": {
...
}
}
```
+ **ResourceType**: Esta clave debe ser una de las siguientes cadenas admitidas. La configuración de este objeto JSON se referirá únicamente al tipo de AWS recurso especificado. Tipos de recursos admitidos:
```
AWS::EC2::Instance
AWS::EC2::Instance::Disk
AWS::RDS::DBInstance
AWS::RDS::DBCluster
AWS::Elasticsearch::Domain
AWS::OpenSearch::Domain
AWS::Redshift::Cluster
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::ElasticLoadBalancingV2::LoadBalancer::TargetGroup
AWS::ElasticLoadBalancing::LoadBalancer
AWS::FSx::FileSystem::ONTAP
AWS::FSx::FileSystem::ONTAP::Volume
AWS::FSx::FileSystem::Windows
AWS::EFS::FileSystem
AWS::EC2::NatGateway
AWS::EC2::VPNConnection
```
+ **ID de configuración:** esta clave debe ser única en el perfil y debe tener un nombre exclusivo para el siguiente bloque de configuración. Si dos bloques de configuración del mismo **ResourceType**bloque tienen el mismo **ID de configuración, se aplicará** el que aparezca más tarde en el perfil. Si especifica un **ID de configuración en el** perfil de personalización que sea igual al especificado en el perfil predeterminado, se aplicará el bloque de configuración definido en el perfil de personalización.
+ **Habilitado**: (opcional, default=true) Especifique si el bloque de configuración entrará en vigor. Establézcalo en false para deshabilitar un bloque de configuración. Un bloque de configuración deshabilitado se comporta como si no estuviera presente en el perfil.
+ **Etiqueta**: especifique la etiqueta a la que se aplica esta definición de alarma. A cualquier recurso (del tipo de recurso adecuado) que tenga esta clave y valor de etiqueta se le creará una CloudWatch alarma con la definición dada. Este campo es un objeto JSON con los siguientes campos:
+ **Clave**: la clave de la etiqueta que debe coincidir. Ten en cuenta que si utilizas Resource Tagger para aplicar las etiquetas al recurso, la clave de la etiqueta siempre empezará por **ams:rt**:.
+ **Valor**: el valor de la etiqueta que debe coincidir.
+ **AlarmDefinition**: Define la alarma que se va a crear. Se trata de un objeto JSON cuyos campos se pasan tal cual a la llamada a la CloudWatch `PutMetricAlarm` API (con la excepción de los pseudoparámetros; para obtener más información, consulte[Perfil de configuración de Accelerate: sustitución de pseudoparámetros](acc-mem-config-doc-sub.md)). Para obtener información sobre los campos que son obligatorios, consulta la [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)documentación.
OR
**CompositeAlarmDefinition**: Define la alarma compuesta que se va a crear. Al crear una alarma compuesta, se especifica una expresión de regla para la alarma que tiene en cuenta el estado de alarma de otras alarmas que se hayan creado. Se trata de un objeto JSON cuyos campos se pasan tal cual a. `CloudWatchPutCompositeAlarm` La alarma compuesta entra en estado ALARM solo si se cumplen todas las condiciones de la regla. Las alarmas especificadas en la expresión de regla de una alarma compuesta pueden incluir alarmas de métricas y otras alarmas compuestas. Para obtener información sobre los campos que son obligatorios, consulta la [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)documentación.
Ambas opciones proporcionan los siguientes campos:
+ **AlarmName**: especifique el nombre de la alarma que desea crear para el recurso. Este campo tiene todas las mismas reglas que las especificadas en la [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)documentación; sin embargo, dado que el nombre de la alarma debe ser único en una región, el administrador de alarmas tiene un requisito adicional: debe especificar el pseudoparámetro identificador único en el nombre de la alarma (de lo contrario, el administrador de alarmas añade el identificador único del recurso al principio del nombre de la alarma). Por ejemplo, para el tipo de **AWS::EC2::Instance**recurso, debe especificarlo `${EC2::InstanceId}` en el nombre de la alarma o se añadirá implícitamente al principio del nombre de la alarma. Para ver la lista de identificadores, consulte. [Perfil de configuración de Accelerate: sustitución de pseudoparámetros](acc-mem-config-doc-sub.md)
Todos los demás campos son los que se especifican en la documentación [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)o en la [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)documentación.
+ **AlarmRule**: especifique qué otras alarmas se van a evaluar para determinar el estado de esta alarma compuesta. Para cada alarma a la que haga referencia, debe existir CloudWatch o especificarse en el perfil de configuración de Alarm Manager de su cuenta.
**importante**
Puede especificarlo **CompositeAlarmDefinition**en el documento de configuración de Alarm Manager **AlarmDefinition**o en él, pero no se pueden usar al mismo tiempo.
En el siguiente ejemplo, el sistema crea una alarma cuando dos alarmas métricas especificadas superan su umbral:
```
{
"AWS::EC2::Instance": {
"LinuxResourceAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"CompositeAlarmDefinition": {
"AlarmName": "${EC2::InstanceId} Resource Usage High",
"AlarmDescription": "Alarm when a linux EC2 instance is using too much CPU and too much Disk",
"AlarmRule": "ALARM(\"${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}\") AND ALARM(\"${EC2::InstanceId}: CPU Too High\")"
}
}
}
}
```
**importante**
Cuando Alarm Manager no puede crear o eliminar una alarma debido a una configuración defectuosa, envía la notificación al tema de SNS **Direct-Customer-Alerts**. Se llama a esta alarma. **AlarmDependencyError**
Le recomendamos encarecidamente que confirme su suscripción a este tema de SNS. Para recibir los mensajes publicados [sobre un tema](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html), debe suscribir [un punto final](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html#sns-endpoints) al tema. Para obtener más información, consulte el [paso 1: Crear un tema](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#step-create-queue).
**nota**
Cuando se crean las alarmas de detección de anomalías, Alarm Manager crea automáticamente los modelos de detección de anomalías necesarios para las métricas especificadas. Cuando se eliminan las alarmas de detección de anomalías, Alarm Manager no elimina los modelos de detección de anomalías asociados.
[Amazon CloudWatch limita el número de modelos de detección de anomalías](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) que puedes tener en una AWS región determinada. Si superas la cuota de modelos, Alarm Manager no creará nuevas alarmas de detección de anomalías. Debe eliminar los modelos no utilizados o ponerse en contacto con su socio de AMS para solicitar un aumento del límite.
Muchas de las definiciones de alarma básicas proporcionadas por AMS Accelerate incluyen como objetivo el tema del SNS, el tema del **MMS**. Se utiliza en el servicio de monitorización AMS Accelerate y es el mecanismo de transporte para que las notificaciones de alarma lleguen a AMS Accelerate. No especifique **MMS-Topic** como objetivo para ninguna alarma que no sea la proporcionada en la línea de base (ni anule las mismas), ya que el servicio ignora las alarmas desconocidas. Esto **no hace** que AMS Accelerate actúe sobre sus alarmas personalizadas.
# Perfil de configuración de Accelerate: sustitución de pseudoparámetros
En cualquiera de los perfiles de configuración, puede especificar los pseudoparámetros que se sustituirán in situ de la siguiente manera:
+ Global: en cualquier parte del perfil:
+ \$1 \$1AWS::AccountId\$1: reemplazado por tu ID AWS de cuenta
+ \$1 \$1AWS::Partition\$1: se reemplaza por la partición en la que se encuentra Región de AWS el recurso (es «aws» en la mayoría de las regiones); para obtener más información, consulte la entrada correspondiente a la partición en la [referencia del ARN.](https://docs.amazonaws.cn/en_us/general/latest/gr/aws-arns-and-namespaces.html)
+ \$1 \$1AWS::Region\$1: se sustituye por el nombre de la región en la que se despliega el recurso (por ejemplo, us-east-1)
+ En un bloque de tipos **AWS::EC2::Instance**de recurso:
+ \$1 \$1EC2::InstanceId\$1: (**identifier**) reemplazado por el ID de instancia de tu EC2 instancia de Amazon.
+ \$1 \$1EC2::InstanceName\$1: reemplazado por el nombre de tu EC2 instancia de Amazon.
+ En un bloque de tipo de recurso **AWS::EC2::Instance: :Disk:**
+ \$1 \$1EC2::InstanceId\$1: (**identifier**) Sustituido por el ID de instancia de tu EC2 instancia de Amazon.
+ \$1 \$1EC2::InstanceName\$1: reemplazado por el nombre de tu EC2 instancia de Amazon.
+ \$1 \$1EC2: :Disk: :Device\$1: (**identificador**) Se ha sustituido por el nombre del disco. (Solo para Linux, en instancias administradas por el [CloudWatch agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)).
+ \$1 \$1EC2: :Disk::FSType\$1: (**identificador) Se** reemplazó por el tipo de sistema de archivos del disco. (Solo para Linux, en instancias administradas por [ CloudWatchAgent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)).
+ \$1 \$1EC2: :Disk: :Path\$1: (**identificador**) Se ha sustituido por la ruta del disco. En Linux, este es el punto de montaje del disco (por ejemplo,/), mientras que en Windows es la etiqueta de la unidad (por ejemplo, c:/) (solo en una instancia gestionada por el [CloudWatch agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)).
+ \$1 \$1EC2: :Disk: :UUID\$1: (**identificador**) Sustituido por un UUID generado que identifica el disco de forma exclusiva, debe especificarse en el nombre de la alarma, ya que una alarma por tipo de AWS::EC2::Instance::Disk recurso creará una alarma por volumen. Si se especifica \$1 \$1EC2: :Disk: :UUID\$1, se mantendrá la exclusividad de los nombres de las alarmas.
+ En un bloque de tipos de recurso **AWS::EKS::Cluster**:
+ \$1 \$1EKS::ClusterName\$1: (**identificador**) reemplazado por el nombre de su clúster EKS.
+ En un bloque **AWS::OpenSearch::Domain**de tipo de recurso:
+ \$1 \$1OpenSearch::DomainName\$1: (**identificador**) reemplazado por el nombre de su dominio EKS.
+ En un bloque **AWS::ElasticLoadBalancing::LoadBalancer**de tipo de recurso:
+ \$1 \$1ElasticLoadBalancing:LoadBalancer: :Name\$1: (**identificador**) reemplazado por el nombre de tu Load Balancer V1.
+ En un bloque de tipo **AWS::ElasticLoadBalancingV2::LoadBalancer**de recurso:
+ \$1 \$1ElasticLoadBalancingV2::LoadBalancer: :Arn\$1: (**identificador**) reemplazado por el ARN de tu Load Balancer V2.
+ \$1 \$1ElasticLoadBalancingV2:LoadBalancer: :Name\$1: (**identificador**) reemplazado por el nombre de tu Load Balancer V2.
+ \$1 \$1ElasticLoadBalancingV2::LoadBalancer::FullName\$1: (**identificador**) reemplazado por el nombre completo de tu Load Balancer V2.
+ En un bloque de tipo TargetGroup de recurso **AWS::ElasticLoadBalancingV2::LoadBalancer::**
+ \$1 \$1ElasticLoadBalancingV2::TargetGroup::FullName\$1: (**identificador**) reemplazado por el nombre del grupo objetivo de tu Load Balancer V2.
+ \$1 \$1ElasticLoadBalancingV2:TargetGroup: :UUID\$1: (**identificador**) reemplazado por un UUID generado para tu Load Balancer de V2.
+ En un bloque de tipo de recurso **AWS::EC2::NatGateway**:
+ \$1 \$1NatGateway::NatGatewayId\$1: (**identificador**) reemplazado por el ID de la puerta de enlace NAT.
+ En un bloque de tipo de DBInstance recurso de **AWS: :RDS**:
+ \$1 \$1RDS:: DBInstance Identifier\$1: (identifier) reemplazado por el **identificador** de su instancia de base de datos de RDS.
+ En un bloque de tipo de DBCluster recurso de **AWS: :RDS**:
+ \$1 \$1RDS:: DBCluster Identifier\$1: (identificador) reemplazado por el **identificador** del clúster de base de datos de RDS.
+ En un bloque de tipo **AWS::Redshift::Cluster**de recurso:
+ \$1 \$1Redshift::ClusterIdentifier\$1: (**identifier) reemplazado por tu identificador** de clúster de Redshift.
+ En un bloque de tipo **AWS::Synthetics::Canary**de recurso:
+ \$1 \$1Synthetics::CanaryName\$1: (**identificador**) reemplazado por el nombre de tu canario de Synthetics. CloudWatch
+ En un bloque de tipo de VPNConnection recurso de **AWSEC2:**::
+ \$1 \$1AWS::EC2::VpnConnectionId\$1: (**identificador**) reemplazado por su ID de VPN.
+ En un bloque **AWS::EFS::FileSystem**de tipo de recurso:
+ \$1 \$1EFS::FileSystemId\$1: (**identificador**) Sustituido por el ID del sistema de archivos de su sistema de archivos EFS.
+ En un bloque de tipo de recurso **AWS::FSx::FileSystem: :ONTAP**:
+ \$1 \$1FSx::FileSystemId\$1: (**identificador**) Sustituido por el ID del sistema de archivos de su sistema de archivos FSX.
+ \$1 \$1FSx:: :Throughput\$1FileSystem: se ha sustituido por el rendimiento de su sistema de archivos FSX.
+ \$1 \$1FSx::: :Iops\$1FileSystem: se ha sustituido por las IOPS del sistema de archivos FSX.
+ En un bloque de tipo de recurso **AWS::FSx::FileSystem: :ONTAP: :Volume**:
+ \$1 \$1FSx::FileSystemId\$1: (**identificador**) Sustituido por el ID del sistema de archivos de su sistema de archivos FSX.
+ \$1 \$1FSx: :ONTAP::VolumeId\$1: (**identificador**) Sustituido por el ID del volumen.
+ En un bloque de **AWS::FSx::FileSystemtipos de recursos: :Windows:**
+ \$1 \$1FSx::FileSystemId\$1: (**identificador**) Sustituido por el ID del sistema de archivos de su sistema de archivos FSX.
+ \$1 \$1FSx:: :Throughput\$1FileSystem: se ha sustituido por el rendimiento de su sistema de archivos FSX.
**nota**
Todos los parámetros marcados con un **identificador** se utilizan como prefijo para el nombre de las alarmas creadas, a menos que especifique ese identificador en el nombre de la alarma.
# Ejemplos de configuración de alarmas de Acelerate
En el siguiente ejemplo, el sistema crea una alarma para cada disco conectado a la instancia de Linux correspondiente.
```
{
"AWS::EC2::Instance::Disk": {
"LinuxDiskAlarm": {
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "disk_used_percent",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "device",
"Value": "${EC2::Disk::Device}"
},
{
"Name": "fstype",
"Value": "${EC2::Disk::FSType}"
},
{
"Name": "path",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
En el siguiente ejemplo, el sistema crea una alarma para cada disco conectado a la instancia de Windows correspondiente.
```
{
"AWS::EC2::Instance::Disk": {
"WindowsDiskAlarm": {
"Tag": {
"Key": "ams:rt:mywindowsinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "LogicalDisk % Free Space",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "objectname",
"Value": "LogicalDisk"
},
{
"Name": "instance",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
# Visualización de la configuración de Accelerate Alarm Manager
Tanto las **AMSManagedalarmas** como las **CustomerManagedAlarms**puede revisar [GetConfiguration](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_GetConfiguration.html). AppConfig
El siguiente es un ejemplo de la `GetConfiguration` llamada:
```
aws appconfig get-configuration --application AMSAlarmManager --environment AMSInfrastructure --configuration AMSManagedAlarms --client-id
any-string outfile.json
```
+ **Aplicación**: esta AppConfig es la unidad lógica para proporcionar capacidades; para el administrador de alarmas, es `AMSAlarmManager`
+ **Medio ambiente**: este es el AMSInfrastructure entorno
+ **Configuración**: para ver las alarmas de referencia de AMS Accelerate, el valor es`AMSManagedAlarms`; para ver las definiciones de alarmas del cliente, la configuración es `CustomerManagedAlarms`
+ **ID de cliente**: se trata de un identificador de instancia de aplicación único, que puede ser cualquier cadena
+ Las definiciones de alarmas se pueden ver en el archivo de salida especificado, que en este caso es `outfile.json`
Puede ver qué versión de la configuración está implementada en su cuenta consultando las implementaciones anteriores en el AMSInfrastructure entorno.
# Cambiar la configuración de alarmas de Accelerate
Para añadir o actualizar nuevas definiciones de alarmas, puede implementar el documento [Uso CloudFormation para implementar Accelerate los cambios de configuración](acc-mem-deploy-change-cfn.md) de configuración o invocar la [CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API.
Se trata de un comando de línea de comandos de Linux que genera el valor del parámetro en base64, que es lo que espera el comando AppConfig CLI. Para obtener más información, consulte la AWS CLI documentación, [Binary/Blob (](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob)objeto binario grande).
Por ejemplo:
```
aws appconfig create-hosted-configuration-version --application-id application-id --configuration-profile-id configuration-profile-id --content base64-string
--content-type application/json
```
+ **ID de aplicación:** ID de la aplicación AMS AlarmManager; puede averiguarlo con la llamada a la API. [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)
+ **ID del perfil de configuración**: ID de la configuración CustomerManagedAlarms; puede averiguarlo con la llamada a la [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)API.
+ **Contenido**[: cadena en base64 del contenido, que se creará creando un documento y codificándolo en base64: cat alarms-v2.json \$1 base64 (consulte Binary/Blob (objeto binario grande)).](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob)
**Tipo de contenido: tipo MIME**, ya que las definiciones de las alarmas están escritas en JSON. `application/json`
**importante**
Limite el acceso a las acciones de la [StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)API [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)y a las de la API a usuarios de confianza que entiendan las responsabilidades y las consecuencias de implementar una nueva configuración en sus destinos.
Para obtener más información sobre cómo utilizar las AppConfig funciones de AWS para crear e implementar una configuración, consulte [Trabajar con AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html).
# Modificación de la configuración predeterminada de la alarma Accelerate
Si bien no puede modificar el perfil de configuración predeterminado, puede reemplazar los valores predeterminados especificando un bloque de configuración en su perfil de personalización con el mismo **ID de configuración que el bloque de configuración** predeterminado. Si lo hace, todo el bloque de configuración sobrescribe el bloque de configuración predeterminado al que se debe aplicar la configuración de etiquetado.
Por ejemplo, considere el siguiente perfil de configuración predeterminado:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 5,
...
}
}
}
}
```
Para cambiar el umbral de esta alarma a 10, **debe proporcionar la definición completa de la alarma**, no solo las partes que desee cambiar. Por ejemplo, puede proporcionar el siguiente perfil de personalización:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 10,
...
}
}
}
}
```
**importante**
Recuerde implementar los cambios de configuración después de haberlos realizado. En SSM AppConfig, debe implementar una nueva versión de la configuración después de crearla.
# Implementación: acelere los cambios de configuración de alarmas
Una vez finalizada la personalización, debe implementarla, ya sea con AppConfig o CloudFormation.
**Topics**
+ [Uso AppConfig para implementar Accelerate los cambios de configuración de alarmas](acc-mem-deploy-change-appconfig.md)
+ [Uso CloudFormation para implementar Accelerate los cambios de configuración](acc-mem-deploy-change-cfn.md)
# Uso AppConfig para implementar Accelerate los cambios de configuración de alarmas
Una vez completada la personalización, AppConfig utilícela para implementar los cambios con [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html).
```
aws appconfig start-deployment --application-id application_id
--environment-id environment_id Vdeployment-strategy-id
deployment_strategy_id --configuration-profile-id configuration_profile_id --configuration-version 1
```
+ **ID de aplicación**: identificador de la aplicación`AMSAlarmManager`, lo puedes encontrar con la llamada a la [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)API.
+ **ID de entorno**: puedes encontrarlo en la llamada a la [ListEnvironments](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListEnvironments.html)API.
+ **ID de estrategia de despliegue**: puedes encontrarlo en la llamada a la [ListDeploymentStrategies](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListDeploymentStrategies.html)API.
+ **ID del perfil de configuración**: ID de`CustomerManagedAlarms`; puede encontrarlo con la llamada a la [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)API.
+ **Versión de configuración**: la versión del perfil de configuración que se va a implementar.
**importante**
Alarm Manager aplica las definiciones de alarma tal como se especifican en los perfiles de configuración. Cualquier modificación manual que realice con el Consola de administración de AWS CloudWatch CLI/SDK en las CloudWatch alarmas se revierte automáticamente, así que asegúrese de que los cambios estén definidos a través del Administrador de alarmas. Para saber qué alarmas crea el administrador de alarmas, puede buscar la `ams:alarm-manager:managed` etiqueta con el valor. `true`
Limite el acceso a las acciones de la [ StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)API [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)y a las de la API a usuarios de confianza que entiendan las responsabilidades y las consecuencias de implementar una nueva configuración en sus objetivos.
Para obtener más información sobre cómo utilizar las AppConfig funciones de AWS para crear e implementar una configuración, consulte la [ AppConfig documentación de AWS.](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html)
# Uso CloudFormation para implementar Accelerate los cambios de configuración
Si desea implementar su perfil de `CustomerManagedAlarms` configuración mediante CloudFormation, puede usar las siguientes CloudFormation plantillas. Coloque la configuración JSON que desee en el `AMSAlarmManagerConfigurationVersion.Content` campo.
Al implementar las plantillas en una CloudFormation pila o conjunto de pilas, la implementación del `AMSResourceTaggerDeployment` recurso fallará si no se ha seguido el formato JSON requerido para la configuración. Consulte [Perfil de configuración de Accelerate: monitoreo](acc-mem-config-doc-format.md) para obtener más información sobre el formato esperado.
Para obtener ayuda sobre la implementación de estas plantillas como una CloudFormation pila o conjunto de pilas, consulte la CloudFormation documentación de AWS correspondiente a continuación:
+ [Creación de una pila en la CloudFormation consola de AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
+ [Creación de una pila con AWS CLI](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-cli-creating-stack.html)
+ [Crear un conjunto de pilas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)
**nota**
Si despliega una versión de configuración mediante una de estas plantillas y, posteriormente, elimina la CloudFormation pila o el conjunto de pilas, la versión de configuración de la plantilla permanecerá como la versión implementada actualmente y no se realizará ningún despliegue adicional. Si desea volver a la configuración predeterminada, tendrá que implementar manualmente una configuración vacía (es decir, solo \$1\$1) o actualizar la pila a una configuración vacía, en lugar de eliminar la pila.
**JSON**
```
{
"Description": "Custom configuration for the AMS Alarm Manager.",
"Resources": {
"AMSAlarmManagerConfigurationVersion": {
"Type": "AWS::AppConfig::HostedConfigurationVersion",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"Content": "{}",
"ContentType": "application/json"
}
},
"AMSAlarmManagerDeployment": {
"Type": "AWS::AppConfig::Deployment",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"ConfigurationVersion": {
"Ref": "AMSAlarmManagerConfigurationVersion"
},
"DeploymentStrategyId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-Deployment-StrategyID"
},
"EnvironmentId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-EnvironmentId"
}
}
}
}
}
```
**YAML**
```
Description: Custom configuration for the AMS Alarm Manager.
Resources:
AMSAlarmManagerConfigurationVersion:
Type: AWS::AppConfig::HostedConfigurationVersion
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
Content: |
{
}
ContentType: application/json
AMSAlarmManagerDeployment:
Type: AWS::AppConfig::Deployment
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
ConfigurationVersion:
!Ref AMSAlarmManagerConfigurationVersion
DeploymentStrategyId:
!ImportValue AMS-Alarm-Manager-Configuration-Deployment-StrategyID
EnvironmentId:
!ImportValue AMS-Alarm-Manager-Configuration-EnvironmentId
```
# Revertir Acelera los cambios de alarma
Puede revertir las definiciones de alarmas mediante el mismo mecanismo de despliegue especificando una versión anterior del perfil de configuración y ejecutándola [ StartDeployment.](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)
# Retener alarmas de Accelerate
Cuando se eliminan los recursos supervisados por AMS, Alarm Manager elimina automáticamente cualquier alarma creada por Alarm Manager para esos recursos. Si necesita conservar determinadas alarmas con fines de auditoría, cumplimiento o históricos, utilice la función de retención de etiquetas de Alarm Manager.
Para conservar una alarma incluso después de eliminar el recurso supervisado, añada una `"ams:alarm-manager:retain" ` etiqueta a la configuración personalizada de la alarma, como se muestra en el siguiente ejemplo.
```
{
"AWS::EC2::Instance": {
"AMSCpuAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: CPU Too High",
"AlarmDescription": "AMS Baseline Alarm for EC2 CPUUtilization",
[...]
"Tags": [
{
"Key": "ams:alarm-manager:retain",
"Value": "true"
}
]
}
}
}
}
```
Alarm Manager no elimina automáticamente una alarma configurada con la `"ams:alarm-manager:retain"` etiqueta cuando finaliza el recurso monitoreado. La alarma retenida permanece activa CloudWatch indefinidamente hasta que la elimines manualmente mediante CloudWatch.
# Desactivación de la configuración de alarma Accelerate predeterminada
AMS Accelerate proporciona el perfil de configuración predeterminado de su cuenta en función de las alarmas de referencia. Sin embargo, esta configuración predeterminada se puede deshabilitar anulando cualquiera de las definiciones de alarma. Para deshabilitar una regla de configuración predeterminada, anule el **ID de configuración de la** regla en su perfil de configuración de personalización y especifique el campo habilitado con el valor false.
Por ejemplo, si la siguiente configuración estaba presente en el perfil de configuración predeterminado:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
...
}
}
}
```
Puede deshabilitar esta regla de etiquetado si incluye lo siguiente en su perfil de configuración de personalización:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": false
}
}
}
```
Para realizar estos cambios, se debe llamar a la [CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API junto con el documento de perfil JSON (consulte[Cambiar la configuración de alarmas de Accelerate](acc-mem-change-am.md)) y, posteriormente, se debe implementar (consulte[Implementación: acelere los cambios de configuración de alarmas](acc-mem-deploy-change.md)). Tenga en cuenta que, al crear la nueva versión de configuración, también debe incluir en el documento de perfil JSON todas las alarmas personalizadas creadas anteriormente que desee.
**importante**
Cuando AMS Accelerate actualiza el perfil de configuración predeterminado, no se calibra en función de las alarmas personalizadas configuradas, por lo que debe revisar los cambios en las alarmas predeterminadas cuando los anule en su perfil de configuración de personalización.
# Creación de CloudWatch alarmas adicionales para Accelerate
Puede crear CloudWatch alarmas adicionales para AMS Accelerate mediante CloudWatch métricas y alarmas personalizadas para EC2 instancias de Amazon.
Cree su script de monitoreo de aplicaciones y una métrica personalizada. Para obtener más información y acceder a scripts de ejemplo, consulte [Supervisión de métricas de memoria y disco para instancias de Amazon EC2 Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mon-scripts.html).
Los scripts de CloudWatch monitoreo para EC2 las instancias Amazon de Linux muestran cómo producir y consumir CloudWatch métricas personalizadas. Estos scripts Perl de muestra contienen un ejemplo totalmente funcional que informa sobre métricas de memoria, intercambio y utilización del espacio en disco de una instancia de Linux.
**importante**
AMS Accelerate no supervisa CloudWatch las alarmas que usted crea.
# Visualización de la cantidad de recursos monitoreados por Alarm Manager for Accelerate
Alarm Manager envía métricas cada hora a Amazon CloudWatch, en el espacio de `AMS/AlarmManager` nombres. Las métricas se emiten solo para los tipos de recursos compatibles con Alarm Manager.
| Nombre de métrica | Dimensiones | Descripción |
| --- | --- | --- |
| ResourceCount | Componente, ResourceType | Número de recursos (del tipo de recurso especificado) desplegados en esta región. Unidades: recuento |
| ResourcesMissingManagedAlarms | Componente, ResourceType | Número de recursos (del tipo de recurso especificado) que requieren alarmas gestionadas, pero Alarm Manager aún no las ha aplicado. Unidades: recuento |
| UnmanagedResources | Componente, ResourceType | Número de recursos (del tipo de recurso especificado) a los que Alarm Manager no les ha aplicado ninguna alarma gestionada. Por lo general, estos recursos no coincidían con ningún bloque de configuración de Alarm Manager o se excluyen explícitamente de los bloques de configuración. Unidades: recuento |
| MatchingResourceCount | Componente ResourceType, ConfigClauseName | Número de recursos (del tipo de recurso especificado) que coinciden con el bloque de configuración de Alarm Manager. Para que un recurso coincida con el bloque de configuración, el bloque debe estar habilitado y el recurso debe tener las mismas etiquetas especificadas en el bloque de configuración. Unidades: recuento |
Estas métricas también se pueden ver en forma de gráficos en el panel de informes de **AMS-Alarm-Manager-Reporting-Dashboard**. **Para ver el panel, desde la consola de administración, seleccione AMS-Alarm-Manager-Reporting-Dashboard. AWS CloudWatch ** De forma predeterminada, los gráficos de este panel muestran los datos del período anterior de 12 horas.
AMS Accelerate despliega CloudWatch alarmas en su cuenta para detectar un aumento significativo en la cantidad de recursos no gestionados, por ejemplo, los recursos que AMS Alarm Manager excluye de la gestión. AMS Operations investigará los aumentos de recursos no gestionados que superen: tres recursos del mismo tipo o un aumento del 50% con respecto a todos los recursos del mismo tipo. Si el cambio no parece ser deliberado, AMS Operations se pondrá en contacto con usted para revisar el cambio.
# Remediación automática de alertas por parte de AMS
Tras la verificación, AWS Managed Services (AMS) corrige automáticamente determinadas alertas según las condiciones y los procesos específicos que se describen en esta sección.
| Nombre de la alerta | Descripción | Umbrales | Acción |
| --- | --- | --- | --- |
| Comprobación de estado no superada | Posibles fallos de hardware o un estado de fallo de la instancia. | El sistema ha detectado un estado de error al menos una vez en los últimos 15 minutos. | La corrección automática de AMS valida primero si se puede acceder a la instancia. Si no se puede acceder a la instancia, se detiene y se reinicia. La parada y el inicio permiten que la instancia migre a un nuevo hardware subyacente. Para obtener más información, consulte la siguiente sección, «Automatización de la corrección de errores de comprobación de EC2 estado». |
| AMSLinuxDiskUsage | Se activa cuando se está agotando el espacio de disco utilizado en 1 punto de montaje (espacio designado en un volumen) de la EC2 instancia. | El umbral supera el valor definido 6 veces en los últimos 30 minutos. | La corrección automática de AMS elimina primero los archivos temporales. Si esto no libera suficiente espacio en disco, amplía el volumen para evitar tiempos de inactividad si el volumen se llena. |
| AMSWindowsDiskUsage | Cuando se esté agotando el uso de 1 punto de montaje (espacio designado en un volumen) en el disco de la EC2 instancia. | El umbral supera el valor definido 6 veces durante los últimos 30 minutos. | La corrección automática de AMS elimina primero los archivos temporales. Si esto no libera suficiente espacio en disco, amplía el volumen para evitar tiempos de inactividad si el volumen se llena. |
| RDS-EVENT-0089 | La instancia de base de datos ha consumido más del 90 % del almacenamiento asignado. | El almacenamiento está asignado en más del 90%. | La corrección automática de AMS valida primero que la base de datos esté en un estado modificable y disponible o que esté lleno de almacenamiento. A continuación, intenta aumentar el almacenamiento asignado, las IOPS y el rendimiento del almacenamiento mediante un conjunto de cambios. CloudFormation Si ya se ha detectado una desviación de la pila, recurre a la API de RDS para evitar el tiempo de inactividad. Puede inhabilitar esta función añadiendo la siguiente etiqueta a la instancia de base de datos de RDS: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0007 | Se agotó el almacenamiento asignado a la instancia de base de datos. Para resolverlo, asigne almacenamiento adicional. | El almacenamiento está asignado al 100%. | La corrección automática de AMS valida primero que la base de datos esté en un estado modificable y disponible o que esté lleno de almacenamiento. A continuación, intenta aumentar el almacenamiento asignado, las IOPS y el rendimiento del almacenamiento mediante un conjunto de cambios. CloudFormation Si ya se ha detectado una desviación de la pila, recurre a la API de RDS para evitar el tiempo de inactividad. Puede inhabilitar esta función añadiendo la siguiente etiqueta a la instancia de base de datos de RDS: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0224 | El almacenamiento asignado solicitado alcanza o supera el umbral de almacenamiento máximo configurado. | Se ha agotado el umbral de almacenamiento máximo de la instancia de base de datos o es superior o igual al almacenamiento asignado solicitado. | La corrección automática de AMS valida primero que la cantidad de almacenamiento de RDS solicitada supere el umbral máximo de almacenamiento. Si se confirma, AMS intenta aumentar el umbral máximo de almacenamiento en un 30% con un CloudFormation conjunto de cambios o directamente a la API de RDS si no se aprovisionan los recursos. CloudFormation Puede inhabilitar esta función añadiendo la siguiente etiqueta a la instancia de base de datos de RDS: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| Capacidad de almacenamiento de RDS | Queda menos de 1 GB en el almacenamiento asignado a la instancia de base de datos. | El almacenamiento está asignado en un 99%. | La corrección automática de AMS valida primero que la base de datos esté en un estado modificable y disponible o que esté lleno de almacenamiento. A continuación, intenta aumentar el almacenamiento asignado, las IOPS y el rendimiento del almacenamiento mediante un conjunto de cambios. CloudFormation Si ya se ha detectado una desviación de la pila, recurre a la API de RDS para evitar el tiempo de inactividad. Puede inhabilitar esta función añadiendo la siguiente etiqueta a la instancia de base de datos de RDS: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
## EC2 error en la comprobación de estado: notas sobre la automatización de la remediación
Cómo funciona la corrección automática de AMS con problemas de error en la comprobación de EC2 estado:
+ Si no se puede acceder a tu EC2 instancia de Amazon, debes detenerla y volver a iniciarla para poder migrarla a un nuevo hardware y recuperarla.
+ Si la raíz del problema está en el sistema operativo (falta de dispositivos en fstab, el núcleo está dañado, etc.), la automatización no podrá recuperar la instancia.
+ Si la instancia pertenece a un grupo de Auto Scaling, la automatización no realiza ninguna acción: la acción de AutoScalingGroup escalado reemplaza a la instancia.
+ Si la instancia tiene habilitada la recuperación EC2 automática, la corrección no se lleva a cabo.
## EC2 automatización de la corrección del uso del volumen
Cómo funciona la corrección automática de AWS Managed Services (AMS) con los problemas de uso EC2 del volumen:
+ La automatización primero valida si la expansión del volumen es necesaria y si se puede realizar. Si la expansión se considera adecuada, la automatización puede aumentar la capacidad de volumen. Este proceso automatizado equilibra la necesidad de crecimiento con una expansión limitada y controlada.
+ Antes de ampliar un volumen, la automatización realiza tareas de limpieza (Windows: Disk Cleaner, Linux: Logrotate y eliminación del registro del agente Simple Service Manager) en la instancia para intentar liberar espacio.
**nota**
Las tareas de limpieza no se ejecutan en las instancias de la familia EC2 «T» porque dependen de los créditos de la CPU para seguir funcionando.
+ En Linux, la automatización solo admite la ampliación de los sistemas de archivos tipo EXT2 A EXT4 y XFS. EXT3
+ En Windows, la automatización solo es compatible con el Sistema de archivos de nueva tecnología (NTFS) y el Sistema de archivos resiliente (ReFS).
+ La automatización no amplía los volúmenes que forman parte del Logical Volume Manager (LVM) o de una matriz RAID.
+ La automatización no amplía los volúmenes del *almacén de instancias*.
+ La automatización no actúa si el volumen afectado ya es superior a 2 TiB.
+ La expansión mediante la automatización está limitada a un máximo de tres veces por semana y cinco veces en total durante la vida útil del sistema.
+ La automatización no amplía el volumen si la expansión anterior se produjo en las últimas seis horas.
Cuando estas reglas impiden que la automatización tome medidas, AMS se pondrá en contacto con usted mediante una solicitud de servicio saliente para determinar las siguientes acciones a tomar.
## Automatización de la corrección de eventos de bajo almacenamiento en Amazon RDS
Cómo funciona la corrección automática de AWS Managed Services (AMS) con los problemas de eventos de bajo almacenamiento de Amazon RDS:
+ Antes de intentar ampliar el almacenamiento de la instancia de Amazon RDS, la automatización realiza varias comprobaciones para garantizar que la instancia de Amazon RDS se encuentra en un estado modificable y disponible, o con almacenamiento lleno.
+ Cuando se detecta CloudFormation una desviación de pila, la corrección se realiza a través de la API de Amazon RDS.
+ La acción correctiva no se ejecuta en los siguientes escenarios:
+ El estado de la instancia de Amazon RDS no es «disponible» ni «lleno de almacenamiento».
+ El almacenamiento de instancias de Amazon RDS no se puede modificar actualmente (por ejemplo, si el almacenamiento se ha modificado en las últimas seis horas).
+ La instancia de Amazon RDS tiene activado el almacenamiento con autoscalamiento.
+ La instancia de Amazon RDS no es un recurso dentro de una CloudFormation pila.
+ La corrección se limita a una expansión cada seis horas y a no más de tres expansiones en un período continuo de catorce días.
+ Cuando se producen estas situaciones, AMS se pone en contacto con usted para informarle sobre un incidente saliente para determinar las siguientes medidas.
# Uso de Amazon EventBridge Managed Rules en AMS
AMS Accelerate utiliza Amazon EventBridge Managed Rules. Una regla gestionada es un tipo de regla único que está directamente vinculada a AMS. Estas reglas coinciden con los eventos entrantes y los envían a los destinos para su procesamiento. Las reglas administradas están predefinidas por AMS e incluyen los patrones de eventos que el servicio requiere para administrar las cuentas de los clientes y, a menos que se defina lo contrario, solo el servicio propietario puede utilizar estas reglas administradas.
Las reglas gestionadas de AMS Accelerate están vinculadas al principio `events.managedservices.amazonaws.com` del servicio. Estas reglas gestionadas se gestionan a través de la función [`AWSServiceRoleForManagedServices_Events`vinculada al servicio](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/using-service-linked-roles.html#slr-evb-rule). Para eliminar estas reglas, se requiere una confirmación especial por parte del cliente. Para obtener más información, consulte [Eliminar reglas administradas para AMS](#delete-managed-rules).
Para obtener más información sobre las reglas, consulta [Reglas](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) en la *Guía del EventBridge usuario de Amazon*.
## Amazon EventBridge Managed Rules implementadas por AMS
**Reglas EventBridge gestionadas por Amazon**
| Nombre de la regla | Descripción | Definición |
| --- | --- | --- |
| AmsAccessRolesRule | Esta regla tiene en cuenta las modificaciones en las funciones y políticas específicas de AMS Accelerate. |
{
"source": ["aws.iam"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventName": [
"DeleteRole",
"DeletePolicy",
"CreatePolicyVersion",
"AttachRolePolicy",
"DetachRolePolicy"
],
"requestParameters": {
"$or": [
{
"roleName": [
"ams-access-admin",
"ams-access-admin-operations",
"ams-access-operations",
"ams-access-read-only",
"ams-access-security-analyst",
"ams-access-security-analyst-read-only"
]
},
{
"policyArn": [
"arn:*:iam::*:policy/ams-access-allow-pass-role",
"arn:*:iam::*:policy/ams-access-deny-cloudshell-policy",
"arn:*:iam::*:policy/ams-access-deny-operations-policy",
"arn:*:iam::*:policy/ams-access-deny-update-iam-policy",
"arn:*:iam::*:policy/ams-access-ssr-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-read-only-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-extended-policy",
"arn:*:iam::*:policy/ams-access-admin-policy",
"arn:*:iam::*:policy/ams-access-admin-operations-policy"
]
},
]
},
},
}
|
| AMSCoreRegla | Esta regla reenvía los AWS Config CloudWatch eventos de Amazon a los servicios de corrección y supervisión de AMS Config, respectivamente. Los AWS Config eventos se crean y se resuelven. AWS Systems Manager OpsItems Las CloudWatch alarmas del monitor de CloudWatch eventos de Amazon. |
{
{
"source": ["aws.config", "aws.cloudwatch"],
"detail-type": ["Config Rules Compliance Change", "CloudWatch Alarm State Change"],
}
}
|
## Creación de reglas gestionadas para AMS
No necesitas crear manualmente Amazon EventBridge Managed Rules. Cuando te incorporas a AMS en la consola de AWS administración AWS CLI, la o la AWS API, AMS las crea automáticamente.
## Edición de reglas gestionadas para AMS
AMS no permite editar las reglas gestionadas. AMS predefine el nombre y el patrón de eventos de cada regla gestionada.
## Eliminar reglas administradas para AMS
No es necesario eliminar manualmente las reglas gestionadas. Cuando te desconectas de AMS en la consola AWS de administración, en la AWS CLI AWS API o en la consola, AMS limpia los recursos y elimina automáticamente todas las reglas gestionadas que son propiedad de AMS.
En caso de que AMS no elimine las reglas gestionadas durante la desconexión, también puedes utilizar la EventBridge consola de Amazon, la AWS CLI o la AWS API para eliminar manualmente las reglas gestionadas. Para ello, primero debes abandonar AMS y forzar la eliminación de las reglas gestionadas.
# Remediador de confianza en AMS
Trusted Remediator es una solución de AWS Managed Services que automatiza la corrección y las [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)recomendaciones. [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/) Trusted Remediator crea recomendaciones cuando Trusted Advisor y Compute Optimizer indica oportunidades para reducir costos, mejorar la disponibilidad del sistema, optimizar el rendimiento o cerrar sus brechas de seguridad. Cuentas de AWS Con Trusted Remediator, puede abordar estas recomendaciones de seguridad, rendimiento, optimización de costos, tolerancia a fallas y límites de servicio de una manera segura y estandarizada que utiliza las mejores prácticas establecidas. Trusted Remediator le permite configurar una solución de remediación y se ejecuta automáticamente según un cronograma que usted cree, lo que simplifica el proceso de remediación. Este enfoque simplificado aborda los problemas de manera coherente y eficiente y sin intervención manual.
## Ventajas clave de Trusted Remediator
Los principales beneficios de Trusted Remediator son los siguientes:
+ **Mejora de la seguridad, el rendimiento y la optimización de los costes:** Trusted Remediator le ayuda a mejorar la seguridad general de sus cuentas, a optimizar la utilización de los recursos y a reducir los costes operativos.
+ **Instalación y configuración de autoservicio:** puede configurar Trusted Remediator para que se ajuste a sus requisitos y preferencias.
+ ** Trusted Advisor Comprobaciones automatizadas y AWS Compute Optimizer recomendaciones de corrección: tras la configuración, Trusted Remediator ejecuta automáticamente las acciones de corrección de las comprobaciones** seleccionadas. Esta automatización elimina la necesidad de intervención manual.
+ **Implementación de las mejores prácticas:** las acciones de remediación se basan en las mejores prácticas establecidas, por lo que los problemas se abordan de manera estandarizada y eficaz.
+ **Ejecución programada:** puede elegir el programa de remediación que se adapte a sus day-to-day flujos de trabajo operativos.
Trusted Remediator le permite abordar de forma proactiva los problemas identificados en sus AWS entornos, lo que le ayuda a cumplir con las mejores prácticas y a mantener una infraestructura de nube segura, rentable y de alto rendimiento.
## Cómo funciona Trusted Remediator
A continuación se muestra un ejemplo del flujo de trabajo de Trusted Remediator:
![\[Ilustración del flujo de trabajo de Trusted Remediator.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/trusted-remediator-workflow.png)
Trusted Remediator evalúa las recomendaciones de Compute Optimizer para Cuentas de AWS usted Trusted Advisor y las crea. AWS Systems Manager [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html) OpsCenter A continuación, puede utilizar los documentos de automatización de Trusted Remediator para corregir los problemas de forma automática o manual. OpsItems A continuación se detallan los detalles de cada tipo de remediación:
+ **Corrección automatizada:** Trusted Remediator ejecuta el documento de automatización y supervisa la ejecución. Una vez finalizado el documento de automatización, Trusted Remediator resuelve el problema.
+ **Solución manual: Trusted Remediator** crea la solución para que usted la OpsItem revise. Tras la revisión, se inicia el documento de automatización.
Los registros de corrección se almacenan en un bucket de Amazon S3. Puede usar los datos del depósito de S3 para crear QuickSight paneles personalizados para la elaboración de informes. AMS también proporciona informes a pedido para Trusted Remediator. Para recibir estos informes, póngase en contacto con su CSDM. Para obtener más información, consulte [Informes de Trusted Remediator](trusted-remediator-reports.md).
## Términos clave de Trusted Remediator
Los siguientes son términos que es útil conocer cuando se utiliza Trusted Remediator en AMS:
+ **AWS Trusted Advisor y AWS Compute Optimizer:** servicios de optimización de la nube proporcionados por AWS. Trusted Advisor y Compute Optimizer inspeccionan su AWS entorno y proporcionan recomendaciones basadas en las mejores prácticas en las seis categorías siguientes:
+ Optimización de costos
+ Rendimiento
+ Seguridad
+ Tolerancia a errores
+ Excelencia operativa
+ Límites de los servicios
Para obtener más información, consulte [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) y [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/).
+ **Trusted Remediator:** una solución de corrección de AMS para [Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)realizar comprobaciones y recomendaciones. [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/) Trusted Remediator le ayuda a corregir de forma segura las Trusted Advisor comprobaciones y las recomendaciones de Compute Optimizer con las mejores prácticas conocidas para mejorar la seguridad, el rendimiento y reducir los costes. Trusted Remediator es fácil de instalar y configurar. La configuración se realiza una vez y Trusted Remediator ejecuta las correcciones según la programación que prefiera (diaria o semanalmente).
+ **AWS Systems Manager Documento SSM:** archivo JSON o YAML que define las acciones que se AWS Systems Manager realizan en sus recursos. AWS El documento SSM sirve como especificación declarativa para automatizar las tareas operativas en varios AWS recursos e instancias.
+ **AWS Systems Manager OpsCenter OpsItem:** un recurso de administración de problemas operativos en la nube que le ayuda a rastrear y resolver los problemas operativos en su AWS entorno. OpsItems proporcionan una visión y un sistema de gestión centralizados para los datos operativos y los problemas en todos Servicios de AWS los recursos. Cada uno OpsItem representa un problema operativo, como un posible riesgo de seguridad, un problema de rendimiento o un incidente operativo.
+ **Configuración:** una configuración es un conjunto de atributos almacenados en [AWS AppConfig, una capacidad de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/appconfig.html). La aplicación Trusted Remediator AWS AppConfig ayuda a configurar las correcciones a nivel de cuenta. Puede utilizar la AWS AppConfig consola o la API para editar las configuraciones.
+ **Modo de ejecución:** el modo de ejecución es un atributo de configuración que determina cómo ejecutar la corrección para cada Trusted Advisor resultado de la comprobación. Se admiten cuatro modos de ejecución: **automatizado**, **manual**, **condicional** **e inactivo**.
+ **Anulación de recursos:** esta función utiliza etiquetas de recursos para anular la configuración de recursos específicos.
+ Registro **de elementos de remediación: un archivo de registro** en el depósito de registros de S3 sobre remediaciones de Trusted Remediator. El registro de elementos de corrección se crea cuando se crean las correcciones. OpsItems Este archivo de registro contiene la corrección de la ejecución manual OpsItems y la corrección de la ejecución automática. OpsItems Utilice este archivo de registro para realizar un seguimiento de todos los elementos de corrección.
+ **Registro de ejecución de correcciones automatizado:** un archivo de registro en el depósito de registros de S3 sobre correcciones de Trusted Remediator. El registro de ejecución de correcciones automatizadas se crea cuando se completa la ejecución automatizada de un documento SSM. Este registro contiene los detalles de la ejecución de SSM para la corrección automática de las ejecuciones. OpsItems Utilice este archivo de registro para realizar un seguimiento de las correcciones automatizadas.
# Comience con Trusted Remediator en AMS
Trusted Remediator está disponible en AMS sin coste adicional. Trusted Remediator admite configuraciones de cuenta única y de cuentas múltiples.
## Incorporado a Trusted Remediator
Para incorporar sus cuentas de AMS a Trusted Remediator, envíe un correo electrónico a sus arquitectos de nube o gerentes de prestación de servicios en la nube ()CSDMs. En el mensaje, incluya la siguiente información:
+ **Cuentas de AWS:** el número de identificación de la cuenta de doce dígitos. Todas las cuentas que desee incorporar a Trusted Remediator deben pertenecer al mismo cliente de Accelerate.
+ **Cuenta de administrador delegado:** la cuenta que se usa para Trusted Advisor comprobar la configuración de Compute Optimizer para cuentas únicas o múltiples.
+ **Cuentas de miembro:** son las cuentas vinculadas a la cuenta de administrador delegado. Estas cuentas heredan las configuraciones de la cuenta de administrador delegado. Puede tener una cuenta de miembro o varias cuentas de miembro.
**nota**
Las cuentas de los miembros heredan las configuraciones de la cuenta de administrador delegado. Si necesita configuraciones diferentes para cuentas específicas, incorpore varias cuentas de administrador delegado con las configuraciones que prefiera. Planifique la estructura de la cuenta y las configuraciones con sus arquitectos de nube antes de incorporarla.
+ **Regiones de AWS:** El Regiones de AWS lugar donde se encuentran sus recursos. Para ver una lista Regiones de AWS, consulta [Servicios de AWS por región](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
+ **Calendario y hora de remediación:** su programa de remediación preferido (diario o semanal). Trusted Remediator recopila las Trusted Advisor comprobaciones e inicia la reparación a la hora programada. Por ejemplo, puede configurar el programa de remediación para la 1:00 a.m. del domingo de cada semana, hora estándar del este de Australia.
+ **Correo electrónico de notificación:** Trusted Remediator utiliza el correo electrónico de notificación para notificarle diariamente si hay soluciones. El asunto del correo electrónico de notificación es «Resumen de las correcciones de Trusted Remediator» y el contenido proporciona información sobre las correcciones de Trusted Remediator ejecutadas en las últimas 24 horas.
**nota**
Revise sus aplicaciones y recursos después de cada corrección programada. Para obtener asistencia adicional, póngase en contacto con AMS.
Tras enviar la solicitud de incorporación con los detalles necesarios a su CA o CSDM, AMS incorporará sus cuentas a Trusted Remediator. Trusted Remediator utiliza AWS AppConfig, una capacidad de AWS Systems Manager, para definir la configuración de las comprobaciones. Trusted Advisor Estas configuraciones son un conjunto de atributos que se almacenan en AWS AppConfig. Para evitar cargos no autorizados a sus recursos, todas las Trusted Advisor comprobaciones admitidas se configuran como **inactivas** cuando las cuentas se incorporan a Trusted Remediator. Una vez que se haya incorporado, podrá utilizar la AWS AppConfig consola o la API para gestionar las configuraciones. Estas configuraciones le ayudan a corregir automáticamente Trusted Advisor comprobaciones específicas o a evaluar y corregir manualmente las comprobaciones restantes. Las configuraciones son altamente personalizables, lo que le permite aplicar configuraciones para cada Trusted Advisor comprobación. Para obtener más información, consulte [Configurar la corrección de Trusted Advisor comprobaciones en Trusted Remediator](tr-configure-remediations.md).
## Elija las comprobaciones y recomendaciones que desee corregir
De forma predeterminada, el modo de ejecución de correcciones está **inactivo** para todas las Trusted Advisor comprobaciones y recomendaciones de Compute Optimizer de tu configuración. Esto evita la corrección no autorizada y protege los recursos. AMS proporciona documentos de automatización de SSM seleccionados para la corrección de los Trusted Advisor cheques.
Para seleccionar las comprobaciones que desea corregir con Trusted Remediator, complete los siguientes pasos:
1. Revise la lista de [[recomendaciones compatibles Trusted Advisor y de Compute Optimizer](tr-supported-recommendations-co.md) o el nombre de los documentos de automatización de SSM asociados](tr-supported-checks.md) para decidir qué comprobaciones y recomendaciones desea corregir con Trusted Remediator.
1. Actualice la configuración para activar la corrección de las Trusted Advisor comprobaciones seleccionadas. Para obtener instrucciones sobre cómo seleccionar las comprobaciones, consulte[Configurar la corrección de Trusted Advisor comprobaciones en Trusted Remediator](tr-configure-remediations.md).
## Realice un seguimiento de sus correcciones en Trusted Remediator
Tras actualizar la configuración a nivel de cuenta, Trusted Remediator crea una para cada corrección. OpsItems Trusted Remediator ejecuta el documento SSM para la corrección automática de acuerdo con su programa de remediación. OpsItems Para obtener instrucciones sobre cómo ver todas las correcciones OpsItems desde la OpsCenter consola de Systems Manager, consulte[Realice un seguimiento de las correcciones en Trusted Remediator](tr-remediation.md#tr-remediation-track).
## Ejecute las correcciones manuales en Trusted Remediator
Puede corregir Trusted Advisor las comprobaciones manualmente. Al iniciar una corrección manual, Trusted Remediator crea una ejecución manual. OpsItem Debe revisar e iniciar el documento de automatización de SSM para corregir el. OpsItems Para obtener más información, consulte [Ejecute las correcciones manuales en Trusted Remediator](tr-remediation.md#tr-remediation-run).
# Recomendaciones de Compute Optimizer respaldadas por Trusted Remediator
En la siguiente tabla, se enumeran las recomendaciones de Compute Optimizer compatibles, los documentos de automatización de SSM, los parámetros preconfigurados y el resultado esperado de los documentos de automatización. Revisa el resultado esperado para ayudarte a entender los posibles riesgos en función de los requisitos de tu empresa antes de utilizar un documento de automatización de SSM para corregir las comprobaciones.
Asegúrate de que la regla de configuración correspondiente para cada comprobación de Compute Optimizer esté presente en las comprobaciones compatibles para las que deseas habilitar la corrección. Para obtener más información, consulta Cómo [optar AWS Compute Optimizer por Trusted Advisor las comprobaciones](https://docs.aws.amazon.com/awssupport/latest/user/compute-optimizer-with-trusted-advisor.html).
| Opción de optimización | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles |
| --- | --- | --- |
| Redimensionamiento |
| [Recomendaciones de EC2 instancias de Amazon](https://aws.amazon.com/compute-optimizer/faqs/#topic-4) | **AWSManagedServices-TrustedRemediatorResizeInstanceByComputeOptimizerRecommendation** El tipo de EC2 instancia de Amazon se actualizó de acuerdo con las recomendaciones de Compute Optimizer. Se eligen las opciones más óptimas manteniendo los mismos parámetros de plataforma (arquitectura, hipervisor, interfaz de red, tipo de virtualización, etc.) si existe la opción. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Recomendaciones de volumen de Amazon EBS](https://aws.amazon.com/compute-optimizer/faqs/#topic-6) | **AWSManagedServices-ModifyEBSVolume** El volumen de Amazon EBS se modifica de acuerdo con las recomendaciones de Compute Optimizer. La modificación puede incluir el tipo de volumen, el tamaño, las IOPS y la generación de volúmenes (gp2, gp3, etc.). | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Recomendaciones de funciones Lambda](https://aws.amazon.com/compute-optimizer/faqs/#topic-7) | **AWSManagedServices-TrustedRemediatorOptimizeLambdaMemory** AWS Lambda memoria de funciones optimizada de acuerdo con las recomendaciones de Compute Optimizer. | **RecommendedMemorySize **: tamaño de memoria personalizado, si es diferente de las opciones recomendadas. Sin restricciones |
| Recursos inactivos |
| [Volumen Amazon EBS inactivo](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-DeleteUnusedEBSVolume** Se eliminará el volumen Amazon EBS no adjunto. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [ EC2 Instancia de Amazon inactiva](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopECInstancia 2** La EC2 instancia de Amazon inactiva se detendrá. | **ForceStopWithInstanceStore**: Para forzar la detención de las instancias que utilizan el almacén de instancias, establézcalo en «True». Para no forzar la parada, establézcalo en «False». El valor predeterminado «False» impide que la instancia se detenga. Sin restricciones |
| [Instancia de Amazon RDS inactiva](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopIdleRDSInstance** Detenga una instancia de Amazon RDS inactiva. Los motores compatibles son: MariaDB, Microsoft SQL Server, MySQL, Oracle y PostgreSQL. Este documento no se aplica a Aurora MySQL ni a Aurora PostgreSQL. La instancia se detendrá durante un máximo de 7 días y se volverá a lanzar automáticamente. | No se permiten parámetros preconfigurados. No hay restricciones |
# Trusted Advisor comprobaciones compatibles con Trusted Remediator
La siguiente tabla muestra las Trusted Advisor comprobaciones admitidas, los documentos de automatización de SSM, los parámetros preconfigurados y el resultado esperado de los documentos de automatización. Revise el resultado esperado para ayudarle a comprender los posibles riesgos en función de los requisitos de su empresa antes de utilizar un documento de automatización de SSM para corregir las comprobaciones.
Asegúrese de que la regla de configuración correspondiente a cada Trusted Advisor comprobación esté presente en las comprobaciones compatibles para las que desee habilitar la corrección. Para obtener más información, consulta [Ver las AWS Trusted Advisor comprobaciones impulsadas por AWS Config](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html). Si una comprobación tiene AWS Security Hub CSPM los controles correspondientes, asegúrese de que el control Security Hub esté activado. Para obtener más información, consulte [Habilitar los controles en Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html). Para obtener información sobre la gestión de los parámetros preconfigurados, consulte [Configurar la corrección de comprobaciones de Trusted Advisor en Trusted Remediator](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html).
## Trusted Advisor comprobaciones de optimización de costes compatibles con Trusted Remediator
| Compruebe la ID y el nombre | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles |
| --- | --- | --- |
| [Z4 AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses) Direcciones IP elásticas no asociadas | **AWSManagedServices-TrustedRemediatorReleaseElasticIP** Libera una dirección IP elástica que no está asociada a ningún recurso. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c18d2gz150](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days) - Instancias de Amazon detenidas EC2 | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime**: Se cancelan EC2 las instancias de Amazon detenidas durante varios días. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones |
| [c18d2gz128](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy) Repositorio de Amazon ECR sin política de ciclo de vida configurada | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy** Crea una política de ciclo de vida para el repositorio especificado si aún no existe una política de ciclo de vida. | **ImageAgeLimit:** El límite de edad máximo en días (de 1 a 365) para «cualquier» imagen del repositorio de Amazon ECR. Sin restricciones |
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes) Volúmenes de Amazon EBS infrautilizados | **AWSManagedServices-DeleteUnusedEBSVolume** Elimina los volúmenes de Amazon EBS infrautilizados si los volúmenes no se adjuntaron durante los últimos 7 días. De forma predeterminada, se crea una instantánea de Amazon EBS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones |
| [hola M8 LMh88u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers) Balanceadores de carga inactivos | **AWSManagedServices-DeleteIdleClassicLoadBalancer** Elimina un Classic Load Balancer inactivo si no se utiliza y no hay ninguna instancia registrada. | **IdleLoadBalancerDays:** el número de días durante los que el Classic Load Balancer ha solicitado 0 conexiones antes de considerarlo inactivo. El valor predeterminado es de siete días. Si la ejecución automática está habilitada, la automatización elimina los balanceadores de carga clásicos inactivos si no hay instancias de back-end activas. Para todos los balanceadores de carga clásicos inactivos que tienen instancias de back-end activas, pero que no tienen instancias de back-end en buen estado, no se usa la corrección automática OpsItems y para la remediación manual se crea. |
| [TI39HalfU8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances) Amazon RDS Idle DB Instances | **AWSManagedServices-StopIdleRDSInstance** Se detiene la instancia de base de datos de Amazon RDS que ha estado inactiva durante los últimos siete días. | No se permiten parámetros preconfigurados. No hay restricciones |
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size) AWS Lambda funciones sobreaprovisionadas para el tamaño de la memoria | **AWSManagedServices-ResizeLambdaMemory** AWS Lambda el tamaño de la memoria de la función se redimensiona al tamaño de memoria recomendado proporcionado por. Trusted Advisor | **RecommendedMemorySize:** la asignación de memoria recomendada para la función Lambda. El rango de valores está entre 128 y 10240. Si el tamaño de la función Lambda se modificó antes de que se ejecutara la automatización, esta automatización podría sobrescribir la configuración con el valor recomendado por. Trusted Advisor |
| [QCH7dWoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) EC2 Instancias Amazon de baja utilización | **AWSManagedServices-StopEC2Instance** (documento SSM predeterminado para el modo de ejecución automática y manual). Se detienen EC2 las instancias de Amazon que se utilizan poco. | **ForceStopWithInstanceStore: Se** configura en `true` para forzar la detención de las instancias mediante el almacén de instancias. De lo contrario, establézcala en `false`. El valor predeterminado de `false` impide que la instancia se detenga. Los valores válidos son verdadero o falso (distingue entre mayúsculas y minúsculas). Sin restricciones |
| [QCH7DWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) EC2 Instancias Amazon de baja utilización | **AWSManagedServices-ResizeInstanceByOneLevel** El tamaño de la EC2 instancia de Amazon se redimensiona en un tipo de instancia inferior en el mismo tipo de familia de instancias. La instancia se detiene e inicia durante la operación de cambio de tamaño y vuelve al estado inicial una vez finalizada la ejecución del documento SSM. Esta automatización no admite el cambio de tamaño de las instancias que se encuentran en un grupo de Auto Scaling. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones |
| [QCH7DWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) EC2 Instancias Amazon de baja utilización | **AWSManagedServices-TerminateInstance** Las EC2 instancias de Amazon poco utilizadas se cancelan si no forman parte de un Auto Scaling Group y la protección de terminación no está habilitada. De forma predeterminada, se crea una AMI. | **Crear AMIBefore terminación:** defina esta opción como `true` o `false` cree una AMI de instancia como respaldo antes de terminar la EC2 instancia. El valor predeterminado es `true`. Los valores válidos son `true` y `false` (distinguen mayúsculas de minúsculas). Sin restricciones |
| [G31sq1e9u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters) Underutilized Amazon Redshift Clusters | **AWSManagedServices-PauseRedshiftCluster** El clúster de Amazon Redshift está en pausa. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config) Configuración incompleta de cancelación de carga multiparte de Amazon S3 | **AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload** El bucket de Amazon S3 está configurado con una regla de ciclo de vida para anular las cargas de varias partes que permanecen incompletas después de ciertos días. | **DaysAfterInitiation:** el número de días transcurridos los cuales Amazon S3 detiene una carga multiparte incompleta. El valor predeterminado es de 7 días. Sin restricciones |
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances) Recomendaciones de optimización de EC2 costos de Amazon para instancias | Utilice las recomendaciones de EC2 instancias de Amazon y la EC2 instancia de Amazon inactiva de[Recomendaciones de Compute Optimizer respaldadas por Trusted Remediator](tr-supported-recommendations-co.md). | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes) Recomendaciones de optimización de costos de Amazon EBS para volúmenes | Utilice las recomendaciones de volumen de Amazon EBS y el volumen de Amazon EBS inactivo desde. [Recomendaciones de Compute Optimizer respaldadas por Trusted Remediator](tr-supported-recommendations-co.md) | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) Recomendaciones de optimización de costes de Amazon RDS para instancias de base de datos | Utilice la instancia inactiva de Amazon RDS de[Recomendaciones de Compute Optimizer respaldadas por Trusted Remediator](tr-supported-recommendations-co.md). | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) AWS Lambda recomendaciones de optimización de costes para las funciones | Utilice las recomendaciones de funciones Lambda de. [Recomendaciones de Compute Optimizer respaldadas por Trusted Remediator](tr-supported-recommendations-co.md) | No se permiten parámetros preconfigurados. No hay restricciones |
## Trusted Advisor controles de seguridad compatibles con Trusted Remediator
| Compruebe la ID y el nombre | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles |
| --- | --- | --- |
| [12Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys) Exposed Access Keys | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey** La clave de acceso IAM expuesta está desactivada. | No se permiten parámetros preconfigurados. Las aplicaciones configuradas con una clave de acceso de IAM expuesta no se pueden autenticar. |
| Hs4Ma3G127: el registro de ejecución de API Gateway REST WebSocket y API debe estar habilitado Verificación [APIGatewaycorrespondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1): 1. | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** El registro de ejecución está habilitado en la fase de la API. | **LogLevel:** Nivel de registro para habilitar el registro de la ejecución, `ERROR` - El registro solo está habilitado para los errores. `INFO` - El registro está habilitado para todos los eventos. Debe conceder permiso a API Gateway para leer y escribir los registros de su cuenta a CloudWatch fin de habilitar el registro de ejecución; consulte [Configurar el CloudWatch registro para REST APIs en API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) para obtener más información. |
| Hs4Ma3G129: las etapas de la API REST de API Gateway deberían tener el rastreo habilitado AWS X-Ray Verificación [APIGatewaycorrespondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3): 3. | **AWSManagedServices-EnableApiGateWayXRayTracing** El rastreo de X-Ray está habilitado en la fase API. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G202 - Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo Verificación [APIGatewaycorrespondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5): 5. | **AWSManagedServices-EnableAPIGatewayCacheEncryption** Habilite el cifrado en reposo para los datos de la caché de la API REST de API Gateway si la etapa de la API REST de API Gateway tiene la caché habilitada. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G177 - AWS Security Hub CSPM [Comprobación correspondiente: los grupos de escalado automático asociados a un balanceador de cargas deben usar las comprobaciones de estado del balanceador de cargas .1 AutoScaling](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck** Las comprobaciones de estado de Elastic Load Balancing están habilitadas para el grupo Auto Scaling. | **HealthCheckGracePeriod:** La cantidad de tiempo, en segundos, que Auto Scaling espera antes de comprobar el estado de una instancia de Amazon Elastic Compute Cloud que ha entrado en servicio. La activación de las comprobaciones de estado de Elastic Load Balancing puede provocar el reemplazo de una instancia en ejecución si alguno de los balanceadores de carga de Elastic Load Balancing adjuntos al grupo de Auto Scaling indica que está en mal estado. Para obtener más información, consulte [Adjuntar un balanceador de cargas de Elastic Load Balancing a su grupo de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html) |
| Hs4Ma3G245: las CloudFormation pilas deben integrarse con Amazon Simple Notification Service Verificación correspondiente AWS Security Hub CSPM [CloudFormation:](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1) 1. | **AWSManagedServices-EnableCFNStackNotification** Asocie una CloudFormation pila a un tema de Amazon SNS para la notificación. | **NotificaciónARNs:** uno ARNs de los temas de Amazon SNS que se van a asociar a las pilas seleccionadas CloudFormation . Para habilitar la corrección automática, se debe `NotificationARNs` proporcionar el parámetro preconfigurado. |
| Hs4Ma3G210: las distribuciones deben tener el registro habilitado CloudFront Verificación correspondiente AWS Security Hub CSPM : [CloudFront2](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5). | **AWSManagedServices-EnableCloudFrontDistributionLogging** El registro está habilitado para las CloudFront distribuciones de Amazon. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para conocer estas restricciones de corrección, consulte [¿Cómo activo el registro en mi](https://repost.aws/knowledge-center/cloudfront-logging-requests) distribución? CloudFront |
| Hs4Ma3G109: CloudTrail la validación del archivo de registro debe estar habilitada Comprobación correspondiente AWS Security Hub CSPM [CloudTrail:](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4) 4. | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation** Permite la validación CloudTrail del registro de senderos. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G108: las CloudTrail rutas deberían integrarse con Amazon Logs CloudWatch Verificación correspondiente AWS Security Hub CSPM [CloudTrail:](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5) 5. | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch** AWS CloudTrail está integrado con CloudWatch Logs. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G217: CodeBuild los entornos de proyecto deben tener una configuración de registro AWS Verificación correspondiente AWS Security Hub CSPM [CodeBuild:](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4) 4. | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig** Habilita el registro del CodeBuild proyecto. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G306 - Los clústeres de base de datos de Neptune deberían tener habilitada la protección de eliminación AWS Security Hub CSPM Verificación correspondiente: [documento DB.3](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot** Elimina el acceso público de la instantánea manual del clúster de Amazon DocumentDB. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G308: Los clústeres de Amazon DocumentDB deben tener habilitada la protección de eliminación AWS Security Hub CSPM Verificación correspondiente: [documento DB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection** Habilita la protección contra la eliminación del clúster de Amazon DocumentDB. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G323 - Las tablas de DynamoDB deben tener habilitada la protección de eliminación AWS Security Hub CSPM Comprobación correspondiente: [DynamoDB.6](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection** Permite la protección contra la eliminación de tablas DynamoDB que no son de AMS. | No se permiten parámetros preconfigurados. No hay restricciones |
| [EPS02JT06w](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots): Instantáneas públicas de Amazon EBS | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot** El acceso público a la instantánea de Amazon EBS está deshabilitado. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G118: Los grupos de seguridad predeterminados de VPC no deberían permitir el tráfico entrante o saliente Verificación [EC2correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2): 2. | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG** Se eliminan todas las reglas de entrada y salida del grupo de seguridad predeterminado. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G117: Los volúmenes EBS adjuntos deben cifrarse en reposo [Verificación correspondiente AWS Security Hub CSPM EC2: 3.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) | **AWSManagedServices-EncryptInstanceVolume** El volumen de Amazon EBS adjunto a la instancia está cifrado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) La instancia se reinicia como parte de la corrección y es posible revertirla si `DeleteStaleNonEncryptedSnapshotBackups` está configurada de esta manera, lo que ayuda a `false` la restauración. |
| Hs4Ma3G120: las instancias detenidas EC2 deben eliminarse después de un período de tiempo específico Verificación [EC2correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4): 4. | **AWSManagedServices-TerminateInstance**(documento SSM predeterminado para el modo de ejecución automática y manual) EC2 Las instancias de Amazon detenidas durante 30 días se cancelan. | **Crear AMIBefore rescisión:**. Para crear la AMI de la instancia como respaldo antes de terminar la EC2 instancia, elija`true`. Para no crear una copia de seguridad antes de la finalización, elija. `false` El valor predeterminado es `true`. Sin restricciones |
| Hs4Ma3G120: las EC2 instancias detenidas deben eliminarse después de un período de tiempo específico Verificación [EC2correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4): 4. | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime**: EC2 Las instancias de Amazon detenidas durante el número de días definido en Security Hub (el valor predeterminado es 30) se cancelan. | **Crear AMIBefore terminación:** para crear la AMI de la instancia como respaldo antes de terminar la EC2 instancia, elija`true`. Para no crear una copia de seguridad antes de la finalización, elija. `false` El valor predeterminado es `true`. Sin restricciones |
| Hs4Ma3G121: el cifrado por defecto de EBS debe estar activado Verificación correspondiente AWS Security Hub CSPM : [EC27](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7). | **AWSManagedServices-EncryptEBSByDefault** El cifrado de Amazon EBS está habilitado de forma predeterminada para el Región de AWS | No se permiten parámetros preconfigurados. El cifrado de manera predeterminada es una configuración específica de la región. Si lo habilita para una región, no podrá deshabilitarlo para volúmenes o instantáneas individuales de esa región. |
| Hs4Ma3G124: Las instancias de EC2 Amazon deberían usar la versión 2 del servicio de metadatos de instancias () IMDSv2 Verificación correspondiente AWS Security Hub CSPM [EC2:](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) .8. | **AWSManagedServices-TrustedRemediator****Habilitar instancia EC2 IMDSv2** EC2 Las instancias de Amazon utilizan Instance Metadata Service versión 2 (IMDSv2). | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones |
| Hs4Ma3G207: las EC2 subredes no deberían asignar automáticamente direcciones IP públicas Verificación [EC2correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15): 1.5 | **AWSManagedServices-UpdateAutoAssignPublicIpv4 direcciones** Las subredes de VPC están configuradas para no asignar automáticamente direcciones IP públicas. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G209: se eliminan las listas de control de acceso a la red no utilizadas Verificación [EC2correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16): 1.6 | **AWSManagedServices-DeleteUnusedNACL** Eliminar la ACL de red no utilizada | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G215: Los grupos de seguridad de EC2 Amazon no utilizados deberían eliminarse Verificación correspondiente AWS Security Hub CSPM [EC2:](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22) .22 | **AWSManagedServices-DeleteSecurityGroups** Elimine los grupos de seguridad no utilizados. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G247: Amazon Transit EC2 Gateway no debería aceptar automáticamente las solicitudes de adjuntos de VPC Verificación [EC2correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23): 2.3 | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach**- Desactiva la aceptación automática de las solicitudes de adjuntos de VPC para el Amazon Transit EC2 Gateway especificado que no sea de AMS. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G235: los repositorios privados de ECR deberían tener configurada la inmutabilidad de etiquetas Verificación correspondiente AWS Security Hub CSPM : [ECR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability** Establece la configuración de mutabilidad de la etiqueta de imagen en INMUTABLE para el repositorio especificado. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G216: los repositorios de ECR deben tener configurada al menos una política de ciclo de vida [Verificación AWS Security Hub CSPM correspondiente: ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy** El repositorio de ECR tiene configurada una política de ciclo de vida. | **LifecyclePolicyText:** El texto de la política del repositorio JSON que se aplicará al repositorio. Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados: **LifecyclePolicyText** |
| Hs4Ma3G325: los clústeres EKS deben tener habilitado el registro de auditoría Verificación correspondiente AWS Security Hub CSPM : [EKS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog** El registro de auditoría está habilitado para el clúster EKS. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G183: el balanceador de carga de aplicaciones debe configurarse para eliminar los encabezados HTTP Verificación AWS Security Hub CSPM correspondiente[:](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4) ELB.4 | **AWSConfigRemediation-DropInvalidHeadersForALB** Application Load Balancer está configurado para campos de encabezado no válidos. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G184: Debe habilitarse el registro de los balanceadores de carga de aplicaciones y los balanceadores de carga clásicos Verificación correspondiente AWS Security Hub CSPM [:](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) ELB.5 | **AWSManagedServices-EnableELBLogging (documento SSM predeterminado para el modo de ejecución automática y manual)** El registro de Application Load Balancer y Classic Load Balancer está habilitado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) El bucket de Amazon S3 debe tener una política de bucket que conceda permiso a Elastic Load Balancing para escribir los registros de acceso en el bucket. |
| Hs4Ma3G184: El registro de los balanceadores de carga de aplicaciones y los balanceadores de carga clásicos debe estar habilitado Verificación correspondiente AWS Security Hub CSPM [:](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) ELB.5 | **AWSManagedServices-EnableELBLoggingV2** El registro de Application Load Balancer y Classic Load Balancer está habilitado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G326: La configuración de acceso público del bloque Amazon EMR debe estar habilitada AWS Security Hub CSPM Verificación correspondiente: [EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess** La configuración de acceso público del bloqueo de Amazon EMR está activada en la cuenta. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G135: las AWS KMS claves no deben borrarse involuntariamente Verificación correspondiente AWS Security Hub CSPM : [KMS.3](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) | **AWSManagedServices-CancelKeyDeletion** AWS KMS se cancela la eliminación de la clave. | No se permite ningún parámetro preconfigurado. No hay restricciones |
| Hs4Ma3G299 - Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas AWS Security Hub CSPM Comprobación correspondiente: [Neptune.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection** Habilita la protección contra la eliminación del clúster de Amazon Neptune. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G319 - Los firewalls de Network Firewall deben tener habilitada la protección de eliminación Verificación AWS Security Hub CSPM correspondiente [NetworkFirewall:](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9) 9. | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection**- Habilita la protección de eliminación para AWS Network Firewall. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G223: los OpenSearch dominios deben cifrar los datos enviados entre nodos Verificación correspondiente AWS Security Hub CSPM [OpenSearch:](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3) 3. | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption** El cifrado de nodo a nodo está habilitado para el dominio. | No se permiten parámetros preconfigurados. Una vez que se habilita el node-to-node cifrado, no se puede deshabilitar la configuración. En su lugar, haz una instantánea manual del dominio cifrado, crea otro dominio, migra tus datos y, a continuación, elimina el dominio anterior. |
| Hs4Ma3G222: el registro de errores de OpenSearch dominio en los registros debe estar habilitado CloudWatch Verificación correspondiente AWS Security Hub CSPM : [Opensearch.4](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) | **AWSManagedServices-EnableOpenSearchLogging** El registro de errores está activado para el dominio. OpenSearch | CloudWatchLogGroupArn: El ARN de un grupo de registros de Amazon CloudWatch Logs. Para habilitar la corrección automática, se debe proporcionar el siguiente parámetro preconfigurado:. **CloudWatchLogGroupArn** La política CloudWatch de recursos de Amazon debe configurarse con permisos. Para obtener más información, consulta Cómo [habilitar los registros de auditoría](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) en la *Guía del usuario de Amazon OpenSearch Service* |
| Hs4Ma3G221: los OpenSearch dominios deben tener habilitado el registro de auditoría Verificación correspondiente AWS Security Hub CSPM : [Opensearch.5](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch los dominios están configurados con el registro de auditoría activado. | **CloudWatchLogGroupArn:** el ARN del grupo de CloudWatch registros en el que se van a publicar los registros. Para habilitar la corrección automática, se debe proporcionar el siguiente parámetro preconfigurado: **CloudWatchLogGroupArn** La política CloudWatch de recursos de Amazon debe configurarse con permisos. Para obtener más información, consulta Cómo [habilitar los registros de auditoría](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) en la *Guía del usuario de Amazon OpenSearch Service* |
| Hs4Ma3G220: Las conexiones a los OpenSearch dominios deben cifrarse mediante TLS 1.2 [Verificación correspondiente AWS Security Hub CSPM : Opensearch.8](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2** La política de TLS está configurada como `policy-MIN-TLS-1-2-2019-07` y solo se permiten las conexiones cifradas a través de HTTPS (TLS). | No se permiten parámetros preconfigurados. Se requieren conexiones a los OpenSearch dominios para usar TLS 1.2. El cifrado de los datos en tránsito puede afectar al rendimiento. Pruebe sus aplicaciones con esta función para comprender el perfil de rendimiento y el impacto del TLS. |
| Hs4Ma3G194: La instantánea de Amazon RDS debe ser privada Verificación correspondiente AWS Security Hub CSPM : [RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** El acceso público a la instantánea de Amazon RDS está deshabilitado. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G192: las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible AWS Verificación correspondiente AWS Security Hub CSPM [:](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) RDS.2 | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance** Inhabilite el acceso público a la instancia de base de datos de RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G189: la supervisión mejorada está configurada para las instancias de base de datos de Amazon RDS [Verificación correspondiente AWS Security Hub CSPM : RDS.6](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring** Habilite una supervisión mejorada para las instancias de base de datos de Amazon RDS | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Si se habilita la supervisión mejorada antes de la ejecución de la automatización, esta automatización podría sobrescribir los ajustes con los MonitoringRoleName valores MonitoringInterval y configurados en los parámetros preconfigurados. |
| Hs4Ma3G190: Los clústeres de Amazon RDS deben tener habilitada la protección de eliminación Verificación correspondiente AWS Security Hub CSPM : [RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** La protección contra la eliminación está habilitada para los clústeres de Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G198: Las instancias de base de datos de Amazon RDS deben tener habilitada la protección de eliminación Verificación correspondiente AWS Security Hub CSPM [: RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** La protección contra la eliminación está habilitada para las instancias de Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G199: las instancias de base de datos de RDS deberían publicar los registros en Logs CloudWatch Verificación correspondiente AWS Security Hub CSPM : [RDS.9](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports** La exportación de registros de RDS está habilitada para la instancia de base de datos de RDS o el clúster de base de datos de RDS. | No se permiten parámetros preconfigurados. Se requiere el rol [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) vinculado al servicio. |
| Hs4Ma3G160: la autenticación de IAM debe configurarse para las instancias de RDS [Verificación correspondiente AWS Security Hub CSPM : RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** AWS Identity and Access Management la autenticación está habilitada para la instancia de RDS. | **ApplyImmediately:** Indica si las modificaciones de esta solicitud y las modificaciones pendientes se aplican de forma asíncrona lo antes posible. Para aplicar el cambio inmediatamente, elija. `true` Para programar el cambio para el siguiente período de mantenimiento, seleccione. `false` Sin restricciones |
| Hs4Ma3G161: la autenticación de IAM debe configurarse para los clústeres de RDS [Verificación correspondiente AWS Security Hub CSPM : RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** La autenticación de IAM está habilitada para el clúster de RDS. | **ApplyImmediately:** Indica si las modificaciones de esta solicitud y las modificaciones pendientes se aplican de forma asíncrona lo antes posible. Para aplicar el cambio inmediatamente, seleccione. `true` Para programar el cambio para el siguiente período de mantenimiento, seleccione. `false` Sin restricciones |
| Hs4Ma3G162: las actualizaciones automáticas de las versiones secundarias de RDS deberían estar habilitadas Verificación correspondiente AWS Security Hub CSPM : [RDS.13](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade** La configuración de actualización automática de versiones secundarias para Amazon RDS está habilitada. | No se permiten parámetros preconfigurados. La instancia de Amazon RDS debe estar en ese `available` estado para que se produzca esta corrección. |
| Hs4Ma3G163: Los clústeres de bases de datos de RDS deben configurarse para copiar etiquetas en las instantáneas Verificación correspondiente AWS Security Hub CSPM [:](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16) RDS.16 | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagtosnapshot`la configuración de los clústeres de Amazon RDS está habilitada. | No se permiten parámetros preconfigurados. Las instancias de Amazon RDS deben estar en estado disponible para que se produzca esta corrección. |
| Hs4Ma3G164: las instancias de base de datos de RDS deben configurarse para copiar etiquetas en las instantáneas Verificación correspondiente AWS Security Hub CSPM [:](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17) RDS.17 | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagsToSnapshot`la configuración de Amazon RDS está habilitada. | No se permiten parámetros preconfigurados. Las instancias de Amazon RDS deben estar en estado disponible para que se produzca esta corrección. |
| [RsS93 HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots) Instantáneas públicas de Amazon RDS | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** El acceso público a la instantánea de Amazon RDS está deshabilitado. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G103: Los clústeres de Amazon Redshift deberían prohibir el acceso público AWS Security Hub CSPM Comprobación correspondiente: [Redshift.1](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster** El acceso público al clúster de Amazon Redshift está deshabilitado. | No se permiten parámetros preconfigurados. Al deshabilitar el acceso público, se bloquean todos los clientes que vienen de Internet. Además, el clúster de Amazon Redshift permanece en estado de modificación durante unos minutos mientras la corrección inhabilita el acceso público al clúster. |
| Hs4Ma3G106: Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría AWS Security Hub CSPM Comprobación correspondiente: [Redshift.4](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging** El registro de auditoría se habilita en el clúster de Amazon Redshift durante el período de mantenimiento. | No se permiten parámetros preconfigurados. Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados. **BucketName:** El depósito debe estar en el mismo lugar. Región de AWS El clúster debe tener permisos de lectura y colocar objetos. Si el registro del clúster de Redshift está habilitado antes de la ejecución de la automatización, esta automatización podría sobrescribir los ajustes de registro con `S3KeyPrefix` los valores `BucketName` y configurados en los parámetros preconfigurados. |
| Hs4Ma3G105: Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las principales versiones AWS Security Hub CSPM Comprobación correspondiente: [Redshift.6](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade**- Las principales actualizaciones de las versiones se aplican automáticamente al clúster durante el período de mantenimiento. No hay un tiempo de inactividad inmediato para el clúster de Amazon Redshift, pero su clúster de Amazon Redshift podría sufrir un tiempo de inactividad durante el período de mantenimiento si se actualiza a una versión principal. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G104: Los clústeres de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado AWS Security Hub CSPM Comprobación correspondiente: [Redshift.7](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting** El enrutamiento de VPC mejorado está habilitado para los clústeres de Amazon Redshift. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G173: la configuración de acceso público del bloque S3 debe estar habilitada en el nivel del bucket Verificación [correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8): S3.8 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Los bloques de acceso público a nivel de bucket se aplican al bucket de Amazon S3. | No se permiten parámetros preconfigurados. Esta corrección podría afectar a la disponibilidad de los objetos de S3. Para obtener información sobre cómo Amazon S3 evalúa el acceso, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html). |
| Hs4Ma3G230: el registro de acceso al servidor de bucket S3 debe estar habilitado Verificación AWS Security Hub CSPM correspondiente[:](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) S3.9 | **AWSManagedServices-EnableBucketAccessLogging**(documento SSM predeterminado para el modo de ejecución automática y manual) El registro de acceso al servidor Amazon S3 está activado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se debe proporcionar el siguiente parámetro preconfigurado:. **TargetBucket** El depósito de destino debe estar en el mismo depósito Región de AWS y Cuenta de AWS al de origen, con los permisos correctos para la entrega de registros. Para obtener más información, consulte [Habilitación del registro de acceso al servidor de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| Hs4Ma3G230: el registro de acceso al servidor de bucket S3 debe estar habilitado Verificación AWS Security Hub CSPM correspondiente[:](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) S3.9 | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2**: El registro de buckets de Amazon S3 está activado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros: **TargetBucketTagKey**y **TargetBucketTagValue**. El depósito de destino debe estar en el mismo depósito Región de AWS y Cuenta de AWS como el depósito de origen, con los permisos correctos para la entrega de registros. Para obtener más información, consulte [Habilitación del registro de acceso al servidor de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| [Pfx0 RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) Permisos de bucket de Amazon S3 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Bloqueo del acceso público | No se permiten parámetros preconfigurados. Esta comprobación consta de varios criterios de alerta. Esta automatización soluciona los problemas de acceso público. Trusted Advisor No se admite la corrección de otros problemas de configuración señalados por. Esta corrección sí permite corregir los buckets de S3 Servicio de AWS creados (por ejemplo, cf-templates-000000000000). |
| Hs4Ma3G272: Los usuarios no deberían tener acceso root a las instancias de notebook SageMaker Verificación [SageMakercorrespondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3): 3. | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess** El acceso root para los usuarios está deshabilitado en la instancia de SageMaker Notebook. | No se permiten parámetros preconfigurados. Esta corrección provoca una interrupción si la instancia del SageMaker portátil está en ese estado. InService |
| Hs4Ma3G179: los temas de SNS deben cifrarse en reposo mediante AWS KMS Verificación correspondiente AWS Security Hub CSPM : [SNS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) | **AWSManagedServices-EnableSNSEncryptionAtRest** El tema de SNS está configurado con el cifrado del lado del servidor. | **KmsKeyId:** el ID de una clave maestra de cliente AWS gestionada (CMK) para Amazon SNS o una CMK personalizada que se utilizará para el cifrado del lado del servidor (SSE). El valor predeterminado es. `alias/aws/sns` Si se utiliza una AWS KMS clave personalizada, debe configurarse con los permisos correctos. Para obtener más información, consulte el tema [Habilitar el cifrado del lado del servidor (SSE) para Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) |
| Hs4Ma3G158: los documentos SSM no deben ser públicos Verificación correspondiente AWS Security Hub CSPM : [SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing**- Desactiva la compartición pública del documento SSM. | No se permiten parámetros preconfigurados. No hay restricciones |
| Hs4Ma3G136: las colas de Amazon SQS deben cifrarse en reposo Verificación correspondiente AWS Security Hub CSPM : [SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest** Los mensajes de Amazon SQS están cifrados. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Se rechazan ReceiveMessage las solicitudes anónimas SendMessage y a la cola cifrada. Todas las solicitudes hechas a las colas con SSE habilitado deben usar HTTPS y Signature Version 4. |
## Trusted Advisor las comprobaciones de tolerancia a errores son compatibles con Trusted Remediator
| Compruebe la ID y el nombre | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles |
| --- | --- | --- |
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery) Recuperación de Amazon DynamoDB Point-in-time | **AWSManagedServices-TrustedRemediatorEnableDDBPITR** Permite point-in-time la recuperación de tablas de DynamoDB. | No se permiten parámetros preconfigurados. No hay restricciones |
| [R365S2qddf](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) Amazon S3 Bucket Versioning | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning** El control de versiones de bucket de Amazon S3 está activado. | No se permiten parámetros preconfigurados. Esta corrección no permite corregir los buckets de S3 Servicio de AWS creados (por ejemplo, cf-templates-000000000000). |
| [BueAdJ7nRP](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging) Registro de bucket de Amazon S3 | **AWSManagedServices-EnableBucketAccessLogging** El registro de buckets de Amazon S3 está activado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) El depósito de destino debe estar en el mismo depósito Región de AWS y Cuenta de AWS como el depósito de origen, con los permisos correctos para la entrega de registros. Para obtener más información, consulte [Habilitación del registro de acceso al servidor de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| [f2ik5r6dep](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az) Amazon RDS Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ** La implementación en zonas de disponibilidad múltiple está habilitada. | No se permiten parámetros preconfigurados. Es posible que se produzca una degradación del rendimiento durante este cambio. |
| [H7 IgTzj TYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots) Instantáneas de Amazon EBS | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot** EBSsnapshots Se crea Amazon. | No se permiten parámetros preconfigurados. No hay restricciones |
| [Top QPADk ZvH](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Copias de seguridad de RDS | **AWSManagedServices-EnableRDSBackupRetention** La retención de copias de seguridad de Amazon RDS está habilitada para la base de datos. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Si el `ApplyImmediately` parámetro está establecido en`true`, los cambios pendientes en la base de datos se aplican junto con la configuración RDSBackup de retención. |
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Las instancias de base de datos de Amazon RDS tienen desactivado el escalado automático de almacenamiento | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling**- El escalado automático del almacenamiento está habilitado para la instancia de base de datos de Amazon RDS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones |
| [7q GXs KIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining) Conexión Classic Load Balancer: Draining | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining** El drenaje de conexiones está activado en Classic Load Balancer. | **ConnectionDrainingTimeout:** El tiempo máximo, en segundos, para mantener abiertas las conexiones existentes antes de anular el registro de las instancias. El valor predeterminado está establecido en segundos. `300` Sin restricciones |
| [c18d2gz106](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan) Amazon EBS no está incluido en el plan AWS Backup | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan** Amazon EBS está incluido en el AWS Backup plan. | Remediation etiqueta el volumen de Amazon EBS con el siguiente par de etiquetas. El par de etiquetas debe coincidir con los criterios de selección de recursos basados en etiquetas de. AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones |
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan) La tabla Amazon DynamoDB no está incluida en el plan AWS Backup | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan** La tabla Amazon DynamoDB se incluye en el plan. AWS Backup | Remediation etiqueta Amazon DynamoDB con el siguiente par de etiquetas. El par de etiquetas debe coincidir con los criterios de selección de recursos basados en etiquetas de. AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones |
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan) Amazon EFS no está incluido en el AWS Backup plan | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan** Amazon EFS está incluido en el AWS Backup plan. | Remediation etiqueta Amazon EFS con el siguiente par de etiquetas. El par de etiquetas debe coincidir con los criterios de selección de recursos basados en etiquetas de. AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones |
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing) Equilibrador de carga cruzado del equilibrador de carga de red | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing** El equilibrio de carga entre zonas está habilitado en Network Load Balancer. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off) El `synchronous_commit` parámetro Amazon RDS está desactivado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `synchronous_commit`El parámetro está activado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off) El `innodb_flush_log_at_trx_commit` parámetro Amazon RDS no es `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `innodb_flush_log_at_trx_commit`El parámetro está establecido en `1` Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off) El `sync_binlog` parámetro Amazon RDS está desactivado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `sync_binlog`El parámetro está activado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe) La configuración de `innodb_default_row_format` parámetros de Amazon RDS no es segura | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `innodb_default_row_format`El parámetro está establecido en `DYNAMIC` Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c18d2gz144](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled) La monitorización EC2 detallada de Amazon no está habilitada | **AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring** La monitorización detallada está habilitada para Amazon EC2. | No se permiten parámetros preconfigurados. No hay restricciones |
## Trusted Advisor las comprobaciones de rendimiento son compatibles con Trusted Remediator
| Compruebe la ID y el nombre | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles |
| --- | --- | --- |
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size) AWS Lambda funciones insuficientemente aprovisionadas para el tamaño de la memoria | **AWSManagedServices-ResizeLambdaMemory** El tamaño de la memoria de las funciones Lambda se redimensiona al tamaño de memoria recomendado proporcionado por. Trusted Advisor | **RecommendedMemorySize:** la asignación de memoria recomendada para la función Lambda. El rango de valores está entre 128 y 10240. Si el tamaño de la función Lambda se modifica antes de la ejecución de la automatización, esta automatización podría sobrescribir la configuración con el valor recomendado por. Trusted Advisor |
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances) EC2 Instancias de Amazon de alta utilización | **AWSManagedServices-ResizeInstanceByOneLevel** Las EC2 instancias de Amazon se redimensionan en un tipo de instancia superior en el mismo tipo de familia de instancias. Las instancias se detienen e inician durante la operación de cambio de tamaño y vuelven al estado inicial una vez finalizada la ejecución. Esta automatización no admite el cambio de tamaño de las instancias que se encuentran en un grupo de Auto Scaling. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones |
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal) `innodb_change_buffering`Parámetro de Amazon RDS que utiliza un valor inferior al óptimo | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** El valor del `innodb_change_buffering` parámetro se establece en `NONE` Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off) El `autovacuum` parámetro Amazon RDS está desactivado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `autovacuum`El parámetro está activado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off) El `enable_indexonlyscan` parámetro Amazon RDS está desactivado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `enable_indexonlyscan`El parámetro está activado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off) El `enable_indexscan` parámetro Amazon RDS está desactivado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `enable_indexscan`El parámetro está activado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off) El `innodb_stats_persistent` parámetro Amazon RDS está desactivado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `innodb_stats_persistent`El parámetro está activado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on) El `general_logging` parámetro Amazon RDS está activado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `general_logging`El parámetro está desactivado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones |
## Trusted Advisor las comprobaciones de límites de servicio son compatibles con Trusted Remediator
| Compruebe la ID y el nombre | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles |
| --- | --- | --- |
| [Ln7rR0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address) EC2-Dirección IP elástica de VPC | **AWSManagedServices-UpdateVpcElasticIPQuota** Se solicita un nuevo límite para las direcciones IP elásticas de EC2 -VPC. De forma predeterminada, el límite se incrementa en 3. | **Incremento:** el número que se va a aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. |
| [Km7qq0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways) Gateways de Internet de VPC | **AWSManagedServices-IncreaseServiceQuota**- Se solicita un nuevo límite para las pasarelas de Internet de VPC. De forma predeterminada, el límite se incrementa en tres. | **Incremento:** el número que se va a aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. |
| [JL7pp0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check) VPC | **AWSManagedServices-IncreaseServiceQuota** Se solicita un nuevo límite para la VPC. De forma predeterminada, el límite se incrementa en 3. | **Incremento:** el número para aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. |
| [Fw7hh0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups) Grupos de Auto Scaling | **AWSManagedServices-IncreaseServiceQuota** Se solicita un nuevo límite para los grupos de Auto Scaling. De forma predeterminada, el límite se incrementa en 3. | **Incremento:** el número para aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. |
| [3 Njm0 DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups) Grupos de opciones de RDS | **AWSManagedServices-IncreaseServiceQuota** Se solicita un nuevo límite para los grupos de opciones de Amazon RDS. De forma predeterminada, el límite se incrementa en 3. | **Incremento:** el número para aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. |
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers) Application Load Balancers de ELB | **AWSManagedServices-IncreaseServiceQuota** Se solicita un nuevo límite para los balanceadores de carga de aplicaciones ELB. De forma predeterminada, el límite se incrementa en 3. | **Incremento:** el número para aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. |
| [8WiQ K YSt25](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers) Network Load Balancers de ELB | **AWSManagedServices-IncreaseServiceQuota** Se solicita un nuevo límite para los balanceadores de carga de red ELB. De forma predeterminada, el límite se incrementa en 3. | **Incremento:** el número para aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. |
## Trusted Advisor comprobaciones de excelencia operativa respaldadas por Trusted Remediator
| Compruebe la identificación y el nombre | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles |
| --- | --- | --- |
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled) La Amazon API Gateway no registra los registros de ejecución | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** El registro de ejecución está habilitado en la fase API. | No se permiten parámetros preconfigurados. Debe conceder permiso a API Gateway para leer y escribir los registros de su cuenta a CloudWatch fin de habilitar el registro de ejecución; consulte [Configurar el CloudWatch registro para REST APIs en API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) para obtener más información. |
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled) La protección contra eliminación de Elastic Load Balancing no está habilitada para los equilibradores de carga | **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection**- La protección contra eliminación está activada en el Elastic Load Balancer. | No se permiten parámetros preconfigurados. No hay restricciones |
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off) Amazon RDS Performance Insights está desactivado | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights** Performance Insights está activado en Amazon RDS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones |
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled) Registros de acceso a Amazon S3 activados | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** El registro de acceso al bucket de Amazon S3 está activado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se debe proporcionar el siguiente parámetro preconfigurado: **TargetBucketTagKey**y. **TargetBucketTagValue** El depósito de destino debe estar en el mismo depósito Región de AWS y Cuenta de AWS como el depósito de origen, con los permisos correctos para la entrega de registros. Para obtener más información, consulte [Habilitación del registro de acceso al servidor de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
# Configurar la corrección de Trusted Advisor comprobaciones en Trusted Remediator
Las configuraciones se almacenan AWS AppConfig como parte de la aplicación Trusted Remediator. Cada categoría de Trusted Advisor comprobación tiene un perfil de configuración independiente. Para obtener más información sobre Trusted Advisor las categorías, consulte [Ver las categorías de verificación](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor.html#view-check-categories).
Puede configurar las correcciones por recurso o por Trusted Advisor comprobación. Puede aplicar excepciones mediante etiquetas de recursos.
**nota**
La corrección de Trusted Advisor los hallazgos se configura actualmente mediante AWS AppConfig, y esta función es totalmente compatible en la actualidad. AMS anticipa que esto cambiará en el futuro. Se recomienda evitar crear automatizaciones que dependan de ellas AWS AppConfig, ya que este método está sujeto a cambios. Tenga en cuenta que es posible que necesite actualizar o modificar las automatizaciones creadas en torno a la AWS AppConfig implementación actual en el futuro para garantizar la compatibilidad.
El indicador de función Compute Optimizer -> EC2 instances tiene parámetros adicionales:
**allow-upscale: permite escalar instancias** no optimizadas, con aprovisionamiento insuficiente. EC2 El valor predeterminado es “false”.
**min-savings-opportunity-percentage**La oportunidad mínima de porcentaje de ahorro para la remediación automatizada. El valor predeterminado es el 10%
## Configuraciones de corrección predeterminadas
Las configuraciones de las Trusted Advisor comprobaciones individuales se almacenan como AWS AppConfig indicadores. El nombre de la bandera coincide con el nombre del cheque. Cada configuración de verificación contiene los siguientes atributos:
+ **modo de ejecución:** determina cómo Trusted Remediator realiza la corrección predeterminada:
+ **Automatizado:** Trusted Remediator corrige automáticamente los recursos creando un documento SSM OpsItem, ejecutándolo y resolviéndolo después tras una ejecución correcta. OpsItem
+ **Manual:** OpsItem se crea un documento SSM, pero no se ejecuta automáticamente. El documento SSM se revisa y se ejecuta manualmente desde OpsItem la AWS Systems Manager OpsCenter consola.
+ **Condicional:** la corrección está deshabilitada de forma predeterminada. Puede habilitarla para recursos específicos mediante etiquetas. Para obtener más información, consulte las siguientes secciones [Personalice la remediación con etiquetas de recursos](#tr-con-rem-customize-tags) y[Personalice la remediación con etiquetas de anulación de recursos](#tr-con-rem-resource-override).
+ **Inactivo:** no se produce ninguna corrección y no OpsItem se crea ninguna. No puede anular el modo de ejecución de la Trusted Advisor comprobación que está configurada como inactiva.
+ **parámetros preconfigurados:** introduzca valores para los parámetros del documento SSM necesarios para la corrección automática, en el formato de, separados por una coma (`Parameter=Value`,). Consulte los parámetros preconfigurados compatibles [Trusted Advisor comprobaciones compatibles con Trusted Remediator](tr-supported-checks.md) para el documento SSM asociado a cada comprobación.
+ **alternative-automation-document:** Este atributo ayuda a sustituir el documento de automatización existente por otro documento compatible (si está disponible para la comprobación específica). De forma predeterminada, este atributo no está seleccionado.
**nota**
El `alternative-automation-document` atributo no admite documentos de automatización personalizados. Puede utilizar los documentos de automatización de Trusted Remediator compatibles existentes que figuran en[Trusted Advisor comprobaciones compatibles con Trusted Remediator](tr-supported-checks.md).
Por ejemplo, para comprobarlo`Qch7DwouX1`, hay tres documentos SSM asociados: AWSManagedServices-StopEC 2Instance, y AWSManagedServices-ResizeInstanceByOneLevel. AWSManagedServices-TerminateInstance El valor de `alternative-automation-document` puede ser uno de los dos AWSManagedServices-ResizeInstanceByOneLevel AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance es el documento SSM predeterminado que se debe corregir). `Qch7DwouX1`
El valor de cada atributo debe coincidir con las restricciones de ese atributo.
**sugerencia**
Antes de aplicar las configuraciones predeterminadas a las Trusted Advisor comprobaciones, se recomienda considerar el uso de las funciones de etiquetado y anulación de recursos que se describen en las siguientes secciones. Las configuraciones predeterminadas se aplican a todos los recursos de la cuenta, lo que puede no ser conveniente en todos los casos.
A continuación, se muestra un ejemplo de captura de pantalla de una consola con el **modo de ejecución** configurado en **Manual** y los atributos que coinciden con sus restricciones.
![\[Una ilustración del flujo de trabajo de decisiones sobre el modo de ejecución de Trusted Remediator.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-exe-mode-man-new.png)
## Personalice la remediación con etiquetas de recursos
Los **manual-for-tagged-only**atributos **automated-for-tagged-only**y de la configuración de comprobación le permiten especificar etiquetas de recursos para corregir las comprobaciones individuales. Se recomienda utilizar este método cuando se necesita aplicar un comportamiento de corrección coherente a un grupo de recursos que comparten la misma etiqueta o etiquetas. Las siguientes son descripciones de estas etiquetas:
+ **automated-for-tagged-only:** especifique las etiquetas de recursos (uno o más pares de etiquetas, separadas por comas) para que las comprobaciones se corrijan automáticamente, independientemente del modo de ejecución predeterminado.
+ **manual-for-tagged-only:** especifique las etiquetas de recursos (uno o más pares de etiquetas, separadas por comas) para las correcciones que deben ejecutarse manualmente, independientemente del modo de ejecución predeterminado.
Por ejemplo, si desea habilitar la corrección automática para todos los recursos que no son de producción y aplicar la corrección manual para los recursos de producción, puede establecer la configuración de la siguiente manera:
```
"execution-mode": "Conditional",
"automated-for-tagged-only": "Environment=Non-Production",
"manual-for-tagged-only": "Environment=Production",
```
Con las configuraciones anteriores configuradas en sus recursos, compruebe que el comportamiento de la corrección sea el siguiente:
+ Los recursos etiquetados con la etiqueta «Entorno = no producción» se corrigen automáticamente.
+ Los recursos etiquetados con la etiqueta «Medio ambiente = producción» requieren una intervención manual para su remediación.
+ Los recursos sin la etiqueta «Medio ambiente» siguen el modo de ejecución predeterminado («Condicional», en este caso). Por lo tanto, no se realiza ninguna acción con los recursos restantes).
Para obtener asistencia adicional con sus configuraciones, póngase en contacto con su arquitecto de nube.
## Personalice la remediación con etiquetas de anulación de recursos
Las etiquetas de anulación de recursos permiten personalizar el comportamiento de corrección de los recursos individuales, independientemente de sus etiquetas. Al añadir una etiqueta específica a un recurso, se anula el modo de ejecución predeterminado para ese recurso y la comprobación. Trusted Advisor La etiqueta de anulación de recursos tiene prioridad sobre la configuración predeterminada y la configuración de etiquetado de recursos. Por lo tanto, si establece el modo de ejecución predeterminado en **Automatizado**, **Manual** o **Condicional** para un recurso mediante la etiqueta de anulación de recursos, anulará el modo de ejecución predeterminado y cualquier configuración de etiquetado de recursos.
Para anular el modo de ejecución de un recurso, complete los siguientes pasos:
1. Identifique los recursos para los que desea anular la configuración de corrección.
1. Determine el Trusted Advisor identificador de la verificación que desea anular. Puedes encontrar la verificación de los IDs registros admitidos Trusted Advisor . [Trusted Advisor comprobaciones compatibles con Trusted Remediator](tr-supported-checks.md)
1. Añada una etiqueta a los recursos con la siguiente clave y valor:
+ **Clave de etiqueta:** `TR-Trusted Advisor check ID-Execution-Mode` (distingue entre mayúsculas y minúsculas)
En el ejemplo de clave de etiqueta anterior, `Trusted Advisor check ID` sustitúyala por el identificador único de la Trusted Advisor marca que deseas anular.
+ **Valor de etiqueta:** utilice uno de los siguientes valores para el valor de etiqueta:
+ **Automatizado:** Trusted Remediator corrige automáticamente el recurso para esta Trusted Advisor comprobación.
+ **Manual:** OpsItem se crea una para el recurso, pero la corrección no se realiza automáticamente. La corrección se revisa y se ejecuta manualmente desde. OpsItem
+ **Inactivo:** la corrección y OpsItem la creación no se realizan para este recurso ni para la comprobación especificada Trusted Advisor .
Por ejemplo, para corregir automáticamente un volumen de Amazon EBS con el identificador de Trusted Advisor verificación, `DAvU99Dc4C` añada una etiqueta al volumen de EBS. La **clave de la etiqueta** es `TR-DAvU99Dc4C-Execution-Mode` y el valor de la **etiqueta** es. `Automated`
A continuación, se muestra un ejemplo de la consola que muestra la sección **Etiquetas**:
![\[Un ejemplo de la sección Etiquetas de la consola.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-tags-example.png)
# Flujo de trabajo de decisiones en modo ejecución
Existen varios niveles para configurar el modo de ejecución de sus recursos y de cada Trusted Advisor comprobación. El siguiente diagrama muestra cómo Trusted Remediator decide qué modo de ejecución utilizar en función de sus configuraciones:
![\[Ilustración del flujo de trabajo de decisión sobre el modo de ejecución de Trusted Remediator.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-ex-mode-workflow.png)
# Configurar tutoriales de remediación
Los siguientes tutoriales proporcionan ejemplos de cómo crear soluciones comunes en Trusted Remediator
## Corrija todos los recursos manualmente
Este ejemplo configura la corrección manual para todos los volúmenes de Amazon EBS con el identificador de Trusted Advisor comprobación DAv U99Dc4C (volúmenes de Amazon EBS subutilizados).
**Configurar la corrección manual para los volúmenes de Amazon EBS con el identificador de comprobación U99Dc4C DAv**
1. [Abra la consola en appconfig. AWS AppConfig https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/appconfig)
Asegúrese de iniciar sesión con la cuenta de **administrador delegado**.
1. Seleccione **Trusted Remediator** en la lista de aplicaciones.
1. Elija el perfil de configuración **de optimización de costes**.
1. Seleccione el indicador de **volúmenes de Amazon EBS infrautilizados**.
1. **Para el **modo de ejecución, seleccione Manual.****
1. Asegúrese de que los **manual-for-tagged-only**atributos **automated-for-tagged-only**y estén en blanco. Estos atributos se utilizan para anular el modo de ejecución predeterminado para los recursos con etiquetas coincidentes.
**A continuación se muestra un ejemplo de la sección **Atributos** con valores en blanco para **automated-for-tagged-only**manual-for-tagged-only****y **Manual** para el modo de ejecución:**
![\[Un ejemplo de la sección Atributos.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-tutorial1.png)
1. Seleccione **Guardar** para actualizar el valor y, a continuación, seleccione **Guardar nueva versión** para aplicar los cambios. Debe seleccionar **Guardar nueva versión** para que Trusted Remediator reconozca el cambio.
1. Asegúrese de que sus volúmenes de Amazon EBS no tengan una etiqueta con la clave`TR-DAvU99Dc4C-Execution-Mode`. Esta clave de etiqueta anula el modo de ejecución predeterminado para ese volumen de EBS.
## Corrija todos los recursos automáticamente, excepto los recursos seleccionados
**En este ejemplo, se configura la corrección automática para todos los volúmenes de Amazon EBS con el identificador de Trusted Advisor comprobación DAv U99Dc4C (volúmenes de Amazon EBS infrautilizados), con la excepción de los volúmenes especificados que no se van a corregir (denominados inactivos).**
**Configure la corrección automática para los volúmenes de Amazon EBS con el identificador de verificación DAv U99Dc4C, con la excepción de los recursos inactivos seleccionados**
1. [Abra la consola en appconfig. AWS AppConfig https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/appconfig)
Asegúrese de iniciar sesión con la cuenta de **administrador delegado**.
1. Seleccione **Trusted Remediator** en la lista de aplicaciones.
1. Elija el perfil de configuración **de optimización de costes**.
1. Seleccione el indicador de **volúmenes de Amazon EBS infrautilizados**.
1. **Para el **modo de ejecución, seleccione Automatizado.****
1. Asegúrese de que los **manual-for-tagged-only**atributos **automated-for-tagged-only**y estén en blanco. Estos atributos se utilizan para anular el modo de ejecución predeterminado para los recursos con etiquetas coincidentes.
**A continuación se muestra un ejemplo de la sección **Atributos** con valores en blanco para **automated-for-tagged-only**manual-for-tagged-only****y **Automatizado** para el modo de ejecución:**
![\[Un ejemplo de la sección Atributos.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-tutorial2.png)
1. Seleccione **Guardar** para actualizar el valor y, a continuación, seleccione **Guardar nueva versión** para aplicar los cambios. Debe seleccionar **Guardar nueva versión** para que Trusted Remediator reconozca el cambio.
En este punto, todos los volúmenes de Amazon EBS están configurados para su corrección automática.
1. Anule la corrección automática para volúmenes de Amazon EBS seleccionados:
1. Abre la EC2 consola de Amazon en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Elija **Elastic Block Store**, **Volumes**.
1. Seleccione **Tags** (Etiquetas).
1. Elija **Administrar etiquetas**.
1. Añada la siguiente etiqueta:
+ **Clave: Modo de ejecución** TR- DAv U99Dc4C
+ **Valor:** Inactivo
El siguiente es un ejemplo de la sección **Etiquetas** que muestra los campos **Clave** y **Valor**:
![\[Un ejemplo de la sección Atributos.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-tutorial-inactive.png)
1. Repita los pasos 2 a 5 para todos los volúmenes de Amazon EBS que desee excluir de la corrección.
## Corrija los recursos etiquetados automáticamente
Este ejemplo configura la corrección automática para todos los volúmenes de Amazon EBS con la etiqueta `Stage=NonProd` con el identificador de Trusted Advisor comprobación DAv U99Dc4C (volúmenes de Amazon EBS subutilizados). Los demás recursos sin esta etiqueta no se corrigen.
**Configure la corrección automática para los volúmenes de Amazon EBS con la etiqueta `Stage=NonProd` para el ID de comprobación U99Dc4C DAv**
1. [Abra la consola en appconfig. AWS AppConfig https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/appconfig)
Asegúrese de iniciar sesión con la cuenta de **administrador delegado**.
1. Seleccione **Trusted Remediator** en la lista de aplicaciones.
1. Elija el perfil de configuración **de optimización de costes**.
1. Seleccione el indicador de **volúmenes de Amazon EBS infrautilizados**.
1. **Para el **modo de ejecución, seleccione Condicional.****
1. Configure el **automated-for-tagged-only** en `Stage=NonProd`. Este atributo anula el valor predeterminado `execution-mode` para los recursos con etiquetas coincidentes. Asegúrese de que los **manual-for-tagged-only**atributos estén en blanco.
**A continuación, se muestra un ejemplo de la sección de **atributos **automated-for-tagged-only****configurada en **Stage= NonProd** y **Conditional** en el modo de ejecución:**
![\[Un ejemplo de la sección de atributos.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-tutorial-conditional.png)
1. Si lo desea, defina los parámetros preconfigurados en uno de los siguientes valores:
+ `CreateSnapshot=false`para no crear una instantánea del volumen de Amazon EBS antes de eliminarlo
+ `MinimumUnattachedDays=10`establecer un mínimo de 10 días sin adjuntar del volumen de Amazon EBS que se va a eliminar
+ `CreateSnapshot=false`, `MinimumUnattachedDays=10` para los dos casos anteriores
1. Seleccione **Guardar** para actualizar el valor y, a continuación, seleccione **Guardar nueva versión** para aplicar los cambios. Debe seleccionar **Guardar nueva versión** para que Trusted Remediator reconozca el cambio.
1. Asegúrese de que sus volúmenes de Amazon EBS no tengan una etiqueta con la clave`TR-DAvU99Dc4C-Execution-Mode`. Esta clave de etiqueta anula el modo de ejecución predeterminado para ese volumen de EBS.
# Trabaje con las soluciones en Trusted Remediator
## Realice un seguimiento de las correcciones en Trusted Remediator
Para realizar un seguimiento de OpsItems las correcciones, siga estos pasos:
1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Elija **Administración de operaciones**, **OpsCenter**.
1. (Opcional) Filtre la lista por **Source=Trusted Remediator** para incluir solo Trusted Remediator OpsItems en la lista.
**A continuación se muestra un ejemplo de la OpsCenter pantalla filtrada por Source=Trusted Remediator:**
![\[Un ejemplo de la sección de atributos.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-opsitems-console.png)
**nota**
Además OpsItems de verlos desde OpsCenter, puede ver los registros de corrección del bucket AMS S3. Para obtener más información, consulte [Registros de remediación en Trusted Remediator](tr-logging.md).
## Ejecute las correcciones manuales en Trusted Remediator
Trusted Remediator crea comprobaciones configuradas OpsItems para la corrección manual. Debe revisar estas comprobaciones e iniciar el proceso de corrección manualmente.
Para solucionarlo manualmente OpsItem, complete los siguientes pasos:
1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Elija **Administración de operaciones**, **OpsCenter**.
1. (Opcional) Filtre la lista por **Source=Trusted Remediator** para incluir solo Trusted Remediator OpsItems en la lista.
1. Elija lo OpsItem que desee revisar.
1. Revise los datos operativos del OpsItem. Los datos operativos incluyen los siguientes elementos:
+ **trustedAdvisorCheckCategoría:** la categoría del identificador del Trusted Advisor cheque. Por ejemplo, tolerancia a errores
+ **trustedAdvisorCheckID:** el identificador de Trusted Advisor verificación único.
+ **trustedAdvisorCheckMetadatos:** los metadatos del recurso, incluido el ID del recurso.
+ **trustedAdvisorCheckNombre:** el nombre de la Trusted Advisor comprobación.
+ **trustedAdvisorCheckEstado:** el estado de la Trusted Advisor comprobación detectada para el recurso.
1. Para solucionarlo manualmente OpsItem, complete los siguientes pasos:
1. En **Runbooks**, elija uno de los runbooks asociados (documentos SSM).
1. Elija **Ejecutar**.
1. En **AutomationAssumeRole **, elija ` arn:aws:iam::Cuenta de AWS ID:role/ams_ssm_automation_role`. Sustituya el Cuenta de AWS ID por el ID de la cuenta en la que se ejecuta la corrección. Para ver otros valores de parámetros, consulte los **datos de la operación**.
Para corregir los recursos manualmente, el rol o el usuario utilizado para autenticarse Cuenta de AWS debe tener los `iam:PassRole` permisos para el rol de IAM. `ams-ssm-automation-role` Para obtener más información, consulte [Otorgar permisos a un usuario para transferir un rol a un arquitecto de nube Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) o ponerse en contacto con él.
1. Elija **Ejecutar**.
1. Supervisa el progreso de la ejecución del documento SSM en la columna **Últimos estados y resultados**.
1. Cuando se complete el documento, seleccione **Establecer estado**, **resuelto** para resolver manualmente el OpsItem. Si el documento ha fallado, revise los detalles y vuelva a ejecutar el SSMdocument. Para obtener asistencia adicional para la solución de problemas, cree una solicitud de servicio.
Para resolver un problema OpsItem sin remediarlo, selecciona **Establecer el estado** como **Resuelto**.
1. Repita los pasos 3 y 4 para todas las demás correcciones OpsItems manuales.
## Solucione los problemas de las correcciones en Trusted Remediator
Para obtener ayuda con las correcciones manuales y los errores de corrección, póngase en contacto con AMS.
Para ver el estado y los resultados de la reparación, complete los siguientes pasos:
1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Elija **Administración de operaciones**, **OpsCenter**.
1. (Opcional) Filtre la lista por **Source=Trusted Remediator** para incluir solo Trusted Remediator OpsItems en la lista.
1. Elija lo OpsItem que desee revisar.
1. En la sección **Ejecuciones automatizadas**, revise el **nombre y el estado del documento** **y los resultados**.
1. Revise los siguientes errores comunes de automatización. Si sus problemas no aparecen aquí, póngase en contacto con su CSDM para obtener ayuda.
**Errores de corrección comunes**
### No aparece ninguna ejecución en Automation Executions
Si no hay ninguna ejecución asociada a ella, OpsItem podría indicar que la ejecución no se pudo iniciar debido a valores de parámetros incorrectos.
**Pasos para la solución de problemas**
1. En los **datos operativos**, revise el valor de la `trustedAdvisorCheckAutoRemediation` propiedad.
1. Compruebe que los valores **DocumentName**y **los parámetros** sean correctos. Para obtener los valores correctos, consulte [Configurar la corrección de Trusted Advisor comprobaciones en Trusted Remediator](tr-configure-remediations.md) los detalles sobre cómo configurar los parámetros del SSM. Para revisar los parámetros de comprobación admitidos, consulte [Trusted Advisor comprobaciones compatibles con Trusted Remediator](tr-supported-checks.md)
1. Compruebe que los valores del documento SSM coincidan con los patrones permitidos. Para ver los detalles de los parámetros del contenido del documento, seleccione el nombre del documento en la sección **Runbooks**.
1. Tras revisar y corregir los parámetros, vuelva a [ejecutar manualmente el documento SSM](#tr-remediation).
1. Para evitar que se repita este error, asegúrese de configurar la corrección con los valores de **parámetros** correctos en su configuración. Para obtener más información, consulte [Configurar la corrección de Trusted Advisor comprobaciones en Trusted Remediator](tr-configure-remediations.md)
### Ejecuciones fallidas en Automation Executions
Los documentos de remediación contienen varios pasos que interactúan con la Servicios de AWS realización de diversas acciones. APIs Para identificar la causa específica del error, complete los siguientes pasos:
**Pasos para la solución de problemas**
1. Para ver los pasos de ejecución individuales, selecciona el enlace del **identificador de ejecución** que se encuentra en la sección **Ejecuciones automatizadas**. A continuación, se muestra un ejemplo de la consola de Systems Manager que muestra los **pasos de ejecución** de una automatización seleccionada:
![\[Un ejemplo de la consola de Systems Manager que muestra una automatización seleccionada.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-troubleshooting.png)
1. Elija el paso con el estado **Fallido**. Los siguientes son ejemplos de mensajes de error:
+ `NoSuchBucket - An error occurred (NoSuchBucket) when calling the GetPublicAccessBlock operation: The specified bucket does not exist`
Este error indica que se especificó un nombre de depósito incorrecto en los parámetros preconfigurados de la configuración de corrección.
Para resolver este error, [ejecute la automatización manualmente con el nombre](#tr-remediation) de bucket correcto. Para evitar que este problema vuelva a producirse, [actualice la configuración de corrección](tr-configure-remediations.md) con el nombre de bucket correcto.
+ `DB instance my-db-instance-1 is not in available status for modification.`
Este error indica que la automatización no pudo realizar los cambios esperados porque la instancia de base de datos estaba en un estado no válido.
Para resolver este error, [ejecute la automatización manualmente](#tr-remediation).
# Registros de remediación en Trusted Remediator
Trusted Remediator crea registros en formato JSON y los carga en Amazon Simple Storage Service. Los archivos de registro se cargan en un bucket de S3 creado por AMS y denominado. `ams-trusted-remediator-{your-account-id}-logs` AMS crea el bucket de S3 en la cuenta de administrador delegado. Puede importar los archivos de registro QuickSight para generar informes de corrección personalizados.
Para obtener más información, consulte [Integración de Trusted Remediator con QuickSight](tr-qs-integration.md).
## Registro de elementos de remediación
Trusted Remediator crea el `Remediation item log` cuando se crea una remediación OpsItem . Este registro contiene la remediación manual OpsItem y la remediación automática. OpsItem Puede utilizarlo `Remediation item log` para realizar un seguimiento de la visión general de todas las correcciones.
**Ubicación del registro de elementos de corrección para las recomendaciones de Compute Optimizer**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/compute_optimizer_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**Ubicación del registro de elementos de corrección para las comprobaciones Trusted Advisor **
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**URL del archivo de ejemplo del registro de elementos de remediación**
`s3:///ams-trusted-remediator-111122223333-logs/remediation_items/2023-02-06/1675660464-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Formato de registro de elementos de Compute Optimizer Remediation**
```
{
"AccountID": "Account_ID",
"ComputeOptimizerCheckID": "Compute Optimizer check ID",
"ComputeOptimizerCheckName": "Compute Optimizer check name",
"ResourceID": "Resource ID",
"RemediationTime": Remediation creation time,
"ExecutionMode": "Automated or Manual",
"OpsItemID": "OpsItem ID"
}
```
**Trusted Advisor Formato de registro de elementos de corrección**
```
{
"TrustedAdvisorCheckID": Trusted Advisor check ID,
"TrustedAdvisorCheckName": Trusted Advisor check name,
"TrustedAdvisorCheckResultTime": 10 digits epoch time or unix timestamp,
"ResourceID": Resource ID,
"RemediationTime": Remediation creation time,
"ExecutionMode": Automated or Manual,
"OpsItemID": OpsItem ID
}
```
**Contenido de muestra en formato de registro de elementos de Compute Optimizer Remediation**
```
{
"AccountID": "123456789012",
"ComputeOptimizerCheckID": "compute-optimizer-ebs",
"ComputeOptimizerCheckName": "EBS volumes",
"ResourceID": "vol-1235589366f77aca7",
"RemediationTime": 1755044783,
"ExecutionMode": "Manual",
"OpsItemID": "oi-b8888b38fe78"
}
```
**Trusted Advisor Contenido de muestra en formato de registro de elementos de remediación**
```
{
"TrustedAdvisorCheckID": "DAvU99Dc4C",
"TrustedAdvisorCheckName": "Underutilized Amazon EBS Volumes",
"TrustedAdvisorCheckResultTime": 1675614749,
"ResourceID": "vol-00bd8965660b4c16d",
"RemediationTime": 1675660464,
"OpsItemID": "oi-cca5df7af718"
}
```
## Registro automatizado de ejecución de correcciones, Compute Optimizer y Trusted Advisor
Trusted Remediator lo crea `Automated remediation execution log` cuando se completa la ejecución automática de un documento SSM. Este registro contiene detalles de ejecución de SSM únicamente para la corrección automática. OpsItem Puede utilizar este archivo de registro para realizar un seguimiento de las correcciones automatizadas.
**Ubicación del registro de correcciones automatizadas de Compute Optimizer**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer recommendation ID.json`
**Trusted Advisor Ubicación del registro de correcciones automatizado**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID-Resource ID.json`
**Ejemplo de ubicación del registro de correcciones automatizadas de Compute Optimizer**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/1750908858-123456789012-compute-optimizer-ec2-i-1235173471d2cd789.json`
**Trusted Advisor Ejemplo de ubicación del registro de correcciones automatizadas**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2023-02-06/1675660573-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Contenido de muestra en formato de registro de correcciones automatizado**
```
{
"OpsItemID": "oi-767c77e05301",
"SSMExecutionID": "93d091b2-778a-4cbc-b672-006954d76b86",
"SSMExecutionStatus": "Success"}
```
## Registro de cuentas de miembros
Trusted Remediator las crea `Member accounts log` cuando su cuenta está incorporada o desactivada. Puede utilizarla `Member accounts log` para encontrar el ID de cuenta, la incorporación y el tiempo de ejecución de cada cuenta de Regiones de AWS miembro.
**Ubicación del registro de las cuentas de los miembros**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/configuration_logs/member_accounts.json`
**URL del archivo de ejemplo de registro de las cuentas de los miembros**
`s3://ams-trusted-remediator-111122223333-logs/configuration_logs/member_accounts.json`
**Formato de registro de cuentas de miembros**
```
{
"delegated_administrator_account_id": Delegated Administrator account id,
"appconfig_configuration_region": Trusted Remediator AppConfig Region,
"member_accounts": [
{
"account_id": Member account id
"account_partition": Member account partition (for example, aws),
"regions": [
{
"execution_time": Remediation execution time in cron schedule expression,
"execution_timezone": Timezone for the remediation execution time,
"region_name": Región de AWS name
}
...
]
}
...
],
"updated_at": Log update time,
}
```
**Contenido de muestra en formato de registro de cuentas de miembros**
```
{
"delegated_administrator_account_id": "111122223333",
"appconfig_configuration_region": "ap-southeast-2",
"member_accounts": [
{
"account_id": "222233334444",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 9 * * 6",
"execution_timezone": "Australia/Sydney",
"region_name": "ap-southeast-2"
},
{
"execution_time": "0 5 * * 7",
"execution_timezone": "UTC",
"region_name": "us-east-1"
}
]
},
{
"account_id": "333344445555",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 1 * * 5",
"execution_timezone": "Asia/Seoul",
"region_name": "ap-northeast-2"
}
]
}
],
"updated_at": "1730869607"
}
```
# Integración de Trusted Remediator con QuickSight
Puede integrar los registros de Trusted Remediator almacenados en Amazon S3 QuickSight para crear un informe de remediación personalizado. QuickSight la integración es opcional. Esta función le permite usar los registros para crear paneles de informes personalizados. Para obtener informes a pedido para Trusted Remediator, póngase en contacto con su CSDM. Para obtener más información sobre los informes de Trusted Remediator disponibles, consulte. [Informes de Trusted Remediator](trusted-remediator-reports.md)
Para obtener más información sobre la visualización de datos en QuickSight, consulte [Visualización](https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html) de datos en. QuickSight
## Agregue un conjunto de datos QuickSight para el registro de elementos de remediación
Para añadir un conjunto de datos al registro QuickSight de elementos de Remediation, siga estos pasos:
1. Inicie sesión en la QuickSight consola. Puede crear el QuickSight informe en cualquiera de los Región de AWS formatos QuickSight compatibles. Sin embargo, para mejorar el rendimiento y reducir los costes, se recomienda crear el informe en la región en la que se encuentra el depósito de registro de Trusted Remediator.
1. Elija **Conjuntos de datos**.
1. Elija **S3**.
1. En la **nueva fuente de datos de S3**, introduzca los siguientes valores:
+ **Nombre de la fuente de datos:**` trusted-remediator-delegated_administrator_account_id-account_region-remediation-items`.
+ **Cargar un archivo de manifiesto:** Crea un archivo JSON con el siguiente contenido y úsalo. Al crear el archivo, sustituya `logging_bucket_name` la URIPrefixes clave.
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_items/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ Elija **Conectar**.
+ En la ventana **Finalizar la creación del conjunto** de datos, elija **Visualizar**.
+ QuickSight abre la nueva página de la hoja de análisis. Ahora puede crear un nuevo análisis mediante el registro de elementos de remediación.
El siguiente es un ejemplo de análisis:
![\[Un ejemplo de hoja de trabajo de análisis.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-sample-analysis.png)
## Agregue un conjunto de datos QuickSight para el registro de ejecución de la remediación automatizada
1. Inicie sesión en la QuickSight consola. Puede crear el QuickSight informe en cualquiera de los Región de AWS formatos QuickSight compatibles. Sin embargo, para mejorar el rendimiento y reducir los costes, se recomienda crear el informe en la región en la que se encuentra el depósito de registro de Trusted Remediator.
1. Elija **Conjuntos de datos**.
1. Elija **S3**.
1. En la **nueva fuente de datos de S3**, introduzca los siguientes valores:
+ **Nombre de la fuente de datos:**`trusted-remediator-delegated_administrator_account_id-account_region-remediation-executions`.
+ **Cargar un archivo de manifiesto:** cree un archivo JSON con el siguiente contenido y, a continuación, utilice este archivo. Al crear el archivo, sustituya `logging_bucket_name` la URIPrefixes clave.
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_executions/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ Elija **Conectar**.
+ En la ventana **Finalizar la creación del conjunto** de datos, elija **Visualizar**.
+ QuickSight abre la nueva página de la hoja de análisis. Ahora puede crear un nuevo análisis mediante el registro de elementos de remediación.
El siguiente es un ejemplo de análisis:
![\[Un ejemplo de hoja de trabajo de análisis.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-sample-analysis2.png)
# Mejores prácticas en Trusted Remediator
Las siguientes son las mejores prácticas para ayudarle a utilizar Trusted Remediator:
+ Si no está seguro de los resultados de la reparación, comience con el modo de ejecución manual. A veces, aplicar la ejecución automática para las correcciones desde el principio puede provocar resultados inesperados.
+ Realice una revisión semanal de las correcciones OpsItems para obtener información sobre los resultados de Trusted Remediator.
+ Las cuentas de los miembros heredan las configuraciones de la cuenta de administrador delegado. Por lo tanto, es importante estructurar las cuentas de manera que te ayuden a administrar varias cuentas con las mismas configuraciones. Puede eximir los recursos de la configuración predeterminada mediante etiquetas.
# Remediador de confianza FAQs
Las siguientes son preguntas frecuentes sobre Trusted Remediator:
## ¿Qué es Trusted Remediator y en qué me beneficia?
Cuando Compute Optimizer identifica un incumplimiento Trusted Advisor o emite una recomendación, Trusted Remediator responde de acuerdo con sus preferencias especificadas, ya sea aplicando una corrección, solicitando la aprobación mediante correcciones manuales o informando de las correcciones en su próxima revisión empresarial mensual (MBR). La subsanación se lleva a cabo en el momento o el cronograma de remediación que prefieras. Trusted Remediator le ofrece la posibilidad de autogestionar las Trusted Advisor comprobaciones y actuar en función de ellas, con la flexibilidad de configurar y corregir las comprobaciones de forma individual o masiva. Con una biblioteca de documentos de remediación comprobados, AMS aumenta constantemente sus cuentas aplicando controles de seguridad y siguiendo las mejores prácticas. AWS Solo se le notificará si así lo especifica en su configuración. Los usuarios de AMS pueden suscribirse a Trusted Remediator sin coste adicional.
## ¿Cómo se relaciona Trusted Remediator con otros y trabaja con ellos? Servicios de AWS
Tienes acceso a las Trusted Advisor comprobaciones y a las recomendaciones de Compute Optimizer como parte de tu plan Enterprise Support actual. Trusted Remediator se integra con Trusted Advisor Compute Optimizer para aprovechar las capacidades de automatización de AMS existentes. En concreto, AMS utiliza documentos de AWS Systems Manager automatización (manuales de instrucciones) para las correcciones automatizadas. AWS AppConfig se utiliza para configurar los flujos de trabajo de remediación. Puede ver todas las correcciones actuales y pasadas a través del Systems Manager OpsCenter. Los registros de corrección se almacenan en un bucket de Amazon S3. Puede usar los registros para importar y crear paneles de informes personalizados en ellos. QuickSight
## ¿Quién configura las correcciones?
Usted es el propietario de las configuraciones de su cuenta. Administrar las configuraciones es su responsabilidad. Puede ponerse en contacto con su CA o CDSM para que le ayude a gestionar sus configuraciones. También puede ponerse en contacto con AMS mediante una solicitud de servicio para obtener asistencia en materia de configuración, correcciones manuales y solución de problemas relacionados con las correcciones.
## ¿Cómo instalo los documentos de automatización de SSM?
Los documentos de automatización de SSM se comparten automáticamente con las cuentas AMS integradas.
## ¿También se remediarán los recursos propiedad de AMS?
Trusted Remediator no marca los recursos propiedad de AMS. Trusted Remediator se centra únicamente en sus recursos.
## ¿En qué Regiones de AWS está disponible Trusted Remediator y quién puede usarlo?
Trusted Remediator está disponible para los clientes de AMS Accelerate. Para ver una lista actualizada de las regiones de soporte, consulte [Servicios de AWS por región.](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)
## ¿Trusted Remediator provocará la pérdida de recursos?
Dado que los documentos de automatización de SSM actualizan directamente los recursos a través de la AWS API, es posible que se produzcan desviaciones de recursos. Puedes usar etiquetas para segregar los recursos creados a través de tus paquetes existentes CI/CD . Puede configurar Trusted Remediator para que ignore los recursos etiquetados y, al mismo tiempo, corrija los demás recursos.
## ¿Cómo puedo pausar o detener Trusted Remediator?
Puede desactivar Trusted Remediator a través de la AWS AppConfig aplicación. Para pausar o detener Trusted Remediator, complete los siguientes pasos:
1. Abra la AWS AppConfig consola en [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
1. Seleccione Trusted Remediator.
1. Seleccione **Parámetros** en el perfil de configuración.
1. Seleccione el indicador **Suspender Trusted Remediator**.
1. Defina el valor del atributo en`suspended`. `true`
**nota**
Tenga cuidado al utilizar este procedimiento, ya que detendrá Trusted Remediator en todas las cuentas vinculadas a la cuenta de administrador delegado.
## ¿Cómo puedo corregir las comprobaciones que no son compatibles con Trusted Remediator?
Puede seguir comunicándose con AMS a través de Operations On Demand (OOD) en caso de comprobaciones no admitidas. AMS le ayuda a corregir estas comprobaciones. Para obtener más información, consulte [Operations On Demand](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html).
## ¿En qué se diferencia Trusted Remediator de la AWS Config remediación?
AWS Config La remediación es otra solución que le ayuda a optimizar los recursos de la nube y a mantener el cumplimiento de las mejores prácticas. Las siguientes son algunas de las diferencias operativas entre las dos soluciones:
+ Trusted Remediator utiliza Trusted Advisor Compute Optimizer como mecanismos de detección. AWS Config La remediación utiliza AWS Config reglas como mecanismo de detección.
+ En el caso de Trusted Remediator, la remediación se lleva a cabo según el programa de remediación predefinido. En AWS Config, la remediación se produce en tiempo real.
+ Los parámetros de cada remediación de Trusted Remediator se pueden personalizar fácilmente en función de su caso de uso, y la remediación puede automatizarse o hacerse de forma manual añadiendo etiquetas a los recursos.
+ Trusted Remediator proporciona la funcionalidad de generación de informes.
+ Trusted Remediator le envía una notificación por correo electrónico con la lista de las correcciones y el estado de las mismas.
Es posible que algunas Trusted Advisor comprobaciones y recomendaciones de Compute Optimizer incluyan la misma regla. AWS Config Se recomienda habilitar solo una corrección si hay una AWS Config regla y Trusted Advisor una comprobación coincidentes. Para obtener información sobre AWS Config las reglas de cada Trusted Advisor comprobación, consulte[Trusted Advisor comprobaciones compatibles con Trusted Remediator](tr-supported-checks.md).
## ¿Qué recursos utiliza Trusted Remediator en sus cuentas?
Trusted Remediator implementa los siguientes recursos en la cuenta de administrador delegado de Trusted Remediator:
+ Un bucket de Amazon S3 denominado `ams-trusted-remediator-{your-account-id}-logs`. Trusted Remediator crea la solución `Remediation item log` en formato JSON cuando se crea una solución y OpsItem carga los archivos de registro en este depósito.
+ Una AWS AppConfig aplicación para almacenar las configuraciones de corrección para las Trusted Advisor comprobaciones compatibles y las recomendaciones de Compute Optimizer.
Trusted Remediator no despliega recursos en la cuenta de miembro de Trusted Remediator.