Trusted Advisor contrôles pris en charge par Trusted Remediator - Guide de l'utilisateur avancé d'AMS
Contrôles d' Trusted Advisor optimisation des coûts pris en chargeContrôles Trusted Advisor de sécurité pris en chargeContrôles de tolérance aux Trusted Advisor pannes pris en chargeContrôles de Trusted Advisor performance pris en chargeContrôles des limites Trusted Advisor de service pris en chargeContrôles Trusted Advisor d'excellence opérationnelle pris en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Trusted Advisor contrôles pris en charge par Trusted Remediator

Le tableau suivant répertorie les Trusted Advisor contrôles pris en charge, les documents d'automatisation SSM, les paramètres préconfigurés et le résultat attendu des documents d'automatisation. Passez en revue le résultat attendu pour vous aider à comprendre les risques potentiels en fonction des exigences de votre entreprise avant d'activer un document d'automatisation SSM pour la correction des contrôles.

Assurez-vous que la règle de configuration correspondante pour chaque Trusted Advisor vérification est présente pour les vérifications prises en charge pour lesquelles vous souhaitez activer la correction. Pour plus d'informations, voir Afficher AWS Trusted Advisor les contrôles réalisés par AWS Config. Si un check comporte AWS Security Hub des contrôles correspondants, assurez-vous que le contrôle Security Hub est activé. Pour plus d'informations, consultez la section Activation des contrôles dans Security Hub. Pour plus d'informations sur la gestion des paramètres préconfigurés, voir Configure Trusted Advisor check remédiation dans Trusted Remediator.

Trusted Advisor contrôles d'optimisation des coûts pris en charge par Trusted Remediator

Identifiant et nom du chèque Nom du document SSM et résultat attendu Paramètres et contraintes préconfigurés pris en charge

Z4 AUBRNSmz

Adresses IP Elastic non associées

AWSManagedServices-TrustedRemediatorReleaseElasticIP

Libère une adresse IP élastique qui n'est associée à aucune ressource.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c18d2gz150 - Instances Amazon arrêtées EC2

AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime - EC2 Les instances Amazon arrêtées pendant un certain nombre de jours sont résiliées.

  • Créer une AMIBefore résiliation : pour créer l'AMI de l'instance en tant que sauvegarde avant de mettre fin à l' EC2 instance Amazon, choisisseztrue. Pour ne pas créer de sauvegarde avant de terminer, choisissezfalse. L’argument par défaut est true.

  • AllowedDays: le nombre de jours pendant lesquels l'instance est à l'état arrêté avant d'être résiliée. La valeur par défaut est 30.

Aucune contrainte

c18d2gz128

Référentiel Amazon ECR sans politique de cycle de vie configurée

AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy

Crée une politique de cycle de vie pour le référentiel spécifié s'il n'en existe pas déjà une.

ImageAgeLimit: limite d'âge maximale en jours (1 à 365 jours) pour « n'importe quelle » image du référentiel Amazon ECR.

Aucune contrainte

DAvU99Dc4C

Volumes Amazon EBS sous-utilisés

AWSManagedServices-DeleteUnusedEBSVolume

Supprime les volumes Amazon EBS sous-utilisés s'ils n'ont pas été attachés au cours des 7 derniers jours. Un instantané Amazon EBS est créé par défaut.

  • CreateSnapshot: si ce paramètre est défini surtrue, l'automatisation crée un instantané du volume Amazon EBS avant sa suppression. Le paramètre par défaut est true. Les valeurs valides sont true et false (distinction majuscules et minuscules).

  • MinimumUnattachedDays: Nombre minimum de jours sans connexion du volume EBS à supprimer, jusqu'à 62 jours. Si cette valeur est définie sur0, le document SSM ne vérifie pas la période de non-connexion et supprime le volume s'il est actuellement déconnecté. La valeur par défaut est7.

Aucune contrainte

hj M8 LMh88u

Équilibreurs de charge inactifs

AWSManagedServices-DeleteIdleClassicLoadBalancer

Supprime un Classic Load Balancer inactif s'il n'est pas utilisé et qu'aucune instance n'est enregistrée.

IdleLoadBalancerDays: le nombre de jours pendant lesquels le Classic Load Balancer n'a demandé aucune connexion avant de le considérer comme inactif. La valeur par défaut est de sept jours.

Si l'exécution automatique est activée, l'automatisation supprime les équilibreurs de charge classiques inactifs s'il n'existe aucune instance principale active. Pour tous les équilibreurs de charge classiques inactifs dotés d'instances de back-end actives, mais dont les instances de back-end ne sont pas saines, la correction automatique n'est pas utilisée et une correction manuelle est OpsItems créée.

Ti39HalfU8

Instances de base de données Amazon RDS inactives

AWSManagedServices-StopIdleRDSInstance

L'instance de base de données Amazon RDS qui est restée inactive au cours des sept derniers jours est arrêtée.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

COr6dfpM05

AWS Lambda fonctions surdimensionnées pour la taille de la mémoire

AWSManagedServices-ResizeLambdaMemory

AWS Lambda la taille de la mémoire de la fonction est redimensionnée selon la taille de mémoire recommandée fournie par Trusted Advisor.

RecommendedMemorySize: allocation de mémoire recommandée pour la fonction Lambda. La plage de valeurs est comprise entre 128 et 10240.

Si la taille de la fonction Lambda a été modifiée avant l'exécution de l'automatisation, les paramètres peuvent être remplacés par cette automatisation par la valeur recommandée par. Trusted Advisor

QCH7DWOuX1

EC2 Instances Amazon à faible taux d'utilisation

AWSManagedServices-StopEC2Instance (document SSM par défaut pour les modes d'exécution automatique et manuel.)

EC2 Les instances Amazon à faible taux d'utilisation sont arrêtées.

ForceStopWithInstanceStore: défini sur pour true forcer l'arrêt des instances à l'aide du stockage d'instances. Sinon, définissez sur false. La valeur par défaut de false empêche l'arrêt de l'instance. Les valeurs valides sont vraies ou fausses (distinction majuscules et minuscules).

Aucune contrainte

QCH7DWOuX1

EC2 Instances Amazon à faible taux d'utilisation

AWSManagedServices-ResizeInstanceByOneLevel

L' EC2 instance Amazon est redimensionnée selon un type d'instance inférieur dans le même type de famille d'instances. L'instance est arrêtée et démarrée pendant l'opération de redimensionnement et revient à son état initial une fois l'exécution du document SSM terminée. Cette automatisation ne prend pas en charge le redimensionnement des instances qui se trouvent dans un Auto Scaling Group.

  • MinimumDaysSinceLastChange: nombre minimum de jours écoulés depuis le dernier changement de type d'instance. Si le type d'instance a été modifié dans un délai spécifié, le type d'instance n'est pas modifié. 0À utiliser pour ignorer cette validation. L’argument par défaut est 7.

  • Créer un AMIBefore redimensionnement : pour créer l'AMI de l'instance en tant que sauvegarde avant le redimensionnement, choisissez. true Pour ne pas créer de sauvegarde, choisissezfalse. L’argument par défaut est false. Les valeurs valides sont true et false (distinction majuscules et minuscules).

  • ResizeIfStopped: Pour procéder au changement de taille de l'instance, même si l'instance est dans un état arrêté, choisisseztrue. Pour ne pas redimensionner automatiquement l'instance en cas d'arrêt, choisissezfalse. Les valeurs valides sont true et false (distinction majuscules et minuscules).

Aucune contrainte

QCH7DWOuX1

EC2 Instances Amazon à faible taux d'utilisation

AWSManagedServices-TerminateInstance

Les EC2 instances Amazon peu utilisées sont résiliées si elles ne font pas partie d'un groupe Auto Scaling et si la protection contre la résiliation n'est pas activée. Une AMI est créée par défaut.

Créer une AMIBefore résiliation : définissez cette option sur true ou pour false créer une AMI d'instance en tant que sauvegarde avant de mettre fin à l' EC2 instance. L’argument par défaut est true. Les valeurs valides sont true et false (distinction majuscules et minuscules).

Aucune contrainte

G31SQ1E9U

Underutilized Amazon Redshift Clusters

AWSManagedServices-PauseRedshiftCluster

Le cluster Amazon Redshift est suspendu.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1cj39rr6v

Configuration incomplète de l'interruption du téléchargement en plusieurs parties sur Amazon S3

AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload

Le compartiment Amazon S3 est configuré avec une règle de cycle de vie afin d'annuler les téléchargements partitionnés qui restent incomplets après certains jours.

DaysAfterInitiation: le nombre de jours après lesquels Amazon S3 arrête un chargement partitionné incomplet. La valeur par défaut est fixée à 7 jours.

Aucune contrainte

c1z7kmr00n

Recommandations d'Amazon en matière d'optimisation des EC2 coûts pour les instances

 Utilisez les recommandations d' EC2 instance Amazon et Idle Amazon EC2 instance fromRecommandations de Compute Optimizer soutenues par Trusted Remediator.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1z7kmr02n

Recommandations d'optimisation des coûts d'Amazon EBS pour les volumes

 Utilisez les recommandations de volume Amazon EBS et Idle Amazon EBS volume from. Recommandations de Compute Optimizer soutenues par Trusted Remediator

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1z7kmr03n

Recommandations d'optimisation des coûts Amazon RDS pour les instances de base de données

 Utilisez une instance Amazon RDS inactive à partir deRecommandations de Compute Optimizer soutenues par Trusted Remediator.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1z7kmr05n

AWS Lambda recommandations d'optimisation des coûts pour les fonctions

 Utilisez les recommandations relatives à la fonction Lambda de. Recommandations de Compute Optimizer soutenues par Trusted Remediator

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Trusted Advisor contrôles de sécurité pris en charge par Trusted Remediator

Identifiant et nom du chèque Nom du document SSM et résultat attendu Paramètres et contraintes préconfigurés pris en charge

12Fnkpl8Y5

Exposed Access Keys

AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey

La clé d'accès IAM exposée est désactivée.

Aucun paramètre préconfiguré n'est autorisé.

Les applications configurées avec une clé d'accès IAM exposée ne peuvent pas s'authentifier.

Hs4Ma3G127 - API Gateway REST et la journalisation de l'exécution de l'API WebSocket doivent être activées

AWS Security Hub Contrôle correspondant : APIGateway1.

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

La journalisation de l'exécution est activée au stade de l'API.

LogLevel: niveau de journalisation pour activer la journalisation de l'exécution, ERROR - La journalisation n'est activée que pour les erreurs. INFO - La journalisation est activée pour tous les événements.

Vous devez autoriser API Gateway à lire et à écrire les journaux de votre compte afin CloudWatch d'activer le journal d'exécution. Reportez-vous à la section Configurer la CloudWatch journalisation pour REST APIs dans API Gateway pour plus de détails.

Hs4Ma3G129 - Le suivi des étapes de l'API REST d'API Gateway doit être activé AWS X-Ray

AWS Security Hub Contrôle correspondant : APIGateway3.

AWSManagedServices-EnableApiGateWayXRayTracing

Le traçage X-Ray est activé sur la scène de l'API.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G202 - Les données du cache de l'API REST API Gateway doivent être chiffrées au repos

AWS Security Hub Chèque correspondant : APIGateway5.

AWSManagedServices-EnableAPIGatewayCacheEncryption

Activez le chiffrement au repos pour les données du cache de l'API REST API Gateway si le cache est activé sur le stage de l'API REST API Gateway.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G177 -

AWS Security Hub Contrôle correspondant : les groupes de mise à l'échelle automatique associés à un équilibreur de charge doivent utiliser des contrôles de santé de l'équilibreur de charge .1 AutoScaling

AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck

Les contrôles de santé d'Elastic Load Balancing sont activés pour le groupe Auto Scaling.

HealthCheckGracePeriod: durée, en secondes, pendant laquelle Auto Scaling attend avant de vérifier l'état de santé d'une instance Amazon Elastic Compute Cloud mise en service.

L'activation des contrôles de santé d'Elastic Load Balancing peut entraîner le remplacement d'une instance en cours d'exécution si l'un des équilibreurs de charge Elastic Load Balancing attachés au groupe Auto Scaling indique qu'elle est défectueuse. Pour plus d'informations, voir Associer un équilibreur de charge Elastic Load Balancing à votre groupe Auto Scaling

Hs4Ma3G245 - les AWS CloudFormation piles doivent être intégrées à Amazon Simple Notification Service

AWS Security Hub Contrôle correspondant : CloudFormation1.

AWSManagedServices-EnableCFNStackNotification

Associez une CloudFormation pile à une rubrique Amazon SNS pour recevoir une notification.

Notification ARNs : ARNs les rubriques Amazon SNS à associer aux piles sélectionnées CloudFormation .

Pour activer la correction automatique, le paramètre NotificationARNs préconfiguré doit être fourni.

Hs4Ma3G210 - CloudFront la journalisation des distributions doit être activée

AWS Security Hub Contrôle correspondant : CloudFront2.

AWSManagedServices-EnableCloudFrontDistributionLogging

La journalisation est activée pour les CloudFront distributions Amazon.

  • BucketName: nom du compartiment Amazon S3 dans lequel vous souhaitez stocker les journaux d'accès.

  • S3 KeyPrefix : préfixe de l'emplacement dans le compartiment S3 pour les journaux de CloudFront distribution Amazon.

  • IncludeCookies: indique s'il faut inclure les cookies dans les journaux d'accès.

Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis :

  • BucketName

  • S3KeyPrefix

  • IncludeCookies

Pour connaître ces contraintes de correction, voir Comment activer la journalisation pour ma CloudFront distribution ?

Hs4Ma3G109 - la validation du fichier CloudTrail journal doit être activée

AWS Security Hub Chèque correspondant : CloudTrail4.

AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation

Active la validation CloudTrail du journal de suivi.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G108 - les CloudTrail sentiers doivent être intégrés à Amazon Logs CloudWatch

AWS Security Hub Chèque correspondant : CloudTrail5.

AWSManagedServices-IntegrateCloudTrailWithCloudWatch

AWS CloudTrail est intégré à CloudWatch Logs.

  • CloudWatchLogsLogGroupName: nom du groupe de CloudWatch journaux auquel CloudTrail les journaux sont envoyés. Vous devez utiliser un groupe de journaux qui existe dans votre compte.

  • CloudWatchLogsRoleName: nom du rôle IAM que le point de terminaison CloudWatch Logs doit assumer pour écrire dans le groupe de journaux d'un utilisateur. Vous devez utiliser un rôle qui existe dans votre compte.

Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis :

  • CloudWatchLogsLogGroupName

  • CloudWatchLogsRoleName

Hs4Ma3G217 - les environnements de CodeBuild projet doivent avoir une configuration de journalisation AWS

AWS Security Hub Chèque correspondant : CodeBuild4.

AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig

Active la journalisation du CodeBuild projet.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G306 - La protection contre la suppression des clusters de base de données Neptune doit être activée

AWS Security Hub Vérification correspondante : DocumentDB.3

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot

Supprime l'accès public à l'instantané manuel du cluster Amazon DocumentDB.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G308 - La protection contre la suppression des clusters Amazon DocumentDB doit être activée

AWS Security Hub Vérification correspondante : DocumentDB.5

AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection

Active la protection contre les suppressions pour le cluster Amazon DocumentDB.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G323 - La protection contre la suppression des tables DynamoDB doit être activée

AWS Security Hub Vérification correspondante : DynamoDB.6

AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection

Active la protection contre la suppression pour les tables DynamoDB autres qu'AMS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

EPS02JT06W - Instantanés publics d'Amazon EBS

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot

L'accès public aux instantanés Amazon EBS est désactivé.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G118 - Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

AWS Security Hub Contrôle correspondant : EC22.

AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG

Toutes les règles d'entrée et de sortie du groupe de sécurité par défaut sont supprimées.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G117 - Les volumes EBS attachés doivent être chiffrés au repos

AWS Security Hub Contrôle correspondant : EC23.

AWSManagedServices-EncryptInstanceVolume

Le volume Amazon EBS joint à l'instance est chiffré.

  • KMSKeyId : ID de AWS KMS clé ou ARN pour chiffrer le volume.

  • DeleteStaleNonEncryptedSnapshotBackups: indicateur qui détermine si la sauvegarde instantanée des anciens volumes non chiffrés doit être supprimée.

L'instance est redémarrée dans le cadre de la correction et la restauration est possible si elle DeleteStaleNonEncryptedSnapshotBackups est définie sur false ce qui facilite la restauration.

Hs4Ma3G120 - Les EC2 instances arrêtées doivent être supprimées après une période spécifiée

AWS Security Hub Chèque correspondant : EC24.

AWSManagedServices-TerminateInstance(document SSM par défaut pour les modes d'exécution automatique et manuel)

EC2 Les instances Amazon arrêtées pendant 30 jours sont résiliées.

Créer une AMIBefore résiliation :. Pour créer l'AMI d'instance en tant que sauvegarde avant de mettre fin à l' EC2 instance, choisisseztrue. Pour ne pas créer de sauvegarde avant de terminer, choisissezfalse. L’argument par défaut est true.

Aucune contrainte

Hs4Ma3G120 - Les EC2 instances arrêtées doivent être supprimées après une période spécifiée

AWS Security Hub Chèque correspondant : EC24.

AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime - EC2 Les instances Amazon arrêtées pendant le nombre de jours défini dans Security Hub (la valeur par défaut est 30) sont résiliées.

Créer une AMIBefore résiliation : pour créer l'AMI de l'instance en tant que sauvegarde avant de mettre fin à l' EC2 instance, choisisseztrue. Pour ne pas créer de sauvegarde avant de terminer, choisissezfalse. L’argument par défaut est true.

Aucune contrainte

Hs4Ma3G121 - Le cryptage par défaut EBS doit être activé

AWS Security Hub Contrôle correspondant : 7 EC2.

AWSManagedServices-EncryptEBSByDefault

Le chiffrement Amazon EBS est activé par défaut pour Région AWS

Aucun paramètre préconfiguré n'est autorisé.

Le chiffrement par défaut est un paramètre spécifique à une région. Si vous l'activez pour une région, vous ne pouvez pas le désactiver pour des volumes ou des instantanés individuels de cette région.

Hs4Ma3G124 - Les instances EC2 Amazon doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

AWS Security Hub Contrôle correspondant : 8 EC2.

AWSManagedServices-TrustedRemediatorActiver l'EC2instance IMDSv2

EC2 Les instances Amazon utilisent le service de métadonnées d'instance version 2 (IMDSv2).

  • IMDSv1MetricCheckPeriod: le nombre de jours (42-455) pendant lesquels analyser les statistiques IMDSv1 d'utilisation dans CloudWatch. Si l' EC2 instance Amazon a été créée dans le délai spécifié, l'analyse commence à la date de création de l'instance.

  • HttpPutResponseHopLimit: nombre maximal de sauts réseau autorisés pour le jeton de métadonnées de l'instance. Cette valeur peut être configurée entre 1 et 2 sauts. Une limite de 1 sauts restreint l'accès par jeton aux processus exécutés directement sur l'instance, tandis qu'une limite de sauts 2 autorise l'accès à partir de conteneurs exécutés sur l'instance.

Aucune contrainte

Hs4Ma3G207 - les EC2 sous-réseaux ne doivent pas attribuer automatiquement des adresses IP publiques

AWS Security Hub Chèque correspondant : EC2.15

AWSManagedServices-UpdateAutoAssignPublicIpv4 Adresses

Les sous-réseaux VPC sont configurés pour ne pas attribuer automatiquement d'adresses IP publiques.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G209 - Les listes de contrôle d'accès réseau non utilisées sont supprimées

AWS Security Hub Contrôle correspondant : EC2.16

AWSManagedServices-DeleteUnusedNACL

Supprimer les ACL réseau inutilisées

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G215 - Les groupes de sécurité EC2 Amazon inutilisés doivent être supprimés

AWS Security Hub Chèque correspondant : EC2.22

AWSManagedServices-DeleteSecurityGroups

Supprimez les groupes de sécurité inutilisés.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G247 - Amazon Transit EC2 Gateway ne doit pas accepter automatiquement les demandes de pièces jointes VPC

AWS Security Hub Chèque correspondant : EC2.23

AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach- Désactive l'acceptation automatique des demandes de pièces jointes VPC pour l'Amazon Transit EC2 Gateway non AMS spécifié.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G235 - L'immuabilité des balises doit être configurée dans les référentiels privés ECR

AWS Security Hub Contrôle correspondant : ECR.2

AWSManagedServices-TrustedRemediatorSetImageTagImmutability

Définit les paramètres de mutabilité des balises d'image sur IMMUTABLE pour le référentiel spécifié.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G216 - Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée

AWS Security Hub Contrôle correspondant : ECR.3

AWSManagedServices-PutECRRepositoryLifecyclePolicy

Le référentiel ECR possède une politique de cycle de vie configurée.

LifecyclePolicyText: le texte de politique du référentiel JSON à appliquer au référentiel.

Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis :

LifecyclePolicyText

Hs4Ma3G325 - La journalisation des audits doit être activée sur les clusters EKS

AWS Security Hub Chèque correspondant : EKS.8

AWSManagedServices-TrustedRemediatorEnableEKSAuditLog

Le journal d'audit est activé pour le cluster EKS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G183 - L'équilibreur de charge d'application doit être configuré pour supprimer les en-têtes HTTP

AWS Security Hub Contrôle correspondant : ELB.4

AWSConfigRemediation-DropInvalidHeadersForALB

Application Load Balancer est configuré avec des champs d'en-tête non valides.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G184 - La journalisation des équilibreurs de charge d'application et des équilibreurs de charge classiques doit être activée

AWS Security Hub Contrôle correspondant : ELB.5

AWSManagedServices-EnableELBLogging (document SSM par défaut pour les modes d'exécution automatique et manuel)

La journalisation entre Application Load Balancer et Classic Load Balancer est activée.

  • BucketName: le nom du compartiment (et non l'ARN). Assurez-vous que la politique de compartiment est correctement configurée pour la journalisation.

  • S3 KeyPrefix : préfixe de l'emplacement dans le compartiment Amazon S3 pour les journaux Elastic Load Balancing.

Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis :

  • BucketName

  • S3KeyPrefix

Le bucket Amazon S3 doit avoir une politique de bucket qui accorde à Elastic Load Balancing l'autorisation d'écrire les journaux d'accès dans le bucket.

Hs4Ma3G184 - La journalisation des équilibreurs de charge d'application et des équilibreurs de charge classiques doit être activée

AWS Security Hub Contrôle correspondant : ELB.5

AWSManagedServices-EnableELBLoggingV2

La journalisation entre Application Load Balancer et Classic Load Balancer est activée.

  • TargetBucketTagKey: nom du tag (distinguant majuscules et minuscules) utilisé pour identifier le compartiment Amazon S3 cible. Utilisez-le avec TargetBucketTagValue pour étiqueter le compartiment qui servira de compartiment de destination pour la journalisation des accès.

  • TargetBucketTagValue: valeur de balise (distinguant majuscules et minuscules) utilisée pour identifier le compartiment Amazon S3 cible. Utilisez-le avec TargetBucketTagKey pour étiqueter le compartiment qui servira de compartiment de destination pour la journalisation des accès.

  • S3 BucketPrefix : préfixe (hiérarchie logique) du compartiment Amazon S3. Le préfixe que vous spécifiez ne doit pas inclure la chaîne AWSLogs. Pour plus d'informations, consultez Organisation des objets à l'aide de préfixes.

    Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis :

    • TargetBucketTagKey

    • TargetBucketTagValue

    • S3BucketPrefix

    Le bucket Amazon S3 doit avoir une politique de bucket qui accorde à Elastic Load Balancing l'autorisation d'écrire les journaux d'accès dans le bucket.

Hs4Ma3G326 - Le paramètre de blocage de l'accès public à Amazon EMR doit être activé

AWS Security Hub Chèque correspondant : EMR.2

AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess

Les paramètres de blocage de l'accès public à Amazon EMR sont activés pour le compte.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G135 - les AWS KMS clés ne doivent pas être supprimées par inadvertance

AWS Security Hub Contrôle correspondant : KMS.3

AWSManagedServices-CancelKeyDeletion

AWS KMS la suppression de la clé est annulée.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G299 - Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

AWS Security Hub Chèque correspondant : Neptune.4

AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection

Active la protection contre les suppressions pour le cluster Amazon Neptune.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G319 - La protection contre les suppressions doit être activée sur les pare-feux Network Firewall

AWS Security Hub Chèque correspondant : 9 NetworkFirewall.

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection- Active la protection contre la suppression pour AWS Network Firewall.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G223 - les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

AWS Security Hub Contrôle correspondant : OpenSearch3.

AWSManagedServices-EnableOpenSearchNodeToNodeEncryption

Le chiffrement nœud à nœud est activé pour le domaine.

Aucun paramètre préconfiguré n'est autorisé.

Une fois node-to-node le chiffrement activé, vous ne pouvez pas désactiver le paramètre. Prenez plutôt un instantané manuel du domaine chiffré, créez un autre domaine, migrez vos données, puis supprimez l'ancien domaine.

Hs4Ma3G222 - la journalisation des erreurs de OpenSearch domaine dans Logs doit être activée CloudWatch

AWS Security Hub Contrôle correspondant : Opensearch.4

AWSManagedServices-EnableOpenSearchLogging

La journalisation des erreurs est activée pour le OpenSearch domaine.

CloudWatchLogGroupArn: ARN d'un groupe de CloudWatch journaux Amazon Logs.

Pour activer la correction automatique, le paramètre préconfiguré suivant doit être fourni :. CloudWatchLogGroupArn

La politique de CloudWatch ressources Amazon doit être configurée avec des autorisations. Pour plus d'informations, consultez la section Activation des journaux d'audit dans le guide de l'utilisateur d'Amazon OpenSearch Service

Hs4Ma3G221 - la journalisation des audits doit être activée sur OpenSearch les domaines

AWS Security Hub Contrôle correspondant : Opensearch.5

AWSManagedServices-EnableOpenSearchLogging

OpenSearch les domaines sont configurés avec la journalisation des audits activée.

CloudWatchLogGroupArn: ARN du groupe CloudWatch Logs dans lequel publier les logs.

Pour activer la correction automatique, le paramètre préconfiguré suivant doit être fourni : CloudWatchLogGroupArn

La politique de CloudWatch ressources Amazon doit être configurée avec des autorisations. Pour plus d'informations, consultez la section Activation des journaux d'audit dans le guide de l'utilisateur d'Amazon OpenSearch Service

Hs4Ma3G220 - Les connexions aux OpenSearch domaines doivent être cryptées à l'aide du protocole TLS 1.2

AWS Security Hub Contrôle correspondant : Opensearch.8

AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2

La politique TLS est définie sur « Policy-min-TLS-1-2-2019-07` et seules les connexions cryptées via HTTPS (TLS) sont autorisées.

Aucun paramètre préconfiguré n'est autorisé.

Les connexions aux OpenSearch domaines sont requises pour utiliser le protocole TLS 1.2. Le chiffrement des données en transit peut affecter les performances. Testez vos applications avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS.

Hs4Ma3G194 - L'instantané Amazon RDS doit être privé

AWS Security Hub Contrôle correspondant : RDS.1

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

L'accès public aux instantanés Amazon RDS est désactivé.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G192 - Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible AWS

AWS Security Hub Contrôle correspondant : RDS.2

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance

Désactivez l'accès public sur l'instance de base de données RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G189 - Une surveillance améliorée est configurée pour les instances de base de données Amazon RDS

AWS Security Hub Contrôle correspondant : RDS.6

AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring

Activez une surveillance améliorée pour les instances de base de données Amazon RDS

  • MonitoringInterval: intervalle, en secondes, entre les points où les métriques de surveillance améliorée sont collectées pour l'instance de base de données. Les intervalles valides sont 0, 1, 5, 10, 15, 30 et 60. Pour désactiver la collecte des métriques de surveillance améliorée, spécifiez 0.

  • MonitoringRoleName: nom du rôle IAM qui permet à Amazon RDS d'envoyer des métriques de surveillance améliorées à Amazon CloudWatch Logs. Si aucun rôle n'est spécifié, le rôle par défaut rds-monitoring-role est utilisé ou créé, s'il n'existe pas.

Si la surveillance améliorée est activée avant l'exécution de l'automatisation, les paramètres peuvent être remplacés par cette automatisation par les MonitoringRoleName valeurs MonitoringInterval et configurées dans les paramètres préconfigurés.

Hs4Ma3G190 - La protection contre la suppression des clusters Amazon RDS doit être activée

AWS Security Hub Contrôle correspondant : RDS.7

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

La protection contre la suppression est activée pour les clusters Amazon RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G198 - La protection contre la suppression des instances de base de données Amazon RDS doit être activée

AWS Security Hub Contrôle correspondant : RDS.8

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

La protection contre la suppression est activée pour les instances Amazon RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G199 - Les instances de base de données RDS doivent publier des journaux dans Logs CloudWatch

AWS Security Hub Contrôle correspondant : RDS.9

AWSManagedServices-TrustedRemediatorEnableRDSLogExports

Les exportations de journaux RDS sont activées pour l'instance de base de données RDS ou le cluster de base de données RDS.

Aucun paramètre préconfiguré n'est autorisé.

Le rôle AWSServiceRoleForRDS lié à un service est requis.

Hs4Ma3G160 - L'authentification IAM doit être configurée pour les instances RDS

AWS Security Hub Contrôle correspondant : RDS.10

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

AWS Identity and Access Management l'authentification est activée pour l'instance RDS.

ApplyImmediately: indique si les modifications de cette demande et les modifications en attente sont appliquées de manière asynchrone dès que possible. Pour appliquer la modification immédiatement, choisissez. true Pour planifier le changement pour la prochaine fenêtre de maintenance, choisissezfalse.

Aucune contrainte

Hs4Ma3G161 - L'authentification IAM doit être configurée pour les clusters RDS

AWS Security Hub Contrôle correspondant : RDS.12

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

L'authentification IAM est activée pour le cluster RDS.

ApplyImmediately: indique si les modifications de cette demande et les modifications en attente sont appliquées de manière asynchrone dès que possible. Pour appliquer la modification immédiatement, choisissez. true Pour planifier le changement pour la prochaine fenêtre de maintenance, choisissezfalse.

Aucune contrainte

Hs4Ma3G162 - Les mises à niveau automatiques des versions mineures de RDS devraient être activées

AWS Security Hub Contrôle correspondant : RDS.13

AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade

La configuration automatique de mise à niveau des versions mineures pour Amazon RDS est activée.

Aucun paramètre préconfiguré n'est autorisé.

L'instance Amazon RDS doit être en bon available état pour que cette correction ait lieu.

Hs4Ma3G163 - Les clusters de base de données RDS doivent être configurés pour copier des balises dans des instantanés

AWS Security Hub Contrôle correspondant : RDS.16

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagtosnapshotle paramètre pour les clusters Amazon RDS est activé.

Aucun paramètre préconfiguré n'est autorisé.

Les instances Amazon RDS doivent être disponibles pour que cette correction ait lieu.

Hs4Ma3G164 - Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés

AWS Security Hub Contrôle correspondant : RDS.17

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagsToSnapshotle paramètre pour Amazon RDS est activé.

Aucun paramètre préconfiguré n'est autorisé.

Les instances Amazon RDS doivent être disponibles pour que cette correction ait lieu.

RSS 93 HQwa1

Instantanés publics Amazon RDS

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

L'accès public aux instantanés Amazon RDS est désactivé.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G103 - Les clusters Amazon Redshift devraient interdire l'accès public

AWS Security Hub Contrôle correspondant : Redshift.1

AWSManagedServices-DisablePublicAccessOnRedshiftCluster

L'accès public au cluster Amazon Redshift est désactivé.

Aucun paramètre préconfiguré n'est autorisé.

La désactivation de l'accès public bloque tous les clients provenant d'Internet. Et le cluster Amazon Redshift est en état de modification pendant quelques minutes pendant que la correction désactive l'accès public au cluster.

Hs4Ma3G106 - La journalisation des audits doit être activée sur les clusters Amazon Redshift

AWS Security Hub Contrôle correspondant : Redshift.4

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging

La journalisation des audits est activée sur votre cluster Amazon Redshift pendant la période de maintenance.

Aucun paramètre préconfiguré n'est autorisé.

Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis.

BucketName: Le compartiment doit se trouver dans le même compartiment Région AWS. Le cluster doit disposer des autorisations Read Bucket et Put Object.

Si la journalisation du cluster Redshift est activée avant l'exécution de l'automatisation, les paramètres de journalisation peuvent être remplacés par cette automatisation par les S3KeyPrefix valeurs BucketName et configurées dans les paramètres préconfigurés.

Hs4Ma3G105 - Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures

AWS Security Hub Contrôle correspondant : Redshift.6

AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade- Les mises à niveau des versions majeures sont appliquées automatiquement au cluster pendant la période de maintenance. Il n'y a pas de temps d'arrêt immédiat pour le cluster Amazon Redshift, mais votre cluster Amazon Redshift peut subir une interruption de service pendant sa période de maintenance s'il est mis à niveau vers une version majeure.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G104 - Les clusters Amazon Redshift doivent utiliser un routage VPC amélioré

AWS Security Hub Contrôle correspondant : Redshift.7

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting

Le routage VPC amélioré est activé pour les clusters Amazon Redshift.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G173 - Le paramètre S3 Block Public Access doit être activé au niveau du bucket

AWS Security Hub Contrôle correspondant : S3.8

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

Les blocs d'accès public au niveau du compartiment sont appliqués au compartiment Amazon S3.

Aucun paramètre préconfiguré n'est autorisé.

Cette correction peut affecter la disponibilité des objets S3. Pour plus d'informations sur la manière dont Amazon S3 évalue l'accès, consultez Blocage de l'accès public à votre espace de stockage Amazon S3.

Hs4Ma3G230 - La journalisation des accès au serveur de compartiment S3 doit être activée

AWS Security Hub Contrôle correspondant : S3.9

AWSManagedServices-EnableBucketAccessLogging(document SSM par défaut pour les modes d'exécution automatique et manuel)

La journalisation des accès au serveur Amazon S3 est activée.

  • TargetBucket: nom du compartiment S3 pour stocker les journaux d'accès au serveur.

  • TargetObjectKeyFormat: format de clé Amazon S3 pour les objets du journal (les valeurs distinguent les majuscules et minuscules). Pour utiliser le format simple des clés S3 pour les objets du journal, choisissezSimplePrefix. Pour utiliser la clé S3 partitionnée pour les objets du journal et EventTime pour le préfixe partitionné, choisissez. PartitionedPrefixEventTime Pour utiliser la clé S3 partitionnée pour les objets du journal et DeliveryTime pour le préfixe partitionné, choisissez. PartitionedPrefixDeliveryTime Les valeurs valides sont SimplePrefix, PartitionedPrefixEventTime et PartitionedPrefixDeliveryTime.

Pour activer la correction automatique, le paramètre préconfiguré suivant doit être fourni :. TargetBucket

Le compartiment de destination doit se trouver dans le même Région AWS compartiment Compte AWS que le compartiment source, avec les autorisations appropriées pour la livraison des journaux. Pour plus d'informations, consultez Activer la journalisation des accès au serveur Amazon S3.

Hs4Ma3G230 — La journalisation des accès au serveur de compartiments S3 doit être activée

AWS Security Hub Contrôle correspondant : S3.9

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 - La journalisation des compartiments Amazon S3 est activée.

  • TargetBucketTagKey: nom du tag (distinguant majuscules et minuscules) permettant d'identifier le compartiment cible. Utilisez-le et TargetBucketTagValuepour étiqueter le compartiment à utiliser comme compartiment de destination pour la journalisation des accès.

  • TargetBucketTagValue: valeur de balise (sensible aux majuscules et minuscules) pour identifier le compartiment cible, utilisez-la et TargetBucketTagKeypour étiqueter le compartiment à utiliser comme compartiment de destination pour la journalisation des accès.

  • TargetObjectKeyFormat: format de clé Amazon S3 pour les objets de journal (les valeurs distinguent majuscules et minuscules) : Pour utiliser le format simple des clés S3 pour les objets de journal, choisissez SimplePrefix. Pour utiliser la clé S3 partitionnée pour les objets du journal et EventTime pour le préfixe partitionné, choisissez. PartitionedPrefixEventTime Pour utiliser la clé S3 partitionnée pour les objets du journal et DeliveryTime pour le préfixe partitionné, choisissez. PartitionedPrefixDeliveryTime La valeur par défaut est PartitionedPrefixEventTime.

Pour activer la correction automatique, les paramètres suivants doivent être fournis : TargetBucketTagKeyet TargetBucketTagValue.

Le compartiment de destination doit se trouver dans le même Région AWS compartiment Compte AWS que le compartiment source, avec les autorisations appropriées pour la livraison des journaux. Pour plus d'informations, consultez Activer la journalisation des accès au serveur Amazon S3.

Pfx 0 RwqBli

Autorisations pour le compartiment Amazon S3

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

Blocage de l'accès public

Aucun paramètre préconfiguré n'est autorisé.

Cette vérification repose sur plusieurs critères d'alerte. Cette automatisation permet de résoudre les problèmes d'accès public. La correction des autres problèmes de configuration signalés par Trusted Advisor n'est pas prise en charge. Cette correction prend en charge la correction des compartiments S3 Service AWS créés (par exemple, cf-templates-000000000000).

Hs4Ma3G272 - Les utilisateurs ne doivent pas avoir d'accès root aux instances de bloc-notes SageMaker

AWS Security Hub Contrôle correspondant : SageMaker3.

AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess

L'accès root pour les utilisateurs est désactivé pour les instances de SageMaker bloc-notes.

Aucun paramètre préconfiguré n'est autorisé.

Cette correction entraîne une panne si l'instance du SageMaker bloc-notes est dans InService cet état.

Hs4Ma3G179 - Les sujets SNS doivent être chiffrés au repos en utilisant AWS KMS

AWS Security Hub Contrôle correspondant : SNS.1

AWSManagedServices-EnableSNSEncryptionAtRest

La rubrique SNS est configurée avec le chiffrement côté serveur.

KmsKeyId: ID d'une clé principale client (CMK) AWS gérée pour Amazon SNS ou d'une clé CMK personnalisée à utiliser pour le chiffrement côté serveur (SSE). La valeur par défaut est définie sur alias/aws/sns.

Si une AWS KMS clé personnalisée est utilisée, elle doit être configurée avec les autorisations appropriées. Pour plus d'informations, consultez Activer le chiffrement côté serveur (SSE) pour une rubrique Amazon SNS

Hs4Ma3G158 - Les documents SSM ne doivent pas être publics

AWS Security Hub Contrôle correspondant : SSM.4

AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing- Désactive le partage public du document SSM.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hs4Ma3G136 - Les files d'attente Amazon SQS doivent être chiffrées au repos

AWS Security Hub Chèque correspondant : SQS.1

AWSManagedServices-EnableSQSEncryptionAtRest

Les messages dans Amazon SQS sont chiffrés.

  • SqsManagedSseEnabled: défini sur true pour activer le chiffrement des files d'attente côté serveur à l'aide des clés de chiffrement détenues par Amazon SQS, défini sur pour activer le chiffrement des files d'attente côté serveur false à l'aide d'une clé. AWS KMS

  • KMSKeyID : ID ou alias d'une clé principale client (CMK) AWS gérée pour Amazon SQS ou d'une clé CMK personnalisée à utiliser pour le chiffrement côté serveur de la file d'attente. S'il n'est pas fourni, alias/aws/sqs est utilisé.

  • KmsDataKeyReusePeriodSeconds: durée, en secondes, pendant laquelle Amazon SQS peut réutiliser une clé de données pour chiffrer ou déchiffrer des messages avant de réappeler. AWS KMS Entier en secondes, compris entre 60 secondes (1 minute) et 86 400 secondes (24 heures). Ce paramètre est ignoré s'il SqsManagedSseEnabled est défini surtrue.

ReceiveMessage Les demandes anonymes SendMessage et envoyées à la file d'attente cryptée sont rejetées. Toutes les demandes adressées aux files d'attente avec le chiffrement SSE activé doivent utiliser HTTPS et Signature version 4.

Trusted Advisor contrôles de tolérance aux pannes pris en charge par Trusted Remediator

Identifiant et nom du chèque Nom du document SSM et résultat attendu Paramètres et contraintes préconfigurés pris en charge

c18d2gz138

Récupération d'Amazon DynamoDB Point-in-time

AWSManagedServices-TrustedRemediatorEnableDDBPITR

Permet point-in-time la restauration des tables DynamoDB.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

R365S2QDDF

Amazon S3 Bucket Versioning

AWSManagedServices-TrustedRemediatorEnableBucketVersioning

La gestion des versions des compartiments Amazon S3 est activée.

Aucun paramètre préconfiguré n'est autorisé.

Cette correction ne prend pas en charge la correction des compartiments S3 Service AWS créés (par exemple cf-templates-000000000000).

BueAdJ7NRP

Journalisation des compartiments Amazon S3

AWSManagedServices-EnableBucketAccessLogging

La journalisation des compartiments Amazon S3 est activée.

  • TargetBucket: nom du compartiment S3 pour stocker les journaux d'accès au serveur.

  • TargetObjectKeyFormat: format de clé Amazon S3 pour les objets de journal. Pour utiliser le format simple des clés S3 pour les objets de journal, choisissezSimplePrefix. Pour utiliser la clé S3 partitionnée pour les objets du journal et EventTime pour le préfixe partitionné, choisissez. PartitionedPrefixEventTime Pour utiliser la clé S3 partitionnée pour les objets du journal et DeliveryTime pour le préfixe partitionné, choisissez. PartitionedPrefixDeliveryTime L’argument par défaut est PartitionedPrefixEventTime. Les valeurs valides sontSimplePrefix, PartitionedPrefixEventTime et PartitionedPrefixDeliveryTime (distinguez majuscules et minuscules).

Pour activer la correction automatique, les paramètres préconfigurés suivants doivent être fournis :

  • TargetBucket

Le compartiment de destination doit se trouver dans le même Région AWS compartiment Compte AWS que le compartiment source, avec les autorisations appropriées pour la livraison des journaux. Pour plus d'informations, consultez Activer la journalisation des accès au serveur Amazon S3.

F2iK5R6DEP

Amazon RDS Multi-AZ

AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ

Le déploiement de zones de disponibilité multiple est activé.

Aucun paramètre préconfiguré n'est autorisé.

Une dégradation des performances est possible lors de cette modification.

H7 IgTzj TYb

Instantanés Amazon EBS

AWSManagedServices-TrustedRemediatorCreateEBSSnapshot

Amazon EBSsnapshots est créé.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

en QPADk ZVH

Sauvegardes RDS

AWSManagedServices-EnableRDSBackupRetention

La conservation des sauvegardes Amazon RDS est activée pour la base de données.

  • BackupRetentionPeriod: le nombre de jours (1 à 35) pendant lesquels les sauvegardes automatisées sont conservées.

  • ApplyImmediately: indique si le changement de rétention des sauvegardes RDS et les modifications en attente sont appliquées de manière asynchrone dès que possible. Choisissez true d'appliquer la modification immédiatement ou false de la planifier pour la fenêtre de maintenance suivante.

Si le ApplyImmediately paramètre est défini surtrue, les modifications en attente sur la base de données sont appliquées avec le paramètre de RDSBackup rétention.

c1qf5bt013

La mise à l'échelle automatique du stockage est désactivée sur les instances de base de données Amazon RDS

AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling- Le dimensionnement automatique du stockage est activé pour l'instance de base de données Amazon RDS.

Aucune contrainte

7q GXs KIUw

Vidange de la connexion Classic Load Balancer

AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining

Le drainage des connexions est activé pour Classic Load Balancer.

ConnectionDrainingTimeout: durée maximale, en secondes, pendant laquelle les connexions existantes restent ouvertes avant de désenregistrer les instances. La valeur par défaut est définie sur les 300 secondes.

Aucune contrainte

c18d2gz107

Amazon EBS n'est pas inclus dans le forfait AWS Backup

AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan

Amazon EBS est inclus dans le AWS Backup plan.

 La correction balise le volume Amazon EBS avec la paire de balises suivante. La paire de balises doit correspondre aux critères de sélection des ressources basés sur les balises pour AWS Backup.

  • TagKey

  • TagValue

Aucune contrainte

c18d2gz107

La table Amazon DynamoDB n'est pas incluse dans le forfait AWS Backup

AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlan

La table Amazon DynamoDB est incluse dans le plan. AWS Backup

La correction balise Amazon DynamoDB avec la paire de balises suivante. La paire de balises doit correspondre aux critères de sélection des ressources basés sur les balises pour AWS Backup.

  • TagKey

  • TagValue

Aucune contrainte

c18d2gz117

Amazon EFS n'est pas inclus dans le AWS Backup forfait

AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan

Amazon EFS est inclus dans le AWS Backup forfait.

 La correction balise Amazon EFS avec la paire de balises suivante. La paire de balises doit correspondre aux critères de sélection des ressources basés sur les balises pour AWS Backup.

  • TagKey

  • TagValue

Aucune contrainte

c18d2gz105

Équilibrage de charge entre zones sur les Network Load Balancers

AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing

L'équilibrage de charge entre zones est activé sur Network Load Balancer.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1qf5bt026

Le synchronous_commit paramètre Amazon RDS est désactivé

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Le paramètre synchronous_commit est activé pour Amazon RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1qf5bt030

Le innodb_flush_log_at_trx_commit paramètre Amazon RDS n'est pas 1

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Le paramètre innodb_flush_log_at_trx_commit est défini sur 1 pour Amazon RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1qf5bt031

Le sync_binlog paramètre Amazon RDS est désactivé

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Le paramètre sync_binlog est activé pour Amazon RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1qf5bt036

Le réglage des innodb_default_row_format paramètres Amazon RDS n'est pas sûr

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Le paramètre innodb_default_row_format est défini sur DYNAMIC pour Amazon RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c18d2gz145

La surveillance EC2 détaillée d'Amazon n'est pas activée

AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring

La surveillance détaillée est activée pour Amazon EC2.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Trusted Advisor contrôles de performance pris en charge par Trusted Remediator

Identifiant et nom du chèque Nom du document SSM et résultat attendu Paramètres et contraintes préconfigurés pris en charge

COr6dfpM06

AWS Lambda fonctions sous-provisionnées pour ce qui est de la taille de la mémoire

AWSManagedServices-ResizeLambdaMemory

La taille de mémoire des fonctions Lambda est redimensionnée selon la taille de mémoire recommandée fournie par. Trusted Advisor

RecommendedMemorySize: allocation de mémoire recommandée pour la fonction Lambda. La plage de valeurs est comprise entre 128 et 10240.

Si la taille de la fonction Lambda est modifiée avant l'exécution de l'automatisation, cette automatisation peut remplacer les paramètres par la valeur recommandée par. Trusted Advisor

ZRxQlPsb6c

EC2 Instances Amazon à haut taux d'utilisation

AWSManagedServices-ResizeInstanceByOneLevel

Les EC2 instances Amazon sont redimensionnées selon un type d'instance supérieur dans le même type de famille d'instances. Les instances sont arrêtées et démarrées pendant l'opération de redimensionnement et retournent à l'état initial une fois l'exécution terminée. Cette automatisation ne prend pas en charge le redimensionnement des instances qui se trouvent dans un Auto Scaling Group.

  • MinimumDaysSinceLastChange: le nombre minimum de jours écoulés depuis le dernier changement de type d'instance. Si le type d'instance a été modifié dans le délai spécifié, le type d'instance n'est pas modifié. 0À utiliser pour ignorer cette validation. L’argument par défaut est 7.

  • Créer un AMIBefore redimensionnement : pour créer l'AMI de l'instance en tant que sauvegarde avant le redimensionnement, choisissez. true Pour ne pas créer de sauvegarde, choisissezfalse. L’argument par défaut est false. Les valeurs valides sont true et false (distinction majuscules et minuscules).

  • ResizeIfStopped: Pour procéder au changement de taille de l'instance, même si l'instance est dans un état arrêté, choisisseztrue. Pour ne pas redimensionner automatiquement l'instance en cas d'arrêt, choisissezfalse. Les valeurs valides sont true et false (distinction majuscules et minuscules).

Aucune contrainte

c1qf5bt021

innodb_change_bufferingParamètre Amazon RDS utilisant une valeur inférieure à la valeur optimale

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

La valeur du innodb_change_buffering paramètre est définie sur NONE Amazon RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1qf5bt025

Le autovacuum paramètre Amazon RDS est désactivé

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Le paramètre autovacuum est activé pour Amazon RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1qf5bt028

Le enable_indexonlyscan paramètre Amazon RDS est désactivé

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Le paramètre enable_indexonlyscan est activé pour Amazon RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1qf5bt029

Le enable_indexscan paramètre Amazon RDS est désactivé

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Le paramètre enable_indexscan est activé pour Amazon RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1qf5bt032

Le innodb_stats_persistent paramètre Amazon RDS est désactivé

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Le paramètre innodb_stats_persistent est activé pour Amazon RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1qf5bt037

Le general_logging paramètre Amazon RDS est activé

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Le paramètre general_logging est désactivé pour Amazon RDS.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Trusted Advisor vérifications des limites de service prises en charge par Trusted Remediator

Identifiant et nom du chèque Nom du document SSM et résultat attendu Paramètres et contraintes préconfigurés pris en charge

Ln7RR0L7J9

EC2-Adresse IP élastique VPC

AWSManagedServices-UpdateVpcElasticIPQuota

Une nouvelle limite pour les adresses IP élastiques EC2 -VPC est demandée. Par défaut, la limite est augmentée de 3.

Incrément : nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est 3.

Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le OK statut, il se peut qu'il y ait une augmentation de la limite plus élevée.

Km7QQ0L7J9

Passerelles Internet VPC

AWSManagedServices-IncreaseServiceQuota- Une nouvelle limite pour les passerelles Internet VPC est demandée. Par défaut, la limite est augmentée de trois.

Incrément : nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est 3.

Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le OK statut, il se peut qu'il y ait une augmentation de la limite plus élevée.

JL7PP0L7J9

VPC

AWSManagedServices-IncreaseServiceQuota

Une nouvelle limite pour le VPC est demandée. Par défaut, la limite est augmentée de 3.

Incrément : nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est 3.

Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le OK statut, il se peut qu'il y ait une augmentation de la limite plus élevée.

Fw7HH0L7J9

Groupes Auto Scaling

AWSManagedServices-IncreaseServiceQuota

Une nouvelle limite pour les groupes Auto Scaling est demandée. Par défaut, la limite est augmentée de 3.

Incrément : nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est 3.

Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le OK statut, il se peut qu'il y ait une augmentation de la limite plus élevée.

3 Njm0 DJQO9

Groupes d'options RDS

AWSManagedServices-IncreaseServiceQuota

Une nouvelle limite pour les groupes d'options Amazon RDS est demandée. Par défaut, la limite est augmentée de 3.

Incrément : nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est 3.

Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le OK statut, il se peut qu'il y ait une augmentation de la limite plus élevée.

EM8b3yLRTr

ELB Application Load Balancers

AWSManagedServices-IncreaseServiceQuota

Une nouvelle limite pour les équilibreurs de charge d'application ELB est demandée. Par défaut, la limite est augmentée de 3.

Incrément : nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est 3.

Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le OK statut, il se peut qu'il y ait une augmentation de la limite plus élevée.

8 WiQ K YSt25

Dispositifs d'équilibrage de charge de réseau ELB

AWSManagedServices-IncreaseServiceQuota

Une nouvelle limite pour les équilibreurs de charge réseau ELB est demandée. Par défaut, la limite est augmentée de 3.

Incrément : nombre nécessaire pour augmenter le quota actuel. L’argument par défaut est 3.

Si cette automatisation est exécutée plusieurs fois avant que le Trusted Advisor contrôle ne soit mis à jour avec le OK statut, il se peut qu'il y ait une augmentation de la limite plus élevée.

Trusted Advisor contrôles d'excellence opérationnelle pris en charge par Trusted Remediator

Identifiant et nom du chèque Nom du document SSM et résultat attendu Paramètres et contraintes préconfigurés pris en charge

c18d2gz125

Amazon API Gateway ne consigne pas les journaux d'exécution

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

La journalisation de l'exécution est activée au stade de l'API.

Aucun paramètre préconfiguré n'est autorisé.

Vous devez autoriser API Gateway à lire et à écrire les journaux de votre compte afin CloudWatch d'activer le journal d'exécution. Reportez-vous à la section Configurer la CloudWatch journalisation pour REST APIs dans API Gateway pour plus de détails.

c18d2gz168

La protection contre la suppression d'Elastic Load Balancing n'est pas activée pour les équilibreurs de charge

AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection- La protection contre la suppression est activée pour Elastic Load Balancer.

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

c1qf5bt012

Amazon RDS Performance Insights est désactivé

AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights

Performance Insights est activé pour Amazon RDS.

  • PerformanceInsightsRetentionPeriod: le nombre de jours pendant lesquels les données Performance Insights sont conservées. Valeurs valides : 7 ou mois * 31, où le mois est un nombre de mois compris entre 1 et 23. Exemples : 93 (3 mois* 31), 341 (11 mois* 31), 589 (19 mois* 31) ou731.

  • PerformanceInsightsKMSKeyID : identifiant AWS KMS clé pour le chiffrement des données Performance Insights. Si vous ne spécifiez aucune valeur pour PerformanceInsights KMSKey Id, Amazon RDS utilise votre AWS KMS clé par défaut.

Aucune contrainte

c1fd6b96l4

Journaux d'accès Amazon S3 activés

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2

La journalisation des accès au compartiment Amazon S3 est activée.

  • TargetBucketTagValue: valeur de balise (sensible aux majuscules et minuscules) pour identifier le compartiment cible, utilisez-la et TargetBucketTagKey pour étiqueter le compartiment à utiliser comme compartiment de destination pour la journalisation des accès.

  • TargetObjectKeyFormat: format de clé Amazon S3 pour les objets du journal (les valeurs distinguent les majuscules et minuscules). Pour utiliser le format simple des clés S3 pour les objets du journal, choisissezSimplePrefix. Pour utiliser la clé S3 partitionnée pour les objets du journal et EventTime pour le préfixe partitionné, choisissez. PartitionedPrefixEventTime Pour utiliser la clé S3 partitionnée pour les objets du journal et DeliveryTime pour le préfixe partitionné, choisissez. PartitionedPrefixDeliveryTime Les valeurs valides sont SimplePrefix, PartitionedPrefixEventTime et PartitionedPrefixDeliveryTime.

Pour activer la correction automatique, le paramètre préconfiguré suivant doit être fourni : TargetBucketTagKeyet. TargetBucketTagValue

Le compartiment de destination doit se trouver dans le même Région AWS compartiment Compte AWS que le compartiment source, avec les autorisations appropriées pour la livraison des journaux. Pour plus d'informations, consultez Activer la journalisation des accès au serveur Amazon S3.