翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AMS の信頼された修復
Trusted Remediator は、 [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)および レコメンデ[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)ーションの修復を自動化する AWS Managed Servicesソリューションです。Trusted Remediator は、 Trusted Advisor と Compute Optimizer がコストを削減し、システムの可用性を向上させ、パフォーマンスを最適化し、セキュリティギャップを埋める機会を示している場合にレコメンデーションを作成します AWS アカウント。Trusted Remediator を使用すると、確立されたベストプラクティスを使用する安全で標準化された方法で、これらのセキュリティ、パフォーマンス、コスト最適化、耐障害性、サービス制限の推奨事項に対処できます。Trusted Remediator を使用すると、修復ソリューションを設定し、作成したスケジュールで自動的に実行されるため、修復プロセスが簡素化されます。この合理化されたアプローチは、手動による介入なしで、一貫して効率的に問題に対処します。
## Trusted Remediator の主な利点
Trusted Remediator の主な利点は次のとおりです。
+ **セキュリティ、パフォーマンス、コストの最適化の向上:** Trusted Remediator は、アカウントの全体的なセキュリティ体制の強化、リソース使用率の最適化、運用コストの削減に役立ちます。
+ **セルフサービスのセットアップと設定:** 要件と設定に合わせて信頼できる修復を設定できます。
+ **自動 Trusted Advisor チェックと AWS Compute Optimizer レコメンデーションの修復:** 設定後、信頼された修復者は選択したチェックの修復アクションを自動的に実行します。この自動化により、手動による介入が不要になります。
+ **ベストプラクティスの実装:** 修復アクションは確立されたベストプラクティスに基づいているため、問題は標準化された効果的な方法で対処されます。
+ **スケジュールされた実行: ** day-to-day運用ワークフローに沿った修復スケジュールを選択できます。
Trusted Remediator を使用すると、 AWS 環境内の特定された問題に積極的に対処し、ベストプラクティスに従い、安全で高性能、費用対効果の高いクラウドインフラストラクチャを維持できます。
## Trusted Remediator の仕組み
以下は、信頼できる修復ワークフローの図です。
![\[信頼できる修復ワークフローの図。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/trusted-remediator-workflow.png)
Trusted Remediator は、 の評価 Trusted Advisor と Compute Optimizer の推奨事項 AWS アカウント を評価し、OpsCenter に [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html) を作成します AWS Systems Manager 。 OpsCenter その後、信頼された修復の自動化ドキュメントを使用して、OpsItems を自動または手動で修復できます。以下は、各タイプの修復の詳細です。
+ **自動修復:** Trusted Remediator は自動化ドキュメントを実行し、実行をモニタリングします。自動化ドキュメントが完了すると、信頼された修復者は Opsitem を解決します。
+ **手動修復:** Trusted Remediator は OpsItem を作成して確認できるようにします。確認したら、オートメーションドキュメントを起動します。
修復ログは Amazon S3 バケットに保存されます。S3 バケットのデータを使用して、レポート用のカスタム QuickSight ダッシュボードを構築できます。AMS は、信頼できる修復業者のオンリクエストレポートも提供します。これらのレポートを受け取るには、CSDM にお問い合わせください。詳細については、「[信頼できる修復レポート](trusted-remediator-reports.md)」を参照してください。
## 信頼できる修復の主な用語
以下は、AMS で信頼された修復を使用するときに役立つ用語です。
+ **AWS Trusted Advisor および AWS Compute Optimizer:** AWS Trusted Advisor および Compute Optimizer が提供するクラウド最適化サービスは、環境 AWS を検査し、次の 6 つのカテゴリのベストプラクティスに基づいて推奨事項を提供します。
+ コスト最適化
+ パフォーマンス
+ セキュリティ
+ 耐障害性
+ オペレーショナルエクセレンス
+ サービス制限
詳細については、「[AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html)」および「[AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/)」を参照してください。
+ **Trusted Remediator:** [Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)チェックと[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)レコメンデーションのための AMS 修復ソリューション。Trusted Remediator は、セキュリティ、パフォーマンスを向上させ、コストを削減するための既知のベストプラクティスを使用して、 Trusted Advisor チェックと Compute Optimizer の推奨事項を安全に修復するのに役立ちます。Trusted Remediator は簡単にセットアップおよび設定できます。を 1 回設定すると、Trusted Remediator は任意のスケジュール (毎日または毎週) で修復を実行します。
+ **AWS Systems Manager SSM ドキュメント:** が AWS リソースで AWS Systems Manager 実行するアクションを定義する JSON または YAML ファイル。SSM ドキュメントは、複数の AWS リソースとインスタンスにわたる運用タスクを自動化するための宣言仕様として機能します。
+ **AWS Systems Manager OpsCenter OpsItem:** 環境内の AWS 運用上の問題を追跡して解決するのに役立つクラウド運用上の問題管理リソース。OpsItems は、 および AWS のサービス リソース全体の運用データと問題の一元化されたビューと管理システムを提供します。各 OpsItem は、潜在的なセキュリティリスク、パフォーマンスの問題、運用インシデントなどの運用上の問題を表します。
+ **設定:** 設定は、 の一[AWS AppConfig機能である に保存されている属性のセットです AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/appconfig.html)。の信頼された修復アプリケーション AWS AppConfig は、アカウントレベルで修復を設定するのに役立ちます。 AWS AppConfig コンソールまたは API を使用して設定を編集できます。
+ **実行モード:** 実行モードは、各 Trusted Advisor チェック結果の修復を実行する方法を決定する設定属性です。サポートされている実行モードは、**自動**、**手動**、**条件付き**、非**アクティブ**の 4 つです。
+ **リソースの上書き:** この機能は、リソースタグを使用して特定のリソースの設定を上書きします。
+ **修復項目ログ:** Trusted Remediator 修復 S3 ログバケットのログファイル。修復項目ログは、修復 OpsItems の作成時に作成されます。このログファイルには、手動実行修復 OpsItems と自動実行修復 OpsItems が含まれています。このログファイルを使用して、すべての修復項目を追跡します。
+ **自動修復実行ログ:** Trusted Remediator 修復 S3 ログバケットのログファイル。自動修復実行ログは、自動 SSM ドキュメント実行が完了すると作成されます。このログには、自動実行修復 OpsItems の SSM 実行の詳細が含まれています。このログファイルを使用して、自動修復を追跡します。
# AMS で信頼された修復の使用を開始する
Trusted Remediator は AMS で追加料金なしで利用できます。Trusted Remediator は、単一アカウントとマルチアカウントの設定をサポートしています。
## 信頼できる修復にオンボードする
AMS アカウントを Trusted Remediator にオンボードするには、Cloud Architects または Cloud Service Delivery Manager (CSDMs) に E メールを送信します。E メールには、以下の情報を記載してください。
+ **AWS アカウント:** 12 桁のアカウント識別番号。Trusted Remediator にオンボードするすべてのアカウントは、同じ Accelerate カスタマーに属している必要があります。
+ **委任管理者アカウント:** 単一または複数のアカウントの Trusted Advisor および Compute Optimizer チェック設定に使用されるアカウント。
+ **メンバーアカウント:** 委任管理者アカウントにリンクされたアカウントです。これらのアカウントは、委任管理者アカウントから設定を継承します。1 つのメンバーアカウントまたは複数のメンバーアカウントを持つことができます。
**注記**
メンバーアカウントは、委任管理者アカウントから設定を継承します。特定のアカウントに対して異なる設定が必要な場合は、複数の委任管理者アカウントを任意の設定でオンボードします。オンボーディングする前に、Cloud Architects でアカウント構造と設定を計画します。
+ **AWS リージョン:** リソース AWS リージョン が配置されている 。のリストについては AWS リージョン、[AWS のサービス 「リージョン別](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
+ **修復スケジュールと時刻:** 希望する修復スケジュール (毎日または毎週)。Trusted Remediator は、スケジュールされた時刻に Trusted Advisor チェックを収集し、修復を開始します。たとえば、オーストラリア東部標準時の毎週日曜日の午前 1 時に修復スケジュールを設定できます。
+ **通知 E メール:** Trusted Remediator は、通知 E メールを使用して、修復があれば毎日通知します。通知 E メールの件名は「信頼できる修復者修復の概要」で、内容は過去 24 時間以内に実行された信頼できる修復者修復に関する情報を提供します。
**注記**
スケジュールされた修復のたびに、アプリケーションとリソースを確認します。その他のサポートについては、AMS にお問い合わせください。
必要な詳細を含むオンボードリクエストを CA または CSDM に送信すると、AMS は信頼された修復者にアカウントをオンボードします。Trusted Remediator は AWS AppConfig、 の一機能である を使用して AWS Systems Manager、 Trusted Advisor チェックの設定を定義します。これらの設定は、 に保存されている一連の属性です AWS AppConfig。リソースへの不正請求を防ぐため、アカウントが信頼された修復者にオンボーディングされると、サポートされているすべての Trusted Advisor チェックは**非アクティブ**に設定されます。オンボーディング後、 AWS AppConfig コンソールまたは API を使用して設定を管理できます。これらの設定は、特定の Trusted Advisor チェックを自動的に修正したり、残りのチェックを評価および手動で修正したりするのに役立ちます。設定は高度にカスタマイズ可能で、 Trusted Advisor チェックごとに設定を適用できます。詳細については、「[Trusted Remediator で Trusted Advisor チェック修復を設定する](tr-configure-remediations.md)」を参照してください。
## 修復するチェックとレコメンデーションを選択する
デフォルトでは、修復実行モードは、設定内のすべての Trusted Advisor チェックと Compute Optimizer の推奨事項に対して非**アクティブ**です。これにより、不正な修復が防止され、リソースが保護されます。AMS は、 Trusted Advisor チェック修復のために厳選された SSM 自動化ドキュメントを提供します。
Trusted Remediator で修復するチェックを選択するには、次の手順を実行します。
1. サポートされているレ[Trusted Advisor[コメンデーションと Compute Optimizer ](tr-supported-recommendations-co.md)レコメンデーションのリスト、または関連する SSM オートメーションドキュメントの名前](tr-supported-checks.md)を確認して、信頼できる修復方法で修復するチェックとレコメンデーションを決定します。
1. 選択した Trusted Advisor チェックの修復を有効にするには、設定を更新します。チェックを選択する方法については、「」を参照してください[Trusted Remediator で Trusted Advisor チェック修復を設定する](tr-configure-remediations.md)。
## Trusted Remediator で修復を追跡する
アカウントレベルの設定を更新すると、Trusted Remediator は修復ごとに OpsItems を作成します。Trusted Remediator は、修復スケジュールに従って OpsItems の自動修復のために SSM ドキュメントを実行します。Systems Manager OpsCenter コンソールからすべての修復 OpsItems を表示する方法については、「」を参照してください[信頼できる修復ツールで修復を追跡する](tr-remediation.md#tr-remediation-track)。 OpsCenter
## 信頼できる修復ツールで手動修復を実行する
Trusted Advisor チェックを手動で修正できます。手動修復を開始すると、信頼された修復者は手動実行 OpsItem を作成します。OpsItems を修正するには、SSM オートメーションドキュメントを確認して開始する必要があります。詳細については、「[信頼できる修復ツールで手動修復を実行する](tr-remediation.md#tr-remediation-run)」を参照してください。
# 信頼できる修復者がサポートする Compute Optimizer の推奨事項
次の表に、サポートされている Compute Optimizer の推奨事項、SSM オートメーションドキュメント、事前設定されたパラメータ、およびオートメーションドキュメントの期待される成果を示します。SSM オートメーションドキュメントでチェックの修正を有効にする前に、期待される結果を確認して、ビジネス要件に基づいて考えられるリスクを理解するのに役立ちます。
修復を有効にするサポートされているチェックについて、Compute Optimizer の各チェックに対応する設定ルールが存在することを確認します。詳細については、[Trusted Advisor 「チェック AWS Compute Optimizer のオプトイン](https://docs.aws.amazon.com/awssupport/latest/user/compute-optimizer-with-trusted-advisor.html)」を参照してください。
| 最適化オプション | SSM ドキュメント名と期待される成果 | サポートされている事前設定済みパラメータと制約 |
| --- | --- | --- |
| 適切なサイズ設定 |
| [Amazon EC2 インスタンスのレコメンデーション](https://aws.amazon.com/compute-optimizer/faqs/#topic-4) | **AWSManagedServices-TrustedRemediatorResizeInstanceByComputeOptimizerRecommendation** Compute Optimizer の推奨事項に従って Amazon EC2 インスタンスタイプが更新されました。オプションが存在する場合、最適なオプションは、同じプラットフォームパラメータ (アーキテクチャ、ハイパーバイザー、ネットワークインターフェイス、仮想化タイプなど) を維持しながら選択されます。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Amazon EBS ボリュームレコメンデーション](https://aws.amazon.com/compute-optimizer/faqs/#topic-6) | **AWSManagedServices-ModifyEBSVolume** Amazon EBS ボリュームは、Compute Optimizer の推奨事項に従って変更されます。変更には、ボリュームタイプ、サイズ、IOPS、ボリューム生成 (gp2、gp3 など) が含まれる場合があります。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Lambda 関数のレコメンデーション](https://aws.amazon.com/compute-optimizer/faqs/#topic-7) | **AWSManagedServices-TrustedRemediatorOptimizeLambdaMemory** AWS Lambda Compute Optimizer の推奨事項に従って最適化された 関数メモリ。 | **RecommendedMemorySize: **推奨オプションと異なる場合は、カスタムメモリサイズ。 制約なし |
| アイドル状態のリソース |
| [アイドル状態の Amazon EBS ボリューム](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-DeleteUnusedEBSVolume** アタッチされていない Amazon EBS ボリュームは削除されます。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [アイドル状態の Amazon EC2 インスタンス](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopEC2Instance** アイドル状態の Amazon EC2 インスタンスは停止します。 | **ForceStopWithInstanceStore**: インスタンスストアを使用してインスタンスを強制的に停止するには、「True」に設定します。強制停止しない場合は、「False」に設定します。デフォルト値の「False」は、インスタンスの停止を防ぎます。 制約なし |
| [アイドル状態の Amazon RDS インスタンス](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopIdleRDSInstance** アイドル状態の Amazon RDS インスタンスを停止します。サポートされているエンジンは、MariaDB、Microsoft SQL Server、MySQL、Oracle、PostgreSQL です。このドキュメントは、Aurora MySQL および Aurora PostgreSQL には適用されません。インスタンスは最大 7 日間停止され、自動的に再起動されます。 | 事前設定済みのパラメータは許可されません。 制約なし |
# Trusted Advisor Trusted Remediator でサポートされている チェック
次の表に、サポートされている Trusted Advisor チェック、SSM オートメーションドキュメント、事前設定されたパラメータ、およびオートメーションドキュメントの期待される結果を示します。SSM オートメーションドキュメントをチェック修復を有効にする前に、期待される結果を確認して、ビジネス要件に基づいて考えられるリスクを理解するのに役立ちます。
修復を有効にするサポートされている Trusted Advisor チェックについて、各チェックに対応する設定ルールが存在することを確認します。詳細については、[「View AWS Trusted Advisor checks powered by AWS Config](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html)」を参照してください。チェックに対応する AWS Security Hub CSPM コントロールがある場合は、Security Hub コントロールが有効になっていることを確認します。詳細については、[「Security Hub でのコントロールの有効化](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html)」を参照してください。事前設定されたパラメータの管理については、[「Trusted Remediator」の「Configure Trusted Advisor check remediation](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html)」を参照してください。
## Trusted Advisor Trusted Remediator でサポートされているコスト最適化チェック
| ID と名前を確認する | SSM ドキュメント名と期待される成果 | サポートされている事前設定済みパラメータと制約 |
| --- | --- | --- |
| [Z4AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses) 関連付けられていない Elastic IP Address | **AWSManagedServices-TrustedRemediatorReleaseElasticIP** リソースに関連付けられていない Elastic IP アドレスを解放します。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c18d2gz150](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days) - Amazon EC2 インスタンスが停止しました | **AWSManagedServices-TerminateEC2InstanceStoppedForPeriodOfTime** - 日間停止された Amazon EC2 インスタンスは終了します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 制約なし |
| [c18d2gz128 ](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy) ライフサイクルポリシーが設定されていない Amazon ECR リポジトリ。 | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy** ライフサイクルポリシーがまだ存在しない場合は、指定されたリポジトリのライフサイクルポリシーを作成します。 | **ImageAgeLimit:** Amazon ECR リポジトリ内の「任意の」イメージの最大有効期間 (1~365)。 制約なし |
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes) 利用頻度の低い Amazon EBS ボリューム | **AWSManagedServices-DeleteUnusedEBSVolume** ボリュームが過去 7 日間アタッチされていない場合、使用率の低い Amazon EBS ボリュームを削除します。Amazon EBS スナップショットはデフォルトで作成されます。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 制約なし |
| [hjLMh88uM8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers) アイドル状態の Load Balancer | **AWSManagedServices-DeleteIdleClassicLoadBalancer** アイドル状態の Classic Load Balancer が未使用で、インスタンスが登録されていない場合は削除します。 | **IdleLoadBalancerDays:** Classic Load Balancer がアイドル状態と見なす前に 0 個のリクエストされた接続がある日数。デフォルトは 7 日間です。 自動実行が有効になっている場合、アクティブなバックエンドインスタンスがない場合、オートメーションはアイドル状態の Classic Load Balancer を削除します。アクティブなバックエンドインスタンスがあるが、正常なバックエンドインスタンスがないすべてのアイドル状態の Classic Load Balancer では、自動修復は使用されず、手動修復用の OpsItems が作成されます。 |
| [Ti39halfu8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances) Amazon RDS アイドル DB インスタンス | **AWSManagedServices-StopIdleRDSInstance** 過去 7 日間アイドル状態であった Amazon RDS DB インスタンスは停止します。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size) AWS Lambda メモリサイズの過剰プロビジョニングされた関数 | **AWSManagedServices-ResizeLambdaMemory** AWS Lambda 関数のメモリサイズは、 が提供する推奨メモリサイズに変更されます Trusted Advisor。 | **RecommendedMemorySize:** Lambda 関数に推奨されるメモリ割り当て。値の範囲は 128~10240 です。 自動化の実行前に Lambda 関数のサイズが変更された場合、この自動化によって推奨値で設定が上書きされる可能性があります Trusted Advisor。 |
| [Qch7DwouX1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) 低稼働率の Amazon EC2 インスタンス | **AWSManagedServices-StopEC2Instance** (自動実行モードと手動実行モードの両方のデフォルト SSM ドキュメント) 使用率の低い Amazon EC2 インスタンスは停止します。 | **ForceStopWithInstanceStore:** インスタンスストアを使用してインスタンスを強制停止`true`するには、 に設定します。それ以外の場合は、`false` に設定します。のデフォルト値は、インスタンスの停止`false`を防ぎます。有効な値は true または false (大文字と小文字が区別されます) です。 制約なし |
| [Qch7DwouX1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) 低稼働率の Amazon EC2 インスタンス | **AWSManagedServices-ResizeInstanceByOneLevel** Amazon EC2 インスタンスは、同じインスタンスファミリータイプで 1 つのインスタンスタイプダウンでサイズ変更されます。サイズ変更オペレーション中にインスタンスが停止および開始され、SSM ドキュメントの実行が完了した後、初期状態に戻ります。このオートメーションは、Auto Scaling グループ内のインスタンスのサイズ変更をサポートしていません。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 制約なし |
| [Qch7DwouX1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) 低稼働率の Amazon EC2 インスタンス | **AWSManagedServices-TerminateInstance** 使用率の低い Amazon EC2 インスタンスは、Auto Scaling グループに含まれておらず、終了保護が有効になっていない場合に終了します。AMI はデフォルトで作成されます。 | **CreateAMIBeforeTermination:** EC2 インスタンスを終了する前にバックアップとしてインスタンス AMI `false` を作成するには、このオプションを `true`または に設定します。デフォルトは `true` です。有効な値は `true`および `false` (大文字と小文字が区別されます) です。 制約なし |
| [G31sQ1E9U](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters) 使用率の低い Amazon Redshift クラスター | **AWSManagedServices-PauseRedshiftCluster** Amazon Redshift クラスターは一時停止しています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config) Amazon S3 で不完全なマルチパートアップロードを中止するための設定 | **AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload** Amazon S3 バケットには、特定の日が経過しても不完全なマルチパートアップロードを中止するライフサイクルルールが設定されています。 | **DaysAfterInitiation:** Amazon S3 が不完全なマルチパートアップロードを停止するまでの日数。デフォルトは 7 日間に設定されています。 制約なし |
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances) インスタンスの Amazon EC2 コスト最適化の推奨事項 | から Amazon EC2 インスタンスのレコメンデーションとアイドル状態の Amazon EC2 インスタンスを使用します[信頼できる修復者がサポートする Compute Optimizer の推奨事項](tr-supported-recommendations-co.md)。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes) ボリュームの Amazon EBS コスト最適化の推奨事項 | の Amazon EBS ボリュームレコメンデーションとアイドル状態の Amazon EBS ボリュームを使用します[信頼できる修復者がサポートする Compute Optimizer の推奨事項](tr-supported-recommendations-co.md)。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) DB インスタンスの Amazon RDS コスト最適化の推奨事項 | からアイドル状態の Amazon RDS インスタンスを使用します[信頼できる修復者がサポートする Compute Optimizer の推奨事項](tr-supported-recommendations-co.md)。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) AWS Lambda 関数のコスト最適化に関する推奨事項 | から Lambda 関数のレコメンデーションを使用します[信頼できる修復者がサポートする Compute Optimizer の推奨事項](tr-supported-recommendations-co.md)。 | 事前設定済みのパラメータは許可されません。 制約なし |
## Trusted Advisor Trusted Remediator でサポートされているセキュリティチェック
| ID と名前を確認する | SSM ドキュメント名と期待される成果 | サポートされている事前設定済みパラメータと制約 |
| --- | --- | --- |
| [12Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys) 露出したアクセスキー | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey** 公開された IAM アクセスキーは非アクティブ化されます。 | 事前設定済みのパラメータは許可されません。 公開された IAM アクセスキーで設定されたアプリケーションは認証できません。 |
| Hs4Ma3G127 - API Gateway REST および WebSocket API 実行ログを有効にする必要があります 対応する AWS Security Hub CSPM チェック: [APIGateway.1](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1) | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** 実行ログ記録は API ステージで有効になっています。 | **LogLevel:** 実行ログ記録を有効にするログ記録レベル `ERROR` - ログ記録はエラーに対してのみ有効になります。 `INFO`- ログ記録はすべてのイベントで有効になっています。 実行ログを有効にするには、アカウントの CloudWatch にログを読み書きするアクセス許可を API Gateway に付与する必要があります。詳細については、[「API Gateway で REST API の CloudWatch ログ記録を設定する APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)」を参照してください。 |
| Hs4Ma3G129 - API Gateway REST API ステージでは AWS X-Ray トレースを有効にする必要があります 対応する AWS Security Hub CSPM チェック: [APIGateway.3](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3) | **AWSManagedServices-EnableApiGateWayXRayTracing** X-Ray トレースは API ステージで有効になっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G202 - API Gateway REST API キャッシュデータは保管時に暗号化する必要があります 対応する AWS Security Hub CSPM チェック: [APIGateway.5](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5) | **AWSManagedServices-EnableAPIGatewayCacheEncryption** API Gateway REST API ステージでキャッシュが有効になっている場合、API Gateway REST API キャッシュデータの保管時の暗号化を有効にします。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G177 - 対応する AWS Security Hub CSPM チェック - ロードバランサーに関連付けられた Auto Scaling グループは、ロードバランサーのヘルスチェック [AutoScaling.1](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck** Auto Scaling グループに対して Elastic Load Balancing ヘルスチェックが有効になっています。 | **HealthCheckGracePeriod:** サービスを開始した Amazon Elastic Compute Cloud インスタンスのヘルスステータスをチェックするまでに Auto Scaling が待機する秒単位の時間。 Elastic Load Balancing ヘルスチェックを有効にすると、Auto Scaling グループにアタッチされた Elastic Load Balancing ロードバランサーのいずれかが異常と報告した場合、実行中のインスタンスが置き換えられる可能性があります。詳細については、[Elastic Load Balancing ロードバランサーを Auto Scaling グループにアタッチする」を参照してください。](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html) |
| Hs4Ma3G245 - CloudFormation スタックは Amazon Simple Notification Service と統合する必要があります 対応する AWS Security Hub CSPM チェック: [CloudFormation.1](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1) | **AWSManagedServices-EnableCFNStackNotification** CloudFormation スタックを通知用の Amazon SNS トピックに関連付けます。 | **NotificationARNs** 選択した CloudFormation スタックに関連付ける Amazon SNS トピックの ARNs。 自動修復を有効にするには、`NotificationARNs`事前設定されたパラメータを指定する必要があります。 |
| Hs4Ma3G210 - CloudFront ディストリビューションではログ記録が有効になっている必要があります 対応する AWS Security Hub CSPM チェック: [CloudFront.2](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5) | **AWSManagedServices-EnableCloudFrontDistributionLogging** ログ記録は Amazon CloudFront ディストリビューションで有効になっています。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) この修復の制約については、[CloudFront ディストリビューションのログ記録を有効にするにはどうすればよいですか?」を参照してください。](https://repost.aws/knowledge-center/cloudfront-logging-requests) |
| Hs4Ma3G109 - CloudTrail ログファイルの検証を有効にする必要があります 対応する AWS Security Hub CSPM チェック: [CloudTrail.4](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4) | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation** CloudTrail 証跡ログの検証を有効にします。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G108 - CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります 対応する AWS Security Hub CSPM チェック: [CloudTrail.5](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5) | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch** AWS CloudTrail は CloudWatch Logs と統合されています。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G217 - CodeBuild プロジェクト環境にはログ記録 AWS 設定が必要です 対応する AWS Security Hub CSPM チェック: [CodeBuild.4](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4) | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig** CodeBuild プロジェクトのログ記録を有効にします。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G306 - Neptune DB クラスターでは削除保護を有効にする必要があります 対応する AWS Security Hub CSPM チェック: [DocumentDB.3](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot** Amazon DocumentDB 手動クラスタースナップショットからパブリックアクセスを削除します。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G308 - Amazon DocumentDB クラスターでは削除保護が有効になっている必要があります 対応する AWS Security Hub CSPM チェック: [DocumentDB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection** Amazon DocumentDB クラスターの削除保護を有効にします。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G323 - DynamoDB テーブルでは削除保護を有効にする必要があります 対応する AWS Security Hub CSPM チェック: [DynamoDB.6](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection** AMS 以外の DynamoDB テーブルの削除保護を有効にします。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [ePs02jT06w](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots) - Amazon EBS パブリックスナップショット | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot** Amazon EBS スナップショットのパブリックアクセスは無効になっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G118 - VPC のデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください 対応する AWS Security Hub CSPM チェック: [EC2.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG** デフォルトのセキュリティグループ内のすべての進入ルールと退出ルールが削除されます。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G117 - アタッチされた EBS ボリュームは保管時に暗号化する必要があります 対応する AWS Security Hub CSPM チェック: [EC2.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) | **AWSManagedServices-EncryptInstanceVolume** インスタンスにアタッチされた Amazon EBS ボリュームは暗号化されます。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) インスタンスは修復の一部として再起動され、 `DeleteStaleNonEncryptedSnapshotBackups`が復元`false`に役立つ に設定されている場合はロールバックが可能です。 |
| Hs4Ma3G120 - 停止した EC2 インスタンスは、指定された期間後に削除する必要があります 対応する AWS Security Hub CSPM チェック: [EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateInstance** (自動実行モードと手動実行モードの両方のデフォルト SSM ドキュメント) 30 日間停止した Amazon EC2 インスタンスは終了します。 | **CreateAMIBeforeTermination:**。EC2 インスタンスを終了する前にインスタンス AMI をバックアップとして作成するには、 を選択します`true`。終了する前にバックアップを作成しない場合は、 を選択します`false`。デフォルトは `true` です。 制約なし |
| Hs4Ma3G120 - 停止した EC2 インスタンスは、指定された期間後に削除する必要があります 対応する AWS Security Hub CSPM チェック: [EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateEC2InstanceStoppedForPeriodOfTime** - Security Hub で定義された日数の間停止された Amazon EC2 インスタンス (デフォルト値は 30) は終了します。 | **CreateAMIBeforeTermination:** EC2 インスタンスを終了する前にインスタンス AMI をバックアップとして作成するには、 を選択します`true`。終了する前にバックアップを作成しない場合は、 を選択します`false`。デフォルトは `true` です。 制約なし |
| Hs4Ma3G121 - EBS のデフォルトの暗号化を有効にする必要があります 対応する AWS Security Hub CSPM チェック: [EC2.7](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7) | **AWSManagedServices-EncryptEBSByDefault** 特定の に対して Amazon EBS 暗号化がデフォルトで有効になっている AWS リージョン | 事前設定済みのパラメータは許可されません。 デフォルトでの暗号化はリージョン固有の設定です。リージョンに対して有効にした場合、そのリージョンの個々のボリュームまたはスナップショットに対して無効にすることはできません。 |
| Hs4Ma3G124 - Amazon EC2 インスタンスはインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります 対応する AWS Security Hub CSPM チェック: [EC2.8](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) | **AWSManagedServices-TrustedRemediator****EnableEC2InstanceIMDSv2** Amazon EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 制約なし |
| Hs4Ma3G207 - EC2 サブネットはパブリック IP アドレスを自動的に割り当てないでください 対応する AWS Security Hub CSPM チェック: [EC2.15](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15) | **AWSManagedServices-UpdateAutoAssignPublicIpv4Addresses** VPC サブネットは、パブリック IP アドレスを自動的に割り当てないように設定されています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G209 - 未使用のネットワークアクセスコントロールリストが削除されます 対応する AWS Security Hub CSPM チェック: [EC2.16](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16) | **AWSManagedServices-DeleteUnusedNACL** 未使用のネットワーク ACL を削除する | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G215 - 未使用の Amazon EC2 セキュリティグループを削除する必要があります 対応する AWS Security Hub CSPM チェック: [EC2.22](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22) | **AWSManagedServices-DeleteSecurityGroups** 未使用のセキュリティグループを削除します。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G247 - Amazon EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け入れないでください 対応する AWS Security Hub CSPM チェック: [EC2.23](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach** - 指定された非 AMS Amazon EC2 Transit Gateway の VPC アタッチメントリクエストの自動承認を無効にします。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G235 - ECR プライベートリポジトリにはタグのイミュータビリティを設定する必要があります 対応する AWS Security Hub CSPM チェック: [ECR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability** 指定されたリポジトリのイメージタグのミュータビリティ設定を IMMUTABLE に設定します。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G216 - ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーを設定する必要があります 対応する AWS Security Hub CSPM チェック: [ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy** ECR リポジトリにはライフサイクルポリシーが設定されています。 | **LifecyclePolicyText:** リポジトリに適用する JSON リポジトリポリシーテキスト。 自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 **LifecyclePolicyText** |
| Hs4Ma3G325 - EKS クラスターでは監査ログ記録が有効になっている必要があります 対応する AWS Security Hub CSPM チェック: [EKS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog** 監査ログは EKS クラスターで有効になっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G183 - Application Load Balancer は HTTP ヘッダーを削除するように設定する必要があります 対応する AWS Security Hub CSPM チェック: [ELB.4](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4) | **AWSConfigRemediation-DropInvalidHeadersForALB** Application Load Balancer は、無効なヘッダーフィールドに設定されています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G184 - Application Load Balancer と Classic Load Balancer のログ記録を有効にする必要があります 対応する AWS Security Hub CSPM チェック: [ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLogging (自動実行モードと手動実行モードの両方のデフォルト SSM ドキュメント)** Application Load Balancer と Classic Load Balancer のログ記録が有効になっています。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) Amazon S3 バケットには、バケットにアクセスログを書き込むアクセス許可を Elastic Load Balancing に付与するバケットポリシーが必要です。 |
| Hs4Ma3G184 - Application Load Balancer と Classic Load Balancer のログ記録を有効にする必要があります 対応する AWS Security Hub CSPM チェック: [ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLoggingV2** Application Load Balancer と Classic Load Balancer のログ記録が有効になっています。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G326 - Amazon EMR パブリックアクセスブロック設定を有効にする必要があります 対応する AWS Security Hub CSPM チェック: [EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess** アカウントの Amazon EMR ブロックパブリックアクセス設定がオンになっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G135 - AWS KMS キーを意図せずに削除しないでください 対応する AWS Security Hub CSPM チェック: [KMS.3](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) | **AWSManagedServices-CancelKeyDeletion** AWS KMS キーの削除はキャンセルされます。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G299 - Amazon DocumentDB 手動クラスタースナップショットは公開しないでください 対応する AWS Security Hub CSPM チェック: [Neptune.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection** Amazon Neptune クラスターの削除保護を有効にします。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G319 - Network Firewall ファイアウォールで削除保護を有効にする必要があります 対応する AWS Security Hub CSPM チェック: [NetworkFirewall.9](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection** - AWS Network Firewall の削除保護を有効にします。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G223 - OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります 対応する AWS Security Hub CSPM チェック: [OpenSearch.3](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3) | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption** ノード間の暗号化は、ドメインに対して有効になっています。 | 事前設定済みのパラメータは許可されません。 node-to-node暗号化を有効にすると、 設定を無効にすることはできません。代わりに、暗号化されたドメインの手動スナップショットを作成し、別のドメインを作成し、データを移行してから、古いドメインを削除します。 |
| Hs4Ma3G222 - CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります 対応する AWS Security Hub CSPM チェック: [Opensearch.4](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch ドメインでエラーログ記録が有効になっています。 | CloudWatchLogGroupArn: anAmazon CloudWatch Logs ロググループの ARN。 自動修復を有効にするには、**CloudWatchLogGroupArn** という事前設定済みのパラメータを指定する必要があります。 Amazon CloudWatch リソースポリシーは、 アクセス許可で設定する必要があります。詳細については、*「Amazon OpenSearch Service ユーザーガイド*」の[「監査ログの有効化](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling)」を参照してください。 |
| Hs4Ma3G221 - OpenSearch ドメインでは監査ログ記録が有効になっている必要があります 対応する AWS Security Hub CSPM チェック: [Opensearch.5](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch ドメインは、監査ログ記録を有効にして設定されます。 | **CloudWatchLogGroupArn:** ログを発行する CloudWatch Logs グループの ARN。 自動修復を有効にするには、次の事前設定済みパラメータを指定する必要があります。**CloudWatchLogGroupArn** Amazon CloudWatch リソースポリシーは、 アクセス許可で設定する必要があります。詳細については、*「Amazon OpenSearch Service ユーザーガイド*」の[「監査ログの有効化](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling)」を参照してください。 |
| Hs4Ma3G220 - OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります 対応する AWS Security Hub CSPM チェック: [Opensearch.8](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2** TLS ポリシーはPolicy-Min-TLS-1-2-2019-07」に設定され、HTTPS (TLS) 経由の暗号化された接続のみが許可されます。 | 事前設定済みのパラメータは許可されません。 TLS 1.2 を使用するには、OpenSearch ドメインへの接続が必要です。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。この機能を使用してアプリケーションをテストし、パフォーマンスプロファイルと TLS の影響を理解します。 |
| Hs4Ma3G194 - Amazon RDS スナップショットはプライベートである必要があります 対応する AWS Security Hub CSPM チェック: [RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** Amazon RDS スナップショットのパブリックアクセスは無効になっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G192 - RDS DB インスタンスは、PubliclyAccessible AWS 設定によって決定されるパブリックアクセスを禁止する必要があります 対応する AWS Security Hub CSPM チェック: [RDS.2](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance** RDS DB インスタンスのパブリックアクセスを無効にします。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G189 - Amazon RDS DB インスタンス用に拡張モニタリングが設定されています 対応する AWS Security Hub CSPM チェック: [RDS.6](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring** Amazon RDS DB インスタンスの拡張モニタリングを有効にする | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 自動化の実行前に拡張モニタリングが有効になっている場合、事前設定されたパラメータで設定された MonitoringInterval 値と MonitoringRoleName 値を使用して、この自動化によって設定が上書きされる可能性があります。 |
| Hs4Ma3G190 - Amazon RDS クラスターでは削除保護が有効になっている必要があります 対応する AWS Security Hub CSPM チェック: [RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** 削除保護は Amazon RDS クラスターで有効になっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G198 - Amazon RDS DB インスタンスでは削除保護が有効になっている必要があります 対応する AWS Security Hub CSPM チェック: [RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** 削除保護は Amazon RDS インスタンスで有効になっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G199 - RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります 対応する AWS Security Hub CSPM チェック: [RDS.9](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports** RDS DB インスタンスまたは RDS DB クラスターで RDS ログのエクスポートが有効になっています。 | 事前設定済みのパラメータは許可されません。 サービスにリンクされたロール [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) が必要です。 |
| Hs4Ma3G160 - RDS インスタンスには IAM 認証を設定する必要があります 対応する AWS Security Hub CSPM チェック: [RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** AWS Identity and Access Management 認証は RDS インスタンスに対して有効になっています。 | **ApplyImmediately:** このリクエストの変更と保留中の変更ができるだけ早く非同期的に適用されるかどうかを示します。変更をすぐに適用するには、 を選択します`true`。次のメンテナンスウィンドウの変更をスケジュールするには、 を選択します`false`。 制約なし |
| Hs4Ma3G161 - RDS クラスターには IAM 認証を設定する必要があります 対応する AWS Security Hub CSPM チェック: [RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** RDS クラスターで IAM 認証が有効になっています。 | **ApplyImmediately:** このリクエストの変更と保留中の変更ができるだけ早く非同期的に適用されるかどうかを示します。変更をすぐに適用するには、 を選択します`true`。次のメンテナンスウィンドウの変更をスケジュールするには、 を選択します`false`。 制約なし |
| Hs4Ma3G162 - RDS 自動マイナーバージョンアップグレードを有効にする必要があります 対応する AWS Security Hub CSPM チェック: [RDS.13](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade** Amazon RDS の自動マイナーバージョンアップグレード設定が有効になっています。 | 事前設定済みのパラメータは許可されません。 この修復を実行するには、Amazon RDS インスタンスが `available`状態である必要があります。 |
| Hs4Ma3G163 - RDS DB クラスターは、スナップショットにタグをコピーするように設定する必要があります 対応する AWS Security Hub CSPM チェック: [RDS.16](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagtosnapshot` Amazon RDS クラスターの 設定が有効になっています。 | 事前設定済みのパラメータは許可されません。 この修復を実行するには、Amazon RDS インスタンスが使用可能な状態である必要があります。 |
| Hs4Ma3G164 - RDS DB インスタンスは、スナップショットにタグをコピーするように設定する必要があります 対応する AWS Security Hub CSPM チェック: [RDS.17](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagsToSnapshot` Amazon RDS の 設定が有効になっています。 | 事前設定済みのパラメータは許可されません。 この修復を実行するには、Amazon RDS インスタンスが使用可能な状態である必要があります。 |
| [rSs93HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots) Amazon RDS パブリックスナップショット | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** Amazon RDS スナップショットのパブリックアクセスは無効になっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G103 - Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります 対応する AWS Security Hub CSPM チェック: [Redshift.1](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster** Amazon Redshift クラスターでのパブリックアクセスは無効になっています。 | 事前設定済みのパラメータは許可されません。 パブリックアクセスを無効にすると、インターネットからのすべてのクライアントがブロックされます。また、Amazon Redshift クラスターは数分間変更状態になり、修復によりクラスターへのパブリックアクセスが無効になります。 |
| Hs4Ma3G106 - Amazon Redshift クラスターでは監査ログ記録が有効になっている必要があります 対応する AWS Security Hub CSPM チェック: [Redshift.4](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging** 監査ログ記録は、メンテナンスウィンドウ中に Amazon Redshift クラスターに対して有効になります。 | 事前設定済みのパラメータは許可されません。 自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 **BucketName:** バケットは同じ にある必要があります AWS リージョン。クラスターには、読み取りバケットと put オブジェクトのアクセス許可が必要です。 自動化の実行前に Redshift クラスターのログ記録が有効になっている場合、ログ記録設定は、事前設定されたパラメータで設定された `BucketName`および `S3KeyPrefix`値を使用して、この自動化によって上書きされる可能性があります。 |
| Hs4Ma3G105 - Amazon Redshift では、メジャーバージョンへの自動アップグレードを有効にする必要があります 対応する AWS Security Hub CSPM チェック: [Redshift.6](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade** - メジャーバージョンアップグレードは、メンテナンスウィンドウ中にクラスターに自動的に適用されます。Amazon Redshift クラスターには即時のダウンタイムはありませんが、メジャーバージョンにアップグレードすると、Amazon Redshift クラスターのメンテナンス期間中にダウンタイムが発生する可能性があります。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G104 - Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります 対応する AWS Security Hub CSPM チェック: [Redshift.7](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting** Amazon Redshift クラスターでは、拡張 VPC ルーティングが有効になっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G173 - S3 パブリックアクセスブロック設定はバケットレベルで有効にする必要があります 対応する AWS Security Hub CSPM チェック: [S3.8](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8) | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** バケットレベルのパブリックアクセスブロックは、Amazon S3 バケットに適用されます。 | 事前設定済みのパラメータは許可されません。 この修復は、S3 オブジェクトの可用性に影響する可能性があります。Amazon S3 がアクセスを評価する方法の詳細については、[Amazon S3ストレージへのパブリックアクセスのブロック](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)」を参照してください。 |
| Hs4Ma3G230 - S3 バケットサーバーアクセスのログ記録を有効にする必要があります 対応する AWS Security Hub CSPM チェック: [S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-EnableBucketAccessLogging** (自動実行モードと手動実行モードの両方のデフォルト SSM ドキュメント) Amazon S3 サーバーアクセスのログ記録が有効になっています。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 自動修復を有効にするには、**TargetBucket** という事前設定済みのパラメータを指定する必要があります。 レプリケート先バケットは、ログ配信の正しいアクセス許可を持つレプリケート元バケットと同じ AWS リージョン および AWS アカウント にある必要があります。詳細については、「[Amazon S3 サーバーアクセスログを有効にします](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)」を参照してください。 |
| Hs4Ma3G230 – S3 バケットサーバーアクセスのログ記録を有効にする必要があります 対応する AWS Security Hub CSPM チェック: [S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** - Amazon S3 バケットのログ記録が有効になっています。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 自動修復を有効にするには、**TargetBucketTagKey** と **TargetBucketTagValue** のパラメータを指定する必要があります。 レプリケート先バケットは、ログ配信の正しいアクセス許可を持つレプリケート元バケットと同じ AWS リージョン および AWS アカウント にある必要があります。詳細については、「[Amazon S3 サーバーアクセスログを有効にします](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)」を参照してください。 |
| [Pfx0RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) Amazon S3 バケット許可 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** パブリックアクセスをブロックする | 事前設定済みのパラメータは許可されません。 このチェックは、複数のアラート条件で構成されます。この自動化は、パブリックアクセスの問題を修正します。で Trusted Advisor フラグ付けされた他の設定の問題の修復はサポートされていません。この修復は、 AWS のサービス 作成された S3 バケット (cf-templates-000000000000 など) の修復をサポートします。 |
| Hs4Ma3G272 - ユーザーには SageMaker ノートブックインスタンスへのルートアクセスを許可しないでください 対応する AWS Security Hub CSPM チェック: [SageMaker.3](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3) | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess** SageMaker ノートブックインスタンスでは、ユーザーのルートアクセスは無効になっています。 | 事前設定済みのパラメータは許可されません。 この修復により、SageMaker ノートブックインスタンスが InService 状態の場合、停止が発生します。 |
| Hs4Ma3G179 - SNS トピックは保管時に を使用して暗号化する必要があります AWS KMS 対応する AWS Security Hub CSPM チェック: [SNS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) | **AWSManagedServices-EnableSNSEncryptionAtRest** SNS トピックはサーバー側の暗号化で設定されます。 | **KmsKeyId:** サーバー側の暗号化 (SSE) に使用される Amazon SNS またはカスタム CMK の AWS マネージドカスタマーマスターキー (CMK) の ID。デフォルトでは `alias/aws/sns` に設定されています。 カスタム AWS KMS キーを使用する場合は、正しいアクセス許可で設定する必要があります。詳細については、[Amazon SNSを有効にする](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html)」を参照してください。 |
| Hs4Ma3G158 - SSM ドキュメントは公開しないでください 対応する AWS Security Hub CSPM チェック: [SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing** - SSM ドキュメントのパブリック共有を無効にします。 | 事前設定済みのパラメータは許可されません。 制約なし |
| Hs4Ma3G136 - Amazon SQS キューは保管時に暗号化する必要があります 対応する AWS Security Hub CSPM チェック: [SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest** Amazon SQS のメッセージは暗号化されます。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 暗号化されたキューへの匿名 SendMessage および ReceiveMessage リクエストは拒否されます。SSE が有効なキューへのすべてのリクエストでは必ず、HTTPSと署名バージョン4 を使用する必要があります。 |
## Trusted Advisor Trusted Remediator でサポートされている耐障害性チェック
| ID と名前を確認する | SSM ドキュメント名と期待される成果 | サポートされている事前設定済みパラメータと制約 |
| --- | --- | --- |
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery) Amazon DynamoDB のポイントインタイムリカバリ | **AWSManagedServices-TrustedRemediatorEnableDDBPITR** DynamoDB テーブルのpoint-in-timeリカバリを有効にします。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [R365s2Qddf](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) Amazon S3 バケットバージョニング | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning** Amazon S3 バケットのバージョニングが有効になっています。 | 事前設定済みのパラメータは許可されません。 この修復は、 AWS のサービス 作成された S3 バケット (cf-templates-000000000000 など) の修復をサポートしていません。 |
| [BueAdJ7NrP](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging) Amazon S3 バケットロギング | **AWSManagedServices-EnableBucketAccessLogging** Amazon S3 バケットのログ記録が有効になっています。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) レプリケート先バケットは、ログ配信の正しいアクセス許可を持つレプリケート元バケットと同じ AWS リージョン および AWS アカウント にある必要があります。詳細については、「[Amazon S3 サーバーアクセスログを有効にします](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)」を参照してください。 |
| [f2iK5R6Dep](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az) Amazon RDS Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ** マルチアベイラビリティーゾーンのデプロイが有効になっています。 | 事前設定済みのパラメータは許可されません。 この変更中にパフォーマンスが低下する可能性があります。 |
| [H7IgTzjTYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots) Amazon EBS スナップショット | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot** Amazon EBSsnapshotsが作成されます。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [opQPADkZvH](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) RDS バックアップ | **AWSManagedServices-EnableRDSBackupRetention** DB に対して Amazon RDS バックアップ保持が有効になっています。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) `ApplyImmediately` パラメータが に設定されている場合`true`、db の保留中の変更が RDSBackup 保持設定とともに適用されます。 |
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Amazon RDS DB インスタンスのストレージの自動スケーリングが無効になっています | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling** - Amazon RDS DB インスタンスでストレージの自動スケーリングが有効になっています。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 制約なし |
| [7qGXsKIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining) Classic Load Balancer 接続ドレイン | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining** Classic Load Balancer で接続ドレイニングが有効になっています。 | **ConnectionDrainingTimeout:** インスタンスの登録を解除する前に既存の接続を開いたままにする最大時間を秒単位で表します。デフォルトは `300`秒に設定されています。 制約なし |
| [c18d2gz106](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan) Amazon EBS が AWS Backup プランに含まれていない | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan** Amazon EBS は AWS Backup プランに含まれています。 | 修復では、Amazon EBS ボリュームに次のタグペアがタグ付けされます。タグペアは、タグベースのリソース選択基準と一致する必要があります AWS Backup。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 制約なし |
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan) Amazon DynamoDB テーブルが AWS Backup プランに含まれていない | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan**AddDynamoDBToBackupPlan Amazon DynamoDB テーブルは AWS Backup プランに含まれています。 | 修復では、Amazon DynamoDB に次のタグペアがタグ付けされます。タグペアは、タグベースのリソース選択基準と一致する必要があります AWS Backup。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 制約なし |
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan) Amazon EFS が AWS Backup プランに含まれていない | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan** Amazon EFS は AWS Backup プランに含まれています。 | 修復では、Amazon EFS に次のタグペアがタグ付けされます。タグペアは、タグベースのリソース選択基準と一致する必要があります AWS Backup。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 制約なし |
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing) Network Load Balancer のクロスロードバランシング | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing** Network Load Balancer ではクロスゾーン負荷分散が有効になっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off) Amazon RDS `synchronous_commit`パラメータがオフになっている | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS のパラメータ`synchronous_commit`がオンになっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off) Amazon RDS `innodb_flush_log_at_trx_commit`パラメータは ではありません `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS `1`のパラメータ`innodb_flush_log_at_trx_commit`は に設定されています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off) Amazon RDS `sync_binlog`パラメータがオフになっている | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS のパラメータ`sync_binlog`がオンになっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe) Amazon RDS `innodb_default_row_format`パラメータ設定が安全ではない | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS `DYNAMIC`のパラメータ`innodb_default_row_format`は に設定されています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c18d2gz144](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled) Amazon EC2 詳細モニタリングが有効化されていません | **AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring** 詳細モニタリングは Amazon EC2 で有効になっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
## Trusted Advisor Trusted Remediator でサポートされているパフォーマンスチェック
| ID と名前を確認する | SSM ドキュメント名と期待される成果 | サポートされている事前設定済みパラメータと制約 |
| --- | --- | --- |
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size) AWS Lambda メモリサイズのプロビジョニング不足関数 | **AWSManagedServices-ResizeLambdaMemory** Lambda 関数のメモリサイズは、 が提供する推奨メモリサイズに変更されます Trusted Advisor。 | **RecommendedMemorySize:** Lambda 関数の推奨メモリ割り当て。値の範囲は 128~10240 です。 自動化の実行前に Lambda 関数のサイズが変更された場合、この自動化は推奨値で設定を上書きする可能性があります Trusted Advisor。 |
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances) 使用率の高い Amazon EC2 インスタンス | **AWSManagedServices-ResizeInstanceByOneLevel** Amazon EC2 インスタンスのサイズは、同じインスタンスファミリータイプで 1 つのインスタンスタイプごとに変更されます。インスタンスはサイズ変更オペレーション中に停止および開始され、実行の完了後に初期状態に戻ります。この自動化は、Auto Scaling グループ内のインスタンスのサイズ変更をサポートしていません。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 制約なし |
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal) 最適値未満を使用する Amazon RDS `innodb_change_buffering`パラメータ | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS `NONE`の場合、 `innodb_change_buffering`パラメータの値は に設定されます。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off) Amazon RDS `autovacuum`パラメータがオフになっている | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS のパラメータ`autovacuum`がオンになっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off) Amazon RDS `enable_indexonlyscan`パラメータがオフになっている | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS のパラメータ`enable_indexonlyscan`がオンになっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off) Amazon RDS `enable_indexscan`パラメータがオフになっている | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS のパラメータ`enable_indexscan`がオンになっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off) Amazon RDS `innodb_stats_persistent`パラメータがオフになっている | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS のパラメータ`innodb_stats_persistent`がオンになっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on) Amazon RDS `general_logging`パラメータがオンになっている | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS のパラメータ`general_logging`は無効になっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
## Trusted Advisor Trusted Remediator でサポートされているサービス制限チェック
| ID と名前を確認する | SSM ドキュメント名と期待される成果 | サポートされている事前設定済みパラメータと制約 |
| --- | --- | --- |
| [lN7RR0l7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address) EC2-VPC Elastic IP アドレス | **AWSManagedServices-UpdateVpcElasticIPQuota** EC2-VPC Elastic IP アドレスの新しい制限がリクエストされます。デフォルトでは、制限は 3 つ引き上げられます。 | **増分:** 現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。 |
| [kM7QQ0l7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways) VPC インターネットゲートウェイ | **AWSManagedServices-IncreaseServiceQuota** - VPC インターネットゲートウェイの新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。 | **増分:** 現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。 |
| [jL7PP0l7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check) VPC | **AWSManagedServices-IncreaseServiceQuota** VPC の新しい制限がリクエストされます。デフォルトでは、制限は 3 つ引き上げられます。 | **増分:** 現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。 |
| [fW7HH0l7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups) Auto Scaling グループ | **AWSManagedServices-IncreaseServiceQuota** Auto Scaling グループの新しい制限がリクエストされます。デフォルトでは、制限は 3 つ引き上げられます。 | **増分:** 現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。 |
| [3Njm0DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups) RDS オプショングループ | **AWSManagedServices-IncreaseServiceQuota** Amazon RDS オプショングループの新しい制限がリクエストされます。デフォルトでは、制限は 3 つ引き上げられます。 | **増分:** 現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。 |
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers) ELB Application Load Balancer | **AWSManagedServices-IncreaseServiceQuota** ELB Application Load Balancer の新しい制限がリクエストされます。デフォルトでは、制限は 3 つ引き上げられます。 | **増分:** 現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。 |
| [8wIqYSt25K](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers) ELB Network Load Balancer | **AWSManagedServices-IncreaseServiceQuota** ELB Network Load Balancer の新しい制限がリクエストされます。デフォルトでは、制限は 3 つ引き上げられます。 | **増分:** 現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。 |
## Trusted Advisor Trusted Remediator でサポートされているオペレーショナルエクセレンスチェック
| ID と名前を確認する | SSM ドキュメント名と期待される成果 | サポートされている事前設定済みパラメータと制約 |
| --- | --- | --- |
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled) Amazon API Gateway が実行ログを記録しない | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** API ステージで実行ログ記録が有効になっています。 | 事前設定済みのパラメータは許可されません。 実行ログを有効にするには、アカウントの CloudWatch にログを読み書きするアクセス許可を API Gateway に付与する必要があります。詳細については、[「API Gateway で REST API の CloudWatch ログ記録を設定する APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)」を参照してください。 |
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled) ロードバランサーの Elastic Load Balancing 削除保護が有効になっていない | **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection** - Elastic Load Balancer の削除保護が有効になっています。 | 事前設定済みのパラメータは許可されません。 制約なし |
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off) Amazon RDS Performance Insights は無効になっています | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights** Amazon RDS で Performance Insights が有効になっています。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 制約なし |
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled) Amazon S3 アクセスログが有効 | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** Amazon S3 バケットアクセスのログ記録が有効になっています。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/tr-supported-checks.html) 自動修復を有効にするには、**TargetBucketTagKey** と **TargetBucketTagValue** の事前設定済みパラメータを指定する必要があります。 レプリケート先バケットは、ログ配信の正しいアクセス許可を持つレプリケート元バケットと同じ AWS リージョン および AWS アカウント にある必要があります。詳細については、「[Amazon S3 サーバーアクセスログを有効にします](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)」を参照してください。 |
# Trusted Remediator で Trusted Advisor チェック修復を設定する
設定は、信頼できる修復アプリケーション AWS AppConfig の一部として に保存されます。各 Trusted Advisor チェックカテゴリには個別の設定プロファイルがあります。 Trusted Advisor カテゴリの詳細については、[「チェックカテゴリを表示する](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor.html#view-check-categories)」を参照してください。
修復は、リソースベースまたは Trusted Advisor チェックベースで設定できます。リソースタグを使用して例外を適用できます。
**注記**
Trusted Advisor 検出結果の修復は現在 を使用して設定されており AWS AppConfig、この機能は現在完全にサポートされています。AMS は、今後これが変化すると予測しています。この方法は変更される可能性があるため AWS AppConfig、 に依存するオートメーションの構築を避けることがベストプラクティスです。互換性を確保するために、将来の現在の AWS AppConfig 実装を中心に構築されたオートメーションを更新または変更する必要がある場合があります。
Compute Optimizer -> EC2 インスタンス機能フラグには追加のパラメータがあります。
**allow-upscale** プロビジョニング不足で最適化されていない EC2 インスタンスのアップスケールを許可します。デフォルト値は『false』です。
**min-savings-opportunity-percentage** 自動修復の最小削減率の機会。デフォルト値は 10% です
## デフォルトの修復設定
個々の Trusted Advisor チェックの設定は AWS AppConfig フラグとして保存されます。フラグ名はチェック名と一致します。各チェック設定には、次の属性が含まれます。
+ **execution-mode:** Trusted Remediator がデフォルトの修復を実行する方法を決定します。
+ **自動:** Trusted Remediator は、OpsItem を作成し、SSM ドキュメントを実行してから、正常に実行された後に OpsItem を解決することで、リソースを自動的に修復します。
+ **手動:** OpsItem が作成されますが、SSM ドキュメントは自動的に実行されません。 AWS Systems Manager OpsCenter コンソールの OpsItem から SSM ドキュメントを確認して手動で実行します。
+ **条件付き:** 修復はデフォルトで無効になっています。タグを使用して、特定のリソースに対して有効にできます。詳細については、以下のセクション[リソースタグを使用して修復をカスタマイズする](#tr-con-rem-customize-tags)と を参照してください[リソースオーバーライドタグを使用して修復をカスタマイズする](#tr-con-rem-resource-override)。
+ **非アクティブ:** 修復は行われず、OpsItem は作成されません。非アクティブに設定されている Trusted Advisor チェックの実行モードを上書きすることはできません。
+ **preconfigured-parameters:** 自動修復に必要な SSM ドキュメントパラメータの値を の形式でカンマ (,) `Parameter=Value` で区切って入力します。各チェックの関連する SSM ドキュメントでサポートされている事前設定済みパラメータ[Trusted Advisor Trusted Remediator でサポートされている チェック](tr-supported-checks.md)については、「」を参照してください。
+ **alternative-automation-document:** この属性は、既存のオートメーションドキュメントをサポートされている別のドキュメント (特定のチェックで利用可能な場合) で上書きするのに役立ちます。デフォルトでは、この属性は選択されません。
**注記**
`alternative-automation-document` 属性はカスタムオートメーションドキュメントをサポートしていません。にリストされている既存のサポートされている Trusted Remediator オートメーションドキュメントを使用できます[Trusted Advisor Trusted Remediator でサポートされている チェック](tr-supported-checks.md)。
たとえば、 のチェックには`Qch7DwouX1`、AWSManagedServices-StopEC2InstanceAWSManagedServices-ResizeInstanceByOneLevel、および AWSManagedServices-TerminateInstance の 3 つの関連 SSM ドキュメントがあります。の値は、AWSManagedServices-ResizeInstanceByOneLevel または AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance は を修復するデフォルトの SSM ドキュメントです`Qch7DwouX1`) のいずれか`alternative-automation-document`です。
各属性の値は、その属性の制約と一致する必要があります。
**ヒント**
Trusted Advisor チェックにデフォルト設定を適用する前に、以下のセクションで説明するリソースタグ付けとリソースオーバーライド機能の使用を検討することをお勧めします。デフォルト設定はアカウント内のすべてのリソースに適用されますが、必ずしも望ましくない場合があります。
以下は、**実行モード**を**手動**に設定し、制約に一致する属性を持つコンソールのスクリーンショットの例です。
![\[信頼できる修復の実行モードの決定ワークフローの図。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/tr-exe-mode-man-new.png)
## リソースタグを使用して修復をカスタマイズする
チェック設定の**automated-for-tagged-only**属性と**manual-for-tagged-only**属性を使用すると、個々のチェックを修復する方法のリソースタグを指定できます。同じタグを共有するリソースのグループに一貫した修復動作を適用する必要がある場合は、この方法を使用することをお勧めします。これらのタグの説明を次に示します。
+ **automated-for-tagged-only:** デフォルトの実行モードに関係なく、自動的に修正するチェックのリソースタグ (1 つ以上のタグペア、カンマ区切り) を指定します。
+ **manual-for-tagged-only:** デフォルトの実行モードに関係なく、手動で実行する必要がある修復のリソースタグ (1 つ以上のタグペア、カンマ区切り) を指定します。
たとえば、すべての非本番稼働用リソースの自動修復を有効にし、本番稼働用リソースに手動修復を適用する場合は、次のように設定します。
```
"execution-mode": "Conditional",
"automated-for-tagged-only": "Environment=Non-Production",
"manual-for-tagged-only": "Environment=Production",
```
前述の設定をリソースに設定すると、修復動作は次のようになります。
+ 「Environment=Non-Production」でタグ付けされたリソースは自動的に修正されます。
+ 「Environment=Production」でタグ付けされたリソースには、修復のための手動介入が必要です。
+ 「環境」タグのないリソースは、デフォルトの実行モード (この場合は「条件付き」) に従います。 したがって、残りのリソースに対してアクションは実行されません)。
設定の追加サポートについては、Cloud Architect にお問い合わせください。
## リソースオーバーライドタグを使用して修復をカスタマイズする
リソースオーバーライドタグを使用すると、タグに関係なく、個々のリソースの修復動作をカスタマイズできます。リソースに特定のタグを追加することで、そのリソースのデフォルトの実行モードと Trusted Advisor チェックを上書きします。リソースオーバーライドタグは、デフォルト設定およびリソースタグ付け設定よりも優先されます。したがって、リソースオーバーライドタグを使用してリソースのデフォルトの実行モードを**自動**、**手動**、または**条件付き**に設定すると、デフォルトの実行モードとリソースのタグ付け設定が上書きされます。
リソースの実行モードを上書きするには、次の手順を実行します。
1. 修復設定を上書きするリソースを特定します。
1. 上書きする Trusted Advisor チェックのチェック ID を決定します。サポートされているチェックIDs は、 にあります[Trusted Advisor Trusted Remediator でサポートされている チェック](tr-supported-checks.md)。 Trusted Advisor
1. 次のキーと値を使用して、リソースにタグを追加します。
+ **タグキー:** `TR-Trusted Advisor check ID-Execution-Mode` (大文字と小文字を区別)
前述のタグキーの例では、 を上書きする Trusted Advisor チェックの一意の識別子`Trusted Advisor check ID`に置き換えます。
+ **タグ値:** タグ値には次のいずれかの値を使用します。
+ **自動:** Trusted Remediator は、この Trusted Advisor チェックのリソースを自動的に修復します。
+ **手動:** リソースに対して OpsItem が作成されますが、修復は自動的に実行されません。OpsItem から修復を手動で確認して実行します。
+ **非アクティブ:** このリソースと指定された Trusted Advisor チェックでは、修復と OpsItem の作成は実行されません。
たとえば、 Trusted Advisor チェック ID を使用して Amazon EBS ボリュームを自動的に修復するには、EBS ボリュームにタグ`DAvU99Dc4C`を追加します。**タグキー**は `TR-DAvU99Dc4C-Execution-Mode`で、**タグ値は** です`Automated`。
タグ****セクションを示すコンソールの例を次に示します。
![\[コンソールのタグセクションの例。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/tr-tags-example.png)
# 実行モードの決定ワークフロー
リソースと各 Trusted Advisor チェックの実行モードを設定するには、複数のレベルがあります。次の図は、信頼された修復者が設定に基づいて使用する実行モードを決定する方法を示しています。
![\[信頼できる修復の実行モードの決定ワークフローの図。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/tr-ex-mode-workflow.png)
# 修復チュートリアルを設定する
次のチュートリアルでは、信頼された修復ツールで一般的な修復を作成する例を示します。
## すべてのリソースを手動で修復する
この例では、 Trusted Advisor チェック ID DAvU99Dc4C (使用率の低い Amazon EBS ボリューム) を持つすべての Amazon EBS ボリュームの手動修復を設定します。
**チェック ID DAvU99Dc4C を使用して Amazon EBS ボリュームの手動修復を設定する**
1. [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig) で AWS AppConfig コンソールを開きます。
**委任管理者**アカウントとしてサインインしていることを確認してください。
1. アプリケーションのリストから**信頼された修復を選択します**。
1. **コスト最適化**設定プロファイルを選択します。
1. **使用率の低い Amazon EBS ボリューム**フラグを選択します。
1. **実行モード**の場合は、**手動** を選択します。
1. **automated-for-tagged-only**属性と**manual-for-tagged-only**属性が空白であることを確認します。これらの属性は、一致するタグを持つリソースのデフォルトの実行モードを上書きするために使用されます。
以下は、**automated-for-tagged-only**および **manual-for-tagged-only** と **Manual** for **execution-mode** の値が空白の**属性**セクションの例です。
![\[属性セクションの例。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/tr-tutorial1.png)
1. **保存**を選択して値を更新し、**新しいバージョンを保存**を選択して変更を適用します。変更を認識するには、信頼できる修復のために**新しいバージョンを保存**を選択する必要があります。
1. Amazon EBS ボリュームに キーを含むタグがないことを確認します`TR-DAvU99Dc4C-Execution-Mode`。このタグキーは、その EBS ボリュームのデフォルトの実行モードを上書きします。
## 選択したリソースを除くすべてのリソースを自動的に修復する
この例では、 Trusted Advisor チェック ID DAvU99Dc4C (使用率の低い Amazon EBS ボリューム) を持つすべての Amazon EBS ボリュームの自動修復を設定します。ただし、修正されない指定されたボリューム (非**アクティブ**と指定) を除きます。
**選択した非アクティブなリソースを除き、チェック ID DAvU99Dc4C を使用して Amazon EBS ボリュームの自動修復を設定する**
1. [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig) で AWS AppConfig コンソールを開きます。
**委任管理者**アカウントとしてサインインしていることを確認してください。
1. アプリケーションのリストから **Trusted Remediator** を選択します。
1. **コスト最適化**設定プロファイルを選択します。
1. **使用率の低い Amazon EBS ボリューム**フラグを選択します。
1. **実行モード**の場合は、**自動** を選択します。
1. **automated-for-tagged-only**属性と**manual-for-tagged-only**属性が空白であることを確認します。これらの属性は、一致するタグを持つリソースのデフォルトの実行モードを上書きするために使用されます。
以下は、**automated-for-tagged-only**と**manual-for-tagged-only**タグ付け専用と**自動****実行モード**の値が空白の**属性**セクションの例です。
![\[属性セクションの例。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/tr-tutorial2.png)
1. **保存**を選択して値を更新し、**新しいバージョンを保存**を選択して変更を適用します。変更を認識するには、信頼できる修復のために**新しいバージョンを保存**を選択する必要があります。
この時点で、すべての Amazon EBS ボリュームは自動修復用に設定されます。
1. 選択した Amazon EBS ボリュームの自動修復を上書きします。
1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。
1. **Elastic Block Store**、**ボリューム**を選択します。
1. **[タグ]** を選択します。
1. [**Manage tags (タグの管理)**] を選択します。
1. 次のタグを追加します。
+ **キー:** TR-DAvU99Dc4C-Execution-Mode
+ **値:** 非アクティブ
以下は、**キー**フィールドと**値**フィールドを示す**タグ**セクションの例です。
![\[属性セクションの例。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/tr-tutorial-inactive.png)
1. 修復から除外するすべての Amazon EBS ボリュームについて、ステップ 2~5 を繰り返します。
## タグ付きリソースを自動的に修復する
この例では、 Trusted Advisor チェック ID DAvU99Dc4C (使用率の低い Amazon EBS ボリューム) を持つ タグ`Stage=NonProd`を持つすべての Amazon EBS ボリュームの自動修復を設定します。このタグのない他のすべてのリソースは修復されません。
**チェック ID DAvU99Dc4C `Stage=NonProd`の タグを使用して Amazon EBS ボリュームの自動修復を設定する**
1. [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig) で AWS AppConfig コンソールを開きます。
**委任管理者**アカウントとしてサインインしていることを確認してください。
1. アプリケーションのリストから**信頼された修復を選択します**。
1. **コスト最適化**設定プロファイルを選択します。
1. **使用率の低い Amazon EBS ボリュームフラグ**を選択します。
1. execution**-mode** で、**Conditional** を選択します。
1. **automated-for-tagged-only**を に設定します`Stage=NonProd`。この属性は、一致するタグを持つリソース`execution-mode`のデフォルトを上書きします。**manual-for-tagged-only**属性が空白であることを確認します。
以下は、**automated-for-tagged-only**が **Stage=NonProd** に設定され、**実行モード****の条件付き**である**属性**セクションの例です。
![\[属性セクションの例。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/tr-tutorial-conditional.png)
1. 必要に応じて、事前設定済みパラメータを次のいずれかに設定します。
+ `CreateSnapshot=false` 削除前に Amazon EBS ボリュームのスナップショットを作成しないようにするには
+ `MinimumUnattachedDays=10` 削除する Amazon EBS ボリュームのアタッチされていない最小日数を 10 日間に設定するには
+ `CreateSnapshot=false`上記の両方`MinimumUnattachedDays=10`について、
1. **保存**を選択して値を更新し、**新しいバージョンを保存**を選択して変更を適用します。変更を認識するには、信頼できる修復のために**新しいバージョンを保存**を選択する必要があります。
1. Amazon EBS ボリュームに キーを含むタグがないことを確認します`TR-DAvU99Dc4C-Execution-Mode`。このタグキーは、その EBS ボリュームのデフォルトの実行モードを上書きします。
# Trusted Remediator で修復を操作する
## 信頼できる修復ツールで修復を追跡する
OpsItems の修復を追跡するには、次の手順を実行します。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. **オペレーション管理**、**OpsCenter** を選択します。
1. (オプション) **Source=Trusted Remediator** でリストをフィルタリングして、リストに Trusted Remediator OpsItems のみを含めます。
Source**=Trusted Remediator** でフィルタリングされた OpsCenter 画面の例を次に示します。
![\[属性セクションの例。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/tr-opsitems-console.png)
**注記**
OpsCenter から OpsItems を表示するだけでなく、AMS S3 バケットで修復ログを表示できます。 OpsCenter 詳細については、「[Trusted Remediator の修復ログ](tr-logging.md)」を参照してください。
## 信頼できる修復ツールで手動修復を実行する
Trusted Remediator は、手動修復用に設定されたチェックの OpsItems を作成します。これらのチェックを確認し、修復プロセスを手動で開始する必要があります。
OpsItem を手動で修復するには、次の手順を実行します。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. **オペレーション管理**、**OpsCenter** を選択します。
1. (オプション) **Source=Trusted Remediator** でリストをフィルタリングして、リストに Trusted Remediator OpsItems のみを含めます。
1. 確認する OpsItem を選択します。
1. OpsItem の運用データを確認します。運用データには以下の項目が含まれます。
+ **trustedAdvisorCheckCategory:** Trusted Advisor チェック ID のカテゴリ。例えば、耐障害性
+ **trustedAdvisorCheckId:** 一意の Trusted Advisor チェック ID。
+ **trustedAdvisorCheckMetadata:** リソース ID を含むリソースメタデータ。
+ **trustedAdvisorCheckName:** Trusted Advisor チェックの名前。
+ **trustedAdvisorCheckStatus:** リソースに対して検出された Trusted Advisor チェックのステータス。
1. OpsItem を手動で修復するには、次の手順を実行します。
1. **ランブック**から、関連するランブック (SSM ドキュメント) のいずれかを選択します。
1. **[実行]** を選択してください。
1. **AutomationAssumeRole で**、 を選択します` arn:aws:iam::AWS アカウント ID:role/ams_ssm_automation_role`。 AWS アカウント ID を修復を実行するアカウント ID に置き換えます。その他のパラメータ値については、**「オペレーションデータ**」を参照してください。
リソースを手動で修復するには、 への認証に使用されるロールまたはユーザーに、IAM ロール の`iam:PassRole`アクセス許可 AWS アカウント が必要です`ams-ssm-automation-role`。詳細については、[「 にロールを渡すアクセス許可をユーザーに付与する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)」または「Cloud Architect」を参照してください。
1. **[実行]** を選択してください。
1. **Latest status and results **列で SSM ドキュメントの実行の進行状況をモニタリングします。
1. ドキュメントが完了したら、**Set Status**, **Resolved** を選択して OpsItem を手動で解決します。ドキュメントが失敗した場合は、詳細を確認して SSMdocumentを再実行します。トラブルシューティングのサポートを追加するには、サービスリクエストを作成します。
修復せずに OpsItem を解決するには、「ステータスを解決**済みに設定**」を選択します。 ****
1. 残りのすべての手動修復 OpsItems について、ステップ 3 と 4 を繰り返します。
## Trusted Remediator での修復のトラブルシューティング
手動修復と修復の失敗については、AMS にお問い合わせください。
修復のステータスと結果を表示するには、次の手順を実行します。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. **オペレーション管理**、**OpsCenter** を選択します。
1. (オプション) **Source=Trusted Remediator** でリストをフィルタリングして、リストに Trusted Remediator OpsItems のみを含めます。
1. 確認する OpsItem を選択します。
1. Automation **Executions** セクションで、**ドキュメント名**と**ステータス、および結果**を確認します。
1. 次の一般的な自動化の失敗を確認します。ここに問題が表示されない場合は、CSDM にお問い合わせください。
**一般的な修復エラー**
### Automation Executions に実行が表示されない
OpsItem に関連付けられた実行は、パラメータ値が正しくないために実行が開始されなかったことを示している可能性があります。
**トラブルシューティングのステップ**
1. **運用データ**で、 `trustedAdvisorCheckAutoRemediation`プロパティ値を確認します。
1. **DocumentName** と **Parameters** の値が正しいことを確認します。正しい値[Trusted Remediator で Trusted Advisor チェック修復を設定する](tr-configure-remediations.md)については、「」で SSM パラメータの設定方法の詳細を確認してください。サポートされているチェックパラメータを確認するには、「」を参照してください。 [Trusted Advisor Trusted Remediator でサポートされている チェック](tr-supported-checks.md)
1. SSM ドキュメントの値が許可されたパターンと一致することを確認します。ドキュメントコンテンツでパラメータの詳細を表示するには、**ランブック**セクションでドキュメント名を選択します。
1. パラメータを確認して修正したら、[SSM ドキュメントを手動で再度実行します](#tr-remediation)。
1. このエラーが繰り返し発生するのを防ぐには、設定で正しい**パラメータ**値を使用して修復を設定してください。詳細については、[Trusted Remediator で Trusted Advisor チェック修復を設定する](tr-configure-remediations.md)を参照してください。
### 自動化の実行で失敗した実行
修復ドキュメントには、API によるさまざまなアクション AWS のサービス の実行とやり取りする複数のステップが含まれています。 APIs 失敗の特定の原因を特定するには、次の手順を実行します。
**トラブルシューティングのステップ**
1. 個々の実行ステップを表示するには、Automation Executions セクションの**「実行 ID**」、「リンク」を選択します。 ****以下は、選択したオートメーション**の実行ステップ**を示す Systems Manager コンソールの例です。
![\[選択したオートメーションを示す Systems Manager コンソールの例。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/tr-troubleshooting.png)
1. Failed ****ステータスのステップを選択します。エラーメッセージの例を次に示します。
+ `NoSuchBucket - An error occurred (NoSuchBucket) when calling the GetPublicAccessBlock operation: The specified bucket does not exist`
このエラーは、修復設定の事前設定済みパラメータで誤ったバケット名が指定されたことを示します。
このエラーを解決するには、[正しいバケット名を使用して自動化を手動で実行](#tr-remediation)します。この問題が再発しないようにするには、[修復設定を正しいバケット名で更新します](tr-configure-remediations.md)。
+ `DB instance my-db-instance-1 is not in available status for modification.`
このエラーは、DB インスタンスが無効な状態にあるため、オートメーションが予想される変更を実行できなかったことを示します。
このエラーを解決するには、[オートメーションを手動で実行します](#tr-remediation)。
# Trusted Remediator の修復ログ
Trusted Remediator は JSON 形式でログを作成し、Amazon Simple Storage Service にアップロードします。ログファイルは AMS によって作成され、 という名前の S3 バケットにアップロードされます`ams-trusted-remediator-{your-account-id}-logs`。AMS は、委任管理者アカウントに S3 バケットを作成します。QuickSight にログファイルをインポートして、カスタマイズされた修復レポートを生成できます。
詳細については、「[信頼できる修復ツールと QuickSight の統合](tr-qs-integration.md)」を参照してください。
## 修復項目ログ
Trusted Remediator は、修復 OpsItem の作成`Remediation item log`時に を作成します。このログには、手動修復 OpsItem と自動修復 OpsItem が含まれています。を使用して`Remediation item log`、すべての修復の概要を追跡できます。
**Compute Optimizer レコメンデーションの修復項目ログの場所**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/compute_optimizer_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
** Trusted Advisor チェックの修復項目ログの場所**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**修復項目ログファイル URL**
`s3:///ams-trusted-remediator-111122223333-logs/remediation_items/2023-02-06/1675660464-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Compute Optimizer 修復項目のログ形式**
```
{
"AccountID": "Account_ID",
"ComputeOptimizerCheckID": "Compute Optimizer check ID",
"ComputeOptimizerCheckName": "Compute Optimizer check name",
"ResourceID": "Resource ID",
"RemediationTime": Remediation creation time,
"ExecutionMode": "Automated or Manual",
"OpsItemID": "OpsItem ID"
}
```
**Trusted Advisor 修復項目のログ形式**
```
{
"TrustedAdvisorCheckID": Trusted Advisor check ID,
"TrustedAdvisorCheckName": Trusted Advisor check name,
"TrustedAdvisorCheckResultTime": 10 digits epoch time or unix timestamp,
"ResourceID": Resource ID,
"RemediationTime": Remediation creation time,
"ExecutionMode": Automated or Manual,
"OpsItemID": OpsItem ID
}
```
**Compute Optimizer 修復項目ログ形式のサンプルコンテンツ**
```
{
"AccountID": "123456789012",
"ComputeOptimizerCheckID": "compute-optimizer-ebs",
"ComputeOptimizerCheckName": "EBS volumes",
"ResourceID": "vol-1235589366f77aca7",
"RemediationTime": 1755044783,
"ExecutionMode": "Manual",
"OpsItemID": "oi-b8888b38fe78"
}
```
**Trusted Advisor 修復項目ログ形式のサンプルコンテンツ**
```
{
"TrustedAdvisorCheckID": "DAvU99Dc4C",
"TrustedAdvisorCheckName": "Underutilized Amazon EBS Volumes",
"TrustedAdvisorCheckResultTime": 1675614749,
"ResourceID": "vol-00bd8965660b4c16d",
"RemediationTime": 1675660464,
"OpsItemID": "oi-cca5df7af718"
}
```
## 自動修復実行ログ、Compute Optimizer、 Trusted Advisor
Trusted Remediator は、自動 SSM ドキュメント実行が完了すると `Automated remediation execution log` を作成します。このログには、自動修復 OpsItem の SSM 実行の詳細のみが含まれます。このログファイルを使用して、自動修復を追跡できます。
**Compute Optimizer 自動修復ログの場所**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer recommendation ID.json`
**Trusted Advisor 自動修復ログの場所**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID-Resource ID.json`
**Compute Optimizer 自動修復ログの場所の例**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/1750908858-123456789012-compute-optimizer-ec2-i-1235173471d2cd789.json`
**Trusted Advisor 自動修復ログの場所の例**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2023-02-06/1675660573-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**自動修復ログ形式のサンプルコンテンツ**
```
{
"OpsItemID": "oi-767c77e05301",
"SSMExecutionID": "93d091b2-778a-4cbc-b672-006954d76b86",
"SSMExecutionStatus": "Success"}
```
## メンバーアカウントログ
Trusted Remediator は、アカウントのオンボーディング時またはオフボード`Member accounts log`時に を作成します。を使用して、各メンバーアカウントのアカウント ID、オンボーディングされた AWS リージョン、および実行時間`Member accounts log`を検索できます。
**メンバーアカウントのログの場所**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/configuration_logs/member_accounts.json`
**メンバーアカウントのログファイル URL**
`s3://ams-trusted-remediator-111122223333-logs/configuration_logs/member_accounts.json`
**メンバーアカウントのログ形式**
```
{
"delegated_administrator_account_id": Delegated Administrator account id,
"appconfig_configuration_region": Trusted Remediator AppConfig Region,
"member_accounts": [
{
"account_id": Member account id
"account_partition": Member account partition (for example, aws),
"regions": [
{
"execution_time": Remediation execution time in cron schedule expression,
"execution_timezone": Timezone for the remediation execution time,
"region_name": AWS リージョン name
}
...
]
}
...
],
"updated_at": Log update time,
}
```
**メンバーアカウントのログ形式のサンプルコンテンツ**
```
{
"delegated_administrator_account_id": "111122223333",
"appconfig_configuration_region": "ap-southeast-2",
"member_accounts": [
{
"account_id": "222233334444",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 9 * * 6",
"execution_timezone": "Australia/Sydney",
"region_name": "ap-southeast-2"
},
{
"execution_time": "0 5 * * 7",
"execution_timezone": "UTC",
"region_name": "us-east-1"
}
]
},
{
"account_id": "333344445555",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 1 * * 5",
"execution_timezone": "Asia/Seoul",
"region_name": "ap-northeast-2"
}
]
}
],
"updated_at": "1730869607"
}
```
# 信頼できる修復ツールと QuickSight の統合
Amazon S3 に保存されている信頼された修復ログを QuickSight と統合して、カスタマイズされた修復レポートを構築できます。 QuickSight QuickSight の統合はオプションです。この機能を使用すると、 ログを使用してカスタムレポートダッシュボードを構築できます。Trusted Remediator のオンリクエストレポートを取得するには、CSDM にお問い合わせください。利用可能な信頼された修復レポートの詳細については、「」を参照してください[信頼できる修復レポート](trusted-remediator-reports.md)。
QuickSight でのデータの視覚化の詳細については、[QuickSight でのデータの視覚化](https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html)」を参照してください。
## 修復項目ログのデータセットを QuickSight に追加する
修復項目ログの QuickSight にデータセットを追加するには、次の手順に従います。
1. QuickSight コンソールにログインします。QuickSight レポートは、QuickSight がサポート AWS リージョン するQuickSightで作成できます。ただし、パフォーマンスを向上させ、コストを削減するには、信頼された修復者のログ記録バケットがあるリージョンにレポートを作成するのがベストプラクティスです。
1. **[データセット]** を選択します。
1. **[S3]** を選択します。
1. **新しい S3 データソース**で、次の値を入力します。
+ **データソース名:** ` trusted-remediator-delegated_administrator_account_id-account_region-remediation-items`。
+ **マニフェストファイルをアップロードする:** 次の内容の JSON ファイルを作成し、使用します。ファイルを作成するときは、URIPrefixes キー`logging_bucket_name`で を置き換えます。
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_items/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ **[接続]** を選択します。
+ **データセット作成の完了**ウィンドウから、**視覚化**を選択します。
+ QuickSight は新しい分析シートページを開きます。これで、修復項目ログを使用して新しい分析を作成する準備ができました。
以下はサンプル分析です。
![\[サンプル分析ワークシート。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/tr-sample-analysis.png)
## 自動修復実行ログのデータセットを QuickSight に追加する
1. QuickSight コンソールにログインします。QuickSight レポートは、QuickSight がサポート AWS リージョン するQuickSightで作成できます。ただし、パフォーマンスを向上させ、コストを削減するには、信頼された修復者のログ記録バケットがあるリージョンにレポートを作成するのがベストプラクティスです。
1. **[データセット]** を選択します。
1. **[S3]** を選択します。
1. **新しい S3 データソース**で、次の値を入力します。
+ **データソース名: ** `trusted-remediator-delegated_administrator_account_id-account_region-remediation-executions`。
+ **マニフェストファイルをアップロードする:** 次の内容の JSON ファイルを作成し、このファイルを使用します。ファイルを作成するときは、URIPrefixes キー`logging_bucket_name`で を置き換えます。
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_executions/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ **[接続]** を選択します。
+ **データセット作成の完了**ウィンドウから、**視覚化**を選択します。
+ QuickSight は新しい分析シートページを開きます。これで、修復項目ログを使用して新しい分析を作成する準備ができました。
以下はサンプル分析です。
![\[サンプル分析ワークシート。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/tr-sample-analysis2.png)
# Trusted Remediator のベストプラクティス
以下は、信頼できる修復の使用に役立つベストプラクティスです。
+ 修復結果が不明な場合は、手動実行モードで開始します。最初から修復の自動実行を適用すると、予期しない結果が発生することがあります。
+ 修復と OpsItems を毎週レビューして、信頼できる修復の結果に関するインサイトを取得します。
+ メンバーアカウントは、委任管理者アカウントから設定を継承します。したがって、同じ設定で複数のアカウントを管理するのに役立つようにアカウントを構造化することが重要です。タグを使用して、デフォルト設定からリソースを除外できます。
# 信頼できる修復に関するFAQs
以下は、信頼できる修復業者に関するよくある質問です。
## Trusted Remediator とは何ですか?また、どのような利点がありますか?
コンプライアンス違反が Compute Optimizer によって特定された場合、 Trusted Advisor またはレコメンデーションが Compute Optimizer によって発行された場合、Trusted Remediator は、修正の適用、手動修復による承認の依頼、または今後の月次ビジネスレビュー (MBR) 中に修正を報告することで、指定された設定に従って応答します。修復は、希望する修復時間またはスケジュールで行われます。Trusted Remediator は、 Trusted Advisor チェックを個別にまたは一括で設定および修正できる柔軟性を備え、セルフサービスでチェックに対応する機能を提供します。テスト済みの修復ドキュメントのライブラリにより、AMS は安全チェックを適用して AWS ベストプラクティスに従うことで、アカウントを常に引き上げます。設定で指定する場合にのみ通知されます。AMS ユーザーは、追加料金なしで信頼された修復にオプトインできます。
## Trusted Remediator は、他の とどのように関連し、連携しますか AWS のサービス?
既存のエンタープライズサポートプランの一部として、 Trusted Advisor チェックと Compute Optimizer の推奨事項にアクセスできます。Trusted Remediator は、 および Compute Optimizer と Trusted Advisor 統合して、既存の AMS 自動化機能を活用します。具体的には、AMS は自動修復に AWS Systems Manager 自動化ドキュメント (ランブック) を使用します。 AWS AppConfig は修復ワークフローの設定に使用されます。Systems Manager OpsCenter を使用して、現在および過去のすべての修復を表示できます。修復ログは Amazon S3 バケットに保存されます。ログを使用して、QuickSight でカスタムレポートダッシュボードをインポートおよび構築できます。
## 修復を設定するのは誰ですか?
アカウントの設定はユーザーが所有します。設定の管理はお客様の責任となります。設定の管理については、CA または CDSM にお問い合わせください。設定サポート、手動修復、および修復失敗のトラブルシューティングのサービスリクエストを通じて AMS に連絡することもできます。
## SSM オートメーションドキュメントをインストールするにはどうすればよいですか?
SSM オートメーションドキュメントは、オンボードされた AMS アカウントに自動的に共有されます。
## AMS 所有のリソースも修復されますか?
AMS 所有のリソースは、信頼できる修復者によってフラグが付けられません。Trusted Remediator は、リソースのみに焦点を当てます。
## Trusted Remediator AWS リージョン とは何ですか? 誰が使用できますか?
Trusted Remediator は、AMS Accelerate のお客様にご利用いただけます。サポートリージョンの現在のリストについては、[AWS のサービス 「リージョン別](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## Trusted Remediator はリソースドリフトを引き起こしますか?
SSM オートメーションドキュメントは AWS API を介してリソースを直接更新するため、リソースドリフトが発生する可能性があります。タグを使用して、既存の CI/CD パッケージを通じて作成されたリソースを分離できます。他のリソースを修復しながら、タグ付けされたリソースを無視するように Trusted Remediator を設定できます。
## 信頼できる修復を一時停止または停止するにはどうすればよいですか?
信頼できる修復は、 AWS AppConfig アプリケーションから無効にできます。信頼できる修復を一時停止または停止するには、次の手順を実行します。
1. [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig) で AWS AppConfig コンソールを開きます。
1. Trusted Remediator を選択します。
1. 設定プロファイル**の設定**を選択します。
1. **Suspend Trusted Remediator **フラグを選択します。
1. `suspended` 属性の値を に設定します`true`。
**注記**
この手順を使用すると、委任管理者アカウントにリンクされたすべてのアカウントの信頼された修復が停止されるため、注意が必要です。
## Trusted Remediator でサポートされていないチェックを修正するにはどうすればよいですか?
サポートされていないチェックについては、Operations On Demand (OOD) を通じて AMS に引き続き問い合わせることができます。AMS は、これらのチェックの修正を支援します。詳細については、[「Operations On Demand](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html)」を参照してください。
## Trusted Remediator と AWS Config 修復はどのように異なりますか?
AWS Config 修復は、クラウドリソースを最適化し、ベストプラクティスへの準拠を維持するのに役立つもう 1 つのソリューションです。以下は、2 つのソリューション間の運用上の違いの一部です。
+ Trusted Remediator は検出メカニズムとして Trusted Advisor と Compute Optimizer を使用します。 AWS Config Remediation は検出メカニズムとして AWS Config ルールを使用します。
+ Trusted Remediator の場合、修復は事前定義された修復スケジュールで行われます。では AWS Config、修復はリアルタイムで行われます。
+ Trusted Remediator の各修復のパラメータは、ユースケースに基づいて簡単にカスタマイズでき、リソースにタグを追加することで修復を自動化または手動で行うことができます。
+ Trusted Remediator はレポート機能を提供します。
+ Trusted Remediator は、修復のリストと修復ステータスが記載された E メール通知を送信します。
一部の Trusted Advisor チェックと Compute Optimizer レコメンデーションには、同じルールが含まれている場合があります AWS Config。一致する AWS Config ルールと Trusted Advisor チェックがある場合は、1 つの修復のみを有効にすることをお勧めします。各 Trusted Advisor チェックの AWS Config ルールについては、「」を参照してください[Trusted Advisor Trusted Remediator でサポートされている チェック](tr-supported-checks.md)。
## Trusted Remediator はどのリソースをアカウントにデプロイしますか?
Trusted Remediator は、Trusted Remediator 委任管理者アカウントに次のリソースをデプロイします。
+ `ams-trusted-remediator-{your-account-id}-logs` という名前の Amazon S3 バケット。Trusted Remediator は、修復 OpsItem の作成時に `Remediation item log` JSON 形式で を作成し、ログファイルをこのバケットにアップロードします。
+ サポートされている Trusted Advisor チェックと Compute Optimizer の推奨事項の修正設定を保持する AWS AppConfig アプリケーション。
Trusted Remediator は、Trusted Remediator メンバーアカウントにリソースをデプロイしません。