": {
...
}
}
```
+ **ResourceType**: Questa chiave deve essere una delle seguenti stringhe supportate. La configurazione all'interno di questo oggetto JSON riguarderà solo il tipo di AWS risorsa specificato. Tipi di risorsa supportati:
```
AWS::EC2::Instance
AWS::EC2::Instance::Disk
AWS::RDS::DBInstance
AWS::RDS::DBCluster
AWS::Elasticsearch::Domain
AWS::OpenSearch::Domain
AWS::Redshift::Cluster
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::ElasticLoadBalancingV2::LoadBalancer::TargetGroup
AWS::ElasticLoadBalancing::LoadBalancer
AWS::FSx::FileSystem::ONTAP
AWS::FSx::FileSystem::ONTAP::Volume
AWS::FSx::FileSystem::Windows
AWS::EFS::FileSystem
AWS::EC2::NatGateway
AWS::EC2::VPNConnection
```
+ **ConfigurationID**: questa chiave deve essere univoca nel profilo e denominare in modo univoco il seguente blocco di configurazione. Se due blocchi di configurazione nello stesso **ResourceType**blocco hanno lo stesso **ConfigurationID**, quello che appare per ultimo nel profilo ha effetto. Se si specifica un **ConfigurationID** nel profilo di personalizzazione che è uguale a quello specificato nel profilo predefinito, il blocco di configurazione definito nel profilo di personalizzazione ha effetto.
+ **Abilitato**: (opzionale, default=true) Specificate se il blocco di configurazione avrà effetto. Imposta questo valore su false per disabilitare un blocco di configurazione. Un blocco di configurazione disabilitato si comporta come se non fosse presente nel profilo.
+ **Tag**: specifica il tag a cui si applica questa definizione di allarme. Qualsiasi risorsa (del tipo di risorsa appropriato) che abbia questa chiave e questo valore di tag avrà un CloudWatch allarme creato con la definizione data. Questo campo è un oggetto JSON con i seguenti campi:
+ **Chiave**: la chiave del tag da abbinare. Tieni presente che se utilizzi Resource Tagger per applicare i tag alla risorsa, la chiave per il tag inizierà sempre con **ams:rt**:.
+ **Valore**: il valore del tag da abbinare.
+ **AlarmDefinition**: Definisce l'allarme da creare. Si tratta di un oggetto JSON i cui campi vengono passati così come sono alla chiamata CloudWatch `PutMetricAlarm` API (ad eccezione degli pseudoparametri; per ulteriori informazioni, vedere). [Accelera il profilo di configurazione: sostituzione di pseudoparametri](acc-mem-config-doc-sub.md) Per informazioni sui campi obbligatori, consultate la documentazione. [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)
O
**CompositeAlarmDefinition**: Definisce un allarme composito da creare. Quando si crea un allarme composito, si specifica un'espressione di regola per l'allarme che tiene conto dello stato di allarme di altri allarmi che hai creato. Si tratta di un oggetto JSON i cui campi vengono passati così come sono a. `CloudWatchPutCompositeAlarm` L'allarme composito entra in stato ALARM solo se tutte le condizioni della regola sono soddisfatte. Gli allarmi specificati nell'espressione di regola di un allarme composito possono includere allarmi di parametri e altri allarmi compositi. Per informazioni sui campi obbligatori, consultate la documentazione. [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)
Entrambe le opzioni forniscono i seguenti campi:
+ **AlarmName**: Specificate il nome dell'allarme che desiderate creare per la risorsa. Questo campo ha tutte le stesse regole specificate nella [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)documentazione; tuttavia, poiché il nome dell'allarme deve essere unico in una regione, Alarm Manager ha un requisito aggiuntivo: è necessario specificare lo pseudoparametro identificativo univoco nel nome dell'allarme (altrimenti, Alarm Manager aggiunge l'identificatore univoco della risorsa davanti al nome dell'allarme). Ad esempio, per il tipo di **AWS::EC2::Instance**risorsa, è necessario specificare `${EC2::InstanceId}` il nome dell'avviso oppure viene aggiunto implicitamente all'inizio del nome dell'avviso. Per l'elenco degli identificatori, vedere. [Accelera il profilo di configurazione: sostituzione di pseudoparametri](acc-mem-config-doc-sub.md)
Tutti gli altri campi sono quelli specificati nella [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)o nella [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)documentazione.
+ **AlarmRule**: Specificate quali altri allarmi devono essere valutati per determinare lo stato di questo allarme composito. Per ogni allarme a cui fai riferimento, devono essere presenti CloudWatch o specificati nel profilo di configurazione di Alarm Manager del tuo account.
**Importante**
È possibile specificare uno dei due **AlarmDefinition**o **CompositeAlarmDefinition**nel documento di configurazione di Alarm Manager, ma entrambi non possono essere utilizzati contemporaneamente.
Nell'esempio seguente, il sistema crea un allarme quando due allarmi metrici specificati superano la soglia:
```
{
"AWS::EC2::Instance": {
"LinuxResourceAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"CompositeAlarmDefinition": {
"AlarmName": "${EC2::InstanceId} Resource Usage High",
"AlarmDescription": "Alarm when a linux EC2 instance is using too much CPU and too much Disk",
"AlarmRule": "ALARM(\"${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}\") AND ALARM(\"${EC2::InstanceId}: CPU Too High\")"
}
}
}
}
```
**Importante**
Quando Alarm Manager non è in grado di creare o eliminare un allarme a causa di un'interruzione della configurazione, invia la notifica all'argomento SNS **Direct-Customer-Alerts**. Questo **AlarmDependencyError**allarme viene chiamato.
Ti consigliamo vivamente di confermare la tua iscrizione a questo argomento SNS. Per ricevere messaggi pubblicati su [un argomento](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html), devi sottoscrivere [un endpoint](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html#sns-endpoints) all'argomento. Per i dettagli, consulta [Fase 1: Creare un argomento](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#step-create-queue).
**Nota**
Quando vengono creati allarmi di rilevamento delle anomalie, Alarm Manager crea automaticamente i modelli di rilevamento delle anomalie richiesti per le metriche specificate. Quando gli allarmi di rilevamento delle anomalie vengono eliminati, Alarm Manager non elimina i modelli di rilevamento delle anomalie associati.
[Amazon CloudWatch limita il numero di modelli di rilevamento delle anomalie](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) che puoi avere in una determinata AWS regione. Se superi la quota del modello, Alarm Manager non crea nuovi allarmi di rilevamento delle anomalie. È necessario eliminare i modelli non utilizzati o collaborare con il proprio partner AMS per richiedere un aumento del limite.
**Molte delle definizioni di allarmi di base fornite da AMS Accelerate elencano l'argomento SNS, argomento MMS, come obiettivo.** Viene utilizzato nel servizio di monitoraggio AMS Accelerate ed è il meccanismo di trasporto delle notifiche di allarme che arrivano ad AMS Accelerate. Non specificate l'**argomento MMS** come destinazione per eventuali allarmi diversi da quelli forniti nella baseline (e sostituzioni delle stesse), poiché il servizio ignora gli allarmi sconosciuti. **Ciò non comporta** che AMS Accelerate agisca sugli allarmi personalizzati.
# Accelera il profilo di configurazione: sostituzione di pseudoparametri
In entrambi i profili di configurazione, è possibile specificare pseudoparametri che vengono sostituiti come segue:
+ Globale: in qualsiasi punto del profilo:
+ \$1 \$1AWS::AccountId\$1: sostituito con l'ID AWS del tuo account
+ [\$1 \$1AWS::Partition\$1: sostituita con la partizione Regione AWS della risorsa is in (questa è 'aws' per la maggior parte delle regioni); per ulteriori informazioni, consulta la voce relativa alla partizione nel riferimento ARN.](https://docs.amazonaws.cn/en_us/general/latest/gr/aws-arns-and-namespaces.html)
+ \$1 \$1AWS::Region\$1: sostituito con il nome della regione in cui viene distribuita la risorsa (ad esempio us-east-1)
+ In un blocco di tipo di **AWS::EC2::Instance**risorsa:
+ \$1 \$1EC2::InstanceId\$1: (**identificatore**) sostituito dall'ID dell'istanza della tua EC2 istanza Amazon.
+ \$1 \$1EC2::InstanceName\$1: sostituito dal nome della tua EC2 istanza Amazon.
+ In un blocco di tipo di risorsa **AWS::EC2::Instance: :Disk:**
+ \$1 \$1EC2::InstanceId\$1: (**identifier**) Sostituito dall'ID dell' EC2 istanza Amazon.
+ \$1 \$1EC2::InstanceName\$1: Sostituito dal nome della tua EC2 istanza Amazon.
+ \$1 \$1EC2: :Disk: :Device\$1: (**identifier**) Sostituito dal nome del disco. [(Solo Linux, su istanze gestite dall'agente). CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ \$1 \$1EC2: :Disk::FSType\$1: (**identifier**) Sostituito dal tipo di file system del disco. (Solo Linux, su istanze gestite da). [ CloudWatchAgent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ \$1 \$1EC2: :Disk: :Path\$1: (**identifier**) Sostituito dal percorso del disco. [In Linux, questo è il punto di montaggio del disco (ad esempio,/), mentre in Windows è l'etichetta dell'unità (ad esempio, c:/) (solo su un'istanza gestita dall'CloudWatch agente).](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ \$1 \$1EC2: :Disk: :UUID\$1: (**identifier**) Sostituito da un UUID generato che identifica in modo univoco il disco, questo deve essere specificato nel nome dell'allarme, poiché un allarme in tipo di AWS::EC2::Instance::Disk risorsa creerà un allarme per volume. Specificando \$1 \$1EC2: :Disk: :UUID\$1 si manterrà l'unicità dei nomi degli allarmi.
+ In un blocco di tipo di risorsa: **AWS::EKS::Cluster**
+ \$1 \$1EKS::ClusterName\$1: (**identificatore**) sostituito dal nome del cluster EKS.
+ In un blocco di tipi di **AWS::OpenSearch::Domain**risorse:
+ \$1 \$1OpenSearch::DomainName\$1: (**identificatore**) sostituito dal nome del tuo dominio EKS.
+ In un blocco di tipo di **AWS::ElasticLoadBalancing::LoadBalancer**risorsa:
+ \$1 \$1ElasticLoadBalancing:LoadBalancer: :Name\$1: (**identifier**) sostituito dal nome del Load Balancer V1.
+ In un blocco di tipo di risorsa **AWS::ElasticLoadBalancingV2::LoadBalancer**:
+ \$1 \$1ElasticLoadBalancingV2:: :Arn\$1LoadBalancer: (**identifier**) sostituito dall'ARN del Load Balancer V2.
+ \$1 \$1ElasticLoadBalancingV2:LoadBalancer: :Name\$1: (**identifier**) sostituito dal nome del Load Balancer V2.
+ \$1 \$1ElasticLoadBalancingV2:::LoadBalancer:FullName\$1: (**identifier**) sostituito dal nome completo del Load Balancer V2.
+ In un blocco di tipo di risorsa **AWS::ElasticLoadBalancingV2::LoadBalancer:::::: TargetGroup**
+ \$1 \$1ElasticLoadBalancingV2:::TargetGroup:FullName\$1: (**identifier**) sostituito dal nome del gruppo target del Load Balancer V2.
+ \$1 \$1ElasticLoadBalancingV2:: :UUID\$1TargetGroup: (**identifier**) sostituito da un UUID generato per il tuo Load Balancer V2.
+ In un blocco di tipi di risorse: **AWS::EC2::NatGateway**
+ \$1 \$1NatGateway::NatGatewayId\$1: (**identificatore**) sostituito dal NAT Gateway ID.
+ In un blocco di tipo di DBInstance risorsa **AWS: :RDS::**
+ \$1 \$1RDS:: DBInstance Identifier\$1: (**identifier) sostituito dall'identificatore** dell'istanza DB RDS.
+ In un blocco di tipo di DBCluster risorsa **AWS: :RDS::**
+ \$1 \$1RDS:: DBCluster Identifier\$1: (**identifier) sostituito dall'identificatore** del cluster RDS DB.
+ In un blocco di tipo di risorsa: **AWS::Redshift::Cluster**
+ \$1 \$1Redshift::ClusterIdentifier\$1: (**identifier) sostituito dal tuo identificatore** del cluster Redshift.
+ In un blocco di tipo di risorsa **AWS::Synthetics::Canary**:
+ \$1 \$1Synthetics::\$1CanaryName: **(**identifier) sostituito dal nome del tuo canarino Synthetics. CloudWatch
+ In un blocco di tipo di VPNConnection risorsa **AWSEC2::**:::
+ \$1 \$1AWS::EC2::VpnConnectionId\$1: (**identificatore**) sostituito dal tuo ID VPN.
+ In un blocco di tipo di **AWS::EFS::FileSystem**risorsa:
+ \$1 \$1EFS::FileSystemId\$1: (**identifier**) Sostituito dall'ID del file system EFS.
+ In un blocco di **AWS::FSx::FileSystemtipo di risorsa: :ONTAP**:
+ \$1 \$1FSx::FileSystemId\$1: (**identifier**) Sostituito dall'ID del file system del filesystem FSX.
+ \$1 \$1FSx::: :Throughput\$1FileSystem: Sostituito dal throughput del file system FSX.
+ \$1 \$1FSx:: :Iops\$1FileSystem: Sostituito dagli IOPS del file system FSX.
+ In un blocco di tipo di risorsa **AWS::FSx::FileSystem: :ONTAP**: :Volume:
+ \$1 \$1FSx::FileSystemId\$1: (**identifier**) Sostituito dall'ID del file system del file system FSX.
+ \$1 \$1FSx: :ONTAP::VolumeId\$1: (**identifier**) Sostituito dall'ID del volume.
+ In un blocco di tipo di **AWS::FSx::FileSystemrisorsa: :Windows:**
+ \$1 \$1FSx::FileSystemId\$1: (**identifier**) Sostituito dall'ID del file system del file system FSX.
+ \$1 \$1FSx::FileSystem: :Throughput\$1: Sostituito dal throughput del file system FSX.
**Nota**
Tutti i parametri contrassegnati con l'**identificatore** vengono utilizzati come prefisso per il nome degli allarmi creati, a meno che non si specifichi tale identificatore nel nome dell'allarme.
# Esempi di configurazione degli allarmi di accelerazione
Nell'esempio seguente, il sistema crea un allarme per ogni disco collegato all'istanza Linux corrispondente.
```
{
"AWS::EC2::Instance::Disk": {
"LinuxDiskAlarm": {
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "disk_used_percent",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "device",
"Value": "${EC2::Disk::Device}"
},
{
"Name": "fstype",
"Value": "${EC2::Disk::FSType}"
},
{
"Name": "path",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
Nell'esempio seguente, il sistema crea un allarme per ogni disco collegato all'istanza Windows corrispondente.
```
{
"AWS::EC2::Instance::Disk": {
"WindowsDiskAlarm": {
"Tag": {
"Key": "ams:rt:mywindowsinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "LogicalDisk % Free Space",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "objectname",
"Value": "LogicalDisk"
},
{
"Name": "instance",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
# Visualizzazione della configurazione di Accelerate Alarm Manager
Entrambi gli **AMSManagedallarmi **CustomerManagedAlarms****possono essere AppConfig esaminati [GetConfiguration](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_GetConfiguration.html)in.
Di seguito è riportato un esempio di `GetConfiguration` chiamata:
```
aws appconfig get-configuration --application AMSAlarmManager --environment AMSInfrastructure --configuration AMSManagedAlarms --client-id
any-string outfile.json
```
+ **Applicazione**: questa AppConfig è l'unità logica che fornisce funzionalità; per Alarm Manager, questa è `AMSAlarmManager`
+ **Ambiente**: questo è l' AMSInfrastructure ambiente
+ **Configurazione**: per visualizzare gli allarmi di base di AMS Accelerate, il valore è`AMSManagedAlarms`; per visualizzare le definizioni degli allarmi dei clienti, la configurazione è `CustomerManagedAlarms`
+ **ID client**: si tratta di un identificatore univoco dell'istanza dell'applicazione, che può essere una stringa qualsiasi
+ Le definizioni degli allarmi possono essere visualizzate nel file di output specificato, che in questo caso è `outfile.json`
Puoi vedere quale versione di configurazione è stata distribuita sul tuo account visualizzando le distribuzioni precedenti nell'ambiente. AMSInfrastructure
# Modifica della configurazione dell'allarme Accelerate
Per aggiungere o aggiornare nuove definizioni di allarme, puoi distribuire il documento [Utilizzo CloudFormation per implementare Accelerate le modifiche alla configurazione](acc-mem-deploy-change-cfn.md) di configurazione o richiamare l'[CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API.
Si tratta di un comando da riga di comando Linux che genera il valore del parametro in base64, che è ciò che il comando AppConfig CLI si aspetta. Per informazioni, consultate la AWS CLI documentazione, [Binary/Blob (binary large object](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob)).
Ad esempio:
```
aws appconfig create-hosted-configuration-version --application-id application-id --configuration-profile-id configuration-profile-id --content base64-string
--content-type application/json
```
+ **ID dell'applicazione:** ID dell'applicazione AMS AlarmManager; puoi scoprirlo con la chiamata API. [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)
+ **ID del profilo di configurazione**: ID della configurazione CustomerManagedAlarms; puoi scoprirlo con la chiamata [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)API.
+ **Contenuto**[: stringa Base64 del contenuto, da creare creando un documento e codificandolo in base64: cat alarms-v2.json \$1 base64 (vedi Binary/Blob (binary large object)).](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob)
Tipo di **`application/json`contenuto:** tipo MIME, perché le definizioni degli allarmi sono scritte in JSON.
**Importante**
Limita l'accesso alle azioni [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)e alle [StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)API a utenti fidati che comprendono le responsabilità e le conseguenze dell'implementazione di una nuova configurazione per i tuoi obiettivi.
Per ulteriori informazioni su come utilizzare le AppConfig funzionalità di AWS per creare e distribuire una configurazione, consulta [Working with AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html).
# Modifica della configurazione predefinita di Accelerate alarm
Sebbene non sia possibile modificare il profilo di configurazione predefinito, è possibile sostituire i valori predefiniti specificando un blocco di configurazione nel profilo di personalizzazione con lo stesso **ConfigurationID** del blocco di configurazione predefinito. In tal caso, l'intero blocco di configurazione sovrascrive il blocco di configurazione predefinito a cui applicare la configurazione di etichettatura.
Ad esempio, considerate il seguente profilo di configurazione predefinito:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 5,
...
}
}
}
}
```
Per modificare la soglia di questo allarme a 10, **è necessario fornire l'intera definizione di allarme**, non solo le parti che si desidera modificare. Ad esempio, potresti fornire il seguente profilo di personalizzazione:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 10,
...
}
}
}
}
```
**Importante**
Ricordati di implementare le modifiche alla configurazione dopo averle apportate. In SSM AppConfig, è necessario distribuire una nuova versione della configurazione dopo averla creata.
# Implementazione delle modifiche alla configurazione di Accelerate
Dopo aver completato una personalizzazione, è necessario distribuirla con o. AppConfig CloudFormation
**Topics**
+ [
# Utilizzo AppConfig per implementare Accelerate le modifiche alla configurazione degli allarmi
](acc-mem-deploy-change-appconfig.md)
+ [
# Utilizzo CloudFormation per implementare Accelerate le modifiche alla configurazione
](acc-mem-deploy-change-cfn.md)
# Utilizzo AppConfig per implementare Accelerate le modifiche alla configurazione degli allarmi
Una volta completata la personalizzazione, utilizzala AppConfig per distribuire le modifiche con. [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)
```
aws appconfig start-deployment --application-id application_id
--environment-id environment_id Vdeployment-strategy-id
deployment_strategy_id --configuration-profile-id configuration_profile_id --configuration-version 1
```
+ **ID applicazione**: ID dell'applicazione`AMSAlarmManager`, puoi trovarlo con la chiamata [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)API.
+ **ID ambiente**: puoi trovarlo con la chiamata [ListEnvironments](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListEnvironments.html)API.
+ **ID della strategia di implementazione**: puoi trovarlo con la chiamata [ListDeploymentStrategies](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListDeploymentStrategies.html)API.
+ **ID del profilo di configurazione**: ID di`CustomerManagedAlarms`; puoi trovarlo con la chiamata [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)API.
+ **Versione di configurazione**: la versione del profilo di configurazione da distribuire.
**Importante**
Alarm Manager applica le definizioni degli allarmi come specificato nei profili di configurazione. Qualsiasi modifica manuale apportata agli CloudWatch allarmi con Console di gestione AWS o CloudWatch CLI/SDK viene ripristinata automaticamente, quindi assicurati che le modifiche siano definite tramite Alarm Manager. Per capire quali allarmi vengono creati da Alarm Manager, puoi cercare il tag con valore. `ams:alarm-manager:managed` `true`
Limita l'accesso alle azioni [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)e alle [ StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)API a utenti fidati che comprendono le responsabilità e le conseguenze dell'implementazione di una nuova configurazione per i tuoi obiettivi.
Per ulteriori informazioni su come utilizzare le AppConfig funzionalità di AWS per creare e distribuire una configurazione, consulta la [ AppConfig documentazione AWS](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html).
# Utilizzo CloudFormation per implementare Accelerate le modifiche alla configurazione
Se desideri distribuire il tuo profilo di `CustomerManagedAlarms` configurazione utilizzando CloudFormation, puoi utilizzare i seguenti CloudFormation modelli. Inserisci la configurazione JSON desiderata nel `AMSAlarmManagerConfigurationVersion.Content` campo.
Quando distribuisci i modelli in uno CloudFormation stack o in uno stack set, la distribuzione della `AMSResourceTaggerDeployment` risorsa avrà esito negativo se non hai seguito il formato JSON richiesto per la configurazione. Vedi [Accelera il profilo di configurazione: monitoraggio](acc-mem-config-doc-format.md) per i dettagli sul formato previsto.
Per assistenza sulla distribuzione di questi modelli come CloudFormation stack o set di stack, consulta la documentazione CloudFormation AWS pertinente di seguito:
+ [Creazione di uno stack sulla console AWS CloudFormation ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
+ [Creazione di uno stack con AWS CLI](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-cli-creating-stack.html)
+ [Creazione di un set di stack](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)
**Nota**
Se si distribuisce una versione di configurazione utilizzando uno di questi modelli e successivamente si elimina lo CloudFormation stack/stack set, la versione di configurazione del modello rimarrà la versione attualmente distribuita e non verrà effettuata alcuna distribuzione aggiuntiva. Se desideri tornare a una configurazione predefinita, dovrai distribuire manualmente una configurazione vuota (ad esempio solo \$1\$1) o aggiornare lo stack a una configurazione vuota, anziché eliminare lo stack.
**JSON**
```
{
"Description": "Custom configuration for the AMS Alarm Manager.",
"Resources": {
"AMSAlarmManagerConfigurationVersion": {
"Type": "AWS::AppConfig::HostedConfigurationVersion",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"Content": "{}",
"ContentType": "application/json"
}
},
"AMSAlarmManagerDeployment": {
"Type": "AWS::AppConfig::Deployment",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"ConfigurationVersion": {
"Ref": "AMSAlarmManagerConfigurationVersion"
},
"DeploymentStrategyId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-Deployment-StrategyID"
},
"EnvironmentId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-EnvironmentId"
}
}
}
}
}
```
**YAML**
```
Description: Custom configuration for the AMS Alarm Manager.
Resources:
AMSAlarmManagerConfigurationVersion:
Type: AWS::AppConfig::HostedConfigurationVersion
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
Content: |
{
}
ContentType: application/json
AMSAlarmManagerDeployment:
Type: AWS::AppConfig::Deployment
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
ConfigurationVersion:
!Ref AMSAlarmManagerConfigurationVersion
DeploymentStrategyId:
!ImportValue AMS-Alarm-Manager-Configuration-Deployment-StrategyID
EnvironmentId:
!ImportValue AMS-Alarm-Manager-Configuration-EnvironmentId
```
# Rolling back Accelera le modifiche agli allarmi
[È possibile ripristinare le definizioni degli allarmi tramite lo stesso meccanismo di distribuzione specificando una versione precedente del profilo di configurazione ed StartDeployment eseguendola.](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)
# Mantenimento degli allarmi Accelerate
Quando le risorse monitorate da AMS vengono eliminate, tutti gli allarmi creati da Alarm Manager per tali risorse vengono eliminati automaticamente da Alarm Manager. Se è necessario conservare determinati allarmi per scopi di controllo, conformità o cronologia, utilizza la funzionalità di mantenimento dei tag di memorizzazione di Alarm Manager.
Per mantenere un avviso anche dopo l'eliminazione della relativa risorsa monitorata, aggiungi un `"ams:alarm-manager:retain" ` tag alla configurazione personalizzata dell'avviso, come mostrato nell'esempio seguente.
```
{
"AWS::EC2::Instance": {
"AMSCpuAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: CPU Too High",
"AlarmDescription": "AMS Baseline Alarm for EC2 CPUUtilization",
[...]
"Tags": [
{
"Key": "ams:alarm-manager:retain",
"Value": "true"
}
]
}
}
}
}
```
Un allarme configurato con il `"ams:alarm-manager:retain"` tag non viene eliminato automaticamente da Alarm Manager quando la risorsa monitorata viene terminata. L'allarme mantenuto persiste a CloudWatch tempo indeterminato fino a quando non viene rimosso manualmente utilizzando. CloudWatch
# Disattivazione della configurazione predefinita di Accelerate alarm
AMS Accelerate fornisce il profilo di configurazione predefinito nell'account in base agli allarmi di base. Tuttavia, questa configurazione predefinita può essere disabilitata sovrascrivendo una qualsiasi delle definizioni di allarme. È possibile disabilitare una regola di configurazione predefinita sovrascrivendo il **ConfigurationID** della regola nel profilo di configurazione di personalizzazione e specificando il campo enabled con il valore false.
Ad esempio, se nel profilo di configurazione predefinito era presente la seguente configurazione:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
...
}
}
}
```
È possibile disabilitare questa regola di etichettatura includendo quanto segue nel profilo di configurazione di personalizzazione:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": false
}
}
}
```
Per apportare queste modifiche, l'[CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API deve essere chiamata con il documento del profilo JSON (vedi[Modifica della configurazione dell'allarme Accelerate](acc-mem-change-am.md)) e successivamente deve essere distribuita (vedi). [Implementazione delle modifiche alla configurazione di Accelerate](acc-mem-deploy-change.md) Tieni presente che quando crei la nuova versione di configurazione, devi includere anche tutti gli allarmi personalizzati creati in precedenza che desideri nel documento del profilo JSON.
**Importante**
Quando AMS Accelerate aggiorna il profilo di configurazione predefinito, non viene calibrato in base agli allarmi personalizzati configurati, quindi rivedi le modifiche agli allarmi predefiniti quando le sovrascrivi nel tuo profilo di configurazione di personalizzazione.
# Creazione di CloudWatch allarmi aggiuntivi per Accelerate
Puoi creare CloudWatch allarmi aggiuntivi per AMS Accelerate utilizzando CloudWatch metriche e allarmi personalizzati per le istanze Amazon. EC2
Produci lo script di monitoraggio delle applicazioni e i parametri personalizzati. Per ulteriori informazioni e accesso a script di esempio, consulta [Monitoring Memory and Disk Metrics EC2 for Amazon Linux Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mon-scripts.html).
Gli script di CloudWatch monitoraggio per le EC2 istanze Linux Amazon dimostrano come produrre e utilizzare metriche personalizzate CloudWatch . Questi script Perl di esempio contengono un esempio completamente funzionale che crea report sui parametri di memoria, swap e uso dello spazio su disco relativi a un'istanza Linux.
**Importante**
AMS Accelerate non monitora gli CloudWatch allarmi creati dall'utente.
# Visualizzazione del numero di risorse monitorate da Alarm Manager for Accelerate
Alarm Manager invia i parametri ogni ora ad Amazon CloudWatch, nel `AMS/AlarmManager` namespace. Le metriche vengono emesse solo per i tipi di risorse supportati da Alarm Manager.
| Nome parametro | Dimensioni | Descrizione |
| --- | --- | --- |
| ResourceCount | Componente, ResourceType | Numero di risorse (del tipo di risorsa specificato) distribuite in questa regione. Unità: numero |
| ResourcesMissingManagedAlarms | Componente, ResourceType | Numero di risorse (del tipo di risorsa specificato) che richiedono allarmi gestiti, ma Alarm Manager non ha ancora applicato gli allarmi. Unità: numero |
| UnmanagedResources | Componente, ResourceType | Numero di risorse (del tipo di risorsa specificato) a cui non è stato applicato alcun allarme gestito da Alarm Manager. In genere, queste risorse non corrispondono a nessun blocco di configurazione di Alarm Manager o sono esplicitamente escluse dai blocchi di configurazione. Unità: numero |
| MatchingResourceCount | Componente, ResourceType ConfigClauseName | Numero di risorse (del tipo di risorsa specificato) che corrispondono al blocco di configurazione di Alarm Manager. Affinché una risorsa corrisponda al blocco di configurazione, il blocco deve essere abilitato e la risorsa deve avere gli stessi tag specificati nel blocco di configurazione. Unità: numero |
**Queste metriche sono visualizzabili anche come grafici nella dashboard di AMS-Alarm-Manager-Reporting-Dashboard.** **Per visualizzare il dashboard, dalla console di gestione, seleziona AMS-Alarm-Manager-Reporting-Dashboard. AWS CloudWatch ** Per impostazione predefinita, i grafici di questa dashboard mostrano i dati per il periodo precedente di 12 ore.
AMS Accelerate distribuisce CloudWatch allarmi sul tuo account per rilevare aumenti significativi del numero di risorse non gestite, ad esempio risorse escluse dalla gestione da AMS Alarm Manager. AMS Operations esaminerà gli aumenti delle risorse non gestite superiori a: tre risorse dello stesso tipo o un aumento del 50% rispetto a tutte le risorse dello stesso tipo. Se la modifica non sembra intenzionale, AMS Operations potrebbe contattarti per esaminarla.
# Correzione automatica degli avvisi con AMS
Dopo la verifica, AWS Managed Services (AMS) corregge automaticamente determinati avvisi in base a condizioni e processi specifici descritti in questa sezione.
| Nome dell'avviso | Descrizione | Soglie | Azione |
| --- | --- | --- | --- |
| Verifica dello stato non riuscita | Possibili guasti hardware o uno stato di errore dell'istanza. | Il sistema ha rilevato uno stato di errore almeno una volta negli ultimi 15 minuti. | La riparazione automatica AMS verifica innanzitutto se l'istanza è accessibile. Se l'istanza è inaccessibile, viene interrotta e riavviata. L'arresto e l'avvio consentono all'istanza di migrare verso il nuovo hardware sottostante. Per ulteriori informazioni, consulta la sezione seguente "EC2 Status Check Failure Remediation Automation». |
| AMSLinuxDiskUsage | Si attiva quando l'utilizzo su disco di 1 punto di montaggio (spazio designato su un volume) sull' EC2 istanza si sta esaurendo. | La soglia supera il valore definito 6 volte negli ultimi 30 minuti. | La riparazione automatica AMS elimina innanzitutto i file temporanei. Se ciò non libera abbastanza spazio su disco, estende il volume per evitare tempi di inattività se il volume si riempie. |
| AMSWindowsDiskUsage | Quando l'utilizzo del disco di 1 punto di montaggio (spazio designato su un volume) sull' EC2 istanza è esaurito. | La soglia supera il valore definito 6 volte negli ultimi 30 minuti. | La riparazione automatica AMS elimina innanzitutto i file temporanei. Se ciò non libera abbastanza spazio su disco, estende il volume per evitare tempi di inattività se il volume si riempie. |
| RDS-EVENT-0089 | L'istanza database ha utilizzato oltre il 90% dello storage allocato. | Lo spazio di archiviazione è allocato per oltre il 90%. | La correzione automatica AMS verifica innanzitutto che il DB sia in uno stato modificabile e disponibile o che lo spazio di archiviazione sia pieno. Tenta quindi di aumentare lo storage allocato, gli IOPS e il throughput di storage tramite un changeset. CloudFormation Se è già stata rilevata una deriva dello stack, ricorre all'API RDS per evitare tempi di inattività. Questa funzionalità può essere disattivata aggiungendo il seguente tag all'istanza DB RDS: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0007 | Lo storage allocato per l'istanza DB è esaurito. Per risolvere, alloca spazio di archiviazione aggiuntivo. | Lo storage è allocato al 100%. | La correzione automatica AMS verifica innanzitutto che il DB sia in uno stato modificabile e disponibile o che lo spazio di archiviazione sia pieno. Tenta quindi di aumentare lo storage allocato, gli IOPS e il throughput di storage tramite un changeset. CloudFormation Se è già stata rilevata una deriva dello stack, ricorre all'API RDS per evitare tempi di inattività. Questa funzionalità può essere disattivata aggiungendo il seguente tag all'istanza DB RDS: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0224 | Lo storage allocato richiesto raggiunge o supera la soglia di archiviazione massima configurata. | La soglia massima di archiviazione per l'istanza DB è stata esaurita o è maggiore o uguale allo storage allocato richiesto. | La riparazione automatica AMS verifica innanzitutto che la quantità richiesta di storage RDS superi la soglia massima di archiviazione. Se confermata, AMS tenta di aumentare la soglia massima di archiviazione del 30% con un CloudFormation changeset o un'API RDS diretta se il provisioning delle risorse non viene effettuato tramite. CloudFormation Questa funzionalità può essere disattivata aggiungendo il seguente tag all'istanza DB RDS: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| Capacità di archiviazione RDS | Rimane meno di 1 GB nello storage allocato per l'istanza DB. | Lo storage è allocato al 99%. | La correzione automatica AMS verifica innanzitutto che il DB sia in uno stato modificabile e disponibile o che lo spazio di archiviazione sia pieno. Tenta quindi di aumentare lo storage allocato, gli IOPS e il throughput di storage tramite un changeset. CloudFormation Se è già stata rilevata una deriva dello stack, ricorre all'API RDS per evitare tempi di inattività. Questa funzionalità può essere disattivata aggiungendo il seguente tag all'istanza DB RDS: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
## EC2 errore nel controllo dello stato: note sull'automazione della riparazione
Come funziona la riparazione automatica AMS in caso di problemi relativi al controllo EC2 dello stato:
+ Se la tua EC2 istanza Amazon è diventata irraggiungibile, l'istanza deve essere interrotta e riavviata in modo da poter essere migrata su un nuovo hardware e ripristinata.
+ Se la radice del problema è all'interno del sistema operativo (dispositivi mancanti in fstab, danneggiamento del kernel e così via), l'automazione non è in grado di ripristinare l'istanza.
+ Se l'istanza appartiene a un gruppo Auto Scaling, l'automazione non interviene: l'azione di AutoScalingGroup ridimensionamento sostituisce l'istanza.
+ Se l'istanza ha EC2 Auto Recovery abilitato, la riparazione non interviene.
## EC2 automazione della correzione dell'utilizzo dei volumi
Come funziona la riparazione automatica di AWS Managed Services (AMS) in caso di problemi di utilizzo dei EC2 volumi:
+ L'automazione verifica innanzitutto se l'espansione del volume è necessaria e se può essere eseguita. Se l'espansione è ritenuta appropriata, l'automazione può aumentare la capacità del volume. Questo processo automatizzato bilancia l'esigenza di crescita con un'espansione controllata e limitata.
+ Prima di estendere un volume, l'automazione esegue attività di pulizia (Windows: Disk Cleaner, Linux: Logrotate \$1 rimozione del registro dell'agente di Simple Service Manager) sull'istanza per cercare di liberare spazio.
**Nota**
Le attività di pulizia non vengono eseguite sulle istanze della famiglia EC2 «T» perché si affidano ai crediti della CPU per la continuità delle funzionalità.
+ Su Linux, l'automazione supporta solo l'estensione dei file system di tipo EXT2 C e XFS. EXT3 EXT4
+ Su Windows, l'automazione supporta solo New Technology File System (NTFS) e Resilient File System (ReFS).
+ L'automazione non estende i volumi che fanno parte di Logical Volume Manager (LVM) o di un array RAID.
+ L'automazione non estende i volumi dell'*Instance Store*.
+ L'automazione non interviene se il volume interessato è già superiore a 2 TiB.
+ L'espansione attraverso l'automazione è limitata a un massimo di tre volte alla settimana e cinque volte in totale nell'arco della vita del sistema.
+ L'automazione non aumenta il volume se l'espansione precedente è avvenuta nelle ultime sei ore.
Quando queste regole impediscono all'automazione di intervenire, AMS contatta l'utente tramite una richiesta di servizio in uscita per determinare le azioni successive da intraprendere.
## Automazione della correzione degli eventi a basso livello di storage di Amazon RDS
Come funziona la riparazione automatica di AWS Managed Services (AMS) con i problemi relativi agli eventi di storage insufficiente di Amazon RDS:
+ Prima di provare a estendere lo storage dell'istanza Amazon RDS, l'automazione esegue diversi controlli per garantire che l'istanza Amazon RDS sia in uno stato modificabile e disponibile o pieno di spazio di archiviazione.
+ Se viene rilevata una deriva CloudFormation dello stack, la correzione avviene tramite l'API Amazon RDS.
+ L'azione di riparazione non viene eseguita nei seguenti scenari:
+ Lo stato dell'istanza Amazon RDS non è «disponibile» o «pieno di spazio di archiviazione».
+ Lo storage delle istanze Amazon RDS non è attualmente modificabile (ad esempio quando lo storage è stato modificato nelle ultime sei ore).
+ L'istanza Amazon RDS ha lo storage con scalabilità automatica abilitato.
+ L'istanza Amazon RDS non è una risorsa all'interno di uno CloudFormation stack.
+ La riparazione è limitata a un'espansione ogni sei ore e a non più di tre espansioni nell'arco di quattordici giorni consecutivi.
+ Quando si verificano questi scenari, AMS ti contatta per segnalarti un incidente in uscita per determinare le azioni successive.
# Utilizzo di Amazon EventBridge Managed Rules in AMS
AMS Accelerate utilizza Amazon EventBridge Managed Rules. Una Managed Rule è un tipo di regola unico direttamente collegato ad AMS. Queste regole corrispondono agli eventi in arrivo e li inviano alle destinazioni per l'elaborazione. Le Managed Rules sono predefinite da AMS e includono i modelli di eventi richiesti dal servizio per gestire gli account dei clienti e, se non diversamente definito, solo il servizio proprietario può utilizzare queste Managed Rules.
Le regole gestite di AMS Accelerate sono collegate al `events.managedservices.amazonaws.com` responsabile del servizio. Queste Managed Rules sono gestite tramite il ruolo [`AWSServiceRoleForManagedServices_Events`collegato al servizio](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/using-service-linked-roles.html#slr-evb-rule). Per eliminare queste regole è necessaria una conferma speciale da parte del cliente. Per ulteriori informazioni, consulta [Eliminazione delle regole gestite per AMS](#delete-managed-rules).
Per ulteriori informazioni sulle regole, consulta [Rules](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) nella *Amazon EventBridge User Guide*.
## Amazon EventBridge Managed Rules implementato da AMS
**Regole EventBridge gestite da Amazon**
| Nome regola | Descrizione | Definizione |
| --- | --- | --- |
| AmsAccessRolesRule | Questa regola tiene conto delle modifiche ai ruoli e alle politiche specifici di AMS Accelerate. |
{
"source": ["aws.iam"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventName": [
"DeleteRole",
"DeletePolicy",
"CreatePolicyVersion",
"AttachRolePolicy",
"DetachRolePolicy"
],
"requestParameters": {
"$or": [
{
"roleName": [
"ams-access-admin",
"ams-access-admin-operations",
"ams-access-operations",
"ams-access-read-only",
"ams-access-security-analyst",
"ams-access-security-analyst-read-only"
]
},
{
"policyArn": [
"arn:*:iam::*:policy/ams-access-allow-pass-role",
"arn:*:iam::*:policy/ams-access-deny-cloudshell-policy",
"arn:*:iam::*:policy/ams-access-deny-operations-policy",
"arn:*:iam::*:policy/ams-access-deny-update-iam-policy",
"arn:*:iam::*:policy/ams-access-ssr-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-read-only-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-extended-policy",
"arn:*:iam::*:policy/ams-access-admin-policy",
"arn:*:iam::*:policy/ams-access-admin-operations-policy"
]
},
]
},
},
}
|
| AMSCoreRegola | Questa regola inoltra CloudWatch gli eventi Amazon ai servizi di correzione AWS Config e monitoraggio AMS Config rispettosamente. Gli AWS Config eventi si creano e si risolvono. AWS Systems Manager OpsItems Gli CloudWatch eventi di Amazon monitorano gli CloudWatch allarmi. |
{
{
"source": ["aws.config", "aws.cloudwatch"],
"detail-type": ["Config Rules Compliance Change", "CloudWatch Alarm State Change"],
}
}
|
## Creazione di regole gestite per AMS
Non è necessario creare manualmente Amazon EventBridge Managed Rules. Quando effettui l'onboarding su AMS tramite la console di AWS gestione AWS CLI, l'API o l' AWS API, AMS le crea per te.
## Modifica delle regole gestite per AMS
AMS non consente di modificare le Managed Rules. Il nome e lo schema di eventi per ogni Managed Rule sono predefiniti da AMS.
## Eliminazione delle regole gestite per AMS
Non è necessario eliminare manualmente le Managed Rules. Quando esci da AMS tramite la Console di AWS gestione, l'API o l' AWS API AWS CLI, AMS ripulisce le risorse ed elimina tutte le Managed Rules di proprietà di AMS per te.
Nel caso in cui AMS non riesca a rimuovere le Managed Rules durante l'offboarding, puoi anche utilizzare la EventBridge console Amazon, AWS CLI o l' AWS API per eliminare manualmente le Managed Rules. Per fare ciò, devi prima abbandonare AMS e procedere all'eliminazione forzata delle Managed Rules.
# Trusted Remediator in AMS
Trusted Remediator è una soluzione AWS Managed Services che automatizza la riparazione e le raccomandazioni. [AWS Trusted Advisor[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) Trusted Remediator crea consigli quando Trusted Advisor e Compute Optimizer indica opportunità per ridurre i costi, migliorare la disponibilità del sistema, ottimizzare le prestazioni o colmare le lacune di sicurezza per te. Account AWS Con Trusted Remediator, puoi rispondere a questi consigli su sicurezza, prestazioni, ottimizzazione dei costi, tolleranza agli errori e limiti di servizio in modo sicuro e standardizzato che utilizza le migliori pratiche consolidate. Trusted Remediator consente di configurare una soluzione di riparazione e viene eseguito automaticamente in base a una pianificazione creata dall'utente, semplificando il processo di riparazione. Questo approccio semplificato risolve i problemi in modo coerente, efficiente e senza interventi manuali.
## Vantaggi principali di Trusted Remediator
Di seguito sono riportati i principali vantaggi di Trusted Remediator:
+ **Maggiore sicurezza, prestazioni e ottimizzazione dei costi:** Trusted Remediator consente di migliorare il livello di sicurezza generale degli account, ottimizzare l'utilizzo delle risorse e ridurre i costi operativi.
+ **Configurazione e configurazione self-service:** è possibile configurare Trusted Remediator in base ai propri requisiti e preferenze.
+ **Correzione automatizzata Trusted Advisor dei controlli e AWS Compute Optimizer delle raccomandazioni: dopo la** configurazione, Trusted Remediator esegue automaticamente le azioni di riparazione per i controlli selezionati. Questa automazione elimina la necessità di interventi manuali.
+ **Implementazione delle migliori pratiche:** le azioni correttive si basano su best practice consolidate, quindi i problemi vengono risolti in modo standardizzato ed efficace.
+ **Esecuzione pianificata:** è possibile scegliere il programma di riparazione che si allinea ai flussi di lavoro operativi. day-to-day
Trusted Remediator ti consente di affrontare in modo proattivo i problemi identificati nei tuoi AWS ambienti, aiutandoti a rispettare le migliori pratiche e a mantenere un'infrastruttura cloud sicura, ad alte prestazioni ed economica.
## Come funziona Trusted Remediator
Di seguito è riportato un esempio del flusso di lavoro Trusted Remediator:
![\[Un'illustrazione del flusso di lavoro Trusted Remediator.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/trusted-remediator-workflow.png)
Trusted Remediator valuta Trusted Advisor e consiglia Compute Optimizer per te e crea. Account AWS AWS Systems Manager [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html) OpsCenter Quindi, è possibile utilizzare i documenti di automazione Trusted Remediator per rimediare automaticamente o manualmente. OpsItems Di seguito sono riportati i dettagli per ogni tipo di riparazione:
+ **Riparazione automatica:** Trusted Remediator esegue il documento di automazione e monitora l'esecuzione. Una volta completato il documento di automazione, Trusted Remediator risolve l'Opsitem.
+ **Riparazione manuale: Trusted Remediator** crea il file da esaminare. OpsItem Dopo la revisione, si avvia il documento di automazione.
I log di riparazione sono archiviati in un bucket Amazon S3. Puoi utilizzare i dati nel bucket S3 per creare dashboard personalizzati per la reportistica. QuickSight AMS fornisce anche report su richiesta per Trusted Remediator. Per ricevere questi report, contattate il vostro CSDM. Per ulteriori informazioni, consulta [Report di Trusted Remediator](trusted-remediator-reports.md).
## Termini chiave per Trusted Remediator
Di seguito sono riportati i termini che è utile conoscere quando si utilizza Trusted Remediator in AMS:
+ **AWS Trusted Advisor e AWS Compute Optimizer:** servizi di ottimizzazione del cloud forniti da AWS. Trusted Advisor e Compute Optimizer ispezionano AWS l'ambiente e forniscono consigli basati sulle migliori pratiche nelle seguenti sei categorie:
+ Ottimizzazione dei costi
+ Prestazioni
+ Sicurezza
+ Tolleranza ai guasti
+ Eccellenza operativa
+ Limiti del servizio
Per ulteriori informazioni, consultare [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) e [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/).
+ **Trusted Remediator:** una soluzione di correzione AMS per controlli e raccomandazioni. [Trusted Advisor[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) Trusted Remediator ti aiuta a correggere in sicurezza i Trusted Advisor controlli e le raccomandazioni di Compute Optimizer con le migliori pratiche note per migliorare la sicurezza, le prestazioni e ridurre i costi. Trusted Remediator è facile da configurare e configurare. La configurazione viene effettuata una sola volta e Trusted Remediator esegue le riparazioni secondo la pianificazione preferita (giornaliera o settimanale).
+ **AWS Systems Manager Documento SSM:** un file JSON o YAML che definisce le azioni eseguite sulle risorse. AWS Systems Manager AWS Il documento SSM funge da specifica dichiarativa per automatizzare le attività operative su più risorse e istanze. AWS
+ **AWS Systems Manager OpsCenter OpsItem:** Una risorsa per la gestione dei problemi operativi nel cloud che ti aiuta a tracciare e risolvere i problemi operativi nel tuo ambiente. AWS OpsItems forniscono un sistema di visualizzazione e gestione centralizzato dei dati e dei problemi operativi su tutte Servizi AWS le risorse. Ciascuno di essi OpsItem rappresenta un problema operativo, ad esempio un potenziale rischio per la sicurezza, un problema di prestazioni o un incidente operativo.
+ **Configurazione:** una configurazione è un insieme di attributi memorizzati in [AWS AppConfig, una capacità di AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/appconfig.html). L'applicazione Trusted Remediator AWS AppConfig aiuta a configurare le riparazioni a livello di account. È possibile utilizzare la AWS AppConfig console o l'API per modificare le configurazioni.
+ **Modalità di esecuzione:** la modalità di esecuzione è un attributo di configurazione che determina come eseguire la correzione per ogni Trusted Advisor risultato del controllo. **Sono supportate quattro modalità di esecuzione: **automatizzata**, **manuale**, **condizionale, inattiva**.**
+ **Sostituzione delle risorse:** questa funzionalità utilizza i tag delle risorse per sovrascrivere una configurazione per risorse specifiche.
+ Registro **degli elementi di riparazione: un file di registro** nel bucket di registro S3 di Trusted Remediator remediation. Il registro degli elementi di riparazione viene creato al momento della creazione della riparazione. OpsItems Questo file di registro contiene la correzione manuale dell'esecuzione OpsItems e la correzione automatica dell'esecuzione. OpsItems Utilizzate questo file di registro per tenere traccia di tutti gli elementi di riparazione.
+ **Registro di esecuzione automatizzata della riparazione:** un file di registro nel bucket di registro S3 di Trusted Remediator remediation. Il registro di esecuzione automatica della riparazione viene creato al termine dell'esecuzione automatizzata di un documento SSM. Questo registro contiene i dettagli di esecuzione SSM per la correzione automatica dell'esecuzione. OpsItems Utilizza questo file di registro per tenere traccia delle riparazioni automatiche.
# Inizia a usare Trusted Remediator in AMS
Trusted Remediator è disponibile in AMS senza costi aggiuntivi. Trusted Remediator supporta configurazioni con account singolo e multiaccount.
## Accedere a Trusted Remediator
Per effettuare l'onboarding dei tuoi account AMS su Trusted Remediator, invia un'e-mail ai tuoi Cloud Architect o ai Cloud Service Delivery Manager (). CSDMs Nell'e-mail, includi le seguenti informazioni:
+ **Account AWS: Il numero** di identificazione dell'account a dodici cifre. Tutti gli account che desideri aggiungere a Trusted Remediator devono appartenere allo stesso cliente Accelerate.
+ **Account amministratore delegato:** l'account utilizzato per Trusted Advisor controllare la configurazione di Compute Optimizer per uno o più account.
+ **Account membro:** questi sono gli account collegati all'account amministratore delegato. Questi account ereditano le configurazioni dall'account amministratore delegato. È possibile avere uno o più account membro.
**Nota**
Gli account membro ereditano le configurazioni dall'account amministratore delegato. Se hai bisogno di configurazioni diverse per account specifici, esegui l'onboarding di più account amministratore delegato con le tue configurazioni preferite. Pianifica la struttura dell'account e le configurazioni con i tuoi Cloud Architects prima di iniziare.
+ **Regioni AWS:** Regioni AWS Dove si trovano le tue risorse. Per un elenco di Regioni AWS, vedi [Servizi AWS per regione](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
+ **Pianificazione e orario di riparazione:** il tuo programma di riparazione preferito (giornaliero o settimanale). Trusted Remediator raccoglie Trusted Advisor i controlli e avvia la riparazione all'ora pianificata. Ad esempio, è possibile impostare il programma di riparazione per l'1:00 di domenica di ogni settimana, ora solare dell'Australia orientale.
+ **E-mail di notifica:** Trusted Remediator utilizza l'e-mail di notifica per avvisarti quotidianamente in caso di correzioni. L'oggetto dell'e-mail di notifica è «Riepilogo delle riparazioni di Trusted Remediator» e il contenuto fornisce informazioni sulle riparazioni di Trusted Remediator eseguite nelle ultime 24 ore.
**Nota**
Esaminate le applicazioni e le risorse dopo ogni riparazione pianificata. Per ulteriore assistenza, contatta AMS.
Dopo aver inviato la richiesta di onboard con i dettagli richiesti alla CA o al CSDM, AMS effettua l'onboarding dei tuoi account su Trusted Remediator. Trusted Remediator utilizza AWS AppConfig, una funzionalità di AWS Systems Manager, per definire la configurazione per i controlli. Trusted Advisor Queste configurazioni sono un insieme di attributi che vengono memorizzati in. AWS AppConfig Per evitare addebiti non autorizzati alle risorse, tutti i Trusted Advisor controlli supportati sono impostati su **Inattivo** quando gli account vengono registrati su Trusted Remediator. Dopo l'onboarding, puoi utilizzare la AWS AppConfig console o l'API per gestire le configurazioni. Queste configurazioni consentono di correggere automaticamente Trusted Advisor controlli specifici o di valutare e correggere manualmente i controlli rimanenti. Le configurazioni sono altamente personalizzabili e consentono di applicare configurazioni per ogni controllo. Trusted Advisor Per ulteriori informazioni, consulta [Configurare Trusted Advisor la correzione degli assegni in Trusted Remediator](tr-configure-remediations.md).
## Scegli i controlli e i consigli per rimediare
Per impostazione predefinita, la modalità di esecuzione della riparazione è **inattiva** per tutti i Trusted Advisor controlli e le raccomandazioni di Compute Optimizer nella configurazione. In questo modo si evitano riparazioni non autorizzate e si proteggono le risorse. AMS fornisce documenti di automazione SSM selezionati per la correzione degli assegni. Trusted Advisor
Per selezionare i controlli a cui desideri correggere con Trusted Remediator, completa i seguenti passaggi:
1. Consulta l'elenco dei [consigli supportati Trusted Advisor e di [Compute Optimizer](tr-supported-recommendations-co.md) o il nome dei documenti di automazione SSM associati](tr-supported-checks.md) per decidere quali controlli e consigli desideri correggere con Trusted Remediator.
1. Aggiorna la configurazione per attivare la riparazione per i Trusted Advisor controlli selezionati. Per istruzioni su come selezionare i controlli, consulta[Configurare Trusted Advisor la correzione degli assegni in Trusted Remediator](tr-configure-remediations.md).
## Tieni traccia delle tue riparazioni in Trusted Remediator
Dopo aver aggiornato la configurazione a livello di account, Trusted Remediator crea per ogni correzione. OpsItems Trusted Remediator esegue il documento SSM per la riparazione automatica in base al programma di riparazione. OpsItems Per istruzioni su come visualizzare tutte le riparazioni OpsItems dalla OpsCenter console Systems Manager, vedere[Tieni traccia delle riparazioni in Trusted Remediator](tr-remediation.md#tr-remediation-track).
## Esegui riparazioni manuali in Trusted Remediator
È possibile correggere Trusted Advisor manualmente i controlli. Quando si avvia una riparazione manuale, Trusted Remediator crea un'esecuzione manuale. OpsItem È necessario rivedere e avviare il documento di automazione SSM per correggere il. OpsItems Per ulteriori informazioni, consulta [Esegui riparazioni manuali in Trusted Remediator](tr-remediation.md#tr-remediation-run).
# Raccomandazioni di Compute Optimizer supportate da Trusted Remediator
La tabella seguente elenca i consigli supportati da Compute Optimizer, i documenti di automazione SSM, i parametri preconfigurati e il risultato previsto dei documenti di automazione. Esamina il risultato previsto per aiutarti a comprendere i possibili rischi in base ai requisiti aziendali prima di abilitare un documento di automazione SSM per la correzione degli assegni.
Assicurati che la regola di configurazione corrispondente per ogni controllo di Compute Optimizer sia presente per i controlli supportati per i quali desideri abilitare la correzione. Per ulteriori informazioni, consulta [Optare](https://docs.aws.amazon.com/awssupport/latest/user/compute-optimizer-with-trusted-advisor.html) per i controlli. AWS Compute Optimizer Trusted Advisor
| Opzione di ottimizzazione | Nome del documento SSM e risultato previsto | Parametri e vincoli preconfigurati supportati |
| --- | --- | --- |
| Corretto dimensionamento |
| [Consigli sulle EC2 istanze Amazon](https://aws.amazon.com/compute-optimizer/faqs/#topic-4) | **AWSManagedServices-TrustedRemediatorResizeInstanceByComputeOptimizerRecommendation** Tipo di EC2 istanza Amazon aggiornato in base ai consigli di Compute Optimizer. Le opzioni più ottimali vengono scelte mantenendo gli stessi parametri della piattaforma (architettura, hypervisor, interfaccia di rete, tipo di virtualizzazione e così via), se l'opzione esiste. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Raccomandazioni sui volumi di Amazon EBS](https://aws.amazon.com/compute-optimizer/faqs/#topic-6) | **AWSManagedServices-ModifyEBSVolume** Il volume Amazon EBS viene modificato in base alle raccomandazioni di Compute Optimizer. La modifica può includere il tipo di volume, la dimensione, gli IOPS, la generazione del volume (gp2, gp3 ecc.). | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Raccomandazioni sulla funzione Lambda](https://aws.amazon.com/compute-optimizer/faqs/#topic-7) | **AWSManagedServices-TrustedRemediatorOptimizeLambdaMemory** AWS Lambda memoria delle funzioni ottimizzata secondo le raccomandazioni di Compute Optimizer. | **RecommendedMemorySize **: dimensione della memoria personalizzata, se diversa dalle opzioni consigliate. Nessun vincolo |
| Risorse inattive |
| [Volume Amazon EBS inattivo](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-DeleteUnusedEBSVolume** Il volume Amazon EBS non collegato verrà eliminato. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Istanza Amazon EC2 inattiva](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopECIstanza 2** L' EC2 istanza Amazon inattiva verrà interrotta. | **ForceStopWithInstanceStore**: per forzare l'interruzione delle istanze che utilizzano instance store, imposta su «True». Per non forzare l'arresto, imposta su «False». Il valore predefinito 'False' impedisce l'arresto dell'istanza. Nessun vincolo |
| [Istanza Amazon RDS inattiva](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopIdleRDSInstance** Interrompi un'istanza Amazon RDS inattiva. I motori supportati sono: MariadB, Microsoft SQL Server, MySQL, Oracle, PostgreSQL. Questo documento non si applica ad Aurora MySQL e Aurora PostgreSQL. L'istanza verrà interrotta per un massimo di 7 giorni e riavviata automaticamente. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
# Trusted Advisor controlli supportati da Trusted Remediator
La tabella seguente elenca i Trusted Advisor controlli supportati, i documenti di automazione SSM, i parametri preconfigurati e il risultato previsto dei documenti di automazione. Esamina il risultato previsto per aiutarti a comprendere i possibili rischi in base ai requisiti aziendali prima di abilitare un documento di automazione SSM per la correzione degli assegni.
Assicurati che la regola di configurazione corrispondente per ogni Trusted Advisor controllo sia presente per i controlli supportati per i quali desideri abilitare la correzione. Per ulteriori informazioni, consulta [View AWS Trusted Advisor checks powered by](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html). AWS Config Se un controllo ha AWS Security Hub CSPM i controlli corrispondenti, assicurati che il controllo Security Hub sia abilitato. Per ulteriori informazioni, vedere [Abilitazione dei controlli in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html). Per informazioni sulla gestione dei parametri preconfigurati, vedere [Configurare la correzione dei controlli di Trusted Advisor in Trusted Remediator](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html).
## Trusted Advisor controlli di ottimizzazione dei costi supportati da Trusted Remediator
| Controlla l'ID e il nome | Nome del documento SSM e risultato previsto | Parametri e vincoli preconfigurati supportati |
| --- | --- | --- |
| [Z4 AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses) Indirizzi IP elastici non associati | **AWSManagedServices-TrustedRemediatorReleaseElasticIP** Rilascia un indirizzo IP elastico che non è associato a nessuna risorsa. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c18d2gz150](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days) - Istanze Amazon interrotte EC2 | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime** - EC2 Le istanze Amazon interrotte per un certo numero di giorni vengono terminate. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Nessun vincolo |
| [c18d2gz128](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy) Repository di Amazon ECR senza policy del ciclo di vita configurata | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy** Crea una politica del ciclo di vita per il repository specificato se non esiste già una politica del ciclo di vita. | **ImageAgeLimit:** il limite di età massimo in giorni (1-365) per «qualsiasi» immagine nell'archivio Amazon ECR. Nessun vincolo |
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes) Volumi Amazon EBS sottoutilizzati | **AWSManagedServices-DeleteUnusedEBSVolume** Elimina i volumi Amazon EBS sottoutilizzati se i volumi non sono collegati negli ultimi 7 giorni. Per impostazione predefinita, viene creata una snapshot di Amazon EBS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Nessun vincolo |
| [ciao M8 LMh88u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers) Bilanciatori del carico inattivi | **AWSManagedServices-DeleteIdleClassicLoadBalancer** Elimina un Classic Load Balancer inattivo se è inutilizzato e non è registrata alcuna istanza. | **IdleLoadBalancerDays:** Il numero di giorni in cui il Classic Load Balancer ha 0 connessioni richieste prima di considerarlo inattivo. L'impostazione predefinita è sette giorni. Se l'esecuzione automatica è abilitata, l'automazione elimina i Classic Load Balancer inattivi se non ci sono istanze di back-end attive. Per tutti i Classic Load Balancer inattivi che dispongono di istanze di back-end attive, ma non dispongono di istanze di back-end sane, la riparazione automatica non viene utilizzata e viene creata la riparazione manuale. OpsItems |
| [TI39 Half U8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances) Istanze database Amazon RDS inattive | **AWSManagedServices-StopIdleRDSInstance** L'istanza database di Amazon RDS che è rimasta inattiva negli ultimi sette giorni viene interrotta. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size) AWS Lambda funzioni sovradimensionate per le dimensioni della memoria | **AWSManagedServices-ResizeLambdaMemory** AWS Lambda la dimensione della memoria della funzione viene ridimensionata alla dimensione di memoria consigliata fornita da. Trusted Advisor | **RecommendedMemorySize:** l'allocazione di memoria consigliata per la funzione Lambda. L'intervallo di valori è compreso tra 128 e 10240. Se la dimensione della funzione Lambda è stata modificata prima dell'esecuzione dell'automazione, le impostazioni potrebbero essere sovrascritte da questa automazione con il valore consigliato da. Trusted Advisor |
| [QCh7DWoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Istanze Amazon EC2 a basso utilizzo | **AWSManagedServices-StopEC2Instance** (documento SSM predefinito per la modalità di esecuzione automatica e manuale). EC2 Le istanze Amazon con basso utilizzo vengono interrotte. | **ForceStopWithInstanceStore:** impostato su per `true` forzare l'arresto delle istanze utilizzando instance store. In caso contrario, imposta il valore su `false`. Il valore predefinito di `false` impedisce l'arresto dell'istanza. I valori validi sono true o false (distinzione tra maiuscole e minuscole). Nessun vincolo |
| [QCH7DWoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Istanze Amazon EC2 a basso utilizzo | **AWSManagedServices-ResizeInstanceByOneLevel** L' EC2 istanza Amazon viene ridimensionata di un tipo di istanza nello stesso tipo di famiglia di istanze. L'istanza viene interrotta e avviata durante l'operazione di ridimensionamento e riportata allo stato iniziale al termine dell'esecuzione del documento SSM. Questa automazione non supporta il ridimensionamento delle istanze che si trovano in un gruppo di Auto Scaling. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Nessun vincolo |
| [QCH7DWoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Istanze Amazon EC2 a basso utilizzo | **AWSManagedServices-TerminateInstance** Le EC2 istanze Amazon a basso utilizzo vengono terminate se non fanno parte di un gruppo di Auto Scaling e la protezione dalla terminazione non è abilitata. Per impostazione predefinita, viene creata un'AMI. | **Crea AMIBefore terminazione:** imposta questa opzione su `true` o per `false` creare un'AMI di istanza come backup prima di terminare l' EC2 istanza. Il valore predefinito è `true`. I valori validi sono `true` e `false` (distinzione tra maiuscole e minuscole). Nessun vincolo |
| [G31sq1e9u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters) Cluster Amazon Redshift sottoutilizzati | **AWSManagedServices-PauseRedshiftCluster** Il cluster Amazon Redshift è in pausa. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config) Configurazione di interruzione del caricamento multiparte incompleta di Amazon S3 | **AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload** Il bucket Amazon S3 è configurato con una regola del ciclo di vita per interrompere i caricamenti in più parti che rimangono incompleti dopo determinati giorni. | **DaysAfterInitiation:** il numero di giorni dopo i quali Amazon S3 interrompe un caricamento incompleto in più parti. L'impostazione predefinita è 7 giorni. Nessun vincolo |
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances) Consigli di Amazon per l'ottimizzazione dei EC2 costi per le istanze | Utilizza i consigli sulle EC2 istanze Amazon e l' EC2 istanza Amazon inattiva di[Raccomandazioni di Compute Optimizer supportate da Trusted Remediator](tr-supported-recommendations-co.md). | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes) Raccomandazioni per l'ottimizzazione dei costi di Amazon EBS per i volumi | Utilizza i consigli sui volumi Amazon EBS e il volume Amazon EBS inattivo di. [Raccomandazioni di Compute Optimizer supportate da Trusted Remediator](tr-supported-recommendations-co.md) | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) Consigli per l'ottimizzazione dei costi di Amazon RDS per le istanze DB | Usa l'istanza Amazon RDS inattiva di. [Raccomandazioni di Compute Optimizer supportate da Trusted Remediator](tr-supported-recommendations-co.md) | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) AWS Lambda raccomandazioni per l'ottimizzazione dei costi per le funzioni | Utilizza i consigli sulla funzione Lambda di. [Raccomandazioni di Compute Optimizer supportate da Trusted Remediator](tr-supported-recommendations-co.md) | Non sono consentiti parametri preconfigurati. Nessun vincolo |
## Trusted Advisor controlli di sicurezza supportati da Trusted Remediator
| Controlla l'ID e il nome | Nome del documento SSM e risultato previsto | Parametri e vincoli preconfigurati supportati |
| --- | --- | --- |
| [12Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys) Exposed Access Keys | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey** La chiave di accesso IAM esposta è disattivata. | Non sono consentiti parametri preconfigurati. Le applicazioni configurate con una chiave di accesso IAM esposta non possono autenticarsi. |
| Hs4Ma3G127 - API Gateway REST WebSocket e la registrazione dell'esecuzione dell'API devono essere abilitati Controllo corrispondente AWS Security Hub CSPM [APIGateway:](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1) 1. | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** La registrazione dell'esecuzione è abilitata nella fase API. | **LogLevel:** Livello di registrazione per abilitare la registrazione dell'esecuzione, `ERROR` - La registrazione è abilitata solo per gli errori. `INFO` - La registrazione è abilitata per tutti gli eventi. Devi concedere ad API Gateway l'autorizzazione a leggere e scrivere i log del tuo account CloudWatch per abilitare il log di esecuzione. Per maggiori dettagli, consulta [ CloudWatch Configurare la registrazione per REST APIs in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html). |
| Hs4Ma3G129 - Le fasi API REST API Gateway dovrebbero avere la traccia abilitata AWS X-Ray Controllo corrispondente AWS Security Hub CSPM [APIGateway:](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3) 3. | **AWSManagedServices-EnableApiGateWayXRayTracing** Il tracciamento X-Ray è abilitato nella fase API. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G202 - I dati della cache dell'API REST API Gateway devono essere crittografati a riposo Controllo [APIGatewaycorrispondente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5): 5. | **AWSManagedServices-EnableAPIGatewayCacheEncryption** Abilita la crittografia a riposo per i dati della cache dell'API REST di API Gateway se la fase API REST di API Gateway ha la cache abilitata. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G177 - AWS Security Hub CSPM [Controllo corrispondente: i gruppi di scalabilità automatica associati a un sistema di bilanciamento del carico devono utilizzare i controlli dello stato del bilanciamento del carico .1 AutoScaling](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck** I controlli dello stato di Elastic Load Balancing sono abilitati per il gruppo Auto Scaling. | **HealthCheckGracePeriod:** la quantità di tempo, in secondi, che Auto Scaling attende prima di verificare lo stato di integrità di un'istanza Amazon Elastic Compute Cloud entrata in servizio. L'attivazione dei controlli di integrità di Elastic Load Balancing potrebbe comportare la sostituzione di un'istanza in esecuzione se uno dei sistemi di bilanciamento del carico Elastic Load Balancing collegati al gruppo Auto Scaling la segnala come non integra. Per ulteriori informazioni, consulta [Collegare un sistema di bilanciamento del carico Elastic Load Balancing al gruppo Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html) |
| Hs4Ma3G245: gli CloudFormation stack devono essere integrati con Amazon Simple Notification Service [Controllo corrispondente AWS Security Hub CSPM : 1. CloudFormation](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1) | **AWSManagedServices-EnableCFNStackNotification** Associa uno CloudFormation stack a un argomento di Amazon SNS per la notifica. | **NotificaARNs:** gli argomenti ARNs di Amazon SNS da associare a stack selezionati CloudFormation . Per abilitare la riparazione automatica, è necessario fornire il parametro `NotificationARNs` preconfigurato. |
| Hs4Ma3G210: le distribuzioni devono avere la registrazione abilitata CloudFront Controllo corrispondente AWS Security Hub CSPM : [CloudFront2](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5). | **AWSManagedServices-EnableCloudFrontDistributionLogging** La registrazione è abilitata per le CloudFront distribuzioni Amazon. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Per informazioni su questi vincoli di correzione, vedi [Come posso attivare](https://repost.aws/knowledge-center/cloudfront-logging-requests) la registrazione per la mia distribuzione? CloudFront |
| Hs4Ma3G109: la convalida del file di registro deve essere abilitata CloudTrail Controllo corrispondente AWS Security Hub CSPM : [CloudTrail.4](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4) | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation** Abilita la convalida del registro delle CloudTrail tracce. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G108: i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch Controllo corrispondente AWS Security Hub CSPM [CloudTrail:](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5) 5. | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch** AWS CloudTrail è integrato con CloudWatch Logs. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G217: gli ambienti di progetto devono avere una configurazione di registrazione CodeBuild AWS Controllo corrispondente AWS Security Hub CSPM [CodeBuild:](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4) 4. | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig** Abilita la registrazione del progetto. CodeBuild | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G306 - I cluster Neptune DB devono avere la protezione da eliminazione abilitata AWS Security Hub CSPM Controllo corrispondente: [DocumentDB.3](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot** Rimuove l'accesso pubblico dallo snapshot manuale del cluster di Amazon DocumentDB. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G308 - I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata AWS Security Hub CSPM Controllo corrispondente: [DocumentDB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection** Abilita la protezione da eliminazione per il cluster Amazon DocumentDB. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G323 - Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata AWS Security Hub CSPM Controllo corrispondente: [DynamoDB.6](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection** Abilita la protezione dall'eliminazione per le tabelle DynamoDB non AMS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [EPS02jt06w](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots) - Istantanee pubbliche di Amazon EBS | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot** L'accesso pubblico per lo snapshot di Amazon EBS è disabilitato. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G118 - I gruppi di sicurezza predefiniti VPC non devono consentire il traffico in entrata o in uscita [Controllo corrispondente AWS Security Hub CSPM : 2. EC2](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG** Tutte le regole di ingresso e uscita nel gruppo di sicurezza predefinito vengono rimosse. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G117 - I volumi EBS collegati devono essere crittografati a riposo Controllo corrispondente AWS Security Hub CSPM [EC2:](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) .3 | **AWSManagedServices-EncryptInstanceVolume** Il volume Amazon EBS collegato all'istanza è crittografato. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) L'istanza viene riavviata come parte della riparazione e il rollback è possibile se `DeleteStaleNonEncryptedSnapshotBackups` è impostato su, il che facilita il ripristino. `false` |
| Hs4Ma3G120 - Le istanze interrotte EC2 devono essere rimosse dopo un periodo di tempo specificato Controllo corrispondente AWS Security Hub CSPM [EC2:](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) 4. | **AWSManagedServices-TerminateInstance**(documento SSM predefinito per la modalità di esecuzione automatica e manuale) EC2 Le istanze Amazon interrotte per 30 giorni vengono terminate. | **Crea AMIBefore terminazione**:. Per creare l'AMI dell'istanza come backup prima di terminare l' EC2 istanza, scegli`true`. Per non creare un backup prima della chiusura, scegli. `false` Il valore predefinito è `true`. Nessun vincolo |
| Hs4Ma3G120 - Le EC2 istanze arrestate devono essere rimosse dopo un periodo di tempo specificato Controllo corrispondente AWS Security Hub CSPM [EC2:](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) 4. | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime** - EC2 Le istanze Amazon interrotte per il numero di giorni definito in Security Hub (il valore predefinito è 30) vengono terminate. | **Crea AMIBefore terminazione:** per creare l'AMI dell'istanza come backup prima di terminare l' EC2 istanza, scegli. `true` Per non creare un backup prima della chiusura, scegli. `false` Il valore predefinito è `true`. Nessun vincolo |
| Hs4Ma3G121 - La crittografia predefinita di EBS deve essere abilitata Controllo corrispondente AWS Security Hub CSPM : [EC27](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7). | **AWSManagedServices-EncryptEBSByDefault** La crittografia Amazon EBS per impostazione predefinita è abilitata per lo specifico Regione AWS | Non sono consentiti parametri preconfigurati. La crittografia predefinita è un'impostazione specifica della regione. Se lo abiliti per una regione, non puoi disabilitarlo per singoli volumi o istantanee in quella regione. |
| Hs4Ma3G124 - Le istanze EC2 Amazon devono utilizzare Instance Metadata Service versione 2 () IMDSv2 Controllo [EC2corrispondente AWS Security Hub CSPM :](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) 8. | **AWSManagedServices-TrustedRemediator****Abilita istanza EC2 IMDSv2** EC2 Le istanze Amazon utilizzano Instance Metadata Service versione 2 ()IMDSv2. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Nessun vincolo |
| Hs4Ma3G207: le EC2 sottoreti non devono assegnare automaticamente indirizzi IP pubblici Controllo corrispondente AWS Security Hub CSPM : [EC2.15](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15) | **AWSManagedServices-UpdateAutoAssignPublicIpv4 indirizzi** Le sottoreti VPC sono configurate per non assegnare automaticamente indirizzi IP pubblici. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G209 - Gli elenchi di controllo degli accessi alla rete non utilizzati vengono rimossi Controllo corrispondente AWS Security Hub CSPM : [EC2.16](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16) | **AWSManagedServices-DeleteUnusedNACL** Eliminare l'ACL di rete non utilizzato | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G215 - I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi Controllo corrispondente AWS Security Hub CSPM : [EC2.22](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22) | **AWSManagedServices-DeleteSecurityGroups** Eliminare i gruppi di sicurezza non utilizzati. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G247 - Amazon Transit EC2 Gateway non dovrebbe accettare automaticamente richieste di allegati VPC Controllo corrispondente AWS Security Hub CSPM [EC2:](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) .23 | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach**- Disattiva l'accettazione automatica delle richieste di allegati VPC per l'Amazon Transit EC2 Gateway non AMS specificato. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G235 - I repository privati ECR dovrebbero avere l'immutabilità dei tag configurata Controllo corrispondente AWS Security Hub CSPM : [ECR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability** Imposta le impostazioni di mutabilità del tag di immagine su IMMUTABLE per il repository specificato. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G216 - I repository ECR devono avere almeno una politica del ciclo di vita configurata Controllo corrispondente AWS Security Hub CSPM : [ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy** L'archivio ECR ha una politica del ciclo di vita configurata. | **LifecyclePolicyText:** Il testo della politica del repository JSON da applicare al repository. Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati: **LifecyclePolicyText** |
| Hs4Ma3G325 - I cluster EKS devono avere la registrazione di controllo abilitata Controllo corrispondente AWS Security Hub CSPM : [EKS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog** Il registro di controllo è abilitato per il cluster EKS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G183 - Il bilanciamento del carico delle applicazioni deve essere configurato per eliminare le intestazioni HTTP Controllo corrispondente AWS Security Hub CSPM : [ELB.4](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4) | **AWSConfigRemediation-DropInvalidHeadersForALB** Application Load Balancer è configurato per campi di intestazione non validi. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G184 - La registrazione di Application Load Balancer e Classic Load Balancers deve essere abilitata Controllo corrispondente AWS Security Hub CSPM : [ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLogging (documento SSM predefinito per la modalità di esecuzione automatica e manuale)** La registrazione di Application Load Balancer e Classic Load Balancer è abilitata. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Il bucket Amazon S3 deve disporre di una policy relativa ai bucket che conceda a Elastic Load Balancing l'autorizzazione a scrivere i log di accesso al bucket. |
| Hs4Ma3G184 - La registrazione di Application Load Balancers e Classic Load Balancers deve essere abilitata Controllo corrispondente AWS Security Hub CSPM : [ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLoggingV2** La registrazione di Application Load Balancer e Classic Load Balancer è abilitata. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G326 - L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata AWS Security Hub CSPM Controllo corrispondente: [EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess** Le impostazioni di accesso pubblico a blocchi di Amazon EMR sono attivate per l'account. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G135: le chiavi non devono essere cancellate involontariamente AWS KMS Controllo corrispondente AWS Security Hub CSPM : [KMS.3](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) | **AWSManagedServices-CancelKeyDeletion** AWS KMS l'eliminazione della chiave viene annullata. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G299 - Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche AWS Security Hub CSPM Controllo corrispondente: [Neptune.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection** Abilita la protezione da eliminazione per il cluster Amazon Neptune. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G319 - I firewall Network Firewall devono avere la protezione da eliminazione abilitata Controllo corrispondente AWS Security Hub CSPM [NetworkFirewall:](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9) 9. | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection**- Abilita la protezione da eliminazione per AWS Network Firewall. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G223: i domini devono crittografare i dati inviati tra i nodi OpenSearch Controllo corrispondente AWS Security Hub CSPM : [OpenSearch.3](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3) | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption** La crittografia da nodo a nodo è abilitata per il dominio. | Non sono consentiti parametri preconfigurati. Dopo aver abilitato la node-to-node crittografia, non è possibile disabilitare l'impostazione. Invece, scatta un'istantanea manuale del dominio crittografato, crea un altro dominio, migra i dati e quindi elimina il vecchio dominio. |
| Hs4Ma3G222: la registrazione degli errori del OpenSearch dominio nei registri deve essere abilitata CloudWatch Controllo corrispondente AWS Security Hub CSPM : [Opensearch.4](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) | **AWSManagedServices-EnableOpenSearchLogging** La registrazione degli errori è abilitata per il dominio. OpenSearch | CloudWatchLogGroupArn: L'ARN di un gruppo di log di Amazon CloudWatch Logs. Per abilitare la riparazione automatica, è necessario fornire il seguente parametro preconfigurato:. **CloudWatchLogGroupArn** La politica CloudWatch delle risorse di Amazon deve essere configurata con le autorizzazioni. Per ulteriori informazioni, consulta la sezione [Abilitazione dei log di controllo](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) nella *Amazon OpenSearch Service User Guide*. |
| Hs4Ma3G221: i domini devono avere la registrazione di controllo OpenSearch abilitata Controllo corrispondente AWS Security Hub CSPM : [Opensearch.5](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch i domini sono configurati con la registrazione di controllo abilitata. | **CloudWatchLogGroupArn:** L'ARN del gruppo CloudWatch Logs in cui pubblicare i log. Per abilitare la riparazione automatica, è necessario fornire il seguente parametro preconfigurato: **CloudWatchLogGroupArn** La politica CloudWatch delle risorse di Amazon deve essere configurata con le autorizzazioni. Per ulteriori informazioni, consulta la sezione [Abilitazione dei log di controllo](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) nella *Amazon OpenSearch Service User Guide*. |
| Hs4Ma3G220 - Le connessioni ai OpenSearch domini devono essere crittografate utilizzando TLS 1.2 Controllo corrispondente AWS Security Hub CSPM : [Opensearch.8](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2** La politica TLS è impostata su `Policy-min-TLS-1-2-2019-07` e sono consentite solo le connessioni crittografate tramite HTTPS (TLS). | Non sono consentiti parametri preconfigurati. Le connessioni ai OpenSearch domini sono necessarie per utilizzare TLS 1.2. La crittografia dei dati in transito può influire sulle prestazioni. Testa le tue applicazioni con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto del TLS. |
| Hs4Ma3G194 - Lo snapshot di Amazon RDS deve essere privato Controllo corrispondente AWS Security Hub CSPM : [RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** L'accesso pubblico per lo snapshot di Amazon RDS è disabilitato. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G192 - Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible AWS Controllo corrispondente AWS Security Hub CSPM : [RDS.2](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance** Disabilita l'accesso pubblico sull'istanza DB RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G189 - Il monitoraggio avanzato è configurato per le istanze DB di Amazon RDS [Controllo](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) corrispondente AWS Security Hub CSPM : RDS.6 | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring** Abilita il monitoraggio avanzato per le istanze DB di Amazon RDS | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Se il monitoraggio avanzato è abilitato prima dell'esecuzione dell'automazione, le impostazioni potrebbero essere sovrascritte da questa automazione con i MonitoringRoleName valori MonitoringInterval e configurati nei parametri preconfigurati. |
| Hs4Ma3G190 - I cluster Amazon RDS devono avere la protezione da eliminazione abilitata Controllo corrispondente AWS Security Hub CSPM : [RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** La protezione da eliminazione è abilitata per i cluster Amazon RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G198 - Le istanze database di Amazon RDS devono avere la protezione da eliminazione abilitata Controllo corrispondente AWS Security Hub CSPM : [RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** La protezione da eliminazione è abilitata per le istanze Amazon RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G199 - Le istanze DB RDS devono pubblicare i log in Logs CloudWatch Controllo corrispondente AWS Security Hub CSPM : [RDS.9](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports** Le esportazioni dei log RDS sono abilitate per l'istanza DB RDS o il cluster RDS DB. | Non sono consentiti parametri preconfigurati. È richiesto il ruolo [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) collegato al servizio. |
| Hs4Ma3G160 - L'autenticazione IAM deve essere configurata per le istanze RDS Controllo corrispondente AWS Security Hub CSPM : [RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** AWS Identity and Access Management l'autenticazione è abilitata per l'istanza RDS. | **ApplyImmediately:** indica se le modifiche in questa richiesta e le eventuali modifiche in sospeso vengono applicate in modo asincrono il prima possibile. Per applicare immediatamente la modifica, scegli. `true` Per pianificare la modifica per la prossima finestra di manutenzione, scegliete. `false` Nessun vincolo |
| Hs4Ma3G161 - L'autenticazione IAM deve essere configurata per i cluster RDS Controllo corrispondente AWS Security Hub CSPM : [RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** L'autenticazione IAM è abilitata per il cluster RDS. | **ApplyImmediately:** Indica se le modifiche in questa richiesta e le eventuali modifiche in sospeso vengono applicate in modo asincrono il prima possibile. Per applicare immediatamente la modifica, scegli. `true` Per pianificare la modifica per la prossima finestra di manutenzione, scegliete. `false` Nessun vincolo |
| Hs4Ma3G162 - Gli aggiornamenti automatici delle versioni minori di RDS devono essere abilitati Controllo corrispondente AWS Security Hub CSPM : [RDS.13](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade** La configurazione automatica di aggiornamento della versione secondaria per Amazon RDS è abilitata. | Non sono consentiti parametri preconfigurati. L'istanza Amazon RDS deve essere nello `available` stato in cui si verifica questa correzione. |
| Hs4Ma3G163 - I cluster DB RDS devono essere configurati per copiare i tag nelle istantanee Controllo corrispondente AWS Security Hub CSPM : [RDS.16](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagtosnapshot`l'impostazione per i cluster Amazon RDS è abilitata. | Non sono consentiti parametri preconfigurati. Le istanze di Amazon RDS devono essere disponibili affinché questa correzione avvenga. |
| Hs4Ma3G164 - Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee Controllo corrispondente AWS Security Hub CSPM : [RDS.17](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagsToSnapshot`l'impostazione per Amazon RDS è abilitata. | Non sono consentiti parametri preconfigurati. Le istanze di Amazon RDS devono essere disponibili affinché questa correzione avvenga. |
| [RSS93 HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots) Snapshot pubblici di Amazon RDS | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** L'accesso pubblico per lo snapshot di Amazon RDS è disabilitato. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G103 - I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico AWS Security Hub CSPM Controllo corrispondente: [Redshift.1](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster** L'accesso pubblico sul cluster Amazon Redshift è disabilitato. | Non sono consentiti parametri preconfigurati. La disabilitazione dell'accesso pubblico blocca tutti i client provenienti da Internet. Inoltre, il cluster Amazon Redshift rimane in stato di modifica per alcuni minuti, mentre la riparazione disabilita l'accesso pubblico al cluster. |
| Hs4Ma3G106 - I cluster Amazon Redshift devono avere la registrazione di controllo abilitata AWS Security Hub CSPM Controllo corrispondente: [Redshift.4](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging** La registrazione di audit è abilitata sul cluster Amazon Redshift durante la finestra di manutenzione. | Non sono consentiti parametri preconfigurati. Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati. **BucketName:** Il secchio deve essere nello stesso. Regione AWS Il cluster deve disporre dei permessi di lettura per bucket e put object. Se la registrazione del cluster Redshift è abilitata prima dell'esecuzione dell'automazione, le impostazioni di registrazione potrebbero essere sovrascritte da questa automazione con `S3KeyPrefix` i valori `BucketName` e configurati nei parametri preconfigurati. |
| Hs4Ma3G105 - Amazon Redshift dovrebbe avere gli aggiornamenti automatici alle versioni principali abilitati AWS Security Hub CSPM Controllo corrispondente: [Redshift.6](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade**- Gli aggiornamenti delle versioni principali vengono applicati automaticamente al cluster durante la finestra di manutenzione. Non ci sono tempi di inattività immediati per il cluster Amazon Redshift, ma il cluster Amazon Redshift potrebbe subire dei tempi di inattività durante la finestra di manutenzione se passa a una versione principale. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G104 - I cluster Amazon Redshift devono utilizzare un routing VPC avanzato AWS Security Hub CSPM Controllo corrispondente: [Redshift.7](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting** Il routing VPC avanzato è abilitato per i cluster Amazon Redshift. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G173 - L'impostazione S3 Block Public Access deve essere abilitata a livello di bucket [Controllo corrispondente AWS Security Hub CSPM : S3.8](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8) | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** I blocchi di accesso pubblico a livello di bucket vengono applicati per il bucket Amazon S3. | Non sono consentiti parametri preconfigurati. Questa correzione potrebbe influire sulla disponibilità degli oggetti S3. Per informazioni su come Amazon S3 valuta l'accesso, consulta [Bloccare l'accesso pubblico allo storage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html). |
| Hs4Ma3G230 - La registrazione degli accessi al server bucket S3 deve essere abilitata Controllo corrispondente AWS Security Hub CSPM : [S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-EnableBucketAccessLogging**(documento SSM predefinito per la modalità di esecuzione automatica e manuale) La registrazione degli accessi ai server Amazon S3 è abilitata. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Per abilitare la riparazione automatica, è necessario fornire il seguente parametro preconfigurato:. **TargetBucket** Il bucket di destinazione deve trovarsi nello stesso Regione AWS e Account AWS nel bucket di origine, con le autorizzazioni corrette per la consegna dei log. Per ulteriori informazioni, consulta [Attivazione della registrazione degli accessi al server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| Hs4Ma3G230 — La registrazione degli accessi al server bucket S3 deve essere abilitata Controllo corrispondente AWS Security Hub CSPM : [S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** - La registrazione dei bucket di Amazon S3 è abilitata. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri: **TargetBucketTagKey**e **TargetBucketTagValue**. Il bucket di destinazione deve trovarsi nello stesso Regione AWS e Account AWS nel bucket di origine, con le autorizzazioni corrette per la consegna dei log. Per ulteriori informazioni, consulta [Attivazione della registrazione degli accessi al server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| [Pfx0 RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) Autorizzazioni Bucket Amazon S3 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Blocco dell'accesso pubblico | Non sono consentiti parametri preconfigurati. Questo controllo è costituito da più criteri di avviso. Questa automazione risolve i problemi di accesso pubblico. La risoluzione di altri problemi di configurazione segnalati da Trusted Advisor non è supportata. Questa riparazione supporta la riparazione dei bucket S3 Servizio AWS creati (ad esempio, cf-templates-000000000000). |
| Hs4Ma3G272 - Gli utenti non devono avere accesso root alle istanze dei notebook SageMaker Controllo corrispondente AWS Security Hub CSPM [SageMaker:](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3) 3. | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess** L'accesso root per gli utenti è disabilitato per l'istanza del SageMaker notebook. | Non sono consentiti parametri preconfigurati. Questa riparazione causa un'interruzione se l'istanza del SageMaker notebook si trova nello stato in cui si trova. InService |
| Hs4Ma3G179 - Gli argomenti SNS devono essere crittografati a riposo utilizzando AWS KMS Controllo corrispondente AWS Security Hub CSPM : [SNS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) | **AWSManagedServices-EnableSNSEncryptionAtRest** L'argomento SNS è configurato con la crittografia lato server. | **KmsKeyId:** l'ID di una chiave master del cliente AWS gestita (CMK) per Amazon SNS o di una CMK personalizzata da utilizzare per la crittografia lato server (SSE). `alias/aws/sns`L'impostazione predefinita è impostata su. Se viene utilizzata una AWS KMS chiave personalizzata, deve essere configurata con le autorizzazioni corrette. Per ulteriori informazioni, consulta [Attivazione della crittografia lato server (SSE) per un argomento Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) |
| Hs4Ma3G158 - I documenti SSM non devono essere pubblici Controllo corrispondente AWS Security Hub CSPM : [SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing**- Disabilita la condivisione pubblica del documento SSM. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| Hs4Ma3G136 - Le code di Amazon SQS devono essere crittografate quando sono inattive Controllo corrispondente AWS Security Hub CSPM : [SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest** I messaggi in Amazon SQS sono crittografati. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) ReceiveMessage Le richieste anonime SendMessage e quelle inviate alla coda crittografata vengono rifiutate. Tutte le richieste alle code con la funzione SSE abilitata devono utilizzare HTTPS e Signature Version 4. |
## Trusted Advisor controlli di tolleranza agli errori supportati da Trusted Remediator
| Controlla l'ID e il nome | Nome del documento SSM e risultato previsto | Parametri e vincoli preconfigurati supportati |
| --- | --- | --- |
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery) Ripristino Amazon DynamoDB Point-in-time | **AWSManagedServices-TrustedRemediatorEnableDDBPITR** Abilita point-in-time il ripristino per le tabelle DynamoDB. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [R365S2qddf](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) Amazon S3 Bucket Versioning | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning** Il controllo delle versioni del bucket Amazon S3 è abilitato. | Non sono consentiti parametri preconfigurati. Questa correzione non supporta la riparazione dei bucket S3 Servizio AWS creati (ad esempio cf-templates-000000000000). |
| [BueAdJ7nRP](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging) Registrazione di Bucket Amazon S3 | **AWSManagedServices-EnableBucketAccessLogging** La registrazione dei bucket Amazon S3 è abilitata. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Il bucket di destinazione deve trovarsi nello stesso Regione AWS e Account AWS nel bucket di origine, con le autorizzazioni corrette per la consegna dei log. Per ulteriori informazioni, consulta [Attivazione della registrazione degli accessi al server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| [F2ik5r6dep](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az) Amazon RDS Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ** L'implementazione di più zone di disponibilità è abilitata. | Non sono consentiti parametri preconfigurati. C'è un possibile peggioramento delle prestazioni durante questa modifica. |
| [H7 IgTzj TYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots) Snapshot Amazon EBS | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot** Viene creato Amazon EBSsnapshots . | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [Top ZvH QPADk](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Backup RDS | **AWSManagedServices-EnableRDSBackupRetention** La conservazione dei backup di Amazon RDS è abilitata per il DB. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Se il `ApplyImmediately` parametro è impostato su`true`, le modifiche in sospeso sul db vengono applicate insieme all'impostazione di RDSBackup conservazione. |
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) La scalabilità automatica dello storage sulle istanze DB di Amazon RDS è disattivata | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling**- La scalabilità automatica dello storage è abilitata per le istanze database di Amazon RDS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Nessun vincolo |
| [7q GXs KIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining) Drenaggio della connessione Classic Load Balancer | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining** Il drenaggio della connessione è abilitato per Classic Load Balancer. | **ConnectionDrainingTimeout:** Il tempo massimo, in secondi, per mantenere aperte le connessioni esistenti prima di annullare la registrazione delle istanze. L'impostazione predefinita è impostata su secondi. `300` Nessun vincolo |
| [c18d2gz106](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan) Amazon EBS non incluso nel piano AWS Backup | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan** Amazon EBS è incluso nel AWS Backup piano. | Remediation contrassegna il volume Amazon EBS con la seguente coppia di tag. La coppia di tag deve corrispondere ai criteri di selezione delle risorse basati su tag per. AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Nessun vincolo |
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan) Tabella Amazon DynamoDB non inclusa nel piano AWS Backup | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan** Amazon DynamoDB Table è inclusa nel piano. AWS Backup | Remediation contrassegna Amazon DynamoDB con la seguente coppia di tag. La coppia di tag deve corrispondere ai criteri di selezione delle risorse basati su tag per. AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Nessun vincolo |
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan) Amazon EFS non incluso nel AWS Backup piano | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan** Amazon EFS è incluso nel AWS Backup piano. | Remediation contrassegna Amazon EFS con la seguente coppia di tag. La coppia di tag deve corrispondere ai criteri di selezione delle risorse basati su tag per. AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Nessun vincolo |
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing) Bilanciamento del carico tra zone di Network Load Balancer | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing** Il bilanciamento del carico tra zone è abilitato su Network Load Balancer. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off) Il `synchronous_commit` parametro Amazon RDS è disattivato | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Il parametro `synchronous_commit` è attivato per Amazon RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off) Il `innodb_flush_log_at_trx_commit` parametro Amazon RDS non lo è `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Il parametro `innodb_flush_log_at_trx_commit` è impostato su `1` per Amazon RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off) Il `sync_binlog` parametro Amazon RDS è disattivato | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Il parametro `sync_binlog` è attivato per Amazon RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe) L'impostazione dei `innodb_default_row_format` parametri Amazon RDS non è sicura | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Il parametro `innodb_default_row_format` è impostato su `DYNAMIC` per Amazon RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c18d2gz144](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled) Amazon EC2 Detailed Monitoring non abilitato | **AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring** Il monitoraggio dettagliato è abilitato per Amazon EC2. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
## Trusted Advisor controlli delle prestazioni supportati da Trusted Remediator
| Controlla l'ID e il nome | Nome del documento SSM e risultato previsto | Parametri e vincoli preconfigurati supportati |
| --- | --- | --- |
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size) AWS Lambda funzioni non sufficientemente fornite per quanto riguarda le dimensioni della memoria | **AWSManagedServices-ResizeLambdaMemory** Le dimensioni della memoria delle funzioni Lambda vengono ridimensionate alla dimensione di memoria consigliata fornita da. Trusted Advisor | **RecommendedMemorySize:** l'allocazione di memoria consigliata per la funzione Lambda. L'intervallo di valori è compreso tra 128 e 10240. Se la dimensione della funzione Lambda viene modificata prima dell'esecuzione dell'automazione, questa automazione potrebbe sovrascrivere le impostazioni con il valore consigliato da. Trusted Advisor |
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances) Istanze Amazon EC2 ad alto utilizzo | **AWSManagedServices-ResizeInstanceByOneLevel** Le EC2 istanze Amazon vengono ridimensionate di un tipo di istanza in su nello stesso tipo di famiglia di istanze. Le istanze vengono interrotte e avviate durante l'operazione di ridimensionamento e riportate allo stato iniziale al termine dell'esecuzione. Questa automazione non supporta il ridimensionamento delle istanze che si trovano in un gruppo di Auto Scaling. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Nessun vincolo |
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal) `innodb_change_buffering`Parametro Amazon RDS che utilizza un valore inferiore a quello ottimale | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Il valore del `innodb_change_buffering` parametro è impostato su `NONE` per Amazon RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off) Il `autovacuum` parametro Amazon RDS è disattivato | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Il parametro `autovacuum` è attivato per Amazon RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off) Il `enable_indexonlyscan` parametro Amazon RDS è disattivato | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Il parametro `enable_indexonlyscan` è attivato per Amazon RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off) Il `enable_indexscan` parametro Amazon RDS è disattivato | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Il parametro `enable_indexscan` è attivato per Amazon RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off) Il `innodb_stats_persistent` parametro Amazon RDS è disattivato | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Il parametro `innodb_stats_persistent` è attivato per Amazon RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on) Il `general_logging` parametro Amazon RDS è attivato | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Il parametro `general_logging` è disattivato per Amazon RDS. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
## Trusted Advisor controlli dei limiti di servizio supportati da Trusted Remediator
| Controlla l'ID e il nome | Nome del documento SSM e risultato previsto | Parametri e vincoli preconfigurati supportati |
| --- | --- | --- |
| [Ln7rr0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address) EC2-Indirizzo IP elastico VPC | **AWSManagedServices-UpdateVpcElasticIPQuota** È richiesto un nuovo limite per gli indirizzi IP elastici EC2 -VPC. Per impostazione predefinita, il limite viene aumentato di 3. | **Incremento:** il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato. |
| [KM7qq0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways) Gateway Internet VPC | **AWSManagedServices-IncreaseServiceQuota**- È richiesto un nuovo limite per i gateway Internet VPC. Per impostazione predefinita, il limite viene aumentato di tre. | **Incremento:** il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato. |
| [JL7pP0L7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check) VPC | **AWSManagedServices-IncreaseServiceQuota** È richiesto un nuovo limite per il VPC. Per impostazione predefinita, il limite viene aumentato di 3. | **Incremento:** il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato. |
| [Fw7hh0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups) Gruppi Auto Scaling | **AWSManagedServices-IncreaseServiceQuota** È richiesto un nuovo limite per i gruppi di Auto Scaling. Per impostazione predefinita, il limite viene aumentato di 3. | **Incremento:** il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato. |
| [3 Njm0 DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups) Gruppi di opzioni RDS | **AWSManagedServices-IncreaseServiceQuota** È richiesto un nuovo limite per i gruppi di opzioni Amazon RDS. Per impostazione predefinita, il limite viene aumentato di 3. | **Incremento:** il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato. |
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers) Application Load Balancer ELB | **AWSManagedServices-IncreaseServiceQuota** È richiesto un nuovo limite per ELB Application Load Balancers. Per impostazione predefinita, il limite viene aumentato di 3. | **Incremento:** il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato. |
| [8 WiQ K YSt25](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers) Bilanciatori del carico di rete ELB | **AWSManagedServices-IncreaseServiceQuota** È richiesto un nuovo limite per ELB Network Load Balancer. Per impostazione predefinita, il limite viene aumentato di 3. | **Incremento:** il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato. |
## Trusted Advisor controlli di eccellenza operativa supportati da Trusted Remediator
| Controlla ID e nome | Nome del documento SSM e risultato previsto | Parametri e vincoli preconfigurati supportati |
| --- | --- | --- |
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled) Il Gateway Amazon API non registra log di esecuzione | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** La registrazione dell'esecuzione è abilitata nella fase API. | Non sono consentiti parametri preconfigurati. Devi concedere ad API Gateway l'autorizzazione a leggere e scrivere i log del tuo account CloudWatch per abilitare il log di esecuzione. Per maggiori dettagli, consulta [ CloudWatch Configurare la registrazione per REST APIs in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html). |
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled) Protezione dall’eliminazione Elastic Load Balancing non abilitata per i sistemi di bilanciamento del carico | **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection**- La protezione da eliminazione è attivata per Elastic Load Balancer. | Non sono consentiti parametri preconfigurati. Nessun vincolo |
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off) Amazon RDS Performance Insights è disattivato | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights** Performance Insights è attivato per Amazon RDS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Nessun vincolo |
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled) Registri di accesso Amazon S3 abilitati | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** La registrazione degli accessi ai bucket Amazon S3 è abilitata. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/tr-supported-checks.html) Per abilitare la riparazione automatica, è necessario fornire il seguente parametro preconfigurato: **TargetBucketTagKey**e. **TargetBucketTagValue** Il bucket di destinazione deve trovarsi nello stesso Regione AWS e Account AWS nel bucket di origine, con le autorizzazioni corrette per la consegna dei log. Per ulteriori informazioni, consulta [Attivazione della registrazione degli accessi al server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
# Configurare Trusted Advisor la correzione degli assegni in Trusted Remediator
Le configurazioni vengono archiviate AWS AppConfig come parte dell'applicazione Trusted Remediator. Ogni categoria di Trusted Advisor controllo ha un profilo di configurazione separato. Per ulteriori informazioni sulle Trusted Advisor categorie, consulta [Visualizza le categorie di controllo](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor.html#view-check-categories).
È possibile configurare le riparazioni in base alla risorsa o al controllo. Trusted Advisor È possibile applicare eccezioni utilizzando i tag delle risorse.
**Nota**
La correzione dei Trusted Advisor risultati è attualmente configurata utilizzando AWS AppConfig e questa funzionalità è attualmente completamente supportata. AMS prevede che questo cambierà in futuro. È consigliabile evitare di creare automazioni che dipendono da AWS AppConfig, poiché questo metodo è soggetto a modifiche. Tieni presente che in futuro potrebbe essere necessario aggiornare o modificare le automazioni basate sull' AWS AppConfig implementazione attuale per motivi di compatibilità.
Il flag di funzionalità Compute Optimizer EC2 -> instances ha parametri aggiuntivi:
**allow-upscale Per consentire istanze di alto livello non ottimizzate e sottodimensionate**. EC2 Il valore di default è "false".
**min-savings-opportunity-percentage**L'opportunità percentuale minima di risparmio per la riparazione automatica. Il valore predefinito è 10%
## Configurazioni di riparazione predefinite
Le configurazioni per i singoli Trusted Advisor controlli vengono memorizzate come flag. AWS AppConfig Il nome della bandiera corrisponde al nome dell'assegno. Ogni configurazione di controllo contiene i seguenti attributi:
+ **modalità di esecuzione:** determina in che modo Trusted Remediator esegue la correzione predefinita:
+ **Automatico:** Trusted Remediator corregge automaticamente le risorse creando un documento SSM OpsItem, eseguendo il documento SSM e quindi risolvendo il problema dopo un'esecuzione riuscita. OpsItem
+ **Manuale:** OpsItem viene creato un documento, ma il documento SSM non viene eseguito automaticamente. Puoi rivedere ed eseguire manualmente il documento SSM dalla OpsItem AWS Systems Manager OpsCenter console.
+ **Condizionale:** la riparazione è disabilitata per impostazione predefinita. È possibile abilitarlo per risorse specifiche utilizzando i tag. Per ulteriori informazioni, vedere le seguenti sezioni [Personalizza la riparazione con i tag delle risorse](#tr-con-rem-customize-tags) e[Personalizza la riparazione con i tag Resource Override](#tr-con-rem-resource-override).
+ **Inattivo:** la riparazione non viene eseguita e non viene creata alcuna OpsItem . Non è possibile ignorare la modalità di esecuzione per il Trusted Advisor controllo impostato su inattivo.
+ **parametri preconfigurati:** immettete i valori per i parametri del documento SSM necessari per la riparazione automatica, nel formato di, separati da una virgola (`Parameter=Value`,). [Trusted Advisor controlli supportati da Trusted Remediator](tr-supported-checks.md)Per ogni controllo, vedere i parametri preconfigurati supportati per il documento SSM associato.
+ **alternative-automation-document:** Questo attributo aiuta a sovrascrivere il documento di automazione esistente con un altro documento supportato (se disponibile per il controllo specifico). Per impostazione predefinita, questo attributo non è selezionato.
**Nota**
L'`alternative-automation-document`attributo non supporta documenti di automazione personalizzati. È possibile utilizzare i documenti di automazione Trusted Remediator supportati esistenti elencati in[Trusted Advisor controlli supportati da Trusted Remediator](tr-supported-checks.md).
Ad esempio, a scopo di controllo`Qch7DwouX1`, ci sono tre documenti SSM associati: AWSManagedServices-StopEC 2Instance, AWSManagedServices-ResizeInstanceByOneLevel e. AWSManagedServices-TerminateInstance Il valore per `alternative-automation-document` può essere AWSManagedServices-ResizeInstanceByOneLevel o AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance è il documento SSM predefinito da correggere). `Qch7DwouX1`
Il valore di ogni attributo deve corrispondere ai vincoli di tale attributo.
**Suggerimento**
Prima di applicare le configurazioni predefinite per i Trusted Advisor controlli, è consigliabile prendere in considerazione l'utilizzo delle funzionalità Resource tagging e Resource override descritte nelle sezioni seguenti. Le configurazioni predefinite si applicano a tutte le risorse all'interno dell'account, il che potrebbe non essere consigliabile in tutti i casi.
Di seguito è riportato un esempio di schermata della console con la **modalità di esecuzione** impostata su **Manuale e gli attributi corrispondenti** ai relativi vincoli.
![\[Un'illustrazione del flusso di lavoro decisionale in modalità di esecuzione di Trusted Remediator.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/tr-exe-mode-man-new.png)
## Personalizza la riparazione con i tag delle risorse
**manual-for-tagged-only**Gli attributi **automated-for-tagged-only**and nella configurazione del controllo consentono di specificare i tag delle risorse relativi al modo in cui si desidera correggere i singoli controlli. È consigliabile utilizzare questo metodo quando è necessario applicare un comportamento di correzione coerente a un gruppo di risorse che condividono lo stesso tag o gli stessi tag. Di seguito sono riportate le descrizioni di questi tag:
+ **automated-for-tagged-only:** Specificate i tag delle risorse (una o più coppie di tag, separate da virgole) per la correzione automatica dei controlli, indipendentemente dalla modalità di esecuzione predefinita.
+ **manual-for-tagged-only:** Specificate i tag delle risorse (una o più coppie di tag, separate da virgole) per le riparazioni che devono essere eseguite manualmente, indipendentemente dalla modalità di esecuzione predefinita.
Ad esempio, se si desidera abilitare la riparazione automatica per tutte le risorse non di produzione e applicare la riparazione manuale per le risorse di produzione, è possibile impostare la configurazione come segue:
```
"execution-mode": "Conditional",
"automated-for-tagged-only": "Environment=Non-Production",
"manual-for-tagged-only": "Environment=Production",
```
Con le configurazioni precedenti impostate sulle risorse, verificate che il comportamento di riparazione sia il seguente:
+ Le risorse contrassegnate con 'Environment=Non-Production' vengono corrette automaticamente.
+ Le risorse contrassegnate con 'Environment=Production' richiedono un intervento manuale per la riparazione.
+ Le risorse senza il tag 'Environment' seguono la modalità di esecuzione predefinita (`Conditional`, in questo caso. Quindi, non viene intrapresa alcuna azione sulle risorse rimanenti).
Per ulteriore assistenza con le configurazioni, contatta il tuo Cloud Architect.
## Personalizza la riparazione con i tag Resource Override
I tag Resource override consentono di personalizzare il comportamento di riparazione per le singole risorse, indipendentemente dai relativi tag. Aggiungendo un tag specifico a una risorsa, si sostituisce la modalità di esecuzione predefinita per quella risorsa e il controllo. Trusted Advisor Il tag resource override ha la precedenza sulla configurazione predefinita e sulle impostazioni di tagging delle risorse. Pertanto, se impostate la modalità di esecuzione predefinita su **Automatizzata**, **Manuale** o **Condizionale** per una risorsa che utilizza il tag Resource Override, questa sovrascrive la modalità di esecuzione predefinita e qualsiasi configurazione di etichettatura delle risorse.
Per sovrascrivere la modalità di esecuzione di una risorsa, completa i seguenti passaggi:
1. Identifica le risorse per le quali desideri sostituire la configurazione di riparazione.
1. Determina l' Trusted Advisor ID del controllo che desideri sostituire. Puoi trovare il controllo IDs per i check-in supportati Trusted Advisor in[Trusted Advisor controlli supportati da Trusted Remediator](tr-supported-checks.md).
1. Aggiungi un tag alle risorse con la chiave e il valore seguenti:
+ **Chiave tag:** `TR-Trusted Advisor check ID-Execution-Mode` (con distinzione tra maiuscole e minuscole)
Nell'esempio di chiave del tag precedente, sostituiscilo `Trusted Advisor check ID` con l'identificativo univoco del Trusted Advisor controllo che desideri sovrascrivere.
+ **Valore del tag:** utilizzate uno dei seguenti valori per il valore del tag:
+ **Automatico:** Trusted Remediator corregge automaticamente la risorsa per questo Trusted Advisor controllo.
+ **Manuale:** OpsItem viene creato un file per la risorsa, ma la correzione non viene eseguita automaticamente. La riparazione viene esaminata ed eseguita manualmente da. OpsItem
+ **Inattivo:** la riparazione e la OpsItem creazione non vengono eseguite per questa risorsa e per il controllo specificato. Trusted Advisor
Ad esempio, per correggere automaticamente un volume Amazon EBS con l'ID di Trusted Advisor controllo, `DAvU99Dc4C` aggiungi un tag al volume EBS. La **chiave del tag** è `TR-DAvU99Dc4C-Execution-Mode` e il valore del **tag** è. `Automated`
Di seguito è riportato un esempio di console che mostra la sezione **Tags**:
![\[Un esempio della sezione Tags sulla console.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/tr-tags-example.png)
# Workflow decisionale in modalità di esecuzione
Esistono diversi livelli per configurare la modalità di esecuzione per le risorse e per ogni Trusted Advisor controllo. Il diagramma seguente mostra come Trusted Remediator decide quale modalità di esecuzione utilizzare in base alle configurazioni:
![\[Un'illustrazione del flusso di lavoro decisionale in modalità di esecuzione di Trusted Remediator.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/tr-ex-mode-workflow.png)
# Configurazione dei tutorial di riparazione
I seguenti tutorial forniscono esempi di creazione di rimedi comuni in Trusted Remediator
## Ripristina tutte le risorse manualmente
Questo esempio configura la riparazione manuale per tutti i volumi Amazon EBS con l'ID di Trusted Advisor controllo DAv U99Dc4C (Underutilized Amazon EBS Volumes).
**Configura la riparazione manuale per i volumi Amazon EBS con ID di controllo U99Dc4C DAv**
1. [Apri la console su appconfig. AWS AppConfig https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/appconfig)
Assicurati di accedere come account amministratore **delegato.**
1. Seleziona **Trusted Remediator** dall'elenco delle applicazioni.
1. Scegli il profilo di configurazione **dell'ottimizzazione dei costi**.
1. Seleziona il flag **Underutilized Amazon EBS Volumes.**
1. **Per la modalità di **esecuzione, seleziona Manuale**.**
1. Assicurati che gli **manual-for-tagged-only**attributi **automated-for-tagged-only**and siano vuoti. Questi attributi vengono utilizzati per sovrascrivere la modalità di esecuzione predefinita per le risorse con tag corrispondenti.
**Di seguito è riportato un esempio della sezione **Attributi** con valori vuoti per **automated-for-tagged-only**e **manual-for-tagged-only**e **Manuale** per la modalità di esecuzione:**
![\[Un esempio della sezione Attributi.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/tr-tutorial1.png)
1. Scegliete **Salva** per aggiornare il valore, quindi scegliete **Salva nuova versione** per applicare le modifiche. È necessario scegliere **Salva nuova versione** affinché Trusted Remediator riconosca la modifica.
1. Assicurati che i tuoi volumi Amazon EBS non abbiano un tag con la chiave`TR-DAvU99Dc4C-Execution-Mode`. Questa chiave di tag sostituisce la modalità di esecuzione predefinita per quel volume EBS.
## Ripristina automaticamente tutte le risorse, ad eccezione di quelle selezionate
**Questo esempio configura la riparazione automatica per tutti i volumi Amazon EBS con l'ID di Trusted Advisor controllo DAv U99Dc4C (Underutilized Amazon EBS Volumes), ad eccezione dei volumi specificati che non verranno corretti (designati come inattivi).**
**Configura la riparazione automatica per i volumi Amazon EBS con ID di controllo DAv U99Dc4C, ad eccezione di risorse inattive selezionate**
1. AWS AppConfig Apri [https://console.aws.amazon.com/systems-manager/la](https://console.aws.amazon.com/systems-manager/appconfig) console su appconfig.
Assicurati di accedere come account amministratore **delegato.**
1. Seleziona **Trusted Remediator** dall'elenco delle applicazioni.
1. Scegli il profilo di configurazione **dell'ottimizzazione dei costi**.
1. Seleziona il flag **Underutilized Amazon EBS Volumes.**
1. **Per la modalità di **esecuzione, seleziona Automated**.**
1. Assicurati che gli **manual-for-tagged-only**attributi **automated-for-tagged-only**and siano vuoti. Questi attributi vengono utilizzati per sovrascrivere la modalità di esecuzione predefinita per le risorse con tag corrispondenti.
**Di seguito è riportato un esempio della sezione **Attributi** con valori vuoti per **automated-for-tagged-only**e **manual-for-tagged-only**e **Automated** for execution-mode:**
![\[Un esempio della sezione Attributi.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/tr-tutorial2.png)
1. Scegliete **Salva** per aggiornare il valore, quindi scegliete **Salva nuova versione** per applicare le modifiche. È necessario scegliere **Salva nuova versione** affinché Trusted Remediator riconosca la modifica.
A questo punto, tutti i volumi Amazon EBS sono impostati per la riparazione automatica.
1. Sostituisci la riparazione automatica per volumi Amazon EBS selezionati:
1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Scegli **Elastic Block Store**, **Volumes**.
1. Scegliere **Tags (Tag)**.
1. Scegliere **Gestisci tag**.
1. Aggiungi il seguente tag:
+ **Chiave:** TR- DAv U99Dc4C-Execution-Mode
+ Valore**:** inattivo
Di seguito è riportato un esempio della sezione **Tag** che mostra i campi **Chiave** e **Valore**:
![\[Un esempio della sezione Attributi.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/tr-tutorial-inactive.png)
1. Ripeti i passaggi da 2 a 5 per tutti i volumi Amazon EBS che desideri escludere dalla riparazione.
## Correggi automaticamente le risorse contrassegnate
Questo esempio configura la riparazione automatica per tutti i volumi Amazon EBS con il tag `Stage=NonProd` con l'ID di Trusted Advisor controllo DAv U99Dc4C (Underutilized Amazon EBS Volumes). Tutte le altre risorse prive di questo tag non vengono corrette.
**Configura la riparazione automatica per i volumi Amazon EBS con il tag `Stage=NonProd` per l'ID di controllo U99Dc4C DAv**
1. [Apri la console su appconfig. AWS AppConfig https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/appconfig)
Assicurati di accedere come account amministratore **delegato.**
1. Seleziona **Trusted Remediator** dall'elenco delle applicazioni.
1. Scegli il profilo di configurazione **dell'ottimizzazione dei costi**.
1. Seleziona il flag **Underutilized Amazon EBS Volumes.**
1. **Per la modalità di **esecuzione, seleziona Conditional**.**
1. Imposta **automated-for-tagged-only** su `Stage=NonProd`. Questo attributo sostituisce l'impostazione predefinita `execution-mode` per le risorse con tag corrispondenti. Assicurati che **manual-for-tagged-only**gli attributi siano vuoti.
**Di seguito è riportato un esempio della sezione **Attributi **automated-for-tagged-only****impostata su **Stage= NonProd e **Conditional**** per la modalità di esecuzione:**
![\[Un esempio della sezione Attributi.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/tr-tutorial-conditional.png)
1. Facoltativamente, impostate i parametri preconfigurati su uno dei seguenti:
+ `CreateSnapshot=false`per non creare snapshot del volume Amazon EBS prima che venga eliminato
+ `MinimumUnattachedDays=10`impostare un numero minimo di giorni non collegati del volume Amazon EBS da eliminare in 10 giorni
+ `CreateSnapshot=false`, `MinimumUnattachedDays=10` per entrambi i casi precedenti
1. Scegli **Salva** per aggiornare il valore, quindi scegli **Salva nuova versione** per applicare le modifiche. È necessario scegliere **Salva nuova versione** affinché Trusted Remediator riconosca la modifica.
1. Assicurati che i tuoi volumi Amazon EBS non abbiano un tag con la chiave`TR-DAvU99Dc4C-Execution-Mode`. Questa chiave di tag sostituisce la modalità di esecuzione predefinita per quel volume EBS.
# Lavora con le riparazioni in Trusted Remediator
## Tieni traccia delle riparazioni in Trusted Remediator
Per tenere traccia delle OpsItems riparazioni, completa i seguenti passaggi:
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Scegli **Operations Management**, **OpsCenter**.
1. (Facoltativo) Filtrate l'elenco per **Source=Trusted Remediator** per includere solo Trusted OpsItems Remediator nell'elenco.
**Di seguito è riportato un esempio della OpsCenter schermata filtrata da Source=Trusted Remediator:**
![\[Un esempio della sezione Attributi.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/tr-opsitems-console.png)
**Nota**
Oltre alla visualizzazione OpsItems da OpsCenter, è possibile visualizzare i registri delle riparazioni nel bucket AMS S3. Per ulteriori informazioni, consulta [Registri di riparazione in Trusted Remediator](tr-logging.md).
## Esegui riparazioni manuali in Trusted Remediator
Trusted Remediator crea controlli configurati OpsItems per la riparazione manuale. È necessario rivedere questi controlli e iniziare il processo di riparazione manualmente.
Per rimediare manualmente OpsItem, completa i seguenti passaggi:
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Scegli **Operations Management**, **OpsCenter**.
1. (Facoltativo) Filtrate l'elenco per **Source=Trusted Remediator** per includere solo Trusted OpsItems Remediator nell'elenco.
1. Scegli quello OpsItem che desideri rivedere.
1. Rivedi i dati operativi di OpsItem. I dati operativi includono i seguenti elementi:
+ **trustedAdvisorCheckCategoria:** la categoria dell'ID dell' Trusted Advisor assegno. Ad esempio, tolleranza ai guasti
+ **trustedAdvisorCheckId: l'ID** univoco dell' Trusted Advisor assegno.
+ **trustedAdvisorCheckMetadati:** i metadati della risorsa, incluso l'ID della risorsa.
+ **trustedAdvisorCheckNome:** il nome dell'assegno. Trusted Advisor
+ **trustedAdvisorCheckStato:** lo stato del Trusted Advisor controllo rilevato per la risorsa.
1. Per risolvere manualmente il problema OpsItem, completa i seguenti passaggi:
1. Da **Runbook**, scegli uno dei runbook associati (documenti SSM).
1. Scegli **Execute (Esegui)**.
1. Per **AutomationAssumeRole **, scegliere ` arn:aws:iam::Account AWS ID:role/ams_ssm_automation_role`. Sostituisci Account AWS ID con l'ID dell'account su cui viene eseguita la riparazione. Per altri valori dei parametri, consulta i **dati relativi all'operazione**.
Per ripristinare manualmente le risorse, il ruolo o l'utente utilizzato per l'autenticazione Account AWS deve disporre delle `iam:PassRole` autorizzazioni per il ruolo IAM. `ams-ssm-automation-role` Per ulteriori informazioni, consulta [Concedere a un utente le autorizzazioni per trasferire un ruolo a un](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) utente Servizio AWS o contatta il tuo Cloud Architect.
1. Scegli **Execute (Esegui)**.
1. Monitora l'avanzamento dell'esecuzione del documento SSM nella colonna **Stato e risultati più recenti**.
1. Una volta completato il documento, scegli **Imposta stato**, **Risolto** per risolvere manualmente il. OpsItem Se il documento ha avuto esito negativo, rivedi i dettagli ed esegui nuovamente il. SSMdocument Per ulteriore assistenza nella risoluzione dei problemi, crea una richiesta di assistenza.
Per risolvere un problema OpsItem senza riparazione, seleziona **Imposta lo stato su** **Risolto**.
1. Ripeti i passaggi 3 e 4 per tutte le riparazioni OpsItems manuali rimanenti.
## Risolvi i problemi relativi alle riparazioni in Trusted Remediator
Per assistenza sulle riparazioni manuali e sugli errori di riparazione, contatta AMS.
Per visualizzare lo stato e i risultati della riparazione, completa i seguenti passaggi:
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Scegli **Operations Management**, **OpsCenter**.
1. (Facoltativo) Filtrate l'elenco per **Source=Trusted Remediator** per includere solo Trusted OpsItems Remediator nell'elenco.
1. Scegli quello OpsItem che desideri rivedere.
1. Nella sezione **Automation Executions**, esamina il **nome, lo stato del documento** **e i risultati**.
1. Esamina i seguenti errori di automazione comuni. Se i tuoi problemi non sono elencati qui, contatta il tuo CSDM per ricevere assistenza.
**Errori di riparazione comuni**
### Nessuna esecuzione è elencata in Automation Executions
Nessuna esecuzione associata a OpsItem potrebbe indicare che l'esecuzione non è stata avviata a causa di valori dei parametri errati.
**Fasi per la risoluzione dei problemi**
1. Nei **Dati operativi**, esamina il valore della `trustedAdvisorCheckAutoRemediation` proprietà.
1. Verificate che i valori **DocumentName**e **Parameters** siano corretti. Per i valori corretti, [Configurare Trusted Advisor la correzione degli assegni in Trusted Remediator](tr-configure-remediations.md) consulta i dettagli su come configurare i parametri SSM. Per esaminare i parametri di controllo supportati, vedere [Trusted Advisor controlli supportati da Trusted Remediator](tr-supported-checks.md)
1. Verifica che i valori nel documento SSM corrispondano ai modelli consentiti. Per visualizzare i dettagli dei parametri nel contenuto del documento, seleziona il nome del documento nella sezione **Runbooks**.
1. Dopo aver esaminato e corretto i parametri, [esegui nuovamente manualmente il documento SSM](#tr-remediation).
1. Per evitare che questo errore si ripresenti, assicuratevi di configurare la riparazione con i valori dei **parametri** corretti nella configurazione. Per ulteriori informazioni, consulta [Configurare Trusted Advisor la correzione degli assegni in Trusted Remediator](tr-configure-remediations.md)
### Esecuzioni non riuscite in Automation Executions
I documenti di riparazione contengono più passaggi che interagiscono con l' Servizi AWS esecuzione di varie azioni. APIs Per identificare una causa specifica dell'errore, completa i seguenti passaggi:
**Fasi per la risoluzione dei problemi**
1. Per visualizzare i singoli passaggi di esecuzione, scegli l'**ID di esecuzione**, link nella sezione **Automation Executions**. Di seguito è riportato un esempio della console Systems Manager che **mostra i passaggi di esecuzione** per un'automazione selezionata:
![\[Un esempio della console Systems Manager che mostra un'automazione selezionata.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/tr-troubleshooting.png)
1. Scegli il passaggio con lo stato **Non riuscito**. Di seguito sono riportati alcuni esempi di messaggi di errore:
+ `NoSuchBucket - An error occurred (NoSuchBucket) when calling the GetPublicAccessBlock operation: The specified bucket does not exist`
Questo errore indica che il nome errato del bucket è stato specificato nei parametri preconfigurati della configurazione di riparazione.
Per risolvere questo errore, [esegui manualmente l'automazione utilizzando il nome del bucket corretto](#tr-remediation). Per evitare che questo problema si ripresenti, [aggiorna la configurazione di riparazione con il](tr-configure-remediations.md) nome del bucket corretto.
+ `DB instance my-db-instance-1 is not in available status for modification.`
Questo errore indica che l'automazione non è riuscita ad apportare le modifiche previste perché l'istanza DB si trovava in uno stato non valido.
Per risolvere questo errore, [esegui manualmente l'automazione](#tr-remediation).
# Registri di riparazione in Trusted Remediator
Trusted Remediator crea log in formato JSON e li carica su Amazon Simple Storage Service. I file di log vengono caricati in un bucket S3 creato da AMS e denominato. `ams-trusted-remediator-{your-account-id}-logs` AMS crea il bucket S3 nell'account Delegated Administrator. È possibile importare i file di registro in QuickSight modo da generare report di riparazione personalizzati.
Per ulteriori informazioni, consulta [Integrazione di Trusted Remediator con QuickSight](tr-qs-integration.md).
## Registro degli elementi di riparazione
Trusted Remediator crea il `Remediation item log` momento in cui viene creata una riparazione OpsItem . Questo registro contiene la riparazione manuale OpsItem e la riparazione automatica. OpsItem È possibile utilizzare il file `Remediation item log` per tenere traccia della panoramica di tutte le riparazioni.
**Posizione del registro degli elementi di riparazione per i consigli di Compute Optimizer**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/compute_optimizer_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**Posizione del registro degli elementi di riparazione per i controlli Trusted Advisor **
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**URL di esempio del file di registro dell'elemento di riparazione**
`s3:///ams-trusted-remediator-111122223333-logs/remediation_items/2023-02-06/1675660464-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Formato di registro degli elementi di Compute Optimizer Remediation**
```
{
"AccountID": "Account_ID",
"ComputeOptimizerCheckID": "Compute Optimizer check ID",
"ComputeOptimizerCheckName": "Compute Optimizer check name",
"ResourceID": "Resource ID",
"RemediationTime": Remediation creation time,
"ExecutionMode": "Automated or Manual",
"OpsItemID": "OpsItem ID"
}
```
**Trusted Advisor Formato del registro degli elementi di riparazione**
```
{
"TrustedAdvisorCheckID": Trusted Advisor check ID,
"TrustedAdvisorCheckName": Trusted Advisor check name,
"TrustedAdvisorCheckResultTime": 10 digits epoch time or unix timestamp,
"ResourceID": Resource ID,
"RemediationTime": Remediation creation time,
"ExecutionMode": Automated or Manual,
"OpsItemID": OpsItem ID
}
```
**Contenuto di esempio in formato di log dell'elemento Compute Optimizer Remediation**
```
{
"AccountID": "123456789012",
"ComputeOptimizerCheckID": "compute-optimizer-ebs",
"ComputeOptimizerCheckName": "EBS volumes",
"ResourceID": "vol-1235589366f77aca7",
"RemediationTime": 1755044783,
"ExecutionMode": "Manual",
"OpsItemID": "oi-b8888b38fe78"
}
```
**Trusted Advisor Contenuto di esempio del formato del registro degli elementi di riparazione**
```
{
"TrustedAdvisorCheckID": "DAvU99Dc4C",
"TrustedAdvisorCheckName": "Underutilized Amazon EBS Volumes",
"TrustedAdvisorCheckResultTime": 1675614749,
"ResourceID": "vol-00bd8965660b4c16d",
"RemediationTime": 1675660464,
"OpsItemID": "oi-cca5df7af718"
}
```
## Registro di esecuzione della riparazione automatizzata, Compute Optimizer e Trusted Advisor
Trusted Remediator crea il `Automated remediation execution log` quando viene completata l'esecuzione automatica di un documento SSM. Questo registro contiene i dettagli dell'esecuzione di SSM solo per la riparazione automatica. OpsItem È possibile utilizzare questo file di registro per tenere traccia delle riparazioni automatiche.
**Compute Optimizer Posizione del registro di correzione automatizzata**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer recommendation ID.json`
**Trusted Advisor Posizione del registro di riparazione automatizzato**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID-Resource ID.json`
**Esempio di posizione del registro di correzione automatizzato di Compute Optimizer**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/1750908858-123456789012-compute-optimizer-ec2-i-1235173471d2cd789.json`
**Trusted Advisor Esempio di posizione del registro di riparazione automatizzato**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2023-02-06/1675660573-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Contenuto di esempio in formato registro di riparazione automatizzato**
```
{
"OpsItemID": "oi-767c77e05301",
"SSMExecutionID": "93d091b2-778a-4cbc-b672-006954d76b86",
"SSMExecutionStatus": "Success"}
```
## Registro degli account dei membri
Trusted Remediator crea il messaggio `Member accounts log` quando il tuo account viene inserito o abbandonato. Puoi utilizzare il `Member accounts log` per trovare l'ID dell'account, l'iscrizione e l'ora di esecuzione di ciascun account Regioni AWS membro.
**Posizione dei registri degli account dei membri**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/configuration_logs/member_accounts.json`
**URL di esempio del file di registro degli account membri**
`s3://ams-trusted-remediator-111122223333-logs/configuration_logs/member_accounts.json`
**Formato di registro degli account dei membri**
```
{
"delegated_administrator_account_id": Delegated Administrator account id,
"appconfig_configuration_region": Trusted Remediator AppConfig Region,
"member_accounts": [
{
"account_id": Member account id
"account_partition": Member account partition (for example, aws),
"regions": [
{
"execution_time": Remediation execution time in cron schedule expression,
"execution_timezone": Timezone for the remediation execution time,
"region_name": Regione AWS name
}
...
]
}
...
],
"updated_at": Log update time,
}
```
**Contenuto di esempio del formato di registro degli account dei membri**
```
{
"delegated_administrator_account_id": "111122223333",
"appconfig_configuration_region": "ap-southeast-2",
"member_accounts": [
{
"account_id": "222233334444",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 9 * * 6",
"execution_timezone": "Australia/Sydney",
"region_name": "ap-southeast-2"
},
{
"execution_time": "0 5 * * 7",
"execution_timezone": "UTC",
"region_name": "us-east-1"
}
]
},
{
"account_id": "333344445555",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 1 * * 5",
"execution_timezone": "Asia/Seoul",
"region_name": "ap-northeast-2"
}
]
}
],
"updated_at": "1730869607"
}
```
# Integrazione di Trusted Remediator con QuickSight
Puoi integrare i log di Trusted Remediator archiviati in Amazon S3 QuickSight con per creare report di riparazione personalizzati. QuickSight l'integrazione è facoltativa. Questa funzionalità consente di utilizzare i log per creare dashboard di reporting personalizzate. Per ottenere report su richiesta per Trusted Remediator, contattate il vostro CSDM. Per ulteriori informazioni sui report Trusted Remediator disponibili, consulta. [Report di Trusted Remediator](trusted-remediator-reports.md)
Per ulteriori informazioni sulla visualizzazione dei dati in QuickSight, vedere [Visualizzazione](https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html) dei dati in. QuickSight
## Aggiungi un set di dati al registro degli elementi di riparazione QuickSight
Per aggiungere un set di dati al QuickSight registro degli elementi di riparazione, procedi nel seguente modo:
1. Accedi alla console. QuickSight Puoi creare il QuickSight rapporto in qualsiasi QuickSight formato Regione AWS che supporti. Tuttavia, per migliorare le prestazioni e ridurre i costi, è consigliabile creare il report nella regione in cui si trova il bucket di registrazione Trusted Remediator.
1. **Scegli Datasets.**
1. Scegli **S3**.
1. Nella **nuova origine dati S3**, inserisci i seguenti valori:
+ **Nome della fonte di dati:**` trusted-remediator-delegated_administrator_account_id-account_region-remediation-items`.
+ **Carica un file manifest:** crea un file JSON con il seguente contenuto e usalo. Quando crei il file, `logging_bucket_name` sostituiscilo nella URIPrefixes chiave.
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_items/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ Scegli **Connetti**.
+ Nella finestra **Termina la creazione del set di** dati, scegli **Visualizza**.
+ QuickSight apre la nuova pagina del foglio di analisi. Ora sei pronto per creare una nuova analisi utilizzando il registro degli elementi di riparazione.
Di seguito è riportato un esempio di analisi:
![\[Un foglio di lavoro per l'analisi dei campioni.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/tr-sample-analysis.png)
## Aggiungi un set di dati al registro QuickSight di esecuzione della riparazione automatizzata
1. Accedi alla QuickSight console. Puoi creare il QuickSight rapporto in qualsiasi QuickSight formato Regione AWS che supporti. Tuttavia, per migliorare le prestazioni e ridurre i costi, è consigliabile creare il report nella regione in cui si trova il bucket di registrazione Trusted Remediator.
1. **Scegli Datasets.**
1. Scegli **S3**.
1. Nella **nuova origine dati S3**, inserisci i seguenti valori:
+ **Nome della fonte di dati:**`trusted-remediator-delegated_administrator_account_id-account_region-remediation-executions`.
+ **Carica un file manifest:** crea un file JSON con il seguente contenuto, quindi utilizza questo file. Quando crei il file, `logging_bucket_name` sostituiscilo nella URIPrefixes chiave.
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_executions/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ Scegli **Connetti**.
+ Nella finestra **Termina la creazione del set di** dati, scegli **Visualizza**.
+ QuickSight apre la nuova pagina del foglio di analisi. Ora sei pronto per creare una nuova analisi utilizzando il registro degli elementi di riparazione.
Di seguito è riportato un esempio di analisi:
![\[Un foglio di lavoro per l'analisi dei campioni.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/tr-sample-analysis2.png)
# Le migliori pratiche in Trusted Remediator
Di seguito sono riportate le best practice per aiutarti a utilizzare Trusted Remediator:
+ Se non sei sicuro dei risultati della correzione, inizia con la modalità di esecuzione manuale. A volte, applicare l'esecuzione automatizzata per le riparazioni sin dall'inizio potrebbe causare risultati imprevisti.
+ Esegui una revisione settimanale delle correzioni e approfondisci OpsItems i risultati di Trusted Remediator.
+ Gli account membro ereditano le configurazioni dall'account amministratore delegato. Pertanto, è importante strutturare gli account in modo da gestire più account con le stesse configurazioni. È possibile esentare le risorse dalla configurazione predefinita utilizzando i tag.
# Trusted Remediator FAQs
Di seguito sono riportate le domande frequenti su Trusted Remediator:
## Che cos'è Trusted Remediator e quali sono i miei vantaggi?
Quando viene identificata una non conformità Trusted Advisor o viene emessa una raccomandazione da Compute Optimizer, Trusted Remediator risponde in base alle preferenze specificate dall'utente, applicando la correzione, richiedendo l'approvazione tramite riparazioni manuali o segnalando le correzioni durante l'imminente Monthly Business Review (MBR). La riparazione avviene all'orario o alla pianificazione prescelti. Trusted Remediator offre la possibilità di eseguire operazioni self-service e intervenire in base ai Trusted Advisor controlli con la flessibilità necessaria per configurare e correggere i controlli singolarmente o in blocco. Con una libreria di documenti di correzione testati, AMS aumenta costantemente la tua reputazione applicando controlli di sicurezza e seguendo le migliori pratiche. AWS Riceverete una notifica solo se specificate di farlo nella configurazione. Gli utenti AMS possono optare per Trusted Remediator senza costi aggiuntivi.
## In che modo Trusted Remediator si relaziona e funziona con gli altri? Servizi AWS
Hai accesso ai Trusted Advisor controlli e ai consigli di Compute Optimizer come parte del tuo piano Enterprise Support esistente. Trusted Remediator si integra con Trusted Advisor Compute Optimizer per sfruttare le funzionalità di automazione AMS esistenti. In particolare, AMS utilizza documenti di AWS Systems Manager automazione (runbook) per le riparazioni automatiche. AWS AppConfig viene utilizzato per configurare i flussi di lavoro di riparazione. È possibile visualizzare tutte le riparazioni attuali e passate tramite Systems Manager OpsCenter. I log di riparazione sono archiviati in un bucket Amazon S3. Puoi utilizzare i log per importare e creare dashboard di reporting personalizzate. QuickSight
## Chi configura le riparazioni?
Sei il proprietario delle configurazioni del tuo account. La gestione delle configurazioni è responsabilità dell'utente. Puoi contattare il tuo CA o il CDSM per ricevere assistenza nella gestione delle configurazioni. Puoi anche contattare AMS tramite una richiesta di servizio per il supporto alla configurazione, le riparazioni manuali e la risoluzione degli errori di riparazione.
## Come posso installare i documenti di automazione SSM?
I documenti di automazione SSM vengono condivisi automaticamente con gli account AMS registrati.
## Verranno ripristinate anche le risorse di proprietà di AMS?
Le risorse di proprietà di AMS non sono contrassegnate da Trusted Remediator. Trusted Remediator si concentra solo sulle tue risorse.
## In cosa Regioni AWS è disponibile Trusted Remediator e chi può utilizzarlo?
Trusted Remediator è disponibile per i clienti AMS Accelerate. Per un elenco aggiornato delle regioni di supporto, vedi [Servizi AWS per regione.](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)
## Trusted Remediator causerà la deriva delle risorse?
Poiché i documenti di automazione SSM aggiornano direttamente le risorse tramite l' AWS API, potrebbe verificarsi una deriva delle risorse. È possibile utilizzare i tag per separare le risorse create tramite i pacchetti esistenti. CI/CD È possibile configurare Trusted Remediator in modo che ignori le risorse contrassegnate continuando a correggere le altre risorse.
## Come posso mettere in pausa o interrompere Trusted Remediator?
È possibile disattivare Trusted Remediator tramite l'applicazione. AWS AppConfig Per mettere in pausa o interrompere Trusted Remediator, completa i seguenti passaggi:
1. [Apri la AWS AppConfig console all'indirizzo https://console.aws.amazon.com/systems-manager/ appconfig.](https://console.aws.amazon.com/systems-manager/appconfig)
1. Seleziona Trusted Remediator.
1. Scegli **Impostazioni** nel profilo di configurazione.
1. Seleziona il flag **Suspend Trusted Remediator**.
1. Imposta il valore dell'attributo su. `suspended` `true`
**Nota**
Prestare attenzione quando si utilizza questa procedura poiché interrompe Trusted Remediator per tutti gli account collegati all'account amministratore delegato.
## Come posso correggere i controlli che non sono supportati da Trusted Remediator?
Puoi continuare a contattare AMS tramite Operations On Demand (OOD) per i controlli non supportati. AMS ti aiuta a correggere questi controlli. Per ulteriori informazioni, consulta [Operations On](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html) Demand.
## In che modo Trusted Remediator è diverso dalla AWS Config riparazione?
AWS Config Remediation è un'altra soluzione che ti aiuta a ottimizzare le risorse cloud e a mantenere la conformità con le migliori pratiche. Di seguito sono riportate alcune delle differenze operative tra le due soluzioni:
+ Trusted Remediator utilizza Trusted Advisor Compute Optimizer come meccanismo di rilevamento. AWS Config Remediation utilizza AWS Config le regole come meccanismo di rilevamento.
+ Per Trusted Remediator, la riparazione avviene secondo la pianificazione di riparazione predefinita. Nel AWS Config, la riparazione avviene in tempo reale.
+ I parametri per ogni riparazione in Trusted Remediator sono facilmente personalizzabili in base al caso d'uso e la riparazione può essere automatizzata o resa manuale aggiungendo tag alle risorse.
+ Trusted Remediator offre funzionalità di reporting.
+ Trusted Remediator invia all'utente una notifica via e-mail con l'elenco delle misure correttive e lo stato della riparazione.
Alcuni Trusted Advisor controlli e raccomandazioni di Compute Optimizer potrebbero includere la stessa regola. AWS ConfigÈ consigliabile abilitare una sola correzione se esistono una AWS Config regola e un controllo corrispondenti. Trusted Advisor Per informazioni sulle AWS Config regole per ogni Trusted Advisor controllo, consulta[Trusted Advisor controlli supportati da Trusted Remediator](tr-supported-checks.md).
## Quali risorse distribuisce Trusted Remediator ai tuoi account?
Trusted Remediator distribuisce le seguenti risorse nell'account amministratore delegato di Trusted Remediator:
+ Un bucket Amazon S3 denominato. `ams-trusted-remediator-{your-account-id}-logs` Trusted Remediator crea il file `Remediation item log` in formato JSON quando OpsItem viene creata una correzione e carica i file di registro in questo bucket.
+ Un' AWS AppConfig applicazione per contenere le configurazioni di riparazione per i Trusted Advisor controlli supportati e i consigli di Compute Optimizer.
Trusted Remediator non distribuisce risorse nell'account membro di Trusted Remediator.