem delegierten Administratorkonto verknüpft sind, beendet wird.
## Wie kann ich Prüfungen korrigieren, die von Trusted Remediator nicht unterstützt werden?
Sie können AMS weiterhin über Operations On Demand (OOD) kontaktieren, wenn Prüfungen nicht unterstützt werden. AMS unterstützt Sie bei der Behebung dieser Prüfungen. Weitere Informationen finden Sie unter [Operations On Demand](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html).
## Wie unterscheidet sich Trusted Remediator von AWS Config Remediation?
AWS Config Remediation ist eine weitere Lösung, mit der Sie Cloud-Ressourcen optimieren und die Einhaltung von Best Practices sicherstellen können. Im Folgenden sind einige der betrieblichen Unterschiede zwischen den beiden Lösungen aufgeführt:
+ Trusted Remediator verwendet Trusted Advisor Compute Optimizer und Security Hub CSPM als Erkennungsmechanismen. AWS Config Bei der Behebung werden AWS Config Regeln als Erkennungsmechanismus verwendet.
+ Bei Trusted Remediator erfolgt die Behebung nach Ihrem vordefinierten Behebungszeitplan. In AWS Config, die Behebung erfolgt in Echtzeit.
+ Die Parameter für jede Korrektur in Trusted Remediator lassen sich leicht an Ihren Anwendungsfall anpassen. Die Behebung kann automatisiert oder manuell vorgenommen werden, indem Tags zu Ressourcen hinzugefügt werden.
+ Trusted Remediator bietet Berichtsfunktionen.
+ Trusted Remediator sendet Ihnen eine E-Mail-Benachrichtigung mit der Liste der Abhilfemaßnahmen und dem Behebungsstatus.
Einige Trusted Advisor Prüfungen, Compute Optimizer- und Security Hub CSPM-Empfehlungen enthalten möglicherweise dieselbe Regel. AWS Config Es hat sich bewährt, nur eine Problembehebung zu aktivieren, wenn es eine passende AWS Config Regel und Prüfung gibt. Trusted Advisor Informationen zu den AWS Config Regeln für jede Trusted Advisor Prüfung finden Sie unter[Trusted Advisor von Trusted Remediator unterstützte Prüfungen](tr-supported-checks.md).
## Welche Ressourcen stellt Trusted Remediator für Ihre Konten bereit?
Trusted Remediator stellt die folgenden Ressourcen im delegierten Administratorkonto von Trusted Remediator bereit:
+ Ein Amazon S3 S3-Bucket mit dem Namen`ams-trusted-remediator-{your-account-id}-logs`. Trusted Remediator erstellt den `Remediation item log` im JSON-Format, wenn eine Problembehebung erstellt OpsItem wird, und lädt die Protokolldateien in diesen Bucket hoch.
+ Eine AWS AppConfig Anwendung zur Speicherung der Behebungskonfigurationen für unterstützte Trusted Advisor Prüfungen, Compute Optimizer- und Security Hub CSPM-Empfehlungen.
Trusted Remediator stellt keine Ressourcen im Trusted Remediator-Mitgliedskonto bereit.