": {
...
}
}
```
+ **ResourceType**: Kunci ini harus menjadi salah satu string yang didukung berikut. Konfigurasi dalam objek JSON ini hanya akan berhubungan dengan jenis AWS sumber daya yang ditentukan. Jenis sumber daya yang didukung:
```
AWS::EC2::Instance
AWS::EC2::Instance::Disk
AWS::RDS::DBInstance
AWS::RDS::DBCluster
AWS::Elasticsearch::Domain
AWS::OpenSearch::Domain
AWS::Redshift::Cluster
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::ElasticLoadBalancingV2::LoadBalancer::TargetGroup
AWS::ElasticLoadBalancing::LoadBalancer
AWS::FSx::FileSystem::ONTAP
AWS::FSx::FileSystem::ONTAP::Volume
AWS::FSx::FileSystem::Windows
AWS::EFS::FileSystem
AWS::EC2::NatGateway
AWS::EC2::VPNConnection
```
+ **ConfigurationId**: Kunci ini harus unik di profil, dan secara unik menamai blok konfigurasi berikut. Jika dua blok konfigurasi di blok yang sama memiliki **ConfigurationId** yang sama, **ResourceType**blok yang muncul terbaru di profil akan berlaku. Jika Anda menentukan **ConfigurationId** di profil penyesuaian Anda yang sama dengan yang ditentukan dalam profil default, blok konfigurasi yang ditentukan dalam profil penyesuaian akan berlaku.
+ **Diaktifkan**: (opsional, default=true) Tentukan apakah blok konfigurasi akan berlaku. Setel ini ke false untuk menonaktifkan blok konfigurasi. Blok konfigurasi yang dinonaktifkan berperilaku seolah-olah tidak ada di profil.
+ **Tag**: Tentukan tag yang berlaku untuk definisi alarm ini. Sumber daya apa pun (dari jenis sumber daya yang sesuai) yang memiliki kunci dan nilai tag ini akan memiliki CloudWatch alarm yang dibuat dengan definisi yang diberikan. Bidang ini adalah objek JSON dengan bidang berikut:
+ **Kunci**: Kunci tag yang cocok. Perlu diingat bahwa jika Anda menggunakan Resource Tagger untuk menerapkan tag ke sumber daya, kunci untuk tag akan selalu dimulai dengan **ams:rt**:.
+ **Nilai**: Nilai tag yang cocok.
+ **AlarmDefinition**: Mendefinisikan alarm yang akan dibuat. Ini adalah objek JSON yang bidangnya diteruskan sebagaimana adanya ke panggilan CloudWatch `PutMetricAlarm` API (dengan pengecualian pseudoparameter; untuk informasi lebih lanjut, lihat). [Mempercepat profil Konfigurasi: substitusi pseudoparameter](acc-mem-config-doc-sub.md) Untuk informasi tentang bidang apa yang diperlukan, lihat [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)dokumentasi.
ATAU
**CompositeAlarmDefinition**: Mendefinisikan alarm komposit yang akan dibuat. Saat Anda membuat alarm komposit, Anda menentukan ekspresi aturan untuk alarm yang memperhitungkan status alarm alarm lain yang telah Anda buat. Ini adalah objek JSON yang bidangnya diteruskan apa adanya ke. `CloudWatchPutCompositeAlarm` Alarm gabungan tersebut akan beralih ke status ALARM hanya jika semua ketentuan yang ada dalam aturan itu terpenuhi. Alarm yang ditentukan dalam sebuah ekspresi aturan alarm gabungan dapat mencakup alarm-alarm metrik dan alarm-alarm gabungan lainnya. Untuk informasi tentang bidang apa yang diperlukan, lihat [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)dokumentasi.
Kedua opsi menyediakan bidang berikut:
+ **AlarmName**: Tentukan nama alarm yang ingin Anda buat untuk sumber daya. Bidang ini memiliki semua aturan yang sama seperti yang ditentukan dalam [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)dokumentasi; Namun, karena nama alarm harus unik di Wilayah, Manajer Alarm memiliki satu persyaratan tambahan: Anda harus menentukan pseudoparameter pengidentifikasi unik dalam nama alarm (jika tidak, Manajer Alarm menambahkan pengenal unik sumber daya ke bagian depan nama alarm). Misalnya, untuk jenis **AWS::EC2::Instance**sumber daya, Anda harus menentukan `${EC2::InstanceId}` dalam nama alarm, atau secara implisit ditambahkan pada awal nama alarm. Untuk daftar pengidentifikasi, lihat[Mempercepat profil Konfigurasi: substitusi pseudoparameter](acc-mem-config-doc-sub.md).
Semua bidang lainnya adalah seperti yang ditentukan dalam [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)atau [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)dokumentasi.
+ **AlarmRule**: Tentukan alarm lain mana yang akan dievaluasi untuk menentukan status alarm komposit ini. Untuk setiap alarm yang Anda referensikan, alarm tersebut harus ada di CloudWatch atau ditentukan dalam profil konfigurasi Manajer Alarm di akun Anda.
**penting**
Anda dapat menentukan salah satu **AlarmDefinition**atau **CompositeAlarmDefinition**dalam dokumen konfigurasi Manajer Alarm Anda, tetapi keduanya tidak dapat digunakan pada saat yang sama.
Dalam contoh berikut, sistem membuat alarm ketika dua alarm metrik yang ditentukan melebihi ambang batasnya:
```
{
"AWS::EC2::Instance": {
"LinuxResourceAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"CompositeAlarmDefinition": {
"AlarmName": "${EC2::InstanceId} Resource Usage High",
"AlarmDescription": "Alarm when a linux EC2 instance is using too much CPU and too much Disk",
"AlarmRule": "ALARM(\"${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}\") AND ALARM(\"${EC2::InstanceId}: CPU Too High\")"
}
}
}
}
```
**penting**
Ketika Manajer Alarm tidak dapat membuat atau menghapus alarm karena konfigurasi rusak, ia mengirimkan pemberitahuan ke topik SNS **Direct-Customer-Alerts**. Alarm ini disebut **AlarmDependencyError**.
Kami sangat menyarankan agar Anda mengonfirmasi langganan Anda ke topik SNS ini. Untuk menerima pesan yang dipublikasikan ke [suatu topik](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html), Anda harus [berlangganan titik akhir](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html#sns-endpoints) ke topik tersebut. Untuk detailnya, lihat [Langkah 1: Membuat topik](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#step-create-queue).
**catatan**
Saat alarm Deteksi Anomali dibuat, Manajer Alarm secara otomatis membuat Model Deteksi Anomali yang diperlukan untuk metrik yang ditentukan. Saat alarm Deteksi Anomali dihapus, Manajer Alarm tidak menghapus Model Deteksi Anomali terkait.
[Amazon CloudWatch membatasi jumlah Model Deteksi Anomali](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) yang dapat Anda miliki di Wilayah tertentu AWS . Jika Anda melebihi kuota model, maka Alarm Manager tidak akan membuat Alarm Deteksi Anomali baru. Anda harus menghapus model yang tidak digunakan, atau bekerja dengan mitra AMS Anda untuk meminta peningkatan batas.
**Banyak definisi alarm dasar yang disediakan AMS Accelerate mencantumkan topik SNS, topik MMS, sebagai target.** Ini untuk digunakan dalam layanan pemantauan AMS Accelerate, dan merupakan mekanisme transportasi untuk pemberitahuan alarm Anda untuk sampai ke AMS Accelerate. Jangan tentukan **topik MMS** sebagai target untuk alarm apa pun selain yang disediakan di baseline (dan penggantian yang sama), karena layanan mengabaikan alarm yang tidak diketahui. Ini **tidak** mengakibatkan AMS Accelerate bekerja pada alarm khusus Anda.
# Mempercepat profil Konfigurasi: substitusi pseudoparameter
Di salah satu profil konfigurasi, Anda dapat menentukan pseudoparameter yang diganti sebagai berikut:
+ Global - di mana saja di profil:
+ \$1 \$1AWS::AccountId\$1: Diganti dengan ID AWS akun Anda
+ \$1 \$1AWS::Partition\$1: Diganti dengan partisi sumber daya di (ini adalah 'aws' untuk sebagian besar Wilayah); untuk informasi lebih lanjut, lihat entri untuk partisi di referensi [ARN](https://docs.amazonaws.cn/en_us/general/latest/gr/aws-arns-and-namespaces.html). Wilayah AWS
+ \$1 \$1AWS::Region\$1: Diganti dengan nama Wilayah Wilayah tempat sumber daya Anda digunakan (misalnya us-east-1)
+ Di blok tipe **AWS::EC2::Instance**sumber daya:
+ \$1 \$1EC2::InstanceId\$1: (**identifier**) diganti dengan ID instans Amazon EC2 Anda.
+ \$1 \$1EC2::InstanceName\$1: diganti dengan nama EC2 instans Amazon Anda.
+ Dalam blok tipe sumber daya **AWS::EC2::Instance: :Disk:**
+ \$1 \$1EC2::InstanceId\$1: (**identifier**) Diganti dengan ID instans Amazon EC2 Anda.
+ \$1 \$1EC2::InstanceName\$1: Diganti dengan nama EC2 instans Amazon Anda.
+ \$1 \$1EC2: :Disk: :Device\$1: (**identifier**) Diganti dengan nama disk. (Hanya Linux, pada instance yang dikelola oleh [CloudWatch Agen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)).
+ \$1 \$1EC2: :Disk::FSType\$1: (**identifier**) Digantikan oleh jenis sistem file disk. (Hanya Linux, pada instance yang dikelola oleh [ CloudWatchAgent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)).
+ \$1 \$1EC2: :Disk: :Path\$1: (**identifier**) Digantikan oleh jalur disk. Di Linux, ini adalah titik pemasangan disk (misalnya,/), sedangkan di Windows ini adalah label drive (misalnya, c:/) (hanya pada instance yang dikelola oleh [CloudWatch Agen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)).
+ \$1 \$1EC2: :Disk: :UUID\$1: (**identifier**) Digantikan oleh UUID yang dihasilkan yang secara unik mengidentifikasi disk, ini harus ditentukan dalam nama alarm, karena alarm di bawah tipe sumber daya akan membuat satu alarm per volume. AWS::EC2::Instance::Disk Menentukan \$1 \$1EC2: :Disk: :UUID\$1 akan mempertahankan keunikan nama alarm.
+ Di blok tipe **AWS::EKS::Cluster**sumber daya:
+ \$1 \$1EKS::ClusterName\$1: (**identifier**) diganti dengan nama EKS Cluster Anda.
+ Di blok tipe **AWS::OpenSearch::Domain**sumber daya:
+ \$1 \$1OpenSearch::DomainName\$1: (**pengenal**) diganti dengan nama Domain EKS Anda.
+ Di blok tipe **AWS::ElasticLoadBalancing::LoadBalancer**sumber daya:
+ \$1 \$1ElasticLoadBalancing::LoadBalancer: :Name\$1: (**identifier**) diganti dengan nama Load Balancer V1 Anda.
+ Di blok tipe **AWS::ElasticLoadBalancingV2::LoadBalancer**sumber daya:
+ \$1 \$1ElasticLoadBalancingV2::LoadBalancer: :Arn\$1: (**identifier**) digantikan oleh ARN Load Balancer V2 Anda.
+ \$1 \$1ElasticLoadBalancingV2::LoadBalancer: :Name\$1: (**identifier**) diganti dengan nama Load Balancer V2 Anda.
+ \$1 \$1ElasticLoadBalancingV2::LoadBalancer::FullName\$1: (**identifier**) diganti dengan nama lengkap Load Balancer V2 Anda.
+ Dalam blok tipe TargetGroup sumber daya **AWS::ElasticLoadBalancingV2::LoadBalancer:**:
+ \$1 \$1ElasticLoadBalancingV2::TargetGroup::FullName\$1: (**identifier**) diganti dengan nama grup target Load Balancer V2 Anda.
+ \$1 \$1ElasticLoadBalancingV2::TargetGroup: :UUID\$1: (**identifier**) diganti dengan UUID yang dihasilkan untuk Load Balancer V2 Anda.
+ Di blok tipe **AWS::EC2::NatGateway**sumber daya:
+ \$1 \$1NatGateway::NatGatewayId\$1: (**identifier**) digantikan oleh NAT Gateway ID.
+ Dalam blok tipe DBInstance sumber daya **AWS: :RDS:::**
+ \$1 \$1RDS:: DBInstance Identifier\$1: (**identifier**) diganti dengan pengidentifikasi instans RDS DB Anda.
+ Dalam blok tipe DBCluster sumber daya **AWS: :RDS:::**
+ \$1 \$1RDS:: DBCluster Identifier\$1: (**identifier**) digantikan oleh pengidentifikasi cluster RDS DB Anda.
+ Di blok tipe **AWS::Redshift::Cluster**sumber daya:
+ \$1 \$1Redshift::ClusterIdentifier\$1: (**identifier**) diganti dengan pengidentifikasi cluster Redshift Anda.
+ Di blok tipe **AWS::Synthetics::Canary**sumber daya:
+ \$1 \$1Synthetics::CanaryName\$1: (**identifier**) diganti dengan nama kenari CloudWatch Synthetics Anda.
+ Dalam blok tipe VPNConnection sumber daya **AWSEC2:::**:::
+ \$1 \$1AWS::EC2::VpnConnectionId\$1: (**pengenal**) diganti dengan ID VPN Anda.
+ Di blok tipe **AWS::EFS::FileSystem**sumber daya:
+ \$1 \$1EFS::FileSystemId\$1: (**identifier**) Digantikan oleh ID sistem file dari sistem file EFS Anda.
+ Dalam blok tipe sumber daya **AWS::FSx::FileSystem: :ONTAP**:
+ \$1 \$1FSx::FileSystemId\$1: (**identifier**) Digantikan oleh ID sistem file file FSX Anda.
+ \$1 \$1FSx::FileSystem: :Throughput\$1: Digantikan oleh throughput sistem file FSX Anda.
+ \$1 \$1FSx::FileSystem: :Iops\$1: Digantikan oleh IOPS dari sistem file FSX.
+ Dalam blok tipe sumber daya **AWS::FSx::FileSystem: :ONTAP: :Volume**:
+ \$1 \$1FSx::FileSystemId\$1: (**identifier**) Digantikan oleh ID sistem file dari sistem file FSX Anda.
+ \$1 \$1FSx: :ONTAP::VolumeId\$1: (**identifier) Diganti** dengan ID volume.
+ Dalam blok tipe sumber daya **AWS::FSx::FileSystem: :Windows:**
+ \$1 \$1FSx::FileSystemId\$1: (**identifier**) Digantikan oleh ID sistem file dari sistem file FSX Anda.
+ \$1 \$1FSx::FileSystem: :Throughput\$1: Digantikan oleh throughput sistem file FSX Anda.
**catatan**
Semua parameter yang ditandai dengan **pengenal** digunakan sebagai awalan untuk nama alarm yang dibuat, kecuali Anda menentukan pengenal itu dalam nama alarm.
# Mempercepat contoh konfigurasi alarm
Dalam contoh berikut, sistem membuat alarm untuk setiap disk yang terpasang pada instance Linux yang cocok.
```
{
"AWS::EC2::Instance::Disk": {
"LinuxDiskAlarm": {
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "disk_used_percent",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "device",
"Value": "${EC2::Disk::Device}"
},
{
"Name": "fstype",
"Value": "${EC2::Disk::FSType}"
},
{
"Name": "path",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
Dalam contoh berikut, sistem membuat alarm untuk setiap disk yang terpasang pada instance Windows yang cocok.
```
{
"AWS::EC2::Instance::Disk": {
"WindowsDiskAlarm": {
"Tag": {
"Key": "ams:rt:mywindowsinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "LogicalDisk % Free Space",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "objectname",
"Value": "LogicalDisk"
},
{
"Name": "instance",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
# Melihat konfigurasi Accelerate Alarm Manager
Baik **AMSManagedAlarm** dan **CustomerManagedAlarms**dapat ditinjau AppConfig dengan [GetConfiguration](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_GetConfiguration.html).
Berikut ini adalah contoh `GetConfiguration` panggilan:
```
aws appconfig get-configuration --application AMSAlarmManager --environment AMSInfrastructure --configuration AMSManagedAlarms --client-id
any-string outfile.json
```
+ **Aplikasi**: ini adalah AppConfig unit logis untuk menyediakan kemampuan; untuk Manajer Alarm, ini `AMSAlarmManager`
+ **Lingkungan**: ini adalah AMSInfrastructure lingkungan
+ **Konfigurasi**: untuk melihat AMS Mempercepat alarm dasar, nilainya adalah`AMSManagedAlarms`; untuk melihat definisi alarm pelanggan, konfigurasinya adalah `CustomerManagedAlarms`
+ **ID Klien**: ini adalah pengidentifikasi instance aplikasi unik, yang dapat berupa string apa pun
+ Definisi alarm dapat dilihat dalam file output yang ditentukan, yang dalam hal ini `outfile.json`
Anda dapat melihat versi konfigurasi mana yang digunakan ke akun Anda dengan melihat penerapan sebelumnya di lingkungan. AMSInfrastructure
# Mengubah konfigurasi Accelerate alarm
Untuk menambahkan atau memperbarui definisi alarm baru, Anda dapat menerapkan dokumen konfigurasi[Menggunakan CloudFormation untuk menerapkan Mempercepat perubahan konfigurasi](acc-mem-deploy-change-cfn.md), atau menjalankan API. [CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)
Ini adalah perintah baris perintah Linux yang menghasilkan nilai parameter di base64, yang diharapkan oleh perintah AppConfig CLI. Untuk informasi, lihat AWS CLI dokumentasi, [Binary/Blob (objek besar biner)](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob).
Sebagai contoh:
```
aws appconfig create-hosted-configuration-version --application-id application-id --configuration-profile-id configuration-profile-id --content base64-string
--content-type application/json
```
+ **ID Aplikasi:** ID aplikasi AMS AlarmManager; Anda dapat menemukannya dengan panggilan [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)API.
+ **ID Profil Konfigurasi**: ID konfigurasi CustomerManagedAlarms; Anda dapat menemukannya dengan panggilan [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)API.
+ **Konten**[: String Base64 dari konten, yang akan dibuat dengan membuat dokumen dan menyandikannya di base64: cat alarms-v2.json \$1 base64 (lihat Binary/Blob (objek besar biner)).](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob)
**Jenis Konten**: Jenis MIME, `application/json` karena definisi alarm ditulis dalam JSON.
**penting**
Batasi akses ke tindakan [StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)API [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)dan pengguna tepercaya yang memahami tanggung jawab dan konsekuensi penerapan konfigurasi baru ke target Anda.
Untuk mempelajari lebih lanjut tentang cara menggunakan AppConfig fitur AWS untuk membuat dan menerapkan konfigurasi, lihat [Bekerja dengan AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html).
# Memodifikasi konfigurasi default Accelerate alarm
Meskipun Anda tidak dapat mengubah profil konfigurasi default, Anda dapat memberikan penggantian ke default dengan menentukan blok konfigurasi di profil penyesuaian Anda dengan ConfigurationId yang sama dengan blok **konfigurasi** default. Jika Anda melakukan ini, seluruh blok konfigurasi Anda akan menimpa blok konfigurasi default untuk konfigurasi penandaan yang akan diterapkan.
Misalnya, pertimbangkan profil konfigurasi default berikut:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 5,
...
}
}
}
}
```
Untuk mengubah ambang alarm ini menjadi 10, **Anda harus memberikan seluruh definisi alarm**, tidak hanya bagian yang ingin Anda ubah. Misalnya, Anda dapat memberikan profil penyesuaian berikut:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 10,
...
}
}
}
}
```
**penting**
Ingatlah untuk menerapkan perubahan konfigurasi Anda setelah Anda membuatnya. Di SSM AppConfig, Anda harus menerapkan versi konfigurasi baru setelah membuatnya.
# Menyebarkan Mempercepat perubahan konfigurasi alarm
Setelah Anda menyelesaikan kustomisasi, Anda perlu menerapkannya, baik dengan AppConfig atau CloudFormation.
**Topics**
+ [Menggunakan AppConfig untuk menyebarkan Mempercepat perubahan konfigurasi alarm](acc-mem-deploy-change-appconfig.md)
+ [Menggunakan CloudFormation untuk menerapkan Mempercepat perubahan konfigurasi](acc-mem-deploy-change-cfn.md)
# Menggunakan AppConfig untuk menyebarkan Mempercepat perubahan konfigurasi alarm
Setelah kustomisasi selesai, gunakan AppConfig untuk menyebarkan perubahan Anda dengan [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html).
```
aws appconfig start-deployment --application-id application_id
--environment-id environment_id Vdeployment-strategy-id
deployment_strategy_id --configuration-profile-id configuration_profile_id --configuration-version 1
```
+ **ID Aplikasi**: ID aplikasi`AMSAlarmManager`, Anda dapat menemukan ini dengan panggilan [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)API.
+ **ID Lingkungan**: Anda dapat menemukan ini dengan panggilan [ListEnvironments](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListEnvironments.html)API.
+ **ID Strategi Penerapan**: Anda dapat menemukannya dengan panggilan [ListDeploymentStrategies](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListDeploymentStrategies.html)API.
+ **ID Profil Konfigurasi**: ID dari`CustomerManagedAlarms`; Anda dapat menemukan ini dengan panggilan [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)API.
+ **Versi Konfigurasi**: Versi profil konfigurasi yang akan digunakan.
**penting**
Manajer Alarm menerapkan definisi alarm sebagaimana ditentukan dalam profil konfigurasi. Setiap modifikasi manual yang Anda buat dengan Konsol Manajemen AWS atau CloudWatch CLI/SDK ke CloudWatch alarm secara otomatis dikembalikan kembali, jadi pastikan perubahan Anda ditentukan melalui Manajer Alarm. Untuk memahami alarm mana yang dibuat oleh Manajer Alarm, Anda dapat mencari `ams:alarm-manager:managed` tag dengan nilai`true`.
Batasi akses ke tindakan [ StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)API [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)dan pengguna tepercaya yang memahami tanggung jawab dan konsekuensi penerapan konfigurasi baru ke target Anda.
Untuk mempelajari lebih lanjut tentang cara menggunakan AppConfig fitur AWS untuk membuat dan menerapkan konfigurasi, lihat [ AppConfig dokumentasi AWS](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html).
# Menggunakan CloudFormation untuk menerapkan Mempercepat perubahan konfigurasi
Jika Anda ingin menerapkan profil `CustomerManagedAlarms` konfigurasi Anda menggunakan CloudFormation, Anda dapat menggunakan CloudFormation template berikut. Letakkan konfigurasi JSON yang Anda inginkan di `AMSAlarmManagerConfigurationVersion.Content` lapangan.
Saat Anda menerapkan template dalam CloudFormation Stack atau Stack Set, penyebaran `AMSResourceTaggerDeployment` sumber daya akan gagal jika Anda belum mengikuti format JSON yang diperlukan untuk konfigurasi. Lihat [Mempercepat profil Konfigurasi: pemantauan](acc-mem-config-doc-format.md) detail tentang format yang diharapkan.
Untuk bantuan dalam menerapkan templat ini sebagai kumpulan CloudFormation tumpukan atau tumpukan, lihat CloudFormation dokumentasi AWS yang relevan di bawah ini:
+ [Membuat tumpukan di CloudFormation konsol AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
+ [Membuat tumpukan dengan AWS CLI](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-cli-creating-stack.html)
+ [Membuat set tumpukan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)
**catatan**
Jika Anda menerapkan versi konfigurasi menggunakan salah satu templat ini, dan kemudian menghapus kumpulan CloudFormation tumpukan/tumpukan, versi konfigurasi templat akan tetap sebagai versi yang diterapkan saat ini, dan tidak ada penerapan tambahan yang akan dilakukan. Jika Anda ingin kembali ke konfigurasi default, Anda harus menerapkan konfigurasi kosong secara manual (yaitu hanya \$1\$1), atau memperbarui tumpukan Anda ke konfigurasi kosong, daripada menghapus tumpukan.
**JSON**
```
{
"Description": "Custom configuration for the AMS Alarm Manager.",
"Resources": {
"AMSAlarmManagerConfigurationVersion": {
"Type": "AWS::AppConfig::HostedConfigurationVersion",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"Content": "{}",
"ContentType": "application/json"
}
},
"AMSAlarmManagerDeployment": {
"Type": "AWS::AppConfig::Deployment",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"ConfigurationVersion": {
"Ref": "AMSAlarmManagerConfigurationVersion"
},
"DeploymentStrategyId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-Deployment-StrategyID"
},
"EnvironmentId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-EnvironmentId"
}
}
}
}
}
```
**YAML**
```
Description: Custom configuration for the AMS Alarm Manager.
Resources:
AMSAlarmManagerConfigurationVersion:
Type: AWS::AppConfig::HostedConfigurationVersion
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
Content: |
{
}
ContentType: application/json
AMSAlarmManagerDeployment:
Type: AWS::AppConfig::Deployment
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
ConfigurationVersion:
!Ref AMSAlarmManagerConfigurationVersion
DeploymentStrategyId:
!ImportValue AMS-Alarm-Manager-Configuration-Deployment-StrategyID
EnvironmentId:
!ImportValue AMS-Alarm-Manager-Configuration-EnvironmentId
```
# Menggulung kembali Mempercepat perubahan alarm
[Anda dapat memutar kembali definisi alarm melalui mekanisme penerapan yang sama dengan menentukan versi profil konfigurasi sebelumnya dan menjalankannya. StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)
# Mempertahankan Mempercepat alarm
Ketika sumber daya yang dipantau oleh AMS dihapus, alarm apa pun yang dibuat oleh Manajer Alarm untuk sumber daya tersebut akan dihapus secara otomatis oleh Manajer Alarm. Jika Anda perlu menyimpan alarm tertentu untuk tujuan audit, kepatuhan, atau historis, gunakan kemampuan penandaan tetap Manajer Alarm.
Untuk mempertahankan alarm bahkan setelah sumber daya yang dipantau dihapus, tambahkan `"ams:alarm-manager:retain" ` tag ke konfigurasi kustom alarm seperti yang ditunjukkan pada contoh berikut.
```
{
"AWS::EC2::Instance": {
"AMSCpuAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: CPU Too High",
"AlarmDescription": "AMS Baseline Alarm for EC2 CPUUtilization",
[...]
"Tags": [
{
"Key": "ams:alarm-manager:retain",
"Value": "true"
}
]
}
}
}
}
```
Alarm yang dikonfigurasi dengan `"ams:alarm-manager:retain"` tag, tidak secara otomatis dihapus oleh Manajer Alarm ketika sumber daya yang dipantau dihentikan. Alarm yang dipertahankan tetap ada CloudWatch tanpa batas waktu sampai Anda menghapusnya secara manual menggunakan. CloudWatch
# Menonaktifkan konfigurasi alarm Percepat default
AMS Accelerate menyediakan profil konfigurasi default di akun Anda berdasarkan alarm dasar. Namun, konfigurasi default ini dapat dinonaktifkan dengan mengesampingkan salah satu definisi alarm. Anda dapat menonaktifkan aturan konfigurasi default dengan mengganti **ConfigurationId** aturan di profil konfigurasi kustomisasi Anda dan menentukan bidang yang diaktifkan dengan nilai false.
Misalnya, jika konfigurasi berikut hadir dalam profil konfigurasi default:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
...
}
}
}
```
Anda dapat menonaktifkan aturan penandaan ini dengan memasukkan yang berikut dalam profil konfigurasi kustomisasi Anda:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": false
}
}
}
```
Untuk membuat perubahan ini, [CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API harus dipanggil dengan dokumen profil JSON (lihat[Mengubah konfigurasi Accelerate alarm](acc-mem-change-am.md)) dan selanjutnya harus diterapkan (lihat[Menyebarkan Mempercepat perubahan konfigurasi alarm](acc-mem-deploy-change.md)). Perhatikan bahwa ketika Anda membuat versi konfigurasi baru, Anda juga harus menyertakan alarm kustom yang dibuat sebelumnya yang Anda inginkan dalam dokumen profil JSON.
**penting**
Saat AMS Accelerate memperbarui profil konfigurasi default, itu tidak dikalibrasi terhadap alarm kustom yang dikonfigurasi, jadi tinjau perubahan pada alarm default saat Anda menggantikannya di profil konfigurasi kustomisasi.
# Membuat CloudWatch alarm tambahan untuk Accelerate
Anda dapat membuat CloudWatch alarm tambahan untuk AMS Accelerate menggunakan CloudWatch metrik dan alarm khusus untuk instans Amazon. EC2
Menghasilkan skrip pemantauan aplikasi dan metrik kustom Anda. Untuk informasi selengkapnya dan akses ke skrip contoh, lihat [Memantau Memori dan Metrik Disk untuk Instans Amazon EC2 Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mon-scripts.html).
Skrip CloudWatch pemantauan untuk EC2 instans Amazon Linux menunjukkan cara memproduksi dan menggunakan metrik khusus CloudWatch . Sampel skrip Perl ini terdiri atas contoh yang berfungsi penuh yang melaporkan metrik pemanfaatan memori, swap, dan ruang disk untuk instans Linux.
**penting**
AMS Accelerate tidak memantau CloudWatch alarm yang dibuat oleh Anda.
# Melihat jumlah sumber daya yang dipantau oleh Manajer Alarm untuk Mempercepat
Manajer Alarm mengirimkan metrik setiap jam ke Amazon CloudWatch, di `AMS/AlarmManager` namespace. Metrik dipancarkan hanya untuk jenis sumber daya yang didukung oleh Manajer Alarm.
| Nama Metrik | Dimensi | Deskripsi |
| --- | --- | --- |
| ResourceCount | Komponen, ResourceType | Jumlah sumber daya (dari jenis sumber daya yang ditentukan) yang digunakan di Wilayah ini. Unit: Hitungan |
| ResourcesMissingManagedAlarms | Komponen, ResourceType | Jumlah sumber daya (dari jenis sumber daya tertentu) yang memerlukan alarm terkelola, tetapi Manajer Alarm belum menerapkan alarm. Unit: Hitungan |
| UnmanagedResources | Komponen, ResourceType | Jumlah sumber daya (dari jenis sumber daya yang ditentukan) yang tidak memiliki alarm terkelola yang diterapkan padanya oleh Manajer Alarm. Biasanya, sumber daya ini tidak cocok dengan blok konfigurasi Alarm Manager, atau secara eksplisit dikecualikan dari blok konfigurasi. Unit: Hitungan |
| MatchingResourceCount | Komponen, ResourceType, ConfigClauseName | Jumlah sumber daya (dari jenis sumber daya yang ditentukan) yang cocok dengan blok konfigurasi Manajer Alarm. Agar sumber daya cocok dengan blok konfigurasi, blok harus diaktifkan, dan sumber daya harus memiliki tag yang sama yang ditentukan dalam blok konfigurasi. Unit: Hitungan |
**Metrik ini juga dapat dilihat sebagai grafik, di dasbor AMS-Alarm-Manager-Reporting-.** Untuk melihat dasbor, dari konsol AWS CloudWatch manajemen, pilih **AMS-Alarm-Manager-Reporting-Dashboard**. Secara default, grafik di dasbor ini menampilkan data untuk periode 12 jam sebelumnya.
AMS Accelerate menyebarkan CloudWatch alarm ke akun Anda untuk mendeteksi peningkatan signifikan dalam jumlah sumber daya yang tidak dikelola, misalnya, sumber daya yang dikecualikan dari manajemen oleh AMS Alarm Manager. Operasi AMS akan menyelidiki peningkatan sumber daya yang tidak dikelola yang melebihi: baik tiga sumber daya dari jenis yang sama, atau peningkatan 50% atas semua sumber daya dari jenis yang sama. Jika perubahan tampaknya tidak disengaja, Operasi AMS dapat menghubungi Anda untuk meninjau perubahan tersebut.
# Remediasi peringatan otomatis AMS
Setelah verifikasi, AWS Managed Services (AMS) secara otomatis memulihkan peringatan tertentu sesuai dengan kondisi dan proses tertentu yang dijelaskan di bagian ini.
| Nama peringatan | Deskripsi | Ambang batas | Tindakan |
| --- | --- | --- | --- |
| Pemeriksaan Status Gagal | Kemungkinan kegagalan perangkat keras atau keadaan kesalahan instance. | Sistem telah mendeteksi status gagal setidaknya sekali dalam 15 menit terakhir. | Remediasi otomatis AMS pertama kali memvalidasi jika instance dapat diakses. Jika instance tidak dapat diakses, maka instance dihentikan dan dimulai ulang. Stop and start memungkinkan instance untuk bermigrasi ke perangkat keras baru yang mendasarinya. Untuk informasi lebih lanjut, lihat bagian berikut "Otomatisasi Remediasi Kegagalan Pemeriksaan EC2 Status.” |
| AMSLinuxDiskUsage | Picu saat penggunaan disk dari 1 titik pemasangan (ruang yang ditentukan pada volume) pada EC2 instans Anda terisi. | Ambang batas berada di atas nilai yang ditentukan 6 kali pada 30 menit terakhir. | Remediasi otomatis AMS pertama menghapus file sementara. Jika itu tidak membebaskan ruang disk yang cukup, itu memperpanjang volume untuk mencegah downtime jika volume menjadi penuh. |
| AMSWindowsDiskUsage | Saat penggunaan disk dari 1 titik pemasangan (ruang yang ditentukan pada volume) pada EC2 instans Anda terisi. | Ambang batas berada di atas nilai yang ditentukan 6 kali selama 30 menit terakhir. | Remediasi otomatis AMS pertama menghapus file sementara. Jika itu tidak membebaskan ruang disk yang cukup, itu memperpanjang volume untuk mencegah downtime jika volume menjadi penuh. |
| RDS-EVENT-0089 | Instans DB telah mengonsumsi lebih dari 90% dari penyimpanan yang dialokasikan. | Penyimpanan lebih dari 90% dialokasikan. | Remediasi otomatis AMS pertama-tama memvalidasi bahwa DB berada dalam keadaan yang dapat dimodifikasi dan tersedia atau penuh penyimpanan. Kemudian mencoba untuk meningkatkan penyimpanan yang dialokasikan, IOPS, dan throughput penyimpanan melalui changeset. CloudFormation Jika stack drift sudah terdeteksi, itu jatuh kembali ke RDS API untuk mencegah downtime. Fitur ini dapat dipilih keluar dengan menambahkan tag berikut ke Instans RDS DB: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0007 | Penyimpanan yang dialokasikan untuk instans DB telah habis. Untuk mengatasinya, alokasikan penyimpanan tambahan. | Penyimpanan dialokasikan 100%. | Remediasi otomatis AMS pertama-tama memvalidasi bahwa DB berada dalam keadaan yang dapat dimodifikasi dan tersedia atau penuh penyimpanan. Kemudian mencoba untuk meningkatkan penyimpanan yang dialokasikan, IOPS, dan throughput penyimpanan melalui changeset. CloudFormation Jika stack drift sudah terdeteksi, itu jatuh kembali ke RDS API untuk mencegah downtime. Fitur ini dapat dipilih keluar dengan menambahkan tag berikut ke Instans RDS DB: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0224 | Penyimpanan yang dialokasikan yang diminta mencapai atau melebihi ambang penyimpanan maksimum yang dikonfigurasi. | Ambang penyimpanan maksimum untuk instans DB telah habis atau lebih besar dari atau sama dengan penyimpanan yang dialokasikan yang diminta. | Remediasi otomatis AMS pertama-tama memvalidasi bahwa jumlah penyimpanan RDS yang diminta akan melanggar ambang batas penyimpanan maksimal. Jika dikonfirmasi, AMS mencoba meningkatkan ambang penyimpanan maksimal sebesar 30% dengan CloudFormation set perubahan, atau mengarahkan RDS API jika sumber daya tidak disediakan. CloudFormation Fitur ini dapat dipilih keluar dengan menambahkan tag berikut ke Instans RDS DB: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| Kapasitas penyimpanan RDS | Kurang dari 1GB tersisa di penyimpanan yang dialokasikan untuk instans DB. | Penyimpanan dialokasikan 99%. | Remediasi otomatis AMS pertama-tama memvalidasi bahwa DB berada dalam keadaan yang dapat dimodifikasi dan tersedia atau penuh penyimpanan. Kemudian mencoba untuk meningkatkan penyimpanan yang dialokasikan, IOPS, dan throughput penyimpanan melalui changeset. CloudFormation Jika stack drift sudah terdeteksi, itu jatuh kembali ke RDS API untuk mencegah downtime. Fitur ini dapat dipilih keluar dengan menambahkan tag berikut ke Instans RDS DB: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
## EC2 kegagalan pemeriksaan status: Catatan otomatisasi remediasi
Cara kerja remediasi otomatis AMS dengan masalah kegagalan pemeriksaan EC2 status:
+ Jika EC2 instans Amazon Anda tidak dapat dijangkau, instans harus dihentikan dan dimulai lagi sehingga dapat dimigrasikan ke perangkat keras baru dan dipulihkan.
+ Jika akar masalahnya ada di dalam OS (perangkat yang hilang di fstab, korupsi kernel, dan sebagainya), otomatisasi tidak dapat memulihkan instance Anda.
+ Jika instans Anda termasuk dalam grup Auto Scaling, otomatisasi tidak memerlukan tindakan—tindakan AutoScalingGroup penskalaan menggantikan instance.
+ Jika instans Anda mengaktifkan EC2 Auto Recovery, remediasi tidak akan mengambil tindakan.
## EC2 otomatisasi remediasi penggunaan volume
Cara kerja remediasi otomatis AWS Managed Services (AMS) dengan masalah penggunaan EC2 volume:
+ Otomatisasi pertama memvalidasi jika ekspansi volume diperlukan dan jika dapat dilakukan. Jika ekspansi dianggap tepat, otomatisasi dapat meningkatkan kapasitas volume. Proses otomatis ini menyeimbangkan kebutuhan akan pertumbuhan dengan ekspansi yang terkendali dan terbatas.
+ Sebelum memperluas volume, otomatisasi melakukan tugas pembersihan (Windows: Disk Cleaner, Linux: Logrotate\$1Penghapusan Log Agen Manajer Layanan Sederhana) pada instance untuk mencoba mengosongkan ruang.
**catatan**
Tugas pembersihan tidak dijalankan pada instance keluarga EC2 “T” karena ketergantungan mereka pada kredit CPU untuk fungsionalitas lanjutan.
+ Di Linux, otomatisasi hanya mendukung perluasan sistem file tipe EXT2, EXT3, EXT4 dan XFS.
+ Pada Windows, otomatisasi hanya mendukung New Technology File System (NTFS) dan Resilient File System (ReFS).
+ Otomatisasi tidak memperluas volume yang merupakan bagian dari Logical Volume Manager (LVM) atau array RAID.
+ Otomatisasi tidak memperluas volume *penyimpanan instance*.
+ Otomatisasi tidak mengambil tindakan jika volume yang terpengaruh sudah lebih besar dari 2 TiB.
+ Ekspansi melalui otomatisasi dibatasi maksimal tiga kali per minggu dan lima kali total selama masa pakai sistem.
+ Otomatisasi tidak memperluas volume jika ekspansi sebelumnya terjadi dalam enam jam terakhir.
Ketika aturan ini mencegah otomatisasi mengambil tindakan, AMS menghubungi Anda melalui permintaan layanan keluar untuk menentukan tindakan selanjutnya yang harus diambil.
## Otomatisasi remediasi acara penyimpanan rendah Amazon RDS
Cara kerja remediasi otomatis AWS Managed Services (AMS) dengan masalah peristiwa penyimpanan rendah Amazon RDS:
+ Sebelum mencoba memperluas penyimpanan instans Amazon RDS, otomatisasi melakukan beberapa pemeriksaan untuk memastikan instans Amazon RDS berada dalam status yang dapat dimodifikasi dan tersedia, atau penuh penyimpanan.
+ Di mana CloudFormation stack drift terdeteksi, remediasi terjadi melalui Amazon RDS API.
+ Tindakan remediasi tidak berjalan dalam skenario berikut:
+ Status instans Amazon RDS tidak “tersedia” atau “penuh penyimpanan”.
+ Penyimpanan instans Amazon RDS saat ini tidak dapat dimodifikasi (seperti ketika penyimpanan telah dimodifikasi dalam enam jam terakhir).
+ Instans Amazon RDS memiliki penyimpanan auto-scaling yang diaktifkan.
+ Instans Amazon RDS bukan sumber daya dalam CloudFormation tumpukan.
+ Remediasi terbatas pada satu ekspansi per enam jam dan tidak lebih dari tiga ekspansi dalam periode empat belas hari bergulir.
+ Ketika skenario ini terjadi, AMS menghubungi Anda dengan insiden keluar untuk menentukan tindakan selanjutnya.
# Menggunakan Aturan EventBridge Terkelola Amazon di AMS
AMS Accelerate menggunakan Aturan EventBridge Terkelola Amazon. Aturan Terkelola adalah jenis aturan unik yang terhubung langsung ke AMS. Aturan ini cocok dengan peristiwa yang masuk dan mengirimkannya ke target untuk diproses. Aturan Terkelola telah ditentukan sebelumnya oleh AMS dan menyertakan pola peristiwa yang diperlukan oleh layanan untuk mengelola akun pelanggan, dan kecuali ditentukan lain, hanya layanan pemilik yang dapat menggunakan Aturan Terkelola ini.
Aturan Terkelola Akselerasi AMS ditautkan ke prinsipal `events.managedservices.amazonaws.com` layanan. Aturan Terkelola ini dikelola melalui peran [`AWSServiceRoleForManagedServices_Events`terkait layanan](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/using-service-linked-roles.html#slr-evb-rule). Untuk menghapus aturan ini diperlukan konfirmasi khusus oleh pelanggan. Untuk informasi selengkapnya, lihat [Menghapus Aturan Terkelola untuk AMS](#delete-managed-rules).
Untuk informasi selengkapnya tentang aturan, lihat [Aturan](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) di *Panduan EventBridge Pengguna Amazon*.
## Aturan EventBridge Terkelola Amazon yang diterapkan oleh AMS
**Aturan yang EventBridge Dikelola Amazon**
| Nama Aturan | Deskripsi | Definisi |
| --- | --- | --- |
| AmsAccessRolesRule | Aturan ini mendengarkan modifikasi dalam peran dan kebijakan Akselerasi AMS tertentu. |
{
"source": ["aws.iam"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventName": [
"DeleteRole",
"DeletePolicy",
"CreatePolicyVersion",
"AttachRolePolicy",
"DetachRolePolicy"
],
"requestParameters": {
"$or": [
{
"roleName": [
"ams-access-admin",
"ams-access-admin-operations",
"ams-access-operations",
"ams-access-read-only",
"ams-access-security-analyst",
"ams-access-security-analyst-read-only"
]
},
{
"policyArn": [
"arn:*:iam::*:policy/ams-access-allow-pass-role",
"arn:*:iam::*:policy/ams-access-deny-cloudshell-policy",
"arn:*:iam::*:policy/ams-access-deny-operations-policy",
"arn:*:iam::*:policy/ams-access-deny-update-iam-policy",
"arn:*:iam::*:policy/ams-access-ssr-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-read-only-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-extended-policy",
"arn:*:iam::*:policy/ams-access-admin-policy",
"arn:*:iam::*:policy/ams-access-admin-operations-policy"
]
},
]
},
},
}
|
| AMSCoreAturan | Aturan ini meneruskan AWS Config dan CloudWatch peristiwa Amazon ke remediasi AMS Config dan layanan pemantauan AMS dengan hormat. AWS Config Peristiwa membuat dan menyelesaikan AWS Systems Manager OpsItems. CloudWatch Acara Amazon memantau CloudWatch Alarm. |
{
{
"source": ["aws.config", "aws.cloudwatch"],
"detail-type": ["Config Rules Compliance Change", "CloudWatch Alarm State Change"],
}
}
|
## Membuat Aturan Terkelola untuk AMS
Anda tidak perlu membuat Aturan EventBridge Terkelola Amazon secara manual. Saat Anda melakukan onboard ke AMS di AWS Management Console AWS CLI, the, atau AWS API, AMS membuatnya untuk Anda.
## Mengedit Aturan Terkelola untuk AMS
AMS tidak mengizinkan Anda mengedit Aturan Terkelola. Nama dan pola acara untuk setiap Aturan Terkelola telah ditentukan sebelumnya oleh AMS.
## Menghapus Aturan Terkelola untuk AMS
Anda tidak perlu menghapus Aturan Terkelola secara manual. Saat Anda keluar dari AMS di AWS Management Console, Management Console AWS CLI, atau AWS API, AMS akan membersihkan resource dan menghapus semua Aturan Terkelola yang dimiliki AMS untuk Anda.
Jika AMS gagal menghapus Aturan Terkelola selama offboarding, Anda juga dapat menggunakan EventBridge konsol Amazon, AWS CLI atau AWS API untuk menghapus Aturan Terkelola secara manual. Untuk melakukan ini, Anda harus terlebih dahulu lepas dari AMS dan melakukan penghapusan paksa Aturan Terkelola.
# Remediator Tepercaya di AMS
Trusted Remediator adalah solusi AWS Managed Services yang mengotomatiskan remediasi dan rekomendasi. [AWS Trusted Advisor[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) Trusted Remediator membuat rekomendasi kapan Trusted Advisor dan Compute Optimizer menunjukkan peluang bagi Anda untuk mengurangi biaya, meningkatkan ketersediaan sistem, mengoptimalkan kinerja, atau menutup celah keamanan untuk Anda. Akun AWS Dengan Trusted Remediator, Anda dapat mengatasi rekomendasi keamanan, kinerja, pengoptimalan biaya, toleransi kesalahan, dan batas layanan ini dengan cara yang aman dan terstandarisasi yang menggunakan praktik terbaik yang telah ditetapkan. Trusted Remediator memungkinkan Anda untuk mengkonfigurasi solusi remediasi dan berjalan secara otomatis pada jadwal yang Anda buat, menyederhanakan proses remediasi. Pendekatan yang disederhanakan ini membahas masalah secara konsisten, efisien, dan tanpa intervensi manual.
## Manfaat utama Remediator Tepercaya
Berikut ini adalah manfaat utama dari Trusted Remediator:
+ **Peningkatan keamanan, kinerja, dan pengoptimalan biaya:** Remediator Tepercaya membantu Anda meningkatkan postur keamanan keseluruhan akun Anda, mengoptimalkan pemanfaatan sumber daya, dan mengurangi biaya operasional.
+ **Pengaturan dan konfigurasi swalayan:** Anda dapat mengonfigurasi Remediator Tepercaya agar sesuai dengan kebutuhan dan preferensi Anda.
+ ** Trusted Advisor Pemeriksaan otomatis dan perbaikan AWS Compute Optimizer rekomendasi:** Setelah konfigurasi, Trusted Remediator secara otomatis menjalankan tindakan remediasi untuk pemeriksaan yang dipilih. Otomatisasi ini menghilangkan kebutuhan akan intervensi manual.
+ **Implementasi praktik terbaik:** Tindakan remediasi didasarkan pada praktik terbaik yang telah ditetapkan, sehingga masalah ditangani dengan cara yang standar dan efektif.
+ **Eksekusi terjadwal:** Anda dapat memilih jadwal remediasi yang sesuai dengan alur kerja day-to-day operasional Anda.
Trusted Remediator memberdayakan Anda untuk secara proaktif mengatasi masalah yang teridentifikasi di AWS lingkungan Anda, membantu Anda mematuhi praktik terbaik dan memelihara infrastruktur cloud yang aman, berkinerja tinggi, dan hemat biaya.
## Cara kerja Remediator Tepercaya
Berikut ini adalah ilustrasi alur kerja Remediator Tepercaya:
![\[Ilustrasi alur kerja Remediator Tepercaya.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/trusted-remediator-workflow.png)
Trusted Remediator menilai Trusted Advisor dan rekomendasi Compute Optimizer untuk Anda dan membuatnya. Akun AWS AWS Systems Manager [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html) OpsCenter Kemudian, Anda dapat menggunakan dokumen otomatisasi Remediator Tepercaya untuk memulihkan OpsItems secara otomatis atau manual. Berikut ini adalah rincian untuk setiap jenis remediasi:
+ **Remediasi otomatis:** Remediator Tepercaya menjalankan dokumen otomatisasi dan memantau jalannya. Setelah dokumen otomatisasi selesai, Remediator Tepercaya menyelesaikan Opsitem.
+ **Remediasi manual:** Remediator Tepercaya menciptakan OpsItem untuk Anda tinjau. Setelah Anda meninjau, Anda memulai dokumen otomatisasi.
Log remediasi disimpan dalam bucket Amazon S3. Anda dapat menggunakan data di bucket S3 untuk membuat QuickSight dasbor khusus untuk pelaporan. AMS juga menyediakan laporan berdasarkan permintaan untuk Remediator Tepercaya. Untuk menerima laporan ini, hubungi CSDM Anda. Untuk informasi selengkapnya, lihat [Laporan Remediator Tepercaya](trusted-remediator-reports.md).
## Istilah kunci untuk Remediator Tepercaya
Berikut ini adalah istilah yang berguna untuk diketahui ketika Anda menggunakan Trusted Remediator di AMS:
+ **AWS Trusted Advisor dan AWS Compute Optimizer:** Layanan pengoptimalan cloud yang disediakan oleh AWS. Trusted Advisor dan Compute Optimizer memeriksa lingkungan AWS Anda dan memberikan rekomendasi berdasarkan praktik terbaik dalam enam kategori berikut:
+ Optimalisasi biaya
+ Performa
+ Keamanan
+ Toleransi kesalahan
+ Keunggulan operasional
+ Batas layanan
Untuk informasi selengkapnya, lihat [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) dan [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/).
+ **Remediator Tepercaya:** Solusi remediasi AMS untuk [Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)pemeriksaan dan [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)rekomendasi. Trusted Remediator membantu Anda memulihkan Trusted Advisor pemeriksaan dan rekomendasi Compute Optimizer dengan aman dengan praktik terbaik yang dikenal untuk meningkatkan keamanan, kinerja, dan mengurangi biaya. Trusted Remediator mudah diatur dan dikonfigurasi. Anda mengonfigurasi sekali, dan Trusted Remediator menjalankan remediasi sesuai jadwal pilihan Anda (harian atau mingguan).
+ **AWS Systems Manager Dokumen SSM:** File JSON atau YAMM yang mendefinisikan tindakan yang AWS Systems Manager dilakukan pada sumber daya Anda. AWS Dokumen SSM berfungsi sebagai spesifikasi deklaratif untuk mengotomatiskan tugas operasional di berbagai AWS sumber daya dan instance.
+ **AWS Systems Manager OpsCenter OpsItemSumber daya manajemen masalah operasional cloud yang membantu Anda melacak dan menyelesaikan masalah operasional di AWS lingkungan Anda.** OpsItems memberikan pandangan terpusat dan sistem manajemen untuk data operasional dan isu-isu di seluruh Layanan AWS dan sumber daya. Masing-masing OpsItem mewakili masalah operasional, seperti risiko keamanan potensial, masalah kinerja, atau insiden operasional.
+ **Konfigurasi:** Konfigurasi adalah seperangkat atribut [yang disimpan di AWS AppConfig, kemampuan AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/appconfig.html). Aplikasi Trusted Remediator AWS AppConfig membantu mengonfigurasi remediasi di tingkat akun. Anda dapat menggunakan AWS AppConfig konsol atau API untuk mengedit konfigurasi.
+ **Mode eksekusi:** Mode eksekusi adalah atribut konfigurasi yang menentukan cara menjalankan remediasi untuk setiap hasil Trusted Advisor pemeriksaan. Ada empat mode eksekusi yang didukung: **Otomatis**, **Manual**, **Bersyarat**, **Tidak** Aktif.
+ **Penggantian sumber daya:** Fitur ini menggunakan tag sumber daya untuk mengganti konfigurasi sumber daya tertentu.
+ **Log item remediasi:** File log di bucket log S3 remediasi Remediator Tepercaya. Log item remediasi dibuat saat remediasi OpsItems dibuat. File log ini berisi remediasi eksekusi manual OpsItems dan remediasi eksekusi otomatis. OpsItems Gunakan file log ini untuk melacak semua item remediasi.
+ **Log eksekusi remediasi otomatis:** File log di bucket log S3 remediasi Remediator Tepercaya. Log eksekusi remediasi otomatis dibuat ketika otomatis menjalankan dokumen SSM selesai. Log ini berisi rincian eksekusi SSM untuk OpsItems remediasi eksekusi otomatis. Gunakan file log ini untuk melacak remediasi otomatis.
# Memulai Remediator Tepercaya di AMS
Remediator Tepercaya tersedia di AMS tanpa biaya tambahan. Trusted Remediator mendukung konfigurasi akun tunggal dan multi-akun.
## Onboard ke Remediator Tepercaya
Untuk memasukkan akun AMS Anda ke Remediator Tepercaya, kirimkan email ke Cloud Architects atau Cloud Service Delivery Manager (). CSDMs Dalam email, sertakan informasi berikut:
+ **Akun AWS:** Nomor identifikasi akun dua belas digit. Semua akun yang ingin Anda onboard ke Trusted Remediator harus milik pelanggan Accelerate yang sama.
+ **Akun administrator yang didelegasikan:** Akun yang digunakan untuk Trusted Advisor dan Compute Optimizer memeriksa konfigurasi untuk satu atau beberapa akun.
+ **Akun anggota:** Ini adalah akun yang ditautkan ke akun administrator yang didelegasikan. Akun ini mewarisi konfigurasi dari akun administrator yang didelegasikan. Anda dapat memiliki satu akun anggota atau beberapa akun anggota.
**catatan**
Akun anggota mewarisi konfigurasi dari akun administrator yang didelegasikan. Jika Anda memerlukan konfigurasi berbeda untuk akun tertentu, ikuti beberapa akun administrator yang didelegasikan dengan konfigurasi pilihan Anda. Rencanakan struktur akun dan konfigurasi dengan Cloud Architects sebelum Anda onboard.
+ **Wilayah AWS:** Di Wilayah AWS mana sumber daya Anda berada. Untuk daftar Wilayah AWS, lihat [Layanan AWS berdasarkan Wilayah](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
+ **Jadwal dan waktu remediasi:** Jadwal remediasi pilihan Anda (harian atau mingguan). Trusted Remediator mengumpulkan Trusted Advisor cek dan memulai remediasi pada waktu yang dijadwalkan. Misalnya, Anda dapat mengatur jadwal remediasi untuk 1:00 pagi hari Minggu setiap minggu, Waktu Standar Timur Australia.
+ **Email pemberitahuan:** Remediator Tepercaya menggunakan email notifikasi untuk memberi tahu Anda setiap hari jika ada perbaikan. Subjek email notifikasi adalah “Ringkasan remediasi Remediator Tepercaya” dan isinya memberikan informasi tentang remediasi Remediator Tepercaya yang dijalankan dalam 24 jam terakhir.
**catatan**
Tinjau aplikasi dan sumber daya Anda setelah setiap perbaikan terjadwal. Untuk dukungan tambahan, hubungi AMS.
Setelah Anda mengirimkan permintaan onboard Anda dengan rincian yang diperlukan ke CA atau CSDM Anda, AMS akan memasukkan akun Anda ke Remediator Tepercaya. Trusted Remediator menggunakan AWS AppConfig AWS Systems Manager, kemampuan, untuk menentukan konfigurasi untuk Trusted Advisor pemeriksaan. Konfigurasi ini adalah seperangkat atribut yang disimpan di AWS AppConfig. Untuk mencegah tagihan yang tidak sah ke sumber daya Anda, semua Trusted Advisor pemeriksaan yang didukung disetel ke **Tidak Aktif saat akun di-onboard** ke Remediator Tepercaya. Setelah onboard, Anda dapat menggunakan AWS AppConfig konsol atau API untuk mengelola konfigurasi. Konfigurasi ini membantu Anda memulihkan Trusted Advisor pemeriksaan tertentu secara otomatis, atau untuk menilai dan memulihkan pemeriksaan yang tersisa secara manual. Konfigurasi sangat dapat disesuaikan, memungkinkan Anda menerapkan konfigurasi untuk setiap pemeriksaan. Trusted Advisor Untuk informasi selengkapnya, lihat [Konfigurasikan remediasi Trusted Advisor cek di Remediator Tepercaya](tr-configure-remediations.md).
## Pilih cek dan rekomendasi untuk diperbaiki
Secara default, mode eksekusi remediasi **tidak aktif** untuk semua Trusted Advisor pemeriksaan dan rekomendasi Compute Optimizer dalam konfigurasi Anda. Ini mencegah remediasi yang tidak sah dan melindungi sumber daya. AMS menyediakan dokumen otomatisasi SSM yang dikuratori untuk perbaikan Trusted Advisor pemeriksaan.
Untuk memilih pemeriksaan yang ingin diperbaiki dengan Trusted Remediator, selesaikan langkah-langkah berikut:
1. Tinjau daftar [rekomendasi [Compute Optimizer](tr-supported-recommendations-co.md) yang didukung Trusted Advisor dan dan nama dokumen otomatisasi SSM terkait](tr-supported-checks.md) untuk memutuskan pemeriksaan dan rekomendasi mana yang ingin Anda perbaiki dengan Trusted Remediator.
1. Perbarui konfigurasi Anda untuk mengaktifkan remediasi untuk Trusted Advisor pemeriksaan yang Anda pilih. Untuk petunjuk tentang cara memilih cek, lihat[Konfigurasikan remediasi Trusted Advisor cek di Remediator Tepercaya](tr-configure-remediations.md).
## Lacak remediasi Anda di Remediator Tepercaya
Setelah memperbarui konfigurasi tingkat akun, Trusted Remediator membuat OpsItems untuk setiap remediasi. Trusted Remediator menjalankan dokumen SSM untuk remediasi otomatis OpsItems sesuai dengan jadwal remediasi Anda. Untuk petunjuk tentang cara melihat semua remediasi OpsItems dari OpsCenter konsol Systems Manager, lihat[Lacak remediasi di Remediator Tepercaya](tr-remediation.md#tr-remediation-track).
## Jalankan remediasi manual di Remediator Tepercaya
Anda dapat memulihkan Trusted Advisor pemeriksaan secara manual. Saat Anda memulai remediasi manual, Trusted Remediator membuat eksekusi manual. OpsItem Anda harus meninjau dan memulai dokumen otomatisasi SSM untuk memulihkan. OpsItems Untuk informasi selengkapnya, lihat [Jalankan remediasi manual di Remediator Tepercaya](tr-remediation.md#tr-remediation-run).
# Rekomendasi Compute Optimizer didukung oleh Trusted Remediator
Tabel berikut mencantumkan rekomendasi Compute Optimizer yang didukung, dokumen otomatisasi SSM, parameter yang telah dikonfigurasi sebelumnya, dan hasil yang diharapkan dari dokumen otomatisasi. Tinjau hasil yang diharapkan untuk membantu Anda memahami kemungkinan risiko berdasarkan kebutuhan bisnis Anda sebelum Anda mengaktifkan dokumen otomatisasi SSM untuk perbaikan pemeriksaan.
Pastikan bahwa aturan konfigurasi yang sesuai untuk setiap pemeriksaan Compute Optimizer hadir untuk pemeriksaan yang didukung yang ingin Anda aktifkan remediasi. Untuk informasi selengkapnya, lihat [Memilih AWS Compute Optimizer untuk Trusted Advisor pemeriksaan](https://docs.aws.amazon.com/awssupport/latest/user/compute-optimizer-with-trusted-advisor.html).
| Opsi pengoptimalan | Nama dokumen SSM dan hasil yang diharapkan | Parameter dan kendala yang telah dikonfigurasi sebelumnya yang didukung |
| --- | --- | --- |
| Pengukuran Hak |
| [Rekomendasi EC2 instans Amazon](https://aws.amazon.com/compute-optimizer/faqs/#topic-4) | **AWSManagedServices-TrustedRemediatorResizeInstanceByComputeOptimizerRecommendation** Jenis EC2 instans Amazon diperbarui sesuai rekomendasi Compute Optimizer. Opsi yang paling optimal dipilih sambil mempertahankan parameter platform yang sama (Arsitektur, Hypervisor, antarmuka Jaringan, jenis Virtualisasi, dan sebagainya) jika opsi ada. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Rekomendasi volume Amazon EBS](https://aws.amazon.com/compute-optimizer/faqs/#topic-6) | **AWSManagedServices-ModifyEBSVolume** Volume Amazon EBS dimodifikasi sesuai dengan rekomendasi Compute Optimizer. Modifikasi dapat mencakup jenis volume, ukuran, IOPS, generasi volume (gp2, gp3 dll). | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Rekomendasi fungsi Lambda](https://aws.amazon.com/compute-optimizer/faqs/#topic-7) | **AWSManagedServices-TrustedRemediatorOptimizeLambdaMemory** AWS Lambda memori fungsi dioptimalkan sesuai dengan rekomendasi Compute Optimizer. | **RecommendedMemorySize **: Ukuran memori khusus, jika berbeda dari opsi yang direkomendasikan. Tidak ada kendala |
| Sumber daya menganggur |
| [Volume Amazon EBS yang menganggur](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-DeleteUnusedEBSVolume** Volume Amazon EBS yang tidak terpasang akan dihapus. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Contoh Amazon EC2 yang menganggur](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopEC2 Instance** EC2 Instans Amazon yang menganggur akan dihentikan. | **ForceStopWithInstanceStore**: Untuk memaksa berhenti untuk instance menggunakan penyimpanan instance, setel ke 'True.' Untuk tidak memaksa berhenti, atur ke 'False.' Nilai default 'False' mencegah instance berhenti. Tidak ada kendala |
| [Contoh RDS Amazon yang menganggur](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopIdleRDSInstance** Hentikan instans Amazon RDS yang menganggur. Mesin yang didukung adalah: MariaDB, Microsoft SQL Server, MySQL, Oracle, PostgreSQL. Dokumen ini tidak berlaku untuk Aurora MySQL dan Aurora PostgreSQL. Instans akan dihentikan hingga 7 hari dan diluncurkan kembali secara otomatis. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
# Trusted Advisor cek yang didukung oleh Trusted Remediator
Tabel berikut mencantumkan Trusted Advisor pemeriksaan yang didukung, dokumen otomatisasi SSM, parameter yang telah dikonfigurasi sebelumnya, dan hasil yang diharapkan dari dokumen otomatisasi. Tinjau hasil yang diharapkan untuk membantu Anda memahami kemungkinan risiko berdasarkan kebutuhan bisnis Anda sebelum Anda mengaktifkan dokumen otomatisasi SSM untuk perbaikan pemeriksaan.
Pastikan bahwa aturan konfigurasi yang sesuai untuk setiap Trusted Advisor pemeriksaan ada untuk pemeriksaan yang didukung yang ingin Anda aktifkan remediasi. Untuk informasi selengkapnya, lihat [Lihat AWS Trusted Advisor pemeriksaan yang didukung oleh AWS Config](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html). Jika pemeriksaan memiliki AWS Security Hub CSPM kontrol yang sesuai, pastikan kontrol Security Hub diaktifkan. Untuk informasi selengkapnya, lihat [Mengaktifkan kontrol di Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html). Untuk informasi tentang mengelola parameter yang telah dikonfigurasi sebelumnya, lihat [Mengonfigurasi Trusted Advisor memeriksa remediasi](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html) di Remediator Tepercaya.
## Trusted Advisor pemeriksaan optimasi biaya yang didukung oleh Trusted Remediator
| Periksa ID dan nama | Nama dokumen SSM dan hasil yang diharapkan | Parameter dan kendala yang telah dikonfigurasikan sebelumnya yang didukung |
| --- | --- | --- |
| [Z4 AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses) Alamat IP Elastis yang Tidak Terkait | **AWSManagedServices-TrustedRemediatorReleaseElasticIP** Merilis alamat IP elastis yang tidak terkait dengan sumber daya apa pun. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c18d2gz150](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days) - Instans Amazon dihentikan EC2 | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime** - EC2 Instans Amazon dihentikan selama beberapa hari dihentikan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Tidak ada kendala |
| [c18d2gz128](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy) Repositori Amazon ECR Tanpa Kebijakan Siklus Hidup Dikonfigurasi | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy** Membuat kebijakan siklus hidup untuk repositori yang ditentukan jika kebijakan siklus hidup belum ada. | **ImageAgeLimit:** Batas usia maksimum dalam beberapa hari (1-365) untuk gambar 'apa pun' di repositori Amazon ECR. Tidak ada kendala |
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes) Volume Amazon EBS yang Kurang Digunakan | **AWSManagedServices-DeleteUnusedEBSVolume** Menghapus volume Amazon EBS yang kurang dimanfaatkan jika volume tidak terhubung selama 7 hari terakhir. Snapshot Amazon EBS dibuat secara default. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Tidak ada kendala |
| [hj M8 LMh88u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers) Penyeimbang Beban Idle | **AWSManagedServices-DeleteIdleClassicLoadBalancer** Menghapus Classic Load Balancer idle jika tidak digunakan dan tidak ada instance yang terdaftar. | **IdleLoadBalancerDays:** Jumlah hari Classic Load Balancer memiliki 0 koneksi yang diminta sebelum menganggapnya idle. Defaultnya adalah tujuh hari. Jika eksekusi otomatis diaktifkan, otomatisasi akan menghapus Classic Load Balancer yang tidak aktif jika tidak ada instance back-end yang aktif. Untuk semua Classic Load Balancer idle yang memiliki instans back-end aktif, tetapi tidak memiliki instans back-end yang sehat, remediasi otomatis tidak digunakan dan untuk remediasi manual dibuat. OpsItems |
| [Ti39halfu8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances) Instans DB Idle Amazon RDS | **AWSManagedServices-StopIdleRDSInstance** Instans Amazon RDS DB yang telah dalam keadaan idle selama tujuh hari terakhir dihentikan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size) AWS Lambda fungsi yang disediakan secara berlebihan untuk ukuran memori | **AWSManagedServices-ResizeLambdaMemory** AWS Lambda ukuran memori fungsi diubah ukurannya ke ukuran memori yang direkomendasikan yang disediakan oleh Trusted Advisor. | **RecommendedMemorySize:** Alokasi memori yang direkomendasikan untuk fungsi Lambda. Rentang nilai antara 128 dan 10240. Jika ukuran fungsi Lambda dimodifikasi sebelum otomatisasi berjalan, maka pengaturan mungkin ditimpa oleh otomatisasi ini dengan nilai yang direkomendasikan oleh. Trusted Advisor |
| [QCH7DWOUX1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Instans Amazon EC2 Pemanfaatan Rendah | **AWSManagedServices-StopEC2Instance** (Dokumen SSM default untuk mode eksekusi auto dan manual.) EC2 Instans Amazon dengan pemanfaatan rendah dihentikan. | **ForceStopWithInstanceStore:** Setel `true` untuk memaksa instance berhenti menggunakan penyimpanan instance. Jika tidak, atur ke`false`. Nilai default `false` mencegah instance berhenti. Nilai yang valid adalah true atau false (case-sensitive). Tidak ada kendala |
| [QCH7DWOUX1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Instans Amazon EC2 Pemanfaatan Rendah | **AWSManagedServices-ResizeInstanceByOneLevel** EC2 Instance Amazon diubah ukurannya dengan satu tipe instance ke bawah dalam tipe keluarga instance yang sama. Instance dihentikan dan dimulai selama operasi pengubahan ukuran dan dikembalikan ke keadaan awal setelah dokumen SSM berjalan selesai. Otomatisasi ini tidak mendukung pengubahan ukuran instans yang ada di Grup Auto Scaling. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Tidak ada kendala |
| [QCH7DWOUX1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Instans Amazon EC2 Pemanfaatan Rendah | **AWSManagedServices-TerminateInstance** EC2 Instans Amazon yang digunakan rendah dihentikan jika bukan bagian dari Grup Auto Scaling dan perlindungan penghentian tidak diaktifkan. AMI dibuat secara default. | **Create AMIBefore Termination:** Setel opsi ini `false` ke `true` atau untuk membuat instance AMI sebagai cadangan sebelum menghentikan EC2 instance. Nilai default-nya `true`. Nilai yang valid adalah `true` dan `false` (peka huruf besar/kecil). Tidak ada kendala |
| [G31sq1e9u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters) Cluster Pergeseran Merah Amazon yang Kurang Digunakan | **AWSManagedServices-PauseRedshiftCluster** Cluster Amazon Redshift dijeda. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config) Konfigurasi Batalkan Unggahan Multipart Amazon S3 Tidak Lengkap | **AWSManagedServices-TrustedRemediatorEnableS3 AbortIncompleteMultipartUpload** Bucket Amazon S3 dikonfigurasi dengan aturan siklus hidup untuk membatalkan unggahan multibagian yang tetap tidak lengkap setelah hari-hari tertentu. | **DaysAfterInitiation:** Jumlah hari setelah Amazon S3 menghentikan unggahan multipart yang tidak lengkap. Default diatur ke 7 hari. Tidak ada kendala |
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances) Rekomendasi pengoptimalan EC2 biaya Amazon untuk instans | Gunakan rekomendasi EC2 instans Amazon dan EC2 instans Amazon Idle dari[Rekomendasi Compute Optimizer didukung oleh Trusted Remediator](tr-supported-recommendations-co.md). | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes) Rekomendasi pengoptimalan biaya Amazon EBS untuk volume | Gunakan rekomendasi volume Amazon EBS dan volume Idle Amazon EBS dari. [Rekomendasi Compute Optimizer didukung oleh Trusted Remediator](tr-supported-recommendations-co.md) | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) Rekomendasi pengoptimalan biaya Amazon RDS untuk instans DB | Gunakan instans Idle Amazon RDS dari. [Rekomendasi Compute Optimizer didukung oleh Trusted Remediator](tr-supported-recommendations-co.md) | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) AWS Lambda rekomendasi pengoptimalan biaya untuk fungsi | Gunakan rekomendasi fungsi Lambda dari. [Rekomendasi Compute Optimizer didukung oleh Trusted Remediator](tr-supported-recommendations-co.md) | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
## Trusted Advisor pemeriksaan keamanan yang didukung oleh Trusted Remediator
| Periksa ID dan nama | Nama dokumen SSM dan hasil yang diharapkan | Parameter dan kendala yang telah dikonfigurasikan sebelumnya yang didukung |
| --- | --- | --- |
| [12Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys) Exposed Access Keys | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey** Kunci akses IAM yang terbuka dinonaktifkan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Aplikasi yang dikonfigurasi dengan kunci akses IAM yang terbuka tidak dapat mengautentikasi. |
| Hs4Ma3G127 - API Gateway REST dan pencatatan eksekusi API harus WebSocket diaktifkan AWS Security Hub CSPM Cek yang sesuai: [APIGateway.1](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1) | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** Pencatatan eksekusi diaktifkan pada tahap API. | **LogLevel:** Tingkat logging untuk mengaktifkan pencatatan eksekusi, `ERROR` - Logging diaktifkan hanya untuk kesalahan. `INFO` - Logging diaktifkan untuk semua acara. Anda harus memberikan izin API Gateway untuk membaca dan menulis log ke akun Anda CloudWatch untuk mengaktifkan log eksekusi, lihat [Mengatur CloudWatch logging untuk REST APIs di API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) untuk detailnya. |
| Hs4Ma3G129 - Tahapan API Gateway REST API harus mengaktifkan penelusuran AWS X-Ray AWS Security Hub CSPM Cek yang sesuai: [APIGateway.3](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3) | **AWSManagedServices-EnableApiGateWayXRayTracing** Penelusuran X-Ray diaktifkan pada tahap API. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G202 - Data cache API Gateway REST API harus dienkripsi saat istirahat AWS Security Hub CSPM Cek yang sesuai: [APIGateway.5](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5) | **AWSManagedServices-EnableAPIGatewayCacheEncryption** Aktifkan enkripsi saat istirahat untuk data cache API Gateway REST API jika tahap API Gateway REST API telah mengaktifkan cache. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G177 - AWS Security Hub CSPM [Pemeriksaan terkait - Grup penskalaan otomatis yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan penyeimbang beban .1 AutoScaling](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck** Pemeriksaan kesehatan Elastic Load Balancing diaktifkan untuk Grup Auto Scaling. | **HealthCheckGracePeriod:** Jumlah waktu, dalam hitungan detik, Auto Scaling menunggu sebelum memeriksa status kesehatan instans Amazon Elastic Compute Cloud yang telah mulai digunakan. Mengaktifkan pemeriksaan kesehatan Elastic Load Balancing dapat mengakibatkan penggantian instance yang sedang berjalan jika salah satu penyeimbang beban Elastic Load Balancing yang terpasang pada grup Auto Scaling melaporkannya sebagai tidak sehat. Untuk informasi selengkapnya, lihat [Melampirkan penyeimbang beban Elastic Load Balancing ke grup Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html) |
| Hs4Ma3G245 - tumpukan CloudFormation harus diintegrasikan dengan Amazon Simple Notification Service AWS Security Hub CSPM Cek yang sesuai: [CloudFormation.1](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1) | **AWSManagedServices-EnableCFNStackNotification** Kaitkan CloudFormation tumpukan dengan topik Amazon SNS untuk pemberitahuan. | **PemberitahuanARNs:** Topik Amazon SNS yang akan dikaitkan dengan tumpukan yang dipilih CloudFormation . ARNs Untuk mengaktifkan remediasi otomatis, Parameter yang `NotificationARNs` telah dikonfigurasi sebelumnya harus disediakan. |
| Hs4Ma3G210 - distribusi seharusnya mengaktifkan logging CloudFront AWS Security Hub CSPM Cek yang sesuai: [CloudFront.2](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5) | **AWSManagedServices-EnableCloudFrontDistributionLogging** Logging diaktifkan untuk CloudFront distribusi Amazon. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Untuk kendala remediasi ini, lihat [Bagaimana cara mengaktifkan logging untuk distribusi saya](https://repost.aws/knowledge-center/cloudfront-logging-requests)? CloudFront |
| Hs4Ma3G109 - CloudTrail validasi file log harus diaktifkan AWS Security Hub CSPM Cek yang sesuai: [CloudTrail.4](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4) | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation** Mengaktifkan validasi log CloudTrail jejak. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G108 - CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch AWS Security Hub CSPM Cek yang sesuai: [CloudTrail.5](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5) | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch** AWS CloudTrail terintegrasi dengan CloudWatch Log. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G217 - CodeBuild lingkungan proyek harus memiliki konfigurasi logging AWS AWS Security Hub CSPM Cek yang sesuai: [CodeBuild.4](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4) | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig** Mengaktifkan logging untuk CodeBuild proyek. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G306 - Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan AWS Security Hub CSPM Pemeriksaan yang sesuai: [DocumentDB.3](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot** Menghapus akses publik dari snapshot cluster manual Amazon DocumentDB. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G308 - Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan AWS Security Hub CSPM Pemeriksaan yang sesuai: [DocumentDB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection** Mengaktifkan perlindungan penghapusan untuk klaster Amazon DocumentDB. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G323 - tabel DynamoDB harus memiliki perlindungan penghapusan diaktifkan AWS Security Hub CSPM Pemeriksaan yang sesuai: [DynamoDB.6](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection** Mengaktifkan perlindungan penghapusan untuk tabel DynamoDB non-AMS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [EPS02jt06w](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots) - Cuplikan Publik Amazon EBS | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot** Akses publik untuk snapshot Amazon EBS dinonaktifkan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G118 - Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar AWS Security Hub CSPM Cek yang sesuai: [EC2.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG** Semua aturan masuk dan keluar dalam grup keamanan default akan dihapus. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G117 - Volume EBS yang terpasang harus dienkripsi saat istirahat AWS Security Hub CSPM Cek yang sesuai: [EC2.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) | **AWSManagedServices-EncryptInstanceVolume** Volume Amazon EBS terlampir pada instans dienkripsi. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Instance di-boot ulang sebagai bagian dari remediasi dan rollback `DeleteStaleNonEncryptedSnapshotBackups` dimungkinkan jika diatur yang membantu `false` pemulihan. |
| Hs4Ma3G120 - EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu AWS Security Hub CSPM Cek yang sesuai: [EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateInstance**(dokumen SSM default untuk mode eksekusi auto dan manual) EC2 Instans Amazon yang dihentikan selama 30 hari dihentikan. | **Buat AMIBefore Pengakhiran:**. Untuk membuat instance AMI sebagai cadangan sebelum menghentikan EC2 instance, pilih`true`. Untuk tidak membuat cadangan sebelum mengakhiri, pilih`false`. Nilai default-nya `true`. Tidak ada kendala |
| Hs4Ma3G120 - EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu AWS Security Hub CSPM Cek yang sesuai: [EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime** - EC2 Instans Amazon dihentikan untuk jumlah hari yang ditentukan di Security Hub (nilai default adalah 30) dihentikan. | **Buat AMIBefore Terminasi:** Untuk membuat instance AMI sebagai cadangan sebelum menghentikan EC2 instance, pilih`true`. Untuk tidak membuat cadangan sebelum mengakhiri, pilih`false`. Nilai default-nya `true`. Tidak ada kendala |
| Hs4Ma3G121 - Enkripsi default EBS harus diaktifkan AWS Security Hub CSPM Cek yang sesuai: [EC2.7](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7) | **AWSManagedServices-EncryptEBSByDefault** Enkripsi Amazon EBS secara default diaktifkan untuk yang spesifik Wilayah AWS | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Enkripsi secara default adalah pengaturan khusus Wilayah. Jika Anda mengaktifkannya untuk Wilayah, Anda tidak dapat menonaktifkannya untuk setiap volume atau snapshot di Wilayah tersebut. |
| Hs4Ma3G124 - Instans EC2 Amazon harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2 AWS Security Hub CSPM Cek yang sesuai: [EC2.8](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) | **AWSManagedServices-TrustedRemediator****Aktifkan EC2 Instance IMDSv2** EC2 Instans Amazon menggunakan Layanan Metadata Instans Versi 2 (). IMDSv2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Tidak ada kendala |
| Hs4Ma3G207 - EC2 subnet seharusnya tidak secara otomatis menetapkan alamat IP publik AWS Security Hub CSPM Cek yang sesuai: [EC2.15](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15) | **AWSManagedServices-UpdateAutoAssignPublicIpv4Alamat** Subnet VPC dikonfigurasi untuk tidak secara otomatis menetapkan alamat IP publik. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G209 - Daftar Kontrol Akses Jaringan yang Tidak Digunakan dihapus AWS Security Hub CSPM Cek yang sesuai: [EC2.16](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16) | **AWSManagedServices-DeleteUnusedNACL** Hapus ACL jaringan yang tidak digunakan | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G215 - Grup keamanan Amazon yang tidak digunakan harus dihapus EC2 AWS Security Hub CSPM Cek yang sesuai: [EC2.22](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22) | **AWSManagedServices-DeleteSecurityGroups** Hapus grup keamanan yang tidak digunakan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G247 - Amazon EC2 Transit Gateway seharusnya tidak secara otomatis menerima permintaan lampiran VPC AWS Security Hub CSPM Cek yang sesuai: [EC2.23](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach**- Menonaktifkan penerimaan otomatis permintaan lampiran VPC untuk Gateway Transit EC2 Amazon non-AMS yang ditentukan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G235 - Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi AWS Security Hub CSPM Pemeriksaan yang sesuai: [ECR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability** Menetapkan pengaturan mutabilitas tag gambar ke IMMUTABLE untuk repositori yang ditentukan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G216 - Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi AWS Security Hub CSPM Pemeriksaan yang sesuai: [ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy** Repositori ECR memiliki kebijakan siklus hidup yang dikonfigurasi. | **LifecyclePolicyText:** Teks kebijakan repositori JSON untuk diterapkan ke repositori. Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan: **LifecyclePolicyText** |
| Hs4Ma3G325 - Kluster EKS harus mengaktifkan pencatatan audit AWS Security Hub CSPM Pemeriksaan yang sesuai: [EKS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog** Log audit diaktifkan untuk kluster EKS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G183 - Penyeimbang beban aplikasi harus dikonfigurasi untuk menjatuhkan header HTTP AWS Security Hub CSPM Pemeriksaan yang sesuai: [ELB.4](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4) | **AWSConfigRemediation-DropInvalidHeadersForALB** Application Load Balancer dikonfigurasi ke bidang header yang tidak valid. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G184 - Load Balancer Aplikasi dan Load Balancer Klasik logging harus diaktifkan AWS Security Hub CSPM Pemeriksaan yang sesuai: [ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLogging (dokumen SSM default untuk mode eksekusi auto dan manual)** Application Load Balancer dan logging Classic Load Balancer diaktifkan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Bucket Amazon S3 harus memiliki kebijakan bucket yang memberikan izin Elastic Load Balancing untuk menulis log akses ke bucket. |
| Hs4Ma3G184 - Load Balancer Aplikasi dan Load Balancer Klasik logging harus diaktifkan AWS Security Hub CSPM Pemeriksaan yang sesuai: [ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLoggingV2** Application Load Balancer dan logging Classic Load Balancer diaktifkan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G326 - Amazon EMR memblokir pengaturan akses publik harus diaktifkan AWS Security Hub CSPM Pemeriksaan yang sesuai: [EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess** Amazon EMR memblokir pengaturan akses publik diaktifkan untuk akun. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G135 - AWS KMS kunci tidak boleh dihapus secara tidak sengaja AWS Security Hub CSPM Pemeriksaan yang sesuai: [KMS.3](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) | **AWSManagedServices-CancelKeyDeletion** AWS KMS penghapusan kunci dibatalkan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G299 - Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik AWS Security Hub CSPM Pemeriksaan yang sesuai: [Neptunuse.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection** Mengaktifkan perlindungan penghapusan untuk klaster Amazon Neptunus. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G319 - Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan AWS Security Hub CSPM Cek yang sesuai: [NetworkFirewall.9](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection**- Mengaktifkan perlindungan penghapusan untuk AWS Network Firewall. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G223 - OpenSearch domain harus mengenkripsi data yang dikirim antar node AWS Security Hub CSPM Cek yang sesuai: [OpenSearch.3](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3) | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption** Enkripsi Node ke Node diaktifkan untuk domain. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Setelah node-to-node enkripsi diaktifkan, Anda tidak dapat menonaktifkan pengaturan. Sebagai gantinya, ambil snapshot manual dari domain terenkripsi, buat domain lain, migrasi data Anda, lalu hapus domain lama. |
| Hs4Ma3G222 - login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch AWS Security Hub CSPM Pemeriksaan yang sesuai: [Opensearch.4](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) | **AWSManagedServices-EnableOpenSearchLogging** Pencatatan kesalahan diaktifkan untuk OpenSearch domain. | CloudWatchLogGroupArn: ARN dari grup log log AnAmazon CloudWatch Logs. Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasikan sebelumnya harus disediakan:. **CloudWatchLogGroupArn** Kebijakan CloudWatch sumber daya Amazon harus dikonfigurasi dengan izin. Untuk informasi selengkapnya, lihat [Mengaktifkan log audit](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) di *Panduan Pengguna OpenSearch Layanan Amazon* |
| Hs4Ma3G221 - domain harus mengaktifkan pencatatan audit OpenSearch AWS Security Hub CSPM Pemeriksaan yang sesuai: [Opensearch.5](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch domain dikonfigurasi dengan pencatatan audit diaktifkan. | **CloudWatchLogGroupArn:** ARN dari grup CloudWatch Log untuk mempublikasikan log ke. Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasikan sebelumnya harus disediakan: **CloudWatchLogGroupArn** Kebijakan CloudWatch sumber daya Amazon harus dikonfigurasi dengan izin. Untuk informasi selengkapnya, lihat [Mengaktifkan log audit](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) di *Panduan Pengguna OpenSearch Layanan Amazon* |
| Hs4Ma3G220 - Koneksi ke OpenSearch domain harus dienkripsi menggunakan TLS 1.2 AWS Security Hub CSPM Pemeriksaan yang sesuai: [Opensearch.8](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2** Kebijakan TLS disetel ke `Policy-Min-TLS-1-2-2019-07` dan hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Koneksi ke OpenSearch domain diperlukan untuk menggunakan TLS 1.2. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Uji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS. |
| Hs4Ma3G194 - Snapshot Amazon RDS harus pribadi AWS Security Hub CSPM Pemeriksaan yang sesuai: [RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** Akses publik untuk snapshot Amazon RDS dinonaktifkan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G192 - Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh Konfigurasi PubliclyAccessible AWS AWS Security Hub CSPM Pemeriksaan yang sesuai: [RDS.2](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance** Nonaktifkan akses publik pada instans RDS DB. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G189 - Pemantauan yang ditingkatkan dikonfigurasi untuk instans Amazon RDS DB AWS Security Hub CSPM Pemeriksaan yang sesuai: [RDS.6](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring** Aktifkan pemantauan yang disempurnakan untuk instans Amazon RDS DB | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Jika pemantauan yang ditingkatkan diaktifkan sebelum eksekusi otomatisasi, maka pengaturan mungkin ditimpa oleh otomatisasi ini dengan MonitoringRoleName nilai MonitoringInterval dan yang dikonfigurasi dalam parameter yang telah dikonfigurasi sebelumnya. |
| Hs4Ma3G190 - Cluster Amazon RDS harus mengaktifkan perlindungan penghapusan AWS Security Hub CSPM Pemeriksaan yang sesuai: [RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** Perlindungan penghapusan diaktifkan untuk klaster Amazon RDS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G198 - Instans Amazon RDS DB harus mengaktifkan perlindungan penghapusan AWS Security Hub CSPM Pemeriksaan yang sesuai: [RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** Perlindungan penghapusan diaktifkan untuk instans Amazon RDS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G199 - Instans RDS DB harus menerbitkan log ke Log CloudWatch AWS Security Hub CSPM Pemeriksaan yang sesuai: [RDS.9](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports** Ekspor log RDS diaktifkan untuk instans RDS DB atau cluster RDS DB. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) peran terkait layanan diperlukan. |
| Hs4Ma3G160 - otentikasi IAM harus dikonfigurasi untuk instance RDS AWS Security Hub CSPM Pemeriksaan yang sesuai: [RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** AWS Identity and Access Management otentikasi diaktifkan untuk instance RDS. | **ApplyImmediately:** Menunjukkan jika modifikasi dalam permintaan ini dan modifikasi yang tertunda diterapkan secara asinkron sesegera mungkin, Untuk segera menerapkan perubahan, pilih. `true` Untuk menjadwalkan perubahan untuk jendela pemeliharaan berikutnya, pilih`false`. Tidak ada kendala |
| Hs4Ma3G161 - otentikasi IAM harus dikonfigurasi untuk cluster RDS AWS Security Hub CSPM Pemeriksaan yang sesuai: [RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** Autentikasi IAM diaktifkan untuk cluster RDS. | **ApplyImmediately:** Menunjukkan jika modifikasi dalam permintaan ini dan modifikasi yang tertunda diterapkan secara asinkron sesegera mungkin, Untuk segera menerapkan perubahan, pilih. `true` Untuk menjadwalkan perubahan untuk jendela pemeliharaan berikutnya, pilih`false`. Tidak ada kendala |
| Hs4Ma3G162 - Peningkatan versi minor otomatis RDS harus diaktifkan AWS Security Hub CSPM Pemeriksaan yang sesuai: [RDS.13](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade** Konfigurasi pemutakhiran versi minor otomatis untuk Amazon RDS diaktifkan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Instans Amazon RDS harus dalam `available` keadaan agar remediasi ini terjadi. |
| Hs4Ma3G163 - Cluster RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot AWS Security Hub CSPM Pemeriksaan yang sesuai: [RDS.16](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagtosnapshot`pengaturan untuk kluster Amazon RDS diaktifkan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Instans Amazon RDS harus dalam keadaan tersedia agar remediasi ini terjadi. |
| Hs4Ma3G164 - Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot AWS Security Hub CSPM Pemeriksaan yang sesuai: [RDS.17](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagsToSnapshot`pengaturan untuk Amazon RDS diaktifkan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Instans Amazon RDS harus dalam keadaan tersedia agar remediasi ini terjadi. |
| [RSS93 HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots) Cuplikan Publik Amazon RDS | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** Akses publik untuk snapshot Amazon RDS dinonaktifkan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G103 - Cluster Amazon Redshift harus melarang akses publik AWS Security Hub CSPM Pemeriksaan yang sesuai: [Redshift.1](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster** Akses publik di klaster Amazon Redshift dinonaktifkan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Menonaktifkan akses publik memblokir semua klien yang berasal dari internet. Dan cluster Amazon Redshift berada dalam kondisi modifikasi selama beberapa menit sementara remediasi menonaktifkan akses publik di cluster. |
| Hs4Ma3G106 - Cluster Amazon Redshift harus mengaktifkan pencatatan audit AWS Security Hub CSPM Pemeriksaan yang sesuai: [Redshift.4](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging** Pencatatan audit diaktifkan ke klaster Amazon Redshift Anda selama jendela pemeliharaan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan. **BucketName:** Ember harus sama Wilayah AWS. Cluster harus telah membaca bucket dan menempatkan izin objek. Jika pencatatan klaster Redshift diaktifkan sebelum eksekusi otomatisasi, maka pengaturan logging mungkin ditimpa oleh otomatisasi ini dengan `S3KeyPrefix` nilai `BucketName` dan yang dikonfigurasi dalam parameter yang telah dikonfigurasi sebelumnya. |
| Hs4Ma3G105 - Amazon Redshiftharus memiliki upgrade otomatis ke versi utama diaktifkan AWS Security Hub CSPM Pemeriksaan yang sesuai: [Redshift.6](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade**- Upgrade versi utama diterapkan secara otomatis ke cluster selama jendela pemeliharaan. Tidak ada waktu henti langsung untuk cluster Amazon Redshift, tetapi cluster Amazon Redshift Anda mungkin mengalami downtime selama jendela pemeliharaannya jika ditingkatkan ke versi utama. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G104 - Cluster Amazon Redshift harus menggunakan perutean VPC yang disempurnakan AWS Security Hub CSPM Pemeriksaan yang sesuai: [Redshift.7](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting** Perutean VPC yang disempurnakan diaktifkan untuk klaster Amazon Redshift. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G173 - Pengaturan Akses Publik Blok S3 harus diaktifkan pada tingkat ember AWS Security Hub CSPM Pemeriksaan yang sesuai: [S3.8](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8) | **AWSManagedServices-TrustedRemediatorBlockS3 BucketPublicAccess** Blok akses publik tingkat ember diterapkan untuk bucket Amazon S3. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Remediasi ini dapat mempengaruhi ketersediaan objek S3. Untuk informasi tentang cara Amazon S3 mengevaluasi akses, lihat [Memblokir akses publik ke penyimpanan Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) Anda. |
| Hs4Ma3G230 - Pencatatan akses server bucket S3 harus diaktifkan AWS Security Hub CSPM Pemeriksaan yang sesuai: [S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-EnableBucketAccessLogging**(dokumen SSM default untuk mode eksekusi auto dan manual) Pencatatan akses server Amazon S3 diaktifkan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasikan sebelumnya harus disediakan:. **TargetBucket** Bucket tujuan harus sama Wilayah AWS dan Akun AWS sebagai bucket sumber, dengan izin yang benar untuk pengiriman log. Untuk informasi selengkapnya, lihat [Mengaktifkan pencatatan akses server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| Hs4Ma3G230 - Pencatatan akses server bucket S3 harus diaktifkan AWS Security Hub CSPM Pemeriksaan yang sesuai: [S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** - Pencatatan bucket Amazon S3 diaktifkan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Untuk mengaktifkan remediasi otomatis, parameter berikut harus disediakan: **TargetBucketTagKey**dan **TargetBucketTagValue**. Bucket tujuan harus sama Wilayah AWS dan Akun AWS sebagai bucket sumber, dengan izin yang benar untuk pengiriman log. Untuk informasi selengkapnya, lihat [Mengaktifkan pencatatan akses server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| [Pfx0 RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) Izin Bucket Amazon S3 | **AWSManagedServices-TrustedRemediatorBlockS3 BucketPublicAccess** Akses publik blok | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Pemeriksaan ini terdiri dari beberapa kriteria peringatan. Otomatisasi ini memulihkan masalah akses publik. Remediasi untuk masalah konfigurasi lain yang ditandai oleh Trusted Advisor tidak didukung. Remediasi ini mendukung remediasi bucket S3 yang Layanan AWS dibuat (misalnya, cf-templates-0000000000). |
| Hs4Ma3G272 - Pengguna seharusnya tidak memiliki akses root ke instance notebook SageMaker AWS Security Hub CSPM Cek yang sesuai: [SageMaker.3](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3) | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess** Akses root untuk pengguna dinonaktifkan untuk contoh SageMaker notebook. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Remediasi ini menyebabkan pemadaman jika instance SageMaker notebook dalam keadaan. InService |
| Hs4Ma3G179 - Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS AWS Security Hub CSPM Pemeriksaan yang sesuai: [SNS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) | **AWSManagedServices-EnableSNSEncryptionAtRest** Topik SNS dikonfigurasi dengan enkripsi sisi server. | **KmsKeyId:** ID kunci master pelanggan AWS terkelola (CMK) untuk Amazon SNS atau CMK kustom yang akan digunakan untuk enkripsi sisi server (SSE). Default diatur ke`alias/aws/sns`. Jika AWS KMS kunci khusus digunakan, itu harus dikonfigurasi dengan izin yang benar. Untuk informasi selengkapnya, lihat [Mengaktifkan enkripsi sisi server (SSE) untuk topik Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) |
| Hs4Ma3G158 - Dokumen SSM seharusnya tidak bersifat publik AWS Security Hub CSPM Pemeriksaan yang sesuai: [SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing**- Menonaktifkan berbagi dokumen SSM secara publik. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| Hs4Ma3G136 - Antrian Amazon SQS harus dienkripsi saat istirahat AWS Security Hub CSPM Pemeriksaan yang sesuai: [SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest** Pesan di Amazon SQS dienkripsi. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Anonim SendMessage dan ReceiveMessage permintaan ke antrian terenkripsi ditolak. Semua permintaan untuk antrian dengan SSE diaktifkan harus menggunakan HTTPS dan Signature Version 4. |
## Trusted Advisor pemeriksaan toleransi kesalahan yang didukung oleh Trusted Remediator
| Periksa ID dan nama | Nama dokumen SSM dan hasil yang diharapkan | Parameter dan kendala yang telah dikonfigurasikan sebelumnya yang didukung |
| --- | --- | --- |
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery) Pemulihan Amazon DynamoDB Point-in-time | **AWSManagedServices-TrustedRemediatorEnableDDBPITR** Mengaktifkan point-in-time pemulihan untuk tabel DynamoDB. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [R365s2qddf](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) Versi Bucket Amazon S3 | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning** Versi bucket Amazon S3 diaktifkan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Remediasi ini tidak mendukung remediasi bucket S3 yang Layanan AWS dibuat (misalnya cf-templates-0000000000). |
| [BueAdJ7nrp](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging) Pencatatan Bucket Amazon S3 | **AWSManagedServices-EnableBucketAccessLogging** Pencatatan bucket Amazon S3 diaktifkan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Bucket tujuan harus sama Wilayah AWS dan Akun AWS sebagai bucket sumber, dengan izin yang benar untuk pengiriman log. Untuk informasi selengkapnya, lihat [Mengaktifkan pencatatan akses server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| [F2ik5r6dep](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az) Amazon RDS Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ** Penyebaran Zona Multi-Ketersediaan diaktifkan. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Ada kemungkinan penurunan kinerja selama perubahan ini. |
| [H7 IgTzj TYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots) Snapshot Amazon EBS | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot** Amazon EBSsnapshots dibuat. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [di QPADk ZVh](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Cadangan RDS | **AWSManagedServices-EnableRDSBackupRetention** Retensi cadangan Amazon RDS diaktifkan untuk DB. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Jika `ApplyImmediately` parameter disetel ke`true`, perubahan yang tertunda pada db diterapkan bersama dengan pengaturan RDSBackup retensi. |
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Instans Amazon RDS DB memiliki penyimpanan autoscaling dimatikan | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling**- Penskalaan otomatis penyimpanan diaktifkan untuk instans Amazon RDS DB. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Tidak ada kendala |
| [7q GXs KIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining) Connection Draining Classic Load Balancer | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining** Pengurasan koneksi diaktifkan untuk Classic Load Balancer. | **ConnectionDrainingTimeout:** Waktu maksimum, dalam hitungan detik, untuk menjaga koneksi yang ada tetap terbuka sebelum membatalkan pendaftaran instance. Default diatur ke `300` detik. Tidak ada kendala |
| [c18d2gz106](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan) Amazon EBS Tidak Termasuk dalam Paket AWS Backup | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan** Amazon EBS termasuk dalam AWS Backup Paket. | Remediasi menandai volume Amazon EBS dengan pasangan tag berikut. Pasangan tag harus cocok dengan kriteria pemilihan sumber daya berbasis tag untuk AWS Backup. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Tidak ada kendala |
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan) Tabel Amazon DynamoDB Tidak Termasuk dalam Paket AWS Backup | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan** Tabel Amazon DynamoDB disertakan dalam Paket. AWS Backup | Remediasi menandai Amazon DynamoDB dengan pasangan tag berikut. Pasangan tag harus cocok dengan kriteria pemilihan sumber daya berbasis tag untuk AWS Backup. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Tidak ada kendala |
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan) Amazon EFS Tidak Termasuk dalam AWS Backup Paket | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan** Amazon EFS disertakan dalam AWS Backup Paket. | Remediasi menandai Amazon EFS dengan pasangan tag berikut. Pasangan tag harus cocok dengan kriteria pemilihan sumber daya berbasis tag untuk AWS Backup. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Tidak ada kendala |
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing) Penyeimbang Beban Jaringan Cross Load Balancing | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing** Penyeimbangan beban lintas zona diaktifkan pada Network Load Balancer. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off) `synchronous_commit`Parameter Amazon RDS dimatikan | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Parameter `synchronous_commit` dihidupkan untuk Amazon RDS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off) `innodb_flush_log_at_trx_commit`Parameter Amazon RDS tidak `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Parameter `innodb_flush_log_at_trx_commit` diatur ke `1` untuk Amazon RDS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off) `sync_binlog`Parameter Amazon RDS dimatikan | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Parameter `sync_binlog` dihidupkan untuk Amazon RDS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe) Pengaturan `innodb_default_row_format` parameter Amazon RDS tidak aman | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Parameter `innodb_default_row_format` diatur ke `DYNAMIC` untuk Amazon RDS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c18d2gz144](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled) Pemantauan EC2 Terperinci Amazon Tidak Diaktifkan | **AWSManagedServices-TrustedRemediatorEnableEC2 InstanceDetailedMonitoring** Pemantauan terperinci diaktifkan untuk Amazon EC2. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
## Trusted Advisor pemeriksaan kinerja yang didukung oleh Trusted Remediator
| Periksa ID dan nama | Nama dokumen SSM dan hasil yang diharapkan | Parameter dan kendala yang telah dikonfigurasikan sebelumnya yang didukung |
| --- | --- | --- |
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size) AWS Lambda fungsi yang kurang disediakan untuk ukuran memori | **AWSManagedServices-ResizeLambdaMemory** Fungsi Lambda ukuran memori diubah ukurannya ke ukuran memori yang direkomendasikan yang disediakan oleh. Trusted Advisor | **RecommendedMemorySize:** Alokasi memori yang direkomendasikan untuk fungsi Lambda. Rentang nilai antara 128 dan 10240. Jika ukuran fungsi Lambda dimodifikasi sebelum eksekusi otomatisasi, maka otomatisasi ini mungkin menimpa pengaturan dengan nilai yang direkomendasikan oleh. Trusted Advisor |
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances) Instans Amazon EC2 Pemanfaatan Tinggi | **AWSManagedServices-ResizeInstanceByOneLevel** EC2 Instans Amazon diubah ukurannya dengan satu jenis instans dalam tipe keluarga instance yang sama. Instance dihentikan dan dimulai selama operasi pengubahan ukuran dan dikembalikan ke keadaan awal setelah eksekusi selesai. Otomatisasi ini tidak mendukung pengubahan ukuran instans yang ada di Grup Auto Scaling. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Tidak ada kendala |
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal) `innodb_change_buffering`Parameter Amazon RDS menggunakan nilai kurang dari optimal | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Nilai `innodb_change_buffering` parameter diatur `NONE` untuk Amazon RDS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off) `autovacuum`Parameter Amazon RDS dimatikan | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Parameter `autovacuum` dihidupkan untuk Amazon RDS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off) `enable_indexonlyscan`Parameter Amazon RDS dimatikan | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Parameter `enable_indexonlyscan` dihidupkan untuk Amazon RDS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off) `enable_indexscan`Parameter Amazon RDS dimatikan | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Parameter `enable_indexscan` dihidupkan untuk Amazon RDS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off) `innodb_stats_persistent`Parameter Amazon RDS dimatikan | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Parameter `innodb_stats_persistent` dihidupkan untuk Amazon RDS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on) `general_logging`Parameter Amazon RDS dihidupkan | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Parameter `general_logging` dimatikan untuk Amazon RDS. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
## Trusted Advisor pemeriksaan batas layanan yang didukung oleh Trusted Remediator
| Periksa ID dan nama | Nama dokumen SSM dan hasil yang diharapkan | Parameter dan kendala yang telah dikonfigurasikan sebelumnya yang didukung |
| --- | --- | --- |
| [Ln7rr0L7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address) EC2-Alamat IP Elastis VPC | **AWSManagedServices-UpdateVpcElasticIPQuota** Batas baru untuk alamat IP elastis EC2 -VPC diminta. Secara default, batas ditingkatkan sebesar 3. | **Kenaikan:** Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya `3`. Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan `OK` status, maka mungkin ada peningkatan batas yang lebih tinggi. |
| [Km7QQ0L7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways) Gateway Internet VPC | **AWSManagedServices-IncreaseServiceQuota**- Batas baru untuk gateway internet VPC diminta. Secara default, batasnya meningkat tiga. | **Kenaikan:** Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya `3`. Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan `OK` status, maka mungkin ada peningkatan batas yang lebih tinggi. |
| [JL7pp0L7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check) VPC | **AWSManagedServices-IncreaseServiceQuota** Batas baru untuk VPC diminta. Secara default, batasnya meningkat 3. | **Kenaikan:** Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya `3`. Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan `OK` status, maka mungkin ada peningkatan batas yang lebih tinggi. |
| [FW7HH0L7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups) Grup Auto Scaling | **AWSManagedServices-IncreaseServiceQuota** Batas baru untuk Grup Auto Scaling diminta. Secara default, batasnya meningkat 3. | **Kenaikan:** Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya `3`. Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan `OK` status, maka mungkin ada peningkatan batas yang lebih tinggi. |
| [3Njm0 DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups) Grup Opsi RDS | **AWSManagedServices-IncreaseServiceQuota** Batas baru untuk grup opsi Amazon RDS diminta. Secara default, batasnya meningkat 3. | **Kenaikan:** Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya `3`. Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan `OK` status, maka mungkin ada peningkatan batas yang lebih tinggi. |
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers) Penyeimbang Beban Aplikasi ELB | **AWSManagedServices-IncreaseServiceQuota** Batas baru untuk ELB Application Load Balancers diminta. Secara default, batasnya meningkat 3. | **Kenaikan:** Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya `3`. Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan `OK` status, maka mungkin ada peningkatan batas yang lebih tinggi. |
| [8WiQ YSt25 K](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers) Penyeimbang Beban Jaringan ELB | **AWSManagedServices-IncreaseServiceQuota** Batas baru untuk ELB Network Load Balancers diminta. Secara default, batasnya meningkat 3. | **Kenaikan:** Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya `3`. Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan `OK` status, maka mungkin ada peningkatan batas yang lebih tinggi. |
## Trusted Advisor pemeriksaan keunggulan operasional didukung oleh Trusted Remediator
| Periksa ID dan nama | Nama dokumen SSM dan hasil yang diharapkan | Parameter dan kendala yang telah dikonfigurasikan sebelumnya yang didukung |
| --- | --- | --- |
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled) Amazon API Gateway Tidak Mencatat Log Eksekusi | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** Pencatatan eksekusi diaktifkan pada tahap API. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Anda harus memberikan izin API Gateway untuk membaca dan menulis log ke akun Anda CloudWatch untuk mengaktifkan log eksekusi, lihat [Mengatur CloudWatch logging untuk REST APIs di API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) untuk detailnya. |
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled) Perlindungan Penghapusan Elastic Load Balancing Tidak Diaktifkan untuk Load Balancer | **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection**- Perlindungan penghapusan dihidupkan untuk Elastic Load Balancer. | Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan. Tidak ada kendala |
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off) Amazon RDS Performance Insights dimatikan | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights** Performance Insights diaktifkan untuk Amazon RDS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Tidak ada kendala |
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled) Log Akses Amazon S3 Diaktifkan | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** Pencatatan akses bucket Amazon S3 diaktifkan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/tr-supported-checks.html) Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan: **TargetBucketTagKey**dan. **TargetBucketTagValue** Bucket tujuan harus sama Wilayah AWS dan Akun AWS sebagai bucket sumber, dengan izin yang benar untuk pengiriman log. Untuk informasi selengkapnya, lihat [Mengaktifkan pencatatan akses server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
# Konfigurasikan remediasi Trusted Advisor cek di Remediator Tepercaya
Konfigurasi disimpan AWS AppConfig sebagai bagian dari aplikasi Remediator Tepercaya. Setiap kategori Trusted Advisor cek memiliki profil konfigurasi terpisah. Untuk informasi selengkapnya tentang Trusted Advisor kategori, lihat [Lihat kategori cek](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor.html#view-check-categories).
Anda dapat mengonfigurasi remediasi berdasarkan per sumber daya atau per Trusted Advisor pemeriksaan. Anda dapat menerapkan pengecualian menggunakan tag sumber daya.
**catatan**
Remediasi Trusted Advisor temuan saat ini dikonfigurasi menggunakan AWS AppConfig, dan fitur ini sepenuhnya didukung hari ini. AMS mengantisipasi bahwa ini akan berubah di masa depan. Ini adalah praktik terbaik untuk menghindari membangun otomatisasi yang bergantung pada AWS AppConfig, karena metode ini dapat berubah. Ketahuilah bahwa Anda mungkin perlu memperbarui atau memodifikasi otomatisasi yang dibangun di sekitar AWS AppConfig implementasi saat ini di masa mendatang untuk kompatibilitas.
Compute Optimizer EC2 -> flag fitur instance memiliki parameter tambahan:
**allow-upscale** Untuk mengizinkan instance kelas atas yang tidak dioptimalkan yang kurang disediakan. EC2 Nilai defaultnya adalah “false”.
**min-savings-opportunity-percentage**Peluang persentase penghematan minimum untuk remediasi otomatis. Nilai defaultnya adalah 10%
## Konfigurasi remediasi default
Konfigurasi untuk Trusted Advisor pemeriksaan individual disimpan sebagai AWS AppConfig bendera. Nama bendera cocok dengan nama cek. Setiap konfigurasi cek berisi atribut berikut:
+ **mode eksekusi:** Menentukan bagaimana Trusted Remediator melakukan remediasi default:
+ **Automated:** Trusted Remediator secara otomatis memulihkan sumber daya dengan membuat OpsItem, menjalankan dokumen SSM, dan kemudian menyelesaikan setelah eksekusi berhasil. OpsItem
+ **Petunjuk:** An OpsItem dibuat, tetapi dokumen SSM tidak dijalankan secara otomatis. Anda meninjau dan menjalankan dokumen SSM secara manual dari OpsItem AWS Systems Manager OpsCenter konsol.
+ **Bersyarat:** Remediasi dinonaktifkan secara default. Anda dapat mengaktifkannya untuk sumber daya tertentu menggunakan tag. Untuk informasi selengkapnya, lihat bagian berikut [Sesuaikan remediasi dengan tag sumber daya](#tr-con-rem-customize-tags) dan[Sesuaikan remediasi dengan tag penggantian sumber daya](#tr-con-rem-resource-override).
+ **Tidak aktif:** Remediasi tidak terjadi dan tidak ada OpsItem yang dibuat. Anda tidak dapat mengganti mode eksekusi untuk Trusted Advisor pemeriksaan yang disetel ke tidak aktif.
+ **parameter yang telah dikonfigurasi sebelumnya:** Masukkan nilai untuk parameter dokumen SSM yang diperlukan untuk remediasi otomatis, dalam format, dipisahkan dengan koma (`Parameter=Value`,). Lihat parameter [Trusted Advisor cek yang didukung oleh Trusted Remediator](tr-supported-checks.md) yang telah dikonfigurasi sebelumnya yang didukung untuk dokumen SSM terkait untuk setiap pemeriksaan.
+ **alternative-automation-document:** Atribut ini membantu mengganti dokumen otomatisasi yang ada dengan dokumen lain yang didukung (jika tersedia untuk pemeriksaan tertentu). Secara default, atribut ini tidak dipilih.
**catatan**
`alternative-automation-document`Atribut tidak mendukung dokumen otomatisasi kustom. Anda dapat menggunakan dokumen otomatisasi Remediator Tepercaya yang sudah ada yang tercantum di[Trusted Advisor cek yang didukung oleh Trusted Remediator](tr-supported-checks.md).
Misalnya, untuk cek`Qch7DwouX1`, ada tiga dokumen SSM terkait: AWSManagedServices-StopEC 2Instance, AWSManagedServices-ResizeInstanceByOneLevel, dan. AWSManagedServices-TerminateInstance Nilai untuk `alternative-automation-document` dapat berupa AWSManagedServices-ResizeInstanceByOneLevel atau AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance adalah dokumen SSM default untuk diperbaiki`Qch7DwouX1`).
Nilai untuk setiap atribut harus sesuai dengan batasan atribut tersebut.
**Tip**
Sebelum Anda menerapkan konfigurasi default untuk Trusted Advisor pemeriksaan Anda, sebaiknya pertimbangkan untuk menggunakan fitur penandaan Sumber Daya dan penggantian sumber daya yang dijelaskan di bagian berikut. Konfigurasi default berlaku untuk semua sumber daya dalam akun, yang mungkin tidak diinginkan dalam semua kasus.
Berikut ini adalah contoh tangkapan layar konsol dengan **mode eksekusi** diatur ke **Manual** dan atribut yang cocok dengan kendala mereka.
![\[Ilustrasi alur kerja keputusan mode eksekusi Remediator Tepercaya.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/tr-exe-mode-man-new.png)
## Sesuaikan remediasi dengan tag sumber daya
**manual-for-tagged-only**Atribut **automated-for-tagged-only**dan dalam konfigurasi cek memungkinkan Anda untuk menentukan tag sumber daya untuk bagaimana Anda ingin memulihkan pemeriksaan individual. Ini adalah praktik terbaik untuk menggunakan metode ini ketika Anda perlu menerapkan perilaku remediasi yang konsisten ke sekelompok sumber daya yang berbagi tag atau tag yang sama. Berikut ini adalah deskripsi untuk tag ini:
+ **automated-for-tagged-only:** Tentukan tag sumber daya (satu atau beberapa pasangan tag, dipisahkan koma) untuk pemeriksaan untuk memulihkan secara otomatis, terlepas dari mode eksekusi default.
+ **manual-for-tagged-only:** Tentukan tag sumber daya (satu atau beberapa pasangan tag, dipisahkan koma) untuk remediasi yang harus dijalankan secara manual, terlepas dari mode eksekusi default.
Misalnya, jika Anda ingin mengaktifkan remediasi otomatis untuk semua sumber daya non-produksi dan menerapkan remediasi manual untuk sumber daya produksi, Anda dapat menetapkan konfigurasi sebagai berikut:
```
"execution-mode": "Conditional",
"automated-for-tagged-only": "Environment=Non-Production",
"manual-for-tagged-only": "Environment=Production",
```
Dengan konfigurasi sebelumnya yang ditetapkan pada sumber daya Anda, periksa perilaku remediasi adalah sebagai berikut:
+ Sumber daya yang ditandai dengan 'Environment=Non-Production' diperbaiki secara otomatis.
+ Sumber daya yang ditandai dengan 'Environment=Production' memerlukan intervensi manual untuk remediasi.
+ Sumber daya tanpa tag 'Lingkungan' mengikuti mode eksekusi default (`Conditional`, dalam hal ini. Jadi, tidak ada tindakan yang diambil pada sumber daya yang tersisa).
Untuk dukungan tambahan dengan konfigurasi Anda, hubungi Cloud Architect Anda.
## Sesuaikan remediasi dengan tag penggantian sumber daya
Tag penggantian sumber daya memungkinkan Anda menyesuaikan perilaku remediasi untuk sumber daya individual, terlepas dari tag mereka. Dengan menambahkan tag tertentu ke sumber daya, Anda mengganti mode eksekusi default untuk sumber daya tersebut dan Trusted Advisor pemeriksaan. Tag penggantian sumber daya lebih diutamakan daripada konfigurasi default dan setelan penandaan sumber daya. Jadi, jika Anda menyetel mode eksekusi default ke **Otomatis**, **Manual**, atau **Bersyarat** untuk sumber daya yang menggunakan tag penggantian sumber daya, itu akan mengganti mode eksekusi default dan konfigurasi penandaan sumber daya apa pun.
Untuk mengganti mode eksekusi sumber daya, selesaikan langkah-langkah berikut:
1. Identifikasi sumber daya yang ingin Anda ganti konfigurasi remediasi.
1. Tentukan ID Trusted Advisor cek untuk cek yang ingin Anda ganti. Anda dapat menemukan cek IDs untuk Trusted Advisor cek yang didukung[Trusted Advisor cek yang didukung oleh Trusted Remediator](tr-supported-checks.md).
1. Tambahkan tag ke sumber daya dengan kunci dan nilai berikut:
+ **Kunci tag:** `TR-Trusted Advisor check ID-Execution-Mode` (peka huruf besar/kecil)
Dalam contoh kunci tag sebelumnya, ganti `Trusted Advisor check ID` dengan tanda Trusted Advisor centang unik yang ingin Anda timpa.
+ **Nilai tag:** Gunakan salah satu nilai berikut untuk nilai tag:
+ **Otomatis:** Remediator Tepercaya secara otomatis memulihkan sumber daya untuk pemeriksaan ini Trusted Advisor .
+ **Petunjuk:** An OpsItem dibuat untuk sumber daya, tetapi remediasi tidak dilakukan secara otomatis. Anda meninjau dan menjalankan remediasi secara manual dari. OpsItem
+ **Tidak aktif:** Remediasi dan OpsItem pembuatan tidak dilakukan untuk sumber daya ini dan pemeriksaan yang ditentukan Trusted Advisor .
Misalnya, untuk memulihkan volume Amazon EBS secara otomatis dengan ID Trusted Advisor cek, `DAvU99Dc4C` tambahkan tag ke volume EBS. **Kunci tag** adalah `TR-DAvU99Dc4C-Execution-Mode` dan **nilai tag** adalah`Automated`.
Berikut ini adalah contoh konsol yang menunjukkan bagian **Tag**:
![\[Contoh bagian Tag di konsol.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/tr-tags-example.png)
# Alur kerja keputusan mode eksekusi
Ada beberapa level untuk mengonfigurasi mode eksekusi untuk sumber daya Anda dan setiap Trusted Advisor pemeriksaan. Diagram berikut menunjukkan bagaimana Trusted Remediator memutuskan mode eksekusi mana yang akan digunakan berdasarkan konfigurasi Anda:
![\[Ilustrasi alur kerja keputusan mode eksekusi Remediator Tepercaya.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/tr-ex-mode-workflow.png)
# Konfigurasikan tutorial remediasi
Tutorial berikut memberikan contoh pembuatan remediasi umum di Trusted Remediator
## Memulihkan semua sumber daya secara manual
Contoh ini mengonfigurasi remediasi manual untuk semua volume Amazon EBS dengan ID Trusted Advisor cek DAv U99Dc4C (Volume Amazon EBS yang Kurang Digunakan).
**Konfigurasikan remediasi manual untuk volume Amazon EBS dengan cek ID U99Dc4C DAv**
1. Buka AWS AppConfig konsol di [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
Pastikan Anda masuk sebagai akun **Administrator Delegasi**.
1. Pilih **Trusted Remediator** dari daftar aplikasi.
1. Pilih profil konfigurasi **Pengoptimalan Biaya**.
1. Pilih bendera **Volume Amazon EBS yang Kurang Digunakan**.
1. **Untuk **mode eksekusi, pilih Manual**.**
1. Pastikan **manual-for-tagged-only**atribut **automated-for-tagged-only**dan kosong. Atribut ini digunakan untuk mengganti mode eksekusi default untuk sumber daya dengan tag yang cocok.
Berikut ini adalah contoh bagian **Atribut** dengan nilai kosong untuk **automated-for-tagged-only**dan **manual-for-tagged-only**dan **Manual** untuk mode **eksekusi**:
![\[Contoh bagian Atribut.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/tr-tutorial1.png)
1. Pilih **Simpan** untuk memperbarui nilai, lalu pilih **Simpan versi baru** untuk menerapkan perubahan. Anda harus memilih **Simpan versi baru** untuk Remediator Tepercaya untuk mengenali perubahan.
1. Pastikan volume Amazon EBS Anda tidak memiliki tag dengan kuncinya`TR-DAvU99Dc4C-Execution-Mode`. Kunci tag ini mengganti mode eksekusi default untuk Volume EBS tersebut.
## Memulihkan semua sumber daya secara otomatis, kecuali untuk sumber daya yang dipilih
**Contoh ini mengonfigurasi remediasi otomatis untuk semua volume Amazon EBS dengan ID Trusted Advisor cek DAv U99Dc4C (Volume Amazon EBS yang Kurang Digunakan), dengan pengecualian volume tertentu yang tidak akan diperbaiki (ditetapkan Tidak Aktif.**
**Konfigurasikan remediasi otomatis untuk volume Amazon EBS dengan cek ID DAv U99Dc4C, dengan pengecualian sumber daya tidak aktif yang dipilih**
1. Buka AWS AppConfig konsol di [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
Pastikan Anda masuk sebagai akun **Administrator Delegasi**.
1. Pilih **Trusted Remediator** dari daftar aplikasi.
1. Pilih profil konfigurasi **Pengoptimalan Biaya**.
1. Pilih bendera **Volume Amazon EBS yang Kurang Digunakan**.
1. **Untuk **mode eksekusi, pilih Otomatis**.**
1. Pastikan **manual-for-tagged-only**atribut **automated-for-tagged-only**dan kosong. Atribut ini digunakan untuk mengganti mode eksekusi default untuk sumber daya dengan tag yang cocok.
Berikut ini adalah contoh bagian **Atribut** dengan nilai kosong untuk **automated-for-tagged-only**dan **manual-for-tagged-only**dan **Automated** for **execution-mode**:
![\[Contoh bagian Atribut.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/tr-tutorial2.png)
1. Pilih **Simpan** untuk memperbarui nilai, lalu pilih **Simpan versi baru** untuk menerapkan perubahan. Anda harus memilih **Simpan versi baru** untuk Remediator Tepercaya untuk mengenali perubahan.
Pada titik ini, semua volume Amazon EBS diatur untuk remediasi otomatis.
1. Ganti remediasi otomatis untuk volume Amazon EBS yang dipilih:
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Pilih **Elastic Block Store**, **Volume**.
1. Pilih **Tanda**.
1. Pilih **Kelola tanda**.
1. Tambahkan tag berikut:
+ **Kunci: Mode Eksekusi** TR- DAv U99Dc4C
+ **Nilai:** Tidak aktif
Berikut ini adalah contoh bagian **Tag** yang menunjukkan bidang **Kunci** dan **Nilai**:
![\[Contoh bagian Atribut.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/tr-tutorial-inactive.png)
1. Ulangi langkah 2 hingga 5 untuk semua volume Amazon EBS yang ingin Anda kecualikan dari remediasi.
## Memulihkan sumber daya yang ditandai secara otomatis
Contoh ini mengonfigurasi remediasi otomatis untuk semua volume Amazon EBS dengan tag `Stage=NonProd` dengan ID Trusted Advisor cek DAv U99Dc4C (Volume Amazon EBS yang Kurang Digunakan). Semua sumber daya lain tanpa tag ini tidak diperbaiki.
**Konfigurasikan remediasi otomatis untuk volume Amazon EBS dengan tag `Stage=NonProd` untuk cek ID U99Dc4C DAv**
1. Buka AWS AppConfig konsol di [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
Pastikan Anda masuk sebagai akun **Administrator Delegasi**.
1. Pilih **Trusted Remediator** dari daftar aplikasi.
1. Pilih profil konfigurasi **Pengoptimalan Biaya**.
1. Pilih bendera **Volume Amazon EBS yang Kurang Digunakan**.
1. **Untuk **mode eksekusi, pilih Bersyarat**.**
1. Atur **automated-for-tagged-only** ke `Stage=NonProd` . Atribut ini mengesampingkan default `execution-mode` untuk sumber daya dengan tag yang cocok. Pastikan **manual-for-tagged-only**atributnya kosong.
**Berikut ini adalah contoh dari bagian **Atribut** dengan **automated-for-tagged-only**set ke **Stage = NonProd** dan **Conditional** for execution-mode:**
![\[Contoh bagian Atribut.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/tr-tutorial-conditional.png)
1. Secara opsional, setel parameter yang telah dikonfigurasi ke salah satu dari berikut ini:
+ `CreateSnapshot=false`untuk tidak membuat snapshot dari volume Amazon EBS sebelum dihapus
+ `MinimumUnattachedDays=10`untuk menetapkan hari minimum yang tidak terikat dari volume Amazon EBS yang akan dihapus menjadi 10 hari
+ `CreateSnapshot=false`, `MinimumUnattachedDays=10` untuk kedua hal di atas
1. Pilih **Simpan** untuk memperbarui nilai, lalu pilih **Simpan versi baru** untuk menerapkan perubahan. Anda harus memilih **Simpan versi baru** untuk Remediator Tepercaya untuk mengenali perubahan.
1. Pastikan volume Amazon EBS Anda tidak memiliki tag dengan kuncinya`TR-DAvU99Dc4C-Execution-Mode`. Kunci tag ini mengganti mode eksekusi default untuk Volume EBS tersebut.
# Bekerja dengan remediasi di Remediator Tepercaya
## Lacak remediasi di Remediator Tepercaya
Untuk melacak OpsItems remediasi, selesaikan langkah-langkah berikut:
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Manajemen Operasi**, **OpsCenter**.
1. (Opsional) Filter daftar berdasarkan **Sumber = Remediator Tepercaya untuk menyertakan hanya Remediator** Tepercaya dalam daftar. OpsItems
Berikut ini adalah contoh OpsCenter layar yang disaring oleh **Source=Trusted** Remediator:
![\[Contoh bagian Atribut.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/tr-opsitems-console.png)
**catatan**
Selain melihat OpsItems dari OpsCenter, Anda dapat melihat log remediasi di bucket AMS S3. Untuk informasi selengkapnya, lihat [Log remediasi di Remediator Tepercaya](tr-logging.md).
## Jalankan remediasi manual di Remediator Tepercaya
Trusted Remediator membuat OpsItems pemeriksaan yang dikonfigurasi untuk remediasi manual. Anda harus meninjau pemeriksaan ini dan memulai proses remediasi secara manual.
Untuk memulihkan secara manual OpsItem, selesaikan langkah-langkah berikut:
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Manajemen Operasi**, **OpsCenter**.
1. (Opsional) Filter daftar berdasarkan **Sumber = Remediator Tepercaya untuk menyertakan hanya Remediator** Tepercaya dalam daftar. OpsItems
1. Pilih OpsItem yang ingin Anda tinjau.
1. Tinjau data operasional OpsItem. Data operasional mencakup item-item berikut:
+ **trustedAdvisorCheckKategori:** Kategori ID Trusted Advisor cek. Misalnya, toleransi kesalahan
+ **trustedAdvisorCheckId:** ID Trusted Advisor cek unik.
+ **trustedAdvisorCheckMetadata:** Metadata sumber daya, termasuk ID sumber daya.
+ **trustedAdvisorCheckNama:** Nama Trusted Advisor cek.
+ **trustedAdvisorCheckStatus:** Status Trusted Advisor cek terdeteksi untuk sumber daya.
1. Untuk memulihkan secara manual OpsItem, selesaikan langkah-langkah berikut:
1. Dari **Runbook**, pilih salah satu runbook terkait (dokumen SSM).
1. Pilih **Eksekusi**.
1. Untuk **AutomationAssumeRole **, pilih` arn:aws:iam::Akun AWS ID:role/ams_ssm_automation_role`. Ganti Akun AWS ID dengan ID akun tempat remediasi berjalan. Untuk nilai parameter lainnya, lihat **Data operasi**.
Untuk memulihkan sumber daya secara manual, peran atau pengguna yang digunakan untuk mengautentikasi ke Akun AWS harus memiliki `iam:PassRole` izin untuk peran IAM. `ams-ssm-automation-role` Untuk informasi selengkapnya, lihat [Memberikan izin pengguna untuk meneruskan peran ke Layanan AWS atau menghubungi Cloud Architect](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) Anda.
1. Pilih **Eksekusi**.
1. Pantau progres eksekusi dokumen SSM di kolom **status dan hasil terbaru**.
1. Setelah dokumen selesai, pilih **Setel Status**, **Diselesaikan** untuk menyelesaikan secara manual. OpsItem Jika dokumen gagal, tinjau detailnya dan jalankan kembali. SSMdocument Untuk dukungan pemecahan masalah tambahan, buat permintaan layanan.
Untuk menyelesaikan OpsItem tanpa remediasi, pilih **Setel Status** ke **Terselesaikan**.
1. Ulangi langkah 3 dan 4 untuk semua remediasi OpsItems manual yang tersisa.
## Memecahkan masalah remediasi di Remediator Tepercaya
Untuk bantuan dengan remediasi manual dan kegagalan remediasi, hubungi AMS.
Untuk melihat status dan hasil remediasi, selesaikan langkah-langkah berikut:
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pilih **Manajemen Operasi**, **OpsCenter**.
1. (Opsional) Filter daftar berdasarkan **Sumber = Remediator Tepercaya untuk menyertakan hanya Remediator** Tepercaya dalam daftar. OpsItems
1. Pilih OpsItem yang ingin Anda tinjau.
1. Di bagian **Eksekusi Otomasi**, tinjau **Nama Dokumen** **dan Status serta hasil**.
1. Tinjau kegagalan otomatisasi umum berikut. Jika masalah Anda tidak tercantum di sini, hubungi CSDM Anda untuk mendapatkan bantuan.
**Kesalahan remediasi umum**
### Tidak ada eksekusi yang tercantum dalam Eksekusi Otomasi
Tidak ada eksekusi yang terkait dengan yang OpsItem mungkin menunjukkan bahwa eksekusi gagal dimulai karena nilai parameter yang salah.
**Langkah pemecahan masalah**
1. Dalam **data Operasional**, tinjau nilai `trustedAdvisorCheckAutoRemediation` properti.
1. Verifikasi bahwa nilai **DocumentName**dan **Parameter** sudah benar. Untuk nilai yang benar, tinjau [Konfigurasikan remediasi Trusted Advisor cek di Remediator Tepercaya](tr-configure-remediations.md) detail tentang cara mengonfigurasi parameter SSM. Untuk meninjau parameter pemeriksaan yang didukung, lihat [Trusted Advisor cek yang didukung oleh Trusted Remediator](tr-supported-checks.md)
1. Verifikasi bahwa nilai dalam dokumen SSM cocok dengan pola yang diizinkan. Untuk melihat detail parameter dalam konten dokumen, pilih nama dokumen di bagian **Runbooks**.
1. Setelah Anda meninjau dan memperbaiki parameter, [jalankan dokumen SSM secara manual lagi](#tr-remediation).
1. Untuk mencegah kesalahan ini terulang, pastikan Anda mengonfigurasi remediasi dengan nilai **parameter** yang benar dalam konfigurasi Anda. Untuk informasi selengkapnya, lihat [Konfigurasikan remediasi Trusted Advisor cek di Remediator Tepercaya](tr-configure-remediations.md)
### Eksekusi gagal dalam Eksekusi Otomasi
Dokumen remediasi berisi beberapa langkah yang berinteraksi dengan Layanan AWS melakukan berbagai tindakan melalui APIs. Untuk mengidentifikasi penyebab spesifik kegagalan, selesaikan langkah-langkah berikut:
**Langkah pemecahan masalah**
1. Untuk melihat langkah-langkah eksekusi individual, pilih **ID Eksekusi**, tautan di bagian **Eksekusi Otomasi**. Berikut ini adalah contoh konsol Systems Manager yang menunjukkan **langkah-langkah Exection** untuk otomatisasi yang dipilih:
![\[Contoh konsol Systems Manager yang menunjukkan otomatisasi yang dipilih.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/tr-troubleshooting.png)
1. Pilih langkah dengan status **Gagal**. Berikut ini adalah contoh pesan kesalahan:
+ `NoSuchBucket - An error occurred (NoSuchBucket) when calling the GetPublicAccessBlock operation: The specified bucket does not exist`
Kesalahan ini menunjukkan bahwa nama bucket yang salah telah ditentukan dalam parameter konfigurasi remediasi yang telah dikonfigurasi sebelumnya.
Untuk mengatasi kesalahan ini, [jalankan otomatisasi secara manual](#tr-remediation) menggunakan nama bucket yang benar. Untuk mencegah masalah ini terulang, [perbarui konfigurasi remediasi dengan nama](tr-configure-remediations.md) bucket yang benar.
+ `DB instance my-db-instance-1 is not in available status for modification.`
Kesalahan ini menunjukkan bahwa otomatisasi tidak dapat membuat perubahan yang diharapkan karena instans DB dalam keadaan tidak valid.
Untuk mengatasi kesalahan ini, [jalankan otomatisasi secara manual](#tr-remediation).
# Log remediasi di Remediator Tepercaya
Trusted Remediator membuat log dalam format JSON dan mengunggahnya ke Amazon Simple Storage Service File log diunggah ke bucket S3 yang dibuat oleh AMS dan diberi nama. `ams-trusted-remediator-{your-account-id}-logs` AMS membuat bucket S3 di akun Administrator Delegasi. Anda dapat mengimpor file log ke dalam QuickSight untuk menghasilkan laporan remediasi yang disesuaikan.
Untuk informasi selengkapnya, lihat [Integrasi Remediator tepercaya dengan QuickSight](tr-qs-integration.md).
## Log item remediasi
Trusted Remediator menciptakan `Remediation item log` ketika remediasi OpsItem dibuat. Log ini berisi remediasi manual OpsItem dan remediasi otomatis. OpsItem Anda dapat menggunakan `Remediation item log` untuk melacak ikhtisar semua remediasi.
**Lokasi log item remediasi untuk rekomendasi Compute Optimizer**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/compute_optimizer_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**Lokasi log item remediasi untuk pemeriksaan Trusted Advisor **
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**URL file contoh log item remediasi**
`s3:///ams-trusted-remediator-111122223333-logs/remediation_items/2023-02-06/1675660464-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Format log item Remediasi Compute Optimizer**
```
{
"AccountID": "Account_ID",
"ComputeOptimizerCheckID": "Compute Optimizer check ID",
"ComputeOptimizerCheckName": "Compute Optimizer check name",
"ResourceID": "Resource ID",
"RemediationTime": Remediation creation time,
"ExecutionMode": "Automated or Manual",
"OpsItemID": "OpsItem ID"
}
```
**Trusted Advisor Format log item remediasi**
```
{
"TrustedAdvisorCheckID": Trusted Advisor check ID,
"TrustedAdvisorCheckName": Trusted Advisor check name,
"TrustedAdvisorCheckResultTime": 10 digits epoch time or unix timestamp,
"ResourceID": Resource ID,
"RemediationTime": Remediation creation time,
"ExecutionMode": Automated or Manual,
"OpsItemID": OpsItem ID
}
```
**Isi sampel format log item Remediasi Remediasi Compute Optimizer**
```
{
"AccountID": "123456789012",
"ComputeOptimizerCheckID": "compute-optimizer-ebs",
"ComputeOptimizerCheckName": "EBS volumes",
"ResourceID": "vol-1235589366f77aca7",
"RemediationTime": 1755044783,
"ExecutionMode": "Manual",
"OpsItemID": "oi-b8888b38fe78"
}
```
**Trusted Advisor Format log item remediasi konten sampel**
```
{
"TrustedAdvisorCheckID": "DAvU99Dc4C",
"TrustedAdvisorCheckName": "Underutilized Amazon EBS Volumes",
"TrustedAdvisorCheckResultTime": 1675614749,
"ResourceID": "vol-00bd8965660b4c16d",
"RemediationTime": 1675660464,
"OpsItemID": "oi-cca5df7af718"
}
```
## Log eksekusi remediasi otomatis, Compute Optimizer dan Trusted Advisor
Trusted Remediator membuat `Automated remediation execution log` ketika menjalankan dokumen SSM otomatis selesai. Log ini berisi rincian proses SSM untuk remediasi otomatis saja. OpsItem Anda dapat menggunakan file log ini untuk melacak remediasi otomatis.
**Compute Optimizer Lokasi log remediasi otomatis**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer recommendation ID.json`
**Trusted Advisor Lokasi log remediasi otomatis**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID-Resource ID.json`
**Compute Optimizer Contoh lokasi log remediasi otomatis**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/1750908858-123456789012-compute-optimizer-ec2-i-1235173471d2cd789.json`
**Trusted Advisor Contoh lokasi log remediasi otomatis**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2023-02-06/1675660573-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Konten sampel format log remediasi otomatis**
```
{
"OpsItemID": "oi-767c77e05301",
"SSMExecutionID": "93d091b2-778a-4cbc-b672-006954d76b86",
"SSMExecutionStatus": "Success"}
```
## Log akun anggota
Trusted Remediator membuat `Member accounts log` saat akun Anda di-onboard atau di-offboard. Anda dapat menggunakan `Member accounts log` untuk menemukan ID akun, onboard Wilayah AWS, dan waktu eksekusi setiap akun anggota.
**Lokasi log akun anggota**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/configuration_logs/member_accounts.json`
**URL file contoh log akun anggota**
`s3://ams-trusted-remediator-111122223333-logs/configuration_logs/member_accounts.json`
**Format log akun anggota**
```
{
"delegated_administrator_account_id": Delegated Administrator account id,
"appconfig_configuration_region": Trusted Remediator AppConfig Region,
"member_accounts": [
{
"account_id": Member account id
"account_partition": Member account partition (for example, aws),
"regions": [
{
"execution_time": Remediation execution time in cron schedule expression,
"execution_timezone": Timezone for the remediation execution time,
"region_name": Wilayah AWS name
}
...
]
}
...
],
"updated_at": Log update time,
}
```
**Akun anggota log format sampel konten**
```
{
"delegated_administrator_account_id": "111122223333",
"appconfig_configuration_region": "ap-southeast-2",
"member_accounts": [
{
"account_id": "222233334444",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 9 * * 6",
"execution_timezone": "Australia/Sydney",
"region_name": "ap-southeast-2"
},
{
"execution_time": "0 5 * * 7",
"execution_timezone": "UTC",
"region_name": "us-east-1"
}
]
},
{
"account_id": "333344445555",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 1 * * 5",
"execution_timezone": "Asia/Seoul",
"region_name": "ap-northeast-2"
}
]
}
],
"updated_at": "1730869607"
}
```
# Integrasi Remediator tepercaya dengan QuickSight
Anda dapat mengintegrasikan log Remediator Tepercaya yang disimpan di Amazon S3 QuickSight untuk membuat laporan remediasi yang disesuaikan. QuickSight Integrasi bersifat opsional. Fitur ini memungkinkan Anda menggunakan log untuk membuat dasbor pelaporan khusus. Untuk mendapatkan laporan berdasarkan permintaan untuk Trusted Remediator, hubungi CSDM Anda. Untuk informasi selengkapnya tentang laporan Remediator Tepercaya yang tersedia, lihat[Laporan Remediator Tepercaya](trusted-remediator-reports.md).
Untuk informasi selengkapnya tentang memvisualisasikan data QuickSight, lihat [Memvisualisasikan data](https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html) di. QuickSight
## Tambahkan kumpulan data QuickSight untuk log item Remediasi
Untuk menambahkan kumpulan data ke QuickSight log item Remediasi, ikuti langkah-langkah berikut:
1. Masuk ke QuickSight konsol. Anda dapat membuat QuickSight laporan di semua Wilayah AWS yang QuickSight mendukung. Namun, untuk kinerja yang lebih baik dan biaya yang lebih rendah, sebaiknya buat laporan di Wilayah tempat bucket logging Remediator Tepercaya berada.
1. Pilih **Datasets**.
1. Pilih **S3**.
1. Di **sumber data New S3**, masukkan nilai berikut:
+ **Nama sumber data:**` trusted-remediator-delegated_administrator_account_id-account_region-remediation-items`.
+ **Unggah file manifes:** Buat file JSON dengan konten berikut, dan gunakan. Saat membuat file, ganti `logging_bucket_name` URIPrefixes kunci.
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_items/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ Pilih **Hubungkan**.
+ Dari jendela **Selesai pembuatan kumpulan data**, pilih **Visualisasikan**.
+ QuickSight membuka halaman lembar analisis baru. Anda sekarang siap untuk membuat analisis baru menggunakan log item Remediation.
Berikut ini adalah analisis sampel:
![\[Lembar kerja analisis sampel.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/tr-sample-analysis.png)
## Menambahkan kumpulan data QuickSight untuk log eksekusi remediasi otomatis
1. Masuk ke QuickSight konsol. Anda dapat membuat QuickSight laporan di semua Wilayah AWS yang QuickSight mendukung. Namun, untuk kinerja yang lebih baik dan biaya yang lebih rendah, sebaiknya buat laporan di Wilayah tempat bucket logging Remediator Tepercaya berada.
1. Pilih **Datasets**.
1. Pilih **S3**.
1. Di **sumber data New S3**, masukkan nilai berikut:
+ **Nama sumber data:**`trusted-remediator-delegated_administrator_account_id-account_region-remediation-executions`.
+ **Unggah file manifes:** Buat file JSON dengan konten berikut, lalu gunakan file ini. Saat membuat file, ganti `logging_bucket_name` URIPrefixes kunci.
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_executions/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ Pilih **Hubungkan**.
+ Dari jendela **Selesai pembuatan kumpulan data**, pilih **Visualisasikan**.
+ QuickSight membuka halaman lembar analisis baru. Anda sekarang siap untuk membuat analisis baru menggunakan log item Remediation.
Berikut ini adalah analisis sampel:
![\[Lembar kerja analisis sampel.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/images/tr-sample-analysis2.png)
# Praktik terbaik dalam Remediator Tepercaya
Berikut ini adalah praktik terbaik untuk membantu Anda menggunakan Remediator Tepercaya:
+ Jika Anda tidak yakin tentang hasil remedasi, mulailah dengan mode eksekusi manual. Terkadang, menerapkan eksekusi otomatis untuk remediasi sejak awal dapat menyebabkan hasil yang tidak terduga.
+ Lakukan tinjauan mingguan terhadap remediasi dan OpsItems untuk mendapatkan wawasan dalam hasil Remediator Tepercaya.
+ Akun anggota mewarisi konfigurasi dari akun administrator yang didelegasikan. Jadi, penting untuk menyusun akun dengan cara yang membantu Anda mengelola beberapa akun dengan konfigurasi yang sama. Anda dapat mengecualikan sumber daya dari konfigurasi default menggunakan tag.
# Remediator Tepercaya FAQs
Berikut ini adalah pertanyaan yang sering diajukan tentang Remediator Tepercaya:
## Apa itu Remediator Tepercaya dan bagaimana manfaatnya bagi saya?
Ketika ketidakpatuhan diidentifikasi oleh Trusted Advisor atau rekomendasi dikeluarkan oleh Compute Optimizer, Trusted Remediator merespons sesuai dengan preferensi yang Anda tentukan, baik dengan menerapkan remediasi, meminta persetujuan melalui remediasi manual, atau melaporkan remediasi selama Tinjauan Bisnis Bulanan (MBR) Anda yang akan datang. Remediasi terjadi pada waktu atau jadwal remediasi pilihan Anda. Trusted Remediator memberi Anda kemampuan untuk melayani diri sendiri dan bertindak berdasarkan Trusted Advisor pemeriksaan dengan fleksibilitas untuk mengonfigurasi dan memulihkan pemeriksaan secara individual atau massal. Dengan pustaka dokumen remediasi yang telah diuji, AMS terus meningkatkan akun Anda dengan menerapkan pemeriksaan keamanan dan mengikuti praktik AWS terbaik. Anda hanya diberi tahu jika Anda menentukan untuk melakukannya dalam konfigurasi Anda. Pengguna AMS dapat ikut serta dalam Remediator Tepercaya tanpa biaya tambahan.
## Bagaimana Trusted Remediator berhubungan dan bekerja dengan orang lain? Layanan AWS
Anda memiliki akses ke Trusted Advisor pemeriksaan dan rekomendasi Compute Optimizer sebagai bagian dari paket Enterprise Support yang ada. Trusted Remediator terintegrasi dengan Trusted Advisor dan Compute Optimizer untuk memanfaatkan kemampuan otomatisasi AMS yang ada. Secara khusus, AMS menggunakan dokumen AWS Systems Manager otomatisasi (runbook) untuk remediasi otomatis. AWS AppConfig digunakan untuk mengkonfigurasi alur kerja remediasi. Anda dapat melihat semua remediasi saat ini dan masa lalu melalui Systems Manager OpsCenter. Log remediasi disimpan dalam bucket Amazon S3. Anda dapat menggunakan log untuk mengimpor dan membuat dasbor pelaporan kustom. QuickSight
## Siapa yang mengkonfigurasi remediasi?
Anda memiliki konfigurasi di akun Anda. Mengelola konfigurasi Anda adalah tanggung jawab Anda. Anda dapat menghubungi CA atau CDSM Anda untuk bantuan mengelola konfigurasi Anda. Anda juga dapat menghubungi AMS melalui permintaan layanan untuk dukungan konfigurasi, remediasi manual, dan kegagalan remediasi pemecahan masalah.
## Bagaimana cara menginstal dokumen otomatisasi SSM?
Dokumen otomatisasi SSM secara otomatis dibagikan ke akun AMS onboard.
## Apakah sumber daya yang dimiliki AMS juga akan diperbaiki?
Sumber daya yang dimiliki AMS tidak ditandai oleh Trusted Remediator. Remediator Tepercaya hanya berfokus pada sumber daya Anda.
## Apa yang Wilayah AWS tersedia dalam Remediator Tepercaya dan siapa yang dapat menggunakannya?
Remediator Tepercaya tersedia untuk pelanggan AMS Accelerate. Untuk daftar Wilayah dukungan saat ini, lihat [Layanan AWS menurut Wilayah](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
## Akankah Remediator Tepercaya menyebabkan penyimpangan sumber daya?
Karena dokumen otomatisasi SSM secara langsung memperbarui sumber daya melalui AWS API, penyimpangan sumber daya mungkin terjadi. Anda dapat menggunakan tag untuk memisahkan sumber daya yang dibuat melalui paket yang ada CI/CD . Anda dapat mengonfigurasi Trusted Remediator untuk mengabaikan sumber daya yang ditandai sambil tetap memulihkan sumber daya Anda yang lain.
## Bagaimana cara menjeda atau menghentikan Remediator Tepercaya?
Anda dapat mematikan Remediator Tepercaya melalui AWS AppConfig aplikasi. Untuk menjeda atau menghentikan Trusted Remediator, selesaikan langkah-langkah berikut:
1. Buka AWS AppConfig konsol di [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
1. Pilih Remediator Tepercaya.
1. Pilih **Pengaturan** pada profil konfigurasi.
1. Pilih bendera **Tangguhkan Remediator Tepercaya**.
1. Tetapkan valueof `suspended` atribut ke. `true`
**catatan**
Berhati-hatilah saat menggunakan prosedur ini karena ini menghentikan Remediator Tepercaya untuk semua akun yang ditautkan ke akun administrator yang didelegasikan.
## Bagaimana cara memulihkan pemeriksaan yang tidak didukung oleh Trusted Remediator?
Anda dapat terus menghubungi AMS melalui Operations On Demand (OOD) untuk pemeriksaan yang tidak didukung. AMS membantu Anda memulihkan pemeriksaan ini. Untuk informasi selengkapnya, lihat [Operasi Sesuai Permintaan](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html).
## Apa bedanya Trusted Remediator dengan AWS Config remediasi?
AWS Config Remediasi adalah solusi lain yang membantu Anda mengoptimalkan sumber daya cloud dan menjaga kepatuhan terhadap praktik terbaik. Berikut ini adalah beberapa perbedaan operasional antara kedua solusi tersebut:
+ Trusted Remediator menggunakan Trusted Advisor dan Compute Optimizer sebagai mekanisme deteksi. AWS Config Remediasi menggunakan AWS Config aturan sebagai mekanisme deteksi.
+ Untuk Remediator Tepercaya, remediasi terjadi pada jadwal remediasi yang telah ditentukan sebelumnya. Dalam AWS Config, remediasi terjadi secara real time.
+ Parameter untuk setiap remediasi di Trusted Remediator mudah disesuaikan berdasarkan kasus penggunaan Anda dan remediasi dapat diotomatisasi atau dibuat manual dengan menambahkan tag pada sumber daya.
+ Trusted Remediator menyediakan fungsionalitas pelaporan.
+ Trusted Remediator mengirimkan pemberitahuan email kepada Anda dengan daftar remediasi dan status remediasi.
Beberapa Trusted Advisor pemeriksaan dan rekomendasi Compute Optimizer mungkin memiliki aturan yang sama. AWS Config Ini adalah praktik terbaik untuk mengaktifkan hanya satu remediasi jika ada AWS Config aturan dan Trusted Advisor pemeriksaan yang cocok. Untuk informasi tentang AWS Config aturan untuk setiap Trusted Advisor pemeriksaan, lihat[Trusted Advisor cek yang didukung oleh Trusted Remediator](tr-supported-checks.md).
## Sumber daya apa yang diterapkan oleh Trusted Remediator ke akun Anda?
Trusted Remediator menyebarkan sumber daya berikut di akun administrator delegasi Remediator Tepercaya:
+ Ember Amazon S3 bernama. `ams-trusted-remediator-{your-account-id}-logs` Trusted Remediator membuat format `Remediation item log` dalam JSON saat remediasi OpsItem dibuat, dan mengunggah file log ke bucket ini.
+ AWS AppConfig Aplikasi untuk menyimpan konfigurasi remediasi untuk Trusted Advisor pemeriksaan yang didukung dan rekomendasi Compute Optimizer.
Remediator Tepercaya tidak menyebarkan sumber daya di akun anggota Remediator Tepercaya.