Trusted Advisor cek yang didukung oleh Trusted Remediator - Panduan Pengguna AMS Accelerate
Pemeriksaan Trusted Advisor pengoptimalan biaya yang didukungPemeriksaan Trusted Advisor keamanan yang didukungPemeriksaan toleransi Trusted Advisor kesalahan yang didukungPemeriksaan Trusted Advisor kinerja yang didukungPemeriksaan batas Trusted Advisor layanan yang didukungPemeriksaan keunggulan Trusted Advisor operasional yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Trusted Advisor cek yang didukung oleh Trusted Remediator

Tabel berikut mencantumkan Trusted Advisor pemeriksaan yang didukung, dokumen otomatisasi SSM, parameter yang telah dikonfigurasi sebelumnya, dan hasil yang diharapkan dari dokumen otomatisasi. Tinjau hasil yang diharapkan untuk membantu Anda memahami kemungkinan risiko berdasarkan kebutuhan bisnis Anda sebelum Anda mengaktifkan dokumen otomatisasi SSM untuk perbaikan pemeriksaan.

Pastikan bahwa aturan konfigurasi yang sesuai untuk setiap Trusted Advisor pemeriksaan ada untuk pemeriksaan yang didukung yang ingin Anda aktifkan remediasi. Untuk informasi selengkapnya, lihat Lihat AWS Trusted Advisor pemeriksaan yang didukung oleh AWS Config. Jika pemeriksaan memiliki AWS Security Hub kontrol yang sesuai, pastikan kontrol Security Hub diaktifkan. Untuk informasi selengkapnya, lihat Mengaktifkan kontrol di Security Hub. Untuk informasi tentang mengelola parameter yang telah dikonfigurasi sebelumnya, lihat Mengonfigurasi Trusted Advisor memeriksa remediasi di Remediator Tepercaya.

Trusted Advisor pemeriksaan optimasi biaya yang didukung oleh Trusted Remediator

Periksa ID dan nama Nama dokumen SSM dan hasil yang diharapkan Parameter dan kendala yang telah dikonfigurasikan sebelumnya yang didukung

Z4 AUBRNSmz

Alamat IP Elastis yang Tidak Terkait

AWSManagedServices-TrustedRemediatorReleaseElasticIP

Merilis alamat IP elastis yang tidak terkait dengan sumber daya apa pun.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c18d2gz150 - Instans Amazon dihentikan EC2

AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime - EC2 Instans Amazon dihentikan selama beberapa hari dihentikan.

  • Buat AMIBefore Pengakhiran: Untuk membuat instance AMI sebagai cadangan sebelum menghentikan EC2 instans Amazon, pilihtrue. Untuk tidak membuat cadangan sebelum mengakhiri, pilihfalse. Nilai default-nya true.

  • AllowedDays: Jumlah hari instance dalam status berhenti sebelum dihentikan. Bawaannya adalah 30.

Tidak ada kendala

c18d2gz128

Repositori Amazon ECR Tanpa Kebijakan Siklus Hidup Dikonfigurasi

AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy

Membuat kebijakan siklus hidup untuk repositori yang ditentukan jika kebijakan siklus hidup belum ada.

ImageAgeLimit: Batas usia maksimum dalam beberapa hari (1-365) untuk gambar 'apa pun' di repositori Amazon ECR.

Tidak ada kendala

DAvU99Dc4C

Volume Amazon EBS yang Kurang Digunakan

AWSManagedServices-DeleteUnusedEBSVolume

Menghapus volume Amazon EBS yang kurang dimanfaatkan jika volume tidak terhubung selama 7 hari terakhir. Snapshot Amazon EBS dibuat secara default.

  • CreateSnapshot: Jika disetel ketrue, maka otomatisasi akan membuat snapshot volume Amazon EBS sebelum dihapus. Pengaturan default-nya adalah true. Nilai yang valid adalah true dan false (peka huruf besar/kecil).

  • MinimumUnattachedDays: Minimum hari yang tidak terikat dari volume EBS untuk dihapus, hingga 62 hari. Jika disetel ke0, maka dokumen SSM tidak memeriksa periode yang tidak terpasang dan menghapus volume jika volume saat ini tidak terpasang. Defaultnya adalah nilai7.

Tidak ada kendala

hj M8 LMh88u

Penyeimbang Beban Idle

AWSManagedServices-DeleteIdleClassicLoadBalancer

Menghapus Classic Load Balancer idle jika tidak digunakan dan tidak ada instance yang terdaftar.

IdleLoadBalancerDays: Jumlah hari Classic Load Balancer memiliki 0 koneksi yang diminta sebelum menganggapnya idle. Defaultnya adalah tujuh hari.

Jika eksekusi otomatis diaktifkan, otomatisasi akan menghapus Classic Load Balancer yang tidak aktif jika tidak ada instance back-end yang aktif. Untuk semua Classic Load Balancer idle yang memiliki instans back-end aktif, tetapi tidak memiliki instans back-end yang sehat, remediasi otomatis tidak digunakan dan untuk remediasi manual dibuat. OpsItems

Ti39halfu8

Instans DB Idle Amazon RDS

AWSManagedServices-StopIdleRDSInstance

Instans Amazon RDS DB yang telah dalam keadaan idle selama tujuh hari terakhir dihentikan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

COr6dfpM05

AWS Lambda fungsi yang disediakan secara berlebihan untuk ukuran memori

AWSManagedServices-ResizeLambdaMemory

AWS Lambda ukuran memori fungsi diubah ukurannya ke ukuran memori yang direkomendasikan yang disediakan oleh Trusted Advisor.

RecommendedMemorySize: Alokasi memori yang direkomendasikan untuk fungsi Lambda. Rentang nilai antara 128 dan 10240.

Jika ukuran fungsi Lambda dimodifikasi sebelum otomatisasi berjalan, maka pengaturan mungkin ditimpa oleh otomatisasi ini dengan nilai yang direkomendasikan oleh. Trusted Advisor

QCH7DWOUX1

Instans Amazon EC2 Pemanfaatan Rendah

AWSManagedServices-StopEC2Instance (Dokumen SSM default untuk mode eksekusi auto dan manual.)

EC2 Instans Amazon dengan pemanfaatan rendah dihentikan.

ForceStopWithInstanceStore: Setel true untuk memaksa instance berhenti menggunakan penyimpanan instance. Jika tidak, atur kefalse. Nilai default false mencegah instance berhenti. Nilai yang valid adalah true atau false (case-sensitive).

Tidak ada kendala

QCH7DWOUX1

Instans Amazon EC2 Pemanfaatan Rendah

AWSManagedServices-ResizeInstanceByOneLevel

EC2 Instance Amazon diubah ukurannya dengan satu tipe instance ke bawah dalam tipe keluarga instance yang sama. Instance dihentikan dan dimulai selama operasi pengubahan ukuran dan dikembalikan ke keadaan awal setelah dokumen SSM berjalan selesai. Otomatisasi ini tidak mendukung pengubahan ukuran instans yang ada di Grup Auto Scaling.

  • MinimumDaysSinceLastChange: Jumlah hari minimum sejak perubahan jenis instance terakhir. Jika jenis instance dimodifikasi dalam waktu tertentu, maka jenis instance tidak berubah. Gunakan 0 untuk melewati validasi ini. Nilai default-nya 7.

  • Buat AMIBefore Ubah Ukuran: Untuk membuat instance AMI sebagai cadangan sebelum mengubah ukuran, pilih. true Untuk tidak membuat cadangan, pilihfalse. Nilai default-nya false. Nilai yang valid adalah true dan false (peka huruf besar/kecil).

  • ResizeIfStopped: Untuk melanjutkan dengan perubahan ukuran instance, bahkan jika instance dalam keadaan berhenti, pilihtrue. Untuk tidak mengubah ukuran instance secara otomatis jika dalam keadaan berhenti, pilihfalse. Nilai yang valid adalah true dan false (peka huruf besar/kecil).

Tidak ada kendala

QCH7DWOUX1

Instans Amazon EC2 Pemanfaatan Rendah

AWSManagedServices-TerminateInstance

EC2 Instans Amazon yang digunakan rendah dihentikan jika bukan bagian dari Grup Auto Scaling dan perlindungan penghentian tidak diaktifkan. AMI dibuat secara default.

Create AMIBefore Termination: Setel opsi ini false ke true atau untuk membuat instance AMI sebagai cadangan sebelum menghentikan EC2 instance. Nilai default-nya true. Nilai yang valid adalah true dan false (peka huruf besar/kecil).

Tidak ada kendala

G31sq1e9u

Cluster Pergeseran Merah Amazon yang Kurang Digunakan

AWSManagedServices-PauseRedshiftCluster

Cluster Amazon Redshift dijeda.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1cj39rr6v

Konfigurasi Batalkan Unggahan Multipart Amazon S3 Tidak Lengkap

AWSManagedServices-TrustedRemediatorEnableS3 AbortIncompleteMultipartUpload

Bucket Amazon S3 dikonfigurasi dengan aturan siklus hidup untuk membatalkan unggahan multibagian yang tetap tidak lengkap setelah hari-hari tertentu.

DaysAfterInitiation: Jumlah hari setelah Amazon S3 menghentikan unggahan multipart yang tidak lengkap. Default diatur ke 7 hari.

Tidak ada kendala

c1z7kmr00n

Rekomendasi pengoptimalan EC2 biaya Amazon untuk instans

 Gunakan rekomendasi EC2 instans Amazon dan EC2 instans Amazon Idle dariRekomendasi Compute Optimizer didukung oleh Trusted Remediator.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1z7kmr02n

Rekomendasi pengoptimalan biaya Amazon EBS untuk volume

 Gunakan rekomendasi volume Amazon EBS dan volume Idle Amazon EBS dari. Rekomendasi Compute Optimizer didukung oleh Trusted Remediator

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1z7kmr03n

Rekomendasi pengoptimalan biaya Amazon RDS untuk instans DB

 Gunakan instans Idle Amazon RDS dari. Rekomendasi Compute Optimizer didukung oleh Trusted Remediator

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1z7kmr05n

AWS Lambda rekomendasi pengoptimalan biaya untuk fungsi

 Gunakan rekomendasi fungsi Lambda dari. Rekomendasi Compute Optimizer didukung oleh Trusted Remediator

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Trusted Advisor pemeriksaan keamanan yang didukung oleh Trusted Remediator

Periksa ID dan nama Nama dokumen SSM dan hasil yang diharapkan Parameter dan kendala yang telah dikonfigurasikan sebelumnya yang didukung

12Fnkpl8Y5

Exposed Access Keys

AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey

Kunci akses IAM yang terbuka dinonaktifkan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Aplikasi yang dikonfigurasi dengan kunci akses IAM yang terbuka tidak dapat mengautentikasi.

Hs4Ma3G127 - API Gateway REST dan pencatatan eksekusi API harus WebSocket diaktifkan

AWS Security Hub Cek yang sesuai: APIGateway.1

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

Pencatatan eksekusi diaktifkan pada tahap API.

LogLevel: Tingkat logging untuk mengaktifkan pencatatan eksekusi, ERROR - Logging diaktifkan hanya untuk kesalahan. INFO - Logging diaktifkan untuk semua acara.

Anda harus memberikan izin API Gateway untuk membaca dan menulis log ke akun Anda CloudWatch untuk mengaktifkan log eksekusi, lihat Mengatur CloudWatch logging untuk REST APIs di API Gateway untuk detailnya.

Hs4Ma3G129 - Tahapan API Gateway REST API harus mengaktifkan penelusuran AWS X-Ray

AWS Security Hub Cek yang sesuai: APIGateway.3

AWSManagedServices-EnableApiGateWayXRayTracing

Penelusuran X-Ray diaktifkan pada tahap API.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G202 - Data cache API Gateway REST API harus dienkripsi saat istirahat

AWS Security Hub Cek yang sesuai: APIGateway.5

AWSManagedServices-EnableAPIGatewayCacheEncryption

Aktifkan enkripsi saat istirahat untuk data cache API Gateway REST API jika tahap API Gateway REST API telah mengaktifkan cache.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G177 -

AWS Security Hub Pemeriksaan terkait - Grup penskalaan otomatis yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan penyeimbang beban .1 AutoScaling

AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck

Pemeriksaan kesehatan Elastic Load Balancing diaktifkan untuk Grup Auto Scaling.

HealthCheckGracePeriod: Jumlah waktu, dalam hitungan detik, Auto Scaling menunggu sebelum memeriksa status kesehatan instans Amazon Elastic Compute Cloud yang telah mulai digunakan.

Mengaktifkan pemeriksaan kesehatan Elastic Load Balancing dapat mengakibatkan penggantian instance yang sedang berjalan jika salah satu penyeimbang beban Elastic Load Balancing yang terpasang pada grup Auto Scaling melaporkannya sebagai tidak sehat. Untuk informasi selengkapnya, lihat Melampirkan penyeimbang beban Elastic Load Balancing ke grup Auto Scaling

Hs4Ma3G245 - tumpukan AWS CloudFormation harus diintegrasikan dengan Amazon Simple Notification Service

AWS Security Hub Cek yang sesuai: CloudFormation.1

AWSManagedServices-EnableCFNStackNotification

Kaitkan CloudFormation tumpukan dengan topik Amazon SNS untuk pemberitahuan.

PemberitahuanARNs: Topik Amazon SNS yang akan dikaitkan dengan tumpukan yang dipilih CloudFormation . ARNs

Untuk mengaktifkan remediasi otomatis, Parameter yang NotificationARNs telah dikonfigurasi sebelumnya harus disediakan.

Hs4Ma3G210 - distribusi seharusnya mengaktifkan logging CloudFront

AWS Security Hub Cek yang sesuai: CloudFront.2

AWSManagedServices-EnableCloudFrontDistributionLogging

Logging diaktifkan untuk CloudFront distribusi Amazon.

  • BucketName: Nama bucket Amazon S3 tempat Anda ingin menyimpan log akses.

  • S3KeyPrefix: Awalan untuk lokasi di bucket S3 untuk log distribusi Amazon. CloudFront

  • IncludeCookies: Menunjukkan apakah akan menyertakan cookie dalam log akses.

Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan:

  • BucketName

  • S3 KeyPrefix

  • IncludeCookies

Untuk kendala remediasi ini, lihat Bagaimana cara mengaktifkan logging untuk distribusi saya? CloudFront

Hs4Ma3G109 - CloudTrail validasi file log harus diaktifkan

AWS Security Hub Cek yang sesuai: CloudTrail.4

AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation

Mengaktifkan validasi log CloudTrail jejak.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G108 - CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch

AWS Security Hub Cek yang sesuai: CloudTrail.5

AWSManagedServices-IntegrateCloudTrailWithCloudWatch

AWS CloudTrail terintegrasi dengan CloudWatch Log.

  • CloudWatchLogsLogGroupName: Nama grup CloudWatch log Log tempat CloudTrail log dikirimkan. Anda harus menggunakan grup log yang ada di akun Anda.

  • CloudWatchLogsRoleName: Nama peran IAM untuk titik akhir CloudWatch Log untuk diasumsikan menulis ke grup log pengguna. Anda harus menggunakan peran yang ada di akun Anda.

Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan:

  • CloudWatchLogsLogGroupName

  • CloudWatchLogsRoleName

Hs4Ma3G217 - CodeBuild lingkungan proyek harus memiliki konfigurasi logging AWS

AWS Security Hub Cek yang sesuai: CodeBuild.4

AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig

Mengaktifkan logging untuk CodeBuild proyek.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G306 - Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan

AWS Security Hub Pemeriksaan yang sesuai: DocumentDB.3

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot

Menghapus akses publik dari snapshot cluster manual Amazon DocumentDB.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G308 - Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan

AWS Security Hub Pemeriksaan yang sesuai: DocumentDB.5

AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection

Mengaktifkan perlindungan penghapusan untuk klaster Amazon DocumentDB.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G323 - tabel DynamoDB harus memiliki perlindungan penghapusan diaktifkan

AWS Security Hub Pemeriksaan yang sesuai: DynamoDB.6

AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection

Mengaktifkan perlindungan penghapusan untuk tabel DynamoDB non-AMS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

EPS02jt06w - Cuplikan Publik Amazon EBS

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot

Akses publik untuk snapshot Amazon EBS dinonaktifkan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G118 - Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar

AWS Security Hub Cek yang sesuai: EC2.2

AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG

Semua aturan masuk dan keluar dalam grup keamanan default akan dihapus.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G117 - Volume EBS yang terpasang harus dienkripsi saat istirahat

AWS Security Hub Cek yang sesuai: EC2.3

AWSManagedServices-EncryptInstanceVolume

Volume Amazon EBS terlampir pada instans dienkripsi.

  • KMSKeyId: ID AWS KMS kunci atau ARN untuk mengenkripsi volume.

  • DeleteStaleNonEncryptedSnapshotBackups: Bendera yang memutuskan apakah cadangan snapshot dari volume lama yang tidak terenkripsi harus dihapus.

Instance di-boot ulang sebagai bagian dari remediasi dan rollback DeleteStaleNonEncryptedSnapshotBackups dimungkinkan jika diatur yang membantu false pemulihan.

Hs4Ma3G120 - EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu

AWS Security Hub Cek yang sesuai: EC2.4

AWSManagedServices-TerminateInstance(dokumen SSM default untuk mode eksekusi auto dan manual)

EC2 Instans Amazon yang dihentikan selama 30 hari dihentikan.

Buat AMIBefore Pengakhiran:. Untuk membuat instance AMI sebagai cadangan sebelum menghentikan EC2 instance, pilihtrue. Untuk tidak membuat cadangan sebelum mengakhiri, pilihfalse. Nilai default-nya true.

Tidak ada kendala

Hs4Ma3G120 - EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu

AWS Security Hub Cek yang sesuai: EC2.4

AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime - EC2 Instans Amazon dihentikan untuk jumlah hari yang ditentukan di Security Hub (nilai default adalah 30) dihentikan.

Buat AMIBefore Terminasi: Untuk membuat instance AMI sebagai cadangan sebelum menghentikan EC2 instance, pilihtrue. Untuk tidak membuat cadangan sebelum mengakhiri, pilihfalse. Nilai default-nya true.

Tidak ada kendala

Hs4Ma3G121 - Enkripsi default EBS harus diaktifkan

AWS Security Hub Cek yang sesuai: EC2.7

AWSManagedServices-EncryptEBSByDefault

Enkripsi Amazon EBS secara default diaktifkan untuk yang spesifik Wilayah AWS

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Enkripsi secara default adalah pengaturan khusus Wilayah. Jika Anda mengaktifkannya untuk Wilayah, Anda tidak dapat menonaktifkannya untuk setiap volume atau snapshot di Wilayah tersebut.

Hs4Ma3G124 - Instans EC2 Amazon harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

AWS Security Hub Cek yang sesuai: EC2.8

AWSManagedServices-TrustedRemediatorAktifkan EC2 Instance IMDSv2

EC2 Instans Amazon menggunakan Layanan Metadata Instans Versi 2 (). IMDSv2

  • IMDSv1MetricCheckPeriod: Jumlah hari (42-455) untuk menganalisis metrik IMDSv1 penggunaan di CloudWatch. Jika EC2 instans Amazon dibuat dalam jangka waktu yang ditentukan, maka analisis dimulai dari tanggal pembuatan instans.

  • HttpPutResponseHopLimit: Jumlah maksimum hop jaringan yang diizinkan untuk token metadata instance. Nilai ini dapat dikonfigurasi antara 1 dan 2 hop. Batas hop membatasi akses token ke proses yang berjalan langsung pada instance, sementara batas hop 2 memungkinkan akses dari kontainer yang berjalan pada instance. 1

Tidak ada kendala

Hs4Ma3G207 - EC2 subnet seharusnya tidak secara otomatis menetapkan alamat IP publik

AWS Security Hub Cek yang sesuai: EC2.15

AWSManagedServices-UpdateAutoAssignPublicIpv4Alamat

Subnet VPC dikonfigurasi untuk tidak secara otomatis menetapkan alamat IP publik.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G209 - Daftar Kontrol Akses Jaringan yang Tidak Digunakan dihapus

AWS Security Hub Cek yang sesuai: EC2.16

AWSManagedServices-DeleteUnusedNACL

Hapus ACL jaringan yang tidak digunakan

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G215 - Grup keamanan Amazon yang tidak digunakan harus dihapus EC2

AWS Security Hub Cek yang sesuai: EC2.22

AWSManagedServices-DeleteSecurityGroups

Hapus grup keamanan yang tidak digunakan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G247 - Amazon EC2 Transit Gateway seharusnya tidak secara otomatis menerima permintaan lampiran VPC

AWS Security Hub Cek yang sesuai: EC2.23

AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach- Menonaktifkan penerimaan otomatis permintaan lampiran VPC untuk Gateway Transit EC2 Amazon non-AMS yang ditentukan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G235 - Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi

AWS Security Hub Pemeriksaan yang sesuai: ECR.2

AWSManagedServices-TrustedRemediatorSetImageTagImmutability

Menetapkan pengaturan mutabilitas tag gambar ke IMMUTABLE untuk repositori yang ditentukan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G216 - Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi

AWS Security Hub Pemeriksaan yang sesuai: ECR.3

AWSManagedServices-PutECRRepositoryLifecyclePolicy

Repositori ECR memiliki kebijakan siklus hidup yang dikonfigurasi.

LifecyclePolicyText: Teks kebijakan repositori JSON untuk diterapkan ke repositori.

Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan:

LifecyclePolicyText

Hs4Ma3G325 - Kluster EKS harus mengaktifkan pencatatan audit

AWS Security Hub Pemeriksaan yang sesuai: EKS.8

AWSManagedServices-TrustedRemediatorEnableEKSAuditLog

Log audit diaktifkan untuk kluster EKS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G183 - Penyeimbang beban aplikasi harus dikonfigurasi untuk menjatuhkan header HTTP

AWS Security Hub Pemeriksaan yang sesuai: ELB.4

AWSConfigRemediation-DropInvalidHeadersForALB

Application Load Balancer dikonfigurasi ke bidang header yang tidak valid.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G184 - Load Balancer Aplikasi dan Load Balancer Klasik logging harus diaktifkan

AWS Security Hub Pemeriksaan yang sesuai: ELB.5

AWSManagedServices-EnableELBLogging (dokumen SSM default untuk mode eksekusi auto dan manual)

Application Load Balancer dan logging Classic Load Balancer diaktifkan.

  • BucketName: Nama ember (bukan ARN). Pastikan kebijakan bucket dikonfigurasi dengan benar untuk pencatatan.

  • S3KeyPrefix: Awalan untuk lokasi di bucket Amazon S3 untuk log Elastic Load Balancing.

Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan:

  • BucketName

  • S3 KeyPrefix

Bucket Amazon S3 harus memiliki kebijakan bucket yang memberikan izin Elastic Load Balancing untuk menulis log akses ke bucket.

Hs4Ma3G184 - Load Balancer Aplikasi dan Load Balancer Klasik logging harus diaktifkan

AWS Security Hub Pemeriksaan yang sesuai: ELB.5

AWSManagedServices-EnableELBLoggingV2

Application Load Balancer dan logging Classic Load Balancer diaktifkan.

  • TargetBucketTagKey: Nama tag (peka huruf besar/kecil) yang digunakan untuk mengidentifikasi bucket Amazon S3 target. Gunakan ini bersama dengan TargetBucketTagValue untuk menandai bucket yang akan berfungsi sebagai bucket tujuan untuk pencatatan akses.

  • TargetBucketTagValue: Nilai tag (peka huruf besar/kecil) yang digunakan untuk mengidentifikasi bucket Amazon S3 target. Gunakan ini bersama dengan TargetBucketTagKey untuk menandai bucket yang akan berfungsi sebagai bucket tujuan untuk pencatatan akses.

  • S3BucketPrefix: Awalan (hierarki logis) untuk bucket Amazon S3. Awalan yang Anda tentukan tidak boleh menyertakan stringAWSLogs. Untuk informasi selengkapnya, lihat Mengatur objek menggunakan awalan.

    Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan:

    • TargetBucketTagKey

    • TargetBucketTagValue

    • S3 BucketPrefix

    Bucket Amazon S3 harus memiliki kebijakan bucket yang memberikan izin Elastic Load Balancing untuk menulis log akses ke bucket.

Hs4Ma3G326 - Amazon EMR memblokir pengaturan akses publik harus diaktifkan

AWS Security Hub Pemeriksaan yang sesuai: EMR.2

AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess

Amazon EMR memblokir pengaturan akses publik diaktifkan untuk akun.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G135 - AWS KMS kunci tidak boleh dihapus secara tidak sengaja

AWS Security Hub Pemeriksaan yang sesuai: KMS.3

AWSManagedServices-CancelKeyDeletion

AWS KMS penghapusan kunci dibatalkan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G299 - Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik

AWS Security Hub Pemeriksaan yang sesuai: Neptunuse.4

AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection

Mengaktifkan perlindungan penghapusan untuk klaster Amazon Neptunus.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G319 - Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan

AWS Security Hub Cek yang sesuai: NetworkFirewall.9

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection- Mengaktifkan perlindungan penghapusan untuk AWS Network Firewall.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G223 - OpenSearch domain harus mengenkripsi data yang dikirim antar node

AWS Security Hub Cek yang sesuai: OpenSearch.3

AWSManagedServices-EnableOpenSearchNodeToNodeEncryption

Enkripsi Node ke Node diaktifkan untuk domain.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Setelah node-to-node enkripsi diaktifkan, Anda tidak dapat menonaktifkan pengaturan. Sebagai gantinya, ambil snapshot manual dari domain terenkripsi, buat domain lain, migrasi data Anda, lalu hapus domain lama.

Hs4Ma3G222 - login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch

AWS Security Hub Pemeriksaan yang sesuai: Opensearch.4

AWSManagedServices-EnableOpenSearchLogging

Pencatatan kesalahan diaktifkan untuk OpenSearch domain.

CloudWatchLogGroupArn: ARN dari grup log log AnAmazon CloudWatch Logs.

Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasikan sebelumnya harus disediakan:. CloudWatchLogGroupArn

Kebijakan CloudWatch sumber daya Amazon harus dikonfigurasi dengan izin. Untuk informasi selengkapnya, lihat Mengaktifkan log audit di Panduan Pengguna OpenSearch Layanan Amazon

Hs4Ma3G221 - domain harus mengaktifkan pencatatan audit OpenSearch

AWS Security Hub Pemeriksaan yang sesuai: Opensearch.5

AWSManagedServices-EnableOpenSearchLogging

OpenSearch domain dikonfigurasi dengan pencatatan audit diaktifkan.

CloudWatchLogGroupArn: ARN dari grup CloudWatch Log untuk mempublikasikan log ke.

Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasikan sebelumnya harus disediakan: CloudWatchLogGroupArn

Kebijakan CloudWatch sumber daya Amazon harus dikonfigurasi dengan izin. Untuk informasi selengkapnya, lihat Mengaktifkan log audit di Panduan Pengguna OpenSearch Layanan Amazon

Hs4Ma3G220 - Koneksi ke OpenSearch domain harus dienkripsi menggunakan TLS 1.2

AWS Security Hub Pemeriksaan yang sesuai: Opensearch.8

AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2

Kebijakan TLS disetel ke `Policy-Min-TLS-1-2-2019-07` dan hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Koneksi ke OpenSearch domain diperlukan untuk menggunakan TLS 1.2. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Uji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS.

Hs4Ma3G194 - Snapshot Amazon RDS harus pribadi

AWS Security Hub Pemeriksaan yang sesuai: RDS.1

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

Akses publik untuk snapshot Amazon RDS dinonaktifkan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G192 - Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh Konfigurasi PubliclyAccessible AWS

AWS Security Hub Pemeriksaan yang sesuai: RDS.2

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance

Nonaktifkan akses publik pada instans RDS DB.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G189 - Pemantauan yang ditingkatkan dikonfigurasi untuk instans Amazon RDS DB

AWS Security Hub Pemeriksaan yang sesuai: RDS.6

AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring

Aktifkan pemantauan yang disempurnakan untuk instans Amazon RDS DB

  • MonitoringInterval: Interval, dalam hitungan detik, antar titik saat metrik Pemantauan yang Ditingkatkan dikumpulkan untuk instans DB. Interval yang valid adalah 0, 1, 5, 10, 15, 30 dan 60. Untuk menonaktifkan pengumpulan metrik Pemantauan yang Ditingkatkan, tentukan 0.

  • MonitoringRoleName: Nama peran IAM yang memungkinkan Amazon RDS mengirim metrik pemantauan yang disempurnakan ke Amazon Logs. CloudWatch Jika peran tidak ditentukan, maka peran default rds-monitoring-role digunakan atau dibuat, jika tidak ada.

Jika pemantauan yang ditingkatkan diaktifkan sebelum eksekusi otomatisasi, maka pengaturan mungkin ditimpa oleh otomatisasi ini dengan MonitoringRoleName nilai MonitoringInterval dan yang dikonfigurasi dalam parameter yang telah dikonfigurasi sebelumnya.

Hs4Ma3G190 - Cluster Amazon RDS harus mengaktifkan perlindungan penghapusan

AWS Security Hub Pemeriksaan yang sesuai: RDS.7

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

Perlindungan penghapusan diaktifkan untuk klaster Amazon RDS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G198 - Instans Amazon RDS DB harus mengaktifkan perlindungan penghapusan

AWS Security Hub Pemeriksaan yang sesuai: RDS.8

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

Perlindungan penghapusan diaktifkan untuk instans Amazon RDS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G199 - Instans RDS DB harus menerbitkan log ke Log CloudWatch

AWS Security Hub Pemeriksaan yang sesuai: RDS.9

AWSManagedServices-TrustedRemediatorEnableRDSLogExports

Ekspor log RDS diaktifkan untuk instans RDS DB atau cluster RDS DB.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

AWSServiceRoleForRDS peran terkait layanan diperlukan.

Hs4Ma3G160 - otentikasi IAM harus dikonfigurasi untuk instance RDS

AWS Security Hub Pemeriksaan yang sesuai: RDS.10

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

AWS Identity and Access Management otentikasi diaktifkan untuk instance RDS.

ApplyImmediately: Menunjukkan jika modifikasi dalam permintaan ini dan modifikasi yang tertunda diterapkan secara asinkron sesegera mungkin, Untuk segera menerapkan perubahan, pilih. true Untuk menjadwalkan perubahan untuk jendela pemeliharaan berikutnya, pilihfalse.

Tidak ada kendala

Hs4Ma3G161 - otentikasi IAM harus dikonfigurasi untuk cluster RDS

AWS Security Hub Pemeriksaan yang sesuai: RDS.12

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

Autentikasi IAM diaktifkan untuk cluster RDS.

ApplyImmediately: Menunjukkan jika modifikasi dalam permintaan ini dan modifikasi yang tertunda diterapkan secara asinkron sesegera mungkin, Untuk segera menerapkan perubahan, pilih. true Untuk menjadwalkan perubahan untuk jendela pemeliharaan berikutnya, pilihfalse.

Tidak ada kendala

Hs4Ma3G162 - Peningkatan versi minor otomatis RDS harus diaktifkan

AWS Security Hub Pemeriksaan yang sesuai: RDS.13

AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade

Konfigurasi pemutakhiran versi minor otomatis untuk Amazon RDS diaktifkan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Instans Amazon RDS harus dalam available keadaan agar remediasi ini terjadi.

Hs4Ma3G163 - Cluster RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot

AWS Security Hub Pemeriksaan yang sesuai: RDS.16

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagtosnapshotpengaturan untuk kluster Amazon RDS diaktifkan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Instans Amazon RDS harus dalam keadaan tersedia agar remediasi ini terjadi.

Hs4Ma3G164 - Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot

AWS Security Hub Pemeriksaan yang sesuai: RDS.17

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagsToSnapshotpengaturan untuk Amazon RDS diaktifkan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Instans Amazon RDS harus dalam keadaan tersedia agar remediasi ini terjadi.

RSS93 HQwa1

Cuplikan Publik Amazon RDS

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

Akses publik untuk snapshot Amazon RDS dinonaktifkan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G103 - Cluster Amazon Redshift harus melarang akses publik

AWS Security Hub Pemeriksaan yang sesuai: Redshift.1

AWSManagedServices-DisablePublicAccessOnRedshiftCluster

Akses publik di klaster Amazon Redshift dinonaktifkan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Menonaktifkan akses publik memblokir semua klien yang berasal dari internet. Dan cluster Amazon Redshift berada dalam kondisi modifikasi selama beberapa menit sementara remediasi menonaktifkan akses publik di cluster.

Hs4Ma3G106 - Cluster Amazon Redshift harus mengaktifkan pencatatan audit

AWS Security Hub Pemeriksaan yang sesuai: Redshift.4

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging

Pencatatan audit diaktifkan ke klaster Amazon Redshift Anda selama jendela pemeliharaan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan.

BucketName: Ember harus sama Wilayah AWS. Cluster harus telah membaca bucket dan menempatkan izin objek.

Jika pencatatan klaster Redshift diaktifkan sebelum eksekusi otomatisasi, maka pengaturan logging mungkin ditimpa oleh otomatisasi ini dengan S3KeyPrefix nilai BucketName dan yang dikonfigurasi dalam parameter yang telah dikonfigurasi sebelumnya.

Hs4Ma3G105 - Amazon Redshiftharus memiliki upgrade otomatis ke versi utama diaktifkan

AWS Security Hub Pemeriksaan yang sesuai: Redshift.6

AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade- Upgrade versi utama diterapkan secara otomatis ke cluster selama jendela pemeliharaan. Tidak ada waktu henti langsung untuk cluster Amazon Redshift, tetapi cluster Amazon Redshift Anda mungkin mengalami downtime selama jendela pemeliharaannya jika ditingkatkan ke versi utama.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G104 - Cluster Amazon Redshift harus menggunakan perutean VPC yang disempurnakan

AWS Security Hub Pemeriksaan yang sesuai: Redshift.7

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting

Perutean VPC yang disempurnakan diaktifkan untuk klaster Amazon Redshift.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G173 - Pengaturan Akses Publik Blok S3 harus diaktifkan pada tingkat ember

AWS Security Hub Pemeriksaan yang sesuai: S3.8

AWSManagedServices-TrustedRemediatorBlockS3 BucketPublicAccess

Blok akses publik tingkat ember diterapkan untuk bucket Amazon S3.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Remediasi ini dapat mempengaruhi ketersediaan objek S3. Untuk informasi tentang cara Amazon S3 mengevaluasi akses, lihat Memblokir akses publik ke penyimpanan Amazon S3 Anda.

Hs4Ma3G230 - Pencatatan akses server bucket S3 harus diaktifkan

AWS Security Hub Pemeriksaan yang sesuai: S3.9

AWSManagedServices-EnableBucketAccessLogging(dokumen SSM default untuk mode eksekusi auto dan manual)

Pencatatan akses server Amazon S3 diaktifkan.

  • TargetBucket: Nama bucket S3 untuk menyimpan log akses server.

  • TargetObjectKeyFormat: Format kunci Amazon S3 untuk objek log (nilai peka huruf besar/kecil). Untuk menggunakan format sederhana untuk kunci S3 untuk objek log, pilihSimplePrefix. Untuk menggunakan kunci S3 yang dipartisi untuk objek log dan gunakan EventTime untuk awalan yang dipartisi, pilih. PartitionedPrefixEventTime Untuk menggunakan kunci S3 yang dipartisi untuk objek log dan gunakan DeliveryTime untuk awalan yang dipartisi, pilih. PartitionedPrefixDeliveryTime Nilai yang valid adalahSimplePrefix, PartitionedPrefixEventTime danPartitionedPrefixDeliveryTime.

Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasikan sebelumnya harus disediakan:. TargetBucket

Bucket tujuan harus sama Wilayah AWS dan Akun AWS sebagai bucket sumber, dengan izin yang benar untuk pengiriman log. Untuk informasi selengkapnya, lihat Mengaktifkan pencatatan akses server Amazon S3.

Hs4Ma3G230 - Pencatatan akses server bucket S3 harus diaktifkan

AWS Security Hub Pemeriksaan yang sesuai: S3.9

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 - Pencatatan bucket Amazon S3 diaktifkan.

  • TargetBucketTagKey: Nama tag (case-sensitive) untuk mengidentifikasi bucket target. Gunakan ini dan TargetBucketTagValueuntuk menandai bucket yang akan digunakan sebagai bucket tujuan untuk pencatatan akses.

  • TargetBucketTagValue: Nilai tag (peka huruf besar/kecil) untuk mengidentifikasi bucket target, gunakan ini dan TargetBucketTagKeyuntuk menandai bucket yang akan digunakan sebagai bucket tujuan untuk pencatatan akses.

  • TargetObjectKeyFormat: Format kunci Amazon S3 untuk objek log (nilai peka huruf besar/kecil): Untuk menggunakan format sederhana untuk kunci S3 untuk objek log, pilih. SimplePrefix Untuk menggunakan kunci S3 yang dipartisi untuk objek log dan gunakan EventTime untuk awalan yang dipartisi, pilih. PartitionedPrefixEventTime Untuk menggunakan kunci S3 yang dipartisi untuk objek log dan gunakan DeliveryTime untuk awalan yang dipartisi, pilih. PartitionedPrefixDeliveryTime Defaultnya adalah PartitionedPrefixEventTime.

Untuk mengaktifkan remediasi otomatis, parameter berikut harus disediakan: TargetBucketTagKeydan TargetBucketTagValue.

Bucket tujuan harus sama Wilayah AWS dan Akun AWS sebagai bucket sumber, dengan izin yang benar untuk pengiriman log. Untuk informasi selengkapnya, lihat Mengaktifkan pencatatan akses server Amazon S3.

Pfx0 RwqBli

Izin Bucket Amazon S3

AWSManagedServices-TrustedRemediatorBlockS3 BucketPublicAccess

Akses publik blok

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Pemeriksaan ini terdiri dari beberapa kriteria peringatan. Otomatisasi ini memulihkan masalah akses publik. Remediasi untuk masalah konfigurasi lain yang ditandai oleh Trusted Advisor tidak didukung. Remediasi ini mendukung remediasi bucket S3 yang Layanan AWS dibuat (misalnya, cf-templates-0000000000).

Hs4Ma3G272 - Pengguna seharusnya tidak memiliki akses root ke instance notebook SageMaker

AWS Security Hub Cek yang sesuai: SageMaker.3

AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess

Akses root untuk pengguna dinonaktifkan untuk contoh SageMaker notebook.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Remediasi ini menyebabkan pemadaman jika instance SageMaker notebook dalam keadaan. InService

Hs4Ma3G179 - Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS

AWS Security Hub Pemeriksaan yang sesuai: SNS.1

AWSManagedServices-EnableSNSEncryptionAtRest

Topik SNS dikonfigurasi dengan enkripsi sisi server.

KmsKeyId: ID kunci master pelanggan AWS terkelola (CMK) untuk Amazon SNS atau CMK kustom yang akan digunakan untuk enkripsi sisi server (SSE). Default diatur kealias/aws/sns.

Jika AWS KMS kunci khusus digunakan, itu harus dikonfigurasi dengan izin yang benar. Untuk informasi selengkapnya, lihat Mengaktifkan enkripsi sisi server (SSE) untuk topik Amazon SNS

Hs4Ma3G158 - Dokumen SSM seharusnya tidak bersifat publik

AWS Security Hub Pemeriksaan yang sesuai: SSM.4

AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing- Menonaktifkan berbagi dokumen SSM secara publik.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Hs4Ma3G136 - Antrian Amazon SQS harus dienkripsi saat istirahat

AWS Security Hub Pemeriksaan yang sesuai: SQS.1

AWSManagedServices-EnableSQSEncryptionAtRest

Pesan di Amazon SQS dienkripsi.

  • SqsManagedSseEnabled: Setel true untuk mengaktifkan enkripsi antrian sisi server menggunakan kunci enkripsi milik Amazon SQS, setel false untuk mengaktifkan enkripsi antrian sisi server menggunakan kunci. AWS KMS

  • KMSKeyId: ID atau alias kunci master pelanggan AWS terkelola (CMK) untuk Amazon SQS atau CMK kustom yang akan digunakan untuk enkripsi sisi server untuk antrian. Jika tidak disediakan, alias/aws/sqs digunakan.

  • KmsDataKeyReusePeriodSeconds: Lamanya waktu, dalam hitungan detik, Amazon SQS dapat menggunakan kembali kunci data untuk mengenkripsi atau mendekripsi pesan sebelum menelepon lagi. AWS KMS Bilangan bulat yang mewakili detik, antara 60 detik (1 menit) dan 86.400 detik (24 jam). Pengaturan ini diabaikan jika SqsManagedSseEnabled disetel ketrue.

Anonim SendMessage dan ReceiveMessage permintaan ke antrian terenkripsi ditolak. Semua permintaan untuk antrian dengan SSE diaktifkan harus menggunakan HTTPS dan Signature Version 4.

Trusted Advisor pemeriksaan toleransi kesalahan yang didukung oleh Trusted Remediator

Periksa ID dan nama Nama dokumen SSM dan hasil yang diharapkan Parameter dan kendala yang telah dikonfigurasikan sebelumnya yang didukung

c18d2gz138

Pemulihan Amazon DynamoDB Point-in-time

AWSManagedServices-TrustedRemediatorEnableDDBPITR

Mengaktifkan point-in-time pemulihan untuk tabel DynamoDB.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

R365s2qddf

Versi Bucket Amazon S3

AWSManagedServices-TrustedRemediatorEnableBucketVersioning

Versi bucket Amazon S3 diaktifkan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Remediasi ini tidak mendukung remediasi bucket S3 yang Layanan AWS dibuat (misalnya cf-templates-0000000000).

BueAdJ7nrp

Pencatatan Bucket Amazon S3

AWSManagedServices-EnableBucketAccessLogging

Pencatatan bucket Amazon S3 diaktifkan.

  • TargetBucket: Nama bucket S3 untuk menyimpan log akses server.

  • TargetObjectKeyFormat: Format kunci Amazon S3 untuk objek log, untuk menggunakan format sederhana untuk tombol S3 untuk objek log, pilih. SimplePrefix Untuk menggunakan kunci S3 yang dipartisi untuk objek log dan gunakan EventTime untuk awalan yang dipartisi, pilih. PartitionedPrefixEventTime Untuk menggunakan kunci S3 yang dipartisi untuk objek log dan gunakan DeliveryTime untuk awalan yang dipartisi, pilih. PartitionedPrefixDeliveryTime Nilai default-nya PartitionedPrefixEventTime. Nilai yang valid adalahSimplePrefix, PartitionedPrefixEventTime dan PartitionedPrefixDeliveryTime (case-sensitive).

Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan:

  • TargetBucket

Bucket tujuan harus sama Wilayah AWS dan Akun AWS sebagai bucket sumber, dengan izin yang benar untuk pengiriman log. Untuk informasi selengkapnya, lihat Mengaktifkan pencatatan akses server Amazon S3.

F2ik5r6dep

Amazon RDS Multi-AZ

AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ

Penyebaran Zona Multi-Ketersediaan diaktifkan.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Ada kemungkinan penurunan kinerja selama perubahan ini.

H7 IgTzj TYb

Snapshot Amazon EBS

AWSManagedServices-TrustedRemediatorCreateEBSSnapshot

Amazon EBSsnapshots dibuat.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

di QPADk ZVh

Cadangan RDS

AWSManagedServices-EnableRDSBackupRetention

Retensi cadangan Amazon RDS diaktifkan untuk DB.

  • BackupRetentionPeriod: Jumlah hari (1-35) untuk mempertahankan backup otomatis.

  • ApplyImmediately: Menunjukkan jika retensi cadangan RDS berubah dan modifikasi yang tertunda diterapkan secara asinkron sesegera mungkin. Pilih true untuk segera menerapkan perubahan, atau false untuk menjadwalkan perubahan untuk jendela pemeliharaan berikutnya.

Jika ApplyImmediately parameter disetel ketrue, perubahan yang tertunda pada db diterapkan bersama dengan pengaturan RDSBackup retensi.

c1qf5bt013

Instans Amazon RDS DB memiliki penyimpanan autoscaling dimatikan

AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling- Penskalaan otomatis penyimpanan diaktifkan untuk instans Amazon RDS DB.

Tidak ada kendala

7q GXs KIUw

Connection Draining Classic Load Balancer

AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining

Pengurasan koneksi diaktifkan untuk Classic Load Balancer.

ConnectionDrainingTimeout: Waktu maksimum, dalam hitungan detik, untuk menjaga koneksi yang ada tetap terbuka sebelum membatalkan pendaftaran instance. Default diatur ke 300 detik.

Tidak ada kendala

c18d2gz106

Amazon EBS Tidak Termasuk dalam Paket AWS Backup

AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan

Amazon EBS termasuk dalam AWS Backup Paket.

 Remediasi menandai volume Amazon EBS dengan pasangan tag berikut. Pasangan tag harus cocok dengan kriteria pemilihan sumber daya berbasis tag untuk AWS Backup.

  • TagKey

  • TagValue

Tidak ada kendala

c18d2gz107

Tabel Amazon DynamoDB Tidak Termasuk dalam Paket AWS Backup

AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlan

Tabel Amazon DynamoDB disertakan dalam Paket. AWS Backup

Remediasi menandai Amazon DynamoDB dengan pasangan tag berikut. Pasangan tag harus cocok dengan kriteria pemilihan sumber daya berbasis tag untuk AWS Backup.

  • TagKey

  • TagValue

Tidak ada kendala

c18d2gz117

Amazon EFS Tidak Termasuk dalam AWS Backup Paket

AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan

Amazon EFS disertakan dalam AWS Backup Paket.

 Remediasi menandai Amazon EFS dengan pasangan tag berikut. Pasangan tag harus cocok dengan kriteria pemilihan sumber daya berbasis tag untuk AWS Backup.

  • TagKey

  • TagValue

Tidak ada kendala

c18d2gz105

Penyeimbang Beban Jaringan Cross Load Balancing

AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing

Penyeimbangan beban lintas zona diaktifkan pada Network Load Balancer.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1qf5bt026

synchronous_commitParameter Amazon RDS dimatikan

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Parameter synchronous_commit dihidupkan untuk Amazon RDS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1qf5bt030

innodb_flush_log_at_trx_commitParameter Amazon RDS tidak 1

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Parameter innodb_flush_log_at_trx_commit diatur ke 1 untuk Amazon RDS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1qf5bt031

sync_binlogParameter Amazon RDS dimatikan

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Parameter sync_binlog dihidupkan untuk Amazon RDS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1qf5bt036

Pengaturan innodb_default_row_format parameter Amazon RDS tidak aman

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Parameter innodb_default_row_format diatur ke DYNAMIC untuk Amazon RDS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c18d2gz144

Pemantauan EC2 Terperinci Amazon Tidak Diaktifkan

AWSManagedServices-TrustedRemediatorEnableEC2 InstanceDetailedMonitoring

Pemantauan terperinci diaktifkan untuk Amazon EC2.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Trusted Advisor pemeriksaan kinerja yang didukung oleh Trusted Remediator

Periksa ID dan nama Nama dokumen SSM dan hasil yang diharapkan Parameter dan kendala yang telah dikonfigurasikan sebelumnya yang didukung

COr6dfpM06

AWS Lambda fungsi yang kurang disediakan untuk ukuran memori

AWSManagedServices-ResizeLambdaMemory

Fungsi Lambda ukuran memori diubah ukurannya ke ukuran memori yang direkomendasikan yang disediakan oleh. Trusted Advisor

RecommendedMemorySize: Alokasi memori yang direkomendasikan untuk fungsi Lambda. Rentang nilai antara 128 dan 10240.

Jika ukuran fungsi Lambda dimodifikasi sebelum eksekusi otomatisasi, maka otomatisasi ini mungkin menimpa pengaturan dengan nilai yang direkomendasikan oleh. Trusted Advisor

ZRxQlPsb6c

Instans Amazon EC2 Pemanfaatan Tinggi

AWSManagedServices-ResizeInstanceByOneLevel

EC2 Instans Amazon diubah ukurannya dengan satu jenis instans dalam tipe keluarga instance yang sama. Instance dihentikan dan dimulai selama operasi pengubahan ukuran dan dikembalikan ke keadaan awal setelah eksekusi selesai. Otomatisasi ini tidak mendukung pengubahan ukuran instans yang ada di Grup Auto Scaling.

  • MinimumDaysSinceLastChange: Jumlah hari minimum sejak jenis instance terakhir berubah. Jika jenis instance dimodifikasi dalam waktu yang ditentukan, jenis instance tidak berubah. Gunakan 0 untuk melewati validasi ini. Nilai default-nya 7.

  • Buat AMIBefore Ubah Ukuran: Untuk membuat instance AMI sebagai cadangan sebelum mengubah ukuran, pilih. true Untuk tidak membuat cadangan, pilihfalse. Nilai default-nya false. Nilai yang valid adalah true dan false (peka huruf besar/kecil).

  • ResizeIfStopped: Untuk melanjutkan dengan perubahan ukuran instance, bahkan jika instance dalam keadaan berhenti, pilihtrue. Untuk tidak mengubah ukuran instance secara otomatis jika dalam keadaan berhenti, pilihfalse. Nilai yang valid adalah true dan false (peka huruf besar/kecil).

Tidak ada kendala

c1qf5bt021

innodb_change_bufferingParameter Amazon RDS menggunakan nilai kurang dari optimal

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Nilai innodb_change_buffering parameter diatur NONE untuk Amazon RDS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1qf5bt025

autovacuumParameter Amazon RDS dimatikan

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Parameter autovacuum dihidupkan untuk Amazon RDS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1qf5bt028

enable_indexonlyscanParameter Amazon RDS dimatikan

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Parameter enable_indexonlyscan dihidupkan untuk Amazon RDS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1qf5bt029

enable_indexscanParameter Amazon RDS dimatikan

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Parameter enable_indexscan dihidupkan untuk Amazon RDS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1qf5bt032

innodb_stats_persistentParameter Amazon RDS dimatikan

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Parameter innodb_stats_persistent dihidupkan untuk Amazon RDS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1qf5bt037

general_loggingParameter Amazon RDS dihidupkan

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Parameter general_logging dimatikan untuk Amazon RDS.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

Trusted Advisor pemeriksaan batas layanan yang didukung oleh Trusted Remediator

Periksa ID dan nama Nama dokumen SSM dan hasil yang diharapkan Parameter dan kendala yang telah dikonfigurasikan sebelumnya yang didukung

Ln7rr0L7j9

EC2-Alamat IP Elastis VPC

AWSManagedServices-UpdateVpcElasticIPQuota

Batas baru untuk alamat IP elastis EC2 -VPC diminta. Secara default, batas ditingkatkan sebesar 3.

Kenaikan: Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya 3.

Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan OK status, maka mungkin ada peningkatan batas yang lebih tinggi.

Km7QQ0L7j9

Gateway Internet VPC

AWSManagedServices-IncreaseServiceQuota- Batas baru untuk gateway internet VPC diminta. Secara default, batasnya meningkat tiga.

Kenaikan: Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya 3.

Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan OK status, maka mungkin ada peningkatan batas yang lebih tinggi.

JL7pp0L7j9

VPC

AWSManagedServices-IncreaseServiceQuota

Batas baru untuk VPC diminta. Secara default, batasnya meningkat 3.

Kenaikan: Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya 3.

Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan OK status, maka mungkin ada peningkatan batas yang lebih tinggi.

FW7HH0L7j9

Grup Auto Scaling

AWSManagedServices-IncreaseServiceQuota

Batas baru untuk Grup Auto Scaling diminta. Secara default, batasnya meningkat 3.

Kenaikan: Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya 3.

Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan OK status, maka mungkin ada peningkatan batas yang lebih tinggi.

3Njm0 DJQO9

Grup Opsi RDS

AWSManagedServices-IncreaseServiceQuota

Batas baru untuk grup opsi Amazon RDS diminta. Secara default, batasnya meningkat 3.

Kenaikan: Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya 3.

Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan OK status, maka mungkin ada peningkatan batas yang lebih tinggi.

EM8b3yLRTr

Penyeimbang Beban Aplikasi ELB

AWSManagedServices-IncreaseServiceQuota

Batas baru untuk ELB Application Load Balancers diminta. Secara default, batasnya meningkat 3.

Kenaikan: Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya 3.

Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan OK status, maka mungkin ada peningkatan batas yang lebih tinggi.

8WiQ YSt25 K

Penyeimbang Beban Jaringan ELB

AWSManagedServices-IncreaseServiceQuota

Batas baru untuk ELB Network Load Balancers diminta. Secara default, batasnya meningkat 3.

Kenaikan: Jumlah untuk meningkatkan kuota saat ini. Nilai default-nya 3.

Jika otomatisasi ini dijalankan beberapa kali sebelum Trusted Advisor pemeriksaan diperbarui dengan OK status, maka mungkin ada peningkatan batas yang lebih tinggi.

Trusted Advisor pemeriksaan keunggulan operasional didukung oleh Trusted Remediator

Periksa ID dan nama Nama dokumen SSM dan hasil yang diharapkan Parameter dan kendala yang telah dikonfigurasikan sebelumnya yang didukung

c18d2gz125

Amazon API Gateway Tidak Mencatat Log Eksekusi

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

Pencatatan eksekusi diaktifkan pada tahap API.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Anda harus memberikan izin API Gateway untuk membaca dan menulis log ke akun Anda CloudWatch untuk mengaktifkan log eksekusi, lihat Mengatur CloudWatch logging untuk REST APIs di API Gateway untuk detailnya.

c18d2gz168

Perlindungan Penghapusan Elastic Load Balancing Tidak Diaktifkan untuk Load Balancer

AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection- Perlindungan penghapusan dihidupkan untuk Elastic Load Balancer.

Tidak ada parameter yang telah dikonfigurasi sebelumnya yang diizinkan.

Tidak ada kendala

c1qf5bt012

Amazon RDS Performance Insights dimatikan

AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights

Performance Insights diaktifkan untuk Amazon RDS.

  • PerformanceInsightsRetentionPeriod: Jumlah hari untuk menyimpan data Performance Insights. Nilai Valid: 7 atau bulan* 31, di mana bulan adalah jumlah bulan dari 1-23. Contoh: 93 (3 bulan* 31), 341 (11 bulan* 31), 589 (19 bulan* 31) atau731.

  • PerformanceInsightsKMSKeyId: Id AWS KMS kunci untuk enkripsi data Performance Insights. Jika Anda tidak menentukan nilai untuk PerformanceInsights KMSKey Id, Amazon RDS menggunakan AWS KMS kunci default Anda.

Tidak ada kendala

c1fd6b96l4

Log Akses Amazon S3 Diaktifkan

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2

Pencatatan akses bucket Amazon S3 diaktifkan.

  • TargetBucketTagValue: Nilai tag (peka huruf besar/kecil) untuk mengidentifikasi bucket target, gunakan ini dan TargetBucketTagKey untuk menandai bucket yang akan digunakan sebagai bucket tujuan untuk pencatatan akses.

  • TargetObjectKeyFormat: Format kunci Amazon S3 untuk objek log (nilai peka huruf besar/kecil). Untuk menggunakan format sederhana untuk kunci S3 untuk objek log, pilihSimplePrefix. Untuk menggunakan kunci S3 yang dipartisi untuk objek log dan gunakan EventTime untuk awalan yang dipartisi, pilih. PartitionedPrefixEventTime Untuk menggunakan kunci S3 yang dipartisi untuk objek log dan gunakan DeliveryTime untuk awalan yang dipartisi, pilih. PartitionedPrefixDeliveryTime Nilai yang valid adalahSimplePrefix, PartitionedPrefixEventTime danPartitionedPrefixDeliveryTime.

Untuk mengaktifkan remediasi otomatis, parameter yang telah dikonfigurasi sebelumnya harus disediakan: TargetBucketTagKeydan. TargetBucketTagValue

Bucket tujuan harus sama Wilayah AWS dan Akun AWS sebagai bucket sumber, dengan izin yang benar untuk pengiriman log. Untuk informasi selengkapnya, lihat Mengaktifkan pencatatan akses server Amazon S3.