Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Trusted Advisor von Trusted Remediator unterstützte Prüfungen
In der folgenden Tabelle sind die unterstützten Trusted Advisor Prüfungen, SSM-Automatisierungsdokumente, vorkonfigurierte Parameter und das erwartete Ergebnis der Automatisierungsdokumente aufgeführt. Überprüfen Sie das erwartete Ergebnis, um mögliche Risiken auf der Grundlage Ihrer Geschäftsanforderungen besser zu verstehen, bevor Sie ein Dokument zur SSM-Automatisierung zur Behebung von Prüfungen aktivieren.
Stellen Sie sicher, dass die entsprechende Konfigurationsregel für jede Trusted Advisor Prüfung für die unterstützten Prüfungen vorhanden ist, für die Sie die Problembehebung aktivieren möchten. Weitere Informationen finden Sie unter AWS Trusted Advisor Checks anzeigen, die von bereitgestellt werden AWS Config. Wenn eine Prüfung über entsprechende AWS Security Hub Steuerelemente verfügt, stellen Sie sicher, dass die Security Hub-Steuerung aktiviert ist. Weitere Informationen finden Sie unter Steuerelemente in Security Hub aktivieren. Informationen zur Verwaltung vorkonfigurierter Parameter finden Sie unter Konfiguration der Trusted Advisor Advisor-Prüfbehebung in Trusted Remediator.
Trusted Advisor Prüfungen zur Kostenoptimierung werden von Trusted Remediator unterstützt
| Überprüfen Sie die ID und den Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
|---|---|---|
|
Nicht zugeordnete elastische IP-Adressen |
AWSManagedServices-TrustedRemediatorReleaseElasticIP Gibt eine elastische IP-Adresse frei, die keiner Ressource zugeordnet ist. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
c18d2gz150 — Amazon-Instances wurden gestoppt EC2 |
AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime — EC2 Amazon-Instances, die für eine bestimmte Anzahl von Tagen gestoppt wurden, werden beendet. |
Keine Einschränkungen |
|
Amazon-ECR-Repository ohne konfigurierte Lebenszyklus-Richtlinie |
AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy Erstellt eine Lebenszyklusrichtlinie für das angegebene Repository, falls noch keine Lebenszyklusrichtlinie vorhanden ist. |
ImageAgeLimit: Die maximale Altersgrenze in Tagen (1—365) für „jedes“ Bild im Amazon ECR-Repository. Keine Einschränkungen |
|
Nicht ausgelastete Amazon EBS-Volumes |
AWSManagedServices-DeleteUnusedEBSVolume Löscht nicht ausgelastete Amazon EBS-Volumes, wenn die Volumes in den letzten 7 Tagen nicht angehängt wurden. Ein Amazon EBS-Snapshot wird standardmäßig erstellt. |
Keine Einschränkungen |
|
Load Balancer im Leerlauf |
AWSManagedServices-DeleteIdleClassicLoadBalancer Löscht einen Classic Load Balancer im Leerlauf, wenn er unbenutzt ist und keine Instances registriert sind. |
IdleLoadBalancerDays: Die Anzahl der Tage, an denen der Classic Load Balancer 0 angeforderte Verbindungen hat, bevor er als inaktiv eingestuft wird. Die Standardeinstellung ist sieben Tage. Wenn die auto Ausführung aktiviert ist, löscht die Automatisierung inaktive Classic Load Balancer, wenn keine aktiven Back-End-Instances vorhanden sind. Für alle Classic Load Balancer im Leerlauf, die über aktive Back-End-Instances, aber keine fehlerfreien Back-End-Instances verfügen, wird keine auto Korrektur verwendet und OpsItems für die manuelle Korrektur wird eine automatische Korrektur erstellt. |
|
Amazon RDS-DB-Instances im Leerlauf |
AWSManagedServices-StopIdleRDSInstance Die Amazon RDS-DB-Instance, die sich in den letzten sieben Tagen im Leerlauf befand, wurde gestoppt. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
AWS Lambda aufgrund der Speichergröße überdimensionierte Funktionen |
AWSManagedServices-ResizeLambdaMemory AWS Lambda Die Speichergröße der Funktion wird auf die empfohlene Speichergröße von angepasst. Trusted Advisor |
RecommendedMemorySize: Die empfohlene Speicherzuweisung für die Lambda-Funktion. Der Wertebereich liegt zwischen 128 und 10240. Wenn die Größe der Lambda-Funktion vor der Ausführung der Automatisierung geändert wurde, werden die Einstellungen möglicherweise von dieser Automatisierung mit dem von empfohlenen Wert überschrieben. Trusted Advisor |
|
EC2 Amazon-Instances mit geringer Auslastung |
AWSManagedServices-StopEC2Instance (Standard-SSM-Dokument für den auto und manuellen Ausführungsmodus.) EC2 Amazon-Instances mit geringer Auslastung werden gestoppt. |
ForceStopWithInstanceStore: Auf setzen, Keine Einschränkungen |
|
EC2 Amazon-Instances mit geringer Auslastung |
AWSManagedServices-ResizeInstanceByOneLevel Die Größe der EC2 Amazon-Instance wird innerhalb desselben Instance-Familientyps um einen Instance-Typ nach unten geändert. Die Instance wird während der Größenänderung gestoppt und gestartet und nach Abschluss der Ausführung des SSM-Dokuments wieder in den Ausgangszustand versetzt. Diese Automatisierung unterstützt keine Größenänderung von Instances, die sich in einer Auto Scaling Scaling-Gruppe befinden. |
Keine Einschränkungen |
|
EC2 Amazon-Instances mit geringer Auslastung |
AWSManagedServices-TerminateInstance EC2 Amazon-Instances mit geringer Auslastung werden beendet, wenn sie nicht Teil einer Auto Scaling Scaling-Gruppe sind und der Kündigungsschutz nicht aktiviert ist. Ein AMI wird standardmäßig erstellt. |
AMIBeforeKündigung erstellen: Setzen Sie diese Option auf Keine Einschränkungen |
|
Nicht ausgelastete Amazon Redshift-Cluster |
AWSManagedServices-PauseRedshiftCluster Der Amazon Redshift Redshift-Cluster ist angehalten. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Konfiguration zum Abbruch unvollständiger mehrteiliger Uploads in Amazon S3 |
AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload Der Amazon S3 S3-Bucket ist mit einer Lebenszyklusregel konfiguriert, um mehrteilige Uploads abzubrechen, die nach bestimmten Tagen unvollständig bleiben. |
DaysAfterInitiation: Die Anzahl der Tage, nach denen Amazon S3 einen unvollständigen mehrteiligen Upload stoppt. Die Standardeinstellung ist auf 7 Tage festgelegt. Keine Einschränkungen |
|
Amazon-Empfehlungen zur EC2 Kostenoptimierung für Instances |
Verwenden Sie EC2 Amazon-Instance-Empfehlungen und Idle EC2 Amazon-Instance vonCompute Optimizer Optimizer-Empfehlungen, die von Trusted Remediator unterstützt werden. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Amazon EBS-Empfehlungen zur Kostenoptimierung für Volumen |
Verwenden Sie Amazon EBS-Volumenempfehlungen und Amazon EBS-Volume im Leerlauf von. Compute Optimizer Optimizer-Empfehlungen, die von Trusted Remediator unterstützt werden | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Empfehlungen zur Amazon RDS-Kostenoptimierung für DB-Instances |
Verwenden Sie die Amazon RDS-Instance im Leerlauf vonCompute Optimizer Optimizer-Empfehlungen, die von Trusted Remediator unterstützt werden. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
AWS Lambda Empfehlungen zur Kostenoptimierung für Funktionen |
Verwenden Sie Lambda-Funktionsempfehlungen vonCompute Optimizer Optimizer-Empfehlungen, die von Trusted Remediator unterstützt werden. | Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Trusted Advisor Sicherheitsüberprüfungen, die von Trusted Remediator unterstützt werden
| Überprüfen Sie die ID und den Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
|---|---|---|
|
Exposed Access Keys |
AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey Der offengelegte IAM-Zugriffsschlüssel ist deaktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Anwendungen, die mit einem offengelegten IAM-Zugriffsschlüssel konfiguriert sind, können sich nicht authentifizieren. |
|
Hs4Ma3G127 - API-Gateway-REST- und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein AWS Security Hub APIGatewayEntsprechender Check: 1. |
AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging Die Ausführungsprotokollierung ist auf der API-Phase aktiviert. |
LogLevel: Protokollierungsebene zur Aktivierung der Ausführungsprotokollierung, Sie müssen API Gateway die Berechtigung zum Lesen und Schreiben von Protokollen CloudWatch für Ihr Konto erteilen, um das Ausführungsprotokoll zu aktivieren. Weitere Informationen finden Sie unter CloudWatch Protokollierung für REST APIs in API Gateway einrichten. |
Hs4Ma3G129 — API Gateway REST-API-Stufen sollten die Ablaufverfolgung aktiviert haben AWS X-Ray AWS Security Hub APIGatewayEntsprechender Check: 3. |
AWSManagedServices-EnableApiGateWayXRayTracing X-Ray-Tracing ist auf der API-Phase aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G202 - API-Gateway-REST-API-Cache-Daten sollten im Ruhezustand verschlüsselt werden AWS Security Hub Entsprechender APIGatewayScheck: 5. |
AWSManagedServices-EnableAPIGatewayCacheEncryption Aktivieren Sie die Verschlüsselung im Ruhezustand für API-Gateway-REST-API-Cachedaten, wenn in der API-Gateway-REST-API-Stufe der Cache aktiviert ist. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G177 - |
AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck Elastic Load Balancing Health Checks sind für die Auto Scaling Group aktiviert. |
HealthCheckGracePeriod: Die Zeit in Sekunden, die Auto Scaling wartet, bevor der Integritätsstatus einer Amazon Elastic Compute Cloud-Instance überprüft wird, die in Betrieb genommen wurde. Die Aktivierung von Elastic Load Balancing Health Checks kann dazu führen, dass eine laufende Instance ersetzt wird, wenn einer der Elastic Load Balancing Load Balancer, die der Auto Scaling Scaling-Gruppe zugeordnet sind, sie als fehlerhaft meldet. Weitere Informationen finden Sie unter Einen Elastic Load Balancing Load Balancer zu Ihrer Auto Scaling Scaling-Gruppe hinzufügen |
Hs4Ma3G245 — AWS CloudFormation Stacks sollten in Amazon Simple Notification Service integriert werden AWS Security Hub Entsprechender CloudFormationScheck: 1. |
AWSManagedServices-EnableCFNStackNotification Ordnen Sie einen CloudFormation Stack einem Amazon SNS SNS-Thema für die Benachrichtigung zu. |
BenachrichtigungARNs: Die ARNs Amazon SNS SNS-Themen, die mit ausgewählten CloudFormation Stacks verknüpft werden sollen. Um die auto Korrektur zu aktivieren, muss der |
Hs4Ma3G210 — Bei Distributionen sollte die Protokollierung aktiviert sein CloudFront Entsprechender AWS Security Hub Scheck CloudFront: 2. |
AWSManagedServices-EnableCloudFrontDistributionLogging Die Protokollierung ist für CloudFront Amazon-Distributionen aktiviert. |
Um die auto Korrektur zu aktivieren, müssen die folgenden vorkonfigurierten Parameter angegeben werden:
Informationen zu diesen Behebungsbeschränkungen finden Sie unter Wie aktiviere ich die Protokollierung für |
Hs4Ma3G109 — CloudTrail Die Überprüfung der Protokolldatei sollte aktiviert sein AWS Security Hub Entsprechender CloudTrailCheck: 4. |
AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation Aktiviert die Überprüfung des CloudTrail Trail-Logs. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G108 — CloudTrail Trails sollten in Amazon Logs integriert werden CloudWatch Entsprechender AWS Security Hub CloudTrailScheck: 5. |
AWSManagedServices-IntegrateCloudTrailWithCloudWatch AWS CloudTrail ist in CloudWatch Logs integriert. |
Um die auto Korrektur zu aktivieren, müssen die folgenden vorkonfigurierten Parameter angegeben werden:
|
Hs4Ma3G217 — CodeBuild Projektumgebungen sollten über eine Protokollierungskonfiguration verfügen AWS Entsprechender AWS Security Hub CodeBuildScheck: 4. |
AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig Aktiviert die Protokollierung für das CodeBuild Projekt. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G306 - Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein Entsprechender AWS Security Hub Check: DocumentDB.3 |
AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot Entfernt den öffentlichen Zugriff aus dem manuellen Cluster-Snapshot von Amazon DocumentDB. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G308 — Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein Entsprechender AWS Security Hub Check: DocumentDB.5 |
AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection Aktiviert den Löschschutz für den Amazon DocumentDB-Cluster. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G323 - Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein Entsprechender AWS Security Hub Check: DynamoDB.6 |
AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection Aktiviert den Löschschutz für DynamoDB-Tabellen, die nicht von AMS stammen. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
EPS02JT06W — Öffentliche Amazon EBS-Snapshots |
AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot Der öffentliche Zugriff für Amazon EBS Snapshot ist deaktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G118 - VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Verkehr zulassen AWS Security Hub Entsprechender EC2Scheck: 2. |
AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG Alle Eingangs- und Ausgangsregeln in der Standardsicherheitsgruppe werden entfernt. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G117 — Angehängte EBS-Volumes sollten im Ruhezustand verschlüsselt werden AWS Security Hub Entsprechender EC2Check: 3. |
AWSManagedServices-EncryptInstanceVolume Das angehängte Amazon EBS-Volume auf der Instance ist verschlüsselt. |
Die Instanz wird im Rahmen der Problembehebung neu gestartet und ein Rollback ist möglich, wenn diese Einstellung auf „Hilft bei der Wiederherstellung“ gesetzt |
Hs4Ma3G120 — Gestoppte EC2 Instanzen sollten nach einem bestimmten Zeitraum entfernt werden AWS Security Hub Entsprechender EC2Scheck: 4. |
AWSManagedServices-TerminateInstance(Standard-SSM-Dokument für den auto und manuellen Ausführungsmodus) EC2 Amazon-Instances, die für 30 Tage gestoppt wurden, werden beendet. |
AMIBeforeKündigung erstellen:. Um das Instance-AMI vor dem Beenden der EC2 Instance als Backup zu erstellen, wählen Sie Keine Einschränkungen |
Hs4Ma3G120 — Gestoppte EC2 Instanzen sollten nach einem bestimmten Zeitraum entfernt werden AWS Security Hub Entsprechender EC2Scheck: 4. |
AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime — EC2 Amazon-Instances, die für die im Security Hub definierte Anzahl von Tagen gestoppt wurden (Standardwert ist 30), werden beendet. |
AMIBeforeKündigung erstellen: Um das Instance-AMI vor dem Beenden der EC2 Instance als Backup zu erstellen, wählen Sie Keine Einschränkungen |
Hs4Ma3G121 — Die EBS-Standardverschlüsselung sollte aktiviert sein Entsprechender AWS Security Hub EC2Scheck: 7. |
AWSManagedServices-EncryptEBSByDefault Die Amazon EBS-Verschlüsselung ist standardmäßig aktiviert für AWS-Region |
Vorkonfigurierte Parameter sind nicht zulässig. Die standardmäßige Verschlüsselung ist eine regionsspezifische Einstellung. Wenn Sie es für eine Region aktivieren, können Sie es nicht für einzelne Volumes oder Snapshots in dieser Region deaktivieren. |
|
Hs4Ma3G124 — EC2 Amazon-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2 AWS Security Hub Entsprechender EC2Scheck: 8. |
AWSManagedServices-TrustedRemediatorInstanz aktivieren EC2 IMDSv2 EC2 Amazon-Instances verwenden Instance Metadata Service Version 2 (IMDSv2). |
Keine Einschränkungen |
Hs4Ma3G207 — EC2 Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen AWS Security Hub Entsprechender EC2Scheck: 1.5 |
AWSManagedServices-UpdateAutoAssignPublicIpv4 Adressen VPC-Subnetze sind so konfiguriert, dass öffentliche IP-Adressen nicht automatisch zugewiesen werden. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G209 — Nicht verwendete Network Access Control Lists wurden entfernt Entsprechender AWS Security Hub EC2Scheck: 1.6 |
AWSManagedServices-DeleteUnusedNACL Löschen Sie ungenutzte Netzwerk-ACL |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G215 - Unbenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden Entsprechender AWS Security Hub EC2Scheck: 2.2 |
AWSManagedServices-DeleteSecurityGroups Löschen Sie nicht verwendete Sicherheitsgruppen. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G247 — Amazon EC2 Transit Gateway sollte VPC-Anhangsanfragen nicht automatisch akzeptieren AWS Security Hub Entsprechender EC2Scheck: 2.3 |
AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach- Deaktiviert die automatische Annahme von VPC-Anhangsanforderungen für das angegebene Amazon EC2 Transit Gateway, das nicht von AMS stammt. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G235 — Für private ECR-Repositorien sollte die Tag-Unveränderlichkeit konfiguriert sein Entsprechender AWS Security Hub Check: ECR.2 |
AWSManagedServices-TrustedRemediatorSetImageTagImmutability Setzt die Mutabilitätseinstellungen für das Image-Tag für das angegebene Repository auf IMMUTABLE. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G216 — Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein Entsprechender AWS Security Hub Scheck: ECR.3 |
AWSManagedServices-PutECRRepositoryLifecyclePolicy Für das ECR-Repository ist eine Lebenszyklusrichtlinie konfiguriert. |
LifecyclePolicyText: Der Richtlinientext für das JSON-Repository, der auf das Repository angewendet werden soll. Um die auto Korrektur zu aktivieren, müssen die folgenden vorkonfigurierten Parameter angegeben werden: LifecyclePolicyText |
Hs4Ma3G325 — Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein Entsprechender AWS Security Hub Scheck: EKS.8 |
AWSManagedServices-TrustedRemediatorEnableEKSAuditLog Das Auditprotokoll ist für den EKS-Cluster aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G183 — Der Application Load Balancer sollte so konfiguriert sein, dass er HTTP-Header löscht AWS Security Hub Entsprechender Check: ELB.4 |
AWSConfigRemediation-DropInvalidHeadersForALB Application Load Balancer ist für ungültige Header-Felder konfiguriert. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G184 — Die Protokollierung von Application Load Balancers und Classic Load Balancers sollte aktiviert sein AWS Security Hub Entsprechender Check: ELB.5 |
AWSManagedServices-EnableELBLogging (Standard-SSM-Dokument für den auto und manuellen Ausführungsmodus) Die Protokollierung von Application Load Balancer und Classic Load Balancer ist aktiviert. |
Um die auto Korrektur zu aktivieren, müssen die folgenden vorkonfigurierten Parameter angegeben werden:
Der Amazon S3 S3-Bucket muss über eine Bucket-Richtlinie verfügen, die Elastic Load Balancing die Erlaubnis erteilt, die Zugriffsprotokolle in den Bucket zu schreiben. |
Hs4Ma3G184 — Die Protokollierung von Application Load Balancers und Classic Load Balancers sollte aktiviert sein AWS Security Hub Entsprechender Check: ELB.5 |
AWSManagedServices-EnableELBLoggingV2 Die Protokollierung von Application Load Balancer und Classic Load Balancer ist aktiviert. |
|
Hs4Ma3G326 — Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein Entsprechender AWS Security Hub Scheck: EMR.2 |
AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess Die Amazon EMR-Einstellungen für den öffentlichen Zugriff sperren sind für das Konto aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G135 - AWS KMS Schlüssel sollten nicht ungewollt gelöscht werden Entsprechender AWS Security Hub Scheck: KMS.3 |
AWSManagedServices-CancelKeyDeletion AWS KMS Das Löschen des Schlüssels wurde abgebrochen. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G299 — Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein Entsprechender AWS Security Hub Scheck: Neptune.4 |
AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection Aktiviert den Löschschutz für den Amazon Neptune Neptune-Cluster. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G319 — Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein AWS Security Hub Entsprechender NetworkFirewallScheck: 9. |
AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection- Aktiviert den Löschschutz für die AWS-Netzwerk-Firewall. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G223 — OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden Entsprechender AWS Security Hub OpenSearchScheck: 3. |
AWSManagedServices-EnableOpenSearchNodeToNodeEncryption Die Node-zu-Knoten-Verschlüsselung ist für die Domain aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Nachdem die node-to-node Verschlüsselung aktiviert wurde, können Sie die Einstellung nicht deaktivieren. Erstellen Sie stattdessen einen manuellen Snapshot der verschlüsselten Domain, erstellen Sie eine weitere Domain, migrieren Sie Ihre Daten und löschen Sie dann die alte Domain. |
Hs4Ma3G222 — OpenSearch Die Protokollierung von Domänenfehlern in Logs sollte aktiviert sein CloudWatch Entsprechender AWS Security Hub Check: Opensearch.4 |
AWSManagedServices-EnableOpenSearchLogging Die Fehlerprotokollierung ist für die Domain aktiviert. OpenSearch |
CloudWatchLogGroupArn: Der ARN einer Amazon CloudWatch Logs-Protokollgruppe. Um die auto Korrektur zu aktivieren, muss der folgende vorkonfigurierte Parameter angegeben werden:. CloudWatchLogGroupArn Die CloudWatch Amazon-Ressourcenrichtlinie muss mit Berechtigungen konfiguriert werden. Weitere Informationen finden Sie unter Aktivieren von Audit-Logs im Amazon OpenSearch Service-Benutzerhandbuch |
Hs4Ma3G221 — Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein Entsprechender Check AWS Security Hub : Opensearch.5 |
AWSManagedServices-EnableOpenSearchLogging OpenSearch Domains sind mit aktivierter Audit-Protokollierung konfiguriert. |
CloudWatchLogGroupArn: Der ARN der CloudWatch Logs-Gruppe, in der Logs veröffentlicht werden sollen. Um die auto Korrektur zu aktivieren, muss der folgende vorkonfigurierte Parameter angegeben werden: CloudWatchLogGroupArn Die CloudWatch Amazon-Ressourcenrichtlinie muss mit Berechtigungen konfiguriert werden. Weitere Informationen finden Sie unter Aktivieren von Audit-Logs im Amazon OpenSearch Service-Benutzerhandbuch |
Hs4Ma3G220 — Verbindungen zu OpenSearch Domains sollten mit TLS 1.2 verschlüsselt werden |
AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2 Die TLS-Richtlinie ist auf `policy-min-TLS-1-2-2019-07` gesetzt und nur verschlüsselte Verbindungen über HTTPS (TLS) sind erlaubt. |
Vorkonfigurierte Parameter sind nicht erlaubt. Für die Verwendung von TLS 1.2 sind Verbindungen zu OpenSearch Domänen erforderlich. Das Verschlüsseln von Daten während der Übertragung kann die Leistung beeinträchtigen. Testen Sie Ihre Anwendungen mit dieser Funktion, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen. |
Hs4Ma3G194 — Amazon RDS-Snapshot sollte privat sein Entsprechender AWS Security Hub Scheck: RDS.1 |
AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2 Der öffentliche Zugriff für Amazon RDS-Snapshot ist deaktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G192 — RDS-DB-Instances sollten den öffentlichen Zugriff verbieten, wie in der Konfiguration festgelegt PubliclyAccessible AWS AWS Security Hub Entsprechender Check: RDS.2 |
AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance Deaktivieren Sie den öffentlichen Zugriff auf die RDS-DB-Instance. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G189 — Die erweiterte Überwachung ist für Amazon RDS-DB-Instances konfiguriert Entsprechender AWS Security Hub Scheck: RDS.6 |
AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring Aktivieren Sie die erweiterte Überwachung für Amazon RDS-DB-Instances |
Wenn die erweiterte Überwachung vor der Ausführung der Automatisierung aktiviert ist, werden die Einstellungen möglicherweise durch diese Automatisierung mit den in den vorkonfigurierten Parametern konfigurierten MonitoringRoleName Werten MonitoringInterval und überschrieben. |
Hs4Ma3G190 — Bei Amazon RDS-Clustern sollte der Löschschutz aktiviert sein Entsprechender AWS Security Hub Scheck: RDS.7 |
AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection Der Löschschutz ist für Amazon RDS-Cluster aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G198 — Für Amazon RDS-DB-Instances sollte der Löschschutz aktiviert sein Entsprechender AWS Security Hub Scheck: RDS.8 |
AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection Der Löschschutz ist für Amazon RDS-Instances aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G199 — RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch Entsprechender AWS Security Hub Scheck: RDS.9 |
AWSManagedServices-TrustedRemediatorEnableRDSLogExports RDS-Protokollexporte sind für die RDS-DB-Instance oder den RDS-DB-Cluster aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. AWSServiceRoleForRDS für die dienstverknüpfte Rolle ist erforderlich. |
Hs4Ma3G160 — Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden Entsprechender AWS Security Hub Scheck: RDS.10 |
AWSManagedServices-UpdateRDSIAMDatabaseAuthentication AWS Identity and Access Management Die Authentifizierung ist für die RDS-Instanz aktiviert. |
ApplyImmediately: Gibt an, ob die Änderungen in dieser Anfrage und alle ausstehenden Änderungen so schnell wie möglich asynchron angewendet werden. Um die Änderung sofort anzuwenden, wählen Sie Keine Einschränkungen |
Hs4Ma3G161 — Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden Entsprechender AWS Security Hub Scheck: RDS.12 |
AWSManagedServices-UpdateRDSIAMDatabaseAuthentication Die IAM-Authentifizierung ist für den RDS-Cluster aktiviert. |
ApplyImmediately: Gibt an, ob die Änderungen in dieser Anfrage und alle ausstehenden Änderungen so schnell wie möglich asynchron angewendet werden. Um die Änderung sofort anzuwenden, wählen Sie. Keine Einschränkungen |
Hs4Ma3G162 — Automatische RDS-Upgrades für kleinere Versionen sollten aktiviert sein Entsprechender AWS Security Hub Scheck: RDS.13 |
AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade Die automatische Upgrade-Konfiguration für Nebenversionen für Amazon RDS ist aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Die Amazon RDS-Instance muss sich im |
Hs4Ma3G163 — RDS-DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren Entsprechender AWS Security Hub Scheck: RDS.16 |
AWSManagedServices-UpdateRDSCopyTagsToSnapshots
|
Vorkonfigurierte Parameter sind nicht zulässig. Amazon RDS-Instances müssen sich im Status „Verfügbar“ befinden, damit diese Korrektur durchgeführt werden kann. |
Hs4Ma3G164 — RDS-DB-Instances sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren Entsprechender AWS Security Hub Scheck: RDS.17 |
AWSManagedServices-UpdateRDSCopyTagsToSnapshots
|
Vorkonfigurierte Parameter sind nicht zulässig. Amazon RDS-Instances müssen sich im Status „Verfügbar“ befinden, damit diese Korrektur durchgeführt werden kann. |
|
Öffentliche Amazon RDS-Snapshots |
AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2 Der öffentliche Zugriff für Amazon RDS-Snapshot ist deaktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G103 — Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten Entsprechender AWS Security Hub Scheck: Redshift.1 |
AWSManagedServices-DisablePublicAccessOnRedshiftCluster Der öffentliche Zugriff auf den Amazon Redshift Redshift-Cluster ist deaktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Durch die Deaktivierung des öffentlichen Zugriffs werden alle Clients blockiert, die aus dem Internet kommen. Und der Amazon Redshift Redshift-Cluster befindet sich für einige Minuten im Änderungsstatus, während die Behebung den öffentlichen Zugriff auf den Cluster deaktiviert. |
Hs4Ma3G106 — Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein Entsprechender AWS Security Hub Check: Redshift.4 |
AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging Die Audit-Protokollierung ist für Ihren Amazon Redshift Redshift-Cluster während des Wartungsfensters aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Um die auto Korrektur zu aktivieren, müssen die folgenden vorkonfigurierten Parameter bereitgestellt werden. BucketName: Der Bucket muss sich im selben Bucket befinden. AWS-Region Der Cluster muss über die Berechtigungen „Read Bucket“ und „Put Object“ verfügen. Wenn die Redshift-Clusterprotokollierung vor der Ausführung der Automatisierung aktiviert ist, werden die Protokollierungseinstellungen möglicherweise durch diese Automatisierung mit den in den vorkonfigurierten Parametern konfigurierten |
Hs4Ma3G105 — Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein Entsprechender AWS Security Hub Check: Redshift.6 |
AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade- Upgrades der Hauptversionen werden während des Wartungsfensters automatisch auf den Cluster angewendet. Es gibt keine unmittelbare Ausfallzeit für den Amazon Redshift Redshift-Cluster, aber Ihr Amazon Redshift Redshift-Cluster kann während seines Wartungsfensters Ausfallzeiten haben, wenn er auf eine Hauptversion aktualisiert wird. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G104 — Amazon Redshift Redshift-Cluster sollten erweitertes VPC-Routing verwenden Entsprechender AWS Security Hub Check: Redshift.7 |
AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting Verbessertes VPC-Routing ist für Amazon Redshift Redshift-Cluster aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G173 — Die Einstellung S3 Block Public Access sollte auf Bucket-Ebene aktiviert sein AWS Security Hub Entsprechender Check: S3.8 |
AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess Öffentliche Zugriffssperren auf Bucket-Ebene werden für den Amazon S3 S3-Bucket angewendet. |
Vorkonfigurierte Parameter sind nicht zulässig. Diese Korrektur kann sich auf die Verfügbarkeit von S3-Objekten auswirken. Informationen darüber, wie Amazon S3 den Zugriff bewertet, finden Sie unter Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher. |
Hs4Ma3G230 — Die Protokollierung des S3-Bucket-Servers sollte aktiviert sein AWS Security Hub Entsprechender Check: S3.9 |
AWSManagedServices-EnableBucketAccessLogging(Standard-SSM-Dokument für den auto und manuellen Ausführungsmodus) Die Protokollierung Amazon S3 S3-Serverzugriffs ist aktiviert. |
Um die auto Korrektur zu aktivieren, muss der folgende vorkonfigurierte Parameter angegeben werden:. TargetBucket Der Ziel-Bucket muss sich im selben AWS-Region und AWS-Konto wie der Quell-Bucket befinden und über die richtigen Berechtigungen für die Protokollzustellung verfügen. Weitere Informationen finden Sie unter Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung. |
Hs4Ma3G230 — Die Protokollierung des S3-Bucket-Servers sollte aktiviert sein AWS Security Hub Entsprechender Check: S3.9 |
AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 — Die Amazon S3 S3-Bucket-Protokollierung ist aktiviert. |
Um die auto Korrektur zu aktivieren, müssen die folgenden Parameter angegeben werden: TargetBucketTagKeyund TargetBucketTagValue. Der Ziel-Bucket muss sich im selben AWS-Region und AWS-Konto wie der Quell-Bucket befinden und über die richtigen Berechtigungen für die Protokollzustellung verfügen. Weitere Informationen finden Sie unter Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung. |
|
Amazon S3 Bucket-Berechtigungen |
AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess Blockieren des öffentlichen Zugriffs |
Es sind keine vorkonfigurierten Parameter zulässig. Diese Prüfung besteht aus mehreren Warnkriterien. Diese Automatisierung behebt Probleme mit dem öffentlichen Zugriff. Die Behebung anderer Konfigurationsprobleme, die mit gekennzeichnet sind, wird Trusted Advisor nicht unterstützt. Diese Korrektur unterstützt die Wiederherstellung von AWS-Service erstellten S3-Buckets (z. B. cf-templates-000000000000). |
Hs4Ma3G272 — Benutzer sollten keinen Root-Zugriff auf Notebook-Instanzen haben SageMaker AWS Security Hub Entsprechender SageMakerScheck: 3. |
AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess Der Root-Zugriff für Benutzer ist für die SageMaker Notebook-Instanz deaktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Diese Korrektur führt zu einem Ausfall, wenn sich die SageMaker Notebook-Instanz im Status befindet. InService |
Hs4Ma3G179 — SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS Entsprechender AWS Security Hub Scheck: SNS.1 |
AWSManagedServices-EnableSNSEncryptionAtRest Das SNS-Thema ist mit serverseitiger Verschlüsselung konfiguriert. |
KmsKeyId: Die ID eines AWS verwalteten Kundenhauptschlüssels (CMK) für Amazon SNS oder eines benutzerdefinierten CMK, der für die serverseitige Verschlüsselung (SSE) verwendet werden soll. Die Standardeinstellung ist auf eingestellt. Wenn ein benutzerdefinierter AWS KMS Schlüssel verwendet wird, muss er mit den richtigen Berechtigungen konfiguriert werden. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung (SSE) für ein Amazon SNS SNS-Thema aktivieren |
Hs4Ma3G158 — SSM-Dokumente sollten nicht öffentlich sein Entsprechender AWS Security Hub Scheck: SSM.4 |
AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing- Deaktiviert das öffentliche Teilen von SSM-Dokumenten. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Hs4Ma3G136 — Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden Entsprechender AWS Security Hub Scheck: SQS.1 |
AWSManagedServices-EnableSQSEncryptionAtRest Nachrichten in Amazon SQS sind verschlüsselt. |
Anonym SendMessage und ReceiveMessage Anfragen an die verschlüsselte Warteschlange werden abgelehnt. Alle Anfragen zu Warteschlangen mit aktiviertem SSE müssen HTTPS und Signature Version 4 verwenden. |
Trusted Advisor von Trusted Remediator unterstützte Fehlertoleranzprüfungen
| Überprüfen Sie die ID und den Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
|---|---|---|
|
Amazon DynamoDB DynamoDB-Wiederherstellung Point-in-time |
AWSManagedServices-TrustedRemediatorEnableDDBPITR Aktiviert die point-in-time Wiederherstellung für DynamoDB-Tabellen. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Amazon S3 Bucket-Versioning |
AWSManagedServices-TrustedRemediatorEnableBucketVersioning Die Amazon S3 S3-Bucket-Versionierung ist aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Diese Korrektur unterstützt nicht die Standardisierung AWS-Service erstellter S3-Buckets (zum Beispiel cf-templates-000000000000). |
|
Amazon S3 Bucket-Protokollierung |
AWSManagedServices-EnableBucketAccessLogging Die Amazon S3 S3-Bucket-Protokollierung ist aktiviert. |
Um die auto Korrektur zu aktivieren, müssen die folgenden vorkonfigurierten Parameter angegeben werden:
Der Ziel-Bucket muss sich im selben AWS-Region und AWS-Konto wie der Quell-Bucket befinden und über die richtigen Berechtigungen für die Protokollzustellung verfügen. Weitere Informationen finden Sie unter Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung. |
|
Amazon RDS Multi-AZ |
AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ Die Bereitstellung in mehreren Verfügbarkeitszonen ist aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Während dieser Änderung kann es zu Leistungseinbußen kommen. |
|
Amazon-EBS-Snapshots |
AWSManagedServices-TrustedRemediatorCreateEBSSnapshot Amazon EBSsnapshots wurden gegründet. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
RDS-Backups |
AWSManagedServices-EnableRDSBackupRetention Die Aufbewahrung von Amazon RDS-Backups ist für die Datenbank aktiviert. |
Wenn der |
|
Bei Amazon RDS-DB-Instances ist die automatische Speicherskalierung deaktiviert |
AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling- Die automatische Speicherskalierung ist für die Amazon RDS-DB-Instance aktiviert. |
Keine Einschränkungen |
|
Classic Load Balancer Balancer-Verbindungsabbau |
AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining Das Entleeren von Verbindungen ist für Classic Load Balancer aktiviert. |
ConnectionDrainingTimeout: Die maximale Zeit in Sekunden, um die bestehenden Verbindungen offen zu halten, bevor die Instances deregistriert werden. Die Standardeinstellung ist auf Sekunden festgelegt. Keine Einschränkungen |
|
Amazon EBS nicht im AWS Backup Plan enthalten |
AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan Amazon EBS ist im AWS Backup Plan enthalten. |
Bei der Problembehebung wird das Amazon EBS-Volume mit dem folgenden Tag-Paar versehen. Das Tag-Paar muss den tagbasierten Ressourcenauswahlkriterien für entsprechen. AWS Backup
Keine Einschränkungen |
|
Amazon DynamoDB-Tabelle nicht im Plan enthalten AWS Backup |
AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlan Amazon DynamoDB Table ist im AWS Backup Plan enthalten. |
Remediation kennzeichnet Amazon DynamoDB mit dem folgenden Tag-Paar. Das Tag-Paar muss den tagbasierten Ressourcenauswahlkriterien für entsprechen. AWS Backup
Keine Einschränkungen |
|
Amazon EFS nicht im AWS Backup Plan enthalten |
AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan Amazon EFS ist im AWS Backup Plan enthalten. |
Bei der Problembehebung wird Amazon EFS mit dem folgenden Tag-Paar versehen. Das Tag-Paar muss den tagbasierten Ressourcenauswahlkriterien für entsprechen. AWS Backup
Keine Einschränkungen |
|
Network Load Balancer – Zonenübergreifender Lastausgleich |
AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing Zonenübergreifendes Load Balancing ist auf dem Network Load Balancer aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Der Amazon |
AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Der Parameter |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Der Amazon |
AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Der Parameter |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Der Amazon |
AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Der Parameter |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Die Amazon |
AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Der Parameter |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
EC2 Detaillierte Amazon-Überwachung nicht aktiviert |
AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring Die detaillierte Überwachung ist für Amazon aktiviert EC2. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Trusted Advisor Leistungsprüfungen werden von Trusted Remediator unterstützt
| Überprüfen Sie die ID und den Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
|---|---|---|
|
AWS Lambda Funktionen sind im Hinblick auf die Speichergröße nicht ausreichend bereitgestellt |
AWSManagedServices-ResizeLambdaMemory Die Speichergröße der Lambda-Funktionen wird auf die empfohlene Speichergröße von angepasst. Trusted Advisor |
RecommendedMemorySize: Die empfohlene Speicherzuweisung für die Lambda-Funktion. Der Wertebereich liegt zwischen 128 und 10240. Wenn die Größe der Lambda-Funktion vor der Ausführung der Automatisierung geändert wird, überschreibt diese Automatisierung möglicherweise die Einstellungen mit dem von empfohlenen Wert. Trusted Advisor |
|
EC2 Amazon-Instances mit hoher Auslastung |
AWSManagedServices-ResizeInstanceByOneLevel Die Größe von EC2 Amazon-Instances wird um einen Instance-Typ höher im selben Instance-Familientyp geändert. Die Instances werden während der Größenänderung gestoppt und gestartet und nach Abschluss der Ausführung wieder in den Ausgangszustand versetzt. Diese Automatisierung unterstützt keine Größenänderung von Instances, die sich in einer Auto Scaling Scaling-Gruppe befinden. |
Keine Einschränkungen |
|
Amazon |
AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Der Wert des |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Der Amazon |
AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Der Parameter |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Der Amazon |
AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Der Parameter |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Der Amazon |
AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Der Parameter |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Der Amazon |
AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Der Parameter |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Der Amazon |
AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Der Parameter |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
Trusted Advisor Von Trusted Remediator unterstützte Prüfungen von Service-Limits
| Überprüfen Sie die ID und den Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
|---|---|---|
|
EC2VPC Elastic IP-Adresse |
AWSManagedServices-UpdateVpcElasticIPQuota Ein neues Limit für EC2 elastische IP-Adressen von VPC wird angefordert. Standardmäßig wird das Limit um 3 erhöht. |
Inkrement: Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem |
|
VPC-Internet-Gateways |
AWSManagedServices-IncreaseServiceQuota- Ein neues Limit für VPC-Internet-Gateways wird angefordert. Standardmäßig wird das Limit um drei erhöht. |
Inkrement: Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem |
|
VPC |
AWSManagedServices-IncreaseServiceQuota Ein neues Limit für VPC wird angefordert. Standardmäßig wird das Limit um 3 erhöht. |
Inkrement: Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem |
|
Auto Scaling-Gruppen |
AWSManagedServices-IncreaseServiceQuota Ein neues Limit für Auto Scaling Scaling-Gruppen wird angefordert. Standardmäßig wird das Limit um 3 erhöht. |
Inkrement: Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem |
|
RDS-Optionsgruppen |
AWSManagedServices-IncreaseServiceQuota Ein neues Limit für Amazon RDS-Optionsgruppen wird beantragt. Standardmäßig wird das Limit um 3 erhöht. |
Inkrement: Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem |
|
ELB Application Load Balancers |
AWSManagedServices-IncreaseServiceQuota Ein neues Limit für ELB Application Load Balancers wird angefordert. Standardmäßig wird das Limit um 3 erhöht. |
Inkrement: Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem |
|
ELB Network Load Balancers |
AWSManagedServices-IncreaseServiceQuota Ein neues Limit für ELB Network Load Balancers wird angefordert. Standardmäßig wird das Limit um 3 erhöht. |
Inkrement: Die Zahl, um die aktuelle Quote zu erhöhen. Der Standardwert ist Wenn diese Automatisierung mehrmals ausgeführt wird, bevor die Trusted Advisor Prüfung mit dem |
Trusted Advisor Prüfungen der betrieblichen Exzellenz werden von Trusted Remediator unterstützt
| Überprüfen Sie die ID und den Namen | Name des SSM-Dokuments und erwartetes Ergebnis | Unterstützte vorkonfigurierte Parameter und Einschränkungen |
|---|---|---|
|
Amazon API Gateway protokolliert keine Ausführungsprotokolle |
AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging Die Ausführungsprotokollierung ist auf der API-Phase aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Sie müssen API Gateway die Berechtigung zum Lesen und Schreiben von Protokollen CloudWatch für Ihr Konto erteilen, um das Ausführungsprotokoll zu aktivieren. Weitere Informationen finden Sie unter CloudWatch Protokollierung für REST APIs in API Gateway einrichten. |
|
Elastic-Load-Balancing-Löschschutz ist für Load Balancer nicht aktiviert |
AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection- Der Löschschutz ist für den Elastic Load Balancer aktiviert. |
Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen |
|
Amazon RDS Performance Insights ist ausgeschaltet |
AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights Performance Insights ist für Amazon RDS aktiviert. |
Keine Einschränkungen |
|
Amazon S3 S3-Zugriffsprotokolle aktiviert |
AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 Die Protokollierung des Amazon S3 S3-Bucket-Zugriffs ist aktiviert. |
Um die auto Korrektur zu aktivieren, muss der folgende vorkonfigurierte Parameter angegeben werden: TargetBucketTagKeyund. TargetBucketTagValue Der Ziel-Bucket muss sich im selben AWS-Region und AWS-Konto wie der Quell-Bucket befinden und über die richtigen Berechtigungen für die Protokollzustellung verfügen. Weitere Informationen finden Sie unter Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung. |
