Trusted Advisor comprobaciones compatibles con Trusted Remediator - Guía del usuario de AMS Accelerate
Controles de optimización de Trusted Advisor costes compatiblesControles de Trusted Advisor seguridad compatiblesComprobaciones de Trusted Advisor tolerancia a errores compatiblesComprobaciones de Trusted Advisor rendimiento compatiblesComprobaciones Trusted Advisor de límites de servicio compatiblesControles de excelencia Trusted Advisor operativa compatibles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Trusted Advisor comprobaciones compatibles con Trusted Remediator

La siguiente tabla muestra las Trusted Advisor comprobaciones admitidas, los documentos de automatización de SSM, los parámetros preconfigurados y el resultado esperado de los documentos de automatización. Revise el resultado esperado para ayudarle a comprender los posibles riesgos en función de los requisitos de su empresa antes de utilizar un documento de automatización de SSM para corregir las comprobaciones.

Asegúrese de que la regla de configuración correspondiente a cada Trusted Advisor comprobación esté presente en las comprobaciones compatibles para las que desee habilitar la corrección. Para obtener más información, consulta Ver las AWS Trusted Advisor comprobaciones impulsadas por AWS Config. Si una comprobación tiene AWS Security Hub los controles correspondientes, asegúrese de que el control Security Hub esté activado. Para obtener más información, consulte Habilitar los controles en Security Hub. Para obtener información sobre la gestión de los parámetros preconfigurados, consulte Configurar la corrección de comprobaciones de Trusted Advisor en Trusted Remediator.

Trusted Advisor comprobaciones de optimización de costes compatibles con Trusted Remediator

Compruebe la ID y el nombre Nombre del documento SSM y resultado esperado Parámetros y restricciones preconfigurados compatibles

Z4 AUBRNSmz

Direcciones IP elásticas no asociadas

AWSManagedServices-TrustedRemediatorReleaseElasticIP

Libera una dirección IP elástica que no está asociada a ningún recurso.

No se permiten parámetros preconfigurados.

No hay restricciones

c18d2gz150 - Instancias de Amazon detenidas EC2

AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime: Se cancelan EC2 las instancias de Amazon detenidas durante varios días.

  • Crear AMIBefore terminación: para crear la AMI de la instancia como respaldo antes de terminar la EC2 instancia de Amazon, elijatrue. Para no crear una copia de seguridad antes de la finalización, elija. false El valor predeterminado es true.

  • AllowedDays: El número de días que la instancia estuvo detenida antes de ser cancelada. El valor predeterminado es 30.

Sin restricciones

c18d2gz128

Repositorio de Amazon ECR sin política de ciclo de vida configurada

AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy

Crea una política de ciclo de vida para el repositorio especificado si aún no existe una política de ciclo de vida.

ImageAgeLimit: El límite de edad máximo en días (de 1 a 365) para «cualquier» imagen del repositorio de Amazon ECR.

Sin restricciones

DAvU99Dc4C

Volúmenes de Amazon EBS infrautilizados

AWSManagedServices-DeleteUnusedEBSVolume

Elimina los volúmenes de Amazon EBS infrautilizados si los volúmenes no se adjuntaron durante los últimos 7 días. De forma predeterminada, se crea una instantánea de Amazon EBS.

  • CreateSnapshot: Si se establece entrue, la automatización crea una instantánea del volumen de Amazon EBS antes de eliminarlo. El ajuste predeterminado es true. Los valores válidos son true y false (distinguen mayúsculas de minúsculas).

  • MinimumUnattachedDays: Un mínimo de días sin adjuntar del volumen de EBS que se debe eliminar, hasta 62 días. Si se establece en0, el documento SSM no comprueba el período sin adjuntar y elimina el volumen si el volumen no está adjunto actualmente. El valor predeterminado es. 7

Sin restricciones

hola M8 LMh88u

Balanceadores de carga inactivos

AWSManagedServices-DeleteIdleClassicLoadBalancer

Elimina un Classic Load Balancer inactivo si no se utiliza y no hay ninguna instancia registrada.

IdleLoadBalancerDays: el número de días durante los que el Classic Load Balancer ha solicitado 0 conexiones antes de considerarlo inactivo. El valor predeterminado es de siete días.

Si la ejecución automática está habilitada, la automatización elimina los balanceadores de carga clásicos inactivos si no hay instancias de back-end activas. Para todos los balanceadores de carga clásicos inactivos que tienen instancias de back-end activas, pero que no tienen instancias de back-end en buen estado, no se usa la corrección automática OpsItems y para la remediación manual se crea.

TI39HalfU8

Amazon RDS Idle DB Instances

AWSManagedServices-StopIdleRDSInstance

Se detiene la instancia de base de datos de Amazon RDS que ha estado inactiva durante los últimos siete días.

No se permiten parámetros preconfigurados.

No hay restricciones

COr6dfpM05

AWS Lambda funciones sobreaprovisionadas para el tamaño de la memoria

AWSManagedServices-ResizeLambdaMemory

AWS Lambda el tamaño de la memoria de la función se redimensiona al tamaño de memoria recomendado proporcionado por. Trusted Advisor

RecommendedMemorySize: la asignación de memoria recomendada para la función Lambda. El rango de valores está entre 128 y 10240.

Si el tamaño de la función Lambda se modificó antes de que se ejecutara la automatización, esta automatización podría sobrescribir la configuración con el valor recomendado por. Trusted Advisor

QCH7dWoux1

EC2 Instancias Amazon de baja utilización

AWSManagedServices-StopEC2Instance (documento SSM predeterminado para el modo de ejecución automática y manual).

Se detienen EC2 las instancias de Amazon que se utilizan poco.

ForceStopWithInstanceStore: Se configura en true para forzar la detención de las instancias mediante el almacén de instancias. De lo contrario, establézcala en false. El valor predeterminado de false impide que la instancia se detenga. Los valores válidos son verdadero o falso (distingue entre mayúsculas y minúsculas).

Sin restricciones

QCH7DWOUx1

EC2 Instancias Amazon de baja utilización

AWSManagedServices-ResizeInstanceByOneLevel

El tamaño de la EC2 instancia de Amazon se redimensiona en un tipo de instancia inferior en el mismo tipo de familia de instancias. La instancia se detiene e inicia durante la operación de cambio de tamaño y vuelve al estado inicial una vez finalizada la ejecución del documento SSM. Esta automatización no admite el cambio de tamaño de las instancias que se encuentran en un grupo de Auto Scaling.

  • MinimumDaysSinceLastChange: Número mínimo de días desde el último cambio de tipo de instancia. Si el tipo de instancia se modificó dentro de un tiempo específico, el tipo de instancia no cambiará. Se usa 0 para omitir esta validación. El valor predeterminado es 7.

  • Crear AMIBefore cambio de tamaño: para crear la AMI de la instancia como copia de seguridad antes de cambiar el tamaño, elijatrue. Para no crear una copia de seguridad, elijafalse. El valor predeterminado es false. Los valores válidos son true y false (distinguen mayúsculas de minúsculas).

  • ResizeIfStopped: Para continuar con el cambio de tamaño de la instancia, incluso si la instancia está detenida, elijatrue. Para no cambiar automáticamente el tamaño de la instancia si está detenida, elijafalse. Los valores válidos son true y false (distinguen mayúsculas de minúsculas).

Sin restricciones

QCH7DWOUx1

EC2 Instancias Amazon de baja utilización

AWSManagedServices-TerminateInstance

Las EC2 instancias de Amazon poco utilizadas se cancelan si no forman parte de un Auto Scaling Group y la protección de terminación no está habilitada. De forma predeterminada, se crea una AMI.

Crear AMIBefore terminación: defina esta opción como true o false cree una AMI de instancia como respaldo antes de terminar la EC2 instancia. El valor predeterminado es true. Los valores válidos son true y false (distinguen mayúsculas de minúsculas).

Sin restricciones

G31sq1e9u

Underutilized Amazon Redshift Clusters

AWSManagedServices-PauseRedshiftCluster

El clúster de Amazon Redshift está en pausa.

No se permiten parámetros preconfigurados.

No hay restricciones

c1cj39rr6v

Configuración incompleta de cancelación de carga multiparte de Amazon S3

AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload

El bucket de Amazon S3 está configurado con una regla de ciclo de vida para anular las cargas de varias partes que permanecen incompletas después de ciertos días.

DaysAfterInitiation: el número de días transcurridos los cuales Amazon S3 detiene una carga multiparte incompleta. El valor predeterminado es de 7 días.

Sin restricciones

c1z7kmr00n

Recomendaciones de optimización de EC2 costos de Amazon para instancias

 Utilice las recomendaciones de EC2 instancias de Amazon y la EC2 instancia de Amazon inactiva deRecomendaciones de Compute Optimizer respaldadas por Trusted Remediator.

No se permiten parámetros preconfigurados.

No hay restricciones

c1z7kmr02n

Recomendaciones de optimización de costos de Amazon EBS para volúmenes

 Utilice las recomendaciones de volumen de Amazon EBS y el volumen de Amazon EBS inactivo desde. Recomendaciones de Compute Optimizer respaldadas por Trusted Remediator

No se permiten parámetros preconfigurados.

No hay restricciones

c1z7kmr03n

Recomendaciones de optimización de costes de Amazon RDS para instancias de base de datos

 Utilice la instancia inactiva de Amazon RDS deRecomendaciones de Compute Optimizer respaldadas por Trusted Remediator.

No se permiten parámetros preconfigurados.

No hay restricciones

c1z7kmr05n

AWS Lambda recomendaciones de optimización de costes para las funciones

 Utilice las recomendaciones de funciones Lambda de. Recomendaciones de Compute Optimizer respaldadas por Trusted Remediator

No se permiten parámetros preconfigurados.

No hay restricciones

Trusted Advisor controles de seguridad compatibles con Trusted Remediator

Compruebe la ID y el nombre Nombre del documento SSM y resultado esperado Parámetros y restricciones preconfigurados compatibles

12Fnkpl8Y5

Exposed Access Keys

AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey

La clave de acceso IAM expuesta está desactivada.

No se permiten parámetros preconfigurados.

Las aplicaciones configuradas con una clave de acceso de IAM expuesta no se pueden autenticar.

Hs4Ma3G127: el registro de ejecución de API Gateway REST WebSocket y API debe estar habilitado

Verificación APIGatewaycorrespondiente AWS Security Hub: 1.

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

El registro de ejecución está habilitado en la fase de la API.

LogLevel: Nivel de registro para habilitar el registro de la ejecución, ERROR - El registro solo está habilitado para los errores. INFO - El registro está habilitado para todos los eventos.

Debe conceder permiso a API Gateway para leer y escribir los registros de su cuenta a CloudWatch fin de habilitar el registro de ejecución; consulte Configurar el CloudWatch registro para REST APIs en API Gateway para obtener más información.

Hs4Ma3G129: las etapas de la API REST de API Gateway deberían tener el rastreo habilitado AWS X-Ray

Verificación APIGatewaycorrespondiente AWS Security Hub: 3.

AWSManagedServices-EnableApiGateWayXRayTracing

El rastreo de X-Ray está habilitado en la fase API.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G202 - Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo

Verificación APIGatewaycorrespondiente AWS Security Hub: 5.

AWSManagedServices-EnableAPIGatewayCacheEncryption

Habilite el cifrado en reposo para los datos de la caché de la API REST de API Gateway si la etapa de la API REST de API Gateway tiene la caché habilitada.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G177 -

AWS Security Hub Comprobación correspondiente: los grupos de escalado automático asociados a un balanceador de cargas deben usar las comprobaciones de estado del balanceador de cargas .1 AutoScaling

AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck

Las comprobaciones de estado de Elastic Load Balancing están habilitadas para el grupo Auto Scaling.

HealthCheckGracePeriod: La cantidad de tiempo, en segundos, que Auto Scaling espera antes de comprobar el estado de una instancia de Amazon Elastic Compute Cloud que ha entrado en servicio.

La activación de las comprobaciones de estado de Elastic Load Balancing puede provocar el reemplazo de una instancia en ejecución si alguno de los balanceadores de carga de Elastic Load Balancing adjuntos al grupo de Auto Scaling indica que está en mal estado. Para obtener más información, consulte Adjuntar un balanceador de cargas de Elastic Load Balancing a su grupo de Auto Scaling

Hs4Ma3G245: las AWS CloudFormation pilas deben integrarse con Amazon Simple Notification Service

Verificación correspondiente AWS Security Hub CloudFormation: 1.

AWSManagedServices-EnableCFNStackNotification

Asocie una CloudFormation pila a un tema de Amazon SNS para la notificación.

NotificaciónARNs: uno ARNs de los temas de Amazon SNS que se van a asociar a las pilas seleccionadas CloudFormation .

Para habilitar la corrección automática, se debe NotificationARNs proporcionar el parámetro preconfigurado.

Hs4Ma3G210: las distribuciones deben tener el registro habilitado CloudFront

Verificación correspondiente AWS Security Hub : CloudFront2.

AWSManagedServices-EnableCloudFrontDistributionLogging

El registro está habilitado para las CloudFront distribuciones de Amazon.

  • BucketName: el nombre del depósito de Amazon S3 en el que desea almacenar los registros de acceso.

  • S3KeyPrefix: el prefijo de la ubicación en el depósito de S3 de los registros de CloudFront distribución de Amazon.

  • IncludeCookies: Indica si se deben incluir las cookies en los registros de acceso.

Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados:

  • BucketName

  • S3KeyPrefix

  • IncludeCookies

Para conocer estas restricciones de corrección, consulte ¿Cómo activo el registro en mi distribución? CloudFront

Hs4Ma3G109: CloudTrail la validación del archivo de registro debe estar habilitada

Comprobación correspondiente AWS Security Hub CloudTrail: 4.

AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation

Permite la validación CloudTrail del registro de senderos.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G108: las CloudTrail rutas deberían integrarse con Amazon Logs CloudWatch

Verificación correspondiente AWS Security Hub CloudTrail: 5.

AWSManagedServices-IntegrateCloudTrailWithCloudWatch

AWS CloudTrail está integrado con CloudWatch Logs.

  • CloudWatchLogsLogGroupName: nombre del grupo de CloudWatch registros al que se envían los CloudTrail registros. Debe utilizar un grupo de registro que exista en su cuenta.

  • CloudWatchLogsRoleName: Nombre de la función de IAM que debe asumir el punto final de CloudWatch Logs para escribir en el grupo de registros de un usuario. Debe utilizar un rol que ya exista en su cuenta.

Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados:

  • CloudWatchLogsLogGroupName

  • CloudWatchLogsRoleName

Hs4Ma3G217: CodeBuild los entornos de proyecto deben tener una configuración de registro AWS

Verificación correspondiente AWS Security Hub CodeBuild: 4.

AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig

Habilita el registro del CodeBuild proyecto.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G306 - Los clústeres de base de datos de Neptune deberían tener habilitada la protección de eliminación

AWS Security Hub Verificación correspondiente: documento DB.3

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot

Elimina el acceso público de la instantánea manual del clúster de Amazon DocumentDB.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G308: Los clústeres de Amazon DocumentDB deben tener habilitada la protección de eliminación

AWS Security Hub Verificación correspondiente: documento DB.5

AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection

Habilita la protección contra la eliminación del clúster de Amazon DocumentDB.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G323 - Las tablas de DynamoDB deben tener habilitada la protección de eliminación

AWS Security Hub Comprobación correspondiente: DynamoDB.6

AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection

Permite la protección contra la eliminación de tablas DynamoDB que no son de AMS.

No se permiten parámetros preconfigurados.

No hay restricciones

EPS02JT06w: Instantáneas públicas de Amazon EBS

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot

El acceso público a la instantánea de Amazon EBS está deshabilitado.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G118: Los grupos de seguridad predeterminados de VPC no deberían permitir el tráfico entrante o saliente

Verificación EC2correspondiente AWS Security Hub: 2.

AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG

Se eliminan todas las reglas de entrada y salida del grupo de seguridad predeterminado.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G117: Los volúmenes EBS adjuntos deben cifrarse en reposo

Verificación correspondiente AWS Security Hub EC2: 3.

AWSManagedServices-EncryptInstanceVolume

El volumen de Amazon EBS adjunto a la instancia está cifrado.

  • KMSKeyID: ID de AWS KMS clave o ARN para cifrar el volumen.

  • DeleteStaleNonEncryptedSnapshotBackups: un indicador que decide si se debe eliminar la copia de seguridad instantánea de los volúmenes antiguos no cifrados.

La instancia se reinicia como parte de la corrección y es posible revertirla si DeleteStaleNonEncryptedSnapshotBackups está configurada de esta manera, lo que ayuda a false la restauración.

Hs4Ma3G120: las instancias detenidas EC2 deben eliminarse después de un período de tiempo específico

Verificación EC2correspondiente AWS Security Hub: 4.

AWSManagedServices-TerminateInstance(documento SSM predeterminado para el modo de ejecución automática y manual)

EC2 Las instancias de Amazon detenidas durante 30 días se cancelan.

Crear AMIBefore rescisión:. Para crear la AMI de la instancia como respaldo antes de terminar la EC2 instancia, elijatrue. Para no crear una copia de seguridad antes de la finalización, elija. false El valor predeterminado es true.

Sin restricciones

Hs4Ma3G120: las EC2 instancias detenidas deben eliminarse después de un período de tiempo específico

Verificación EC2correspondiente AWS Security Hub: 4.

AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime: EC2 Las instancias de Amazon detenidas durante el número de días definido en Security Hub (el valor predeterminado es 30) se cancelan.

Crear AMIBefore terminación: para crear la AMI de la instancia como respaldo antes de terminar la EC2 instancia, elijatrue. Para no crear una copia de seguridad antes de la finalización, elija. false El valor predeterminado es true.

Sin restricciones

Hs4Ma3G121: el cifrado por defecto de EBS debe estar activado

Verificación correspondiente AWS Security Hub : EC27.

AWSManagedServices-EncryptEBSByDefault

El cifrado de Amazon EBS está habilitado de forma predeterminada para el Región de AWS

No se permiten parámetros preconfigurados.

El cifrado de manera predeterminada es una configuración específica de la región. Si lo habilita para una región, no podrá deshabilitarlo para volúmenes o instantáneas individuales de esa región.

Hs4Ma3G124: Las instancias de EC2 Amazon deberían usar la versión 2 del servicio de metadatos de instancias () IMDSv2

Verificación correspondiente AWS Security Hub EC2: .8.

AWSManagedServices-TrustedRemediatorHabilitar instancia EC2 IMDSv2

EC2 Las instancias de Amazon utilizan Instance Metadata Service versión 2 (IMDSv2).

  • IMDSv1MetricCheckPeriod: El número de días (42-455) para analizar las métricas de IMDSv1 uso CloudWatch. Si la EC2 instancia de Amazon se creó dentro del período de tiempo especificado, el análisis comienza a partir de la fecha de creación de la instancia.

  • HttpPutResponseHopLimit: el número máximo de saltos de red permitidos para el token de metadatos de la instancia. Este valor se puede configurar entre saltos 1 y2. Un límite de saltos de 1 restringe el acceso del token a los procesos que se ejecutan directamente en la instancia, mientras que un límite de saltos de 2 permite el acceso desde los contenedores que se ejecutan en la instancia.

Sin restricciones

Hs4Ma3G207: las EC2 subredes no deberían asignar automáticamente direcciones IP públicas

Verificación EC2correspondiente AWS Security Hub: 1.5

AWSManagedServices-UpdateAutoAssignPublicIpv4 direcciones

Las subredes de VPC están configuradas para no asignar automáticamente direcciones IP públicas.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G209: se eliminan las listas de control de acceso a la red no utilizadas

Verificación EC2correspondiente AWS Security Hub: 1.6

AWSManagedServices-DeleteUnusedNACL

Eliminar la ACL de red no utilizada

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G215: Los grupos de seguridad de EC2 Amazon no utilizados deberían eliminarse

Verificación correspondiente AWS Security Hub EC2: .22

AWSManagedServices-DeleteSecurityGroups

Elimine los grupos de seguridad no utilizados.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G247: Amazon Transit EC2 Gateway no debería aceptar automáticamente las solicitudes de adjuntos de VPC

Verificación EC2correspondiente AWS Security Hub: 2.3

AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach- Desactiva la aceptación automática de las solicitudes de adjuntos de VPC para el Amazon Transit EC2 Gateway especificado que no sea de AMS.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G235: los repositorios privados de ECR deberían tener configurada la inmutabilidad de etiquetas

Verificación correspondiente AWS Security Hub : ECR.2

AWSManagedServices-TrustedRemediatorSetImageTagImmutability

Establece la configuración de mutabilidad de la etiqueta de imagen en INMUTABLE para el repositorio especificado.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G216: los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

Verificación AWS Security Hub correspondiente: ECR.3

AWSManagedServices-PutECRRepositoryLifecyclePolicy

El repositorio de ECR tiene configurada una política de ciclo de vida.

LifecyclePolicyText: El texto de la política del repositorio JSON que se aplicará al repositorio.

Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados:

LifecyclePolicyText

Hs4Ma3G325: los clústeres EKS deben tener habilitado el registro de auditoría

Verificación correspondiente AWS Security Hub : EKS.8

AWSManagedServices-TrustedRemediatorEnableEKSAuditLog

El registro de auditoría está habilitado para el clúster EKS.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G183: el balanceador de carga de aplicaciones debe configurarse para eliminar los encabezados HTTP

Verificación AWS Security Hub correspondiente: ELB.4

AWSConfigRemediation-DropInvalidHeadersForALB

Application Load Balancer está configurado para campos de encabezado no válidos.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G184: Debe habilitarse el registro de los balanceadores de carga de aplicaciones y los balanceadores de carga clásicos

Verificación correspondiente AWS Security Hub : ELB.5

AWSManagedServices-EnableELBLogging (documento SSM predeterminado para el modo de ejecución automática y manual)

El registro de Application Load Balancer y Classic Load Balancer está habilitado.

  • BucketName: el nombre del depósito (no el ARN). Asegúrese de que la política de bucket esté configurada correctamente para el registro.

  • S3KeyPrefix: el prefijo de la ubicación en el bucket de Amazon S3 para los registros de Elastic Load Balancing.

Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados:

  • BucketName

  • S3KeyPrefix

El bucket de Amazon S3 debe tener una política de bucket que conceda permiso a Elastic Load Balancing para escribir los registros de acceso en el bucket.

Hs4Ma3G184: El registro de los balanceadores de carga de aplicaciones y los balanceadores de carga clásicos debe estar habilitado

Verificación correspondiente AWS Security Hub : ELB.5

AWSManagedServices-EnableELBLoggingV2

El registro de Application Load Balancer y Classic Load Balancer está habilitado.

  • TargetBucketTagKey: el nombre de la etiqueta (distingue entre mayúsculas y minúsculas) que se utiliza para identificar el bucket de Amazon S3 de destino. Utilícela junto con TargetBucketTagValue la etiqueta del bucket que servirá como bucket de destino para el registro de acceso.

  • TargetBucketTagValue: el valor de la etiqueta (distingue entre mayúsculas y minúsculas) que se utiliza para identificar el bucket de Amazon S3 de destino. Úselo para TargetBucketTagKey etiquetar el bucket que servirá como bucket de destino para el registro de acceso.

  • S3BucketPrefix: el prefijo (jerarquía lógica) del bucket de Amazon S3. El prefijo que especifique no debe incluir la cadena AWSLogs. Para obtener más información, consulte Organizar objetos con prefijos.

    Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados:

    • TargetBucketTagKey

    • TargetBucketTagValue

    • S3BucketPrefix

    El bucket de Amazon S3 debe tener una política de bucket que conceda permiso a Elastic Load Balancing para escribir los registros de acceso en el bucket.

Hs4Ma3G326: La configuración de acceso público del bloque Amazon EMR debe estar habilitada

AWS Security Hub Verificación correspondiente: EMR.2

AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess

La configuración de acceso público del bloqueo de Amazon EMR está activada en la cuenta.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G135: las AWS KMS claves no deben borrarse involuntariamente

Verificación correspondiente AWS Security Hub : KMS.3

AWSManagedServices-CancelKeyDeletion

AWS KMS se cancela la eliminación de la clave.

No se permite ningún parámetro preconfigurado.

No hay restricciones

Hs4Ma3G299 - Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

AWS Security Hub Comprobación correspondiente: Neptune.4

AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection

Habilita la protección contra la eliminación del clúster de Amazon Neptune.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G319 - Los firewalls de Network Firewall deben tener habilitada la protección de eliminación

Verificación AWS Security Hub correspondiente NetworkFirewall: 9.

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection- Habilita la protección de eliminación para AWS Network Firewall.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G223: los OpenSearch dominios deben cifrar los datos enviados entre nodos

Verificación correspondiente AWS Security Hub OpenSearch: 3.

AWSManagedServices-EnableOpenSearchNodeToNodeEncryption

El cifrado de nodo a nodo está habilitado para el dominio.

No se permiten parámetros preconfigurados.

Una vez que se habilita el node-to-node cifrado, no se puede deshabilitar la configuración. En su lugar, haz una instantánea manual del dominio cifrado, crea otro dominio, migra tus datos y, a continuación, elimina el dominio anterior.

Hs4Ma3G222: el registro de errores de OpenSearch dominio en los registros debe estar habilitado CloudWatch

Verificación correspondiente AWS Security Hub : Opensearch.4

AWSManagedServices-EnableOpenSearchLogging

El registro de errores está activado para el dominio. OpenSearch

CloudWatchLogGroupArn: El ARN de un grupo de registros de Amazon CloudWatch Logs.

Para habilitar la corrección automática, se debe proporcionar el siguiente parámetro preconfigurado:. CloudWatchLogGroupArn

La política CloudWatch de recursos de Amazon debe configurarse con permisos. Para obtener más información, consulta Cómo habilitar los registros de auditoría en la Guía del usuario de Amazon OpenSearch Service

Hs4Ma3G221: los OpenSearch dominios deben tener habilitado el registro de auditoría

Verificación correspondiente AWS Security Hub : Opensearch.5

AWSManagedServices-EnableOpenSearchLogging

OpenSearch los dominios están configurados con el registro de auditoría activado.

CloudWatchLogGroupArn: el ARN del grupo de CloudWatch registros en el que se van a publicar los registros.

Para habilitar la corrección automática, se debe proporcionar el siguiente parámetro preconfigurado: CloudWatchLogGroupArn

La política CloudWatch de recursos de Amazon debe configurarse con permisos. Para obtener más información, consulta Cómo habilitar los registros de auditoría en la Guía del usuario de Amazon OpenSearch Service

Hs4Ma3G220: Las conexiones a los OpenSearch dominios deben cifrarse mediante TLS 1.2

Verificación correspondiente AWS Security Hub : Opensearch.8

AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2

La política de TLS está configurada como `policy-MIN-TLS-1-2-2019-07` y solo se permiten las conexiones cifradas a través de HTTPS (TLS).

No se permiten parámetros preconfigurados.

Se requieren conexiones a los OpenSearch dominios para usar TLS 1.2. El cifrado de los datos en tránsito puede afectar al rendimiento. Pruebe sus aplicaciones con esta función para comprender el perfil de rendimiento y el impacto del TLS.

Hs4Ma3G194: La instantánea de Amazon RDS debe ser privada

Verificación correspondiente AWS Security Hub : RDS.1

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

El acceso público a la instantánea de Amazon RDS está deshabilitado.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G192: las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible AWS

Verificación correspondiente AWS Security Hub : RDS.2

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance

Inhabilite el acceso público a la instancia de base de datos de RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G189: la supervisión mejorada está configurada para las instancias de base de datos de Amazon RDS

Verificación correspondiente AWS Security Hub : RDS.6

AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring

Habilite una supervisión mejorada para las instancias de base de datos de Amazon RDS

  • MonitoringInterval: El intervalo, en segundos, entre los puntos en los que se recopilan las métricas de supervisión mejorada para la instancia de base de datos. Los intervalos válidos son 0, 1, 5, 10, 15, 30 y 60. Para deshabilitar la recopilación de métricas de monitorización mejorada, especifique 0.

  • MonitoringRoleName: el nombre de la función de IAM que permite a Amazon RDS enviar métricas de supervisión mejoradas a Amazon CloudWatch Logs. Si no se especifica un rol, se usa o rds-monitoring-role se crea el rol predeterminado, si no existe.

Si se habilita la supervisión mejorada antes de la ejecución de la automatización, esta automatización podría sobrescribir los ajustes con los MonitoringRoleName valores MonitoringInterval y configurados en los parámetros preconfigurados.

Hs4Ma3G190: Los clústeres de Amazon RDS deben tener habilitada la protección de eliminación

Verificación correspondiente AWS Security Hub : RDS.7

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

La protección contra la eliminación está habilitada para los clústeres de Amazon RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G198: Las instancias de base de datos de Amazon RDS deben tener habilitada la protección de eliminación

Verificación correspondiente AWS Security Hub : RDS.8

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

La protección contra la eliminación está habilitada para las instancias de Amazon RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G199: las instancias de base de datos de RDS deberían publicar los registros en Logs CloudWatch

Verificación correspondiente AWS Security Hub : RDS.9

AWSManagedServices-TrustedRemediatorEnableRDSLogExports

La exportación de registros de RDS está habilitada para la instancia de base de datos de RDS o el clúster de base de datos de RDS.

No se permiten parámetros preconfigurados.

Se requiere el rol AWSServiceRoleForRDS vinculado al servicio.

Hs4Ma3G160: la autenticación de IAM debe configurarse para las instancias de RDS

Verificación correspondiente AWS Security Hub : RDS.10

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

AWS Identity and Access Management la autenticación está habilitada para la instancia de RDS.

ApplyImmediately: Indica si las modificaciones de esta solicitud y las modificaciones pendientes se aplican de forma asíncrona lo antes posible. Para aplicar el cambio inmediatamente, elija. true Para programar el cambio para el siguiente período de mantenimiento, seleccione. false

Sin restricciones

Hs4Ma3G161: la autenticación de IAM debe configurarse para los clústeres de RDS

Verificación correspondiente AWS Security Hub : RDS.12

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

La autenticación de IAM está habilitada para el clúster de RDS.

ApplyImmediately: Indica si las modificaciones de esta solicitud y las modificaciones pendientes se aplican de forma asíncrona lo antes posible. Para aplicar el cambio inmediatamente, seleccione. true Para programar el cambio para el siguiente período de mantenimiento, seleccione. false

Sin restricciones

Hs4Ma3G162: las actualizaciones automáticas de las versiones secundarias de RDS deberían estar habilitadas

Verificación correspondiente AWS Security Hub : RDS.13

AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade

La configuración de actualización automática de versiones secundarias para Amazon RDS está habilitada.

No se permiten parámetros preconfigurados.

La instancia de Amazon RDS debe estar en ese available estado para que se produzca esta corrección.

Hs4Ma3G163: Los clústeres de bases de datos de RDS deben configurarse para copiar etiquetas en las instantáneas

Verificación correspondiente AWS Security Hub : RDS.16

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagtosnapshotla configuración de los clústeres de Amazon RDS está habilitada.

No se permiten parámetros preconfigurados.

Las instancias de Amazon RDS deben estar en estado disponible para que se produzca esta corrección.

Hs4Ma3G164: las instancias de base de datos de RDS deben configurarse para copiar etiquetas en las instantáneas

Verificación correspondiente AWS Security Hub : RDS.17

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagsToSnapshotla configuración de Amazon RDS está habilitada.

No se permiten parámetros preconfigurados.

Las instancias de Amazon RDS deben estar en estado disponible para que se produzca esta corrección.

RsS93 HQwa1

Instantáneas públicas de Amazon RDS

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

El acceso público a la instantánea de Amazon RDS está deshabilitado.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G103: Los clústeres de Amazon Redshift deberían prohibir el acceso público

AWS Security Hub Comprobación correspondiente: Redshift.1

AWSManagedServices-DisablePublicAccessOnRedshiftCluster

El acceso público al clúster de Amazon Redshift está deshabilitado.

No se permiten parámetros preconfigurados.

Al deshabilitar el acceso público, se bloquean todos los clientes que vienen de Internet. Además, el clúster de Amazon Redshift permanece en estado de modificación durante unos minutos mientras la corrección inhabilita el acceso público al clúster.

Hs4Ma3G106: Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría

AWS Security Hub Comprobación correspondiente: Redshift.4

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging

El registro de auditoría se habilita en el clúster de Amazon Redshift durante el período de mantenimiento.

No se permiten parámetros preconfigurados.

Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados.

BucketName: El depósito debe estar en el mismo lugar. Región de AWS El clúster debe tener permisos de lectura y colocar objetos.

Si el registro del clúster de Redshift está habilitado antes de la ejecución de la automatización, esta automatización podría sobrescribir los ajustes de registro con S3KeyPrefix los valores BucketName y configurados en los parámetros preconfigurados.

Hs4Ma3G105: Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las principales versiones

AWS Security Hub Comprobación correspondiente: Redshift.6

AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade- Las principales actualizaciones de las versiones se aplican automáticamente al clúster durante el período de mantenimiento. No hay un tiempo de inactividad inmediato para el clúster de Amazon Redshift, pero su clúster de Amazon Redshift podría sufrir un tiempo de inactividad durante el período de mantenimiento si se actualiza a una versión principal.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G104: Los clústeres de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado

AWS Security Hub Comprobación correspondiente: Redshift.7

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting

El enrutamiento de VPC mejorado está habilitado para los clústeres de Amazon Redshift.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G173: la configuración de acceso público del bloque S3 debe estar habilitada en el nivel del bucket

Verificación correspondiente AWS Security Hub: S3.8

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

Los bloques de acceso público a nivel de bucket se aplican al bucket de Amazon S3.

No se permiten parámetros preconfigurados.

Esta corrección podría afectar a la disponibilidad de los objetos de S3. Para obtener información sobre cómo Amazon S3 evalúa el acceso, consulte Bloquear el acceso público a su almacenamiento de Amazon S3.

Hs4Ma3G230: el registro de acceso al servidor de bucket S3 debe estar habilitado

Verificación AWS Security Hub correspondiente: S3.9

AWSManagedServices-EnableBucketAccessLogging(documento SSM predeterminado para el modo de ejecución automática y manual)

El registro de acceso al servidor Amazon S3 está activado.

  • TargetBucket: El nombre del depósito de S3 para almacenar los registros de acceso al servidor.

  • TargetObjectKeyFormat: formato de clave de Amazon S3 para objetos de registro (los valores distinguen entre mayúsculas y minúsculas). Para usar el formato simple de las claves S3 para los objetos de registro, elijaSimplePrefix. Para usar la clave S3 particionada para los objetos de registro y usarla EventTime para el prefijo particionado, elija. PartitionedPrefixEventTime Para usar la clave S3 particionada para los objetos de registro y usarla DeliveryTime para el prefijo particionado, elija. PartitionedPrefixDeliveryTime Los valores admitidos son SimplePrefix, PartitionedPrefixEventTime y PartitionedPrefixDeliveryTime.

Para habilitar la corrección automática, se debe proporcionar el siguiente parámetro preconfigurado:. TargetBucket

El depósito de destino debe estar en el mismo depósito Región de AWS y Cuenta de AWS al de origen, con los permisos correctos para la entrega de registros. Para obtener más información, consulte Habilitación del registro de acceso al servidor de Amazon S3.

Hs4Ma3G230: el registro de acceso al servidor de bucket S3 debe estar habilitado

Verificación AWS Security Hub correspondiente: S3.9

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2: El registro de buckets de Amazon S3 está activado.

  • TargetBucketTagKey: El nombre de la etiqueta (distingue entre mayúsculas y minúsculas) para identificar el bucket de destino. Utilícelo TargetBucketTagValuepara etiquetar el depósito que se utilizará como depósito de destino para el registro de acceso.

  • TargetBucketTagValue: El valor de la etiqueta (distingue entre mayúsculas y minúsculas) para identificar el depósito de destino, TargetBucketTagKeyutilícelo y etiquete el depósito para que se utilice como depósito de destino para el registro de acceso.

  • TargetObjectKeyFormat: Formato de clave de Amazon S3 para objetos de registro (los valores distinguen entre mayúsculas y minúsculas): para usar el formato simple de las claves S3 para objetos de registro, elija SimplePrefix. Para usar la clave S3 particionada para los objetos de registro y usarla EventTime para el prefijo particionado, elija. PartitionedPrefixEventTime Para usar la clave S3 particionada para los objetos de registro y usarla DeliveryTime para el prefijo particionado, elija. PartitionedPrefixDeliveryTime El valor predeterminado es PartitionedPrefixEventTime.

Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros: TargetBucketTagKeyy TargetBucketTagValue.

El depósito de destino debe estar en el mismo depósito Región de AWS y Cuenta de AWS como el depósito de origen, con los permisos correctos para la entrega de registros. Para obtener más información, consulte Habilitación del registro de acceso al servidor de Amazon S3.

Pfx0 RwqBli

Permisos de bucket de Amazon S3

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

Bloqueo del acceso público

No se permiten parámetros preconfigurados.

Esta comprobación consta de varios criterios de alerta. Esta automatización soluciona los problemas de acceso público. Trusted Advisor No se admite la corrección de otros problemas de configuración señalados por. Esta corrección sí permite corregir los buckets de S3 Servicio de AWS creados (por ejemplo, cf-templates-000000000000).

Hs4Ma3G272: Los usuarios no deberían tener acceso root a las instancias de notebook SageMaker

Verificación SageMakercorrespondiente AWS Security Hub: 3.

AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess

El acceso root para los usuarios está deshabilitado en la instancia de SageMaker Notebook.

No se permiten parámetros preconfigurados.

Esta corrección provoca una interrupción si la instancia del SageMaker portátil está en ese estado. InService

Hs4Ma3G179: los temas de SNS deben cifrarse en reposo mediante AWS KMS

Verificación correspondiente AWS Security Hub : SNS.1

AWSManagedServices-EnableSNSEncryptionAtRest

El tema de SNS está configurado con el cifrado del lado del servidor.

KmsKeyId: el ID de una clave maestra de cliente AWS gestionada (CMK) para Amazon SNS o una CMK personalizada que se utilizará para el cifrado del lado del servidor (SSE). El valor predeterminado es. alias/aws/sns

Si se utiliza una AWS KMS clave personalizada, debe configurarse con los permisos correctos. Para obtener más información, consulte el tema Habilitar el cifrado del lado del servidor (SSE) para Amazon SNS

Hs4Ma3G158: los documentos SSM no deben ser públicos

Verificación correspondiente AWS Security Hub : SSM.4

AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing- Desactiva la compartición pública del documento SSM.

No se permiten parámetros preconfigurados.

No hay restricciones

Hs4Ma3G136: las colas de Amazon SQS deben cifrarse en reposo

Verificación correspondiente AWS Security Hub : SQS.1

AWSManagedServices-EnableSQSEncryptionAtRest

Los mensajes de Amazon SQS están cifrados.

  • SqsManagedSseEnabled: Establecido en true para habilitar el cifrado de colas del lado del servidor mediante claves de cifrado propiedad de Amazon SQS, configurado en para false habilitar el cifrado de colas del lado del servidor mediante una clave. AWS KMS

  • KMSKeyID: el ID o el alias de una clave maestra de cliente AWS gestionada (CMK) para Amazon SQS o una CMK personalizada que se utilizará para cifrar la cola en el servidor. Si no se proporciona, se utiliza. alias/aws/sqs

  • KmsDataKeyReusePeriodSeconds: El tiempo, en segundos, durante el que Amazon SQS puede reutilizar una clave de datos para cifrar o descifrar los mensajes antes de volver a llamar. AWS KMS Un entero que representa segundos, entre 60 segundos (1 minuto) y 86 400 segundos (24 horas). Esta configuración se ignora si SqsManagedSseEnabled se establece en. true

Se rechazan ReceiveMessage las solicitudes anónimas SendMessage y a la cola cifrada. Todas las solicitudes hechas a las colas con SSE habilitado deben usar HTTPS y Signature Version 4.

Trusted Advisor las comprobaciones de tolerancia a errores son compatibles con Trusted Remediator

Compruebe la ID y el nombre Nombre del documento SSM y resultado esperado Parámetros y restricciones preconfigurados compatibles

c18d2gz138

Recuperación de Amazon DynamoDB Point-in-time

AWSManagedServices-TrustedRemediatorEnableDDBPITR

Permite point-in-time la recuperación de tablas de DynamoDB.

No se permiten parámetros preconfigurados.

No hay restricciones

R365S2qddf

Amazon S3 Bucket Versioning

AWSManagedServices-TrustedRemediatorEnableBucketVersioning

El control de versiones de bucket de Amazon S3 está activado.

No se permiten parámetros preconfigurados.

Esta corrección no permite corregir los buckets de S3 Servicio de AWS creados (por ejemplo, cf-templates-000000000000).

BueAdJ7nRP

Registro de bucket de Amazon S3

AWSManagedServices-EnableBucketAccessLogging

El registro de buckets de Amazon S3 está activado.

  • TargetBucket: el nombre del depósito de S3 para almacenar los registros de acceso al servidor.

  • TargetObjectKeyFormat: formato de clave Amazon S3 para objetos de registro, si desea utilizar el formato simple de claves S3 para objetos de registro, elijaSimplePrefix. Para usar la clave S3 particionada para los objetos de registro y usarla EventTime para el prefijo particionado, elija. PartitionedPrefixEventTime Para usar la clave S3 particionada para los objetos de registro y usarla DeliveryTime para el prefijo particionado, elija. PartitionedPrefixDeliveryTime El valor predeterminado es PartitionedPrefixEventTime. Los valores válidos sonSimplePrefix, PartitionedPrefixEventTime y PartitionedPrefixDeliveryTime (distinguen mayúsculas de minúsculas).

Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados:

  • TargetBucket

El depósito de destino debe estar en el mismo depósito Región de AWS y Cuenta de AWS como el depósito de origen, con los permisos correctos para la entrega de registros. Para obtener más información, consulte Habilitación del registro de acceso al servidor de Amazon S3.

f2ik5r6dep

Amazon RDS Multi-AZ

AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ

La implementación en zonas de disponibilidad múltiple está habilitada.

No se permiten parámetros preconfigurados.

Es posible que se produzca una degradación del rendimiento durante este cambio.

H7 IgTzj TYb

Instantáneas de Amazon EBS

AWSManagedServices-TrustedRemediatorCreateEBSSnapshot

EBSsnapshots Se crea Amazon.

No se permiten parámetros preconfigurados.

No hay restricciones

Top QPADk ZvH

Copias de seguridad de RDS

AWSManagedServices-EnableRDSBackupRetention

La retención de copias de seguridad de Amazon RDS está habilitada para la base de datos.

  • BackupRetentionPeriod: El número de días (de 1 a 35) para conservar las copias de seguridad automatizadas.

  • ApplyImmediately: Indica si el cambio de retención de la copia de seguridad de RDS y cualquier modificación pendiente se aplican de forma asíncrona lo antes posible. Elija true aplicar el cambio inmediatamente o programarlo false para el siguiente período de mantenimiento.

Si el ApplyImmediately parámetro está establecido entrue, los cambios pendientes en la base de datos se aplican junto con la configuración RDSBackup de retención.

c1qf5bt013

Las instancias de base de datos de Amazon RDS tienen desactivado el escalado automático de almacenamiento

AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling- El escalado automático del almacenamiento está habilitado para la instancia de base de datos de Amazon RDS.

Sin restricciones

7q GXs KIUw

Conexión Classic Load Balancer: Draining

AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining

El drenaje de conexiones está activado en Classic Load Balancer.

ConnectionDrainingTimeout: El tiempo máximo, en segundos, para mantener abiertas las conexiones existentes antes de anular el registro de las instancias. El valor predeterminado está establecido en segundos. 300

Sin restricciones

c18d2gz106

Amazon EBS no está incluido en el plan AWS Backup

AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan

Amazon EBS está incluido en el AWS Backup plan.

 Remediation etiqueta el volumen de Amazon EBS con el siguiente par de etiquetas. El par de etiquetas debe coincidir con los criterios de selección de recursos basados en etiquetas de. AWS Backup

  • TagKey

  • TagValue

Sin restricciones

c18d2gz107

La tabla Amazon DynamoDB no está incluida en el plan AWS Backup

AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlan

La tabla Amazon DynamoDB se incluye en el plan. AWS Backup

Remediation etiqueta Amazon DynamoDB con el siguiente par de etiquetas. El par de etiquetas debe coincidir con los criterios de selección de recursos basados en etiquetas de. AWS Backup

  • TagKey

  • TagValue

Sin restricciones

c18d2gz117

Amazon EFS no está incluido en el AWS Backup plan

AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan

Amazon EFS está incluido en el AWS Backup plan.

 Remediation etiqueta Amazon EFS con el siguiente par de etiquetas. El par de etiquetas debe coincidir con los criterios de selección de recursos basados en etiquetas de. AWS Backup

  • TagKey

  • TagValue

Sin restricciones

c18d2gz105

Equilibrador de carga cruzado del equilibrador de carga de red

AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing

El equilibrio de carga entre zonas está habilitado en Network Load Balancer.

No se permiten parámetros preconfigurados.

No hay restricciones

c1qf5bt026

El synchronous_commit parámetro Amazon RDS está desactivado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

synchronous_commitEl parámetro está activado en Amazon RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

c1qf5bt030

El innodb_flush_log_at_trx_commit parámetro Amazon RDS no es 1

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

innodb_flush_log_at_trx_commitEl parámetro está establecido en 1 Amazon RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

c1qf5bt031

El sync_binlog parámetro Amazon RDS está desactivado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

sync_binlogEl parámetro está activado en Amazon RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

c1qf5bt036

La configuración de innodb_default_row_format parámetros de Amazon RDS no es segura

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

innodb_default_row_formatEl parámetro está establecido en DYNAMIC Amazon RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

c18d2gz144

La monitorización EC2 detallada de Amazon no está habilitada

AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring

La monitorización detallada está habilitada para Amazon EC2.

No se permiten parámetros preconfigurados.

No hay restricciones

Trusted Advisor las comprobaciones de rendimiento son compatibles con Trusted Remediator

Compruebe la ID y el nombre Nombre del documento SSM y resultado esperado Parámetros y restricciones preconfigurados compatibles

COr6dfpM06

AWS Lambda funciones insuficientemente aprovisionadas para el tamaño de la memoria

AWSManagedServices-ResizeLambdaMemory

El tamaño de la memoria de las funciones Lambda se redimensiona al tamaño de memoria recomendado proporcionado por. Trusted Advisor

RecommendedMemorySize: la asignación de memoria recomendada para la función Lambda. El rango de valores está entre 128 y 10240.

Si el tamaño de la función Lambda se modifica antes de la ejecución de la automatización, esta automatización podría sobrescribir la configuración con el valor recomendado por. Trusted Advisor

ZRxQlPsb6c

EC2 Instancias de Amazon de alta utilización

AWSManagedServices-ResizeInstanceByOneLevel

Las EC2 instancias de Amazon se redimensionan en un tipo de instancia superior en el mismo tipo de familia de instancias. Las instancias se detienen e inician durante la operación de cambio de tamaño y vuelven al estado inicial una vez finalizada la ejecución. Esta automatización no admite el cambio de tamaño de las instancias que se encuentran en un grupo de Auto Scaling.

  • MinimumDaysSinceLastChange: El número mínimo de días transcurridos desde el último cambio de tipo de instancia. Si el tipo de instancia se modificó dentro del tiempo especificado, el tipo de instancia no cambia. Se usa 0 para omitir esta validación. El valor predeterminado es 7.

  • Crear AMIBefore cambio de tamaño: para crear la AMI de la instancia como copia de seguridad antes de cambiar el tamaño, elijatrue. Para no crear una copia de seguridad, elijafalse. El valor predeterminado es false. Los valores válidos son true y false (distinguen mayúsculas de minúsculas).

  • ResizeIfStopped: Para continuar con el cambio de tamaño de la instancia, incluso si la instancia está detenida, elijatrue. Para no cambiar automáticamente el tamaño de la instancia si está detenida, elijafalse. Los valores válidos son true y false (distinguen mayúsculas de minúsculas).

Sin restricciones

c1qf5bt021

innodb_change_bufferingParámetro de Amazon RDS que utiliza un valor inferior al óptimo

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

El valor del innodb_change_buffering parámetro se establece en NONE Amazon RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

c1qf5bt025

El autovacuum parámetro Amazon RDS está desactivado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

autovacuumEl parámetro está activado en Amazon RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

c1qf5bt028

El enable_indexonlyscan parámetro Amazon RDS está desactivado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

enable_indexonlyscanEl parámetro está activado en Amazon RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

c1qf5bt029

El enable_indexscan parámetro Amazon RDS está desactivado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

enable_indexscanEl parámetro está activado en Amazon RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

c1qf5bt032

El innodb_stats_persistent parámetro Amazon RDS está desactivado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

innodb_stats_persistentEl parámetro está activado en Amazon RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

c1qf5bt037

El general_logging parámetro Amazon RDS está activado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

general_loggingEl parámetro está desactivado en Amazon RDS.

No se permiten parámetros preconfigurados.

No hay restricciones

Trusted Advisor las comprobaciones de límites de servicio son compatibles con Trusted Remediator

Compruebe la ID y el nombre Nombre del documento SSM y resultado esperado Parámetros y restricciones preconfigurados compatibles

Ln7rR0l7j9

EC2-Dirección IP elástica de VPC

AWSManagedServices-UpdateVpcElasticIPQuota

Se solicita un nuevo límite para las direcciones IP elásticas de EC2 -VPC. De forma predeterminada, el límite se incrementa en 3.

Incremento: el número que se va a aumentar la cuota actual. El valor predeterminado es 3.

Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el OK estado, es posible que se produzca un aumento del límite superior.

Km7qq0l7j9

Gateways de Internet de VPC

AWSManagedServices-IncreaseServiceQuota- Se solicita un nuevo límite para las pasarelas de Internet de VPC. De forma predeterminada, el límite se incrementa en tres.

Incremento: el número que se va a aumentar la cuota actual. El valor predeterminado es 3.

Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el OK estado, es posible que se produzca un aumento del límite superior.

JL7pp0l7j9

VPC

AWSManagedServices-IncreaseServiceQuota

Se solicita un nuevo límite para la VPC. De forma predeterminada, el límite se incrementa en 3.

Incremento: el número para aumentar la cuota actual. El valor predeterminado es 3.

Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el OK estado, es posible que se produzca un aumento del límite superior.

Fw7hh0l7j9

Grupos de Auto Scaling

AWSManagedServices-IncreaseServiceQuota

Se solicita un nuevo límite para los grupos de Auto Scaling. De forma predeterminada, el límite se incrementa en 3.

Incremento: el número para aumentar la cuota actual. El valor predeterminado es 3.

Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el OK estado, es posible que se produzca un aumento del límite superior.

3 Njm0 DJQO9

Grupos de opciones de RDS

AWSManagedServices-IncreaseServiceQuota

Se solicita un nuevo límite para los grupos de opciones de Amazon RDS. De forma predeterminada, el límite se incrementa en 3.

Incremento: el número para aumentar la cuota actual. El valor predeterminado es 3.

Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el OK estado, es posible que se produzca un aumento del límite superior.

EM8b3yLRTr

Application Load Balancers de ELB

AWSManagedServices-IncreaseServiceQuota

Se solicita un nuevo límite para los balanceadores de carga de aplicaciones ELB. De forma predeterminada, el límite se incrementa en 3.

Incremento: el número para aumentar la cuota actual. El valor predeterminado es 3.

Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el OK estado, es posible que se produzca un aumento del límite superior.

8WiQ K YSt25

Network Load Balancers de ELB

AWSManagedServices-IncreaseServiceQuota

Se solicita un nuevo límite para los balanceadores de carga de red ELB. De forma predeterminada, el límite se incrementa en 3.

Incremento: el número para aumentar la cuota actual. El valor predeterminado es 3.

Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el OK estado, es posible que se produzca un aumento del límite superior.

Trusted Advisor comprobaciones de excelencia operativa respaldadas por Trusted Remediator

Compruebe la identificación y el nombre Nombre del documento SSM y resultado esperado Parámetros y restricciones preconfigurados compatibles

c18d2gz125

La Amazon API Gateway no registra los registros de ejecución

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

El registro de ejecución está habilitado en la fase API.

No se permiten parámetros preconfigurados.

Debe conceder permiso a API Gateway para leer y escribir los registros de su cuenta a CloudWatch fin de habilitar el registro de ejecución; consulte Configurar el CloudWatch registro para REST APIs en API Gateway para obtener más información.

c18d2gz168

La protección contra eliminación de Elastic Load Balancing no está habilitada para los equilibradores de carga

AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection- La protección contra eliminación está activada en el Elastic Load Balancer.

No se permiten parámetros preconfigurados.

No hay restricciones

c1qf5bt012

Amazon RDS Performance Insights está desactivado

AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights

Performance Insights está activado en Amazon RDS.

  • PerformanceInsightsRetentionPeriod: El número de días necesarios para conservar los datos de Performance Insights. Valores válidos: 7 o mes * 31, donde el mes es un número de meses comprendido entre 1 y 23. Ejemplos: 93 (3 meses* 31), 341 (11 meses* 31), 589 (19 meses* 31) o731.

  • PerformanceInsightsKMSKeyID: el identificador AWS KMS clave para el cifrado de los datos de Performance Insights. Si no especificas un valor para el PerformanceInsights KMSKey identificador, Amazon RDS utilizará la AWS KMS clave predeterminada.

Sin restricciones

c1fd6b96l4

Registros de acceso a Amazon S3 activados

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2

El registro de acceso al bucket de Amazon S3 está activado.

  • TargetBucketTagValue: Utilice el valor de la etiqueta (distingue entre mayúsculas y minúsculas) TargetBucketTagKey para identificar el bucket de destino y etiquetarlo como bucket de destino para el registro de acceso.

  • TargetObjectKeyFormat: formato de clave de Amazon S3 para objetos de registro (los valores distinguen entre mayúsculas y minúsculas). Para usar el formato simple de las claves S3 para los objetos de registro, elijaSimplePrefix. Para usar la clave S3 particionada para los objetos de registro y usarla EventTime para el prefijo particionado, elija. PartitionedPrefixEventTime Para usar la clave S3 particionada para los objetos de registro y usarla DeliveryTime para el prefijo particionado, elija. PartitionedPrefixDeliveryTime Los valores admitidos son SimplePrefix, PartitionedPrefixEventTime y PartitionedPrefixDeliveryTime.

Para habilitar la corrección automática, se debe proporcionar el siguiente parámetro preconfigurado: TargetBucketTagKeyy. TargetBucketTagValue

El depósito de destino debe estar en el mismo depósito Región de AWS y Cuenta de AWS como el depósito de origen, con los permisos correctos para la entrega de registros. Para obtener más información, consulte Habilitación del registro de acceso al servidor de Amazon S3.