Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Remediador de confianza en AMS
<a name="trusted-remediator"></a>

Trusted Remediator es una solución de AWS Managed Services que automatiza la corrección y las [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)recomendaciones. [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/) Trusted Remediator crea recomendaciones cuando Trusted Advisor y Compute Optimizer indica oportunidades para reducir costos, mejorar la disponibilidad del sistema, optimizar el rendimiento o cerrar sus brechas de seguridad. Cuentas de AWS Con Trusted Remediator, puede abordar estas recomendaciones de seguridad, rendimiento, optimización de costos, tolerancia a fallas y límites de servicio de una manera segura y estandarizada que utiliza las mejores prácticas establecidas. Trusted Remediator le permite configurar una solución de remediación y se ejecuta automáticamente según un cronograma que usted cree, lo que simplifica el proceso de remediación. Este enfoque simplificado aborda los problemas de manera coherente y eficiente y sin intervención manual.

## Ventajas clave de Trusted Remediator
<a name="tr-key-features"></a>

Los principales beneficios de Trusted Remediator son los siguientes:
+ **Mejora de la seguridad, el rendimiento y la optimización de los costes:** Trusted Remediator le ayuda a mejorar la seguridad general de sus cuentas, a optimizar la utilización de los recursos y a reducir los costes operativos.
+ **Instalación y configuración de autoservicio:** puede configurar Trusted Remediator para que se ajuste a sus requisitos y preferencias.
+ ** Trusted Advisor Comprobaciones automatizadas y AWS Compute Optimizer recomendaciones de corrección: tras la configuración, Trusted Remediator ejecuta automáticamente las acciones de corrección de las comprobaciones** seleccionadas. Esta automatización elimina la necesidad de intervención manual.
+ **Implementación de las mejores prácticas:** las acciones de remediación se basan en las mejores prácticas establecidas, por lo que los problemas se abordan de manera estandarizada y eficaz.
+ **Ejecución programada:** puede elegir el programa de remediación que se adapte a sus day-to-day flujos de trabajo operativos.

Trusted Remediator le permite abordar de forma proactiva los problemas identificados en sus AWS entornos, lo que le ayuda a cumplir con las mejores prácticas y a mantener una infraestructura de nube segura, rentable y de alto rendimiento.

## Cómo funciona Trusted Remediator
<a name="tr-how-it-works"></a>

A continuación se muestra un ejemplo del flujo de trabajo de Trusted Remediator:

![\[Ilustración del flujo de trabajo de Trusted Remediator.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/trusted-remediator-workflow.png)


Trusted Remediator evalúa las recomendaciones de Compute Optimizer para Cuentas de AWS usted Trusted Advisor y las crea. AWS Systems Manager [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html) OpsCenter A continuación, puede utilizar los documentos de automatización de Trusted Remediator para corregir los problemas de forma automática o manual. OpsItems A continuación se detallan los detalles de cada tipo de remediación:
+ **Corrección automatizada:** Trusted Remediator ejecuta el documento de automatización y supervisa la ejecución. Una vez finalizado el documento de automatización, Trusted Remediator resuelve el problema.
+ **Solución manual: Trusted Remediator** crea la solución para que usted la OpsItem revise. Tras la revisión, se inicia el documento de automatización.

Los registros de corrección se almacenan en un bucket de Amazon S3. Puede usar los datos del depósito de S3 para crear QuickSight paneles personalizados para la elaboración de informes. AMS también proporciona informes a pedido para Trusted Remediator. Para recibir estos informes, póngase en contacto con su CSDM. Para obtener más información, consulte [Informes de Trusted Remediator](trusted-remediator-reports.md).

## Términos clave de Trusted Remediator
<a name="tr-key-terms"></a>

Los siguientes son términos que es útil conocer cuando se utiliza Trusted Remediator en AMS:
+ **AWS Trusted Advisor y AWS Compute Optimizer:** servicios de optimización de la nube proporcionados por AWS. Trusted Advisor y Compute Optimizer inspeccionan su AWS entorno y proporcionan recomendaciones basadas en las mejores prácticas en las seis categorías siguientes:
  + Optimización de costos
  + Rendimiento
  + Seguridad
  + Tolerancia a errores
  + Excelencia operativa
  + Límites de los servicios

  Para obtener más información, consulte [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) y [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/).
+ **Trusted Remediator:** una solución de corrección de AMS para [Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)realizar comprobaciones y recomendaciones. [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/) Trusted Remediator le ayuda a corregir de forma segura las Trusted Advisor comprobaciones y las recomendaciones de Compute Optimizer con las mejores prácticas conocidas para mejorar la seguridad, el rendimiento y reducir los costes. Trusted Remediator es fácil de instalar y configurar. La configuración se realiza una vez y Trusted Remediator ejecuta las correcciones según la programación que prefiera (diaria o semanalmente).
+ **AWS Systems Manager Documento SSM:** archivo JSON o YAML que define las acciones que se AWS Systems Manager realizan en sus recursos. AWS El documento SSM sirve como especificación declarativa para automatizar las tareas operativas en varios AWS recursos e instancias.
+ **AWS Systems Manager OpsCenter OpsItem:** un recurso de administración de problemas operativos en la nube que le ayuda a rastrear y resolver los problemas operativos en su AWS entorno. OpsItems proporcionan una visión y un sistema de gestión centralizados para los datos operativos y los problemas en todos Servicios de AWS los recursos. Cada uno OpsItem representa un problema operativo, como un posible riesgo de seguridad, un problema de rendimiento o un incidente operativo.
+ **Configuración:** una configuración es un conjunto de atributos almacenados en [AWS AppConfig, una capacidad de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/appconfig.html). La aplicación Trusted Remediator AWS AppConfig ayuda a configurar las correcciones a nivel de cuenta. Puede utilizar la AWS AppConfig consola o la API para editar las configuraciones.
+ **Modo de ejecución:** el modo de ejecución es un atributo de configuración que determina cómo ejecutar la corrección para cada Trusted Advisor resultado de la comprobación. Se admiten cuatro modos de ejecución: **automatizado**, **manual**, **condicional** **e inactivo**.
+ **Anulación de recursos:** esta función utiliza etiquetas de recursos para anular la configuración de recursos específicos.
+ Registro **de elementos de remediación: un archivo de registro** en el depósito de registros de S3 sobre remediaciones de Trusted Remediator. El registro de elementos de corrección se crea cuando se crean las correcciones. OpsItems Este archivo de registro contiene la corrección de la ejecución manual OpsItems y la corrección de la ejecución automática. OpsItems Utilice este archivo de registro para realizar un seguimiento de todos los elementos de corrección.
+ **Registro de ejecución de correcciones automatizado:** un archivo de registro en el depósito de registros de S3 sobre correcciones de Trusted Remediator. El registro de ejecución de correcciones automatizadas se crea cuando se completa la ejecución automatizada de un documento SSM. Este registro contiene los detalles de la ejecución de SSM para la corrección automática de las ejecuciones. OpsItems Utilice este archivo de registro para realizar un seguimiento de las correcciones automatizadas.

# Comience con Trusted Remediator en AMS
<a name="tr-gs"></a>

Trusted Remediator está disponible en AMS sin coste adicional. Trusted Remediator admite configuraciones de cuenta única y de cuentas múltiples.

## Incorporado a Trusted Remediator
<a name="tr-gs-onboard-"></a>

Para incorporar sus cuentas de AMS a Trusted Remediator, envíe un correo electrónico a sus arquitectos de nube o gerentes de prestación de servicios en la nube ()CSDMs. En el mensaje, incluya la siguiente información:
+ **Cuentas de AWS:** el número de identificación de la cuenta de doce dígitos. Todas las cuentas que desee incorporar a Trusted Remediator deben pertenecer al mismo cliente de Accelerate.
  + **Cuenta de administrador delegado:** la cuenta que se usa para Trusted Advisor comprobar la configuración de Compute Optimizer para cuentas únicas o múltiples.
  + **Cuentas de miembro:** son las cuentas vinculadas a la cuenta de administrador delegado. Estas cuentas heredan las configuraciones de la cuenta de administrador delegado. Puede tener una cuenta de miembro o varias cuentas de miembro.
**nota**  
Las cuentas de los miembros heredan las configuraciones de la cuenta de administrador delegado. Si necesita configuraciones diferentes para cuentas específicas, incorpore varias cuentas de administrador delegado con las configuraciones que prefiera. Planifique la estructura de la cuenta y las configuraciones con sus arquitectos de nube antes de incorporarla.
+ **Regiones de AWS:** El Regiones de AWS lugar donde se encuentran sus recursos. Para ver una lista Regiones de AWS, consulta [Servicios de AWS por región](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
+ **Calendario y hora de remediación:** su programa de remediación preferido (diario o semanal). Trusted Remediator recopila las Trusted Advisor comprobaciones e inicia la reparación a la hora programada. Por ejemplo, puede configurar el programa de remediación para la 1:00 a.m. del domingo de cada semana, hora estándar del este de Australia.
+ **Correo electrónico de notificación:** Trusted Remediator utiliza el correo electrónico de notificación para notificarle diariamente si hay soluciones. El asunto del correo electrónico de notificación es «Resumen de las correcciones de Trusted Remediator» y el contenido proporciona información sobre las correcciones de Trusted Remediator ejecutadas en las últimas 24 horas.
**nota**  
Revise sus aplicaciones y recursos después de cada corrección programada. Para obtener asistencia adicional, póngase en contacto con AMS.

Tras enviar la solicitud de incorporación con los detalles necesarios a su CA o CSDM, AMS incorporará sus cuentas a Trusted Remediator. Trusted Remediator utiliza AWS AppConfig, una capacidad de AWS Systems Manager, para definir la configuración de las comprobaciones. Trusted Advisor Estas configuraciones son un conjunto de atributos que se almacenan en AWS AppConfig. Para evitar cargos no autorizados a sus recursos, todas las Trusted Advisor comprobaciones admitidas se configuran como **inactivas** cuando las cuentas se incorporan a Trusted Remediator. Una vez que se haya incorporado, podrá utilizar la AWS AppConfig consola o la API para gestionar las configuraciones. Estas configuraciones le ayudan a corregir automáticamente Trusted Advisor comprobaciones específicas o a evaluar y corregir manualmente las comprobaciones restantes. Las configuraciones son altamente personalizables, lo que le permite aplicar configuraciones para cada Trusted Advisor comprobación. Para obtener más información, consulte [Configurar la corrección de Trusted Advisor comprobaciones en Trusted Remediator](tr-configure-remediations.md).

## Elija las comprobaciones y recomendaciones que desee corregir
<a name="tr-gs-choose-checks"></a>

De forma predeterminada, el modo de ejecución de correcciones está **inactivo** para todas las Trusted Advisor comprobaciones y recomendaciones de Compute Optimizer de tu configuración. Esto evita la corrección no autorizada y protege los recursos. AMS proporciona documentos de automatización de SSM seleccionados para la corrección de los Trusted Advisor cheques.

Para seleccionar las comprobaciones que desea corregir con Trusted Remediator, complete los siguientes pasos:

1. Revise la lista de [[recomendaciones compatibles Trusted Advisor y de Compute Optimizer](tr-supported-recommendations-co.md) o el nombre de los documentos de automatización de SSM asociados](tr-supported-checks.md) para decidir qué comprobaciones y recomendaciones desea corregir con Trusted Remediator.

1. Actualice la configuración para activar la corrección de las Trusted Advisor comprobaciones seleccionadas. Para obtener instrucciones sobre cómo seleccionar las comprobaciones, consulte[Configurar la corrección de Trusted Advisor comprobaciones en Trusted Remediator](tr-configure-remediations.md).

## Realice un seguimiento de sus correcciones en Trusted Remediator
<a name="tr-gs-track-remediation"></a>

Tras actualizar la configuración a nivel de cuenta, Trusted Remediator crea una para cada corrección. OpsItems Trusted Remediator ejecuta el documento SSM para la corrección automática de acuerdo con su programa de remediación. OpsItems Para obtener instrucciones sobre cómo ver todas las correcciones OpsItems desde la OpsCenter consola de Systems Manager, consulte[Realice un seguimiento de las correcciones en Trusted Remediator](tr-remediation.md#tr-remediation-track).

## Ejecute las correcciones manuales en Trusted Remediator
<a name="tr-gs-manual-remediation"></a>

Puede corregir Trusted Advisor las comprobaciones manualmente. Al iniciar una corrección manual, Trusted Remediator crea una ejecución manual. OpsItem Debe revisar e iniciar el documento de automatización de SSM para corregir el. OpsItems Para obtener más información, consulte [Ejecute las correcciones manuales en Trusted Remediator](tr-remediation.md#tr-remediation-run).

# Recomendaciones de Compute Optimizer respaldadas por Trusted Remediator
<a name="tr-supported-recommendations-co"></a>

En la siguiente tabla, se enumeran las recomendaciones de Compute Optimizer compatibles, los documentos de automatización de SSM, los parámetros preconfigurados y el resultado esperado de los documentos de automatización. Revisa el resultado esperado para ayudarte a entender los posibles riesgos en función de los requisitos de tu empresa antes de utilizar un documento de automatización de SSM para corregir las comprobaciones.

Asegúrate de que la regla de configuración correspondiente para cada comprobación de Compute Optimizer esté presente en las comprobaciones compatibles para las que deseas habilitar la corrección. Para obtener más información, consulta Cómo [optar AWS Compute Optimizer por Trusted Advisor las comprobaciones](https://docs.aws.amazon.com/awssupport/latest/user/compute-optimizer-with-trusted-advisor.html). 


| Opción de optimización | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles | 
| --- | --- | --- | 
| Redimensionamiento | 
| [Recomendaciones de EC2 instancias de Amazon](https://aws.amazon.com/compute-optimizer/faqs/#topic-4) | **AWSManagedServices-TrustedRemediatorResizeInstanceByComputeOptimizerRecommendation** El tipo de EC2 instancia de Amazon se actualizó de acuerdo con las recomendaciones de Compute Optimizer. Se eligen las opciones más óptimas manteniendo los mismos parámetros de plataforma (arquitectura, hipervisor, interfaz de red, tipo de virtualización, etc.) si existe la opción. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) | 
| [Recomendaciones de volumen de Amazon EBS](https://aws.amazon.com/compute-optimizer/faqs/#topic-6) | **AWSManagedServices-ModifyEBSVolume**  El volumen de Amazon EBS se modifica de acuerdo con las recomendaciones de Compute Optimizer. La modificación puede incluir el tipo de volumen, el tamaño, las IOPS y la generación de volúmenes (gp2, gp3, etc.). | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) | 
| [Recomendaciones de funciones Lambda](https://aws.amazon.com/compute-optimizer/faqs/#topic-7) | **AWSManagedServices-TrustedRemediatorOptimizeLambdaMemory** AWS Lambda memoria de funciones optimizada de acuerdo con las recomendaciones de Compute Optimizer. | **RecommendedMemorySize **: tamaño de memoria personalizado, si es diferente de las opciones recomendadas. Sin restricciones | 
| Recursos inactivos | 
| [Volumen Amazon EBS inactivo](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-DeleteUnusedEBSVolume** Se eliminará el volumen Amazon EBS no adjunto. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) | 
| [ EC2 Instancia de Amazon inactiva](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopECInstancia 2** La EC2 instancia de Amazon inactiva se detendrá. | **ForceStopWithInstanceStore**: Para forzar la detención de las instancias que utilizan el almacén de instancias, establézcalo en «True». Para no forzar la parada, establézcalo en «False». El valor predeterminado «False» impide que la instancia se detenga. Sin restricciones | 
| [Instancia de Amazon RDS inactiva](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopIdleRDSInstance** Detenga una instancia de Amazon RDS inactiva. Los motores compatibles son: MariaDB, Microsoft SQL Server, MySQL, Oracle y PostgreSQL. Este documento no se aplica a Aurora MySQL ni a Aurora PostgreSQL. La instancia se detendrá durante un máximo de 7 días y se volverá a lanzar automáticamente. | No se permiten parámetros preconfigurados. No hay restricciones | 

# Trusted Advisor comprobaciones compatibles con Trusted Remediator
<a name="tr-supported-checks"></a>

La siguiente tabla muestra las Trusted Advisor comprobaciones admitidas, los documentos de automatización de SSM, los parámetros preconfigurados y el resultado esperado de los documentos de automatización. Revise el resultado esperado para ayudarle a comprender los posibles riesgos en función de los requisitos de su empresa antes de utilizar un documento de automatización de SSM para corregir las comprobaciones.

Asegúrese de que la regla de configuración correspondiente a cada Trusted Advisor comprobación esté presente en las comprobaciones compatibles para las que desee habilitar la corrección. Para obtener más información, consulta [Ver las AWS Trusted Advisor comprobaciones impulsadas por AWS Config](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html). Si una comprobación tiene AWS Security Hub CSPM los controles correspondientes, asegúrese de que el control Security Hub esté activado. Para obtener más información, consulte [Habilitar los controles en Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html). Para obtener información sobre la gestión de los parámetros preconfigurados, consulte [Configurar la corrección de comprobaciones de Trusted Advisor en Trusted Remediator](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html).

## Trusted Advisor comprobaciones de optimización de costes compatibles con Trusted Remediator
<a name="tr-supported-checks-cost-op"></a>


| Compruebe la ID y el nombre | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles | 
| --- | --- | --- | 
| [Z4 AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses) Direcciones IP elásticas no asociadas | **AWSManagedServices-TrustedRemediatorReleaseElasticIP** Libera una dirección IP elástica que no está asociada a ningún recurso. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c18d2gz150](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days) - Instancias de Amazon detenidas EC2  | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime**: Se cancelan EC2 las instancias de Amazon detenidas durante varios días. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones | 
| [c18d2gz128](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy) Repositorio de Amazon ECR sin política de ciclo de vida configurada | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy** Crea una política de ciclo de vida para el repositorio especificado si aún no existe una política de ciclo de vida. | **ImageAgeLimit:** El límite de edad máximo en días (de 1 a 365) para «cualquier» imagen del repositorio de Amazon ECR. Sin restricciones | 
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes) Volúmenes de Amazon EBS infrautilizados | **AWSManagedServices-DeleteUnusedEBSVolume** Elimina los volúmenes de Amazon EBS infrautilizados si los volúmenes no se adjuntaron durante los últimos 7 días. De forma predeterminada, se crea una instantánea de Amazon EBS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones | 
| [hola M8 LMh88u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers) Balanceadores de carga inactivos | **AWSManagedServices-DeleteIdleClassicLoadBalancer** Elimina un Classic Load Balancer inactivo si no se utiliza y no hay ninguna instancia registrada. | **IdleLoadBalancerDays:** el número de días durante los que el Classic Load Balancer ha solicitado 0 conexiones antes de considerarlo inactivo. El valor predeterminado es de siete días. Si la ejecución automática está habilitada, la automatización elimina los balanceadores de carga clásicos inactivos si no hay instancias de back-end activas. Para todos los balanceadores de carga clásicos inactivos que tienen instancias de back-end activas, pero que no tienen instancias de back-end en buen estado, no se usa la corrección automática OpsItems y para la remediación manual se crea. | 
| [TI39HalfU8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances) Amazon RDS Idle DB Instances | **AWSManagedServices-StopIdleRDSInstance** Se detiene la instancia de base de datos de Amazon RDS que ha estado inactiva durante los últimos siete días. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size) AWS Lambda funciones sobreaprovisionadas para el tamaño de la memoria | **AWSManagedServices-ResizeLambdaMemory** AWS Lambda el tamaño de la memoria de la función se redimensiona al tamaño de memoria recomendado proporcionado por. Trusted Advisor | **RecommendedMemorySize:** la asignación de memoria recomendada para la función Lambda. El rango de valores está entre 128 y 10240. Si el tamaño de la función Lambda se modificó antes de que se ejecutara la automatización, esta automatización podría sobrescribir la configuración con el valor recomendado por. Trusted Advisor | 
| [QCH7dWoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances)  EC2 Instancias Amazon de baja utilización | **AWSManagedServices-StopEC2Instance** (documento SSM predeterminado para el modo de ejecución automática y manual). Se detienen EC2 las instancias de Amazon que se utilizan poco. | **ForceStopWithInstanceStore: Se** configura en `true` para forzar la detención de las instancias mediante el almacén de instancias. De lo contrario, establézcala en `false`. El valor predeterminado de `false` impide que la instancia se detenga. Los valores válidos son verdadero o falso (distingue entre mayúsculas y minúsculas). Sin restricciones | 
| [QCH7DWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances)  EC2 Instancias Amazon de baja utilización | **AWSManagedServices-ResizeInstanceByOneLevel** El tamaño de la EC2 instancia de Amazon se redimensiona en un tipo de instancia inferior en el mismo tipo de familia de instancias. La instancia se detiene e inicia durante la operación de cambio de tamaño y vuelve al estado inicial una vez finalizada la ejecución del documento SSM. Esta automatización no admite el cambio de tamaño de las instancias que se encuentran en un grupo de Auto Scaling. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones | 
| [QCH7DWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances)  EC2 Instancias Amazon de baja utilización | **AWSManagedServices-TerminateInstance** Las EC2 instancias de Amazon poco utilizadas se cancelan si no forman parte de un Auto Scaling Group y la protección de terminación no está habilitada. De forma predeterminada, se crea una AMI. | **Crear AMIBefore terminación:** defina esta opción como `true` o `false` cree una AMI de instancia como respaldo antes de terminar la EC2 instancia. El valor predeterminado es `true`. Los valores válidos son `true` y `false` (distinguen mayúsculas de minúsculas). Sin restricciones | 
| [G31sq1e9u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters) Underutilized Amazon Redshift Clusters | **AWSManagedServices-PauseRedshiftCluster** El clúster de Amazon Redshift está en pausa. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config) Configuración incompleta de cancelación de carga multiparte de Amazon S3 | **AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload** El bucket de Amazon S3 está configurado con una regla de ciclo de vida para anular las cargas de varias partes que permanecen incompletas después de ciertos días. | **DaysAfterInitiation:** el número de días transcurridos los cuales Amazon S3 detiene una carga multiparte incompleta. El valor predeterminado es de 7 días. Sin restricciones | 
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances) Recomendaciones de optimización de EC2 costos de Amazon para instancias | Utilice las recomendaciones de EC2 instancias de Amazon y la  EC2 instancia de Amazon inactiva de[Recomendaciones de Compute Optimizer respaldadas por Trusted Remediator](tr-supported-recommendations-co.md). | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes) Recomendaciones de optimización de costos de Amazon EBS para volúmenes |  Utilice las recomendaciones de volumen de Amazon EBS y el volumen de Amazon EBS inactivo desde. [Recomendaciones de Compute Optimizer respaldadas por Trusted Remediator](tr-supported-recommendations-co.md) | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) Recomendaciones de optimización de costes de Amazon RDS para instancias de base de datos |  Utilice la instancia inactiva de Amazon RDS de[Recomendaciones de Compute Optimizer respaldadas por Trusted Remediator](tr-supported-recommendations-co.md). | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) AWS Lambda recomendaciones de optimización de costes para las funciones |  Utilice las recomendaciones de funciones Lambda de. [Recomendaciones de Compute Optimizer respaldadas por Trusted Remediator](tr-supported-recommendations-co.md) | No se permiten parámetros preconfigurados. No hay restricciones | 

## Trusted Advisor controles de seguridad compatibles con Trusted Remediator
<a name="tr-supported-checks-security"></a>


| Compruebe la ID y el nombre | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles | 
| --- | --- | --- | 
| [12Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys) Exposed Access Keys | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey** La clave de acceso IAM expuesta está desactivada. | No se permiten parámetros preconfigurados. Las aplicaciones configuradas con una clave de acceso de IAM expuesta no se pueden autenticar. | 
|  Hs4Ma3G127: el registro de ejecución de API Gateway REST WebSocket y API debe estar habilitado Verificación [APIGatewaycorrespondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1): 1. | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** El registro de ejecución está habilitado en la fase de la API. | **LogLevel:** Nivel de registro para habilitar el registro de la ejecución, `ERROR` - El registro solo está habilitado para los errores. `INFO` - El registro está habilitado para todos los eventos. Debe conceder permiso a API Gateway para leer y escribir los registros de su cuenta a CloudWatch fin de habilitar el registro de ejecución; consulte [Configurar el CloudWatch registro para REST APIs en API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) para obtener más información. | 
| Hs4Ma3G129: las etapas de la API REST de API Gateway deberían tener el rastreo habilitado AWS X-Ray  Verificación [APIGatewaycorrespondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3): 3. | **AWSManagedServices-EnableApiGateWayXRayTracing** El rastreo de X-Ray está habilitado en la fase API. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G202 - Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo Verificación [APIGatewaycorrespondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5): 5. | **AWSManagedServices-EnableAPIGatewayCacheEncryption** Habilite el cifrado en reposo para los datos de la caché de la API REST de API Gateway si la etapa de la API REST de API Gateway tiene la caché habilitada. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G177 -   AWS Security Hub CSPM [Comprobación correspondiente: los grupos de escalado automático asociados a un balanceador de cargas deben usar las comprobaciones de estado del balanceador de cargas .1 AutoScaling](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck** Las comprobaciones de estado de Elastic Load Balancing están habilitadas para el grupo Auto Scaling. | **HealthCheckGracePeriod:** La cantidad de tiempo, en segundos, que Auto Scaling espera antes de comprobar el estado de una instancia de Amazon Elastic Compute Cloud que ha entrado en servicio. La activación de las comprobaciones de estado de Elastic Load Balancing puede provocar el reemplazo de una instancia en ejecución si alguno de los balanceadores de carga de Elastic Load Balancing adjuntos al grupo de Auto Scaling indica que está en mal estado. Para obtener más información, consulte [Adjuntar un balanceador de cargas de Elastic Load Balancing a su grupo de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html)  | 
| Hs4Ma3G245: las CloudFormation pilas deben integrarse con Amazon Simple Notification Service Verificación correspondiente AWS Security Hub CSPM [CloudFormation:](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1) 1. | **AWSManagedServices-EnableCFNStackNotification** Asocie una CloudFormation pila a un tema de Amazon SNS para la notificación. | **NotificaciónARNs:** uno ARNs de los temas de Amazon SNS que se van a asociar a las pilas seleccionadas CloudFormation . Para habilitar la corrección automática, se debe `NotificationARNs` proporcionar el parámetro preconfigurado. | 
| Hs4Ma3G210: las distribuciones deben tener el registro habilitado CloudFront  Verificación correspondiente AWS Security Hub CSPM : [CloudFront2](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5). | **AWSManagedServices-EnableCloudFrontDistributionLogging** El registro está habilitado para las CloudFront distribuciones de Amazon. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para conocer estas restricciones de corrección, consulte [¿Cómo activo el registro en mi](https://repost.aws/knowledge-center/cloudfront-logging-requests) distribución? CloudFront  | 
| Hs4Ma3G109: CloudTrail la validación del archivo de registro debe estar habilitada Comprobación correspondiente AWS Security Hub CSPM [CloudTrail:](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4) 4. | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation** Permite la validación CloudTrail del registro de senderos. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G108: las CloudTrail rutas deberían integrarse con Amazon Logs CloudWatch  Verificación correspondiente AWS Security Hub CSPM [CloudTrail:](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5) 5. | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch** AWS CloudTrail está integrado con CloudWatch Logs. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) | 
| Hs4Ma3G217: CodeBuild los entornos de proyecto deben tener una configuración de registro AWS  Verificación correspondiente AWS Security Hub CSPM [CodeBuild:](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4) 4. | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig** Habilita el registro del CodeBuild proyecto. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G306 - Los clústeres de base de datos de Neptune deberían tener habilitada la protección de eliminación  AWS Security Hub CSPM Verificación correspondiente: [documento DB.3](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot** Elimina el acceso público de la instantánea manual del clúster de Amazon DocumentDB. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G308: Los clústeres de Amazon DocumentDB deben tener habilitada la protección de eliminación  AWS Security Hub CSPM Verificación correspondiente: [documento DB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection** Habilita la protección contra la eliminación del clúster de Amazon DocumentDB. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G323 - Las tablas de DynamoDB deben tener habilitada la protección de eliminación  AWS Security Hub CSPM Comprobación correspondiente: [DynamoDB.6](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection** Permite la protección contra la eliminación de tablas DynamoDB que no son de AMS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [EPS02JT06w](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots): Instantáneas públicas de Amazon EBS | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot** El acceso público a la instantánea de Amazon EBS está deshabilitado. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G118: Los grupos de seguridad predeterminados de VPC no deberían permitir el tráfico entrante o saliente Verificación [EC2correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2): 2. | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG** Se eliminan todas las reglas de entrada y salida del grupo de seguridad predeterminado. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G117: Los volúmenes EBS adjuntos deben cifrarse en reposo [Verificación correspondiente AWS Security Hub CSPM EC2: 3.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) | **AWSManagedServices-EncryptInstanceVolume** El volumen de Amazon EBS adjunto a la instancia está cifrado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) La instancia se reinicia como parte de la corrección y es posible revertirla si `DeleteStaleNonEncryptedSnapshotBackups` está configurada de esta manera, lo que ayuda a `false` la restauración. | 
| Hs4Ma3G120: las instancias detenidas EC2 deben eliminarse después de un período de tiempo específico Verificación [EC2correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4): 4. | **AWSManagedServices-TerminateInstance**(documento SSM predeterminado para el modo de ejecución automática y manual)  EC2 Las instancias de Amazon detenidas durante 30 días se cancelan. | **Crear AMIBefore rescisión:**. Para crear la AMI de la instancia como respaldo antes de terminar la EC2 instancia, elija`true`. Para no crear una copia de seguridad antes de la finalización, elija. `false` El valor predeterminado es `true`. Sin restricciones  | 
| Hs4Ma3G120: las EC2 instancias detenidas deben eliminarse después de un período de tiempo específico Verificación [EC2correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4): 4. | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime**: EC2 Las instancias de Amazon detenidas durante el número de días definido en Security Hub (el valor predeterminado es 30) se cancelan. | **Crear AMIBefore terminación:** para crear la AMI de la instancia como respaldo antes de terminar la EC2 instancia, elija`true`. Para no crear una copia de seguridad antes de la finalización, elija. `false` El valor predeterminado es `true`. Sin restricciones | 
| Hs4Ma3G121: el cifrado por defecto de EBS debe estar activado Verificación correspondiente AWS Security Hub CSPM : [EC27](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7). | **AWSManagedServices-EncryptEBSByDefault** El cifrado de Amazon EBS está habilitado de forma predeterminada para el Región de AWS | No se permiten parámetros preconfigurados. El cifrado de manera predeterminada es una configuración específica de la región. Si lo habilita para una región, no podrá deshabilitarlo para volúmenes o instantáneas individuales de esa región. | 
|  Hs4Ma3G124: Las instancias de EC2 Amazon deberían usar la versión 2 del servicio de metadatos de instancias () IMDSv2 Verificación correspondiente AWS Security Hub CSPM [EC2:](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) .8. | **AWSManagedServices-TrustedRemediator****Habilitar instancia EC2 IMDSv2**  EC2 Las instancias de Amazon utilizan Instance Metadata Service versión 2 (IMDSv2). |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones | 
| Hs4Ma3G207: las EC2 subredes no deberían asignar automáticamente direcciones IP públicas Verificación [EC2correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15): 1.5 | **AWSManagedServices-UpdateAutoAssignPublicIpv4 direcciones** Las subredes de VPC están configuradas para no asignar automáticamente direcciones IP públicas. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G209: se eliminan las listas de control de acceso a la red no utilizadas Verificación [EC2correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16): 1.6 | **AWSManagedServices-DeleteUnusedNACL** Eliminar la ACL de red no utilizada | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G215: Los grupos de seguridad de EC2 Amazon no utilizados deberían eliminarse Verificación correspondiente AWS Security Hub CSPM [EC2:](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22) .22 | **AWSManagedServices-DeleteSecurityGroups** Elimine los grupos de seguridad no utilizados. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G247: Amazon Transit EC2 Gateway no debería aceptar automáticamente las solicitudes de adjuntos de VPC Verificación [EC2correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23): 2.3 | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach**- Desactiva la aceptación automática de las solicitudes de adjuntos de VPC para el Amazon Transit EC2 Gateway especificado que no sea de AMS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G235: los repositorios privados de ECR deberían tener configurada la inmutabilidad de etiquetas Verificación correspondiente AWS Security Hub CSPM : [ECR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability** Establece la configuración de mutabilidad de la etiqueta de imagen en INMUTABLE para el repositorio especificado. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G216: los repositorios de ECR deben tener configurada al menos una política de ciclo de vida [Verificación AWS Security Hub CSPM correspondiente: ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy** El repositorio de ECR tiene configurada una política de ciclo de vida. | **LifecyclePolicyText:** El texto de la política del repositorio JSON que se aplicará al repositorio. Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados: **LifecyclePolicyText** | 
| Hs4Ma3G325: los clústeres EKS deben tener habilitado el registro de auditoría Verificación correspondiente AWS Security Hub CSPM : [EKS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog** El registro de auditoría está habilitado para el clúster EKS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G183: el balanceador de carga de aplicaciones debe configurarse para eliminar los encabezados HTTP Verificación AWS Security Hub CSPM correspondiente[:](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4) ELB.4 | **AWSConfigRemediation-DropInvalidHeadersForALB** Application Load Balancer está configurado para campos de encabezado no válidos. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G184: Debe habilitarse el registro de los balanceadores de carga de aplicaciones y los balanceadores de carga clásicos Verificación correspondiente AWS Security Hub CSPM [:](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) ELB.5 | **AWSManagedServices-EnableELBLogging (documento SSM predeterminado para el modo de ejecución automática y manual)** El registro de Application Load Balancer y Classic Load Balancer está habilitado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) El bucket de Amazon S3 debe tener una política de bucket que conceda permiso a Elastic Load Balancing para escribir los registros de acceso en el bucket. | 
| Hs4Ma3G184: El registro de los balanceadores de carga de aplicaciones y los balanceadores de carga clásicos debe estar habilitado Verificación correspondiente AWS Security Hub CSPM [:](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) ELB.5 | **AWSManagedServices-EnableELBLoggingV2** El registro de Application Load Balancer y Classic Load Balancer está habilitado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html)  | 
| Hs4Ma3G326: La configuración de acceso público del bloque Amazon EMR debe estar habilitada  AWS Security Hub CSPM Verificación correspondiente: [EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess** La configuración de acceso público del bloqueo de Amazon EMR está activada en la cuenta. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G135: las AWS KMS claves no deben borrarse involuntariamente Verificación correspondiente AWS Security Hub CSPM : [KMS.3](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) | **AWSManagedServices-CancelKeyDeletion** AWS KMS se cancela la eliminación de la clave. | No se permite ningún parámetro preconfigurado. No hay restricciones | 
| Hs4Ma3G299 - Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas  AWS Security Hub CSPM Comprobación correspondiente: [Neptune.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection** Habilita la protección contra la eliminación del clúster de Amazon Neptune. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G319 - Los firewalls de Network Firewall deben tener habilitada la protección de eliminación Verificación AWS Security Hub CSPM correspondiente [NetworkFirewall:](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9) 9. | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection**- Habilita la protección de eliminación para AWS Network Firewall. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G223: los OpenSearch dominios deben cifrar los datos enviados entre nodos Verificación correspondiente AWS Security Hub CSPM [OpenSearch:](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3) 3. | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption** El cifrado de nodo a nodo está habilitado para el dominio. | No se permiten parámetros preconfigurados. Una vez que se habilita el node-to-node cifrado, no se puede deshabilitar la configuración. En su lugar, haz una instantánea manual del dominio cifrado, crea otro dominio, migra tus datos y, a continuación, elimina el dominio anterior. | 
| Hs4Ma3G222: el registro de errores de OpenSearch dominio en los registros debe estar habilitado CloudWatch  Verificación correspondiente AWS Security Hub CSPM : [Opensearch.4](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) | **AWSManagedServices-EnableOpenSearchLogging** El registro de errores está activado para el dominio. OpenSearch  | CloudWatchLogGroupArn: El ARN de un grupo de registros de Amazon CloudWatch Logs. Para habilitar la corrección automática, se debe proporcionar el siguiente parámetro preconfigurado:. **CloudWatchLogGroupArn** La política CloudWatch de recursos de Amazon debe configurarse con permisos. Para obtener más información, consulta Cómo [habilitar los registros de auditoría](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) en la *Guía del usuario de Amazon OpenSearch Service* | 
| Hs4Ma3G221: los OpenSearch dominios deben tener habilitado el registro de auditoría Verificación correspondiente AWS Security Hub CSPM : [Opensearch.5](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch los dominios están configurados con el registro de auditoría activado. | **CloudWatchLogGroupArn:** el ARN del grupo de CloudWatch registros en el que se van a publicar los registros. Para habilitar la corrección automática, se debe proporcionar el siguiente parámetro preconfigurado: **CloudWatchLogGroupArn** La política CloudWatch de recursos de Amazon debe configurarse con permisos. Para obtener más información, consulta Cómo [habilitar los registros de auditoría](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) en la *Guía del usuario de Amazon OpenSearch Service* | 
| Hs4Ma3G220: Las conexiones a los OpenSearch dominios deben cifrarse mediante TLS 1.2 [Verificación correspondiente AWS Security Hub CSPM : Opensearch.8](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2** La política de TLS está configurada como `policy-MIN-TLS-1-2-2019-07` y solo se permiten las conexiones cifradas a través de HTTPS (TLS). | No se permiten parámetros preconfigurados. Se requieren conexiones a los OpenSearch dominios para usar TLS 1.2. El cifrado de los datos en tránsito puede afectar al rendimiento. Pruebe sus aplicaciones con esta función para comprender el perfil de rendimiento y el impacto del TLS. | 
| Hs4Ma3G194: La instantánea de Amazon RDS debe ser privada Verificación correspondiente AWS Security Hub CSPM : [RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** El acceso público a la instantánea de Amazon RDS está deshabilitado. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G192: las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible AWS  Verificación correspondiente AWS Security Hub CSPM [:](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) RDS.2 | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance** Inhabilite el acceso público a la instancia de base de datos de RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G189: la supervisión mejorada está configurada para las instancias de base de datos de Amazon RDS [Verificación correspondiente AWS Security Hub CSPM : RDS.6](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring** Habilite una supervisión mejorada para las instancias de base de datos de Amazon RDS | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Si se habilita la supervisión mejorada antes de la ejecución de la automatización, esta automatización podría sobrescribir los ajustes con los MonitoringRoleName valores MonitoringInterval y configurados en los parámetros preconfigurados. | 
| Hs4Ma3G190: Los clústeres de Amazon RDS deben tener habilitada la protección de eliminación Verificación correspondiente AWS Security Hub CSPM : [RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** La protección contra la eliminación está habilitada para los clústeres de Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G198: Las instancias de base de datos de Amazon RDS deben tener habilitada la protección de eliminación Verificación correspondiente AWS Security Hub CSPM [: RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** La protección contra la eliminación está habilitada para las instancias de Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G199: las instancias de base de datos de RDS deberían publicar los registros en Logs CloudWatch  Verificación correspondiente AWS Security Hub CSPM : [RDS.9](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports** La exportación de registros de RDS está habilitada para la instancia de base de datos de RDS o el clúster de base de datos de RDS. | No se permiten parámetros preconfigurados. Se requiere el rol [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) vinculado al servicio. | 
| Hs4Ma3G160: la autenticación de IAM debe configurarse para las instancias de RDS [Verificación correspondiente AWS Security Hub CSPM : RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** AWS Identity and Access Management la autenticación está habilitada para la instancia de RDS. | **ApplyImmediately:** Indica si las modificaciones de esta solicitud y las modificaciones pendientes se aplican de forma asíncrona lo antes posible. Para aplicar el cambio inmediatamente, elija. `true` Para programar el cambio para el siguiente período de mantenimiento, seleccione. `false` Sin restricciones | 
| Hs4Ma3G161: la autenticación de IAM debe configurarse para los clústeres de RDS [Verificación correspondiente AWS Security Hub CSPM : RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** La autenticación de IAM está habilitada para el clúster de RDS. | **ApplyImmediately:** Indica si las modificaciones de esta solicitud y las modificaciones pendientes se aplican de forma asíncrona lo antes posible. Para aplicar el cambio inmediatamente, seleccione. `true` Para programar el cambio para el siguiente período de mantenimiento, seleccione. `false` Sin restricciones | 
| Hs4Ma3G162: las actualizaciones automáticas de las versiones secundarias de RDS deberían estar habilitadas Verificación correspondiente AWS Security Hub CSPM : [RDS.13](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade** La configuración de actualización automática de versiones secundarias para Amazon RDS está habilitada. | No se permiten parámetros preconfigurados. La instancia de Amazon RDS debe estar en ese `available` estado para que se produzca esta corrección. | 
| Hs4Ma3G163: Los clústeres de bases de datos de RDS deben configurarse para copiar etiquetas en las instantáneas Verificación correspondiente AWS Security Hub CSPM [:](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16) RDS.16 | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagtosnapshot`la configuración de los clústeres de Amazon RDS está habilitada. | No se permiten parámetros preconfigurados. Las instancias de Amazon RDS deben estar en estado disponible para que se produzca esta corrección. | 
| Hs4Ma3G164: las instancias de base de datos de RDS deben configurarse para copiar etiquetas en las instantáneas Verificación correspondiente AWS Security Hub CSPM [:](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17) RDS.17 | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagsToSnapshot`la configuración de Amazon RDS está habilitada. | No se permiten parámetros preconfigurados. Las instancias de Amazon RDS deben estar en estado disponible para que se produzca esta corrección. | 
| [RsS93 HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots) Instantáneas públicas de Amazon RDS | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** El acceso público a la instantánea de Amazon RDS está deshabilitado. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G103: Los clústeres de Amazon Redshift deberían prohibir el acceso público  AWS Security Hub CSPM Comprobación correspondiente: [Redshift.1](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster** El acceso público al clúster de Amazon Redshift está deshabilitado. | No se permiten parámetros preconfigurados. Al deshabilitar el acceso público, se bloquean todos los clientes que vienen de Internet. Además, el clúster de Amazon Redshift permanece en estado de modificación durante unos minutos mientras la corrección inhabilita el acceso público al clúster. | 
| Hs4Ma3G106: Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría  AWS Security Hub CSPM Comprobación correspondiente: [Redshift.4](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging** El registro de auditoría se habilita en el clúster de Amazon Redshift durante el período de mantenimiento. | No se permiten parámetros preconfigurados. Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados. **BucketName:** El depósito debe estar en el mismo lugar. Región de AWS El clúster debe tener permisos de lectura y colocar objetos.  Si el registro del clúster de Redshift está habilitado antes de la ejecución de la automatización, esta automatización podría sobrescribir los ajustes de registro con `S3KeyPrefix` los valores `BucketName` y configurados en los parámetros preconfigurados. | 
| Hs4Ma3G105: Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las principales versiones  AWS Security Hub CSPM Comprobación correspondiente: [Redshift.6](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade**- Las principales actualizaciones de las versiones se aplican automáticamente al clúster durante el período de mantenimiento. No hay un tiempo de inactividad inmediato para el clúster de Amazon Redshift, pero su clúster de Amazon Redshift podría sufrir un tiempo de inactividad durante el período de mantenimiento si se actualiza a una versión principal. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G104: Los clústeres de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado  AWS Security Hub CSPM Comprobación correspondiente: [Redshift.7](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting** El enrutamiento de VPC mejorado está habilitado para los clústeres de Amazon Redshift. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G173: la configuración de acceso público del bloque S3 debe estar habilitada en el nivel del bucket Verificación [correspondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8): S3.8 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Los bloques de acceso público a nivel de bucket se aplican al bucket de Amazon S3. | No se permiten parámetros preconfigurados. Esta corrección podría afectar a la disponibilidad de los objetos de S3. Para obtener información sobre cómo Amazon S3 evalúa el acceso, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html).  | 
| Hs4Ma3G230: el registro de acceso al servidor de bucket S3 debe estar habilitado  Verificación AWS Security Hub CSPM correspondiente[:](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) S3.9 | **AWSManagedServices-EnableBucketAccessLogging**(documento SSM predeterminado para el modo de ejecución automática y manual) El registro de acceso al servidor Amazon S3 está activado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se debe proporcionar el siguiente parámetro preconfigurado:. **TargetBucket** El depósito de destino debe estar en el mismo depósito Región de AWS y Cuenta de AWS al de origen, con los permisos correctos para la entrega de registros. Para obtener más información, consulte [Habilitación del registro de acceso al servidor de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). | 
| Hs4Ma3G230: el registro de acceso al servidor de bucket S3 debe estar habilitado Verificación AWS Security Hub CSPM correspondiente[:](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) S3.9 | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2**: El registro de buckets de Amazon S3 está activado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros: **TargetBucketTagKey**y **TargetBucketTagValue**. El depósito de destino debe estar en el mismo depósito Región de AWS y Cuenta de AWS como el depósito de origen, con los permisos correctos para la entrega de registros. Para obtener más información, consulte [Habilitación del registro de acceso al servidor de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). | 
| [Pfx0 RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) Permisos de bucket de Amazon S3 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Bloqueo del acceso público | No se permiten parámetros preconfigurados. Esta comprobación consta de varios criterios de alerta. Esta automatización soluciona los problemas de acceso público. Trusted Advisor No se admite la corrección de otros problemas de configuración señalados por. Esta corrección sí permite corregir los buckets de S3 Servicio de AWS creados (por ejemplo, cf-templates-000000000000). | 
| Hs4Ma3G272: Los usuarios no deberían tener acceso root a las instancias de notebook SageMaker  Verificación [SageMakercorrespondiente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3): 3. | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess** El acceso root para los usuarios está deshabilitado en la instancia de SageMaker Notebook. | No se permiten parámetros preconfigurados. Esta corrección provoca una interrupción si la instancia del SageMaker portátil está en ese estado. InService  | 
| Hs4Ma3G179: los temas de SNS deben cifrarse en reposo mediante AWS KMS Verificación correspondiente AWS Security Hub CSPM : [SNS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) | **AWSManagedServices-EnableSNSEncryptionAtRest** El tema de SNS está configurado con el cifrado del lado del servidor. | **KmsKeyId:** el ID de una clave maestra de cliente AWS gestionada (CMK) para Amazon SNS o una CMK personalizada que se utilizará para el cifrado del lado del servidor (SSE). El valor predeterminado es. `alias/aws/sns` Si se utiliza una AWS KMS clave personalizada, debe configurarse con los permisos correctos. Para obtener más información, consulte el tema [Habilitar el cifrado del lado del servidor (SSE) para Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) | 
| Hs4Ma3G158: los documentos SSM no deben ser públicos Verificación correspondiente AWS Security Hub CSPM : [SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing**- Desactiva la compartición pública del documento SSM. | No se permiten parámetros preconfigurados. No hay restricciones | 
| Hs4Ma3G136: las colas de Amazon SQS deben cifrarse en reposo Verificación correspondiente AWS Security Hub CSPM : [SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest** Los mensajes de Amazon SQS están cifrados. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Se rechazan ReceiveMessage las solicitudes anónimas SendMessage y a la cola cifrada. Todas las solicitudes hechas a las colas con SSE habilitado deben usar HTTPS y Signature Version 4. | 

## Trusted Advisor las comprobaciones de tolerancia a errores son compatibles con Trusted Remediator
<a name="tr-supported-checks-fault-tolerance"></a>


| Compruebe la ID y el nombre | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles | 
| --- | --- | --- | 
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery) Recuperación de Amazon DynamoDB Point-in-time | **AWSManagedServices-TrustedRemediatorEnableDDBPITR** Permite point-in-time la recuperación de tablas de DynamoDB. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [R365S2qddf](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) Amazon S3 Bucket Versioning | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning** El control de versiones de bucket de Amazon S3 está activado. | No se permiten parámetros preconfigurados. Esta corrección no permite corregir los buckets de S3 Servicio de AWS creados (por ejemplo, cf-templates-000000000000). | 
| [BueAdJ7nRP](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging) Registro de bucket de Amazon S3 | **AWSManagedServices-EnableBucketAccessLogging** El registro de buckets de Amazon S3 está activado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se deben proporcionar los siguientes parámetros preconfigurados: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) El depósito de destino debe estar en el mismo depósito Región de AWS y Cuenta de AWS como el depósito de origen, con los permisos correctos para la entrega de registros. Para obtener más información, consulte [Habilitación del registro de acceso al servidor de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html).  | 
| [f2ik5r6dep](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az) Amazon RDS Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ** La implementación en zonas de disponibilidad múltiple está habilitada. | No se permiten parámetros preconfigurados. Es posible que se produzca una degradación del rendimiento durante este cambio. | 
| [H7 IgTzj TYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots) Instantáneas de Amazon EBS | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot**  EBSsnapshots Se crea Amazon. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [Top QPADk ZvH](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Copias de seguridad de RDS | **AWSManagedServices-EnableRDSBackupRetention** La retención de copias de seguridad de Amazon RDS está habilitada para la base de datos. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Si el `ApplyImmediately` parámetro está establecido en`true`, los cambios pendientes en la base de datos se aplican junto con la configuración RDSBackup de retención. | 
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Las instancias de base de datos de Amazon RDS tienen desactivado el escalado automático de almacenamiento | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling**- El escalado automático del almacenamiento está habilitado para la instancia de base de datos de Amazon RDS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones | 
| [7q GXs KIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining) Conexión Classic Load Balancer: Draining  | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining** El drenaje de conexiones está activado en Classic Load Balancer. | **ConnectionDrainingTimeout:** El tiempo máximo, en segundos, para mantener abiertas las conexiones existentes antes de anular el registro de las instancias. El valor predeterminado está establecido en segundos. `300` Sin restricciones | 
| [c18d2gz106](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan) Amazon EBS no está incluido en el plan AWS Backup  | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan** Amazon EBS está incluido en el AWS Backup plan. | Remediation etiqueta el volumen de Amazon EBS con el siguiente par de etiquetas. El par de etiquetas debe coincidir con los criterios de selección de recursos basados en etiquetas de. AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones | 
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan) La tabla Amazon DynamoDB no está incluida en el plan AWS Backup  | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan** La tabla Amazon DynamoDB se incluye en el plan. AWS Backup  | Remediation etiqueta Amazon DynamoDB con el siguiente par de etiquetas. El par de etiquetas debe coincidir con los criterios de selección de recursos basados en etiquetas de. AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones | 
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan) Amazon EFS no está incluido en el AWS Backup plan | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan** Amazon EFS está incluido en el AWS Backup plan. | Remediation etiqueta Amazon EFS con el siguiente par de etiquetas. El par de etiquetas debe coincidir con los criterios de selección de recursos basados en etiquetas de. AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones | 
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing) Equilibrador de carga cruzado del equilibrador de carga de red | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing** El equilibrio de carga entre zonas está habilitado en Network Load Balancer. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off) El `synchronous_commit` parámetro Amazon RDS está desactivado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `synchronous_commit`El parámetro está activado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off) El `innodb_flush_log_at_trx_commit` parámetro Amazon RDS no es `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `innodb_flush_log_at_trx_commit`El parámetro está establecido en `1` Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off) El `sync_binlog` parámetro Amazon RDS está desactivado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `sync_binlog`El parámetro está activado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe) La configuración de `innodb_default_row_format` parámetros de Amazon RDS no es segura | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `innodb_default_row_format`El parámetro está establecido en `DYNAMIC` Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c18d2gz144](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled) La monitorización EC2 detallada de Amazon no está habilitada | **AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring** La monitorización detallada está habilitada para Amazon EC2. | No se permiten parámetros preconfigurados. No hay restricciones | 

## Trusted Advisor las comprobaciones de rendimiento son compatibles con Trusted Remediator
<a name="tr-supported-checks-performance"></a>


| Compruebe la ID y el nombre | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles | 
| --- | --- | --- | 
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size) AWS Lambda funciones insuficientemente aprovisionadas para el tamaño de la memoria | **AWSManagedServices-ResizeLambdaMemory** El tamaño de la memoria de las funciones Lambda se redimensiona al tamaño de memoria recomendado proporcionado por. Trusted Advisor | **RecommendedMemorySize:** la asignación de memoria recomendada para la función Lambda. El rango de valores está entre 128 y 10240. Si el tamaño de la función Lambda se modifica antes de la ejecución de la automatización, esta automatización podría sobrescribir la configuración con el valor recomendado por. Trusted Advisor | 
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances)  EC2 Instancias de Amazon de alta utilización | **AWSManagedServices-ResizeInstanceByOneLevel** Las EC2 instancias de Amazon se redimensionan en un tipo de instancia superior en el mismo tipo de familia de instancias. Las instancias se detienen e inician durante la operación de cambio de tamaño y vuelven al estado inicial una vez finalizada la ejecución. Esta automatización no admite el cambio de tamaño de las instancias que se encuentran en un grupo de Auto Scaling. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones | 
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal) `innodb_change_buffering`Parámetro de Amazon RDS que utiliza un valor inferior al óptimo | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** El valor del `innodb_change_buffering` parámetro se establece en `NONE` Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off) El `autovacuum` parámetro Amazon RDS está desactivado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `autovacuum`El parámetro está activado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off) El `enable_indexonlyscan` parámetro Amazon RDS está desactivado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `enable_indexonlyscan`El parámetro está activado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off) El `enable_indexscan` parámetro Amazon RDS está desactivado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `enable_indexscan`El parámetro está activado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off) El `innodb_stats_persistent` parámetro Amazon RDS está desactivado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `innodb_stats_persistent`El parámetro está activado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on) El `general_logging` parámetro Amazon RDS está activado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `general_logging`El parámetro está desactivado en Amazon RDS. | No se permiten parámetros preconfigurados. No hay restricciones | 

## Trusted Advisor las comprobaciones de límites de servicio son compatibles con Trusted Remediator
<a name="tr-supported-checks-service-limits"></a>


| Compruebe la ID y el nombre | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles | 
| --- | --- | --- | 
| [Ln7rR0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address) EC2-Dirección IP elástica de VPC | **AWSManagedServices-UpdateVpcElasticIPQuota** Se solicita un nuevo límite para las direcciones IP elásticas de EC2 -VPC. De forma predeterminada, el límite se incrementa en 3. | **Incremento:** el número que se va a aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. | 
| [Km7qq0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways) Gateways de Internet de VPC | **AWSManagedServices-IncreaseServiceQuota**- Se solicita un nuevo límite para las pasarelas de Internet de VPC. De forma predeterminada, el límite se incrementa en tres. | **Incremento:** el número que se va a aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. | 
| [JL7pp0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check) VPC | **AWSManagedServices-IncreaseServiceQuota** Se solicita un nuevo límite para la VPC. De forma predeterminada, el límite se incrementa en 3. | **Incremento:** el número para aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. | 
| [Fw7hh0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups) Grupos de Auto Scaling | **AWSManagedServices-IncreaseServiceQuota** Se solicita un nuevo límite para los grupos de Auto Scaling. De forma predeterminada, el límite se incrementa en 3. | **Incremento:** el número para aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. | 
| [3 Njm0 DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups) Grupos de opciones de RDS | **AWSManagedServices-IncreaseServiceQuota** Se solicita un nuevo límite para los grupos de opciones de Amazon RDS. De forma predeterminada, el límite se incrementa en 3. | **Incremento:** el número para aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. | 
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers) Application Load Balancers de ELB | **AWSManagedServices-IncreaseServiceQuota** Se solicita un nuevo límite para los balanceadores de carga de aplicaciones ELB. De forma predeterminada, el límite se incrementa en 3. | **Incremento:** el número para aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. | 
| [8WiQ K YSt25](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers) Network Load Balancers de ELB | **AWSManagedServices-IncreaseServiceQuota** Se solicita un nuevo límite para los balanceadores de carga de red ELB. De forma predeterminada, el límite se incrementa en 3. | **Incremento:** el número para aumentar la cuota actual. El valor predeterminado es `3`. Si esta automatización se ejecuta varias veces antes de que la Trusted Advisor comprobación se actualice con el `OK` estado, es posible que se produzca un aumento del límite superior. | 

## Trusted Advisor comprobaciones de excelencia operativa respaldadas por Trusted Remediator
<a name="tr-supported-checks-op-ex"></a>


| Compruebe la identificación y el nombre | Nombre del documento SSM y resultado esperado | Parámetros y restricciones preconfigurados compatibles | 
| --- | --- | --- | 
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled) La Amazon API Gateway no registra los registros de ejecución | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** El registro de ejecución está habilitado en la fase API. | No se permiten parámetros preconfigurados. Debe conceder permiso a API Gateway para leer y escribir los registros de su cuenta a CloudWatch fin de habilitar el registro de ejecución; consulte [Configurar el CloudWatch registro para REST APIs en API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) para obtener más información. | 
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled) La protección contra eliminación de Elastic Load Balancing no está habilitada para los equilibradores de carga | **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection**- La protección contra eliminación está activada en el Elastic Load Balancer. | No se permiten parámetros preconfigurados. No hay restricciones | 
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off) Amazon RDS Performance Insights está desactivado | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights** Performance Insights está activado en Amazon RDS. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sin restricciones | 
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled) Registros de acceso a Amazon S3 activados | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** El registro de acceso al bucket de Amazon S3 está activado. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar la corrección automática, se debe proporcionar el siguiente parámetro preconfigurado: **TargetBucketTagKey**y. **TargetBucketTagValue** El depósito de destino debe estar en el mismo depósito Región de AWS y Cuenta de AWS como el depósito de origen, con los permisos correctos para la entrega de registros. Para obtener más información, consulte [Habilitación del registro de acceso al servidor de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). | 

# Configurar la corrección de Trusted Advisor comprobaciones en Trusted Remediator
<a name="tr-configure-remediations"></a>

Las configuraciones se almacenan AWS AppConfig como parte de la aplicación Trusted Remediator. Cada categoría de Trusted Advisor comprobación tiene un perfil de configuración independiente. Para obtener más información sobre Trusted Advisor las categorías, consulte [Ver las categorías de verificación](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor.html#view-check-categories).

Puede configurar las correcciones por recurso o por Trusted Advisor comprobación. Puede aplicar excepciones mediante etiquetas de recursos.

**nota**  
La corrección de Trusted Advisor los hallazgos se configura actualmente mediante AWS AppConfig, y esta función es totalmente compatible en la actualidad. AMS anticipa que esto cambiará en el futuro. Se recomienda evitar crear automatizaciones que dependan de ellas AWS AppConfig, ya que este método está sujeto a cambios. Tenga en cuenta que es posible que necesite actualizar o modificar las automatizaciones creadas en torno a la AWS AppConfig implementación actual en el futuro para garantizar la compatibilidad.  
El indicador de función Compute Optimizer -> EC2 instances tiene parámetros adicionales:  
**allow-upscale: permite escalar instancias** no optimizadas, con aprovisionamiento insuficiente. EC2 El valor predeterminado es “false”.
**min-savings-opportunity-percentage**La oportunidad mínima de porcentaje de ahorro para la remediación automatizada. El valor predeterminado es el 10%

## Configuraciones de corrección predeterminadas
<a name="tr-con-rem-defaults"></a>

Las configuraciones de las Trusted Advisor comprobaciones individuales se almacenan como AWS AppConfig indicadores. El nombre de la bandera coincide con el nombre del cheque. Cada configuración de verificación contiene los siguientes atributos:
+ **modo de ejecución:** determina cómo Trusted Remediator realiza la corrección predeterminada:
  + **Automatizado:** Trusted Remediator corrige automáticamente los recursos creando un documento SSM OpsItem, ejecutándolo y resolviéndolo después tras una ejecución correcta. OpsItem 
  + **Manual:** OpsItem se crea un documento SSM, pero no se ejecuta automáticamente. El documento SSM se revisa y se ejecuta manualmente desde OpsItem la AWS Systems Manager OpsCenter consola.
  + **Condicional:** la corrección está deshabilitada de forma predeterminada. Puede habilitarla para recursos específicos mediante etiquetas. Para obtener más información, consulte las siguientes secciones [Personalice la remediación con etiquetas de recursos](#tr-con-rem-customize-tags) y[Personalice la remediación con etiquetas de anulación de recursos](#tr-con-rem-resource-override).
  + **Inactivo:** no se produce ninguna corrección y no OpsItem se crea ninguna. No puede anular el modo de ejecución de la Trusted Advisor comprobación que está configurada como inactiva.
+ **parámetros preconfigurados:** introduzca valores para los parámetros del documento SSM necesarios para la corrección automática, en el formato de, separados por una coma (`Parameter=Value`,). Consulte los parámetros preconfigurados compatibles [Trusted Advisor comprobaciones compatibles con Trusted Remediator](tr-supported-checks.md) para el documento SSM asociado a cada comprobación.
+ **alternative-automation-document:** Este atributo ayuda a sustituir el documento de automatización existente por otro documento compatible (si está disponible para la comprobación específica). De forma predeterminada, este atributo no está seleccionado. 
**nota**  
El `alternative-automation-document` atributo no admite documentos de automatización personalizados. Puede utilizar los documentos de automatización de Trusted Remediator compatibles existentes que figuran en[Trusted Advisor comprobaciones compatibles con Trusted Remediator](tr-supported-checks.md).  
Por ejemplo, para comprobarlo`Qch7DwouX1`, hay tres documentos SSM asociados: AWSManagedServices-StopEC 2Instance, y AWSManagedServices-ResizeInstanceByOneLevel. AWSManagedServices-TerminateInstance El valor de `alternative-automation-document` puede ser uno de los dos AWSManagedServices-ResizeInstanceByOneLevel AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance es el documento SSM predeterminado que se debe corregir). `Qch7DwouX1`

  El valor de cada atributo debe coincidir con las restricciones de ese atributo.

**sugerencia**  
Antes de aplicar las configuraciones predeterminadas a las Trusted Advisor comprobaciones, se recomienda considerar el uso de las funciones de etiquetado y anulación de recursos que se describen en las siguientes secciones. Las configuraciones predeterminadas se aplican a todos los recursos de la cuenta, lo que puede no ser conveniente en todos los casos.

A continuación, se muestra un ejemplo de captura de pantalla de una consola con el **modo de ejecución** configurado en **Manual** y los atributos que coinciden con sus restricciones.

![\[Una ilustración del flujo de trabajo de decisiones sobre el modo de ejecución de Trusted Remediator.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-exe-mode-man-new.png)


## Personalice la remediación con etiquetas de recursos
<a name="tr-con-rem-customize-tags"></a>

Los **manual-for-tagged-only**atributos **automated-for-tagged-only**y de la configuración de comprobación le permiten especificar etiquetas de recursos para corregir las comprobaciones individuales. Se recomienda utilizar este método cuando se necesita aplicar un comportamiento de corrección coherente a un grupo de recursos que comparten la misma etiqueta o etiquetas. Las siguientes son descripciones de estas etiquetas:
+ **automated-for-tagged-only:** especifique las etiquetas de recursos (uno o más pares de etiquetas, separadas por comas) para que las comprobaciones se corrijan automáticamente, independientemente del modo de ejecución predeterminado.
+ **manual-for-tagged-only:** especifique las etiquetas de recursos (uno o más pares de etiquetas, separadas por comas) para las correcciones que deben ejecutarse manualmente, independientemente del modo de ejecución predeterminado.

Por ejemplo, si desea habilitar la corrección automática para todos los recursos que no son de producción y aplicar la corrección manual para los recursos de producción, puede establecer la configuración de la siguiente manera:

```
"execution-mode": "Conditional", 
"automated-for-tagged-only": "Environment=Non-Production", 
"manual-for-tagged-only": "Environment=Production",
```

Con las configuraciones anteriores configuradas en sus recursos, compruebe que el comportamiento de la corrección sea el siguiente:
+ Los recursos etiquetados con la etiqueta «Entorno = no producción» se corrigen automáticamente.
+ Los recursos etiquetados con la etiqueta «Medio ambiente = producción» requieren una intervención manual para su remediación. 
+ Los recursos sin la etiqueta «Medio ambiente» siguen el modo de ejecución predeterminado («Condicional», en este caso). Por lo tanto, no se realiza ninguna acción con los recursos restantes).

Para obtener asistencia adicional con sus configuraciones, póngase en contacto con su arquitecto de nube.

## Personalice la remediación con etiquetas de anulación de recursos
<a name="tr-con-rem-resource-override"></a>

Las etiquetas de anulación de recursos permiten personalizar el comportamiento de corrección de los recursos individuales, independientemente de sus etiquetas. Al añadir una etiqueta específica a un recurso, se anula el modo de ejecución predeterminado para ese recurso y la comprobación. Trusted Advisor La etiqueta de anulación de recursos tiene prioridad sobre la configuración predeterminada y la configuración de etiquetado de recursos. Por lo tanto, si establece el modo de ejecución predeterminado en **Automatizado**, **Manual** o **Condicional** para un recurso mediante la etiqueta de anulación de recursos, anulará el modo de ejecución predeterminado y cualquier configuración de etiquetado de recursos.

Para anular el modo de ejecución de un recurso, complete los siguientes pasos:

1. Identifique los recursos para los que desea anular la configuración de corrección.

1. Determine el Trusted Advisor identificador de la verificación que desea anular. Puedes encontrar la verificación de los IDs registros admitidos Trusted Advisor . [Trusted Advisor comprobaciones compatibles con Trusted Remediator](tr-supported-checks.md)

1. Añada una etiqueta a los recursos con la siguiente clave y valor:
   + **Clave de etiqueta:** `TR-Trusted Advisor check ID-Execution-Mode` (distingue entre mayúsculas y minúsculas)

     En el ejemplo de clave de etiqueta anterior, `Trusted Advisor check ID` sustitúyala por el identificador único de la Trusted Advisor marca que deseas anular.
   + **Valor de etiqueta:** utilice uno de los siguientes valores para el valor de etiqueta:
     + **Automatizado:** Trusted Remediator corrige automáticamente el recurso para esta Trusted Advisor comprobación.
     + **Manual:** OpsItem se crea una para el recurso, pero la corrección no se realiza automáticamente. La corrección se revisa y se ejecuta manualmente desde. OpsItem
     + **Inactivo:** la corrección y OpsItem la creación no se realizan para este recurso ni para la comprobación especificada Trusted Advisor .

Por ejemplo, para corregir automáticamente un volumen de Amazon EBS con el identificador de Trusted Advisor verificación, `DAvU99Dc4C` añada una etiqueta al volumen de EBS. La **clave de la etiqueta** es `TR-DAvU99Dc4C-Execution-Mode` y el valor de la **etiqueta** es. `Automated`

A continuación, se muestra un ejemplo de la consola que muestra la sección **Etiquetas**:

![\[Un ejemplo de la sección Etiquetas de la consola.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-tags-example.png)


# Flujo de trabajo de decisiones en modo ejecución
<a name="tr-ex-mode-workflow"></a>

Existen varios niveles para configurar el modo de ejecución de sus recursos y de cada Trusted Advisor comprobación. El siguiente diagrama muestra cómo Trusted Remediator decide qué modo de ejecución utilizar en función de sus configuraciones:

![\[Ilustración del flujo de trabajo de decisión sobre el modo de ejecución de Trusted Remediator.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-ex-mode-workflow.png)


# Configurar tutoriales de remediación
<a name="tr-tutorials"></a>

Los siguientes tutoriales proporcionan ejemplos de cómo crear soluciones comunes en Trusted Remediator

## Corrija todos los recursos manualmente
<a name="tr-tutorials-man"></a>

Este ejemplo configura la corrección manual para todos los volúmenes de Amazon EBS con el identificador de Trusted Advisor comprobación DAv U99Dc4C (volúmenes de Amazon EBS subutilizados).

**Configurar la corrección manual para los volúmenes de Amazon EBS con el identificador de comprobación U99Dc4C DAv**

1. [Abra la consola en appconfig. AWS AppConfig https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/appconfig)

   Asegúrese de iniciar sesión con la cuenta de **administrador delegado**.

1. Seleccione **Trusted Remediator** en la lista de aplicaciones.

1. Elija el perfil de configuración **de optimización de costes**.

1. Seleccione el indicador de **volúmenes de Amazon EBS infrautilizados**.

1. **Para el **modo de ejecución, seleccione Manual.****

1. Asegúrese de que los **manual-for-tagged-only**atributos **automated-for-tagged-only**y estén en blanco. Estos atributos se utilizan para anular el modo de ejecución predeterminado para los recursos con etiquetas coincidentes.

   **A continuación se muestra un ejemplo de la sección **Atributos** con valores en blanco para **automated-for-tagged-only**manual-for-tagged-only****y **Manual** para el modo de ejecución:**  
![\[Un ejemplo de la sección Atributos.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-tutorial1.png)

1. Seleccione **Guardar** para actualizar el valor y, a continuación, seleccione **Guardar nueva versión** para aplicar los cambios. Debe seleccionar **Guardar nueva versión** para que Trusted Remediator reconozca el cambio.

1. Asegúrese de que sus volúmenes de Amazon EBS no tengan una etiqueta con la clave`TR-DAvU99Dc4C-Execution-Mode`. Esta clave de etiqueta anula el modo de ejecución predeterminado para ese volumen de EBS.

## Corrija todos los recursos automáticamente, excepto los recursos seleccionados
<a name="tr-tutorials-auto"></a>

**En este ejemplo, se configura la corrección automática para todos los volúmenes de Amazon EBS con el identificador de Trusted Advisor comprobación DAv U99Dc4C (volúmenes de Amazon EBS infrautilizados), con la excepción de los volúmenes especificados que no se van a corregir (denominados inactivos).**

**Configure la corrección automática para los volúmenes de Amazon EBS con el identificador de verificación DAv U99Dc4C, con la excepción de los recursos inactivos seleccionados**

1. [Abra la consola en appconfig. AWS AppConfig https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/appconfig)

   Asegúrese de iniciar sesión con la cuenta de **administrador delegado**.

1. Seleccione **Trusted Remediator** en la lista de aplicaciones.

1. Elija el perfil de configuración **de optimización de costes**.

1. Seleccione el indicador de **volúmenes de Amazon EBS infrautilizados**.

1. **Para el **modo de ejecución, seleccione Automatizado.****

1. Asegúrese de que los **manual-for-tagged-only**atributos **automated-for-tagged-only**y estén en blanco. Estos atributos se utilizan para anular el modo de ejecución predeterminado para los recursos con etiquetas coincidentes.

   **A continuación se muestra un ejemplo de la sección **Atributos** con valores en blanco para **automated-for-tagged-only**manual-for-tagged-only****y **Automatizado** para el modo de ejecución:**  
![\[Un ejemplo de la sección Atributos.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-tutorial2.png)

1. Seleccione **Guardar** para actualizar el valor y, a continuación, seleccione **Guardar nueva versión** para aplicar los cambios. Debe seleccionar **Guardar nueva versión** para que Trusted Remediator reconozca el cambio.

   En este punto, todos los volúmenes de Amazon EBS están configurados para su corrección automática.

1. Anule la corrección automática para volúmenes de Amazon EBS seleccionados:

   1. Abre la EC2 consola de Amazon en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

   1. Elija **Elastic Block Store**, **Volumes**.

   1. Seleccione **Tags** (Etiquetas).

   1. Elija **Administrar etiquetas**.

   1. Añada la siguiente etiqueta:
      + **Clave: Modo de ejecución** TR- DAv U99Dc4C
      + **Valor:** Inactivo

      El siguiente es un ejemplo de la sección **Etiquetas** que muestra los campos **Clave** y **Valor**:  
![\[Un ejemplo de la sección Atributos.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-tutorial-inactive.png)

   1. Repita los pasos 2 a 5 para todos los volúmenes de Amazon EBS que desee excluir de la corrección.

## Corrija los recursos etiquetados automáticamente
<a name="tr-tutorials-auto-tags"></a>

Este ejemplo configura la corrección automática para todos los volúmenes de Amazon EBS con la etiqueta `Stage=NonProd` con el identificador de Trusted Advisor comprobación DAv U99Dc4C (volúmenes de Amazon EBS subutilizados). Los demás recursos sin esta etiqueta no se corrigen.

**Configure la corrección automática para los volúmenes de Amazon EBS con la etiqueta `Stage=NonProd` para el ID de comprobación U99Dc4C DAv**

1. [Abra la consola en appconfig. AWS AppConfig https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/appconfig)

   Asegúrese de iniciar sesión con la cuenta de **administrador delegado**.

1. Seleccione **Trusted Remediator** en la lista de aplicaciones.

1. Elija el perfil de configuración **de optimización de costes**.

1. Seleccione el indicador de **volúmenes de Amazon EBS infrautilizados**.

1. **Para el **modo de ejecución, seleccione Condicional.****

1. Configure el **automated-for-tagged-only** en `Stage=NonProd`. Este atributo anula el valor predeterminado `execution-mode` para los recursos con etiquetas coincidentes. Asegúrese de que los **manual-for-tagged-only**atributos estén en blanco.

   **A continuación, se muestra un ejemplo de la sección de **atributos **automated-for-tagged-only****configurada en **Stage= NonProd** y **Conditional** en el modo de ejecución:**  
![\[Un ejemplo de la sección de atributos.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-tutorial-conditional.png)

1. Si lo desea, defina los parámetros preconfigurados en uno de los siguientes valores:
   + `CreateSnapshot=false`para no crear una instantánea del volumen de Amazon EBS antes de eliminarlo
   + `MinimumUnattachedDays=10`establecer un mínimo de 10 días sin adjuntar del volumen de Amazon EBS que se va a eliminar
   + `CreateSnapshot=false`, `MinimumUnattachedDays=10` para los dos casos anteriores

1. Seleccione **Guardar** para actualizar el valor y, a continuación, seleccione **Guardar nueva versión** para aplicar los cambios. Debe seleccionar **Guardar nueva versión** para que Trusted Remediator reconozca el cambio.

1. Asegúrese de que sus volúmenes de Amazon EBS no tengan una etiqueta con la clave`TR-DAvU99Dc4C-Execution-Mode`. Esta clave de etiqueta anula el modo de ejecución predeterminado para ese volumen de EBS.

# Trabaje con las soluciones en Trusted Remediator
<a name="tr-remediation"></a>

## Realice un seguimiento de las correcciones en Trusted Remediator
<a name="tr-remediation-track"></a>

Para realizar un seguimiento de OpsItems las correcciones, siga estos pasos:

1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Elija **Administración de operaciones**, **OpsCenter**.

1. (Opcional) Filtre la lista por **Source=Trusted Remediator** para incluir solo Trusted Remediator OpsItems en la lista.

   **A continuación se muestra un ejemplo de la OpsCenter pantalla filtrada por Source=Trusted Remediator:**  
![\[Un ejemplo de la sección de atributos.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-opsitems-console.png)

**nota**  
Además OpsItems de verlos desde OpsCenter, puede ver los registros de corrección del bucket AMS S3. Para obtener más información, consulte [Registros de remediación en Trusted Remediator](tr-logging.md).

## Ejecute las correcciones manuales en Trusted Remediator
<a name="tr-remediation-run"></a>

Trusted Remediator crea comprobaciones configuradas OpsItems para la corrección manual. Debe revisar estas comprobaciones e iniciar el proceso de corrección manualmente.

Para solucionarlo manualmente OpsItem, complete los siguientes pasos:

1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Elija **Administración de operaciones**, **OpsCenter**.

1. (Opcional) Filtre la lista por **Source=Trusted Remediator** para incluir solo Trusted Remediator OpsItems en la lista.

1. Elija lo OpsItem que desee revisar.

1. Revise los datos operativos del OpsItem. Los datos operativos incluyen los siguientes elementos:
   + **trustedAdvisorCheckCategoría:** la categoría del identificador del Trusted Advisor cheque. Por ejemplo, tolerancia a errores
   + **trustedAdvisorCheckID:** el identificador de Trusted Advisor verificación único.
   + **trustedAdvisorCheckMetadatos:** los metadatos del recurso, incluido el ID del recurso.
   + **trustedAdvisorCheckNombre:** el nombre de la Trusted Advisor comprobación.
   + **trustedAdvisorCheckEstado:** el estado de la Trusted Advisor comprobación detectada para el recurso.

1. Para solucionarlo manualmente OpsItem, complete los siguientes pasos:

   1. En **Runbooks**, elija uno de los runbooks asociados (documentos SSM).

   1. Elija **Ejecutar**.

   1. En **AutomationAssumeRole **, elija ` arn:aws:iam::Cuenta de AWS ID:role/ams_ssm_automation_role`. Sustituya el Cuenta de AWS ID por el ID de la cuenta en la que se ejecuta la corrección. Para ver otros valores de parámetros, consulte los **datos de la operación**.

      Para corregir los recursos manualmente, el rol o el usuario utilizado para autenticarse Cuenta de AWS debe tener los `iam:PassRole` permisos para el rol de IAM. `ams-ssm-automation-role` Para obtener más información, consulte [Otorgar permisos a un usuario para transferir un rol a un arquitecto de nube Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) o ponerse en contacto con él.

   1. Elija **Ejecutar**.

   1. Supervisa el progreso de la ejecución del documento SSM en la columna **Últimos estados y resultados**.

   1. Cuando se complete el documento, seleccione **Establecer estado**, **resuelto** para resolver manualmente el OpsItem. Si el documento ha fallado, revise los detalles y vuelva a ejecutar el SSMdocument. Para obtener asistencia adicional para la solución de problemas, cree una solicitud de servicio.

   Para resolver un problema OpsItem sin remediarlo, selecciona **Establecer el estado** como **Resuelto**.

1. Repita los pasos 3 y 4 para todas las demás correcciones OpsItems manuales.

## Solucione los problemas de las correcciones en Trusted Remediator
<a name="tr-remediation-troubleshoot"></a>

Para obtener ayuda con las correcciones manuales y los errores de corrección, póngase en contacto con AMS.

Para ver el estado y los resultados de la reparación, complete los siguientes pasos:

1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Elija **Administración de operaciones**, **OpsCenter**.

1. (Opcional) Filtre la lista por **Source=Trusted Remediator** para incluir solo Trusted Remediator OpsItems en la lista.

1. Elija lo OpsItem que desee revisar.

1. En la sección **Ejecuciones automatizadas**, revise el **nombre y el estado del documento** **y los resultados**.

1. Revise los siguientes errores comunes de automatización. Si sus problemas no aparecen aquí, póngase en contacto con su CSDM para obtener ayuda.

**Errores de corrección comunes**

### No aparece ninguna ejecución en Automation Executions
<a name="tr-rem-ts-error-none"></a>

Si no hay ninguna ejecución asociada a ella, OpsItem podría indicar que la ejecución no se pudo iniciar debido a valores de parámetros incorrectos.

**Pasos para la solución de problemas**

1. En los **datos operativos**, revise el valor de la `trustedAdvisorCheckAutoRemediation` propiedad.

1. Compruebe que los valores **DocumentName**y **los parámetros** sean correctos. Para obtener los valores correctos, consulte [Configurar la corrección de Trusted Advisor comprobaciones en Trusted Remediator](tr-configure-remediations.md) los detalles sobre cómo configurar los parámetros del SSM. Para revisar los parámetros de comprobación admitidos, consulte [Trusted Advisor comprobaciones compatibles con Trusted Remediator](tr-supported-checks.md) 

1. Compruebe que los valores del documento SSM coincidan con los patrones permitidos. Para ver los detalles de los parámetros del contenido del documento, seleccione el nombre del documento en la sección **Runbooks**.

1. Tras revisar y corregir los parámetros, vuelva a [ejecutar manualmente el documento SSM](#tr-remediation).

1. Para evitar que se repita este error, asegúrese de configurar la corrección con los valores de **parámetros** correctos en su configuración. Para obtener más información, consulte [Configurar la corrección de Trusted Advisor comprobaciones en Trusted Remediator](tr-configure-remediations.md)

### Ejecuciones fallidas en Automation Executions
<a name="tr-rem-ts-error-failed"></a>

Los documentos de remediación contienen varios pasos que interactúan con la Servicios de AWS realización de diversas acciones. APIs Para identificar la causa específica del error, complete los siguientes pasos:

**Pasos para la solución de problemas**

1. Para ver los pasos de ejecución individuales, selecciona el enlace del **identificador de ejecución** que se encuentra en la sección **Ejecuciones automatizadas**. A continuación, se muestra un ejemplo de la consola de Systems Manager que muestra los **pasos de ejecución** de una automatización seleccionada:  
![\[Un ejemplo de la consola de Systems Manager que muestra una automatización seleccionada.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-troubleshooting.png)

1. Elija el paso con el estado **Fallido**. Los siguientes son ejemplos de mensajes de error:
   + `NoSuchBucket - An error occurred (NoSuchBucket) when calling the GetPublicAccessBlock operation: The specified bucket does not exist`

     Este error indica que se especificó un nombre de depósito incorrecto en los parámetros preconfigurados de la configuración de corrección.

     Para resolver este error, [ejecute la automatización manualmente con el nombre](#tr-remediation) de bucket correcto. Para evitar que este problema vuelva a producirse, [actualice la configuración de corrección](tr-configure-remediations.md) con el nombre de bucket correcto.
   + `DB instance my-db-instance-1 is not in available status for modification.`

     Este error indica que la automatización no pudo realizar los cambios esperados porque la instancia de base de datos estaba en un estado no válido.

     Para resolver este error, [ejecute la automatización manualmente](#tr-remediation).

# Registros de remediación en Trusted Remediator
<a name="tr-logging"></a>

Trusted Remediator crea registros en formato JSON y los carga en Amazon Simple Storage Service. Los archivos de registro se cargan en un bucket de S3 creado por AMS y denominado. `ams-trusted-remediator-{your-account-id}-logs` AMS crea el bucket de S3 en la cuenta de administrador delegado. Puede importar los archivos de registro QuickSight para generar informes de corrección personalizados.

Para obtener más información, consulte [Integración de Trusted Remediator con QuickSight](tr-qs-integration.md).

## Registro de elementos de remediación
<a name="tr-logging-rem-item"></a>

Trusted Remediator crea el `Remediation item log` cuando se crea una remediación OpsItem . Este registro contiene la remediación manual OpsItem y la remediación automática. OpsItem Puede utilizarlo `Remediation item log` para realizar un seguimiento de la visión general de todas las correcciones.

**Ubicación del registro de elementos de corrección para las recomendaciones de Compute Optimizer**

`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/compute_optimizer_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`

**Ubicación del registro de elementos de corrección para las comprobaciones Trusted Advisor **

`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`

**URL del archivo de ejemplo del registro de elementos de remediación**

`s3:///ams-trusted-remediator-111122223333-logs/remediation_items/2023-02-06/1675660464-DAvU99Dc4C-vol-00bd8965660b4c16d.json`

**Formato de registro de elementos de Compute Optimizer Remediation**

```
{
  "AccountID": "Account_ID",
  "ComputeOptimizerCheckID": "Compute Optimizer check ID",
  "ComputeOptimizerCheckName": "Compute Optimizer check name",
  "ResourceID": "Resource ID",
  "RemediationTime": Remediation creation time,
  "ExecutionMode": "Automated or Manual",
  "OpsItemID": "OpsItem ID"
}
```

**Trusted Advisor Formato de registro de elementos de corrección**

```
{
   "TrustedAdvisorCheckID": Trusted Advisor check ID,
   "TrustedAdvisorCheckName": Trusted Advisor check name,
   "TrustedAdvisorCheckResultTime": 10 digits epoch time or unix timestamp,
   "ResourceID": Resource ID,
   "RemediationTime": Remediation creation time,
   "ExecutionMode": Automated or Manual,
   "OpsItemID": OpsItem ID
}
```

**Contenido de muestra en formato de registro de elementos de Compute Optimizer Remediation**

```
{
  "AccountID": "123456789012",
  "ComputeOptimizerCheckID": "compute-optimizer-ebs",
  "ComputeOptimizerCheckName": "EBS volumes",
  "ResourceID": "vol-1235589366f77aca7",
  "RemediationTime": 1755044783,
  "ExecutionMode": "Manual",
  "OpsItemID": "oi-b8888b38fe78"
}
```

**Trusted Advisor Contenido de muestra en formato de registro de elementos de remediación**

```
{
    "TrustedAdvisorCheckID": "DAvU99Dc4C", 
    "TrustedAdvisorCheckName": "Underutilized Amazon EBS Volumes",
    "TrustedAdvisorCheckResultTime": 1675614749,
    "ResourceID": "vol-00bd8965660b4c16d",
    "RemediationTime": 1675660464,
    "OpsItemID": "oi-cca5df7af718"
}
```

## Registro automatizado de ejecución de correcciones, Compute Optimizer y Trusted Advisor
<a name="tr-logging-rem-exe"></a>

Trusted Remediator lo crea `Automated remediation execution log` cuando se completa la ejecución automática de un documento SSM. Este registro contiene detalles de ejecución de SSM únicamente para la corrección automática. OpsItem Puede utilizar este archivo de registro para realizar un seguimiento de las correcciones automatizadas.

**Ubicación del registro de correcciones automatizadas de Compute Optimizer**

`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer recommendation ID.json`

**Trusted Advisor Ubicación del registro de correcciones automatizado**

`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID-Resource ID.json`

**Ejemplo de ubicación del registro de correcciones automatizadas de Compute Optimizer**

`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/1750908858-123456789012-compute-optimizer-ec2-i-1235173471d2cd789.json`

**Trusted Advisor Ejemplo de ubicación del registro de correcciones automatizadas**

`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2023-02-06/1675660573-DAvU99Dc4C-vol-00bd8965660b4c16d.json`

**Contenido de muestra en formato de registro de correcciones automatizado**

```
{
    "OpsItemID": "oi-767c77e05301",
    "SSMExecutionID": "93d091b2-778a-4cbc-b672-006954d76b86",
    "SSMExecutionStatus": "Success"}
```

## Registro de cuentas de miembros
<a name="tr-logging-member-account"></a>

Trusted Remediator las crea `Member accounts log` cuando su cuenta está incorporada o desactivada. Puede utilizarla `Member accounts log` para encontrar el ID de cuenta, la incorporación y el tiempo de ejecución de cada cuenta de Regiones de AWS miembro.

**Ubicación del registro de las cuentas de los miembros**

`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/configuration_logs/member_accounts.json`

**URL del archivo de ejemplo de registro de las cuentas de los miembros**

`s3://ams-trusted-remediator-111122223333-logs/configuration_logs/member_accounts.json`

**Formato de registro de cuentas de miembros**

```
{
    "delegated_administrator_account_id": Delegated Administrator account id,
    "appconfig_configuration_region": Trusted Remediator AppConfig Region,
    "member_accounts": [
        {
            "account_id": Member account id
            "account_partition": Member account partition (for example, aws),
            "regions": [
                {
                    "execution_time": Remediation execution time in cron schedule expression,
                    "execution_timezone": Timezone for the remediation execution time,
                    "region_name": Región de AWS name
                }
                ...
            ]
        }
        ...
    ],
    "updated_at": Log update time,
}
```

**Contenido de muestra en formato de registro de cuentas de miembros**

```
{
    "delegated_administrator_account_id": "111122223333",
    "appconfig_configuration_region": "ap-southeast-2",
    "member_accounts": [
        {
            "account_id": "222233334444",
            "account_partition": "aws",
            "regions": [
                {
                    "execution_time": "0 9 * * 6",
                    "execution_timezone": "Australia/Sydney",
                    "region_name": "ap-southeast-2"
                },
                {
                    "execution_time": "0 5 * * 7",
                    "execution_timezone": "UTC",
                    "region_name": "us-east-1"
                }
            ]
        },
        {
            "account_id": "333344445555",
            "account_partition": "aws",
            "regions": [
                {
                    "execution_time": "0 1 * * 5",
                    "execution_timezone": "Asia/Seoul",
                    "region_name": "ap-northeast-2"
                }
            ]
        }
    ],
    "updated_at": "1730869607"
}
```

# Integración de Trusted Remediator con QuickSight
<a name="tr-qs-integration"></a>

Puede integrar los registros de Trusted Remediator almacenados en Amazon S3 QuickSight para crear un informe de remediación personalizado. QuickSight la integración es opcional. Esta función le permite usar los registros para crear paneles de informes personalizados. Para obtener informes a pedido para Trusted Remediator, póngase en contacto con su CSDM. Para obtener más información sobre los informes de Trusted Remediator disponibles, consulte. [Informes de Trusted Remediator](trusted-remediator-reports.md) 

Para obtener más información sobre la visualización de datos en QuickSight, consulte [Visualización](https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html) de datos en. QuickSight

## Agregue un conjunto de datos QuickSight para el registro de elementos de remediación
<a name="tr-qs-rem-item-log"></a>

Para añadir un conjunto de datos al registro QuickSight de elementos de Remediation, siga estos pasos:

1. Inicie sesión en la QuickSight consola. Puede crear el QuickSight informe en cualquiera de los Región de AWS formatos QuickSight compatibles. Sin embargo, para mejorar el rendimiento y reducir los costes, se recomienda crear el informe en la región en la que se encuentra el depósito de registro de Trusted Remediator.

1. Elija **Conjuntos de datos**.

1. Elija **S3**.

1. En la **nueva fuente de datos de S3**, introduzca los siguientes valores:
   + **Nombre de la fuente de datos:**` trusted-remediator-delegated_administrator_account_id-account_region-remediation-items`.
   + **Cargar un archivo de manifiesto:** Crea un archivo JSON con el siguiente contenido y úsalo. Al crear el archivo, sustituya `logging_bucket_name` la URIPrefixes clave.

     ```
     {
         "fileLocations": [
             {
                 "URIPrefixes": [
                     "s3://{logging_bucket_name}/remediation_items/"
                 ]
             }
         ],
         "globalUploadSettings": {
             "format": "JSON",
             "delimiter": ",",
             "textqualifier": "'",
             "containsHeader": "true"
         }
     }
     ```
   + Elija **Conectar**.
   + En la ventana **Finalizar la creación del conjunto** de datos, elija **Visualizar**.
   + QuickSight abre la nueva página de la hoja de análisis. Ahora puede crear un nuevo análisis mediante el registro de elementos de remediación.

El siguiente es un ejemplo de análisis:

![\[Un ejemplo de hoja de trabajo de análisis.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-sample-analysis.png)


## Agregue un conjunto de datos QuickSight para el registro de ejecución de la remediación automatizada
<a name="tr-qs-rem-exe-log"></a>

1. Inicie sesión en la QuickSight consola. Puede crear el QuickSight informe en cualquiera de los Región de AWS formatos QuickSight compatibles. Sin embargo, para mejorar el rendimiento y reducir los costes, se recomienda crear el informe en la región en la que se encuentra el depósito de registro de Trusted Remediator.

1. Elija **Conjuntos de datos**.

1. Elija **S3**.

1. En la **nueva fuente de datos de S3**, introduzca los siguientes valores:
   + **Nombre de la fuente de datos:**`trusted-remediator-delegated_administrator_account_id-account_region-remediation-executions`.
   + **Cargar un archivo de manifiesto:** cree un archivo JSON con el siguiente contenido y, a continuación, utilice este archivo. Al crear el archivo, sustituya `logging_bucket_name` la URIPrefixes clave.

     ```
     {
         "fileLocations": [
             {
                 "URIPrefixes": [
                     "s3://{logging_bucket_name}/remediation_executions/"
                 ]
             }
         ],
         "globalUploadSettings": {
             "format": "JSON",
             "delimiter": ",",
             "textqualifier": "'",
             "containsHeader": "true"
         }
     }
     ```
   + Elija **Conectar**.
   + En la ventana **Finalizar la creación del conjunto** de datos, elija **Visualizar**.
   + QuickSight abre la nueva página de la hoja de análisis. Ahora puede crear un nuevo análisis mediante el registro de elementos de remediación.

El siguiente es un ejemplo de análisis:

![\[Un ejemplo de hoja de trabajo de análisis.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/tr-sample-analysis2.png)


# Mejores prácticas en Trusted Remediator
<a name="tr-best-practices"></a>

Las siguientes son las mejores prácticas para ayudarle a utilizar Trusted Remediator:
+ Si no está seguro de los resultados de la reparación, comience con el modo de ejecución manual. A veces, aplicar la ejecución automática para las correcciones desde el principio puede provocar resultados inesperados.
+ Realice una revisión semanal de las correcciones OpsItems para obtener información sobre los resultados de Trusted Remediator.
+ Las cuentas de los miembros heredan las configuraciones de la cuenta de administrador delegado. Por lo tanto, es importante estructurar las cuentas de manera que te ayuden a administrar varias cuentas con las mismas configuraciones. Puede eximir los recursos de la configuración predeterminada mediante etiquetas.

# Remediador de confianza FAQs
<a name="tr-faq"></a>

Las siguientes son preguntas frecuentes sobre Trusted Remediator:

## ¿Qué es Trusted Remediator y en qué me beneficia?
<a name="tr-faq-benefits"></a>

Cuando Compute Optimizer identifica un incumplimiento Trusted Advisor o emite una recomendación, Trusted Remediator responde de acuerdo con sus preferencias especificadas, ya sea aplicando una corrección, solicitando la aprobación mediante correcciones manuales o informando de las correcciones en su próxima revisión empresarial mensual (MBR). La subsanación se lleva a cabo en el momento o el cronograma de remediación que prefieras. Trusted Remediator le ofrece la posibilidad de autogestionar las Trusted Advisor comprobaciones y actuar en función de ellas, con la flexibilidad de configurar y corregir las comprobaciones de forma individual o masiva. Con una biblioteca de documentos de remediación comprobados, AMS aumenta constantemente sus cuentas aplicando controles de seguridad y siguiendo las mejores prácticas. AWS Solo se le notificará si así lo especifica en su configuración. Los usuarios de AMS pueden suscribirse a Trusted Remediator sin coste adicional.

## ¿Cómo se relaciona Trusted Remediator con otros y trabaja con ellos? Servicios de AWS
<a name="tr-faq-relates"></a>

Tienes acceso a las Trusted Advisor comprobaciones y a las recomendaciones de Compute Optimizer como parte de tu plan Enterprise Support actual. Trusted Remediator se integra con Trusted Advisor Compute Optimizer para aprovechar las capacidades de automatización de AMS existentes. En concreto, AMS utiliza documentos de AWS Systems Manager automatización (manuales de instrucciones) para las correcciones automatizadas. AWS AppConfig se utiliza para configurar los flujos de trabajo de remediación. Puede ver todas las correcciones actuales y pasadas a través del Systems Manager OpsCenter. Los registros de corrección se almacenan en un bucket de Amazon S3. Puede usar los registros para importar y crear paneles de informes personalizados en ellos. QuickSight

## ¿Quién configura las correcciones?
<a name="tr-faq-configure"></a>

Usted es el propietario de las configuraciones de su cuenta. Administrar las configuraciones es su responsabilidad. Puede ponerse en contacto con su CA o CDSM para que le ayude a gestionar sus configuraciones. También puede ponerse en contacto con AMS mediante una solicitud de servicio para obtener asistencia en materia de configuración, correcciones manuales y solución de problemas relacionados con las correcciones.

## ¿Cómo instalo los documentos de automatización de SSM?
<a name="tr-faq-ssm"></a>

Los documentos de automatización de SSM se comparten automáticamente con las cuentas AMS integradas.

## ¿También se remediarán los recursos propiedad de AMS?
<a name="tr-faq-ams-owned"></a>

Trusted Remediator no marca los recursos propiedad de AMS. Trusted Remediator se centra únicamente en sus recursos.

## ¿En qué Regiones de AWS está disponible Trusted Remediator y quién puede usarlo?
<a name="tr-faq-regions"></a>

Trusted Remediator está disponible para los clientes de AMS Accelerate. Para ver una lista actualizada de las regiones de soporte, consulte [Servicios de AWS por región.](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)

## ¿Trusted Remediator provocará la pérdida de recursos?
<a name="tr-faq-drift"></a>

Dado que los documentos de automatización de SSM actualizan directamente los recursos a través de la AWS API, es posible que se produzcan desviaciones de recursos. Puedes usar etiquetas para segregar los recursos creados a través de tus paquetes existentes CI/CD . Puede configurar Trusted Remediator para que ignore los recursos etiquetados y, al mismo tiempo, corrija los demás recursos.

## ¿Cómo puedo pausar o detener Trusted Remediator?
<a name="tr-faq-stop"></a>

Puede desactivar Trusted Remediator a través de la AWS AppConfig aplicación. Para pausar o detener Trusted Remediator, complete los siguientes pasos:

1. Abra la AWS AppConfig consola en [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).

1. Seleccione Trusted Remediator.

1. Seleccione **Parámetros** en el perfil de configuración.

1. Seleccione el indicador **Suspender Trusted Remediator**.

1. Defina el valor del atributo en`suspended`. `true`

**nota**  
Tenga cuidado al utilizar este procedimiento, ya que detendrá Trusted Remediator en todas las cuentas vinculadas a la cuenta de administrador delegado.

## ¿Cómo puedo corregir las comprobaciones que no son compatibles con Trusted Remediator?
<a name="tr-faq-remediate-checks"></a>

Puede seguir comunicándose con AMS a través de Operations On Demand (OOD) en caso de comprobaciones no admitidas. AMS le ayuda a corregir estas comprobaciones. Para obtener más información, consulte [Operations On Demand](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html).

## ¿En qué se diferencia Trusted Remediator de la AWS Config remediación?
<a name="tr-faq-differences"></a>

AWS Config La remediación es otra solución que le ayuda a optimizar los recursos de la nube y a mantener el cumplimiento de las mejores prácticas. Las siguientes son algunas de las diferencias operativas entre las dos soluciones:
+ Trusted Remediator utiliza Trusted Advisor Compute Optimizer como mecanismos de detección. AWS Config La remediación utiliza AWS Config reglas como mecanismo de detección.
+ En el caso de Trusted Remediator, la remediación se lleva a cabo según el programa de remediación predefinido. En AWS Config, la remediación se produce en tiempo real.
+ Los parámetros de cada remediación de Trusted Remediator se pueden personalizar fácilmente en función de su caso de uso, y la remediación puede automatizarse o hacerse de forma manual añadiendo etiquetas a los recursos.
+ Trusted Remediator proporciona la funcionalidad de generación de informes.
+ Trusted Remediator le envía una notificación por correo electrónico con la lista de las correcciones y el estado de las mismas.

Es posible que algunas Trusted Advisor comprobaciones y recomendaciones de Compute Optimizer incluyan la misma regla. AWS Config Se recomienda habilitar solo una corrección si hay una AWS Config regla y Trusted Advisor una comprobación coincidentes. Para obtener información sobre AWS Config las reglas de cada Trusted Advisor comprobación, consulte[Trusted Advisor comprobaciones compatibles con Trusted Remediator](tr-supported-checks.md).

## ¿Qué recursos utiliza Trusted Remediator en sus cuentas?
<a name="tr-faq-deployed-resources"></a>

Trusted Remediator implementa los siguientes recursos en la cuenta de administrador delegado de Trusted Remediator:
+ Un bucket de Amazon S3 denominado `ams-trusted-remediator-{your-account-id}-logs`. Trusted Remediator crea la solución `Remediation item log` en formato JSON cuando se crea una solución y OpsItem carga los archivos de registro en este depósito.
+ Una AWS AppConfig aplicación para almacenar las configuraciones de corrección para las Trusted Advisor comprobaciones compatibles y las recomendaciones de Compute Optimizer.

Trusted Remediator no despliega recursos en la cuenta de miembro de Trusted Remediator.