Controlli di ottimizzazione Trusted Advisor dei costi supportati Controlli di Trusted Advisor sicurezza supportati Controlli di Trusted Advisor tolleranza agli errori supportati Controlli Trusted Advisor delle prestazioni supportati Controlli dei limiti Trusted Advisor del servizio supportati Controlli di eccellenza Trusted Advisor operativa supportati

Trusted Advisor controlli supportati da Trusted Remediator

La tabella seguente elenca i Trusted Advisor controlli supportati, i documenti di automazione SSM, i parametri preconfigurati e il risultato previsto dei documenti di automazione. Esamina il risultato previsto per aiutarti a comprendere i possibili rischi in base ai requisiti aziendali prima di abilitare un documento di automazione SSM per la correzione degli assegni.

Assicurati che la regola di configurazione corrispondente per ogni Trusted Advisor controllo sia presente per i controlli supportati per i quali desideri abilitare la correzione. Per ulteriori informazioni, consulta View AWS Trusted Advisor checks powered by. AWS Config Se un controllo ha AWS Security Hub i controlli corrispondenti, assicurati che il controllo Security Hub sia abilitato. Per ulteriori informazioni, vedere Abilitazione dei controlli in Security Hub. Per informazioni sulla gestione dei parametri preconfigurati, vedere Configurare la correzione dei controlli di Trusted Advisor in Trusted Remediator.

Trusted Advisor controlli di ottimizzazione dei costi supportati da Trusted Remediator

Controlla l'ID e il nome Nome del documento SSM e risultato previsto Parametri e vincoli preconfigurati supportati

Controlla l'ID e il nome	Nome del documento SSM e risultato previsto	Parametri e vincoli preconfigurati supportati
Z4 AUBRNSmz Indirizzi IP elastici non associati	AWSManagedServices-TrustedRemediatorReleaseElasticIP Rilascia un indirizzo IP elastico che non è associato a nessuna risorsa.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c18d2gz150 - Istanze Amazon interrotte EC2	AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime - EC2 Le istanze Amazon interrotte per un certo numero di giorni vengono terminate.	Crea AMIBefore terminazione: per creare l'AMI dell'istanza come backup prima di terminare l' EC2 istanza Amazon, scegli. `true` Per non creare un backup prima della chiusura, scegli. `false` Il valore predefinito è `true`. AllowedDays: il numero di giorni in cui l'istanza si trova nello stato di arresto prima che venga terminata. Il valore predefinito è 30. Nessun vincolo
c18d2gz128 Repository di Amazon ECR senza policy del ciclo di vita configurata	AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy Crea una politica del ciclo di vita per il repository specificato se non esiste già una politica del ciclo di vita.	ImageAgeLimit: il limite di età massimo in giorni (1-365) per «qualsiasi» immagine nell'archivio Amazon ECR. Nessun vincolo
DAvU99Dc4C Volumi Amazon EBS sottoutilizzati	AWSManagedServices-DeleteUnusedEBSVolume Elimina i volumi Amazon EBS sottoutilizzati se i volumi non sono collegati negli ultimi 7 giorni. Per impostazione predefinita, viene creata una snapshot di Amazon EBS.	CreateSnapshot: se impostato su`true`, l'automazione crea uno snapshot del volume Amazon EBS prima che venga eliminato. L'impostazione predefinita è `true`. I valori validi sono `true` e `false` (distinzione tra maiuscole e minuscole). MinimumUnattachedDays: minimo giorni non allegati del volume EBS da eliminare, fino a 62 giorni. Se impostato su`0`, il documento SSM non verifica il periodo non allegato ed elimina il volume se il volume non è attualmente allegato. Il valore predefinito è. `7` Nessun vincolo
ciao M8 LMh88u Bilanciatori del carico inattivi	AWSManagedServices-DeleteIdleClassicLoadBalancer Elimina un Classic Load Balancer inattivo se è inutilizzato e non è registrata alcuna istanza.	IdleLoadBalancerDays: Il numero di giorni in cui il Classic Load Balancer ha 0 connessioni richieste prima di considerarlo inattivo. L'impostazione predefinita è sette giorni. Se l'esecuzione automatica è abilitata, l'automazione elimina i Classic Load Balancer inattivi se non ci sono istanze di back-end attive. Per tutti i Classic Load Balancer inattivi che dispongono di istanze di back-end attive, ma non dispongono di istanze di back-end sane, la riparazione automatica non viene utilizzata e viene creata la riparazione manuale. OpsItems
TI39 Half U8 Istanze database Amazon RDS inattive	AWSManagedServices-StopIdleRDSInstance L'istanza database di Amazon RDS che è rimasta inattiva negli ultimi sette giorni viene interrotta.	Non sono consentiti parametri preconfigurati. Nessun vincolo
COr6dfpM05 AWS Lambda funzioni sovradimensionate per le dimensioni della memoria	AWSManagedServices-ResizeLambdaMemory AWS Lambda la dimensione della memoria della funzione viene ridimensionata alla dimensione di memoria consigliata fornita da. Trusted Advisor	RecommendedMemorySize: l'allocazione di memoria consigliata per la funzione Lambda. L'intervallo di valori è compreso tra 128 e 10240. Se la dimensione della funzione Lambda è stata modificata prima dell'esecuzione dell'automazione, le impostazioni potrebbero essere sovrascritte da questa automazione con il valore consigliato da. Trusted Advisor
QCh7DWoux1 Istanze Amazon EC2 a basso utilizzo	AWSManagedServices-StopEC2Instance (documento SSM predefinito per la modalità di esecuzione automatica e manuale). EC2 Le istanze Amazon con basso utilizzo vengono interrotte.	ForceStopWithInstanceStore: impostato su per `true` forzare l'arresto delle istanze utilizzando instance store. In caso contrario, imposta il valore su `false`. Il valore predefinito di `false` impedisce l'arresto dell'istanza. I valori validi sono true o false (distinzione tra maiuscole e minuscole). Nessun vincolo
QCH7DWoux1 Istanze Amazon EC2 a basso utilizzo	AWSManagedServices-ResizeInstanceByOneLevel L' EC2 istanza Amazon viene ridimensionata di un tipo di istanza nello stesso tipo di famiglia di istanze. L'istanza viene interrotta e avviata durante l'operazione di ridimensionamento e riportata allo stato iniziale al termine dell'esecuzione del documento SSM. Questa automazione non supporta il ridimensionamento delle istanze che si trovano in un gruppo di Auto Scaling.	MinimumDaysSinceLastChange: numero minimo di giorni dall'ultima modifica del tipo di istanza. Se il tipo di istanza è stato modificato entro un periodo di tempo specificato, il tipo di istanza non viene modificato. `0`Utilizzatelo per saltare questa convalida. Il valore predefinito è `7`. Crea AMIBefore ridimensionamento: per creare l'AMI dell'istanza come backup prima del ridimensionamento, scegli. `true` Per non creare un backup, scegli. `false` Il valore predefinito è `false`. I valori validi sono `true` e `false` (distinzione tra maiuscole e minuscole). ResizeIfStopped: Per procedere con la modifica delle dimensioni dell'istanza, anche se l'istanza è in uno stato interrotto, scegliete. `true` Per non ridimensionare automaticamente l'istanza se si trova in uno stato interrotto, scegliete`false`. I valori validi sono `true` e `false` (distinzione tra maiuscole e minuscole). Nessun vincolo
QCH7DWoux1 Istanze Amazon EC2 a basso utilizzo	AWSManagedServices-TerminateInstance Le EC2 istanze Amazon a basso utilizzo vengono terminate se non fanno parte di un gruppo di Auto Scaling e la protezione dalla terminazione non è abilitata. Per impostazione predefinita, viene creata un'AMI.	Crea AMIBefore terminazione: imposta questa opzione su `true` o per `false` creare un'AMI di istanza come backup prima di terminare l' EC2 istanza. Il valore predefinito è `true`. I valori validi sono `true` e `false` (distinzione tra maiuscole e minuscole). Nessun vincolo
G31sq1e9u Cluster Amazon Redshift sottoutilizzati	AWSManagedServices-PauseRedshiftCluster Il cluster Amazon Redshift è in pausa.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1cj39rr6v Configurazione di interruzione del caricamento multiparte incompleta di Amazon S3	AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload Il bucket Amazon S3 è configurato con una regola del ciclo di vita per interrompere i caricamenti in più parti che rimangono incompleti dopo determinati giorni.	DaysAfterInitiation: il numero di giorni dopo i quali Amazon S3 interrompe un caricamento incompleto in più parti. L'impostazione predefinita è 7 giorni. Nessun vincolo
c1z7kmr00n Consigli di Amazon per l'ottimizzazione dei EC2 costi per le istanze	Utilizza i consigli sulle EC2 istanze Amazon e l' EC2 istanza Amazon inattiva diRaccomandazioni di Compute Optimizer supportate da Trusted Remediator.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1z7kmr02n Raccomandazioni per l'ottimizzazione dei costi di Amazon EBS per i volumi	Utilizza i consigli sui volumi Amazon EBS e il volume Amazon EBS inattivo di. Raccomandazioni di Compute Optimizer supportate da Trusted Remediator	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1z7kmr03n Consigli per l'ottimizzazione dei costi di Amazon RDS per le istanze DB	Usa l'istanza Amazon RDS inattiva di. Raccomandazioni di Compute Optimizer supportate da Trusted Remediator	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1z7kmr05n AWS Lambda raccomandazioni per l'ottimizzazione dei costi per le funzioni	Utilizza i consigli sulla funzione Lambda di. Raccomandazioni di Compute Optimizer supportate da Trusted Remediator	Non sono consentiti parametri preconfigurati. Nessun vincolo

Z4 AUBRNSmz

Indirizzi IP elastici non associati

AWSManagedServices-TrustedRemediatorReleaseElasticIP

Rilascia un indirizzo IP elastico che non è associato a nessuna risorsa.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c18d2gz150 - Istanze Amazon interrotte EC2

AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime - EC2 Le istanze Amazon interrotte per un certo numero di giorni vengono terminate.

Crea AMIBefore terminazione: per creare l'AMI dell'istanza come backup prima di terminare l' EC2 istanza Amazon, scegli. true Per non creare un backup prima della chiusura, scegli. false Il valore predefinito è true.
AllowedDays: il numero di giorni in cui l'istanza si trova nello stato di arresto prima che venga terminata. Il valore predefinito è 30.

Nessun vincolo

c18d2gz128

Repository di Amazon ECR senza policy del ciclo di vita configurata

AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy

Crea una politica del ciclo di vita per il repository specificato se non esiste già una politica del ciclo di vita.

ImageAgeLimit: il limite di età massimo in giorni (1-365) per «qualsiasi» immagine nell'archivio Amazon ECR.

Nessun vincolo

DAvU99Dc4C

Volumi Amazon EBS sottoutilizzati

AWSManagedServices-DeleteUnusedEBSVolume

Elimina i volumi Amazon EBS sottoutilizzati se i volumi non sono collegati negli ultimi 7 giorni. Per impostazione predefinita, viene creata una snapshot di Amazon EBS.

CreateSnapshot: se impostato sutrue, l'automazione crea uno snapshot del volume Amazon EBS prima che venga eliminato. L'impostazione predefinita è true. I valori validi sono true e false (distinzione tra maiuscole e minuscole).
MinimumUnattachedDays: minimo giorni non allegati del volume EBS da eliminare, fino a 62 giorni. Se impostato su0, il documento SSM non verifica il periodo non allegato ed elimina il volume se il volume non è attualmente allegato. Il valore predefinito è. 7

Nessun vincolo

ciao M8 LMh88u

Bilanciatori del carico inattivi

AWSManagedServices-DeleteIdleClassicLoadBalancer

Elimina un Classic Load Balancer inattivo se è inutilizzato e non è registrata alcuna istanza.

IdleLoadBalancerDays: Il numero di giorni in cui il Classic Load Balancer ha 0 connessioni richieste prima di considerarlo inattivo. L'impostazione predefinita è sette giorni.

Se l'esecuzione automatica è abilitata, l'automazione elimina i Classic Load Balancer inattivi se non ci sono istanze di back-end attive. Per tutti i Classic Load Balancer inattivi che dispongono di istanze di back-end attive, ma non dispongono di istanze di back-end sane, la riparazione automatica non viene utilizzata e viene creata la riparazione manuale. OpsItems

TI39 Half U8

Istanze database Amazon RDS inattive

AWSManagedServices-StopIdleRDSInstance

L'istanza database di Amazon RDS che è rimasta inattiva negli ultimi sette giorni viene interrotta.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

COr6dfpM05

AWS Lambda funzioni sovradimensionate per le dimensioni della memoria

AWSManagedServices-ResizeLambdaMemory

AWS Lambda la dimensione della memoria della funzione viene ridimensionata alla dimensione di memoria consigliata fornita da. Trusted Advisor

RecommendedMemorySize: l'allocazione di memoria consigliata per la funzione Lambda. L'intervallo di valori è compreso tra 128 e 10240.

Se la dimensione della funzione Lambda è stata modificata prima dell'esecuzione dell'automazione, le impostazioni potrebbero essere sovrascritte da questa automazione con il valore consigliato da. Trusted Advisor

QCh7DWoux1

Istanze Amazon EC2 a basso utilizzo

AWSManagedServices-StopEC2Instance (documento SSM predefinito per la modalità di esecuzione automatica e manuale).

EC2 Le istanze Amazon con basso utilizzo vengono interrotte.

ForceStopWithInstanceStore: impostato su per true forzare l'arresto delle istanze utilizzando instance store. In caso contrario, imposta il valore su false. Il valore predefinito di false impedisce l'arresto dell'istanza. I valori validi sono true o false (distinzione tra maiuscole e minuscole).

Nessun vincolo

QCH7DWoux1

Istanze Amazon EC2 a basso utilizzo

AWSManagedServices-ResizeInstanceByOneLevel

L' EC2 istanza Amazon viene ridimensionata di un tipo di istanza nello stesso tipo di famiglia di istanze. L'istanza viene interrotta e avviata durante l'operazione di ridimensionamento e riportata allo stato iniziale al termine dell'esecuzione del documento SSM. Questa automazione non supporta il ridimensionamento delle istanze che si trovano in un gruppo di Auto Scaling.

MinimumDaysSinceLastChange: numero minimo di giorni dall'ultima modifica del tipo di istanza. Se il tipo di istanza è stato modificato entro un periodo di tempo specificato, il tipo di istanza non viene modificato. 0Utilizzatelo per saltare questa convalida. Il valore predefinito è 7.
Crea AMIBefore ridimensionamento: per creare l'AMI dell'istanza come backup prima del ridimensionamento, scegli. true Per non creare un backup, scegli. false Il valore predefinito è false. I valori validi sono true e false (distinzione tra maiuscole e minuscole).
ResizeIfStopped: Per procedere con la modifica delle dimensioni dell'istanza, anche se l'istanza è in uno stato interrotto, scegliete. true Per non ridimensionare automaticamente l'istanza se si trova in uno stato interrotto, sceglietefalse. I valori validi sono true e false (distinzione tra maiuscole e minuscole).

Nessun vincolo

QCH7DWoux1

Istanze Amazon EC2 a basso utilizzo

AWSManagedServices-TerminateInstance

Le EC2 istanze Amazon a basso utilizzo vengono terminate se non fanno parte di un gruppo di Auto Scaling e la protezione dalla terminazione non è abilitata. Per impostazione predefinita, viene creata un'AMI.

Crea AMIBefore terminazione: imposta questa opzione su true o per false creare un'AMI di istanza come backup prima di terminare l' EC2 istanza. Il valore predefinito è true. I valori validi sono true e false (distinzione tra maiuscole e minuscole).

Nessun vincolo

G31sq1e9u

Cluster Amazon Redshift sottoutilizzati

AWSManagedServices-PauseRedshiftCluster

Il cluster Amazon Redshift è in pausa.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1cj39rr6v

Configurazione di interruzione del caricamento multiparte incompleta di Amazon S3

AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload

Il bucket Amazon S3 è configurato con una regola del ciclo di vita per interrompere i caricamenti in più parti che rimangono incompleti dopo determinati giorni.

DaysAfterInitiation: il numero di giorni dopo i quali Amazon S3 interrompe un caricamento incompleto in più parti. L'impostazione predefinita è 7 giorni.

Nessun vincolo

c1z7kmr00n

Consigli di Amazon per l'ottimizzazione dei EC2 costi per le istanze

Utilizza i consigli sulle EC2 istanze Amazon e l' EC2 istanza Amazon inattiva diRaccomandazioni di Compute Optimizer supportate da Trusted Remediator.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1z7kmr02n

Raccomandazioni per l'ottimizzazione dei costi di Amazon EBS per i volumi

Utilizza i consigli sui volumi Amazon EBS e il volume Amazon EBS inattivo di. Raccomandazioni di Compute Optimizer supportate da Trusted Remediator

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1z7kmr03n

Consigli per l'ottimizzazione dei costi di Amazon RDS per le istanze DB

Usa l'istanza Amazon RDS inattiva di. Raccomandazioni di Compute Optimizer supportate da Trusted Remediator

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1z7kmr05n

AWS Lambda raccomandazioni per l'ottimizzazione dei costi per le funzioni

Utilizza i consigli sulla funzione Lambda di. Raccomandazioni di Compute Optimizer supportate da Trusted Remediator

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Trusted Advisor controlli di sicurezza supportati da Trusted Remediator

Controlla l'ID e il nome Nome del documento SSM e risultato previsto Parametri e vincoli preconfigurati supportati

Controlla l'ID e il nome	Nome del documento SSM e risultato previsto	Parametri e vincoli preconfigurati supportati
12Fnkpl8Y5 Exposed Access Keys	AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey La chiave di accesso IAM esposta è disattivata.	Non sono consentiti parametri preconfigurati. Le applicazioni configurate con una chiave di accesso IAM esposta non possono autenticarsi.
Hs4Ma3G127 - API Gateway REST WebSocket e la registrazione dell'esecuzione dell'API devono essere abilitati Controllo corrispondente AWS Security Hub APIGateway: 1.	AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging La registrazione dell'esecuzione è abilitata nella fase API.	LogLevel: Livello di registrazione per abilitare la registrazione dell'esecuzione, `ERROR` - La registrazione è abilitata solo per gli errori. `INFO` - La registrazione è abilitata per tutti gli eventi. Devi concedere ad API Gateway l'autorizzazione a leggere e scrivere i log del tuo account CloudWatch per abilitare il log di esecuzione. Per maggiori dettagli, consulta CloudWatch Configurare la registrazione per REST APIs in API Gateway.
Hs4Ma3G129 - Le fasi API REST API Gateway dovrebbero avere la traccia abilitata AWS X-Ray Controllo corrispondente AWS Security Hub APIGateway: 3.	AWSManagedServices-EnableApiGateWayXRayTracing Il tracciamento X-Ray è abilitato nella fase API.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G202 - I dati della cache dell'API REST API Gateway devono essere crittografati a riposo Controllo APIGatewaycorrispondente AWS Security Hub: 5.	AWSManagedServices-EnableAPIGatewayCacheEncryption Abilita la crittografia a riposo per i dati della cache dell'API REST di API Gateway se la fase API REST di API Gateway ha la cache abilitata.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G177 - AWS Security Hub Controllo corrispondente: i gruppi di scalabilità automatica associati a un sistema di bilanciamento del carico devono utilizzare i controlli dello stato del bilanciamento del carico .1 AutoScaling	AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck I controlli dello stato di Elastic Load Balancing sono abilitati per il gruppo Auto Scaling.	HealthCheckGracePeriod: la quantità di tempo, in secondi, che Auto Scaling attende prima di verificare lo stato di integrità di un'istanza Amazon Elastic Compute Cloud entrata in servizio. L'attivazione dei controlli di integrità di Elastic Load Balancing potrebbe comportare la sostituzione di un'istanza in esecuzione se uno dei sistemi di bilanciamento del carico Elastic Load Balancing collegati al gruppo Auto Scaling la segnala come non integra. Per ulteriori informazioni, consulta Collegare un sistema di bilanciamento del carico Elastic Load Balancing al gruppo Auto Scaling
Hs4Ma3G245: gli AWS CloudFormation stack devono essere integrati con Amazon Simple Notification Service Controllo corrispondente AWS Security Hub : 1. CloudFormation	AWSManagedServices-EnableCFNStackNotification Associa uno CloudFormation stack a un argomento di Amazon SNS per la notifica.	NotificaARNs: gli argomenti ARNs di Amazon SNS da associare a stack selezionati CloudFormation . Per abilitare la riparazione automatica, è necessario fornire il parametro `NotificationARNs` preconfigurato.
Hs4Ma3G210: le distribuzioni devono avere la registrazione abilitata CloudFront Controllo corrispondente AWS Security Hub : CloudFront2.	AWSManagedServices-EnableCloudFrontDistributionLogging La registrazione è abilitata per le CloudFront distribuzioni Amazon.	BucketName: il nome del bucket Amazon S3 in cui desideri archiviare i log di accesso. S3KeyPrefix: il prefisso per la posizione nel bucket S3 per i log di distribuzione di Amazon. CloudFront IncludeCookies: Indica se includere i cookie nei log di accesso. Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati: BucketName S3KeyPrefix IncludeCookies Per informazioni su questi vincoli di correzione, vedi Come posso attivare la registrazione per la mia distribuzione? CloudFront
Hs4Ma3G109: la convalida del file di registro deve essere abilitata CloudTrail Controllo corrispondente AWS Security Hub : CloudTrail.4	AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation Abilita la convalida del registro delle CloudTrail tracce.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G108: i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch Controllo corrispondente AWS Security Hub CloudTrail: 5.	AWSManagedServices-IntegrateCloudTrailWithCloudWatch AWS CloudTrail è integrato con CloudWatch Logs.	CloudWatchLogsLogGroupName: nome del gruppo di CloudWatch log Logs a cui vengono CloudTrail consegnati i log. Devi utilizzare un gruppo di log esistente nel tuo account. CloudWatchLogsRoleName: nome del ruolo IAM che l'endpoint CloudWatch Logs deve assumere per scrivere nel gruppo di log di un utente. Devi utilizzare un ruolo esistente nel tuo account. Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati: CloudWatchLogsLogGroupName CloudWatchLogsRoleName
Hs4Ma3G217: gli ambienti di progetto devono avere una configurazione di registrazione CodeBuild AWS Controllo corrispondente AWS Security Hub CodeBuild: 4.	AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig Abilita la registrazione del progetto. CodeBuild	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G306 - I cluster Neptune DB devono avere la protezione da eliminazione abilitata AWS Security Hub Controllo corrispondente: DocumentDB.3	AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot Rimuove l'accesso pubblico dallo snapshot manuale del cluster di Amazon DocumentDB.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G308 - I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata AWS Security Hub Controllo corrispondente: DocumentDB.5	AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection Abilita la protezione da eliminazione per il cluster Amazon DocumentDB.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G323 - Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata AWS Security Hub Controllo corrispondente: DynamoDB.6	AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection Abilita la protezione dall'eliminazione per le tabelle DynamoDB non AMS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
EPS02jt06w - Istantanee pubbliche di Amazon EBS	AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot L'accesso pubblico per lo snapshot di Amazon EBS è disabilitato.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G118 - I gruppi di sicurezza predefiniti VPC non devono consentire il traffico in entrata o in uscita Controllo corrispondente AWS Security Hub : 2. EC2	AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG Tutte le regole di ingresso e uscita nel gruppo di sicurezza predefinito vengono rimosse.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G117 - I volumi EBS collegati devono essere crittografati a riposo Controllo corrispondente AWS Security Hub EC2: .3	AWSManagedServices-EncryptInstanceVolume Il volume Amazon EBS collegato all'istanza è crittografato.	KMSKeyId: ID AWS KMS chiave o ARN per crittografare il volume. DeleteStaleNonEncryptedSnapshotBackups: Un flag che decide se eliminare il backup istantaneo dei vecchi volumi non crittografati. L'istanza viene riavviata come parte della riparazione e il rollback è possibile se `DeleteStaleNonEncryptedSnapshotBackups` è impostato su, il che facilita il ripristino. `false`
Hs4Ma3G120 - Le istanze interrotte EC2 devono essere rimosse dopo un periodo di tempo specificato Controllo corrispondente AWS Security Hub EC2: 4.	AWSManagedServices-TerminateInstance(documento SSM predefinito per la modalità di esecuzione automatica e manuale) EC2 Le istanze Amazon interrotte per 30 giorni vengono terminate.	Crea AMIBefore terminazione:. Per creare l'AMI dell'istanza come backup prima di terminare l' EC2 istanza, scegli`true`. Per non creare un backup prima della chiusura, scegli. `false` Il valore predefinito è `true`. Nessun vincolo
Hs4Ma3G120 - Le EC2 istanze arrestate devono essere rimosse dopo un periodo di tempo specificato Controllo corrispondente AWS Security Hub EC2: 4.	AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime - EC2 Le istanze Amazon interrotte per il numero di giorni definito in Security Hub (il valore predefinito è 30) vengono terminate.	Crea AMIBefore terminazione: per creare l'AMI dell'istanza come backup prima di terminare l' EC2 istanza, scegli. `true` Per non creare un backup prima della chiusura, scegli. `false` Il valore predefinito è `true`. Nessun vincolo
Hs4Ma3G121 - La crittografia predefinita di EBS deve essere abilitata Controllo corrispondente AWS Security Hub : EC27.	AWSManagedServices-EncryptEBSByDefault La crittografia Amazon EBS per impostazione predefinita è abilitata per lo specifico Regione AWS	Non sono consentiti parametri preconfigurati. La crittografia predefinita è un'impostazione specifica della regione. Se lo abiliti per una regione, non puoi disabilitarlo per singoli volumi o istantanee in quella regione.
Hs4Ma3G124 - Le istanze EC2 Amazon devono utilizzare Instance Metadata Service versione 2 () IMDSv2 Controllo EC2corrispondente AWS Security Hub : 8.	AWSManagedServices-TrustedRemediatorAbilita istanza EC2 IMDSv2 EC2 Le istanze Amazon utilizzano Instance Metadata Service versione 2 ()IMDSv2.	IMDSv1MetricCheckPeriod: Il numero di giorni (`42-455`) in cui analizzare i parametri di IMDSv1 utilizzo. CloudWatch Se l' EC2 istanza Amazon è stata creata entro il periodo di tempo specificato, l'analisi inizia dalla data di creazione dell'istanza. HttpPutResponseHopLimit: Il numero massimo di hop di rete consentiti per il token di metadati dell'istanza. Questo valore può essere configurato tra `1` e `2` hops. Un limite hop `1` limita l'accesso tramite token ai processi in esecuzione direttamente sull'istanza, mentre un limite hop `2` consente l'accesso dai contenitori in esecuzione sull'istanza. Nessun vincolo
Hs4Ma3G207: le EC2 sottoreti non devono assegnare automaticamente indirizzi IP pubblici Controllo corrispondente AWS Security Hub : EC2.15	AWSManagedServices-UpdateAutoAssignPublicIpv4 indirizzi Le sottoreti VPC sono configurate per non assegnare automaticamente indirizzi IP pubblici.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G209 - Gli elenchi di controllo degli accessi alla rete non utilizzati vengono rimossi Controllo corrispondente AWS Security Hub : EC2.16	AWSManagedServices-DeleteUnusedNACL Eliminare l'ACL di rete non utilizzato	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G215 - I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi Controllo corrispondente AWS Security Hub : EC2.22	AWSManagedServices-DeleteSecurityGroups Eliminare i gruppi di sicurezza non utilizzati.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G247 - Amazon Transit EC2 Gateway non dovrebbe accettare automaticamente richieste di allegati VPC Controllo corrispondente AWS Security Hub EC2: .23	AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach- Disattiva l'accettazione automatica delle richieste di allegati VPC per l'Amazon Transit EC2 Gateway non AMS specificato.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G235 - I repository privati ECR dovrebbero avere l'immutabilità dei tag configurata Controllo corrispondente AWS Security Hub : ECR.2	AWSManagedServices-TrustedRemediatorSetImageTagImmutability Imposta le impostazioni di mutabilità del tag di immagine su IMMUTABLE per il repository specificato.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G216 - I repository ECR devono avere almeno una politica del ciclo di vita configurata Controllo corrispondente AWS Security Hub : ECR.3	AWSManagedServices-PutECRRepositoryLifecyclePolicy L'archivio ECR ha una politica del ciclo di vita configurata.	LifecyclePolicyText: Il testo della politica del repository JSON da applicare al repository. Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati: LifecyclePolicyText
Hs4Ma3G325 - I cluster EKS devono avere la registrazione di controllo abilitata Controllo corrispondente AWS Security Hub : EKS.8	AWSManagedServices-TrustedRemediatorEnableEKSAuditLog Il registro di controllo è abilitato per il cluster EKS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G183 - Il bilanciamento del carico delle applicazioni deve essere configurato per eliminare le intestazioni HTTP Controllo corrispondente AWS Security Hub : ELB.4	AWSConfigRemediation-DropInvalidHeadersForALB Application Load Balancer è configurato per campi di intestazione non validi.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G184 - La registrazione di Application Load Balancer e Classic Load Balancers deve essere abilitata Controllo corrispondente AWS Security Hub : ELB.5	AWSManagedServices-EnableELBLogging (documento SSM predefinito per la modalità di esecuzione automatica e manuale) La registrazione di Application Load Balancer e Classic Load Balancer è abilitata.	BucketName: il nome del bucket (non l'ARN). Assicurati che la policy del bucket sia configurata correttamente per la registrazione. S3KeyPrefix: il prefisso per la posizione nel bucket Amazon S3 per i log Elastic Load Balancing. Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati: BucketName S3KeyPrefix Il bucket Amazon S3 deve disporre di una policy relativa ai bucket che conceda a Elastic Load Balancing l'autorizzazione a scrivere i log di accesso al bucket.
Hs4Ma3G184 - La registrazione di Application Load Balancers e Classic Load Balancers deve essere abilitata Controllo corrispondente AWS Security Hub : ELB.5	AWSManagedServices-EnableELBLoggingV2 La registrazione di Application Load Balancer e Classic Load Balancer è abilitata.	TargetBucketTagKey: il nome del tag (con distinzione tra maiuscole e minuscole) utilizzato per identificare il bucket Amazon S3 di destinazione. Usalo insieme `TargetBucketTagValue` per etichettare il bucket che fungerà da bucket di destinazione per la registrazione degli accessi. TargetBucketTagValue: il valore del tag (con distinzione tra maiuscole e minuscole) utilizzato per identificare il bucket Amazon S3 di destinazione. Usalo insieme `TargetBucketTagKey` per etichettare il bucket che fungerà da bucket di destinazione per la registrazione degli accessi. S3BucketPrefix: il prefisso (gerarchia logica) per il bucket Amazon S3. Il prefisso specificato non deve includere la stringa `AWSLogs`. Per ulteriori informazioni, consulta Organizzazione degli oggetti utilizzando i prefissi. Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati: TargetBucketTagKey TargetBucketTagValue S3BucketPrefix Il bucket Amazon S3 deve disporre di una policy relativa ai bucket che conceda a Elastic Load Balancing l'autorizzazione a scrivere i log di accesso al bucket.
Hs4Ma3G326 - L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata AWS Security Hub Controllo corrispondente: EMR.2	AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess Le impostazioni di accesso pubblico a blocchi di Amazon EMR sono attivate per l'account.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G135: le chiavi non devono essere cancellate involontariamente AWS KMS Controllo corrispondente AWS Security Hub : KMS.3	AWSManagedServices-CancelKeyDeletion AWS KMS l'eliminazione della chiave viene annullata.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G299 - Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche AWS Security Hub Controllo corrispondente: Neptune.4	AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection Abilita la protezione da eliminazione per il cluster Amazon Neptune.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G319 - I firewall Network Firewall devono avere la protezione da eliminazione abilitata Controllo corrispondente AWS Security Hub NetworkFirewall: 9.	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection- Abilita la protezione da eliminazione per AWS Network Firewall.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G223: i domini devono crittografare i dati inviati tra i nodi OpenSearch Controllo corrispondente AWS Security Hub : OpenSearch.3	AWSManagedServices-EnableOpenSearchNodeToNodeEncryption La crittografia da nodo a nodo è abilitata per il dominio.	Non sono consentiti parametri preconfigurati. Dopo aver abilitato la node-to-node crittografia, non è possibile disabilitare l'impostazione. Invece, scatta un'istantanea manuale del dominio crittografato, crea un altro dominio, migra i dati e quindi elimina il vecchio dominio.
Hs4Ma3G222: la registrazione degli errori del OpenSearch dominio nei registri deve essere abilitata CloudWatch Controllo corrispondente AWS Security Hub : Opensearch.4	AWSManagedServices-EnableOpenSearchLogging La registrazione degli errori è abilitata per il dominio. OpenSearch	CloudWatchLogGroupArn: L'ARN di un gruppo di log di Amazon CloudWatch Logs. Per abilitare la riparazione automatica, è necessario fornire il seguente parametro preconfigurato:. CloudWatchLogGroupArn La politica CloudWatch delle risorse di Amazon deve essere configurata con le autorizzazioni. Per ulteriori informazioni, consulta la sezione Abilitazione dei log di controllo nella Amazon OpenSearch Service User Guide.
Hs4Ma3G221: i domini devono avere la registrazione di controllo OpenSearch abilitata Controllo corrispondente AWS Security Hub : Opensearch.5	AWSManagedServices-EnableOpenSearchLogging OpenSearch i domini sono configurati con la registrazione di controllo abilitata.	CloudWatchLogGroupArn: L'ARN del gruppo CloudWatch Logs in cui pubblicare i log. Per abilitare la riparazione automatica, è necessario fornire il seguente parametro preconfigurato: CloudWatchLogGroupArn La politica CloudWatch delle risorse di Amazon deve essere configurata con le autorizzazioni. Per ulteriori informazioni, consulta la sezione Abilitazione dei log di controllo nella Amazon OpenSearch Service User Guide.
Hs4Ma3G220 - Le connessioni ai OpenSearch domini devono essere crittografate utilizzando TLS 1.2 Controllo corrispondente AWS Security Hub : Opensearch.8	AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2 La politica TLS è impostata su `Policy-min-TLS-1-2-2019-07` e sono consentite solo le connessioni crittografate tramite HTTPS (TLS).	Non sono consentiti parametri preconfigurati. Le connessioni ai OpenSearch domini sono necessarie per utilizzare TLS 1.2. La crittografia dei dati in transito può influire sulle prestazioni. Testa le tue applicazioni con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto del TLS.
Hs4Ma3G194 - Lo snapshot di Amazon RDS deve essere privato Controllo corrispondente AWS Security Hub : RDS.1	AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2 L'accesso pubblico per lo snapshot di Amazon RDS è disabilitato.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G192 - Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible AWS Controllo corrispondente AWS Security Hub : RDS.2	AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance Disabilita l'accesso pubblico sull'istanza DB RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G189 - Il monitoraggio avanzato è configurato per le istanze DB di Amazon RDS Controllo corrispondente AWS Security Hub : RDS.6	AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring Abilita il monitoraggio avanzato per le istanze DB di Amazon RDS	MonitoringInterval: L'intervallo, in secondi, tra i punti in cui vengono raccolti i parametri di Enhanced Monitoring per l'istanza DB. Gli intervalli validi sono 0, 1, 5, 10, 15, 30 e 60. Per disabilitare la raccolta dei parametri di monitoraggio avanzato, specifica 0. MonitoringRoleName: il nome del ruolo IAM che consente ad Amazon RDS di inviare parametri di monitoraggio avanzati ad Amazon Logs. CloudWatch Se un ruolo non è specificato, `rds-monitoring-role` viene utilizzato o creato il ruolo predefinito, se non esiste. Se il monitoraggio avanzato è abilitato prima dell'esecuzione dell'automazione, le impostazioni potrebbero essere sovrascritte da questa automazione con i MonitoringRoleName valori MonitoringInterval e configurati nei parametri preconfigurati.
Hs4Ma3G190 - I cluster Amazon RDS devono avere la protezione da eliminazione abilitata Controllo corrispondente AWS Security Hub : RDS.7	AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection La protezione da eliminazione è abilitata per i cluster Amazon RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G198 - Le istanze database di Amazon RDS devono avere la protezione da eliminazione abilitata Controllo corrispondente AWS Security Hub : RDS.8	AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection La protezione da eliminazione è abilitata per le istanze Amazon RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G199 - Le istanze DB RDS devono pubblicare i log in Logs CloudWatch Controllo corrispondente AWS Security Hub : RDS.9	AWSManagedServices-TrustedRemediatorEnableRDSLogExports Le esportazioni dei log RDS sono abilitate per l'istanza DB RDS o il cluster RDS DB.	Non sono consentiti parametri preconfigurati. È richiesto il ruolo AWSServiceRoleForRDS collegato al servizio.
Hs4Ma3G160 - L'autenticazione IAM deve essere configurata per le istanze RDS Controllo corrispondente AWS Security Hub : RDS.10	AWSManagedServices-UpdateRDSIAMDatabaseAuthentication AWS Identity and Access Management l'autenticazione è abilitata per l'istanza RDS.	ApplyImmediately: indica se le modifiche in questa richiesta e le eventuali modifiche in sospeso vengono applicate in modo asincrono il prima possibile. Per applicare immediatamente la modifica, scegli. `true` Per pianificare la modifica per la prossima finestra di manutenzione, scegliete. `false` Nessun vincolo
Hs4Ma3G161 - L'autenticazione IAM deve essere configurata per i cluster RDS Controllo corrispondente AWS Security Hub : RDS.12	AWSManagedServices-UpdateRDSIAMDatabaseAuthentication L'autenticazione IAM è abilitata per il cluster RDS.	ApplyImmediately: Indica se le modifiche in questa richiesta e le eventuali modifiche in sospeso vengono applicate in modo asincrono il prima possibile. Per applicare immediatamente la modifica, scegli. `true` Per pianificare la modifica per la prossima finestra di manutenzione, scegliete. `false` Nessun vincolo
Hs4Ma3G162 - Gli aggiornamenti automatici delle versioni minori di RDS devono essere abilitati Controllo corrispondente AWS Security Hub : RDS.13	AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade La configurazione automatica di aggiornamento della versione secondaria per Amazon RDS è abilitata.	Non sono consentiti parametri preconfigurati. L'istanza Amazon RDS deve essere nello `available` stato in cui si verifica questa correzione.
Hs4Ma3G163 - I cluster DB RDS devono essere configurati per copiare i tag nelle istantanee Controllo corrispondente AWS Security Hub : RDS.16	AWSManagedServices-UpdateRDSCopyTagsToSnapshots `CopyTagtosnapshot`l'impostazione per i cluster Amazon RDS è abilitata.	Non sono consentiti parametri preconfigurati. Le istanze di Amazon RDS devono essere disponibili affinché questa correzione avvenga.
Hs4Ma3G164 - Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee Controllo corrispondente AWS Security Hub : RDS.17	AWSManagedServices-UpdateRDSCopyTagsToSnapshots `CopyTagsToSnapshot`l'impostazione per Amazon RDS è abilitata.	Non sono consentiti parametri preconfigurati. Le istanze di Amazon RDS devono essere disponibili affinché questa correzione avvenga.
RSS93 HQwa1 Snapshot pubblici di Amazon RDS	AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2 L'accesso pubblico per lo snapshot di Amazon RDS è disabilitato.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G103 - I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico AWS Security Hub Controllo corrispondente: Redshift.1	AWSManagedServices-DisablePublicAccessOnRedshiftCluster L'accesso pubblico sul cluster Amazon Redshift è disabilitato.	Non sono consentiti parametri preconfigurati. La disabilitazione dell'accesso pubblico blocca tutti i client provenienti da Internet. Inoltre, il cluster Amazon Redshift rimane in stato di modifica per alcuni minuti, mentre la riparazione disabilita l'accesso pubblico al cluster.
Hs4Ma3G106 - I cluster Amazon Redshift devono avere la registrazione di controllo abilitata AWS Security Hub Controllo corrispondente: Redshift.4	AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging La registrazione di audit è abilitata sul cluster Amazon Redshift durante la finestra di manutenzione.	Non sono consentiti parametri preconfigurati. Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati. BucketName: Il secchio deve essere nello stesso. Regione AWS Il cluster deve disporre dei permessi di lettura per bucket e put object. Se la registrazione del cluster Redshift è abilitata prima dell'esecuzione dell'automazione, le impostazioni di registrazione potrebbero essere sovrascritte da questa automazione con `S3KeyPrefix` i valori `BucketName` e configurati nei parametri preconfigurati.
Hs4Ma3G105 - Amazon Redshift dovrebbe avere gli aggiornamenti automatici alle versioni principali abilitati AWS Security Hub Controllo corrispondente: Redshift.6	AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade- Gli aggiornamenti delle versioni principali vengono applicati automaticamente al cluster durante la finestra di manutenzione. Non ci sono tempi di inattività immediati per il cluster Amazon Redshift, ma il cluster Amazon Redshift potrebbe subire dei tempi di inattività durante la finestra di manutenzione se passa a una versione principale.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G104 - I cluster Amazon Redshift devono utilizzare un routing VPC avanzato AWS Security Hub Controllo corrispondente: Redshift.7	AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting Il routing VPC avanzato è abilitato per i cluster Amazon Redshift.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G173 - L'impostazione S3 Block Public Access deve essere abilitata a livello di bucket Controllo corrispondente AWS Security Hub : S3.8	AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess I blocchi di accesso pubblico a livello di bucket vengono applicati per il bucket Amazon S3.	Non sono consentiti parametri preconfigurati. Questa correzione potrebbe influire sulla disponibilità degli oggetti S3. Per informazioni su come Amazon S3 valuta l'accesso, consulta Bloccare l'accesso pubblico allo storage Amazon S3.
Hs4Ma3G230 - La registrazione degli accessi al server bucket S3 deve essere abilitata Controllo corrispondente AWS Security Hub : S3.9	AWSManagedServices-EnableBucketAccessLogging(documento SSM predefinito per la modalità di esecuzione automatica e manuale) La registrazione degli accessi ai server Amazon S3 è abilitata.	TargetBucket: il nome del bucket S3 per archiviare i log di accesso al server. TargetObjectKeyFormat: formato chiave Amazon S3 per oggetti di log (i valori fanno distinzione tra maiuscole e minuscole). Per utilizzare il formato semplice per le chiavi S3 per gli oggetti di registro, scegli. `SimplePrefix` Per utilizzare la chiave S3 partizionata per gli oggetti di registro e utilizzarla EventTime per il prefisso partizionato, scegli. `PartitionedPrefixEventTime` Per utilizzare la chiave S3 partizionata per gli oggetti di registro e utilizzarla per il prefisso partizionato, scegliete. DeliveryTime `PartitionedPrefixDeliveryTime` I valori validi sono `SimplePrefix`, `PartitionedPrefixEventTime` e `PartitionedPrefixDeliveryTime`. Per abilitare la riparazione automatica, è necessario fornire il seguente parametro preconfigurato:. TargetBucket Il bucket di destinazione deve trovarsi nello stesso Regione AWS e Account AWS nel bucket di origine, con le autorizzazioni corrette per la consegna dei log. Per ulteriori informazioni, consulta Attivazione della registrazione degli accessi al server Amazon S3.
Hs4Ma3G230 — La registrazione degli accessi al server bucket S3 deve essere abilitata Controllo corrispondente AWS Security Hub : S3.9	AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 - La registrazione dei bucket di Amazon S3 è abilitata.	TargetBucketTagKey: Il nome del tag (con distinzione tra maiuscole e minuscole) per identificare il bucket di destinazione. Utilizzatelo TargetBucketTagValueper etichettare il bucket da utilizzare come bucket di destinazione per la registrazione degli accessi. TargetBucketTagValue: Il valore del tag (con distinzione tra maiuscole e minuscole) per identificare il bucket di destinazione, usalo e TargetBucketTagKeyper etichettare il bucket da utilizzare come bucket di destinazione per la registrazione degli accessi. TargetObjectKeyFormat: Formato chiave Amazon S3 per oggetti di log (i valori fanno distinzione tra maiuscole e minuscole): per utilizzare il formato semplice per le chiavi S3 per gli oggetti di log, scegli. SimplePrefix Per utilizzare la chiave S3 partizionata per gli oggetti di log e EventTime utilizzarla per il prefisso partizionato, scegli. PartitionedPrefixEventTime Per utilizzare la chiave S3 partizionata per gli oggetti di registro e utilizzarla per il prefisso partizionato, scegliete. DeliveryTime PartitionedPrefixDeliveryTime Il valore predefinito è PartitionedPrefixEventTime. Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri: TargetBucketTagKeye TargetBucketTagValue. Il bucket di destinazione deve trovarsi nello stesso Regione AWS e Account AWS nel bucket di origine, con le autorizzazioni corrette per la consegna dei log. Per ulteriori informazioni, consulta Attivazione della registrazione degli accessi al server Amazon S3.
Pfx0 RwqBli Autorizzazioni Bucket Amazon S3	AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess Blocco dell'accesso pubblico	Non sono consentiti parametri preconfigurati. Questo controllo è costituito da più criteri di avviso. Questa automazione risolve i problemi di accesso pubblico. La risoluzione di altri problemi di configurazione segnalati da Trusted Advisor non è supportata. Questa riparazione supporta la riparazione dei bucket S3 Servizio AWS creati (ad esempio, cf-templates-000000000000).
Hs4Ma3G272 - Gli utenti non devono avere accesso root alle istanze dei notebook SageMaker Controllo corrispondente AWS Security Hub SageMaker: 3.	AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess L'accesso root per gli utenti è disabilitato per l'istanza del SageMaker notebook.	Non sono consentiti parametri preconfigurati. Questa riparazione causa un'interruzione se l'istanza del SageMaker notebook si trova nello stato in cui si trova. InService
Hs4Ma3G179 - Gli argomenti SNS devono essere crittografati a riposo utilizzando AWS KMS Controllo corrispondente AWS Security Hub : SNS.1	AWSManagedServices-EnableSNSEncryptionAtRest L'argomento SNS è configurato con la crittografia lato server.	KmsKeyId: l'ID di una chiave master del cliente AWS gestita (CMK) per Amazon SNS o di una CMK personalizzata da utilizzare per la crittografia lato server (SSE). `alias/aws/sns`L'impostazione predefinita è impostata su. Se viene utilizzata una AWS KMS chiave personalizzata, deve essere configurata con le autorizzazioni corrette. Per ulteriori informazioni, consulta Attivazione della crittografia lato server (SSE) per un argomento Amazon SNS
Hs4Ma3G158 - I documenti SSM non devono essere pubblici Controllo corrispondente AWS Security Hub : SSM.4	AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing- Disabilita la condivisione pubblica del documento SSM.	Non sono consentiti parametri preconfigurati. Nessun vincolo
Hs4Ma3G136 - Le code di Amazon SQS devono essere crittografate quando sono inattive Controllo corrispondente AWS Security Hub : SQS.1	AWSManagedServices-EnableSQSEncryptionAtRest I messaggi in Amazon SQS sono crittografati.	SqsManagedSseEnabled: impostato per `true` abilitare la crittografia delle code lato server utilizzando chiavi di crittografia di proprietà di Amazon SQS, impostato per `false` abilitare la crittografia delle code lato server utilizzando una chiave. AWS KMS KMSKeyId: l'ID o l'alias di una chiave master del cliente AWS gestita (CMK) per Amazon SQS o di una CMK personalizzata da utilizzare per la crittografia lato server per la coda. Se non fornito, viene utilizzato. alias/aws/sqs KmsDataKeyReusePeriodSeconds: il periodo di tempo, in secondi, durante il quale Amazon SQS può riutilizzare una chiave dati per crittografare o decrittografare i messaggi prima di effettuare una nuova chiamata. AWS KMS Numero intero che rappresenta secondi, tra 60 (1 minuto) e 86.400 (24 ore). Questa impostazione viene ignorata se è impostata su. `SqsManagedSseEnabled` `true` ReceiveMessage Le richieste anonime SendMessage e quelle inviate alla coda crittografata vengono rifiutate. Tutte le richieste alle code con la funzione SSE abilitata devono utilizzare HTTPS e Signature Version 4.

12Fnkpl8Y5

Exposed Access Keys

AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey

La chiave di accesso IAM esposta è disattivata.

Non sono consentiti parametri preconfigurati.

Le applicazioni configurate con una chiave di accesso IAM esposta non possono autenticarsi.

Hs4Ma3G127 - API Gateway REST WebSocket e la registrazione dell'esecuzione dell'API devono essere abilitati

Controllo corrispondente AWS Security Hub APIGateway: 1.

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

La registrazione dell'esecuzione è abilitata nella fase API.

LogLevel: Livello di registrazione per abilitare la registrazione dell'esecuzione, ERROR - La registrazione è abilitata solo per gli errori. INFO - La registrazione è abilitata per tutti gli eventi.

Devi concedere ad API Gateway l'autorizzazione a leggere e scrivere i log del tuo account CloudWatch per abilitare il log di esecuzione. Per maggiori dettagli, consulta CloudWatch Configurare la registrazione per REST APIs in API Gateway.

Hs4Ma3G129 - Le fasi API REST API Gateway dovrebbero avere la traccia abilitata AWS X-Ray

Controllo corrispondente AWS Security Hub APIGateway: 3.

AWSManagedServices-EnableApiGateWayXRayTracing

Il tracciamento X-Ray è abilitato nella fase API.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G202 - I dati della cache dell'API REST API Gateway devono essere crittografati a riposo

Controllo APIGatewaycorrispondente AWS Security Hub: 5.

AWSManagedServices-EnableAPIGatewayCacheEncryption

Abilita la crittografia a riposo per i dati della cache dell'API REST di API Gateway se la fase API REST di API Gateway ha la cache abilitata.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G177 -

AWS Security Hub Controllo corrispondente: i gruppi di scalabilità automatica associati a un sistema di bilanciamento del carico devono utilizzare i controlli dello stato del bilanciamento del carico .1 AutoScaling

AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck

I controlli dello stato di Elastic Load Balancing sono abilitati per il gruppo Auto Scaling.

HealthCheckGracePeriod: la quantità di tempo, in secondi, che Auto Scaling attende prima di verificare lo stato di integrità di un'istanza Amazon Elastic Compute Cloud entrata in servizio.

L'attivazione dei controlli di integrità di Elastic Load Balancing potrebbe comportare la sostituzione di un'istanza in esecuzione se uno dei sistemi di bilanciamento del carico Elastic Load Balancing collegati al gruppo Auto Scaling la segnala come non integra. Per ulteriori informazioni, consulta Collegare un sistema di bilanciamento del carico Elastic Load Balancing al gruppo Auto Scaling

Hs4Ma3G245: gli AWS CloudFormation stack devono essere integrati con Amazon Simple Notification Service

Controllo corrispondente AWS Security Hub : 1. CloudFormation

AWSManagedServices-EnableCFNStackNotification

Associa uno CloudFormation stack a un argomento di Amazon SNS per la notifica.

NotificaARNs: gli argomenti ARNs di Amazon SNS da associare a stack selezionati CloudFormation .

Per abilitare la riparazione automatica, è necessario fornire il parametro NotificationARNs preconfigurato.

Hs4Ma3G210: le distribuzioni devono avere la registrazione abilitata CloudFront

Controllo corrispondente AWS Security Hub : CloudFront2.

AWSManagedServices-EnableCloudFrontDistributionLogging

La registrazione è abilitata per le CloudFront distribuzioni Amazon.

BucketName: il nome del bucket Amazon S3 in cui desideri archiviare i log di accesso.
S3KeyPrefix: il prefisso per la posizione nel bucket S3 per i log di distribuzione di Amazon. CloudFront
IncludeCookies: Indica se includere i cookie nei log di accesso.

Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati:

BucketName
S3KeyPrefix
IncludeCookies

Per informazioni su questi vincoli di correzione, vedi Come posso attivare la registrazione per la mia distribuzione? CloudFront

Hs4Ma3G109: la convalida del file di registro deve essere abilitata CloudTrail

Controllo corrispondente AWS Security Hub : CloudTrail.4

AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation

Abilita la convalida del registro delle CloudTrail tracce.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G108: i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch

Controllo corrispondente AWS Security Hub CloudTrail: 5.

AWSManagedServices-IntegrateCloudTrailWithCloudWatch

AWS CloudTrail è integrato con CloudWatch Logs.

CloudWatchLogsLogGroupName: nome del gruppo di CloudWatch log Logs a cui vengono CloudTrail consegnati i log. Devi utilizzare un gruppo di log esistente nel tuo account.
CloudWatchLogsRoleName: nome del ruolo IAM che l'endpoint CloudWatch Logs deve assumere per scrivere nel gruppo di log di un utente. Devi utilizzare un ruolo esistente nel tuo account.

Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati:

CloudWatchLogsLogGroupName
CloudWatchLogsRoleName

Hs4Ma3G217: gli ambienti di progetto devono avere una configurazione di registrazione CodeBuild AWS

Controllo corrispondente AWS Security Hub CodeBuild: 4.

AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig

Abilita la registrazione del progetto. CodeBuild

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G306 - I cluster Neptune DB devono avere la protezione da eliminazione abilitata

AWS Security Hub Controllo corrispondente: DocumentDB.3

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot

Rimuove l'accesso pubblico dallo snapshot manuale del cluster di Amazon DocumentDB.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G308 - I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

AWS Security Hub Controllo corrispondente: DocumentDB.5

AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection

Abilita la protezione da eliminazione per il cluster Amazon DocumentDB.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G323 - Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata

AWS Security Hub Controllo corrispondente: DynamoDB.6

AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection

Abilita la protezione dall'eliminazione per le tabelle DynamoDB non AMS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

EPS02jt06w - Istantanee pubbliche di Amazon EBS

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot

L'accesso pubblico per lo snapshot di Amazon EBS è disabilitato.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G118 - I gruppi di sicurezza predefiniti VPC non devono consentire il traffico in entrata o in uscita

Controllo corrispondente AWS Security Hub : 2. EC2

AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG

Tutte le regole di ingresso e uscita nel gruppo di sicurezza predefinito vengono rimosse.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G117 - I volumi EBS collegati devono essere crittografati a riposo

Controllo corrispondente AWS Security Hub EC2: .3

AWSManagedServices-EncryptInstanceVolume

Il volume Amazon EBS collegato all'istanza è crittografato.

KMSKeyId: ID AWS KMS chiave o ARN per crittografare il volume.
DeleteStaleNonEncryptedSnapshotBackups: Un flag che decide se eliminare il backup istantaneo dei vecchi volumi non crittografati.

L'istanza viene riavviata come parte della riparazione e il rollback è possibile se DeleteStaleNonEncryptedSnapshotBackups è impostato su, il che facilita il ripristino. false

Hs4Ma3G120 - Le istanze interrotte EC2 devono essere rimosse dopo un periodo di tempo specificato

Controllo corrispondente AWS Security Hub EC2: 4.

AWSManagedServices-TerminateInstance(documento SSM predefinito per la modalità di esecuzione automatica e manuale)

EC2 Le istanze Amazon interrotte per 30 giorni vengono terminate.

Crea AMIBefore terminazione:. Per creare l'AMI dell'istanza come backup prima di terminare l' EC2 istanza, sceglitrue. Per non creare un backup prima della chiusura, scegli. false Il valore predefinito è true.

Nessun vincolo

Hs4Ma3G120 - Le EC2 istanze arrestate devono essere rimosse dopo un periodo di tempo specificato

Controllo corrispondente AWS Security Hub EC2: 4.

AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime - EC2 Le istanze Amazon interrotte per il numero di giorni definito in Security Hub (il valore predefinito è 30) vengono terminate.

Crea AMIBefore terminazione: per creare l'AMI dell'istanza come backup prima di terminare l' EC2 istanza, scegli. true Per non creare un backup prima della chiusura, scegli. false Il valore predefinito è true.

Nessun vincolo

Hs4Ma3G121 - La crittografia predefinita di EBS deve essere abilitata

Controllo corrispondente AWS Security Hub : EC27.

AWSManagedServices-EncryptEBSByDefault

La crittografia Amazon EBS per impostazione predefinita è abilitata per lo specifico Regione AWS

Non sono consentiti parametri preconfigurati.

La crittografia predefinita è un'impostazione specifica della regione. Se lo abiliti per una regione, non puoi disabilitarlo per singoli volumi o istantanee in quella regione.

Hs4Ma3G124 - Le istanze EC2 Amazon devono utilizzare Instance Metadata Service versione 2 () IMDSv2

Controllo EC2corrispondente AWS Security Hub : 8.

AWSManagedServices-TrustedRemediatorAbilita istanza EC2 IMDSv2

EC2 Le istanze Amazon utilizzano Instance Metadata Service versione 2 ()IMDSv2.

IMDSv1MetricCheckPeriod: Il numero di giorni (42-455) in cui analizzare i parametri di IMDSv1 utilizzo. CloudWatch Se l' EC2 istanza Amazon è stata creata entro il periodo di tempo specificato, l'analisi inizia dalla data di creazione dell'istanza.
HttpPutResponseHopLimit: Il numero massimo di hop di rete consentiti per il token di metadati dell'istanza. Questo valore può essere configurato tra 1 e 2 hops. Un limite hop 1 limita l'accesso tramite token ai processi in esecuzione direttamente sull'istanza, mentre un limite hop 2 consente l'accesso dai contenitori in esecuzione sull'istanza.

Nessun vincolo

Hs4Ma3G207: le EC2 sottoreti non devono assegnare automaticamente indirizzi IP pubblici

Controllo corrispondente AWS Security Hub : EC2.15

AWSManagedServices-UpdateAutoAssignPublicIpv4 indirizzi

Le sottoreti VPC sono configurate per non assegnare automaticamente indirizzi IP pubblici.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G209 - Gli elenchi di controllo degli accessi alla rete non utilizzati vengono rimossi

Controllo corrispondente AWS Security Hub : EC2.16

AWSManagedServices-DeleteUnusedNACL

Eliminare l'ACL di rete non utilizzato

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G215 - I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi

Controllo corrispondente AWS Security Hub : EC2.22

AWSManagedServices-DeleteSecurityGroups

Eliminare i gruppi di sicurezza non utilizzati.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G247 - Amazon Transit EC2 Gateway non dovrebbe accettare automaticamente richieste di allegati VPC

Controllo corrispondente AWS Security Hub EC2: .23

AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach- Disattiva l'accettazione automatica delle richieste di allegati VPC per l'Amazon Transit EC2 Gateway non AMS specificato.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G235 - I repository privati ECR dovrebbero avere l'immutabilità dei tag configurata

Controllo corrispondente AWS Security Hub : ECR.2

AWSManagedServices-TrustedRemediatorSetImageTagImmutability

Imposta le impostazioni di mutabilità del tag di immagine su IMMUTABLE per il repository specificato.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G216 - I repository ECR devono avere almeno una politica del ciclo di vita configurata

Controllo corrispondente AWS Security Hub : ECR.3

AWSManagedServices-PutECRRepositoryLifecyclePolicy

L'archivio ECR ha una politica del ciclo di vita configurata.

LifecyclePolicyText: Il testo della politica del repository JSON da applicare al repository.

Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati:

LifecyclePolicyText

Hs4Ma3G325 - I cluster EKS devono avere la registrazione di controllo abilitata

Controllo corrispondente AWS Security Hub : EKS.8

AWSManagedServices-TrustedRemediatorEnableEKSAuditLog

Il registro di controllo è abilitato per il cluster EKS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G183 - Il bilanciamento del carico delle applicazioni deve essere configurato per eliminare le intestazioni HTTP

Controllo corrispondente AWS Security Hub : ELB.4

AWSConfigRemediation-DropInvalidHeadersForALB

Application Load Balancer è configurato per campi di intestazione non validi.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G184 - La registrazione di Application Load Balancer e Classic Load Balancers deve essere abilitata

Controllo corrispondente AWS Security Hub : ELB.5

AWSManagedServices-EnableELBLogging (documento SSM predefinito per la modalità di esecuzione automatica e manuale)

La registrazione di Application Load Balancer e Classic Load Balancer è abilitata.

BucketName: il nome del bucket (non l'ARN). Assicurati che la policy del bucket sia configurata correttamente per la registrazione.
S3KeyPrefix: il prefisso per la posizione nel bucket Amazon S3 per i log Elastic Load Balancing.

Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati:

BucketName
S3KeyPrefix

Il bucket Amazon S3 deve disporre di una policy relativa ai bucket che conceda a Elastic Load Balancing l'autorizzazione a scrivere i log di accesso al bucket.

Hs4Ma3G184 - La registrazione di Application Load Balancers e Classic Load Balancers deve essere abilitata

Controllo corrispondente AWS Security Hub : ELB.5

AWSManagedServices-EnableELBLoggingV2

La registrazione di Application Load Balancer e Classic Load Balancer è abilitata.

TargetBucketTagKey: il nome del tag (con distinzione tra maiuscole e minuscole) utilizzato per identificare il bucket Amazon S3 di destinazione. Usalo insieme TargetBucketTagValue per etichettare il bucket che fungerà da bucket di destinazione per la registrazione degli accessi.
TargetBucketTagValue: il valore del tag (con distinzione tra maiuscole e minuscole) utilizzato per identificare il bucket Amazon S3 di destinazione. Usalo insieme TargetBucketTagKey per etichettare il bucket che fungerà da bucket di destinazione per la registrazione degli accessi.
S3BucketPrefix: il prefisso (gerarchia logica) per il bucket Amazon S3. Il prefisso specificato non deve includere la stringa AWSLogs. Per ulteriori informazioni, consulta Organizzazione degli oggetti utilizzando i prefissi.

Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati:
- TargetBucketTagKey
- TargetBucketTagValue
- S3BucketPrefix
Il bucket Amazon S3 deve disporre di una policy relativa ai bucket che conceda a Elastic Load Balancing l'autorizzazione a scrivere i log di accesso al bucket.

Hs4Ma3G326 - L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata

AWS Security Hub Controllo corrispondente: EMR.2

AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess

Le impostazioni di accesso pubblico a blocchi di Amazon EMR sono attivate per l'account.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G135: le chiavi non devono essere cancellate involontariamente AWS KMS

Controllo corrispondente AWS Security Hub : KMS.3

AWSManagedServices-CancelKeyDeletion

AWS KMS l'eliminazione della chiave viene annullata.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G299 - Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

AWS Security Hub Controllo corrispondente: Neptune.4

AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection

Abilita la protezione da eliminazione per il cluster Amazon Neptune.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G319 - I firewall Network Firewall devono avere la protezione da eliminazione abilitata

Controllo corrispondente AWS Security Hub NetworkFirewall: 9.

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection- Abilita la protezione da eliminazione per AWS Network Firewall.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G223: i domini devono crittografare i dati inviati tra i nodi OpenSearch

Controllo corrispondente AWS Security Hub : OpenSearch.3

AWSManagedServices-EnableOpenSearchNodeToNodeEncryption

La crittografia da nodo a nodo è abilitata per il dominio.

Non sono consentiti parametri preconfigurati.

Dopo aver abilitato la node-to-node crittografia, non è possibile disabilitare l'impostazione. Invece, scatta un'istantanea manuale del dominio crittografato, crea un altro dominio, migra i dati e quindi elimina il vecchio dominio.

Hs4Ma3G222: la registrazione degli errori del OpenSearch dominio nei registri deve essere abilitata CloudWatch

Controllo corrispondente AWS Security Hub : Opensearch.4

AWSManagedServices-EnableOpenSearchLogging

La registrazione degli errori è abilitata per il dominio. OpenSearch

CloudWatchLogGroupArn: L'ARN di un gruppo di log di Amazon CloudWatch Logs.

Per abilitare la riparazione automatica, è necessario fornire il seguente parametro preconfigurato:. CloudWatchLogGroupArn

La politica CloudWatch delle risorse di Amazon deve essere configurata con le autorizzazioni. Per ulteriori informazioni, consulta la sezione Abilitazione dei log di controllo nella Amazon OpenSearch Service User Guide.

Hs4Ma3G221: i domini devono avere la registrazione di controllo OpenSearch abilitata

Controllo corrispondente AWS Security Hub : Opensearch.5

AWSManagedServices-EnableOpenSearchLogging

OpenSearch i domini sono configurati con la registrazione di controllo abilitata.

CloudWatchLogGroupArn: L'ARN del gruppo CloudWatch Logs in cui pubblicare i log.

Per abilitare la riparazione automatica, è necessario fornire il seguente parametro preconfigurato: CloudWatchLogGroupArn

Hs4Ma3G220 - Le connessioni ai OpenSearch domini devono essere crittografate utilizzando TLS 1.2

Controllo corrispondente AWS Security Hub : Opensearch.8

AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2

La politica TLS è impostata su `Policy-min-TLS-1-2-2019-07` e sono consentite solo le connessioni crittografate tramite HTTPS (TLS).

Non sono consentiti parametri preconfigurati.

Le connessioni ai OpenSearch domini sono necessarie per utilizzare TLS 1.2. La crittografia dei dati in transito può influire sulle prestazioni. Testa le tue applicazioni con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto del TLS.

Hs4Ma3G194 - Lo snapshot di Amazon RDS deve essere privato

Controllo corrispondente AWS Security Hub : RDS.1

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

L'accesso pubblico per lo snapshot di Amazon RDS è disabilitato.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G192 - Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible AWS

Controllo corrispondente AWS Security Hub : RDS.2

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance

Disabilita l'accesso pubblico sull'istanza DB RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G189 - Il monitoraggio avanzato è configurato per le istanze DB di Amazon RDS

Controllo corrispondente AWS Security Hub : RDS.6

AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring

Abilita il monitoraggio avanzato per le istanze DB di Amazon RDS

MonitoringInterval: L'intervallo, in secondi, tra i punti in cui vengono raccolti i parametri di Enhanced Monitoring per l'istanza DB. Gli intervalli validi sono 0, 1, 5, 10, 15, 30 e 60. Per disabilitare la raccolta dei parametri di monitoraggio avanzato, specifica 0.
MonitoringRoleName: il nome del ruolo IAM che consente ad Amazon RDS di inviare parametri di monitoraggio avanzati ad Amazon Logs. CloudWatch Se un ruolo non è specificato, rds-monitoring-role viene utilizzato o creato il ruolo predefinito, se non esiste.

Se il monitoraggio avanzato è abilitato prima dell'esecuzione dell'automazione, le impostazioni potrebbero essere sovrascritte da questa automazione con i MonitoringRoleName valori MonitoringInterval e configurati nei parametri preconfigurati.

Hs4Ma3G190 - I cluster Amazon RDS devono avere la protezione da eliminazione abilitata

Controllo corrispondente AWS Security Hub : RDS.7

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

La protezione da eliminazione è abilitata per i cluster Amazon RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G198 - Le istanze database di Amazon RDS devono avere la protezione da eliminazione abilitata

Controllo corrispondente AWS Security Hub : RDS.8

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

La protezione da eliminazione è abilitata per le istanze Amazon RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G199 - Le istanze DB RDS devono pubblicare i log in Logs CloudWatch

Controllo corrispondente AWS Security Hub : RDS.9

AWSManagedServices-TrustedRemediatorEnableRDSLogExports

Le esportazioni dei log RDS sono abilitate per l'istanza DB RDS o il cluster RDS DB.

Non sono consentiti parametri preconfigurati.

È richiesto il ruolo AWSServiceRoleForRDS collegato al servizio.

Hs4Ma3G160 - L'autenticazione IAM deve essere configurata per le istanze RDS

Controllo corrispondente AWS Security Hub : RDS.10

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

AWS Identity and Access Management l'autenticazione è abilitata per l'istanza RDS.

ApplyImmediately: indica se le modifiche in questa richiesta e le eventuali modifiche in sospeso vengono applicate in modo asincrono il prima possibile. Per applicare immediatamente la modifica, scegli. true Per pianificare la modifica per la prossima finestra di manutenzione, scegliete. false

Nessun vincolo

Hs4Ma3G161 - L'autenticazione IAM deve essere configurata per i cluster RDS

Controllo corrispondente AWS Security Hub : RDS.12

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

L'autenticazione IAM è abilitata per il cluster RDS.

ApplyImmediately: Indica se le modifiche in questa richiesta e le eventuali modifiche in sospeso vengono applicate in modo asincrono il prima possibile. Per applicare immediatamente la modifica, scegli. true Per pianificare la modifica per la prossima finestra di manutenzione, scegliete. false

Nessun vincolo

Hs4Ma3G162 - Gli aggiornamenti automatici delle versioni minori di RDS devono essere abilitati

Controllo corrispondente AWS Security Hub : RDS.13

AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade

La configurazione automatica di aggiornamento della versione secondaria per Amazon RDS è abilitata.

Non sono consentiti parametri preconfigurati.

L'istanza Amazon RDS deve essere nello available stato in cui si verifica questa correzione.

Hs4Ma3G163 - I cluster DB RDS devono essere configurati per copiare i tag nelle istantanee

Controllo corrispondente AWS Security Hub : RDS.16

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagtosnapshotl'impostazione per i cluster Amazon RDS è abilitata.

Non sono consentiti parametri preconfigurati.

Le istanze di Amazon RDS devono essere disponibili affinché questa correzione avvenga.

Hs4Ma3G164 - Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee

Controllo corrispondente AWS Security Hub : RDS.17

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagsToSnapshotl'impostazione per Amazon RDS è abilitata.

Non sono consentiti parametri preconfigurati.

Le istanze di Amazon RDS devono essere disponibili affinché questa correzione avvenga.

RSS93 HQwa1

Snapshot pubblici di Amazon RDS

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

L'accesso pubblico per lo snapshot di Amazon RDS è disabilitato.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G103 - I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico

AWS Security Hub Controllo corrispondente: Redshift.1

AWSManagedServices-DisablePublicAccessOnRedshiftCluster

L'accesso pubblico sul cluster Amazon Redshift è disabilitato.

Non sono consentiti parametri preconfigurati.

La disabilitazione dell'accesso pubblico blocca tutti i client provenienti da Internet. Inoltre, il cluster Amazon Redshift rimane in stato di modifica per alcuni minuti, mentre la riparazione disabilita l'accesso pubblico al cluster.

Hs4Ma3G106 - I cluster Amazon Redshift devono avere la registrazione di controllo abilitata

AWS Security Hub Controllo corrispondente: Redshift.4

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging

La registrazione di audit è abilitata sul cluster Amazon Redshift durante la finestra di manutenzione.

Non sono consentiti parametri preconfigurati.

Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati.

BucketName: Il secchio deve essere nello stesso. Regione AWS Il cluster deve disporre dei permessi di lettura per bucket e put object.

Se la registrazione del cluster Redshift è abilitata prima dell'esecuzione dell'automazione, le impostazioni di registrazione potrebbero essere sovrascritte da questa automazione con S3KeyPrefix i valori BucketName e configurati nei parametri preconfigurati.

Hs4Ma3G105 - Amazon Redshift dovrebbe avere gli aggiornamenti automatici alle versioni principali abilitati

AWS Security Hub Controllo corrispondente: Redshift.6

AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade- Gli aggiornamenti delle versioni principali vengono applicati automaticamente al cluster durante la finestra di manutenzione. Non ci sono tempi di inattività immediati per il cluster Amazon Redshift, ma il cluster Amazon Redshift potrebbe subire dei tempi di inattività durante la finestra di manutenzione se passa a una versione principale.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G104 - I cluster Amazon Redshift devono utilizzare un routing VPC avanzato

AWS Security Hub Controllo corrispondente: Redshift.7

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting

Il routing VPC avanzato è abilitato per i cluster Amazon Redshift.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G173 - L'impostazione S3 Block Public Access deve essere abilitata a livello di bucket

Controllo corrispondente AWS Security Hub : S3.8

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

I blocchi di accesso pubblico a livello di bucket vengono applicati per il bucket Amazon S3.

Non sono consentiti parametri preconfigurati.

Questa correzione potrebbe influire sulla disponibilità degli oggetti S3. Per informazioni su come Amazon S3 valuta l'accesso, consulta Bloccare l'accesso pubblico allo storage Amazon S3.

Hs4Ma3G230 - La registrazione degli accessi al server bucket S3 deve essere abilitata

Controllo corrispondente AWS Security Hub : S3.9

AWSManagedServices-EnableBucketAccessLogging(documento SSM predefinito per la modalità di esecuzione automatica e manuale)

La registrazione degli accessi ai server Amazon S3 è abilitata.

TargetBucket: il nome del bucket S3 per archiviare i log di accesso al server.
TargetObjectKeyFormat: formato chiave Amazon S3 per oggetti di log (i valori fanno distinzione tra maiuscole e minuscole). Per utilizzare il formato semplice per le chiavi S3 per gli oggetti di registro, scegli. SimplePrefix Per utilizzare la chiave S3 partizionata per gli oggetti di registro e utilizzarla EventTime per il prefisso partizionato, scegli. PartitionedPrefixEventTime Per utilizzare la chiave S3 partizionata per gli oggetti di registro e utilizzarla per il prefisso partizionato, scegliete. DeliveryTime PartitionedPrefixDeliveryTime I valori validi sono SimplePrefix, PartitionedPrefixEventTime e PartitionedPrefixDeliveryTime.

Per abilitare la riparazione automatica, è necessario fornire il seguente parametro preconfigurato:. TargetBucket

Il bucket di destinazione deve trovarsi nello stesso Regione AWS e Account AWS nel bucket di origine, con le autorizzazioni corrette per la consegna dei log. Per ulteriori informazioni, consulta Attivazione della registrazione degli accessi al server Amazon S3.

Hs4Ma3G230 — La registrazione degli accessi al server bucket S3 deve essere abilitata

Controllo corrispondente AWS Security Hub : S3.9

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 - La registrazione dei bucket di Amazon S3 è abilitata.

TargetBucketTagKey: Il nome del tag (con distinzione tra maiuscole e minuscole) per identificare il bucket di destinazione. Utilizzatelo TargetBucketTagValueper etichettare il bucket da utilizzare come bucket di destinazione per la registrazione degli accessi.
TargetBucketTagValue: Il valore del tag (con distinzione tra maiuscole e minuscole) per identificare il bucket di destinazione, usalo e TargetBucketTagKeyper etichettare il bucket da utilizzare come bucket di destinazione per la registrazione degli accessi.
TargetObjectKeyFormat: Formato chiave Amazon S3 per oggetti di log (i valori fanno distinzione tra maiuscole e minuscole): per utilizzare il formato semplice per le chiavi S3 per gli oggetti di log, scegli. SimplePrefix Per utilizzare la chiave S3 partizionata per gli oggetti di log e EventTime utilizzarla per il prefisso partizionato, scegli. PartitionedPrefixEventTime Per utilizzare la chiave S3 partizionata per gli oggetti di registro e utilizzarla per il prefisso partizionato, scegliete. DeliveryTime PartitionedPrefixDeliveryTime Il valore predefinito è PartitionedPrefixEventTime.

Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri: TargetBucketTagKeye TargetBucketTagValue.

Pfx0 RwqBli

Autorizzazioni Bucket Amazon S3

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

Blocco dell'accesso pubblico

Non sono consentiti parametri preconfigurati.

Questo controllo è costituito da più criteri di avviso. Questa automazione risolve i problemi di accesso pubblico. La risoluzione di altri problemi di configurazione segnalati da Trusted Advisor non è supportata. Questa riparazione supporta la riparazione dei bucket S3 Servizio AWS creati (ad esempio, cf-templates-000000000000).

Hs4Ma3G272 - Gli utenti non devono avere accesso root alle istanze dei notebook SageMaker

Controllo corrispondente AWS Security Hub SageMaker: 3.

AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess

L'accesso root per gli utenti è disabilitato per l'istanza del SageMaker notebook.

Non sono consentiti parametri preconfigurati.

Questa riparazione causa un'interruzione se l'istanza del SageMaker notebook si trova nello stato in cui si trova. InService

Hs4Ma3G179 - Gli argomenti SNS devono essere crittografati a riposo utilizzando AWS KMS

Controllo corrispondente AWS Security Hub : SNS.1

AWSManagedServices-EnableSNSEncryptionAtRest

L'argomento SNS è configurato con la crittografia lato server.

KmsKeyId: l'ID di una chiave master del cliente AWS gestita (CMK) per Amazon SNS o di una CMK personalizzata da utilizzare per la crittografia lato server (SSE). alias/aws/snsL'impostazione predefinita è impostata su.

Se viene utilizzata una AWS KMS chiave personalizzata, deve essere configurata con le autorizzazioni corrette. Per ulteriori informazioni, consulta Attivazione della crittografia lato server (SSE) per un argomento Amazon SNS

Hs4Ma3G158 - I documenti SSM non devono essere pubblici

Controllo corrispondente AWS Security Hub : SSM.4

AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing- Disabilita la condivisione pubblica del documento SSM.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Hs4Ma3G136 - Le code di Amazon SQS devono essere crittografate quando sono inattive

Controllo corrispondente AWS Security Hub : SQS.1

AWSManagedServices-EnableSQSEncryptionAtRest

I messaggi in Amazon SQS sono crittografati.

SqsManagedSseEnabled: impostato per true abilitare la crittografia delle code lato server utilizzando chiavi di crittografia di proprietà di Amazon SQS, impostato per false abilitare la crittografia delle code lato server utilizzando una chiave. AWS KMS
KMSKeyId: l'ID o l'alias di una chiave master del cliente AWS gestita (CMK) per Amazon SQS o di una CMK personalizzata da utilizzare per la crittografia lato server per la coda. Se non fornito, viene utilizzato. alias/aws/sqs
KmsDataKeyReusePeriodSeconds: il periodo di tempo, in secondi, durante il quale Amazon SQS può riutilizzare una chiave dati per crittografare o decrittografare i messaggi prima di effettuare una nuova chiamata. AWS KMS Numero intero che rappresenta secondi, tra 60 (1 minuto) e 86.400 (24 ore). Questa impostazione viene ignorata se è impostata su. SqsManagedSseEnabled true

ReceiveMessage Le richieste anonime SendMessage e quelle inviate alla coda crittografata vengono rifiutate. Tutte le richieste alle code con la funzione SSE abilitata devono utilizzare HTTPS e Signature Version 4.

Trusted Advisor controlli di tolleranza agli errori supportati da Trusted Remediator

Controlla l'ID e il nome Nome del documento SSM e risultato previsto Parametri e vincoli preconfigurati supportati

Controlla l'ID e il nome	Nome del documento SSM e risultato previsto	Parametri e vincoli preconfigurati supportati
c18d2gz138 Ripristino Amazon DynamoDB Point-in-time	AWSManagedServices-TrustedRemediatorEnableDDBPITR Abilita point-in-time il ripristino per le tabelle DynamoDB.	Non sono consentiti parametri preconfigurati. Nessun vincolo
R365S2qddf Amazon S3 Bucket Versioning	AWSManagedServices-TrustedRemediatorEnableBucketVersioning Il controllo delle versioni del bucket Amazon S3 è abilitato.	Non sono consentiti parametri preconfigurati. Questa correzione non supporta la riparazione dei bucket S3 Servizio AWS creati (ad esempio cf-templates-000000000000).
BueAdJ7nRP Registrazione di Bucket Amazon S3	AWSManagedServices-EnableBucketAccessLogging La registrazione dei bucket Amazon S3 è abilitata.	TargetBucket: il nome del bucket S3 per archiviare i log di accesso al server. TargetObjectKeyFormat: formato chiave Amazon S3 per oggetti di log, per utilizzare il formato semplice per le chiavi S3 per gli oggetti di log, scegli. `SimplePrefix` Per utilizzare la chiave Partitioned S3 per gli oggetti di log e usarla per il prefisso partizionato, EventTime scegli. `PartitionedPrefixEventTime` Per utilizzare la chiave S3 partizionata per gli oggetti di registro e utilizzarla per il prefisso partizionato, scegliete. DeliveryTime `PartitionedPrefixDeliveryTime` Il valore predefinito è `PartitionedPrefixEventTime`. I valori validi sono `SimplePrefix` e (con distinzione tra maiuscole e minuscole). `PartitionedPrefixEventTime` `PartitionedPrefixDeliveryTime` Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati: TargetBucket Il bucket di destinazione deve trovarsi nello stesso Regione AWS e Account AWS nel bucket di origine, con le autorizzazioni corrette per la consegna dei log. Per ulteriori informazioni, consulta Attivazione della registrazione degli accessi al server Amazon S3.
F2ik5r6dep Amazon RDS Multi-AZ	AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ L'implementazione di più zone di disponibilità è abilitata.	Non sono consentiti parametri preconfigurati. C'è un possibile peggioramento delle prestazioni durante questa modifica.
H7 IgTzj TYb Snapshot Amazon EBS	AWSManagedServices-TrustedRemediatorCreateEBSSnapshot Viene creato Amazon EBSsnapshots .	Non sono consentiti parametri preconfigurati. Nessun vincolo
Top ZvH QPADk Backup RDS	AWSManagedServices-EnableRDSBackupRetention La conservazione dei backup di Amazon RDS è abilitata per il DB.	BackupRetentionPeriod: Il numero di giorni (1-35) per conservare i backup automatici. ApplyImmediately: Indica se la modifica della conservazione del backup RDS e le eventuali modifiche in sospeso vengono applicate in modo asincrono il prima possibile. Scegli `true` di applicare la modifica immediatamente o di pianificare la modifica `false` per la finestra di manutenzione successiva. Se il `ApplyImmediately` parametro è impostato su`true`, le modifiche in sospeso sul db vengono applicate insieme all'impostazione di RDSBackup conservazione.
c1qf5bt013 La scalabilità automatica dello storage sulle istanze DB di Amazon RDS è disattivata	AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling- La scalabilità automatica dello storage è abilitata per le istanze database di Amazon RDS.	MaxAllocatedStorageIncreasePercentage: La percentuale di aumento della corrente AllocatedStorage, per impostare la. MaxAllocatedStorage L'impostazione predefinita è impostata su`26`. È necessario impostare la soglia massima di archiviazione su almeno il 10% in più rispetto allo spazio di archiviazione attualmente allocato. È consigliabile impostare la soglia massima di archiviazione su almeno il 26% in più. Per maggiori dettagli, consulta Gestire automaticamente la capacità con lo storage autoscaling di Amazon Relational Database Service. Nessun vincolo
7q GXs KIUw Drenaggio della connessione Classic Load Balancer	AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining Il drenaggio della connessione è abilitato per Classic Load Balancer.	ConnectionDrainingTimeout: Il tempo massimo, in secondi, per mantenere aperte le connessioni esistenti prima di annullare la registrazione delle istanze. L'impostazione predefinita è impostata su secondi. `300` Nessun vincolo
c18d2gz106 Amazon EBS non incluso nel piano AWS Backup	AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan Amazon EBS è incluso nel AWS Backup piano.	Remediation contrassegna il volume Amazon EBS con la seguente coppia di tag. La coppia di tag deve corrispondere ai criteri di selezione delle risorse basati su tag per. AWS Backup TagKey TagValue Nessun vincolo
c18d2gz107 Tabella Amazon DynamoDB non inclusa nel piano AWS Backup	AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlan Amazon DynamoDB Table è inclusa nel piano. AWS Backup	Remediation contrassegna Amazon DynamoDB con la seguente coppia di tag. La coppia di tag deve corrispondere ai criteri di selezione delle risorse basati su tag per. AWS Backup TagKey TagValue Nessun vincolo
c18d2gz117 Amazon EFS non incluso nel AWS Backup piano	AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan Amazon EFS è incluso nel AWS Backup piano.	Remediation contrassegna Amazon EFS con la seguente coppia di tag. La coppia di tag deve corrispondere ai criteri di selezione delle risorse basati su tag per. AWS Backup TagKey TagValue Nessun vincolo
c18d2gz105 Bilanciamento del carico tra zone di Network Load Balancer	AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing Il bilanciamento del carico tra zone è abilitato su Network Load Balancer.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1qf5bt026 Il `synchronous_commit` parametro Amazon RDS è disattivato	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Il parametro `synchronous_commit` è attivato per Amazon RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1qf5bt030 Il `innodb_flush_log_at_trx_commit` parametro Amazon RDS non lo è `1`	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Il parametro `innodb_flush_log_at_trx_commit` è impostato su `1` per Amazon RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1qf5bt031 Il `sync_binlog` parametro Amazon RDS è disattivato	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Il parametro `sync_binlog` è attivato per Amazon RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1qf5bt036 L'impostazione dei `innodb_default_row_format` parametri Amazon RDS non è sicura	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Il parametro `innodb_default_row_format` è impostato su `DYNAMIC` per Amazon RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c18d2gz144 Amazon EC2 Detailed Monitoring non abilitato	AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring Il monitoraggio dettagliato è abilitato per Amazon EC2.	Non sono consentiti parametri preconfigurati. Nessun vincolo

c18d2gz138

Ripristino Amazon DynamoDB Point-in-time

AWSManagedServices-TrustedRemediatorEnableDDBPITR

Abilita point-in-time il ripristino per le tabelle DynamoDB.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

R365S2qddf

Amazon S3 Bucket Versioning

AWSManagedServices-TrustedRemediatorEnableBucketVersioning

Il controllo delle versioni del bucket Amazon S3 è abilitato.

Non sono consentiti parametri preconfigurati.

Questa correzione non supporta la riparazione dei bucket S3 Servizio AWS creati (ad esempio cf-templates-000000000000).

BueAdJ7nRP

Registrazione di Bucket Amazon S3

AWSManagedServices-EnableBucketAccessLogging

La registrazione dei bucket Amazon S3 è abilitata.

TargetBucket: il nome del bucket S3 per archiviare i log di accesso al server.
TargetObjectKeyFormat: formato chiave Amazon S3 per oggetti di log, per utilizzare il formato semplice per le chiavi S3 per gli oggetti di log, scegli. SimplePrefix Per utilizzare la chiave Partitioned S3 per gli oggetti di log e usarla per il prefisso partizionato, EventTime scegli. PartitionedPrefixEventTime Per utilizzare la chiave S3 partizionata per gli oggetti di registro e utilizzarla per il prefisso partizionato, scegliete. DeliveryTime PartitionedPrefixDeliveryTime Il valore predefinito è PartitionedPrefixEventTime. I valori validi sono SimplePrefix e (con distinzione tra maiuscole e minuscole). PartitionedPrefixEventTime PartitionedPrefixDeliveryTime

Per abilitare la riparazione automatica, è necessario fornire i seguenti parametri preconfigurati:

TargetBucket

F2ik5r6dep

Amazon RDS Multi-AZ

AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ

L'implementazione di più zone di disponibilità è abilitata.

Non sono consentiti parametri preconfigurati.

C'è un possibile peggioramento delle prestazioni durante questa modifica.

H7 IgTzj TYb

Snapshot Amazon EBS

AWSManagedServices-TrustedRemediatorCreateEBSSnapshot

Viene creato Amazon EBSsnapshots .

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Top ZvH QPADk

Backup RDS

AWSManagedServices-EnableRDSBackupRetention

La conservazione dei backup di Amazon RDS è abilitata per il DB.

BackupRetentionPeriod: Il numero di giorni (1-35) per conservare i backup automatici.
ApplyImmediately: Indica se la modifica della conservazione del backup RDS e le eventuali modifiche in sospeso vengono applicate in modo asincrono il prima possibile. Scegli true di applicare la modifica immediatamente o di pianificare la modifica false per la finestra di manutenzione successiva.

Se il ApplyImmediately parametro è impostato sutrue, le modifiche in sospeso sul db vengono applicate insieme all'impostazione di RDSBackup conservazione.

c1qf5bt013

La scalabilità automatica dello storage sulle istanze DB di Amazon RDS è disattivata

AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling- La scalabilità automatica dello storage è abilitata per le istanze database di Amazon RDS.

MaxAllocatedStorageIncreasePercentage: La percentuale di aumento della corrente AllocatedStorage, per impostare la. MaxAllocatedStorage L'impostazione predefinita è impostata su26.

È necessario impostare la soglia massima di archiviazione su almeno il 10% in più rispetto allo spazio di archiviazione attualmente allocato. È consigliabile impostare la soglia massima di archiviazione su almeno il 26% in più. Per maggiori dettagli, consulta Gestire automaticamente la capacità con lo storage autoscaling di Amazon Relational Database Service.

Nessun vincolo

7q GXs KIUw

Drenaggio della connessione Classic Load Balancer

AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining

Il drenaggio della connessione è abilitato per Classic Load Balancer.

ConnectionDrainingTimeout: Il tempo massimo, in secondi, per mantenere aperte le connessioni esistenti prima di annullare la registrazione delle istanze. L'impostazione predefinita è impostata su secondi. 300

Nessun vincolo

c18d2gz106

Amazon EBS non incluso nel piano AWS Backup

AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan

Amazon EBS è incluso nel AWS Backup piano.

Remediation contrassegna il volume Amazon EBS con la seguente coppia di tag. La coppia di tag deve corrispondere ai criteri di selezione delle risorse basati su tag per. AWS Backup

TagKey
TagValue

Nessun vincolo

c18d2gz107

Tabella Amazon DynamoDB non inclusa nel piano AWS Backup

AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlan

Amazon DynamoDB Table è inclusa nel piano. AWS Backup

Remediation contrassegna Amazon DynamoDB con la seguente coppia di tag. La coppia di tag deve corrispondere ai criteri di selezione delle risorse basati su tag per. AWS Backup

TagKey
TagValue

Nessun vincolo

c18d2gz117

Amazon EFS non incluso nel AWS Backup piano

AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan

Amazon EFS è incluso nel AWS Backup piano.

Remediation contrassegna Amazon EFS con la seguente coppia di tag. La coppia di tag deve corrispondere ai criteri di selezione delle risorse basati su tag per. AWS Backup

TagKey
TagValue

Nessun vincolo

c18d2gz105

Bilanciamento del carico tra zone di Network Load Balancer

AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing

Il bilanciamento del carico tra zone è abilitato su Network Load Balancer.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1qf5bt026

Il synchronous_commit parametro Amazon RDS è disattivato

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Il parametro synchronous_commit è attivato per Amazon RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1qf5bt030

Il innodb_flush_log_at_trx_commit parametro Amazon RDS non lo è 1

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Il parametro innodb_flush_log_at_trx_commit è impostato su 1 per Amazon RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1qf5bt031

Il sync_binlog parametro Amazon RDS è disattivato

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Il parametro sync_binlog è attivato per Amazon RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1qf5bt036

L'impostazione dei innodb_default_row_format parametri Amazon RDS non è sicura

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Il parametro innodb_default_row_format è impostato su DYNAMIC per Amazon RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c18d2gz144

Amazon EC2 Detailed Monitoring non abilitato

AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring

Il monitoraggio dettagliato è abilitato per Amazon EC2.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Trusted Advisor controlli delle prestazioni supportati da Trusted Remediator

Controlla l'ID e il nome Nome del documento SSM e risultato previsto Parametri e vincoli preconfigurati supportati

Controlla l'ID e il nome	Nome del documento SSM e risultato previsto	Parametri e vincoli preconfigurati supportati
COr6dfpM06 AWS Lambda funzioni non sufficientemente fornite per quanto riguarda le dimensioni della memoria	AWSManagedServices-ResizeLambdaMemory Le dimensioni della memoria delle funzioni Lambda vengono ridimensionate alla dimensione di memoria consigliata fornita da. Trusted Advisor	RecommendedMemorySize: l'allocazione di memoria consigliata per la funzione Lambda. L'intervallo di valori è compreso tra 128 e 10240. Se la dimensione della funzione Lambda viene modificata prima dell'esecuzione dell'automazione, questa automazione potrebbe sovrascrivere le impostazioni con il valore consigliato da. Trusted Advisor
ZRxQlPsb6c Istanze Amazon EC2 ad alto utilizzo	AWSManagedServices-ResizeInstanceByOneLevel Le EC2 istanze Amazon vengono ridimensionate di un tipo di istanza in su nello stesso tipo di famiglia di istanze. Le istanze vengono interrotte e avviate durante l'operazione di ridimensionamento e riportate allo stato iniziale al termine dell'esecuzione. Questa automazione non supporta il ridimensionamento delle istanze che si trovano in un gruppo di Auto Scaling.	MinimumDaysSinceLastChange: Il numero minimo di giorni trascorsi dall'ultima modifica del tipo di istanza. Se il tipo di istanza è stato modificato entro il tempo specificato, il tipo di istanza non viene modificato. `0`Utilizzatelo per saltare questa convalida. Il valore predefinito è `7`. Crea AMIBefore ridimensionamento: per creare l'AMI dell'istanza come backup prima del ridimensionamento, scegli. `true` Per non creare un backup, scegli. `false` Il valore predefinito è `false`. I valori validi sono `true` e `false` (distinzione tra maiuscole e minuscole). ResizeIfStopped: Per procedere con la modifica delle dimensioni dell'istanza, anche se l'istanza è in uno stato interrotto, scegliete. `true` Per non ridimensionare automaticamente l'istanza se si trova in uno stato interrotto, scegliete`false`. I valori validi sono `true` e `false` (distinzione tra maiuscole e minuscole). Nessun vincolo
c1qf5bt021 `innodb_change_buffering`Parametro Amazon RDS che utilizza un valore inferiore a quello ottimale	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Il valore del `innodb_change_buffering` parametro è impostato su `NONE` per Amazon RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1qf5bt025 Il `autovacuum` parametro Amazon RDS è disattivato	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Il parametro `autovacuum` è attivato per Amazon RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1qf5bt028 Il `enable_indexonlyscan` parametro Amazon RDS è disattivato	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Il parametro `enable_indexonlyscan` è attivato per Amazon RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1qf5bt029 Il `enable_indexscan` parametro Amazon RDS è disattivato	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Il parametro `enable_indexscan` è attivato per Amazon RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1qf5bt032 Il `innodb_stats_persistent` parametro Amazon RDS è disattivato	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Il parametro `innodb_stats_persistent` è attivato per Amazon RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1qf5bt037 Il `general_logging` parametro Amazon RDS è attivato	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Il parametro `general_logging` è disattivato per Amazon RDS.	Non sono consentiti parametri preconfigurati. Nessun vincolo

COr6dfpM06

AWS Lambda funzioni non sufficientemente fornite per quanto riguarda le dimensioni della memoria

AWSManagedServices-ResizeLambdaMemory

Le dimensioni della memoria delle funzioni Lambda vengono ridimensionate alla dimensione di memoria consigliata fornita da. Trusted Advisor

RecommendedMemorySize: l'allocazione di memoria consigliata per la funzione Lambda. L'intervallo di valori è compreso tra 128 e 10240.

Se la dimensione della funzione Lambda viene modificata prima dell'esecuzione dell'automazione, questa automazione potrebbe sovrascrivere le impostazioni con il valore consigliato da. Trusted Advisor

ZRxQlPsb6c

Istanze Amazon EC2 ad alto utilizzo

AWSManagedServices-ResizeInstanceByOneLevel

Le EC2 istanze Amazon vengono ridimensionate di un tipo di istanza in su nello stesso tipo di famiglia di istanze. Le istanze vengono interrotte e avviate durante l'operazione di ridimensionamento e riportate allo stato iniziale al termine dell'esecuzione. Questa automazione non supporta il ridimensionamento delle istanze che si trovano in un gruppo di Auto Scaling.

MinimumDaysSinceLastChange: Il numero minimo di giorni trascorsi dall'ultima modifica del tipo di istanza. Se il tipo di istanza è stato modificato entro il tempo specificato, il tipo di istanza non viene modificato. 0Utilizzatelo per saltare questa convalida. Il valore predefinito è 7.
Crea AMIBefore ridimensionamento: per creare l'AMI dell'istanza come backup prima del ridimensionamento, scegli. true Per non creare un backup, scegli. false Il valore predefinito è false. I valori validi sono true e false (distinzione tra maiuscole e minuscole).
ResizeIfStopped: Per procedere con la modifica delle dimensioni dell'istanza, anche se l'istanza è in uno stato interrotto, scegliete. true Per non ridimensionare automaticamente l'istanza se si trova in uno stato interrotto, sceglietefalse. I valori validi sono true e false (distinzione tra maiuscole e minuscole).

Nessun vincolo

c1qf5bt021

innodb_change_bufferingParametro Amazon RDS che utilizza un valore inferiore a quello ottimale

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Il valore del innodb_change_buffering parametro è impostato su NONE per Amazon RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1qf5bt025

Il autovacuum parametro Amazon RDS è disattivato

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Il parametro autovacuum è attivato per Amazon RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1qf5bt028

Il enable_indexonlyscan parametro Amazon RDS è disattivato

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Il parametro enable_indexonlyscan è attivato per Amazon RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1qf5bt029

Il enable_indexscan parametro Amazon RDS è disattivato

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Il parametro enable_indexscan è attivato per Amazon RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1qf5bt032

Il innodb_stats_persistent parametro Amazon RDS è disattivato

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Il parametro innodb_stats_persistent è attivato per Amazon RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1qf5bt037

Il general_logging parametro Amazon RDS è attivato

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Il parametro general_logging è disattivato per Amazon RDS.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Trusted Advisor controlli dei limiti di servizio supportati da Trusted Remediator

Controlla l'ID e il nome Nome del documento SSM e risultato previsto Parametri e vincoli preconfigurati supportati

Controlla l'ID e il nome	Nome del documento SSM e risultato previsto	Parametri e vincoli preconfigurati supportati
Ln7rr0l7j9 EC2-Indirizzo IP elastico VPC	AWSManagedServices-UpdateVpcElasticIPQuota È richiesto un nuovo limite per gli indirizzi IP elastici EC2 -VPC. Per impostazione predefinita, il limite viene aumentato di 3.	Incremento: il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato.
KM7qq0l7j9 Gateway Internet VPC	AWSManagedServices-IncreaseServiceQuota- È richiesto un nuovo limite per i gateway Internet VPC. Per impostazione predefinita, il limite viene aumentato di tre.	Incremento: il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato.
JL7pP0L7J9 VPC	AWSManagedServices-IncreaseServiceQuota È richiesto un nuovo limite per il VPC. Per impostazione predefinita, il limite viene aumentato di 3.	Incremento: il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato.
Fw7hh0l7j9 Gruppi Auto Scaling	AWSManagedServices-IncreaseServiceQuota È richiesto un nuovo limite per i gruppi di Auto Scaling. Per impostazione predefinita, il limite viene aumentato di 3.	Incremento: il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato.
3 Njm0 DJQO9 Gruppi di opzioni RDS	AWSManagedServices-IncreaseServiceQuota È richiesto un nuovo limite per i gruppi di opzioni Amazon RDS. Per impostazione predefinita, il limite viene aumentato di 3.	Incremento: il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato.
EM8b3yLRTr Application Load Balancer ELB	AWSManagedServices-IncreaseServiceQuota È richiesto un nuovo limite per ELB Application Load Balancers. Per impostazione predefinita, il limite viene aumentato di 3.	Incremento: il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato.
8 WiQ K YSt25 Bilanciatori del carico di rete ELB	AWSManagedServices-IncreaseServiceQuota È richiesto un nuovo limite per ELB Network Load Balancer. Per impostazione predefinita, il limite viene aumentato di 3.	Incremento: il numero per aumentare la quota corrente. Il valore predefinito è `3`. Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo `OK` stato, potrebbe verificarsi un aumento del limite più elevato.

Ln7rr0l7j9

EC2-Indirizzo IP elastico VPC

AWSManagedServices-UpdateVpcElasticIPQuota

È richiesto un nuovo limite per gli indirizzi IP elastici EC2 -VPC. Per impostazione predefinita, il limite viene aumentato di 3.

Incremento: il numero per aumentare la quota corrente. Il valore predefinito è 3.

Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo OK stato, potrebbe verificarsi un aumento del limite più elevato.

KM7qq0l7j9

Gateway Internet VPC

AWSManagedServices-IncreaseServiceQuota- È richiesto un nuovo limite per i gateway Internet VPC. Per impostazione predefinita, il limite viene aumentato di tre.

Incremento: il numero per aumentare la quota corrente. Il valore predefinito è 3.

Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo OK stato, potrebbe verificarsi un aumento del limite più elevato.

JL7pP0L7J9

VPC

AWSManagedServices-IncreaseServiceQuota

È richiesto un nuovo limite per il VPC. Per impostazione predefinita, il limite viene aumentato di 3.

Incremento: il numero per aumentare la quota corrente. Il valore predefinito è 3.

Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo OK stato, potrebbe verificarsi un aumento del limite più elevato.

Fw7hh0l7j9

Gruppi Auto Scaling

AWSManagedServices-IncreaseServiceQuota

È richiesto un nuovo limite per i gruppi di Auto Scaling. Per impostazione predefinita, il limite viene aumentato di 3.

Incremento: il numero per aumentare la quota corrente. Il valore predefinito è 3.

Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo OK stato, potrebbe verificarsi un aumento del limite più elevato.

3 Njm0 DJQO9

Gruppi di opzioni RDS

AWSManagedServices-IncreaseServiceQuota

È richiesto un nuovo limite per i gruppi di opzioni Amazon RDS. Per impostazione predefinita, il limite viene aumentato di 3.

Incremento: il numero per aumentare la quota corrente. Il valore predefinito è 3.

Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo OK stato, potrebbe verificarsi un aumento del limite più elevato.

EM8b3yLRTr

Application Load Balancer ELB

AWSManagedServices-IncreaseServiceQuota

È richiesto un nuovo limite per ELB Application Load Balancers. Per impostazione predefinita, il limite viene aumentato di 3.

Incremento: il numero per aumentare la quota corrente. Il valore predefinito è 3.

Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo OK stato, potrebbe verificarsi un aumento del limite più elevato.

8 WiQ K YSt25

Bilanciatori del carico di rete ELB

AWSManagedServices-IncreaseServiceQuota

È richiesto un nuovo limite per ELB Network Load Balancer. Per impostazione predefinita, il limite viene aumentato di 3.

Incremento: il numero per aumentare la quota corrente. Il valore predefinito è 3.

Se questa automazione viene eseguita più volte prima che il Trusted Advisor controllo venga aggiornato con lo OK stato, potrebbe verificarsi un aumento del limite più elevato.

Trusted Advisor controlli di eccellenza operativa supportati da Trusted Remediator

Controlla ID e nome Nome del documento SSM e risultato previsto Parametri e vincoli preconfigurati supportati

Controlla ID e nome	Nome del documento SSM e risultato previsto	Parametri e vincoli preconfigurati supportati
c18d2gz125 Il Gateway Amazon API non registra log di esecuzione	AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging La registrazione dell'esecuzione è abilitata nella fase API.	Non sono consentiti parametri preconfigurati. Devi concedere ad API Gateway l'autorizzazione a leggere e scrivere i log del tuo account CloudWatch per abilitare il log di esecuzione. Per maggiori dettagli, consulta CloudWatch Configurare la registrazione per REST APIs in API Gateway.
c18d2gz168 Protezione dall’eliminazione Elastic Load Balancing non abilitata per i sistemi di bilanciamento del carico	AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection- La protezione da eliminazione è attivata per Elastic Load Balancer.	Non sono consentiti parametri preconfigurati. Nessun vincolo
c1qf5bt012 Amazon RDS Performance Insights è disattivato	AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights Performance Insights è attivato per Amazon RDS.	PerformanceInsightsRetentionPeriod: il numero di giorni per conservare i dati di Performance Insights. Valori validi: `7` o mese * 31, dove mese è un numero di mesi compreso tra 1 e 23. Esempi: `93` (3 mesi* 31), `341` (11 mesi* 31), `589` (19 mesi* 31) oppure`731`. PerformanceInsightsKMSKeyId: l'ID AWS KMS chiave per la crittografia dei dati di Performance Insights. Se non specifichi un valore per PerformanceInsights KMSKey Id, Amazon RDS utilizza la tua AWS KMS chiave predefinita. Nessun vincolo
c1fd6b96l4 Registri di accesso Amazon S3 abilitati	AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 La registrazione degli accessi ai bucket Amazon S3 è abilitata.	TargetBucketTagValue: Il valore del tag (con distinzione tra maiuscole e minuscole) per identificare il bucket di destinazione, utilizzalo e TargetBucketTagKey contrassegna il bucket da utilizzare come bucket di destinazione per la registrazione degli accessi. TargetObjectKeyFormat: formato chiave Amazon S3 per oggetti di log (i valori fanno distinzione tra maiuscole e minuscole). Per utilizzare il formato semplice per le chiavi S3 per gli oggetti di registro, scegli. `SimplePrefix` Per utilizzare la chiave S3 partizionata per gli oggetti di registro e utilizzarla EventTime per il prefisso partizionato, scegli. `PartitionedPrefixEventTime` Per utilizzare la chiave S3 partizionata per gli oggetti di registro e utilizzarla per il prefisso partizionato, scegliete. DeliveryTime `PartitionedPrefixDeliveryTime` I valori validi sono `SimplePrefix`, `PartitionedPrefixEventTime` e `PartitionedPrefixDeliveryTime`. Per abilitare la riparazione automatica, è necessario fornire il seguente parametro preconfigurato: TargetBucketTagKeye. TargetBucketTagValue Il bucket di destinazione deve trovarsi nello stesso Regione AWS e Account AWS nel bucket di origine, con le autorizzazioni corrette per la consegna dei log. Per ulteriori informazioni, consulta Attivazione della registrazione degli accessi al server Amazon S3.

c18d2gz125

Il Gateway Amazon API non registra log di esecuzione

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

La registrazione dell'esecuzione è abilitata nella fase API.

Non sono consentiti parametri preconfigurati.

c18d2gz168

Protezione dall’eliminazione Elastic Load Balancing non abilitata per i sistemi di bilanciamento del carico

AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection- La protezione da eliminazione è attivata per Elastic Load Balancer.

Non sono consentiti parametri preconfigurati.

Nessun vincolo

c1qf5bt012

Amazon RDS Performance Insights è disattivato

AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights

Performance Insights è attivato per Amazon RDS.

PerformanceInsightsRetentionPeriod: il numero di giorni per conservare i dati di Performance Insights. Valori validi: 7 o mese * 31, dove mese è un numero di mesi compreso tra 1 e 23. Esempi: 93 (3 mesi* 31), 341 (11 mesi* 31), 589 (19 mesi* 31) oppure731.
PerformanceInsightsKMSKeyId: l'ID AWS KMS chiave per la crittografia dei dati di Performance Insights. Se non specifichi un valore per PerformanceInsights KMSKey Id, Amazon RDS utilizza la tua AWS KMS chiave predefinita.

Nessun vincolo

c1fd6b96l4

Registri di accesso Amazon S3 abilitati

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2

La registrazione degli accessi ai bucket Amazon S3 è abilitata.

TargetBucketTagValue: Il valore del tag (con distinzione tra maiuscole e minuscole) per identificare il bucket di destinazione, utilizzalo e TargetBucketTagKey contrassegna il bucket da utilizzare come bucket di destinazione per la registrazione degli accessi.
TargetObjectKeyFormat: formato chiave Amazon S3 per oggetti di log (i valori fanno distinzione tra maiuscole e minuscole). Per utilizzare il formato semplice per le chiavi S3 per gli oggetti di registro, scegli. SimplePrefix Per utilizzare la chiave S3 partizionata per gli oggetti di registro e utilizzarla EventTime per il prefisso partizionato, scegli. PartitionedPrefixEventTime Per utilizzare la chiave S3 partizionata per gli oggetti di registro e utilizzarla per il prefisso partizionato, scegliete. DeliveryTime PartitionedPrefixDeliveryTime I valori validi sono SimplePrefix, PartitionedPrefixEventTime e PartitionedPrefixDeliveryTime.

Per abilitare la riparazione automatica, è necessario fornire il seguente parametro preconfigurato: TargetBucketTagKeye. TargetBucketTagValue

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Raccomandazioni supportate per Compute Optimizer

Configura la correzione degli assegni