": {
...
}
}
```
+ **ResourceType**: Cette clé doit être l'une des chaînes prises en charge suivantes. La configuration au sein de cet objet JSON ne portera que sur le type de AWS ressource spécifié. Types de ressource pris en charge :
```
AWS::EC2::Instance
AWS::EC2::Instance::Disk
AWS::RDS::DBInstance
AWS::RDS::DBCluster
AWS::Elasticsearch::Domain
AWS::OpenSearch::Domain
AWS::Redshift::Cluster
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::ElasticLoadBalancingV2::LoadBalancer::TargetGroup
AWS::ElasticLoadBalancing::LoadBalancer
AWS::FSx::FileSystem::ONTAP
AWS::FSx::FileSystem::ONTAP::Volume
AWS::FSx::FileSystem::Windows
AWS::EFS::FileSystem
AWS::EC2::NatGateway
AWS::EC2::VPNConnection
```
+ **ConfigurationID** : cette clé doit être unique dans le profil et nommer de manière unique le bloc de configuration suivant. Si deux blocs de configuration d'un même **ResourceType**bloc ont le même **identifiant de configuration**, celui qui apparaît le plus récent dans le profil prend effet. Si vous spécifiez dans votre profil de personnalisation un **identifiant de configuration** identique à celui spécifié dans le profil par défaut, le bloc de configuration défini dans le profil de personnalisation prend effet.
+ **Activé** : (facultatif, default=true) Spécifiez si le bloc de configuration prendra effet. Définissez ce paramètre sur false pour désactiver un bloc de configuration. Un bloc de configuration désactivé se comporte comme s'il n'était pas présent dans le profil.
+ **Tag** : Spécifiez le tag auquel s'applique cette définition d'alarme. Toute ressource (du type de ressource approprié) qui possède cette clé et cette valeur de balise aura une CloudWatch alarme créée avec la définition donnée. Ce champ est un objet JSON avec les champs suivants :
+ **Clé** : clé de la balise à associer. N'oubliez pas que si vous utilisez Resource Tagger pour appliquer les balises à la ressource, la clé de la balise commencera toujours par **ams:rt** :.
+ **Valeur** : valeur de la balise à mettre en correspondance.
+ **AlarmDefinition**: Définit l'alarme à créer. Il s'agit d'un objet JSON dont les champs sont transmis tels quels à l'appel d' CloudWatch `PutMetricAlarm`API (à l'exception des pseudoparamètres ; pour plus d'informations, voir[Accélérer le profil de configuration : substitution de pseudoparamètres](acc-mem-config-doc-sub.md)). Pour plus d'informations sur les champs obligatoires, consultez la [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)documentation.
OU
**CompositeAlarmDefinition**: Définit une alarme composite à créer. Lorsque vous créez une alarme composite, vous spécifiez une expression de règle pour l'alarme qui prend en compte l'état des autres alarmes que vous avez créées. Il s'agit d'un objet JSON dont les champs sont transmis tels quels au`CloudWatchPutCompositeAlarm`. L'alerte composite passe à l'état ALARM uniquement si toutes les conditions de la règle sont remplies. Les alertes spécifiées dans l'expression de règle d'alerte composite peuvent inclure des alertes de métrique et d'autres alertes composites. Pour plus d'informations sur les champs obligatoires, consultez la [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)documentation.
Les deux options fournissent les champs suivants :
+ **AlarmName**: Spécifiez le nom de l'alarme que vous souhaitez créer pour la ressource. Ce champ comporte les mêmes règles que celles spécifiées dans la [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)documentation ; toutefois, comme le nom de l'alarme doit être unique dans une région, le gestionnaire d'alarmes a une exigence supplémentaire : vous devez spécifier le pseudoparamètre de l'identifiant unique dans le nom de l'alarme (sinon, Alarm Manager ajoute l'identifiant unique de la ressource au début du nom de l'alarme). Par exemple, pour le type de **AWS::EC2::Instance**ressource, vous devez le spécifier `${EC2::InstanceId}` dans le nom de l'alarme, sinon il est implicitement ajouté au début du nom de l'alarme. Pour la liste des identifiants, voir[Accélérer le profil de configuration : substitution de pseudoparamètres](acc-mem-config-doc-sub.md).
Tous les autres champs sont tels que spécifiés dans la [PutMetricAlarm[PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)documentation.
+ **AlarmRule**: Spécifiez les autres alarmes à évaluer pour déterminer l'état de cette alarme composite. Pour chaque alarme à laquelle vous faites référence, elle doit exister CloudWatch ou être spécifiée dans le profil de configuration d'Alarm Manager de votre compte.
**Important**
Vous pouvez spécifier l'un **AlarmDefinition**ou l'autre ou **CompositeAlarmDefinition**dans votre document de configuration d'Alarm Manager, mais les deux ne peuvent pas être utilisés en même temps.
Dans l'exemple suivant, le système crée une alarme lorsque deux alarmes métriques spécifiées dépassent son seuil :
```
{
"AWS::EC2::Instance": {
"LinuxResourceAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"CompositeAlarmDefinition": {
"AlarmName": "${EC2::InstanceId} Resource Usage High",
"AlarmDescription": "Alarm when a linux EC2 instance is using too much CPU and too much Disk",
"AlarmRule": "ALARM(\"${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}\") AND ALARM(\"${EC2::InstanceId}: CPU Too High\")"
}
}
}
}
```
**Important**
Lorsque Alarm Manager n'est pas en mesure de créer ou de supprimer une alarme en raison d'une configuration défectueuse, il envoie la notification à la rubrique **Direct-Customer-Alerts** SNS. Cette alarme est appelée **AlarmDependencyError**.
Nous vous recommandons vivement de confirmer votre inscription à cette rubrique SNS. Pour recevoir des messages publiés dans [un sujet](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html), vous devez abonner [un point de terminaison](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html#sns-endpoints) au sujet. Pour plus de détails, voir [Étape 1 : Création d'un sujet](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#step-create-queue).
**Note**
Lorsque des alarmes de détection d'anomalies sont créées, Alarm Manager crée automatiquement les modèles de détection d'anomalies requis pour les métriques spécifiées. Lorsque les alarmes de détection d'anomalies sont supprimées, Alarm Manager ne supprime pas les modèles de détection d'anomalies associés.
[Amazon CloudWatch limite le nombre de modèles de détection d'anomalies](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) que vous pouvez avoir dans une AWS région donnée. Si vous dépassez le quota du modèle, Alarm Manager ne crée pas de nouvelles alarmes de détection d'anomalies. Vous devez soit supprimer les modèles non utilisés, soit contacter votre partenaire AMS pour demander une augmentation de limite.
La plupart des définitions d'alarme de base fournies par AMS Accelerate citent le sujet SNS, **MS-Topic**, comme cible. Il est destiné à être utilisé dans le service de surveillance AMS Accelerate et constitue le mécanisme de transport pour que vos notifications d'alarme soient transmises à AMS Accelerate. Ne spécifiez pas **MMS-Topic** comme cible pour les alarmes autres que celles fournies dans la ligne de base (et les remplacements de celles-ci), car le service ignore les alarmes inconnues. Cela **n'entraîne pas** l'action d'AMS Accelerate sur vos alarmes personnalisées.
# Accélérer le profil de configuration : substitution de pseudoparamètres
Dans l'un ou l'autre des profils de configuration, vous pouvez spécifier des pseudoparamètres qui sont substitués sur place comme suit :
+ Global, n'importe où dans le profil :
+ \$1 \$1AWS::AccountId\$1 : remplacé par votre identifiant de AWS compte
+ \$1 \$1AWS::Partition\$1 : Remplacé par la partition dans laquelle se trouve Région AWS la ressource (il s'agit de « aws » pour la plupart des régions) ; pour plus d'informations, consultez l'entrée relative à la partition dans la [référence ARN](https://docs.amazonaws.cn/en_us/general/latest/gr/aws-arns-and-namespaces.html).
+ \$1 \$1AWS::Region\$1 : remplacé par le nom de la région dans laquelle votre ressource est déployée (par exemple us-east-1)
+ Dans un bloc **AWS::EC2::Instance**de type de ressource :
+ \$1 \$1EC2: :InstanceId\$1 : (**identifiant**) remplacé par l'ID d'instance de votre EC2 instance Amazon.
+ \$1 \$1EC2: :InstanceName\$1 : remplacé par le nom de votre EC2 instance Amazon.
+ Dans un bloc de type de ressource **AWS::EC2::Instance::Disk :**
+ \$1 \$1EC2: :InstanceId\$1 : (**identifiant**) Remplacé par l'ID d'instance de votre EC2 instance Amazon.
+ \$1 \$1EC2: :InstanceName\$1 : Remplacé par le nom de votre EC2 instance Amazon.
+ \$1 \$1EC2: :Disk : :Device\$1 : (**identifiant**) Remplacé par le nom du disque. (Linux uniquement, sur les instances gérées par l'[CloudWatch agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)).
+ \$1 \$1EC2: :Disk : :FSType\$1 : (**identifiant**) Remplacé par le type de système de fichiers du disque. (Linux uniquement, sur les instances gérées par le [ CloudWatchAgent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)).
+ \$1 \$1EC2: :Disk : :Path\$1 : (**identifiant**) Remplacé par le chemin du disque. Sous Linux, il s'agit du point de montage du disque (par exemple,/), tandis que sous Windows, il s'agit de l'étiquette du lecteur (par exemple, c :/) (uniquement sur une instance gérée par l'[CloudWatch agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)).
+ \$1 \$1EC2: :Disk : :UUID\$1 : (**identifiant**) Remplacé par un UUID généré qui identifie le disque de manière unique, celui-ci doit être spécifié dans le nom de l'alarme, car une alarme de type AWS::EC2::Instance::Disk ressource créera une alarme par volume. La spécification de \$1 \$1EC2: :Disk : :UUID\$1 préservera l'unicité des noms d'alarme.
+ Dans un bloc **AWS::EKS::Cluster**de type de ressource :
+ \$1 \$1EKS : :ClusterName\$1 : (**identifiant**) remplacé par le nom de votre cluster EKS.
+ Dans un bloc **AWS::OpenSearch::Domain**de type de ressource :
+ \$1 \$1OpenSearch: :DomainName\$1 : (**identifiant**) remplacé par le nom de votre domaine EKS.
+ Dans un bloc **AWS::ElasticLoadBalancing::LoadBalancer**de type de ressource :
+ \$1 \$1ElasticLoadBalancing: LoadBalancer : :Name\$1 : (**identifiant**) remplacé par le nom de votre V1 Load Balancer.
+ Dans un bloc **AWS::ElasticLoadBalancingV2::LoadBalancer**de type de ressource :
+ \$1 \$1ElasticLoadBalancingV2 : LoadBalancer : :Arn\$1 : (**identifiant**) remplacé par l'ARN de votre V2 Load Balancer.
+ \$1 \$1ElasticLoadBalancingV2 : LoadBalancer : :Name\$1 : (**identifiant**) remplacé par le nom de votre V2 Load Balancer.
+ \$1 \$1ElasticLoadBalancingV2 : : LoadBalancer :FullName\$1 : (**identifiant**) remplacé par le nom complet de votre V2 Load Balancer.
+ Dans un bloc de type de TargetGroup ressource **AWS::ElasticLoadBalancingV2::LoadBalancer:** :
+ \$1 \$1ElasticLoadBalancingV2 : : TargetGroup :FullName\$1 : (**identifiant**) remplacé par le nom du groupe cible de votre V2 Load Balancer.
+ \$1 \$1ElasticLoadBalancingV2 : TargetGroup : :UUID\$1 : (**identifiant**) remplacé par un UUID généré pour votre V2 Load Balancer.
+ Dans un bloc **AWS::EC2::NatGateway**de type de ressource :
+ \$1 \$1NatGateway: :NatGatewayId\$1 : (**identifiant**) remplacé par l'ID de passerelle NAT.
+ Dans un bloc de type de DBInstance ressource **AWS : :RDS : :**
+ \$1 \$1RDS : : DBInstance Identifier\$1 : (identifiant) remplacé par **l'identifiant** de votre instance de base de données RDS.
+ Dans un bloc de type de DBCluster ressource **AWS : :RDS : :**
+ \$1 \$1RDS : : DBCluster Identifier\$1 : (identifiant) remplacé par **l'identifiant** de votre cluster de base de données RDS.
+ Dans un bloc **AWS::Redshift::Cluster**de type de ressource :
+ \$1 \$1Redshift : :ClusterIdentifier\$1 : (**identifiant) remplacé par l'identifiant** de votre cluster Redshift.
+ Dans un bloc **AWS::Synthetics::Canary**de type de ressource :
+ \$1 \$1Synthetics : :\$1 CanaryName : **(**identifiant) remplacé par le nom de votre CloudWatch canari Synthetics.
+ Dans un bloc de type de VPNConnection ressource **AWS EC2 :** : : :
+ \$1 \$1AWS::EC2::VpnConnectionId\$1 : (**identifiant**) remplacé par votre identifiant VPN.
+ Dans un bloc **AWS::EFS::FileSystem**de type de ressource :
+ \$1 \$1EFS : :FileSystemId\$1 : (**identifiant**) Remplacé par l'ID du système de fichiers de votre système de fichiers EFS.
+ Dans un bloc de type de ressource **AWS::FSx::FileSystem: :ONTAP** :
+ \$1 \$1FSx: :FileSystemId\$1 : (**identifiant**) Remplacé par l'ID du système de fichiers de votre système de fichiers FSX.
+ \$1 \$1FSx: FileSystem : :Throughput\$1 : remplacé par le débit de votre système de fichiers FSX.
+ \$1 \$1FSx: FileSystem : :Iops\$1 : remplacé par les IOPS du système de fichiers FSX.
+ Dans un bloc de type de ressource **AWS::FSx::FileSystem: :ONTAP : :Volume :**
+ \$1 \$1FSx: :FileSystemId\$1 : (**identifiant**) Remplacé par l'ID du système de fichiers de votre système de fichiers FSX.
+ \$1 \$1FSx: :ONTAP : :VolumeId\$1 : (**identifiant**) Remplacé par l'ID du volume.
+ Dans un bloc de type de ressource **AWS::FSx::FileSystem::Windows :**
+ \$1 \$1FSx: :FileSystemId\$1 : (**identifiant**) Remplacé par l'ID du système de fichiers de votre système de fichiers FSX.
+ \$1 \$1FSx: FileSystem : :Throughput\$1 : remplacé par le débit de votre système de fichiers FSX.
**Note**
Tous les paramètres marqués d'un **identifiant** sont utilisés comme préfixe pour le nom des alarmes créées, sauf si vous spécifiez cet identifiant dans le nom de l'alarme.
# Exemples de configuration d'alarmes accélérés
Dans l'exemple suivant, le système crée une alarme pour chaque disque connecté à l'instance Linux correspondante.
```
{
"AWS::EC2::Instance::Disk": {
"LinuxDiskAlarm": {
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "disk_used_percent",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "device",
"Value": "${EC2::Disk::Device}"
},
{
"Name": "fstype",
"Value": "${EC2::Disk::FSType}"
},
{
"Name": "path",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
Dans l'exemple suivant, le système crée une alarme pour chaque disque connecté à l'instance Windows correspondante.
```
{
"AWS::EC2::Instance::Disk": {
"WindowsDiskAlarm": {
"Tag": {
"Key": "ams:rt:mywindowsinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "LogicalDisk % Free Space",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "objectname",
"Value": "LogicalDisk"
},
{
"Name": "instance",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
# Affichage de la configuration de votre Accelerate Alarm Manager
Les **AMSManagedalarmes et les alarmes **CustomerManagedAlarms****peuvent être consultées AppConfig avec [GetConfiguration](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_GetConfiguration.html).
Voici un exemple d'`GetConfiguration`appel :
```
aws appconfig get-configuration --application AMSAlarmManager --environment AMSInfrastructure --configuration AMSManagedAlarms --client-id
any-string outfile.json
```
+ **Application** : il s' AppConfigagit d'une unité logique pour fournir des fonctionnalités ; pour le gestionnaire d'alarmes, c'est `AMSAlarmManager`
+ **Environnement** : c'est l' AMSInfrastructure environnement
+ **Configuration** : pour afficher les alarmes de base AMS Accelerate, la valeur est `AMSManagedAlarms` ; pour afficher les définitions des alarmes du client, la configuration est `CustomerManagedAlarms`
+ **ID client** : il s'agit d'un identifiant unique d'instance d'application, qui peut être n'importe quelle chaîne
+ Les définitions des alarmes peuvent être consultées dans le fichier de sortie spécifié, qui dans ce cas est `outfile.json`
Vous pouvez voir quelle version de configuration est déployée sur votre compte en consultant les déploiements antérieurs dans l' AMSInfrastructureenvironnement.
# Modification de la configuration de l'alarme Accelerate
Pour ajouter ou mettre à jour de nouvelles définitions d'alarme, vous pouvez déployer le document [Utilisation CloudFormation pour déployer Accélérer les modifications de configuration](acc-mem-deploy-change-cfn.md) de configuration ou appeler l'[CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API.
Il s'agit d'une commande de ligne de commande Linux qui génère la valeur du paramètre en base64, ce que la commande AppConfig CLI attend. Pour plus d'informations, consultez la AWS CLI documentation [Binary/Blob (gros objet binaire)](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob).
À titre d'exemple :
```
aws appconfig create-hosted-configuration-version --application-id application-id --configuration-profile-id configuration-profile-id --content base64-string
--content-type application/json
```
+ **ID de l'application :** ID de l'application AMS AlarmManager ; vous pouvez le découvrir grâce à l'appel [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)d'API.
+ **ID du profil de configuration** : ID de la configuration CustomerManagedAlarms ; vous pouvez le découvrir grâce à l'appel [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)d'API.
+ **Contenu** [: chaîne Base64 du contenu, à créer en créant un document et en l'encodant en base64 : cat alarms-v2.json \$1 base64 (voir Binary/Blob (binary large object)).](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob)
**Type de contenu : type** MIME, `application/json` car les définitions d'alarme sont écrites en JSON.
**Important**
Limitez l'accès aux actions [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)et aux [StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)API aux utilisateurs de confiance qui comprennent les responsabilités et les conséquences du déploiement d'une nouvelle configuration sur vos cibles.
Pour en savoir plus sur l'utilisation des AppConfig fonctionnalités AWS pour créer et déployer une configuration, consultez [Travailler avec AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html).
# Modification de la configuration par défaut de l'alarme Accelerate
Bien que vous ne puissiez pas modifier le profil de configuration par défaut, vous pouvez remplacer les paramètres par défaut en spécifiant un bloc de configuration dans votre profil de personnalisation avec le même **identifiant de configuration que le bloc de configuration** par défaut. Dans ce cas, l'ensemble de votre bloc de configuration remplace le bloc de configuration par défaut pour lequel la configuration de balisage doit s'appliquer.
Par exemple, considérez le profil de configuration par défaut suivant :
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 5,
...
}
}
}
}
```
Pour modifier le seuil de cette alarme à 10, **vous devez fournir la définition complète de l'alarme**, et pas uniquement les parties que vous souhaitez modifier. Par exemple, vous pouvez fournir le profil de personnalisation suivant :
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 10,
...
}
}
}
}
```
**Important**
N'oubliez pas de déployer vos modifications de configuration une fois que vous les avez apportées. Dans SSM AppConfig, vous devez déployer une nouvelle version de la configuration après l'avoir créée.
# Déploiement Accélérez les modifications de configuration des
Une fois la personnalisation terminée, vous devez la déployer, avec AppConfig ou CloudFormation.
**Topics**
+ [
# Utilisation AppConfig pour déployer Accelerate les modifications de configuration des alarmes
](acc-mem-deploy-change-appconfig.md)
+ [
# Utilisation CloudFormation pour déployer Accélérer les modifications de configuration
](acc-mem-deploy-change-cfn.md)
# Utilisation AppConfig pour déployer Accelerate les modifications de configuration des alarmes
Une fois la personnalisation terminée, utilisez-le AppConfig pour déployer vos modifications avec [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html).
```
aws appconfig start-deployment --application-id application_id
--environment-id environment_id Vdeployment-strategy-id
deployment_strategy_id --configuration-profile-id configuration_profile_id --configuration-version 1
```
+ **ID de l'application** : ID de l'application`AMSAlarmManager`, vous pouvez le trouver dans l'appel [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)d'API.
+ **ID d'environnement** : vous pouvez le trouver dans l'appel [ListEnvironments](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListEnvironments.html)d'API.
+ **ID de stratégie de déploiement** : vous pouvez le trouver dans l'appel [ListDeploymentStrategies](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListDeploymentStrategies.html)d'API.
+ **ID du profil de configuration** : ID de `CustomerManagedAlarms` ; vous pouvez le trouver dans l'appel [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)d'API.
+ **Version de configuration** : version du profil de configuration à déployer.
**Important**
Alarm Manager applique les définitions d'alarme telles que spécifiées dans les profils de configuration. Toutes les modifications manuelles que vous apportez aux CloudWatch alarmes avec le CloudWatch CLI/SDK AWS Management Console ou le CLI/SDK sont automatiquement annulées. Assurez-vous donc que vos modifications sont définies via Alarm Manager. Pour comprendre quelles alarmes sont créées par le gestionnaire d'alarmes, vous pouvez rechercher la `ams:alarm-manager:managed` balise avec une valeur`true`.
Limitez l'accès aux actions [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)et aux [ StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)API aux utilisateurs de confiance qui comprennent les responsabilités et les conséquences du déploiement d'une nouvelle configuration sur vos cibles.
Pour en savoir plus sur l'utilisation des AppConfig fonctionnalités AWS pour créer et déployer une configuration, consultez la [ AppConfig documentation AWS.](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html)
# Utilisation CloudFormation pour déployer Accélérer les modifications de configuration
Si vous souhaitez déployer votre profil de `CustomerManagedAlarms` configuration à l'aide des modèles suivants CloudFormation, vous pouvez utiliser les CloudFormation modèles suivants. Entrez la configuration JSON souhaitée dans le `AMSAlarmManagerConfigurationVersion.Content` champ.
Lorsque vous déployez les modèles dans une CloudFormation pile ou un ensemble de piles, le déploiement de la `AMSResourceTaggerDeployment` ressource échoue si vous n'avez pas suivi le format JSON requis pour la configuration. Voir [Accélérer le profil de configuration : surveillance](acc-mem-config-doc-format.md) pour plus de détails sur le format attendu.
Pour obtenir de l'aide sur le déploiement de ces modèles sous forme de CloudFormation pile ou d'ensemble de piles, consultez la CloudFormation documentation AWS correspondante ci-dessous :
+ [Création d'une pile sur la CloudFormation console AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
+ [Création d'une pile avec l'AWS CLI](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-cli-creating-stack.html)
+ [Création d'un ensemble de piles](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)
**Note**
Si vous déployez une version de configuration à l'aide de l'un de ces modèles, puis que vous supprimez ensuite l'ensemble CloudFormation de piles ou de piles, la version de configuration du modèle restera la version actuellement déployée et aucun déploiement supplémentaire ne sera effectué. Si vous souhaitez revenir à une configuration par défaut, vous devez soit déployer manuellement une configuration vide (c'est-à-dire juste \$1\$1), soit mettre à jour votre pile avec une configuration vide, plutôt que de supprimer la pile.
**JSON**
```
{
"Description": "Custom configuration for the AMS Alarm Manager.",
"Resources": {
"AMSAlarmManagerConfigurationVersion": {
"Type": "AWS::AppConfig::HostedConfigurationVersion",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"Content": "{}",
"ContentType": "application/json"
}
},
"AMSAlarmManagerDeployment": {
"Type": "AWS::AppConfig::Deployment",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"ConfigurationVersion": {
"Ref": "AMSAlarmManagerConfigurationVersion"
},
"DeploymentStrategyId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-Deployment-StrategyID"
},
"EnvironmentId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-EnvironmentId"
}
}
}
}
}
```
**YAML**
```
Description: Custom configuration for the AMS Alarm Manager.
Resources:
AMSAlarmManagerConfigurationVersion:
Type: AWS::AppConfig::HostedConfigurationVersion
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
Content: |
{
}
ContentType: application/json
AMSAlarmManagerDeployment:
Type: AWS::AppConfig::Deployment
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
ConfigurationVersion:
!Ref AMSAlarmManagerConfigurationVersion
DeploymentStrategyId:
!ImportValue AMS-Alarm-Manager-Configuration-Deployment-StrategyID
EnvironmentId:
!ImportValue AMS-Alarm-Manager-Configuration-EnvironmentId
```
# Annulation accélérée des changements d'alarme
Vous pouvez annuler les définitions d'alarme par le biais du même mécanisme de déploiement en spécifiant une version de profil de configuration précédente et en l'exécutant [ StartDeployment.](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)
# Conserver les alarmes Accel
Lorsque les ressources surveillées par AMS sont supprimées, toutes les alarmes créées par Alarm Manager pour ces ressources sont automatiquement supprimées par Alarm Manager. Si vous devez conserver certaines alarmes à des fins d'audit, de conformité ou d'historique, utilisez la fonction de mémorisation des balises d'Alarm Manager.
Pour conserver une alarme même après la suppression de sa ressource surveillée, ajoutez une `"ams:alarm-manager:retain" ` balise à la configuration personnalisée de l'alarme, comme indiqué dans l'exemple suivant.
```
{
"AWS::EC2::Instance": {
"AMSCpuAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: CPU Too High",
"AlarmDescription": "AMS Baseline Alarm for EC2 CPUUtilization",
[...]
"Tags": [
{
"Key": "ams:alarm-manager:retain",
"Value": "true"
}
]
}
}
}
}
```
Une alarme configurée avec le `"ams:alarm-manager:retain"` tag n'est pas automatiquement supprimée par Alarm Manager lorsque la ressource surveillée est interrompue. L'alarme conservée persiste CloudWatch indéfiniment jusqu'à ce que vous la supprimiez manuellement à l'aide de CloudWatch.
# Désactivation de la configuration d'alarme Accelerate par défaut
AMS Accelerate fournit le profil de configuration par défaut de votre compte en fonction des alarmes de base. Toutefois, cette configuration par défaut peut être désactivée en remplaçant l'une des définitions d'alarme. Vous pouvez désactiver une règle de configuration par défaut en remplaçant l'**ID de configuration** de la règle dans votre profil de configuration de personnalisation et en spécifiant le champ activé avec la valeur false.
Par exemple, si la configuration suivante était présente dans le profil de configuration par défaut :
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
...
}
}
}
```
Vous pouvez désactiver cette règle de balisage en incluant les éléments suivants dans votre profil de configuration de personnalisation :
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": false
}
}
}
```
Pour effectuer ces modifications, l'[CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API doit être appelée avec le document de profil JSON (voir[Modification de la configuration de l'alarme Accelerate](acc-mem-change-am.md)) et doit ensuite être déployée (voir[Déploiement Accélérez les modifications de configuration des](acc-mem-deploy-change.md)). Notez que lorsque vous créez la nouvelle version de configuration, vous devez également inclure les alarmes personnalisées que vous souhaitez créer précédemment dans le document de profil JSON.
**Important**
Lorsqu'AMS Accelerate met à jour le profil de configuration par défaut, celui-ci n'est pas calibré par rapport aux alarmes personnalisées que vous avez configurées. Vérifiez donc les modifications apportées aux alarmes par défaut lorsque vous les remplacez dans votre profil de configuration personnalisé.
# Création d' CloudWatch alarmes supplémentaires pour Accelerate
Vous pouvez créer des CloudWatch alarmes supplémentaires pour AMS Accelerate à l'aide de CloudWatch métriques et d'alarmes personnalisées pour les EC2 instances Amazon.
Produisez votre script de surveillance des applications et vos métriques personnalisées. Pour plus d'informations et pour accéder à des exemples de scripts, consultez la section [Surveillance des métriques de mémoire et de disque pour les instances Amazon EC2 Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mon-scripts.html).
Les scripts CloudWatch de surveillance pour les EC2 instances Amazon Linux montrent comment produire et utiliser des CloudWatch métriques personnalisées. Ces exemples de scripts Perl comportent un exemple entièrement fonctionnel qui indique les métriques d’utilisation de la mémoire, des échanges et de l’espace sur le disque pour une instance Linux.
**Important**
AMS Accelerate ne surveille pas les CloudWatch alarmes que vous avez créées.
# Affichage du nombre de ressources surveillées par Alarm Manager pour Accelerate
Alarm Manager envoie des métriques toutes les heures à Amazon CloudWatch, dans l'espace de `AMS/AlarmManager` noms. Les métriques sont émises uniquement pour les types de ressources pris en charge par Alarm Manager.
| Nom de la métrique | Dimensions | Description |
| --- | --- | --- |
| ResourceCount | Composant, ResourceType | Nombre de ressources (du type de ressource spécifié) déployées dans cette région. Unités : nombre |
| ResourcesMissingManagedAlarms | Composant, ResourceType | Nombre de ressources (du type de ressource spécifié) qui nécessitent des alarmes gérées, mais Alarm Manager n'a pas encore appliqué les alarmes. Unités : nombre |
| UnmanagedResources | Composant, ResourceType | Nombre de ressources (du type de ressource spécifié) auxquelles aucune alarme gérée n'est appliquée par Alarm Manager. Généralement, ces ressources ne correspondent à aucun bloc de configuration d'Alarm Manager ou sont explicitement exclues des blocs de configuration. Unités : nombre |
| MatchingResourceCount | Composant ResourceType, ConfigClauseName | Nombre de ressources (du type de ressource spécifié) correspondant au bloc de configuration d'Alarm Manager. Pour qu'une ressource corresponde au bloc de configuration, le bloc doit être activé et la ressource doit avoir les mêmes balises que celles spécifiées dans le bloc de configuration. Unités : nombre |
Ces statistiques sont également consultables sous forme de graphiques, dans le tableau de bord **AMS-Alarm-Manager-Reporting-Dashboard**. Pour voir le tableau de bord, depuis la console de AWS CloudWatch gestion, sélectionnez **AMS-Alarm-Manager-Reporting-Dashboard**. Par défaut, les graphiques de ce tableau de bord affichent les données de la période de 12 heures précédente.
AMS Accelerate déploie des CloudWatch alarmes sur votre compte afin de détecter les augmentations significatives du nombre de ressources non gérées, par exemple les ressources exclues de la gestion par AMS Alarm Manager. AMS Operations étudiera les augmentations des ressources non gérées qui dépassent : soit trois ressources du même type, soit une augmentation de 50 % par rapport à toutes les ressources du même type. Si le changement ne semble pas être délibéré, AMS Operations peut vous contacter pour examiner le changement.
# Correction automatique des alertes par AMS
Après vérification, AWS Managed Services (AMS) corrige automatiquement certaines alertes en fonction des conditions et des processus spécifiques décrits dans cette section.
| Nom de l'alerte | Description | Seuils | Action |
| --- | --- | --- | --- |
| Échec de la vérification du statut | Défaillances matérielles possibles ou état défaillant de l'instance. | Le système a détecté un état défaillant au moins une fois au cours des 15 dernières minutes. | La correction automatique AMS valide d'abord si l'instance est accessible. Si l'instance est inaccessible, elle est arrêtée puis redémarrée. L'arrêt et le démarrage permettent à l'instance de migrer vers le nouveau matériel sous-jacent. Pour plus d'informations, consultez la section suivante « Automatisation de la correction des défaillances lors de la vérification de l'EC2 état ». |
| AMSLinuxDiskUsage | Déclenchez lorsque l'utilisation du disque d'un point de montage (espace désigné sur un volume) sur votre EC2 instance est pleine. | Le seuil est supérieur à la valeur définie 6 fois au cours des 30 dernières minutes. | La correction automatique AMS supprime d'abord les fichiers temporaires. Si cela ne permet pas de libérer suffisamment d'espace disque, cela augmente le volume afin d'éviter toute interruption de service en cas de saturation du volume. |
| AMSWindowsDiskUsage | Lorsque l'utilisation du disque d'un point de montage (espace désigné sur un volume) sur votre EC2 instance est épuisée. | Le seuil est supérieur à la valeur définie 6 fois au cours des 30 dernières minutes. | La correction automatique AMS supprime d'abord les fichiers temporaires. Si cela ne permet pas de libérer suffisamment d'espace disque, cela augmente le volume afin d'éviter toute interruption de service en cas de saturation du volume. |
| RDS-EVENT-0089 | L'instance de base de données a consommé plus de 90 % de son stockage alloué. | Le stockage est alloué à plus de 90 %. | La correction automatique AMS valide d'abord que la base de données est dans un état modifiable et disponible ou qu'elle est pleine en stockage. Il tente ensuite d'augmenter le stockage alloué, le nombre d'E/S par seconde et le débit de stockage par le biais d'un CloudFormation ensemble de modifications. Si une dérive de pile est déjà détectée, elle revient à l'API RDS pour éviter les temps d'arrêt. Cette fonctionnalité peut être désactivée en ajoutant la balise suivante à l'instance de base de données RDS : `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0007 | Le stockage alloué à l'instance de base de données est épuisé. Pour résoudre le problème, allouez de l'espace de stockage supplémentaire. | Le stockage est alloué à 100 %. | La correction automatique AMS valide d'abord que la base de données est dans un état modifiable et disponible ou qu'elle est pleine en stockage. Il tente ensuite d'augmenter le stockage alloué, le nombre d'E/S par seconde et le débit de stockage par le biais d'un CloudFormation ensemble de modifications. Si une dérive de pile est déjà détectée, elle revient à l'API RDS pour éviter les temps d'arrêt. Cette fonctionnalité peut être désactivée en ajoutant la balise suivante à l'instance de base de données RDS : `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0224 | Le stockage alloué demandé atteint ou dépasse le seuil de stockage maximal configuré. | Le seuil de stockage maximal pour l'instance de base de données a été dépassé ou est supérieur ou égal au stockage alloué demandé. | La correction automatique AMS valide d'abord que la quantité de stockage RDS demandée dépassera le seuil de stockage maximal. En cas de confirmation, AMS tente d'augmenter le seuil de stockage maximal de 30 % à l'aide d'un CloudFormation ensemble de modifications ou d'une API RDS directe si les ressources ne sont pas provisionnées par le biais d'un ensemble de modifications. CloudFormation Cette fonctionnalité peut être désactivée en ajoutant la balise suivante à l'instance de base de données RDS : `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| Capacité de stockage RDS | Il reste moins de 1 Go dans le stockage alloué à l'instance de base de données. | Le stockage est alloué à 99 %. | La correction automatique AMS valide d'abord que la base de données est dans un état modifiable et disponible ou qu'elle est pleine en stockage. Il tente ensuite d'augmenter le stockage alloué, le nombre d'E/S par seconde et le débit de stockage par le biais d'un CloudFormation ensemble de modifications. Si une dérive de pile est déjà détectée, elle revient à l'API RDS pour éviter les temps d'arrêt. Cette fonctionnalité peut être désactivée en ajoutant la balise suivante à l'instance de base de données RDS : `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
## EC2 échec de la vérification de l'état : notes sur l'automatisation des mesures correctives
Comment fonctionne la correction automatique AMS en cas d'échec EC2 du contrôle d'état :
+ Si votre EC2 instance Amazon est devenue inaccessible, elle doit être arrêtée et redémarrée afin de pouvoir être migrée vers un nouveau matériel et récupérée.
+ Si l'origine du problème se trouve dans le système d'exploitation (périphériques manquants dans fstab, corruption du noyau, etc.), l'automatisation n'est pas en mesure de récupérer votre instance.
+ Si votre instance appartient à un groupe Auto Scaling, l'automatisation ne prend aucune mesure : AutoScalingGroup l'action de dimensionnement remplace l'instance.
+ Si la restauration EC2 automatique est activée sur votre instance, la correction n'intervient pas.
## EC2 automatisation de la correction de l'utilisation des volumes
Comment fonctionne la correction automatique d'AWS Managed Services (AMS) en cas de problèmes d'utilisation des EC2 volumes :
+ L'automatisation valide d'abord si l'extension du volume est requise et si elle peut être réalisée. Si l'extension est jugée appropriée, l'automatisation peut augmenter la capacité du volume. Ce processus automatisé équilibre le besoin de croissance avec une expansion contrôlée et limitée.
+ Avant d'étendre un volume, l'automatisation exécute des tâches de nettoyage (Windows : Disk Cleaner, Linux : Logrotate \$1 Simple Service Manager Agent Log removal removal) sur l'instance pour essayer de libérer de l'espace.
**Note**
Les tâches de nettoyage ne sont pas exécutées sur les instances de la famille EC2 « T » car elles dépendent des crédits du processeur pour garantir le fonctionnement continu.
+ Sous Linux, l'automatisation prend uniquement en charge l'extension des systèmes de fichiers de type A EXT2 EXT3, EXT4 et XFS.
+ Sous Windows, l'automatisation prend uniquement en charge le système de fichiers NTFS (New Technology File System) et le système de fichiers résilient (ReFS).
+ L'automatisation n'étend pas les volumes qui font partie du Logical Volume Manager (LVM) ou d'une matrice RAID.
+ L'automatisation n'augmente pas les volumes de *stockage des instances*.
+ L'automatisation n'intervient pas si le volume concerné est déjà supérieur à 2 TiB.
+ L'extension par le biais de l'automatisation est limitée à un maximum de trois fois par semaine et à cinq fois au total pendant la durée de vie du système.
+ L'automatisation n'augmente pas le volume si l'extension précédente a eu lieu au cours des six dernières heures.
Lorsque ces règles empêchent l'automatisation de prendre des mesures, AMS vous contacte par le biais d'une demande de service sortante afin de déterminer les prochaines actions à entreprendre.
## Automatisation de la correction des événements liés à un faible niveau de stockage sur Amazon RDS
Comment fonctionne la correction automatique d'AWS Managed Services (AMS) en cas de faible capacité de stockage sur Amazon RDS :
+ Avant d'essayer d'étendre le stockage de l'instance Amazon RDS, l'automatisation effectue plusieurs vérifications pour s'assurer que l'instance Amazon RDS est dans un état modifiable et disponible, ou qu'elle est pleine.
+ Lorsqu' CloudFormation une dérive de pile est détectée, la correction est effectuée via l'API Amazon RDS.
+ L'action de correction ne s'exécute pas dans les scénarios suivants :
+ Le statut de l'instance Amazon RDS n'est pas « disponible » ou « plein ».
+ Le stockage des instances Amazon RDS n'est actuellement pas modifiable (par exemple lorsque le stockage a été modifié au cours des six dernières heures).
+ Le stockage auto-scaling est activé sur l'instance Amazon RDS.
+ L'instance Amazon RDS n'est pas une ressource au sein d'une CloudFormation pile.
+ Les mesures correctives sont limitées à une extension toutes les six heures et au maximum à trois extensions par période continue de quatorze jours.
+ Lorsque ces scénarios se produisent, AMS vous contacte pour vous signaler un incident sortant afin de déterminer les prochaines actions.
# Utilisation des règles EventBridge gérées par Amazon dans AMS
AMS Accelerate utilise les règles EventBridge gérées par Amazon. Une règle gérée est un type unique de règle directement lié à AMS. Ces règles correspondent aux événements entrants et les envoient aux cibles pour traitement. Les règles gérées sont prédéfinies par AMS et incluent des modèles d'événements requis par le service pour gérer les comptes clients. Sauf indication contraire, seul le service propriétaire peut utiliser ces règles gérées.
Les règles gérées par AMS Accelerate sont liées au principal `events.managedservices.amazonaws.com` de service. Ces règles gérées sont gérées via le rôle [`AWSServiceRoleForManagedServices_Events`lié au service](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/using-service-linked-roles.html#slr-evb-rule). Pour supprimer ces règles, une confirmation spéciale du client est requise. Pour plus d'informations, voir [Supprimer les règles gérées pour AMS](#delete-managed-rules).
Pour plus d'informations sur les règles, consultez la section [Règles](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) du *guide de EventBridge l'utilisateur Amazon*.
## Amazon EventBridge Managed Rules déployées par AMS
**Règles EventBridge gérées par Amazon**
| Nom de règle | Description | Définition |
| --- | --- | --- |
| AmsAccessRolesRule | Cette règle tient compte des modifications apportées aux rôles et politiques spécifiques d'AMS Accelerate. |
{
"source": ["aws.iam"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventName": [
"DeleteRole",
"DeletePolicy",
"CreatePolicyVersion",
"AttachRolePolicy",
"DetachRolePolicy"
],
"requestParameters": {
"$or": [
{
"roleName": [
"ams-access-admin",
"ams-access-admin-operations",
"ams-access-operations",
"ams-access-read-only",
"ams-access-security-analyst",
"ams-access-security-analyst-read-only"
]
},
{
"policyArn": [
"arn:*:iam::*:policy/ams-access-allow-pass-role",
"arn:*:iam::*:policy/ams-access-deny-cloudshell-policy",
"arn:*:iam::*:policy/ams-access-deny-operations-policy",
"arn:*:iam::*:policy/ams-access-deny-update-iam-policy",
"arn:*:iam::*:policy/ams-access-ssr-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-read-only-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-extended-policy",
"arn:*:iam::*:policy/ams-access-admin-policy",
"arn:*:iam::*:policy/ams-access-admin-operations-policy"
]
},
]
},
},
}
|
| AMSCoreRègle | Cette règle transmet AWS Config les CloudWatch événements Amazon aux services de correction AMS Config et de surveillance AMS de manière respectueuse. Les AWS Config événements créent et résolvent AWS Systems Manager OpsItems. Les CloudWatch événements Amazon surveillent les CloudWatch alarmes. |
{
{
"source": ["aws.config", "aws.cloudwatch"],
"detail-type": ["Config Rules Compliance Change", "CloudWatch Alarm State Change"],
}
}
|
## Création de règles gérées pour AMS
Il n'est pas nécessaire de créer manuellement les Amazon EventBridge Managed Rules. Lorsque vous intégrez AMS dans la console AWS de gestion AWS CLI, l'API ou l' AWS API, AMS les crée pour vous.
## Modification des règles gérées pour AMS
AMS ne vous permet pas de modifier les règles gérées. Le nom et le modèle d'événement de chaque règle gérée sont prédéfinis par AMS.
## Suppression de règles gérées pour AMS
Il n'est pas nécessaire de supprimer manuellement les règles gérées. Lorsque vous quittez AMS dans la console de AWS gestion AWS CLI, l'API ou l' AWS API, AMS nettoie les ressources et supprime pour vous toutes les règles gérées détenues par AMS.
Si AMS ne parvient pas à supprimer les règles gérées lors de l'offboarding, vous pouvez également utiliser la EventBridge console Amazon, l'API AWS CLI ou l' AWS API pour supprimer manuellement les règles gérées. Pour ce faire, vous devez d'abord quitter AMS et procéder à une suppression forcée des règles gérées.
# Remédiateur fiable dans AMS
Trusted Remediator est une solution AWS Managed Services qui automatise la correction et les recommandations. [AWS Trusted Advisor[Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) Trusted Remediator émet des recommandations lorsque Trusted Advisor et Compute Optimizer vous indique des opportunités de réduction des coûts, d'amélioration de la disponibilité du système, d'optimisation des performances ou de correction des failles de sécurité de votre entreprise. Comptes AWS Avec Trusted Remediator, vous pouvez répondre à ces recommandations en matière de sécurité, de performance, d'optimisation des coûts, de tolérance aux pannes et de limites de service d'une manière sûre et standardisée en utilisant les meilleures pratiques établies. Trusted Remediator vous permet de configurer une solution de correction et s'exécute automatiquement selon un calendrier que vous créez, ce qui simplifie le processus de correction. Cette approche rationalisée permet de résoudre les problèmes de manière cohérente, efficace et sans intervention manuelle.
## Principaux avantages de Trusted Remediator
Les principaux avantages de Trusted Remediator sont les suivants :
+ **Amélioration de la sécurité, des performances et de l'optimisation des coûts :** Trusted Remediator vous aide à améliorer le niveau de sécurité global de vos comptes, à optimiser l'utilisation des ressources et à réduire les coûts opérationnels.
+ **Configuration et configuration en libre-service :** vous pouvez configurer Trusted Remediator en fonction de vos besoins et préférences.
+ ** Trusted Advisor Contrôles automatisés et correction Optimiseur de calcul AWS des recommandations : après la** configuration, Trusted Remediator exécute automatiquement les actions de correction pour les contrôles sélectionnés. Cette automatisation élimine le besoin d'intervention manuelle.
+ **Mise en œuvre des meilleures pratiques :** les mesures correctives sont basées sur les meilleures pratiques établies, de sorte que les problèmes sont traités de manière standardisée et efficace.
+ **Exécution planifiée :** vous pouvez choisir le calendrier de correction qui correspond à vos flux de travail day-to-day opérationnels.
Trusted Remediator vous permet de résoudre de manière proactive les problèmes identifiés dans vos AWS environnements, en vous aidant à respecter les meilleures pratiques et à maintenir une infrastructure cloud sécurisée, performante et rentable.
## Comment fonctionne Trusted Remediator
Voici une illustration du flux de travail Trusted Remediator :
![\[Illustration du flux de travail Trusted Remediator.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/trusted-remediator-workflow.png)
Trusted Remediator évalue Trusted Advisor et recommande Compute Optimizer pour Comptes AWS vous et crée. AWS Systems Manager [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html) OpsCenter Vous pouvez ensuite utiliser les documents d'automatisation de Trusted Remediator pour y remédier OpsItems automatiquement ou manuellement. Vous trouverez ci-dessous des informations détaillées pour chaque type de correction :
+ **Correction automatisée :** Trusted Remediator exécute le document d'automatisation et surveille l'exécution. Une fois le document d'automatisation terminé, Trusted Remediator résout l'Opsitem.
+ **Correction manuelle : Trusted** Remediator crée le OpsItem fichier que vous pouvez consulter. Après avoir révisé, vous pouvez démarrer le document d'automatisation.
Les journaux de correction sont stockés dans un compartiment Amazon S3. Vous pouvez utiliser les données du compartiment S3 pour créer des QuickSight tableaux de bord personnalisés pour les rapports. AMS fournit également des rapports sur demande pour Trusted Remediator. Pour recevoir ces rapports, contactez votre CSDM. Pour de plus amples informations, veuillez consulter [Rapports Trusted Remediator](trusted-remediator-reports.md).
## Termes clés pour Trusted Remediator
Les termes suivants sont utiles à connaître lorsque vous utilisez Trusted Remediator dans AMS :
+ **AWS Trusted Advisor et Optimiseur de calcul AWS :** Services d'optimisation du cloud fournis par AWS. Trusted Advisor et Compute Optimizer inspectent votre AWS environnement et fournissent des recommandations basées sur les meilleures pratiques dans les six catégories suivantes :
+ Optimisation des coûts
+ Performances
+ Sécurité
+ Tolérance aux pannes
+ Excellence opérationnelle
+ Service Limits
Pour plus d’informations, consultez [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) et [Optimiseur de calcul AWS](https://docs.aws.amazon.com/compute-optimizer/).
+ **Trusted Remediator :** solution de correction AMS pour les [Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)vérifications et [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/)les recommandations. Trusted Remediator vous aide à corriger en toute sécurité les Trusted Advisor vérifications et les recommandations de Compute Optimizer à l'aide des meilleures pratiques connues afin d'améliorer la sécurité, les performances et de réduire les coûts. Trusted Remediator est facile à installer et à configurer. Vous configurez une seule fois, et Trusted Remediator exécute les corrections selon le calendrier de votre choix (quotidien ou hebdomadaire).
+ **AWS Systems Manager Document SSM :** fichier JSON ou YAML qui définit les actions effectuées sur AWS Systems Manager vos AWS ressources. Le document SSM sert de spécification déclarative pour automatiser les tâches opérationnelles sur plusieurs AWS ressources et instances.
+ **AWS Systems Manager OpsCenter OpsItem:** ressource de gestion des problèmes opérationnels dans le cloud qui vous aide à suivre et à résoudre les problèmes opérationnels dans votre AWS environnement. OpsItems fournir une vue et un système de gestion centralisés pour les données opérationnelles et les problèmes Services AWS liés aux ressources. Chacun OpsItem représente un problème opérationnel, tel qu'un risque de sécurité potentiel, un problème de performance ou un incident opérationnel.
+ **Configuration :** Une configuration est un ensemble d'attributs stockés dans [AWS AppConfig, une capacité de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/appconfig.html). L'application Trusted Remediator AWS AppConfig permet de configurer les mesures correctives au niveau du compte. Vous pouvez utiliser la AWS AppConfig console ou l'API pour modifier les configurations.
+ **Mode d'exécution :** le mode d'exécution est un attribut de configuration qui détermine la manière d'exécuter la correction pour chaque résultat de Trusted Advisor vérification. Quatre modes d'exécution sont pris en charge : **automatique**, **manuel**, **conditionnel** et **inactif**.
+ **Remplacer les ressources :** cette fonctionnalité utilise des balises de ressources pour remplacer une configuration pour des ressources spécifiques.
+ Journal des **éléments de correction : fichier journal** situé dans le compartiment journal S3 de correction de Trusted Remediator. Le journal des éléments de correction est créé lors de la création des mesures correctives. OpsItems Ce fichier journal contient la correction d'exécution manuelle OpsItems et la correction OpsItems d'exécution automatique. Utilisez ce fichier journal pour suivre tous les éléments de correction.
+ **Journal d'exécution automatique des mesures correctives :** fichier journal situé dans le compartiment journal S3 de correction de Trusted Remediator. Le journal d'exécution automatique des mesures correctives est créé lorsque l'exécution automatique d'un document SSM est terminée. Ce journal contient les détails de l'exécution de SSM pour la correction OpsItems automatique de l'exécution. Utilisez ce fichier journal pour suivre les corrections automatisées.
# Commencez avec Trusted Remediator dans AMS
Trusted Remediator est disponible dans AMS sans frais supplémentaires. Trusted Remediator prend en charge les configurations à compte unique et à comptes multiples.
## Intégration à Trusted Remediator
Pour intégrer vos comptes AMS à Trusted Remediator, envoyez un e-mail à vos architectes cloud ou à vos responsables de prestation de services cloud (CSDMs). Dans le corps de l'e-ma il, incluez les informations suivantes :
+ **Comptes AWS:** le numéro d'identification du compte à douze chiffres. Tous les comptes que vous souhaitez intégrer à Trusted Remediator doivent appartenir au même client Accelerate.
+ **Compte administrateur délégué :** compte utilisé pour vérifier la configuration Trusted Advisor d'un ou de plusieurs comptes par Compute Optimizer.
+ **Comptes de membre :** il s'agit des comptes liés au compte d'administrateur délégué. Ces comptes héritent des configurations du compte d'administrateur délégué. Vous pouvez avoir un ou plusieurs comptes membres.
**Note**
Les comptes membres héritent des configurations du compte d'administrateur délégué. Si vous avez besoin de configurations différentes pour des comptes spécifiques, intégrez plusieurs comptes d'administrateur délégué avec vos configurations préférées. Planifiez la structure du compte et les configurations avec vos architectes cloud avant de vous lancer.
+ **Régions AWS:** l' Régions AWS endroit où se trouvent vos ressources. Pour une liste de Régions AWS, voir [Services AWS par région](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
+ **Calendrier et heure des mesures correctives :** votre calendrier de remédiation préféré (quotidien ou hebdomadaire). Trusted Remediator collecte les Trusted Advisor vérifications et lance les mesures correctives à l'heure prévue. Par exemple, vous pouvez définir le calendrier des mesures correctives pour 1 h 00 le dimanche de chaque semaine, heure normale de l'est de l'Australie.
+ **E-mail de notification :** Trusted Remediator utilise l'e-mail de notification pour vous informer quotidiennement de la mise en œuvre de mesures correctives. L'objet de l'e-mail de notification est « Résumé des mesures correctives de Trusted Remediator » et le contenu fournit des informations sur les mesures correctives de Trusted Remediator exécutées au cours des dernières 24 heures.
**Note**
Passez en revue vos applications et vos ressources après chaque correction planifiée. Pour obtenir une assistance supplémentaire, contactez AMS.
Une fois que vous avez soumis votre demande d'intégration avec les informations requises à votre CA ou à votre CSDM, AMS intègre vos comptes à Trusted Remediator. Trusted Remediator utilise AWS AppConfig une fonctionnalité de AWS Systems Manager pour définir la configuration des Trusted Advisor vérifications. Ces configurations sont un ensemble d'attributs qui sont stockés dans AWS AppConfig. Pour éviter que vos ressources ne soient facturées de manière non autorisée, tous les Trusted Advisor chèques pris en charge sont définis sur **Inactifs** lorsque les comptes sont intégrés à Trusted Remediator. Une fois intégré, vous pouvez utiliser la AWS AppConfig console ou l'API pour gérer les configurations. Ces configurations vous aident à corriger automatiquement des Trusted Advisor vérifications spécifiques ou à évaluer et corriger manuellement les vérifications restantes. Les configurations sont hautement personnalisables, ce qui vous permet d'appliquer des configurations pour chaque Trusted Advisor contrôle. Pour de plus amples informations, veuillez consulter [Configurer Trusted Advisor la correction des chèques dans Trusted Remediator](tr-configure-remediations.md).
## Choisissez les vérifications et les recommandations à corriger
Par défaut, le mode d'exécution de la correction est **inactif** pour toutes les Trusted Advisor vérifications et recommandations de Compute Optimizer dans votre configuration. Cela empêche les mesures correctives non autorisées et protège les ressources. AMS fournit des documents d'automatisation SSM sélectionnés pour la correction des Trusted Advisor chèques.
Pour sélectionner les vérifications que vous souhaitez corriger avec Trusted Remediator, procédez comme suit :
1. Consultez la liste des [[recommandations prises en charge Trusted Advisor et de Compute Optimizer](tr-supported-recommendations-co.md) ou le nom des documents d'automatisation SSM associés](tr-supported-checks.md) pour déterminer les vérifications et les recommandations que vous souhaitez corriger avec Trusted Remediator.
1. Mettez à jour votre configuration pour activer la correction pour les Trusted Advisor vérifications que vous avez sélectionnées. Pour obtenir des instructions sur la manière de sélectionner les chèques, consultez[Configurer Trusted Advisor la correction des chèques dans Trusted Remediator](tr-configure-remediations.md).
## Suivez vos mesures correctives dans Trusted Remediator
Une fois que vous avez mis à jour la configuration au niveau du compte, Trusted Remediator crée OpsItems pour chaque correction. Trusted Remediator exécute le document SSM pour une correction automatique OpsItems conformément à votre calendrier de correction. Pour obtenir des instructions sur la façon d'afficher toutes les corrections OpsItems depuis la OpsCenter console Systems Manager, reportez-vous [Suivez les mesures correctives dans Trusted Remediator](tr-remediation.md#tr-remediation-track) à.
## Exécuter des corrections manuelles dans Trusted Remediator
Vous pouvez corriger manuellement les Trusted Advisor contrôles. Lorsque vous lancez une correction manuelle, Trusted Remediator crée une exécution manuelle. OpsItem Vous devez consulter et lancer le document d'automatisation SSM pour corriger le. OpsItems Pour de plus amples informations, veuillez consulter [Exécutez des corrections manuelles dans Trusted Remediator](tr-remediation.md#tr-remediation-run).
# Recommandations de Compute Optimizer soutenues par Trusted Remediator
Le tableau suivant répertorie les recommandations de Compute Optimizer prises en charge, les documents d'automatisation SSM, les paramètres préconfigurés et le résultat attendu des documents d'automatisation. Passez en revue le résultat attendu pour vous aider à comprendre les risques potentiels en fonction des exigences de votre entreprise avant d'activer un document d'automatisation SSM pour la correction des contrôles.
Assurez-vous que la règle de configuration correspondante pour chaque vérification Compute Optimizer est présente pour les vérifications prises en charge pour lesquelles vous souhaitez activer la correction. Pour plus d'informations, voir [Accepter Optimiseur de calcul AWS les Trusted Advisor chèques](https://docs.aws.amazon.com/awssupport/latest/user/compute-optimizer-with-trusted-advisor.html).
| Option d'optimisation | Nom du document SSM et résultat attendu | Paramètres et contraintes préconfigurés pris en charge |
| --- | --- | --- |
| Redimensionnement |
| [Recommandations relatives aux EC2 instances Amazon](https://aws.amazon.com/compute-optimizer/faqs/#topic-4) | **AWSManagedServices-TrustedRemediatorResizeInstanceByComputeOptimizerRecommendation** Type d' EC2 instance Amazon mis à jour conformément aux recommandations de Compute Optimizer. Les options les plus optimales sont choisies tout en conservant les mêmes paramètres de plate-forme (architecture, hyperviseur, interface réseau, type de virtualisation, etc.) si l'option existe. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Recommandations relatives aux volumes Amazon EBS](https://aws.amazon.com/compute-optimizer/faqs/#topic-6) | **AWSManagedServices-ModifyEBSVolume** Le volume Amazon EBS est modifié conformément aux recommandations de Compute Optimizer. La modification peut inclure le type de volume, la taille, les IOPS, la génération de volume (gp2, gp3, etc.). | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Recommandations relatives à la fonction Lambda](https://aws.amazon.com/compute-optimizer/faqs/#topic-7) | **AWSManagedServices-TrustedRemediatorOptimizeLambdaMemory** AWS Lambda mémoire fonctionnelle optimisée conformément aux recommandations de Compute Optimizer. | **RecommendedMemorySize **: taille de mémoire personnalisée, si elle est différente des options recommandées. Aucune contrainte |
| Ressources inutilisées |
| [Volume Amazon EBS inactif](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-DeleteUnusedEBSVolume** Le volume Amazon EBS non connecté sera supprimé. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [ EC2 Instance Amazon inactive](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopEC2 instances** L' EC2 instance Amazon inactive sera arrêtée. | **ForceStopWithInstanceStore**: Pour forcer l'arrêt des instances utilisant le stockage d'instance, définissez le paramètre sur « True ». Pour ne pas forcer l'arrêt, réglez-le sur « False ». La valeur par défaut « False » empêche l'arrêt de l'instance. Aucune contrainte |
| [Instance Amazon RDS inactive](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopIdleRDSInstance** Arrêtez une instance Amazon RDS inactive. Les moteurs pris en charge sont : MariaDB, Microsoft SQL Server, MySQL, Oracle, PostgreSQL. Ce document ne s'applique pas à Aurora MySQL et Aurora PostgreSQL. L'instance sera arrêtée pendant 7 jours au maximum et relancée automatiquement. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
# Trusted Advisor contrôles pris en charge par Trusted Remediator
Le tableau suivant répertorie les Trusted Advisor contrôles pris en charge, les documents d'automatisation SSM, les paramètres préconfigurés et le résultat attendu des documents d'automatisation. Passez en revue le résultat attendu pour vous aider à comprendre les risques potentiels en fonction des exigences de votre entreprise avant d'activer un document d'automatisation SSM pour la correction des contrôles.
Assurez-vous que la règle de configuration correspondante pour chaque Trusted Advisor vérification est présente pour les vérifications prises en charge pour lesquelles vous souhaitez activer la correction. Pour plus d'informations, voir [Afficher AWS Trusted Advisor les contrôles réalisés par AWS Config](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html). Si un check comporte AWS Security Hub CSPM des contrôles correspondants, assurez-vous que le contrôle Security Hub est activé. Pour plus d'informations, consultez la section [Activation des contrôles dans Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html). Pour plus d'informations sur la gestion des paramètres préconfigurés, voir [Configure Trusted Advisor check remédiation dans Trusted](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html) Remediator.
## Trusted Advisor contrôles d'optimisation des coûts pris en charge par Trusted Remediator
| Identifiant et nom du chèque | Nom du document SSM et résultat attendu | Paramètres et contraintes préconfigurés pris en charge |
| --- | --- | --- |
| [Z4 AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses) Adresses IP Elastic non associées | **AWSManagedServices-TrustedRemediatorReleaseElasticIP** Libère une adresse IP élastique qui n'est associée à aucune ressource. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c18d2gz150](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days) - Instances Amazon arrêtées EC2 | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime** - EC2 Les instances Amazon arrêtées pendant un certain nombre de jours sont résiliées. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Aucune contrainte |
| [c18d2gz128](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy) Référentiel Amazon ECR sans politique de cycle de vie configurée | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy** Crée une politique de cycle de vie pour le référentiel spécifié s'il n'en existe pas déjà une. | **ImageAgeLimit:** limite d'âge maximale en jours (1 à 365 jours) pour « n'importe quelle » image du référentiel Amazon ECR. Aucune contrainte |
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes) Volumes Amazon EBS sous-utilisés | **AWSManagedServices-DeleteUnusedEBSVolume** Supprime les volumes Amazon EBS sous-utilisés s'ils n'ont pas été attachés au cours des 7 derniers jours. Un instantané Amazon EBS est créé par défaut. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Aucune contrainte |
| [hj M8 LMh88u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers) Équilibreurs de charge inactifs | **AWSManagedServices-DeleteIdleClassicLoadBalancer** Supprime un Classic Load Balancer inactif s'il n'est pas utilisé et qu'aucune instance n'est enregistrée. | **IdleLoadBalancerDays:** le nombre de jours pendant lesquels le Classic Load Balancer n'a demandé aucune connexion avant de le considérer comme inactif. La valeur par défaut est de sept jours. Si l'exécution automatique est activée, l'automatisation supprime les équilibreurs de charge classiques inactifs s'il n'existe aucune instance principale active. Pour tous les équilibreurs de charge classiques inactifs dotés d'instances de back-end actives, mais dont les instances de back-end ne sont pas saines, la correction automatique n'est pas utilisée et une correction manuelle est OpsItems créée. |
| [Ti39HalfU8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances) Instances de base de données Amazon RDS inactives | **AWSManagedServices-StopIdleRDSInstance** L'instance de base de données Amazon RDS qui est restée inactive au cours des sept derniers jours est arrêtée. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size) AWS Lambda fonctions surdimensionnées pour la taille de la mémoire | **AWSManagedServices-ResizeLambdaMemory** AWS Lambda la taille de la mémoire de la fonction est redimensionnée selon la taille de mémoire recommandée fournie par Trusted Advisor. | **RecommendedMemorySize:** allocation de mémoire recommandée pour la fonction Lambda. La plage de valeurs est comprise entre 128 et 10240. Si la taille de la fonction Lambda a été modifiée avant l'exécution de l'automatisation, les paramètres peuvent être remplacés par cette automatisation par la valeur recommandée par. Trusted Advisor |
| [QCH7DWOuX1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) EC2 Instances Amazon à faible taux d'utilisation | **AWSManagedServices-StopEC2Instance** (document SSM par défaut pour les modes d'exécution automatique et manuel.) EC2 Les instances Amazon à faible taux d'utilisation sont arrêtées. | **ForceStopWithInstanceStore:** défini sur pour `true` forcer l'arrêt des instances à l'aide du stockage d'instances. Sinon, définissez sur `false`. La valeur par défaut de `false` empêche l'arrêt de l'instance. Les valeurs valides sont vraies ou fausses (distinction majuscules et minuscules). Aucune contrainte |
| [QCH7DWOuX1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) EC2 Instances Amazon à faible taux d'utilisation | **AWSManagedServices-ResizeInstanceByOneLevel** L' EC2 instance Amazon est redimensionnée selon un type d'instance inférieur dans le même type de famille d'instances. L'instance est arrêtée et démarrée pendant l'opération de redimensionnement et revient à son état initial une fois l'exécution du document SSM terminée. Cette automatisation ne prend pas en charge le redimensionnement des instances qui se trouvent dans un Auto Scaling Group. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Aucune contrainte |
| [QCH7DWOuX1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) EC2 Instances Amazon à faible taux d'utilisation | **AWSManagedServices-TerminateInstance** Les EC2 instances Amazon peu utilisées sont résiliées si elles ne font pas partie d'un groupe Auto Scaling et si la protection contre la résiliation n'est pas activée. Une AMI est créée par défaut. | **Créer une AMIBefore résiliation :** définissez cette option sur `true` ou pour `false` créer une AMI d'instance en tant que sauvegarde avant de mettre fin à l' EC2 instance. L’argument par défaut est `true`. Les valeurs valides sont `true` et `false` (distinction majuscules et minuscules). Aucune contrainte |
| [G31SQ1E9U](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters) Underutilized Amazon Redshift Clusters | **AWSManagedServices-PauseRedshiftCluster** Le cluster Amazon Redshift est suspendu. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config) Configuration incomplète de l'interruption du téléchargement en plusieurs parties sur Amazon S3 | **AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload** Le compartiment Amazon S3 est configuré avec une règle de cycle de vie afin d'annuler les téléchargements partitionnés qui restent incomplets après certains jours. | **DaysAfterInitiation:** le nombre de jours après lesquels Amazon S3 arrête un chargement partitionné incomplet. La valeur par défaut est fixée à 7 jours. Aucune contrainte |
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances) Recommandations d'Amazon en matière d'optimisation des EC2 coûts pour les instances | Utilisez les recommandations d' EC2 instance Amazon et Idle Amazon EC2 instance from[Recommandations de Compute Optimizer soutenues par Trusted Remediator](tr-supported-recommendations-co.md). | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes) Recommandations d'optimisation des coûts d'Amazon EBS pour les volumes | Utilisez les recommandations de volume Amazon EBS et Idle Amazon EBS volume from. [Recommandations de Compute Optimizer soutenues par Trusted Remediator](tr-supported-recommendations-co.md) | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) Recommandations d'optimisation des coûts Amazon RDS pour les instances de base de données | Utilisez une instance Amazon RDS inactive à partir de[Recommandations de Compute Optimizer soutenues par Trusted Remediator](tr-supported-recommendations-co.md). | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) AWS Lambda recommandations d'optimisation des coûts pour les fonctions | Utilisez les recommandations relatives à la fonction Lambda de. [Recommandations de Compute Optimizer soutenues par Trusted Remediator](tr-supported-recommendations-co.md) | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
## Trusted Advisor contrôles de sécurité pris en charge par Trusted Remediator
| Identifiant et nom du chèque | Nom du document SSM et résultat attendu | Paramètres et contraintes préconfigurés pris en charge |
| --- | --- | --- |
| [12Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys) Exposed Access Keys | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey** La clé d'accès IAM exposée est désactivée. | Aucun paramètre préconfiguré n'est autorisé. Les applications configurées avec une clé d'accès IAM exposée ne peuvent pas s'authentifier. |
| Hs4Ma3G127 - API Gateway REST et la journalisation de l'exécution de l'API WebSocket doivent être activées AWS Security Hub CSPM Contrôle correspondant : [APIGateway1.](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1) | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** La journalisation de l'exécution est activée au stade de l'API. | **LogLevel:** niveau de journalisation pour activer la journalisation de l'exécution, `ERROR` - La journalisation n'est activée que pour les erreurs. `INFO` - La journalisation est activée pour tous les événements. Vous devez autoriser API Gateway à lire et à écrire les journaux de votre compte afin CloudWatch d'activer le journal d'exécution. Reportez-vous à la section [Configurer la CloudWatch journalisation pour REST APIs dans API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) pour plus de détails. |
| Hs4Ma3G129 - Le suivi des étapes de l'API REST d'API Gateway doit être activé AWS X-Ray AWS Security Hub CSPM Contrôle correspondant : [APIGateway3.](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3) | **AWSManagedServices-EnableApiGateWayXRayTracing** Le traçage X-Ray est activé sur la scène de l'API. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G202 - Les données du cache de l'API REST API Gateway doivent être chiffrées au repos AWS Security Hub CSPM Chèque correspondant : [APIGateway5.](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5) | **AWSManagedServices-EnableAPIGatewayCacheEncryption** Activez le chiffrement au repos pour les données du cache de l'API REST API Gateway si le cache est activé sur le stage de l'API REST API Gateway. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G177 - AWS Security Hub CSPM [Contrôle correspondant : les groupes de mise à l'échelle automatique associés à un équilibreur de charge doivent utiliser des contrôles de santé de l'équilibreur de charge .1 AutoScaling](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck** Les contrôles de santé d'Elastic Load Balancing sont activés pour le groupe Auto Scaling. | **HealthCheckGracePeriod:** durée, en secondes, pendant laquelle Auto Scaling attend avant de vérifier l'état de santé d'une instance Amazon Elastic Compute Cloud mise en service. L'activation des contrôles de santé d'Elastic Load Balancing peut entraîner le remplacement d'une instance en cours d'exécution si l'un des équilibreurs de charge Elastic Load Balancing attachés au groupe Auto Scaling indique qu'elle est défectueuse. Pour plus d'informations, voir [Associer un équilibreur de charge Elastic Load Balancing à votre groupe Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html) |
| Hs4Ma3G245 - les CloudFormation piles doivent être intégrées à Amazon Simple Notification Service AWS Security Hub CSPM Contrôle correspondant : [CloudFormation1.](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1) | **AWSManagedServices-EnableCFNStackNotification** Associez une CloudFormation pile à une rubrique Amazon SNS pour recevoir une notification. | **Notification ARNs :** ARNs les rubriques Amazon SNS à associer aux piles sélectionnées CloudFormation . Pour activer la correction automatique, le paramètre `NotificationARNs` préconfiguré doit être fourni. |
| Hs4Ma3G210 - CloudFront la journalisation des distributions doit être activée AWS Security Hub CSPM Contrôle correspondant : [CloudFront2.](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5) | **AWSManagedServices-EnableCloudFrontDistributionLogging** La journalisation est activée pour les CloudFront distributions Amazon. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Pour connaître ces contraintes de correction, voir [Comment activer la journalisation pour ma CloudFront distribution](https://repost.aws/knowledge-center/cloudfront-logging-requests) ? |
| Hs4Ma3G109 - la validation du fichier CloudTrail journal doit être activée AWS Security Hub CSPM Chèque correspondant : [CloudTrail4.](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4) | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation** Active la validation CloudTrail du journal de suivi. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G108 - les CloudTrail sentiers doivent être intégrés à Amazon Logs CloudWatch AWS Security Hub CSPM Chèque correspondant : [CloudTrail5.](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5) | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch** AWS CloudTrail est intégré à CloudWatch Logs. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G217 - les environnements de CodeBuild projet doivent avoir une configuration de journalisation AWS AWS Security Hub CSPM Chèque correspondant : [CodeBuild4.](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4) | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig** Active la journalisation du CodeBuild projet. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G306 - La protection contre la suppression des clusters de base de données Neptune doit être activée AWS Security Hub CSPM Vérification correspondante : [DocumentDB.3](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot** Supprime l'accès public à l'instantané manuel du cluster Amazon DocumentDB. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G308 - La protection contre la suppression des clusters Amazon DocumentDB doit être activée AWS Security Hub CSPM Vérification correspondante : [DocumentDB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection** Active la protection contre les suppressions pour le cluster Amazon DocumentDB. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G323 - La protection contre la suppression des tables DynamoDB doit être activée AWS Security Hub CSPM Vérification correspondante : [DynamoDB.6](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection** Active la protection contre la suppression pour les tables DynamoDB autres qu'AMS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [EPS02JT06W -](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots) Instantanés publics d'Amazon EBS | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot** L'accès public aux instantanés Amazon EBS est désactivé. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G118 - Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant AWS Security Hub CSPM Contrôle correspondant : [EC22.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG** Toutes les règles d'entrée et de sortie du groupe de sécurité par défaut sont supprimées. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G117 - Les volumes EBS attachés doivent être chiffrés au repos AWS Security Hub CSPM Contrôle correspondant : [EC23.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) | **AWSManagedServices-EncryptInstanceVolume** Le volume Amazon EBS joint à l'instance est chiffré. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) L'instance est redémarrée dans le cadre de la correction et la restauration est possible si elle `DeleteStaleNonEncryptedSnapshotBackups` est définie sur `false` ce qui facilite la restauration. |
| Hs4Ma3G120 - Les EC2 instances arrêtées doivent être supprimées après une période spécifiée AWS Security Hub CSPM Chèque correspondant : [EC24.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateInstance**(document SSM par défaut pour les modes d'exécution automatique et manuel) EC2 Les instances Amazon arrêtées pendant 30 jours sont résiliées. | **Créer une AMIBefore résiliation :**. Pour créer l'AMI d'instance en tant que sauvegarde avant de mettre fin à l' EC2 instance, choisissez`true`. Pour ne pas créer de sauvegarde avant de terminer, choisissez`false`. L’argument par défaut est `true`. Aucune contrainte |
| Hs4Ma3G120 - Les EC2 instances arrêtées doivent être supprimées après une période spécifiée AWS Security Hub CSPM Chèque correspondant : [EC24.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime** - EC2 Les instances Amazon arrêtées pendant le nombre de jours défini dans Security Hub (la valeur par défaut est 30) sont résiliées. | **Créer une AMIBefore résiliation :** pour créer l'AMI de l'instance en tant que sauvegarde avant de mettre fin à l' EC2 instance, choisissez`true`. Pour ne pas créer de sauvegarde avant de terminer, choisissez`false`. L’argument par défaut est `true`. Aucune contrainte |
| Hs4Ma3G121 - Le cryptage par défaut EBS doit être activé AWS Security Hub CSPM Contrôle correspondant : 7 [EC2.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7) | **AWSManagedServices-EncryptEBSByDefault** Le chiffrement Amazon EBS est activé par défaut pour Région AWS | Aucun paramètre préconfiguré n'est autorisé. Le chiffrement par défaut est un paramètre spécifique à une région. Si vous l'activez pour une région, vous ne pouvez pas le désactiver pour des volumes ou des instantanés individuels de cette région. |
| Hs4Ma3G124 - Les instances EC2 Amazon doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2 AWS Security Hub CSPM Contrôle correspondant : 8 [EC2.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) | **AWSManagedServices-TrustedRemediator****Activer l'EC2instance IMDSv2** EC2 Les instances Amazon utilisent le service de métadonnées d'instance version 2 (IMDSv2). | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Aucune contrainte |
| Hs4Ma3G207 - les EC2 sous-réseaux ne doivent pas attribuer automatiquement des adresses IP publiques AWS Security Hub CSPM Chèque correspondant : [EC2.15](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15) | **AWSManagedServices-UpdateAutoAssignPublicIpv4 Adresses** Les sous-réseaux VPC sont configurés pour ne pas attribuer automatiquement d'adresses IP publiques. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G209 - Les listes de contrôle d'accès réseau non utilisées sont supprimées AWS Security Hub CSPM Contrôle correspondant : [EC2.16](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16) | **AWSManagedServices-DeleteUnusedNACL** Supprimer les ACL réseau inutilisées | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G215 - Les groupes de sécurité EC2 Amazon inutilisés doivent être supprimés AWS Security Hub CSPM Chèque correspondant : [EC2.22](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22) | **AWSManagedServices-DeleteSecurityGroups** Supprimez les groupes de sécurité inutilisés. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G247 - Amazon Transit EC2 Gateway ne doit pas accepter automatiquement les demandes de pièces jointes VPC AWS Security Hub CSPM Chèque correspondant : [EC2.23](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach**- Désactive l'acceptation automatique des demandes de pièces jointes VPC pour l'Amazon Transit EC2 Gateway non AMS spécifié. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G235 - L'immuabilité des balises doit être configurée dans les référentiels privés ECR AWS Security Hub CSPM Contrôle correspondant : [ECR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability** Définit les paramètres de mutabilité des balises d'image sur IMMUTABLE pour le référentiel spécifié. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G216 - Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée AWS Security Hub CSPM Contrôle correspondant : [ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy** Le référentiel ECR possède une politique de cycle de vie configurée. | **LifecyclePolicyText:** le texte de politique du référentiel JSON à appliquer au référentiel. Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis : **LifecyclePolicyText** |
| Hs4Ma3G325 - La journalisation des audits doit être activée sur les clusters EKS AWS Security Hub CSPM Chèque correspondant : [EKS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog** Le journal d'audit est activé pour le cluster EKS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G183 - L'équilibreur de charge d'application doit être configuré pour supprimer les en-têtes HTTP AWS Security Hub CSPM Contrôle correspondant : [ELB.4](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4) | **AWSConfigRemediation-DropInvalidHeadersForALB** Application Load Balancer est configuré avec des champs d'en-tête non valides. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G184 - La journalisation des équilibreurs de charge d'application et des équilibreurs de charge classiques doit être activée AWS Security Hub CSPM Contrôle correspondant : [ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLogging (document SSM par défaut pour les modes d'exécution automatique et manuel)** La journalisation entre Application Load Balancer et Classic Load Balancer est activée. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Le bucket Amazon S3 doit avoir une politique de bucket qui accorde à Elastic Load Balancing l'autorisation d'écrire les journaux d'accès dans le bucket. |
| Hs4Ma3G184 - La journalisation des équilibreurs de charge d'application et des équilibreurs de charge classiques doit être activée AWS Security Hub CSPM Contrôle correspondant : [ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLoggingV2** La journalisation entre Application Load Balancer et Classic Load Balancer est activée. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G326 - Le paramètre de blocage de l'accès public à Amazon EMR doit être activé AWS Security Hub CSPM Chèque correspondant : [EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess** Les paramètres de blocage de l'accès public à Amazon EMR sont activés pour le compte. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G135 - les AWS KMS clés ne doivent pas être supprimées par inadvertance AWS Security Hub CSPM Contrôle correspondant : [KMS.3](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) | **AWSManagedServices-CancelKeyDeletion** AWS KMS la suppression de la clé est annulée. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G299 - Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics AWS Security Hub CSPM Chèque correspondant : [Neptune.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection** Active la protection contre les suppressions pour le cluster Amazon Neptune. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G319 - La protection contre les suppressions doit être activée sur les pare-feux Network Firewall AWS Security Hub CSPM Chèque correspondant : 9 [NetworkFirewall.](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection**- Active la protection contre la suppression pour AWS Network Firewall. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G223 - les OpenSearch domaines doivent crypter les données envoyées entre les nœuds AWS Security Hub CSPM Contrôle correspondant : [OpenSearch3.](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3) | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption** Le chiffrement nœud à nœud est activé pour le domaine. | Aucun paramètre préconfiguré n'est autorisé. Une fois node-to-node le chiffrement activé, vous ne pouvez pas désactiver le paramètre. Prenez plutôt un instantané manuel du domaine chiffré, créez un autre domaine, migrez vos données, puis supprimez l'ancien domaine. |
| Hs4Ma3G222 - la journalisation des erreurs de OpenSearch domaine dans Logs doit être activée CloudWatch AWS Security Hub CSPM Contrôle correspondant : [Opensearch.4](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) | **AWSManagedServices-EnableOpenSearchLogging** La journalisation des erreurs est activée pour le OpenSearch domaine. | CloudWatchLogGroupArn: ARN d'un groupe de CloudWatch journaux Amazon Logs. Pour activer la correction automatique, le paramètre préconfiguré suivant doit être fourni :. **CloudWatchLogGroupArn** La politique de CloudWatch ressources Amazon doit être configurée avec des autorisations. Pour plus d'informations, consultez la section [Activation des journaux d'audit](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) dans le *guide de l'utilisateur d'Amazon OpenSearch Service* |
| Hs4Ma3G221 - la journalisation des audits doit être activée sur OpenSearch les domaines AWS Security Hub CSPM Contrôle correspondant : [Opensearch.5](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch les domaines sont configurés avec la journalisation des audits activée. | **CloudWatchLogGroupArn:** ARN du groupe CloudWatch Logs dans lequel publier les logs. Pour activer la correction automatique, le paramètre préconfiguré suivant doit être fourni : **CloudWatchLogGroupArn** La politique de CloudWatch ressources Amazon doit être configurée avec des autorisations. Pour plus d'informations, consultez la section [Activation des journaux d'audit](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) dans le *guide de l'utilisateur d'Amazon OpenSearch Service* |
| Hs4Ma3G220 - Les connexions aux OpenSearch domaines doivent être cryptées à l'aide du protocole TLS 1.2 AWS Security Hub CSPM Contrôle correspondant : [Opensearch.8](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2** La politique TLS est définie sur « Policy-min-TLS-1-2-2019-07` et seules les connexions cryptées via HTTPS (TLS) sont autorisées. | Aucun paramètre préconfiguré n'est autorisé. Les connexions aux OpenSearch domaines sont requises pour utiliser le protocole TLS 1.2. Le chiffrement des données en transit peut affecter les performances. Testez vos applications avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS. |
| Hs4Ma3G194 - L'instantané Amazon RDS doit être privé AWS Security Hub CSPM Contrôle correspondant : [RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** L'accès public aux instantanés Amazon RDS est désactivé. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G192 - Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible AWS AWS Security Hub CSPM Contrôle correspondant : [RDS.2](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance** Désactivez l'accès public sur l'instance de base de données RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G189 - Une surveillance améliorée est configurée pour les instances de base de données Amazon RDS AWS Security Hub CSPM Contrôle correspondant : [RDS.6](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring** Activez une surveillance améliorée pour les instances de base de données Amazon RDS | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Si la surveillance améliorée est activée avant l'exécution de l'automatisation, les paramètres peuvent être remplacés par cette automatisation par les MonitoringRoleName valeurs MonitoringInterval et configurées dans les paramètres préconfigurés. |
| Hs4Ma3G190 - La protection contre la suppression des clusters Amazon RDS doit être activée AWS Security Hub CSPM Contrôle correspondant : [RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** La protection contre la suppression est activée pour les clusters Amazon RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G198 - La protection contre la suppression des instances de base de données Amazon RDS doit être activée AWS Security Hub CSPM Contrôle correspondant : [RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** La protection contre la suppression est activée pour les instances Amazon RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G199 - Les instances de base de données RDS doivent publier des journaux dans Logs CloudWatch AWS Security Hub CSPM Contrôle correspondant : [RDS.9](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports** Les exportations de journaux RDS sont activées pour l'instance de base de données RDS ou le cluster de base de données RDS. | Aucun paramètre préconfiguré n'est autorisé. Le rôle [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) lié à un service est requis. |
| Hs4Ma3G160 - L'authentification IAM doit être configurée pour les instances RDS AWS Security Hub CSPM Contrôle correspondant : [RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** Gestion des identités et des accès AWS l'authentification est activée pour l'instance RDS. | **ApplyImmediately:** indique si les modifications de cette demande et les modifications en attente sont appliquées de manière asynchrone dès que possible. Pour appliquer la modification immédiatement, choisissez. `true` Pour planifier le changement pour la prochaine fenêtre de maintenance, choisissez`false`. Aucune contrainte |
| Hs4Ma3G161 - L'authentification IAM doit être configurée pour les clusters RDS AWS Security Hub CSPM Contrôle correspondant : [RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** L'authentification IAM est activée pour le cluster RDS. | **ApplyImmediately:** indique si les modifications de cette demande et les modifications en attente sont appliquées de manière asynchrone dès que possible. Pour appliquer la modification immédiatement, choisissez. `true` Pour planifier le changement pour la prochaine fenêtre de maintenance, choisissez`false`. Aucune contrainte |
| Hs4Ma3G162 - Les mises à niveau automatiques des versions mineures de RDS devraient être activées AWS Security Hub CSPM Contrôle correspondant : [RDS.13](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade** La configuration automatique de mise à niveau des versions mineures pour Amazon RDS est activée. | Aucun paramètre préconfiguré n'est autorisé. L'instance Amazon RDS doit être en bon `available` état pour que cette correction ait lieu. |
| Hs4Ma3G163 - Les clusters de base de données RDS doivent être configurés pour copier des balises dans des instantanés AWS Security Hub CSPM Contrôle correspondant : [RDS.16](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagtosnapshot`le paramètre pour les clusters Amazon RDS est activé. | Aucun paramètre préconfiguré n'est autorisé. Les instances Amazon RDS doivent être disponibles pour que cette correction ait lieu. |
| Hs4Ma3G164 - Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés AWS Security Hub CSPM Contrôle correspondant : [RDS.17](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagsToSnapshot`le paramètre pour Amazon RDS est activé. | Aucun paramètre préconfiguré n'est autorisé. Les instances Amazon RDS doivent être disponibles pour que cette correction ait lieu. |
| [RSS 93 HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots) Instantanés publics Amazon RDS | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** L'accès public aux instantanés Amazon RDS est désactivé. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G103 - Les clusters Amazon Redshift devraient interdire l'accès public AWS Security Hub CSPM Contrôle correspondant : [Redshift.1](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster** L'accès public au cluster Amazon Redshift est désactivé. | Aucun paramètre préconfiguré n'est autorisé. La désactivation de l'accès public bloque tous les clients provenant d'Internet. Et le cluster Amazon Redshift est en état de modification pendant quelques minutes pendant que la correction désactive l'accès public au cluster. |
| Hs4Ma3G106 - La journalisation des audits doit être activée sur les clusters Amazon Redshift AWS Security Hub CSPM Contrôle correspondant : [Redshift.4](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging** La journalisation des audits est activée sur votre cluster Amazon Redshift pendant la période de maintenance. | Aucun paramètre préconfiguré n'est autorisé. Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis. **BucketName:** Le compartiment doit se trouver dans le même compartiment Région AWS. Le cluster doit disposer des autorisations Read Bucket et Put Object. Si la journalisation du cluster Redshift est activée avant l'exécution de l'automatisation, les paramètres de journalisation peuvent être remplacés par cette automatisation par les `S3KeyPrefix` valeurs `BucketName` et configurées dans les paramètres préconfigurés. |
| Hs4Ma3G105 - Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures AWS Security Hub CSPM Contrôle correspondant : [Redshift.6](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade**- Les mises à niveau des versions majeures sont appliquées automatiquement au cluster pendant la période de maintenance. Il n'y a pas de temps d'arrêt immédiat pour le cluster Amazon Redshift, mais votre cluster Amazon Redshift peut subir une interruption de service pendant sa période de maintenance s'il est mis à niveau vers une version majeure. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G104 - Les clusters Amazon Redshift doivent utiliser un routage VPC amélioré AWS Security Hub CSPM Contrôle correspondant : [Redshift.7](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting** Le routage VPC amélioré est activé pour les clusters Amazon Redshift. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G173 - Le paramètre S3 Block Public Access doit être activé au niveau du bucket AWS Security Hub CSPM Contrôle correspondant : [S3.8](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8) | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Les blocs d'accès public au niveau du compartiment sont appliqués au compartiment Amazon S3. | Aucun paramètre préconfiguré n'est autorisé. Cette correction peut affecter la disponibilité des objets S3. Pour plus d'informations sur la manière dont Amazon S3 évalue l'accès, consultez [Blocage de l'accès public à votre espace de stockage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html). |
| Hs4Ma3G230 - La journalisation des accès au serveur de compartiment S3 doit être activée AWS Security Hub CSPM Contrôle correspondant : [S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-EnableBucketAccessLogging**(document SSM par défaut pour les modes d'exécution automatique et manuel) La journalisation des accès au serveur Amazon S3 est activée. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Pour activer la correction automatique, le paramètre préconfiguré suivant doit être fourni :. **TargetBucket** Le compartiment de destination doit se trouver dans le même Région AWS compartiment Compte AWS que le compartiment source, avec les autorisations appropriées pour la livraison des journaux. Pour plus d'informations, consultez [Activer la journalisation des accès au serveur Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| Hs4Ma3G230 — La journalisation des accès au serveur de compartiments S3 doit être activée AWS Security Hub CSPM Contrôle correspondant : [S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** - La journalisation des compartiments Amazon S3 est activée. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Pour activer la correction automatique, les paramètres suivants doivent être fournis : **TargetBucketTagKey**et **TargetBucketTagValue**. Le compartiment de destination doit se trouver dans le même Région AWS compartiment Compte AWS que le compartiment source, avec les autorisations appropriées pour la livraison des journaux. Pour plus d'informations, consultez [Activer la journalisation des accès au serveur Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| [Pfx 0 RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) Autorisations pour le compartiment Amazon S3 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Blocage de l'accès public | Aucun paramètre préconfiguré n'est autorisé. Cette vérification repose sur plusieurs critères d'alerte. Cette automatisation permet de résoudre les problèmes d'accès public. La correction des autres problèmes de configuration signalés par Trusted Advisor n'est pas prise en charge. Cette correction prend en charge la correction des compartiments S3 Service AWS créés (par exemple, cf-templates-000000000000). |
| Hs4Ma3G272 - Les utilisateurs ne doivent pas avoir d'accès root aux instances de bloc-notes SageMaker AWS Security Hub CSPM Contrôle correspondant : [SageMaker3.](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3) | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess** L'accès root pour les utilisateurs est désactivé pour les instances de SageMaker bloc-notes. | Aucun paramètre préconfiguré n'est autorisé. Cette correction entraîne une panne si l'instance du SageMaker bloc-notes est dans InService cet état. |
| Hs4Ma3G179 - Les sujets SNS doivent être chiffrés au repos en utilisant AWS KMS AWS Security Hub CSPM Contrôle correspondant : [SNS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) | **AWSManagedServices-EnableSNSEncryptionAtRest** La rubrique SNS est configurée avec le chiffrement côté serveur. | **KmsKeyId:** ID d'une clé principale client (CMK) AWS gérée pour Amazon SNS ou d'une clé CMK personnalisée à utiliser pour le chiffrement côté serveur (SSE). La valeur par défaut est définie sur `alias/aws/sns`. Si une AWS KMS clé personnalisée est utilisée, elle doit être configurée avec les autorisations appropriées. Pour plus d'informations, consultez [Activer le chiffrement côté serveur (SSE) pour une rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) |
| Hs4Ma3G158 - Les documents SSM ne doivent pas être publics AWS Security Hub CSPM Contrôle correspondant : [SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing**- Désactive le partage public du document SSM. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| Hs4Ma3G136 - Les files d'attente Amazon SQS doivent être chiffrées au repos AWS Security Hub CSPM Chèque correspondant : [SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest** Les messages dans Amazon SQS sont chiffrés. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) ReceiveMessage Les demandes anonymes SendMessage et envoyées à la file d'attente cryptée sont rejetées. Toutes les demandes adressées aux files d'attente avec le chiffrement SSE activé doivent utiliser HTTPS et Signature version 4. |
## Trusted Advisor contrôles de tolérance aux pannes pris en charge par Trusted Remediator
| Identifiant et nom du chèque | Nom du document SSM et résultat attendu | Paramètres et contraintes préconfigurés pris en charge |
| --- | --- | --- |
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery) Récupération d'Amazon DynamoDB Point-in-time | **AWSManagedServices-TrustedRemediatorEnableDDBPITR** Permet point-in-time la restauration des tables DynamoDB. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [R365S2QDDF](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) Amazon S3 Bucket Versioning | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning** La gestion des versions des compartiments Amazon S3 est activée. | Aucun paramètre préconfiguré n'est autorisé. Cette correction ne prend pas en charge la correction des compartiments S3 Service AWS créés (par exemple cf-templates-000000000000). |
| [BueAdJ7NRP](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging) Journalisation des compartiments Amazon S3 | **AWSManagedServices-EnableBucketAccessLogging** La journalisation des compartiments Amazon S3 est activée. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Le compartiment de destination doit se trouver dans le même Région AWS compartiment Compte AWS que le compartiment source, avec les autorisations appropriées pour la livraison des journaux. Pour plus d'informations, consultez [Activer la journalisation des accès au serveur Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| [F2iK5R6DEP](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az) Amazon RDS Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ** Le déploiement de zones de disponibilité multiple est activé. | Aucun paramètre préconfiguré n'est autorisé. Une dégradation des performances est possible lors de cette modification. |
| [H7 IgTzj TYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots) Instantanés Amazon EBS | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot** Amazon EBSsnapshots est créé. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [en QPADk ZVH](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Sauvegardes RDS | **AWSManagedServices-EnableRDSBackupRetention** La conservation des sauvegardes Amazon RDS est activée pour la base de données. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Si le `ApplyImmediately` paramètre est défini sur`true`, les modifications en attente sur la base de données sont appliquées avec le paramètre de RDSBackup rétention. |
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) La mise à l'échelle automatique du stockage est désactivée sur les instances de base de données Amazon RDS | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling**- Le dimensionnement automatique du stockage est activé pour l'instance de base de données Amazon RDS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Aucune contrainte |
| [7q GXs KIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining) Vidange de la connexion Classic Load Balancer | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining** Le drainage des connexions est activé pour Classic Load Balancer. | **ConnectionDrainingTimeout:** durée maximale, en secondes, pendant laquelle les connexions existantes restent ouvertes avant de désenregistrer les instances. La valeur par défaut est définie sur les `300` secondes. Aucune contrainte |
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan) Amazon EBS n'est pas inclus dans le forfait AWS Backup | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan** Amazon EBS est inclus dans le AWS Backup plan. | La correction balise le volume Amazon EBS avec la paire de balises suivante. La paire de balises doit correspondre aux critères de sélection des ressources basés sur les balises pour AWS Backup. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Aucune contrainte |
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan) La table Amazon DynamoDB n'est pas incluse dans le forfait AWS Backup | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan** La table Amazon DynamoDB est incluse dans le plan. AWS Backup | La correction balise Amazon DynamoDB avec la paire de balises suivante. La paire de balises doit correspondre aux critères de sélection des ressources basés sur les balises pour AWS Backup. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Aucune contrainte |
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan) Amazon EFS n'est pas inclus dans le AWS Backup forfait | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan** Amazon EFS est inclus dans le AWS Backup forfait. | La correction balise Amazon EFS avec la paire de balises suivante. La paire de balises doit correspondre aux critères de sélection des ressources basés sur les balises pour AWS Backup. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Aucune contrainte |
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing) Équilibrage de charge entre zones sur les Network Load Balancers | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing** L'équilibrage de charge entre zones est activé sur Network Load Balancer. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off) Le `synchronous_commit` paramètre Amazon RDS est désactivé | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Le paramètre `synchronous_commit` est activé pour Amazon RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off) Le `innodb_flush_log_at_trx_commit` paramètre Amazon RDS n'est pas `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Le paramètre `innodb_flush_log_at_trx_commit` est défini sur `1` pour Amazon RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off) Le `sync_binlog` paramètre Amazon RDS est désactivé | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Le paramètre `sync_binlog` est activé pour Amazon RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe) Le réglage des `innodb_default_row_format` paramètres Amazon RDS n'est pas sûr | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Le paramètre `innodb_default_row_format` est défini sur `DYNAMIC` pour Amazon RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c18d2gz145](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled) La surveillance EC2 détaillée d'Amazon n'est pas activée | **AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring** La surveillance détaillée est activée pour Amazon EC2. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
## Trusted Advisor contrôles de performance pris en charge par Trusted Remediator
| Identifiant et nom du chèque | Nom du document SSM et résultat attendu | Paramètres et contraintes préconfigurés pris en charge |
| --- | --- | --- |
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size) AWS Lambda fonctions sous-provisionnées pour ce qui est de la taille de la mémoire | **AWSManagedServices-ResizeLambdaMemory** La taille de mémoire des fonctions Lambda est redimensionnée selon la taille de mémoire recommandée fournie par. Trusted Advisor | **RecommendedMemorySize:** allocation de mémoire recommandée pour la fonction Lambda. La plage de valeurs est comprise entre 128 et 10240. Si la taille de la fonction Lambda est modifiée avant l'exécution de l'automatisation, cette automatisation peut remplacer les paramètres par la valeur recommandée par. Trusted Advisor |
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances) EC2 Instances Amazon à haut taux d'utilisation | **AWSManagedServices-ResizeInstanceByOneLevel** Les EC2 instances Amazon sont redimensionnées selon un type d'instance supérieur dans le même type de famille d'instances. Les instances sont arrêtées et démarrées pendant l'opération de redimensionnement et retournent à l'état initial une fois l'exécution terminée. Cette automatisation ne prend pas en charge le redimensionnement des instances qui se trouvent dans un Auto Scaling Group. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Aucune contrainte |
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal) `innodb_change_buffering`Paramètre Amazon RDS utilisant une valeur inférieure à la valeur optimale | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** La valeur du `innodb_change_buffering` paramètre est définie sur `NONE` Amazon RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off) Le `autovacuum` paramètre Amazon RDS est désactivé | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Le paramètre `autovacuum` est activé pour Amazon RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off) Le `enable_indexonlyscan` paramètre Amazon RDS est désactivé | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Le paramètre `enable_indexonlyscan` est activé pour Amazon RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off) Le `enable_indexscan` paramètre Amazon RDS est désactivé | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Le paramètre `enable_indexscan` est activé pour Amazon RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off) Le `innodb_stats_persistent` paramètre Amazon RDS est désactivé | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Le paramètre `innodb_stats_persistent` est activé pour Amazon RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on) Le `general_logging` paramètre Amazon RDS est activé | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Le paramètre `general_logging` est désactivé pour Amazon RDS. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
## Trusted Advisor vérifications des limites de service prises en charge par Trusted Remediator
| Identifiant et nom du chèque | Nom du document SSM et résultat attendu | Paramètres et contraintes préconfigurés pris en charge |
| --- | --- | --- |
| [Ln7RR0L7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address) EC2-Adresse IP élastique VPC | **AWSManagedServices-UpdateVpcElasticIPQuota** Une nouvelle limite pour les adresses IP élastiques EC2 -VPC est demandée. Par défaut, la limite est augmentée de 3. | **Incrément :** nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est `3`. Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le `OK` statut, il se peut qu'il y ait une augmentation de la limite plus élevée. |
| [Km7QQ0L7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways) Passerelles Internet VPC | **AWSManagedServices-IncreaseServiceQuota**- Une nouvelle limite pour les passerelles Internet VPC est demandée. Par défaut, la limite est augmentée de trois. | **Incrément :** nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est `3`. Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le `OK` statut, il se peut qu'il y ait une augmentation de la limite plus élevée. |
| [JL7PP0L7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check) VPC | **AWSManagedServices-IncreaseServiceQuota** Une nouvelle limite pour le VPC est demandée. Par défaut, la limite est augmentée de 3. | **Incrément :** nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est `3`. Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le `OK` statut, il se peut qu'il y ait une augmentation de la limite plus élevée. |
| [Fw7HH0L7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups) Groupes Auto Scaling | **AWSManagedServices-IncreaseServiceQuota** Une nouvelle limite pour les groupes Auto Scaling est demandée. Par défaut, la limite est augmentée de 3. | **Incrément :** nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est `3`. Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le `OK` statut, il se peut qu'il y ait une augmentation de la limite plus élevée. |
| [3 Njm0 DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups) Groupes d'options RDS | **AWSManagedServices-IncreaseServiceQuota** Une nouvelle limite pour les groupes d'options Amazon RDS est demandée. Par défaut, la limite est augmentée de 3. | **Incrément :** nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est `3`. Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le `OK` statut, il se peut qu'il y ait une augmentation de la limite plus élevée. |
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers) ELB Application Load Balancers | **AWSManagedServices-IncreaseServiceQuota** Une nouvelle limite pour les équilibreurs de charge d'application ELB est demandée. Par défaut, la limite est augmentée de 3. | **Incrément :** nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est `3`. Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le `OK` statut, il se peut qu'il y ait une augmentation de la limite plus élevée. |
| [8 WiQ K YSt25](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers) Dispositifs d'équilibrage de charge de réseau ELB | **AWSManagedServices-IncreaseServiceQuota** Une nouvelle limite pour les équilibreurs de charge réseau ELB est demandée. Par défaut, la limite est augmentée de 3. | **Incrément :** nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est `3`. Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le `OK` statut, il se peut qu'il y ait une augmentation de la limite plus élevée. |
## Trusted Advisor contrôles d'excellence opérationnelle pris en charge par Trusted Remediator
| Identifiant et nom du chèque | Nom du document SSM et résultat attendu | Paramètres et contraintes préconfigurés pris en charge |
| --- | --- | --- |
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled) Amazon API Gateway ne consigne pas les journaux d'exécution | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** La journalisation de l'exécution est activée au stade de l'API. | Aucun paramètre préconfiguré n'est autorisé. Vous devez autoriser API Gateway à lire et à écrire les journaux de votre compte afin CloudWatch d'activer le journal d'exécution. Reportez-vous à la section [Configurer la CloudWatch journalisation pour REST APIs dans API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) pour plus de détails. |
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled) La protection contre la suppression d'Elastic Load Balancing n'est pas activée pour les équilibreurs de charge | **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection**- La protection contre la suppression est activée pour Elastic Load Balancer. | Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte |
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off) Amazon RDS Performance Insights est désactivé | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights** Performance Insights est activé pour Amazon RDS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Aucune contrainte |
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled) Journaux d'accès Amazon S3 activés | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** La journalisation des accès au compartiment Amazon S3 est activée. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/tr-supported-checks.html) Pour activer la correction automatique, le paramètre préconfiguré suivant doit être fourni : **TargetBucketTagKey**et. **TargetBucketTagValue** Le compartiment de destination doit se trouver dans le même Région AWS compartiment Compte AWS que le compartiment source, avec les autorisations appropriées pour la livraison des journaux. Pour plus d'informations, consultez [Activer la journalisation des accès au serveur Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
# Configurer Trusted Advisor la correction des chèques dans Trusted Remediator
Les configurations sont stockées dans le AWS AppConfig cadre de l'application Trusted Remediator. Chaque catégorie de Trusted Advisor contrôle possède un profil de configuration distinct. Pour plus d'informations sur les Trusted Advisor catégories, voir [Afficher les catégories de vérification](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor.html#view-check-categories).
Vous pouvez configurer les mesures correctives par ressource ou par Trusted Advisor vérification. Vous pouvez appliquer des exceptions à l'aide de balises de ressources.
**Note**
La correction des Trusted Advisor résultats est actuellement configurée à l'aide de AWS AppConfig, et cette fonctionnalité est entièrement prise en charge aujourd'hui. AMS prévoit que cela changera à l'avenir. Il est recommandé d'éviter de créer des automatisations qui en dépendent AWS AppConfig, car cette méthode est sujette à modification. Sachez que vous devrez peut-être mettre à jour ou modifier les automatisations créées autour de l' AWS AppConfig implémentation actuelle à l'avenir pour des raisons de compatibilité.
L'indicateur de fonctionnalité Compute Optimizer -> EC2 instances comporte des paramètres supplémentaires :
**allow-upscale** Pour autoriser les instances haut de gamme sous-provisionnées et non optimisées. EC2 La valeur définie par défaut est « false ».
**min-savings-opportunity-percentage**Pourcentage d'économie minimum : possibilité de correction automatisée. La valeur par défaut est de 10 %
## Configurations de correction par défaut
Les configurations pour les Trusted Advisor contrôles individuels sont stockées sous forme d' AWS AppConfig indicateurs. Le nom du drapeau correspond au nom du chèque. Chaque configuration de vérification contient les attributs suivants :
+ **mode d'exécution :** Détermine la manière dont Trusted Remediator effectue la correction par défaut :
+ **Automatisé :** Trusted Remediator corrige automatiquement les ressources en créant un document SSM OpsItem, en exécutant le document, puis en le résolvant une OpsItem fois l'exécution réussie.
+ **Manuel :** Un OpsItem est créé, mais le document SSM n'est pas exécuté automatiquement. Vous passez en revue et exécutez manuellement le document SSM depuis OpsItem la AWS Systems Manager OpsCenter console.
+ **Conditionnel :** la correction est désactivée par défaut. Vous pouvez l'activer pour des ressources spécifiques à l'aide de balises. Pour plus d'informations, consultez les sections suivantes [Personnalisez la correction à l'aide de balises de ressources](#tr-con-rem-customize-tags) et[Personnalisez la correction à l'aide de balises de remplacement des ressources](#tr-con-rem-resource-override).
+ **Inactif :** aucune correction n'a lieu et aucune correction n' OpsItem est créée. Vous ne pouvez pas remplacer le mode d'exécution de la Trusted Advisor vérification définie comme inactive.
+ **paramètres préconfigurés :** entrez les valeurs des paramètres du document SSM requis pour la correction automatique, au format, séparées par une virgule (`Parameter=Value`,). Consultez [Trusted Advisor contrôles pris en charge par Trusted Remediator](tr-supported-checks.md) les paramètres préconfigurés pris en charge pour le document SSM associé à chaque vérification.
+ **alternative-automation-document:** cet attribut permet de remplacer le document d'automatisation existant par un autre document compatible (si disponible pour la vérification spécifique). Par défaut, cet attribut n'est pas sélectionné.
**Note**
L'`alternative-automation-document`attribut ne prend pas en charge les documents d'automatisation personnalisés. Vous pouvez utiliser les documents d'automatisation de Trusted Remediator déjà pris en charge répertoriés dans[Trusted Advisor contrôles pris en charge par Trusted Remediator](tr-supported-checks.md).
Par exemple, pour le contrôle`Qch7DwouX1`, trois documents SSM sont associés : AWSManagedServices-StopEC 2Instance AWSManagedServices-ResizeInstanceByOneLevel, et. AWSManagedServices-TerminateInstance La valeur pour `alternative-automation-document` peut être AWSManagedServices-ResizeInstanceByOneLevel soit AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance est le document SSM par défaut à corriger`Qch7DwouX1`).
La valeur de chaque attribut doit correspondre aux contraintes de cet attribut.
**Astuce**
Avant d'appliquer les configurations par défaut pour vos Trusted Advisor vérifications, il est recommandé d'envisager d'utiliser les fonctionnalités de balisage des ressources et de remplacement des ressources décrites dans les sections suivantes. Les configurations par défaut s'appliquent à toutes les ressources du compte, ce qui n'est peut-être pas souhaitable dans tous les cas.
Voici un exemple de capture d'écran de console avec le **mode d'exécution défini sur** **Manuel** et les attributs correspondant à leurs contraintes.
![\[Illustration du flux de décision relatif au mode d'exécution de Trusted Remediator.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/tr-exe-mode-man-new.png)
## Personnalisez la correction à l'aide de balises de ressources
Les **manual-for-tagged-only**attributs **automated-for-tagged-only**et de la configuration des vérifications vous permettent de spécifier des balises de ressources indiquant la manière dont vous souhaitez corriger les vérifications individuelles. Il est recommandé d'utiliser cette méthode lorsque vous devez appliquer un comportement de correction cohérent à un groupe de ressources partageant le même tag ou les mêmes tags. Les descriptions de ces balises sont les suivantes :
+ **automated-for-tagged-only:** Spécifiez des balises de ressources (une ou plusieurs paires de balises, séparées par des virgules) pour que les vérifications soient corrigées automatiquement, quel que soit le mode d'exécution par défaut.
+ **manual-for-tagged-only:** Spécifiez des balises de ressources (une ou plusieurs paires de balises, séparées par des virgules) pour les corrections qui doivent être exécutées manuellement, quel que soit le mode d'exécution par défaut.
Par exemple, si vous souhaitez activer la correction automatique pour toutes les ressources hors production et appliquer la correction manuelle pour les ressources de production, vous pouvez définir votre configuration comme suit :
```
"execution-mode": "Conditional",
"automated-for-tagged-only": "Environment=Non-Production",
"manual-for-tagged-only": "Environment=Production",
```
Une fois les configurations précédentes définies sur vos ressources, vérifiez que le comportement de correction est le suivant :
+ Les ressources étiquetées avec « Environment=Non-Production » sont corrigées automatiquement.
+ Les ressources étiquetées avec « Environment=Production » nécessitent une intervention manuelle pour être corrigées.
+ Les ressources dépourvues de la balise « Environment » suivent le mode d'exécution par défaut (« Conditionnel », dans ce cas). Aucune action n'est donc entreprise sur les ressources restantes).
Pour obtenir une assistance supplémentaire concernant vos configurations, contactez votre architecte cloud.
## Personnalisez la correction à l'aide de balises de remplacement des ressources
Les balises Resource Override vous permettent de personnaliser le comportement de correction pour les ressources individuelles, quelles que soient leurs balises. En ajoutant une balise spécifique à une ressource, vous remplacez le mode d'exécution par défaut pour cette ressource et le Trusted Advisor contrôle. La balise de remplacement des ressources a priorité sur la configuration par défaut et les paramètres de balisage des ressources. Ainsi, si vous définissez le mode d'exécution par défaut sur **Automatisé**, **Manuel** ou **Conditionnel** pour une ressource à l'aide de la balise resource override, il remplace le mode d'exécution par défaut et toutes les configurations de balisage des ressources.
Pour modifier le mode d'exécution d'une ressource, procédez comme suit :
1. Identifiez les ressources pour lesquelles vous souhaitez annuler la configuration de correction.
1. Déterminez le Trusted Advisor numéro du chèque que vous souhaitez annuler. Vous trouverez le check IDs des enregistrements pris Trusted Advisor en charge[Trusted Advisor contrôles pris en charge par Trusted Remediator](tr-supported-checks.md).
1. Ajoutez une balise aux ressources avec la clé et la valeur suivantes :
+ **Clé du tag :** `TR-Trusted Advisor check ID-Execution-Mode` (sensible aux majuscules et minuscules)
Dans l'exemple de clé de balise précédent, `Trusted Advisor check ID` remplacez-le par l'identifiant unique de la Trusted Advisor vérification que vous souhaitez annuler.
+ **Valeur de balise :** utilisez l'une des valeurs suivantes pour la valeur de balise :
+ **Automatisé :** Trusted Remediator corrige automatiquement la ressource pour cette Trusted Advisor vérification.
+ **Manuel :** Un OpsItem est créé pour la ressource, mais la correction n'est pas effectuée automatiquement. Vous passez en revue et exécutez la correction manuellement à partir du OpsItem.
+ **Inactif :** la correction et OpsItem la création ne sont pas effectuées pour cette ressource et le Trusted Advisor contrôle spécifié.
Par exemple, pour corriger automatiquement un volume Amazon EBS avec l'ID de Trusted Advisor vérification, `DAvU99Dc4C` ajoutez une balise au volume EBS. La **clé de balise** est `TR-DAvU99Dc4C-Execution-Mode` et la **valeur de la balise** est`Automated`.
Voici un exemple de console affichant la section **Tags** :
![\[Exemple de la section Tags de la console.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/tr-tags-example.png)
# Flux de décision concernant le mode d'exécution
Il existe plusieurs niveaux pour configurer le mode d'exécution de vos ressources et de chaque Trusted Advisor contrôle. Le schéma suivant montre comment Trusted Remediator décide du mode d'exécution à utiliser en fonction de vos configurations :
![\[Illustration du flux de décision relatif au mode d'exécution de Trusted Remediator.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/tr-ex-mode-workflow.png)
# Configurer les didacticiels de correction
Les didacticiels suivants fournissent des exemples de création de mesures correctives courantes dans Trusted Remediator.
## Corrigez toutes les ressources manuellement
Cet exemple configure la correction manuelle pour tous les volumes Amazon EBS portant l'ID de Trusted Advisor contrôle DAv U99Dc4C (volumes Amazon EBS sous-utilisés).
**Configurer la correction manuelle pour les volumes Amazon EBS avec l'ID de contrôle U99Dc4C DAv**
1. Ouvrez la AWS AppConfig console sur [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
Assurez-vous de vous connecter en tant que compte d'**administrateur délégué**.
1. Sélectionnez **Trusted Remediator** dans la liste des applications.
1. Choisissez le profil de configuration **d'optimisation des coûts**.
1. Sélectionnez l'indicateur **Amazon EBS Volumes sous-utilisés**.
1. **Pour le **mode exécution**, sélectionnez Manuel.**
1. Assurez-vous que les **manual-for-tagged-only**attributs **automated-for-tagged-only**et sont vides. Ces attributs sont utilisés pour remplacer le mode d'exécution par défaut pour les ressources dont les balises correspondent.
Voici un exemple de section **Attributs** avec des valeurs vides pour **automated-for-tagged-only**et **manual-for-tagged-only**et **Manuel** pour le mode **exécution :**
![\[Exemple de la section Attributs.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/tr-tutorial1.png)
1. Choisissez **Enregistrer** pour mettre à jour la valeur, puis sélectionnez **Enregistrer la nouvelle version** pour appliquer les modifications. Vous devez sélectionner **Enregistrer la nouvelle version** pour que Trusted Remediator reconnaisse la modification.
1. Assurez-vous que vos volumes Amazon EBS ne comportent pas de balise avec la clé`TR-DAvU99Dc4C-Execution-Mode`. Cette clé de balise remplace le mode d'exécution par défaut pour ce volume EBS.
## Corriger automatiquement toutes les ressources, à l'exception des ressources sélectionnées
**Cet exemple configure la correction automatique pour tous les volumes Amazon EBS portant l'ID de Trusted Advisor contrôle DAv U99Dc4C (volumes Amazon EBS sous-utilisés), à l'exception des volumes spécifiés qui ne seront pas corrigés (désignés comme inactifs).**
**Configurer la correction automatique pour les volumes Amazon EBS portant l'ID de contrôle DAv U99Dc4C, à l'exception des ressources inactives sélectionnées**
1. Ouvrez la AWS AppConfig console sur [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
Assurez-vous de vous connecter en tant que compte d'**administrateur délégué**.
1. Sélectionnez **Trusted Remediator** dans la liste des applications.
1. Choisissez le profil de configuration **d'optimisation des coûts**.
1. Sélectionnez l'indicateur **Amazon EBS Volumes sous-utilisés**.
1. **Pour le **mode d'exécution**, sélectionnez Automatisé.**
1. Assurez-vous que les **manual-for-tagged-only**attributs **automated-for-tagged-only**et sont vides. Ces attributs sont utilisés pour remplacer le mode d'exécution par défaut pour les ressources dont les balises correspondent.
Voici un exemple de section **Attributs** avec des valeurs vides pour **automated-for-tagged-only**et **manual-for-tagged-only**et **Automated** pour le mode **exécution :**
![\[Exemple de la section Attributs.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/tr-tutorial2.png)
1. Choisissez **Enregistrer** pour mettre à jour la valeur, puis sélectionnez **Enregistrer la nouvelle version** pour appliquer les modifications. Vous devez sélectionner **Enregistrer la nouvelle version** pour que Trusted Remediator reconnaisse la modification.
À ce stade, tous les volumes Amazon EBS sont configurés pour une correction automatique.
1. Ignorez la correction automatique pour certains volumes Amazon EBS :
1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Choisissez **Elastic Block Store**, **Volumes**.
1. Choisissez **Tags**.
1. Choisissez **Gérer les balises**.
1. Ajoutez la balise suivante :
+ **Clé : DAv TR-U99Dc4C-Mode** d'exécution
+ **Valeur :** Inactive
Voici un exemple de section **Tags** présentant les champs **Clé** et **Valeur** :
![\[Exemple de la section Attributs.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/tr-tutorial-inactive.png)
1. Répétez les étapes 2 à 5 pour tous les volumes Amazon EBS que vous souhaitez exclure de la correction.
## Corriger automatiquement les ressources étiquetées
Cet exemple configure la correction automatique pour tous les volumes Amazon EBS dont la balise `Stage=NonProd` porte l'ID de Trusted Advisor vérification DAv U99Dc4C (volumes Amazon EBS sous-utilisés). Toutes les autres ressources dépourvues de cette balise ne sont pas corrigées.
**Configurez la correction automatique pour les volumes Amazon EBS avec le tag correspondant à l'ID de contrôle `Stage=NonProd` U99Dc4C DAv**
1. Ouvrez la AWS AppConfig console sur [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
Assurez-vous de vous connecter en tant que compte d'**administrateur délégué**.
1. Sélectionnez **Trusted Remediator** dans la liste des applications.
1. Choisissez le profil de configuration **d'optimisation des coûts**.
1. Sélectionnez l'indicateur **Amazon EBS Volumes sous-utilisés**.
1. **Pour le **mode exécution,** sélectionnez Conditionnel.**
1. Définissez **automated-for-tagged-only** sur `Stage=NonProd`. Cet attribut remplace la valeur par défaut `execution-mode` pour les ressources dont les balises correspondent. Assurez-vous que les **manual-for-tagged-only**attributs sont vides.
**Voici un exemple de section **Attributes **automated-for-tagged-only****définie sur **Stage= NonProd** et **Conditional** pour le mode exécution :**
![\[Exemple de la section Attributs.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/tr-tutorial-conditional.png)
1. Vous pouvez éventuellement définir les paramètres préconfigurés sur l'une des valeurs suivantes :
+ `CreateSnapshot=false`pour ne pas créer de capture instantanée du volume Amazon EBS avant sa suppression
+ `MinimumUnattachedDays=10`pour fixer à 10 jours le nombre minimum de jours sans connexion du volume Amazon EBS à supprimer
+ `CreateSnapshot=false`, `MinimumUnattachedDays=10` pour les deux options ci-dessus
1. Choisissez **Enregistrer** pour mettre à jour la valeur, puis sélectionnez **Enregistrer la nouvelle version** pour appliquer les modifications. Vous devez sélectionner **Enregistrer la nouvelle version** pour que Trusted Remediator reconnaisse la modification.
1. Assurez-vous que vos volumes Amazon EBS ne comportent pas de balise avec la clé`TR-DAvU99Dc4C-Execution-Mode`. Cette clé de balise remplace le mode d'exécution par défaut pour ce volume EBS.
# Travailler avec des corrections dans Trusted Remediator
## Suivez les mesures correctives dans Trusted Remediator
Pour suivre OpsItems les mesures correctives, procédez comme suit :
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Choisissez **Gestion des opérations**, **OpsCenter**.
1. (Facultatif) Filtrez la liste par **Source=Trusted Remediator** pour n'inclure que Trusted Remediator OpsItems dans la liste.
Voici un exemple d' OpsCenter écran filtré par **Source=Trusted** Remediator :
![\[Exemple de la section Attributs.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/tr-opsitems-console.png)
**Note**
Outre la visualisation OpsItems depuis le OpsCenter, vous pouvez consulter les journaux de correction dans le compartiment AMS S3. Pour de plus amples informations, veuillez consulter [Journaux de correction dans Trusted Remediator](tr-logging.md).
## Exécutez des corrections manuelles dans Trusted Remediator
Trusted Remediator crée OpsItems des contrôles configurés pour une correction manuelle. Vous devez passer en revue ces vérifications et commencer le processus de correction manuellement.
Pour y remédier manuellement OpsItem, procédez comme suit :
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Choisissez **Gestion des opérations**, **OpsCenter**.
1. (Facultatif) Filtrez la liste par **Source=Trusted Remediator** pour n'inclure que Trusted Remediator OpsItems dans la liste.
1. Choisissez celui OpsItem que vous souhaitez évaluer.
1. Passez en revue les données opérationnelles du OpsItem. Les données opérationnelles incluent les éléments suivants :
+ **trustedAdvisorCheckCatégorie :** Catégorie du numéro de Trusted Advisor chèque. Par exemple, Tolérance aux pannes
+ **trustedAdvisorCheckID :** l'identifiant de Trusted Advisor chèque unique.
+ **trustedAdvisorCheckMétadonnées :** les métadonnées de la ressource, y compris l'ID de la ressource.
+ **trustedAdvisorCheckNom :** nom du Trusted Advisor chèque.
+ **trustedAdvisorCheckÉtat :** état du Trusted Advisor contrôle détecté pour la ressource.
1. Pour y remédier manuellement OpsItem, procédez comme suit :
1. Dans **Runbooks**, choisissez l'un des runbooks associés (documents SSM).
1. Sélectionnez **Execute (Exécuter)**.
1. Pour **AutomationAssumeRole **, choisissez ` arn:aws:iam::Compte AWS ID:role/ams_ssm_automation_role`. Remplacez l' Compte AWS ID par l'ID du compte sur lequel s'exécute la correction. Pour les autres valeurs de paramètres, consultez les **données d'opération**.
Pour corriger manuellement les ressources, le rôle ou l'utilisateur utilisé pour s'authentifier Compte AWS doit disposer des `iam:PassRole` autorisations pour le rôle IAM. `ams-ssm-automation-role` Pour plus d'informations, consultez la section [Accorder à un utilisateur l'autorisation de transmettre un rôle à un](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) architecte cloud Service AWS ou contactez votre architecte cloud.
1. Sélectionnez **Execute (Exécuter)**.
1. Surveillez la progression de l'exécution du document SSM dans la colonne **État et résultats les plus récents**.
1. Une fois le document terminé, choisissez **Définir le statut**, **Résolu** pour résoudre manuellement le OpsItem. Si le document échoue, passez en revue les détails et réexécutez le SSMdocument. Pour obtenir une assistance supplémentaire en matière de dépannage, créez une demande de service.
Pour résoudre un problème OpsItem sans correction, sélectionnez **Définir le statut sur** **Résolu.**
1. Répétez les étapes 3 et 4 pour toutes les corrections manuelles restantes. OpsItems
## Résoudre les problèmes liés aux mesures correctives dans Trusted Remediator
Pour obtenir de l'aide concernant les corrections manuelles et les défaillances de correction, contactez AMS.
Pour consulter l'état et les résultats de la correction, procédez comme suit :
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Choisissez **Gestion des opérations**, **OpsCenter**.
1. (Facultatif) Filtrez la liste par **Source=Trusted Remediator** pour n'inclure que Trusted Remediator OpsItems dans la liste.
1. Choisissez celui OpsItem que vous souhaitez évaluer.
1. Dans la section **Exécutions automatisées**, passez en revue le **nom et le statut du document** **ainsi que les résultats**.
1. Passez en revue les défaillances d'automatisation courantes suivantes. Si vos problèmes ne figurent pas dans la liste, contactez votre CSDM pour obtenir de l'aide.
**Erreurs de correction courantes**
### Aucune exécution n'est répertoriée dans Exécutions automatisées
Aucune exécution associée au OpsItem peut indiquer que l'exécution n'a pas pu démarrer en raison de valeurs de paramètres incorrectes.
**Étapes de résolution des problèmes**
1. Dans les **données opérationnelles**, vérifiez la valeur de la `trustedAdvisorCheckAutoRemediation` propriété.
1. Vérifiez que les valeurs **DocumentName**et **Paramètres** sont correctes. Pour obtenir les valeurs correctes, consultez [Configurer Trusted Advisor la correction des chèques dans Trusted Remediator](tr-configure-remediations.md) les informations relatives à la configuration des paramètres SSM. Pour consulter les paramètres de contrôle pris en charge, voir [Trusted Advisor contrôles pris en charge par Trusted Remediator](tr-supported-checks.md)
1. Vérifiez que les valeurs du document SSM correspondent aux modèles autorisés. Pour afficher le détail des paramètres dans le contenu du document, sélectionnez le nom du document dans la section **Runbooks**.
1. Après avoir vérifié et corrigé les paramètres, [réexécutez manuellement le document SSM](#tr-remediation).
1. Pour éviter que cette erreur ne se reproduise, assurez-vous de configurer la correction avec les valeurs de **paramètres** correctes dans votre configuration. Pour de plus amples informations, consultez [Configurer Trusted Advisor la correction des chèques dans Trusted Remediator](tr-configure-remediations.md).
### Exécutions ratées dans les exécutions automatisées
Les documents de correction contiennent plusieurs étapes qui interagissent avec l' Services AWS exécution de diverses actions. APIs Pour identifier la cause spécifique de l'échec, procédez comme suit :
**Étapes de résolution des problèmes**
1. Pour afficher les différentes étapes d'exécution, choisissez l'**ID d'exécution**, lien dans la section **Exécutions automatisées**. Voici un exemple de console Systems Manager illustrant les **étapes d'exécution** d'une automatisation sélectionnée :
![\[Exemple de console Systems Manager illustrant une automatisation sélectionnée.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/tr-troubleshooting.png)
1. Choisissez l'étape dont le statut **a échoué**. Voici des exemples de messages d'erreur :
+ `NoSuchBucket - An error occurred (NoSuchBucket) when calling the GetPublicAccessBlock operation: The specified bucket does not exist`
Cette erreur indique que le nom de compartiment spécifié dans les paramètres préconfigurés de la configuration de correction est incorrect.
Pour résoudre cette erreur, [exécutez manuellement l'automatisation](#tr-remediation) en utilisant le nom de compartiment correct. Pour éviter que ce problème ne se reproduise, [mettez à jour la configuration de correction](tr-configure-remediations.md) avec le nom de compartiment correct.
+ `DB instance my-db-instance-1 is not in available status for modification.`
Cette erreur indique que l'automatisation n'a pas pu apporter les modifications attendues car l'état de l'instance de base de données n'était pas valide.
Pour résoudre cette erreur, [exécutez manuellement l'automatisation](#tr-remediation).
# Journaux de correction dans Trusted Remediator
Trusted Remediator crée des journaux au format JSON et les télécharge sur Amazon Simple Storage Service. Les fichiers journaux sont chargés dans un compartiment S3 créé par AMS et nommé. `ams-trusted-remediator-{your-account-id}-logs` AMS crée le compartiment S3 dans le compte d'administrateur délégué. Vous pouvez importer les fichiers journaux QuickSight pour générer des rapports de correction personnalisés.
Pour de plus amples informations, veuillez consulter [Intégration de Trusted Remediator avec QuickSight](tr-qs-integration.md).
## Journal des éléments de correction
Trusted Remediator crée le `Remediation item log` lorsqu'une correction OpsItem est créée. Ce journal contient les corrections manuelles OpsItem et les corrections automatisées. OpsItem Vous pouvez utiliser le `Remediation item log` pour suivre la vue d'ensemble de toutes les mesures correctives.
**Emplacement du journal des éléments de correction pour les recommandations de Compute Optimizer**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/compute_optimizer_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**Emplacement du journal des éléments de correction pour les vérifications Trusted Advisor **
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**URL du fichier d'exemple du journal des éléments de correction**
`s3:///ams-trusted-remediator-111122223333-logs/remediation_items/2023-02-06/1675660464-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Format du journal des éléments de remédiation de Compute Optimizer**
```
{
"AccountID": "Account_ID",
"ComputeOptimizerCheckID": "Compute Optimizer check ID",
"ComputeOptimizerCheckName": "Compute Optimizer check name",
"ResourceID": "Resource ID",
"RemediationTime": Remediation creation time,
"ExecutionMode": "Automated or Manual",
"OpsItemID": "OpsItem ID"
}
```
**Trusted Advisor Format du journal des éléments de correction**
```
{
"TrustedAdvisorCheckID": Trusted Advisor check ID,
"TrustedAdvisorCheckName": Trusted Advisor check name,
"TrustedAdvisorCheckResultTime": 10 digits epoch time or unix timestamp,
"ResourceID": Resource ID,
"RemediationTime": Remediation creation time,
"ExecutionMode": Automated or Manual,
"OpsItemID": OpsItem ID
}
```
**Exemple de contenu du journal des éléments de Compute Optimizer Remediation**
```
{
"AccountID": "123456789012",
"ComputeOptimizerCheckID": "compute-optimizer-ebs",
"ComputeOptimizerCheckName": "EBS volumes",
"ResourceID": "vol-1235589366f77aca7",
"RemediationTime": 1755044783,
"ExecutionMode": "Manual",
"OpsItemID": "oi-b8888b38fe78"
}
```
**Trusted Advisor Exemple de contenu au format du journal des éléments de correction**
```
{
"TrustedAdvisorCheckID": "DAvU99Dc4C",
"TrustedAdvisorCheckName": "Underutilized Amazon EBS Volumes",
"TrustedAdvisorCheckResultTime": 1675614749,
"ResourceID": "vol-00bd8965660b4c16d",
"RemediationTime": 1675660464,
"OpsItemID": "oi-cca5df7af718"
}
```
## Journal d'exécution automatique des mesures correctives, Compute Optimizer et Trusted Advisor
Trusted Remediator crée le `Automated remediation execution log` lorsqu'un document SSM est exécuté automatiquement. Ce journal contient les détails de l'exécution du SSM pour la correction automatique uniquement. OpsItem Vous pouvez utiliser ce fichier journal pour suivre les corrections automatisées.
**Compute Optimizer Localisation automatique des journaux de correction**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer recommendation ID.json`
**Trusted Advisor Emplacement automatique des journaux de correction**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID-Resource ID.json`
**Exemple de localisation du journal de correction automatisé Compute Optimizer**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/1750908858-123456789012-compute-optimizer-ec2-i-1235173471d2cd789.json`
**Trusted Advisor Exemple de localisation automatique du journal de correction**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2023-02-06/1675660573-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Exemple de contenu au format du journal de correction automatisé**
```
{
"OpsItemID": "oi-767c77e05301",
"SSMExecutionID": "93d091b2-778a-4cbc-b672-006954d76b86",
"SSMExecutionStatus": "Success"}
```
## Journal des comptes des membres
Trusted Remediator crée le `Member accounts log` lorsque votre compte est intégré ou déconnecté. Vous pouvez utiliser le `Member accounts log` pour trouver l'identifiant du compte, le numéro d'enregistrement et Régions AWS l'heure d'exécution de chaque compte membre.
**Emplacement du journal des comptes membres**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/configuration_logs/member_accounts.json`
**URL du fichier d'exemple du journal des comptes membres**
`s3://ams-trusted-remediator-111122223333-logs/configuration_logs/member_accounts.json`
**Format du journal des comptes membres**
```
{
"delegated_administrator_account_id": Delegated Administrator account id,
"appconfig_configuration_region": Trusted Remediator AppConfig Region,
"member_accounts": [
{
"account_id": Member account id
"account_partition": Member account partition (for example, aws),
"regions": [
{
"execution_time": Remediation execution time in cron schedule expression,
"execution_timezone": Timezone for the remediation execution time,
"region_name": Région AWS name
}
...
]
}
...
],
"updated_at": Log update time,
}
```
**Exemple de contenu du format du journal des comptes membres**
```
{
"delegated_administrator_account_id": "111122223333",
"appconfig_configuration_region": "ap-southeast-2",
"member_accounts": [
{
"account_id": "222233334444",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 9 * * 6",
"execution_timezone": "Australia/Sydney",
"region_name": "ap-southeast-2"
},
{
"execution_time": "0 5 * * 7",
"execution_timezone": "UTC",
"region_name": "us-east-1"
}
]
},
{
"account_id": "333344445555",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 1 * * 5",
"execution_timezone": "Asia/Seoul",
"region_name": "ap-northeast-2"
}
]
}
],
"updated_at": "1730869607"
}
```
# Intégration de Trusted Remediator avec QuickSight
Vous pouvez intégrer les journaux Trusted Remediator stockés dans Amazon S3 QuickSight pour créer un rapport de correction personnalisé. QuickSight l'intégration est facultative. Cette fonctionnalité vous permet d'utiliser les journaux pour créer des tableaux de bord de rapports personnalisés. Pour obtenir des rapports sur demande pour Trusted Remediator, contactez votre CSDM. Pour plus d'informations sur les rapports Trusted Remediator disponibles, consultez[Rapports Trusted Remediator](trusted-remediator-reports.md).
Pour plus d'informations sur la visualisation des données dans QuickSight, voir [Visualisation des données](https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html) dans. QuickSight
## Ajouter un ensemble de données QuickSight pour le journal des éléments de correction
Pour ajouter un ensemble de données au QuickSight journal des éléments de correction, procédez comme suit :
1. Connectez-vous à la QuickSight console. Vous pouvez créer le QuickSight rapport dans n'importe quel Région AWS QuickSight support. Toutefois, pour améliorer les performances et réduire les coûts, il est recommandé de créer le rapport dans la région où se trouve le bucket de journalisation Trusted Remediator.
1. Choisissez **Datasets.**
1. Choisissez **S3**.
1. Dans la **nouvelle source de données S3**, entrez les valeurs suivantes :
+ **Nom de la source de données :** ` trusted-remediator-delegated_administrator_account_id-account_region-remediation-items`
+ **Téléchargez un fichier manifeste :** créez un fichier JSON avec le contenu suivant et utilisez-le. Lors de la création du fichier, remplacez-le `logging_bucket_name` dans la URIPrefixes clé.
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_items/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ Choisissez **Se connecter**.
+ Dans la fenêtre **Terminer la création du jeu** de données, choisissez **Visualize**.
+ QuickSight ouvre la nouvelle page de la feuille d'analyse. Vous êtes maintenant prêt à créer une nouvelle analyse à l'aide du journal des éléments de correction.
Voici un exemple d'analyse :
![\[Exemple de feuille de travail d'analyse.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/tr-sample-analysis.png)
## Ajouter un ensemble de données QuickSight pour le journal d'exécution des mesures correctives automatisées
1. Connectez-vous à la QuickSight console. Vous pouvez créer le QuickSight rapport dans n'importe quel Région AWS QuickSight support. Toutefois, pour améliorer les performances et réduire les coûts, il est recommandé de créer le rapport dans la région où se trouve le bucket de journalisation Trusted Remediator.
1. Choisissez **Datasets.**
1. Choisissez **S3**.
1. Dans la **nouvelle source de données S3**, entrez les valeurs suivantes :
+ **Nom de la source de données :** `trusted-remediator-delegated_administrator_account_id-account_region-remediation-executions`
+ **Téléchargez un fichier manifeste :** créez un fichier JSON avec le contenu suivant, puis utilisez-le. Lors de la création du fichier, remplacez-le `logging_bucket_name` dans la URIPrefixes clé.
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_executions/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ Choisissez **Se connecter**.
+ Dans la fenêtre **Terminer la création du jeu** de données, choisissez **Visualize**.
+ QuickSight ouvre la nouvelle page de la feuille d'analyse. Vous êtes maintenant prêt à créer une nouvelle analyse à l'aide du journal des éléments de correction.
Voici un exemple d'analyse :
![\[Exemple de feuille de travail d'analyse.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/tr-sample-analysis2.png)
# Meilleures pratiques en matière de Trusted Remediator
Voici les meilleures pratiques qui vous aideront à utiliser Trusted Remediator :
+ Si vous n'êtes pas sûr des résultats de la correction, commencez par le mode d'exécution manuelle. Parfois, l'application de l'exécution automatique des mesures correctives dès le départ peut entraîner des résultats inattendus.
+ Réalisez un examen hebdomadaire des mesures correctives et obtenez des informations sur OpsItems les résultats de Trusted Remediator.
+ Les comptes membres héritent des configurations du compte d'administrateur délégué. Il est donc important de structurer les comptes de manière à vous aider à gérer plusieurs comptes avec les mêmes configurations. Vous pouvez exempter les ressources de la configuration par défaut à l'aide de balises.
# Correcteur fiable FAQs
Les questions fréquemment posées à propos de Trusted Remediator sont les suivantes :
## Qu'est-ce que Trusted Remediator et quels en sont les avantages pour moi ?
Lorsqu'une non-conformité est identifiée Trusted Advisor ou qu'une recommandation est émise par Compute Optimizer, Trusted Remediator répond en fonction de vos préférences, soit en appliquant des mesures correctives, soit en demandant l'approbation par le biais de corrections manuelles, soit en signalant les mesures correctives lors de votre prochaine revue commerciale mensuelle (MBR). La correction a lieu à l'heure ou au calendrier de correction que vous préférez. Trusted Remediator vous permet de gérer les contrôles en libre-service et d'agir en fonction Trusted Advisor des contrôles, tout en vous permettant de configurer et de corriger les contrôles de manière individuelle ou groupée. Avec une bibliothèque de documents de correction testés, AMS augmente constamment vos comptes en appliquant des contrôles de sécurité et en suivant les AWS meilleures pratiques. Vous n'êtes averti que si vous le spécifiez dans votre configuration. Les utilisateurs d'AMS peuvent souscrire à Trusted Remediator sans frais supplémentaires.
## Quels sont les liens entre Trusted Remediator et les autres ? Services AWS
Vous avez accès aux Trusted Advisor vérifications et aux recommandations de Compute Optimizer dans le cadre de votre plan Enterprise Support existant. Trusted Remediator s'intègre à Compute Optimizer Trusted Advisor et s'intègre à Compute Optimizer pour tirer parti des capacités d'automatisation AMS existantes. En particulier, AMS utilise des documents AWS Systems Manager d'automatisation (runbooks) pour les corrections automatisées. AWS AppConfig est utilisé pour configurer les flux de travail de correction. Vous pouvez consulter toutes les corrections actuelles et passées via le Systems Manager OpsCenter. Les journaux de correction sont stockés dans un compartiment Amazon S3. Vous pouvez utiliser les journaux pour importer et créer des tableaux de bord de rapports personnalisés. QuickSight
## Qui configure les mesures correctives ?
Vous êtes propriétaire des configurations de votre compte. La gestion de vos configurations est de votre responsabilité. Vous pouvez contacter votre CA ou votre CDSM pour obtenir de l'aide pour gérer vos configurations. Vous pouvez également contacter AMS par le biais d'une demande de service pour obtenir une assistance à la configuration, des corrections manuelles et le dépannage des défaillances liées aux mesures correctives.
## Comment installer des documents d'automatisation SSM ?
Les documents d'automatisation SSM sont automatiquement partagés avec les comptes AMS intégrés.
## Les ressources détenues par AMS seront-elles également corrigées ?
Les ressources détenues par AMS ne sont pas signalées par Trusted Remediator. Trusted Remediator se concentre uniquement sur vos ressources.
## Qu' Régions AWS est-ce que Trusted Remediator est disponible et qui peut l'utiliser ?
Trusted Remediator est disponible pour les clients d'AMS Accelerate. Pour consulter la liste actuelle des régions prises en charge, voir [Services AWS par région](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
## Trusted Remediator provoquera-t-il une dérive des ressources ?
Étant donné que les documents d'automatisation SSM mettent directement à jour les ressources via l' AWS API, une dérive des ressources peut se produire. Vous pouvez utiliser des balises pour séparer les ressources créées par le biais de vos packages existants CI/CD . Vous pouvez configurer Trusted Remediator pour ignorer les ressources balisées tout en corrigeant vos autres ressources.
## Comment suspendre ou arrêter Trusted Remediator ?
Vous pouvez désactiver Trusted Remediator via l' AWS AppConfig application. Pour suspendre ou arrêter Trusted Remediator, procédez comme suit :
1. Ouvrez la AWS AppConfig console sur [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
1. Sélectionnez Trusted Remediator.
1. Choisissez **Paramètres dans** le profil de configuration.
1. Sélectionnez l'indicateur **Suspend Trusted Remediator**.
1. Définissez la valeur de l'`suspended`attribut sur. `true`
**Note**
Soyez prudent lorsque vous utilisez cette procédure, car cela arrête Trusted Remediator pour tous les comptes liés au compte d'administrateur délégué.
## Comment puis-je corriger les vérifications qui ne sont pas prises en charge par Trusted Remediator ?
Vous pouvez continuer à contacter AMS via Operations On Demand (OOD) pour les chèques non pris en charge. AMS vous aide à corriger ces contrôles. Pour plus d'informations, consultez la section [Opérations à la demande](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html).
## En quoi Trusted Remediator est-il différent de la AWS Config remédiation ?
AWS Config La correction est une autre solution qui vous aide à optimiser les ressources du cloud et à maintenir la conformité aux meilleures pratiques. Voici certaines des différences opérationnelles entre les deux solutions :
+ Trusted Remediator utilise Trusted Advisor Compute Optimizer comme mécanismes de détection. AWS Config La correction utilise des AWS Config règles comme mécanisme de détection.
+ Pour Trusted Remediator, la correction s'effectue selon votre calendrier de remédiation prédéfini. En AWS Config, la remédiation se fait en temps réel.
+ Les paramètres de chaque correction dans Trusted Remediator sont facilement personnalisables en fonction de votre cas d'utilisation et la correction peut être automatisée ou rendue manuelle en ajoutant des balises sur les ressources.
+ Trusted Remediator fournit des fonctionnalités de reporting.
+ Trusted Remediator vous envoie une notification par e-mail contenant la liste des mesures correctives et leur état.
Certaines Trusted Advisor vérifications et recommandations de Compute Optimizer peuvent comporter la même règle. AWS Config Il est recommandé de n'activer qu'une seule correction s'il existe une AWS Config règle et une Trusted Advisor vérification correspondantes. Pour plus d'informations sur AWS Config les règles applicables à chaque Trusted Advisor contrôle, voir[Trusted Advisor contrôles pris en charge par Trusted Remediator](tr-supported-checks.md).
## Quelles ressources Trusted Remediator déploie-t-il sur vos comptes ?
Trusted Remediator déploie les ressources suivantes sur le compte d'administrateur délégué de Trusted Remediator :
+ Un compartiment Amazon S3 nommé`ams-trusted-remediator-{your-account-id}-logs`. Trusted Remediator crée le fichier `Remediation item log` au format JSON lorsqu'une correction OpsItem est créée et télécharge les fichiers journaux dans ce compartiment.
+ Une AWS AppConfig application qui contient les configurations de correction pour les Trusted Advisor vérifications prises en charge et les recommandations de Compute Optimizer.
Trusted Remediator ne déploie pas de ressources sur le compte membre Trusted Remediator.