サポートされている Trusted Advisor コスト最適化チェックサポートされている Trusted Advisor セキュリティチェックサポートされている耐 Trusted Advisor 障害性チェックサポートされている Trusted Advisor パフォーマンスチェックサポートされている Trusted Advisor サービス制限チェックサポートされている Trusted Advisor 運用上の優秀性チェック

Trusted Advisor Trusted Remediator でサポートされているチェック

次の表に、サポートされている Trusted Advisor チェック、SSM オートメーションドキュメント、事前設定されたパラメータ、およびオートメーションドキュメントの期待される結果を示します。SSM オートメーションドキュメントをチェック修復を有効にする前に、期待される結果を確認して、ビジネス要件に基づいて考えられるリスクを理解するのに役立ちます。

修復を有効にするサポートされている Trusted Advisor チェックについて、各チェックに対応する設定ルールが存在することを確認します。詳細については、「View AWS Trusted Advisor checks powered by AWS Config」を参照してください。チェックに対応する AWS Security Hub コントロールがある場合は、Security Hub コントロールが有効になっていることを確認します。詳細については、「Security Hub でのコントロールの有効化」を参照してください。事前設定されたパラメータの管理については、「Trusted Remediator」の「Configure Trusted Advisor check remediation」を参照してください。

Trusted Advisor Trusted Remediator でサポートされているコスト最適化チェック

ID と名前を確認する SSM ドキュメント名と期待される成果サポートされている事前設定済みパラメータと制約

ID と名前を確認する	SSM ドキュメント名と期待される成果	サポートされている事前設定済みパラメータと制約
Z4AUBRNSmz 関連付けられていない Elastic IP Address	AWSManagedServices-TrustedRemediatorReleaseElasticIP リソースに関連付けられていない Elastic IP アドレスを解放します。	事前設定済みのパラメータは許可されません。制約なし
c18d2gz150 - Amazon EC2 インスタンスが停止しました	AWSManagedServices-TerminateEC2InstanceStoppedForPeriodOfTime - 日間停止された Amazon EC2 インスタンスは終了します。	CreateAMIBeforeTermination: Amazon EC2 インスタンスを終了する前にインスタンス AMI をバックアップとして作成するには、を選択します`true`。終了する前にバックアップを作成しない場合は、を選択します`false`。デフォルトは `true` です。 AllowedDays: インスタンスが終了するまでに停止状態にある日数。デフォルトは 30 です。制約なし
c18d2gz128 ライフサイクルポリシーが設定されていない Amazon ECR リポジトリ。	AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy ライフサイクルポリシーがまだ存在しない場合は、指定されたリポジトリのライフサイクルポリシーを作成します。	ImageAgeLimit: Amazon ECR リポジトリ内の「任意の」イメージの最大有効期間 (1～365)。制約なし
DAvU99Dc4C 利用頻度の低い Amazon EBS ボリューム	AWSManagedServices-DeleteUnusedEBSVolume ボリュームが過去 7 日間アタッチされていない場合、使用率の低い Amazon EBS ボリュームを削除します。Amazon EBS スナップショットはデフォルトで作成されます。	CreateSnapshot: に設定すると`true`、オートメーションは削除する前に Amazon EBS ボリュームのスナップショットを作成します。デフォルトの設定は`true` です。有効な値は `true`と `false` (大文字と小文字が区別されます) です。 MinimumUnattachedDays: 削除する EBS ボリュームのアタッチされていない最小日数。最大 62 日間です。に設定すると`0`、SSM ドキュメントはアタッチされていない期間を確認しず、ボリュームが現在アタッチされていない場合はボリュームを削除します。デフォルト値はです`7`。制約なし
hjLMh88uM8 アイドル状態の Load Balancer	AWSManagedServices-DeleteIdleClassicLoadBalancer アイドル状態の Classic Load Balancer が未使用で、インスタンスが登録されていない場合は削除します。	IdleLoadBalancerDays: Classic Load Balancer がアイドル状態と見なす前に 0 個のリクエストされた接続がある日数。デフォルトは 7 日間です。自動実行が有効になっている場合、アクティブなバックエンドインスタンスがない場合、オートメーションはアイドル状態の Classic Load Balancer を削除します。アクティブなバックエンドインスタンスがあるが、正常なバックエンドインスタンスがないすべてのアイドル状態の Classic Load Balancer では、自動修復は使用されず、手動修復用の OpsItems が作成されます。
Ti39halfu8 Amazon RDS アイドル DB インスタンス	AWSManagedServices-StopIdleRDSInstance 過去 7 日間アイドル状態であった Amazon RDS DB インスタンスは停止します。	事前設定済みのパラメータは許可されません。制約なし
COr6dfpM05 AWS Lambda メモリサイズの過剰プロビジョニングされた関数	AWSManagedServices-ResizeLambdaMemory AWS Lambda 関数のメモリサイズは、が提供する推奨メモリサイズに変更されます Trusted Advisor。	RecommendedMemorySize: Lambda 関数に推奨されるメモリ割り当て。値の範囲は 128～10240 です。自動化の実行前に Lambda 関数のサイズが変更された場合、この自動化によって推奨値で設定が上書きされる可能性があります Trusted Advisor。
Qch7DwouX1 低稼働率の Amazon EC2 インスタンス	AWSManagedServices-StopEC2Instance (自動実行モードと手動実行モードの両方のデフォルト SSM ドキュメント）使用率の低い Amazon EC2 インスタンスは停止します。	ForceStopWithInstanceStore: インスタンスストアを使用してインスタンスを強制停止`true`するには、に設定します。それ以外の場合は、`false` に設定します。のデフォルト値は、インスタンスの停止`false`を防ぎます。有効な値は true または false (大文字と小文字が区別されます) です。制約なし
Qch7DwouX1 低稼働率の Amazon EC2 インスタンス	AWSManagedServices-ResizeInstanceByOneLevel Amazon EC2 インスタンスは、同じインスタンスファミリータイプで 1 つのインスタンスタイプダウンでサイズ変更されます。サイズ変更オペレーション中にインスタンスが停止および開始され、SSM ドキュメントの実行が完了した後、初期状態に戻ります。このオートメーションは、Auto Scaling グループ内のインスタンスのサイズ変更をサポートしていません。	MinimumDaysSinceLastChange: 前回のインスタンスタイプ変更からの最小日数。インスタンスタイプが指定された時間内に変更された場合、インスタンスタイプは変更されません。を使用して、この検証`0`をスキップします。デフォルトは `7` です。 CreateAMIBeforeResize: サイズ変更前にインスタンス AMI をバックアップとして作成するには、を選択します`true`。バックアップを作成しない場合は、を選択します`false`。デフォルトは `false` です。有効な値は `true`および `false` (大文字と小文字が区別されます) です。 ResizeIfStopped: インスタンスが停止状態であっても、インスタンスサイズの変更を続行するには、を選択します`true`。停止状態でインスタンスのサイズを自動的に変更しない場合は、を選択します`false`。有効な値は `true`と `false` (大文字と小文字が区別されます) です。制約なし
Qch7DwouX1 低稼働率の Amazon EC2 インスタンス	AWSManagedServices-TerminateInstance 使用率の低い Amazon EC2 インスタンスは、Auto Scaling グループに含まれておらず、終了保護が有効になっていない場合に終了します。AMI はデフォルトで作成されます。	CreateAMIBeforeTermination: EC2 インスタンスを終了する前にバックアップとしてインスタンス AMI `false` を作成するには、このオプションを `true`またはに設定します。デフォルトは `true` です。有効な値は `true`および `false` (大文字と小文字が区別されます) です。制約なし
G31sQ1E9U 使用率の低い Amazon Redshift クラスター	AWSManagedServices-PauseRedshiftCluster Amazon Redshift クラスターは一時停止しています。	事前設定済みのパラメータは許可されません。制約なし
c1cj39rr6v Amazon S3 で不完全なマルチパートアップロードを中止するための設定	AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload Amazon S3 バケットには、特定の日が経過しても不完全なマルチパートアップロードを中止するライフサイクルルールが設定されています。	DaysAfterInitiation: Amazon S3 が不完全なマルチパートアップロードを停止するまでの日数。デフォルトは 7 日間に設定されています。制約なし
c1z7kmr00n インスタンスの Amazon EC2 コスト最適化の推奨事項	から Amazon EC2 インスタンスのレコメンデーションとアイドル状態の Amazon EC2 インスタンスを使用します信頼できる修復者がサポートする Compute Optimizer の推奨事項。	事前設定済みのパラメータは許可されません。制約なし
c1z7kmr02n ボリュームの Amazon EBS コスト最適化の推奨事項	の Amazon EBS ボリュームレコメンデーションとアイドル状態の Amazon EBS ボリュームを使用します信頼できる修復者がサポートする Compute Optimizer の推奨事項。	事前設定済みのパラメータは許可されません。制約なし
c1z7kmr03n DB インスタンスの Amazon RDS コスト最適化の推奨事項	からアイドル状態の Amazon RDS インスタンスを使用します信頼できる修復者がサポートする Compute Optimizer の推奨事項。	事前設定済みのパラメータは許可されません。制約なし
c1z7kmr05n AWS Lambda 関数のコスト最適化に関する推奨事項	から Lambda 関数のレコメンデーションを使用します信頼できる修復者がサポートする Compute Optimizer の推奨事項。	事前設定済みのパラメータは許可されません。制約なし

Z4AUBRNSmz

関連付けられていない Elastic IP Address

AWSManagedServices-TrustedRemediatorReleaseElasticIP

リソースに関連付けられていない Elastic IP アドレスを解放します。

事前設定済みのパラメータは許可されません。

制約なし

c18d2gz150 - Amazon EC2 インスタンスが停止しました

AWSManagedServices-TerminateEC2InstanceStoppedForPeriodOfTime - 日間停止された Amazon EC2 インスタンスは終了します。

CreateAMIBeforeTermination: Amazon EC2 インスタンスを終了する前にインスタンス AMI をバックアップとして作成するには、を選択しますtrue。終了する前にバックアップを作成しない場合は、を選択しますfalse。デフォルトは true です。
AllowedDays: インスタンスが終了するまでに停止状態にある日数。デフォルトは 30 です。

制約なし

c18d2gz128

ライフサイクルポリシーが設定されていない Amazon ECR リポジトリ。

AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy

ライフサイクルポリシーがまだ存在しない場合は、指定されたリポジトリのライフサイクルポリシーを作成します。

ImageAgeLimit: Amazon ECR リポジトリ内の「任意の」イメージの最大有効期間 (1～365)。

制約なし

DAvU99Dc4C

利用頻度の低い Amazon EBS ボリューム

AWSManagedServices-DeleteUnusedEBSVolume

ボリュームが過去 7 日間アタッチされていない場合、使用率の低い Amazon EBS ボリュームを削除します。Amazon EBS スナップショットはデフォルトで作成されます。

CreateSnapshot: に設定するとtrue、オートメーションは削除する前に Amazon EBS ボリュームのスナップショットを作成します。デフォルトの設定はtrue です。有効な値は trueと false (大文字と小文字が区別されます) です。
MinimumUnattachedDays: 削除する EBS ボリュームのアタッチされていない最小日数。最大 62 日間です。に設定すると0、SSM ドキュメントはアタッチされていない期間を確認しず、ボリュームが現在アタッチされていない場合はボリュームを削除します。デフォルト値はです7。

制約なし

hjLMh88uM8

アイドル状態の Load Balancer

AWSManagedServices-DeleteIdleClassicLoadBalancer

アイドル状態の Classic Load Balancer が未使用で、インスタンスが登録されていない場合は削除します。

IdleLoadBalancerDays: Classic Load Balancer がアイドル状態と見なす前に 0 個のリクエストされた接続がある日数。デフォルトは 7 日間です。

自動実行が有効になっている場合、アクティブなバックエンドインスタンスがない場合、オートメーションはアイドル状態の Classic Load Balancer を削除します。アクティブなバックエンドインスタンスがあるが、正常なバックエンドインスタンスがないすべてのアイドル状態の Classic Load Balancer では、自動修復は使用されず、手動修復用の OpsItems が作成されます。

Ti39halfu8

Amazon RDS アイドル DB インスタンス

AWSManagedServices-StopIdleRDSInstance

過去 7 日間アイドル状態であった Amazon RDS DB インスタンスは停止します。

事前設定済みのパラメータは許可されません。

制約なし

COr6dfpM05

AWS Lambda メモリサイズの過剰プロビジョニングされた関数

AWSManagedServices-ResizeLambdaMemory

AWS Lambda 関数のメモリサイズは、が提供する推奨メモリサイズに変更されます Trusted Advisor。

RecommendedMemorySize: Lambda 関数に推奨されるメモリ割り当て。値の範囲は 128～10240 です。

自動化の実行前に Lambda 関数のサイズが変更された場合、この自動化によって推奨値で設定が上書きされる可能性があります Trusted Advisor。

Qch7DwouX1

低稼働率の Amazon EC2 インスタンス

AWSManagedServices-StopEC2Instance (自動実行モードと手動実行モードの両方のデフォルト SSM ドキュメント）

使用率の低い Amazon EC2 インスタンスは停止します。

ForceStopWithInstanceStore: インスタンスストアを使用してインスタンスを強制停止trueするには、に設定します。それ以外の場合は、false に設定します。のデフォルト値は、インスタンスの停止falseを防ぎます。有効な値は true または false (大文字と小文字が区別されます) です。

制約なし

Qch7DwouX1

低稼働率の Amazon EC2 インスタンス

AWSManagedServices-ResizeInstanceByOneLevel

Amazon EC2 インスタンスは、同じインスタンスファミリータイプで 1 つのインスタンスタイプダウンでサイズ変更されます。サイズ変更オペレーション中にインスタンスが停止および開始され、SSM ドキュメントの実行が完了した後、初期状態に戻ります。このオートメーションは、Auto Scaling グループ内のインスタンスのサイズ変更をサポートしていません。

MinimumDaysSinceLastChange: 前回のインスタンスタイプ変更からの最小日数。インスタンスタイプが指定された時間内に変更された場合、インスタンスタイプは変更されません。を使用して、この検証0をスキップします。デフォルトは 7 です。
CreateAMIBeforeResize: サイズ変更前にインスタンス AMI をバックアップとして作成するには、を選択しますtrue。バックアップを作成しない場合は、を選択しますfalse。デフォルトは false です。有効な値は trueおよび false (大文字と小文字が区別されます) です。
ResizeIfStopped: インスタンスが停止状態であっても、インスタンスサイズの変更を続行するには、を選択しますtrue。停止状態でインスタンスのサイズを自動的に変更しない場合は、を選択しますfalse。有効な値は trueと false (大文字と小文字が区別されます) です。

制約なし

Qch7DwouX1

低稼働率の Amazon EC2 インスタンス

AWSManagedServices-TerminateInstance

使用率の低い Amazon EC2 インスタンスは、Auto Scaling グループに含まれておらず、終了保護が有効になっていない場合に終了します。AMI はデフォルトで作成されます。

CreateAMIBeforeTermination: EC2 インスタンスを終了する前にバックアップとしてインスタンス AMI false を作成するには、このオプションを trueまたはに設定します。デフォルトは true です。有効な値は trueおよび false (大文字と小文字が区別されます) です。

制約なし

G31sQ1E9U

使用率の低い Amazon Redshift クラスター

AWSManagedServices-PauseRedshiftCluster

Amazon Redshift クラスターは一時停止しています。

事前設定済みのパラメータは許可されません。

制約なし

c1cj39rr6v

Amazon S3 で不完全なマルチパートアップロードを中止するための設定

AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload

Amazon S3 バケットには、特定の日が経過しても不完全なマルチパートアップロードを中止するライフサイクルルールが設定されています。

DaysAfterInitiation: Amazon S3 が不完全なマルチパートアップロードを停止するまでの日数。デフォルトは 7 日間に設定されています。

制約なし

c1z7kmr00n

インスタンスの Amazon EC2 コスト最適化の推奨事項

から Amazon EC2 インスタンスのレコメンデーションとアイドル状態の Amazon EC2 インスタンスを使用します信頼できる修復者がサポートする Compute Optimizer の推奨事項。

事前設定済みのパラメータは許可されません。

制約なし

c1z7kmr02n

ボリュームの Amazon EBS コスト最適化の推奨事項

の Amazon EBS ボリュームレコメンデーションとアイドル状態の Amazon EBS ボリュームを使用します信頼できる修復者がサポートする Compute Optimizer の推奨事項。

事前設定済みのパラメータは許可されません。

制約なし

c1z7kmr03n

DB インスタンスの Amazon RDS コスト最適化の推奨事項

からアイドル状態の Amazon RDS インスタンスを使用します信頼できる修復者がサポートする Compute Optimizer の推奨事項。

事前設定済みのパラメータは許可されません。

制約なし

c1z7kmr05n

AWS Lambda 関数のコスト最適化に関する推奨事項

から Lambda 関数のレコメンデーションを使用します信頼できる修復者がサポートする Compute Optimizer の推奨事項。

事前設定済みのパラメータは許可されません。

制約なし

Trusted Advisor Trusted Remediator でサポートされているセキュリティチェック

ID と名前を確認する SSM ドキュメント名と期待される成果サポートされている事前設定済みパラメータと制約

ID と名前を確認する	SSM ドキュメント名と期待される成果	サポートされている事前設定済みパラメータと制約
12Fnkpl8Y5 露出したアクセスキー	AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey 公開された IAM アクセスキーは非アクティブ化されます。	事前設定済みのパラメータは許可されません。公開された IAM アクセスキーで設定されたアプリケーションは認証できません。
Hs4Ma3G127 - API Gateway REST および WebSocket API 実行ログを有効にする必要があります対応する AWS Security Hub チェック: APIGateway.1	AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging 実行ログ記録は API ステージで有効になっています。	LogLevel: 実行ログ記録を有効にするログ記録レベル `ERROR` - ログ記録はエラーに対してのみ有効になります。 `INFO`- ログ記録はすべてのイベントで有効になっています。実行ログを有効にするには、アカウントの CloudWatch にログを読み書きするアクセス許可を API Gateway に付与する必要があります。詳細については、「API Gateway で REST API の CloudWatch ログ記録を設定する APIs」を参照してください。
Hs4Ma3G129 - API Gateway REST API ステージでは AWS X-Ray トレースを有効にする必要があります対応する AWS Security Hub チェック: APIGateway.3	AWSManagedServices-EnableApiGateWayXRayTracing X-Ray トレースは API ステージで有効になっています。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G202 - API Gateway REST API キャッシュデータは保管時に暗号化する必要があります対応する AWS Security Hub チェック: APIGateway.5	AWSManagedServices-EnableAPIGatewayCacheEncryption API Gateway REST API ステージでキャッシュが有効になっている場合、API Gateway REST API キャッシュデータの保管時の暗号化を有効にします。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G177 - 対応する AWS Security Hub チェック - ロードバランサーに関連付けられた Auto Scaling グループは、ロードバランサーのヘルスチェック AutoScaling.1	AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck Auto Scaling グループに対して Elastic Load Balancing ヘルスチェックが有効になっています。	HealthCheckGracePeriod: サービスを開始した Amazon Elastic Compute Cloud インスタンスのヘルスステータスをチェックするまでに Auto Scaling が待機する秒単位の時間。 Elastic Load Balancing ヘルスチェックを有効にすると、Auto Scaling グループにアタッチされた Elastic Load Balancing ロードバランサーのいずれかが異常と報告した場合、実行中のインスタンスが置き換えられる可能性があります。詳細については、Elastic Load Balancing ロードバランサーを Auto Scaling グループにアタッチする」を参照してください。
Hs4Ma3G245 - AWS CloudFormation スタックは Amazon Simple Notification Service と統合する必要があります対応する AWS Security Hub チェック: CloudFormation.1	AWSManagedServices-EnableCFNStackNotification CloudFormation スタックを通知用の Amazon SNS トピックに関連付けます。	NotificationARNs 選択した CloudFormation スタックに関連付ける Amazon SNS トピックの ARNs。自動修復を有効にするには、`NotificationARNs`事前設定されたパラメータを指定する必要があります。
Hs4Ma3G210 - CloudFront ディストリビューションではログ記録が有効になっている必要があります対応する AWS Security Hub チェック: CloudFront.2	AWSManagedServices-EnableCloudFrontDistributionLogging ログ記録は Amazon CloudFront ディストリビューションで有効になっています。	BucketName: アクセスログを保存する Amazon S3 バケットの名前。 S3KeyPrefix: theAmazon CloudFront ディストリビューションログの S3 バケット内の場所のプレフィックス。 IncludeCookies: アクセスログに Cookie を含めるかどうかを示します。自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 BucketName S3KeyPrefix IncludeCookies この修復の制約については、CloudFront ディストリビューションのログ記録を有効にするにはどうすればよいですか？」を参照してください。
Hs4Ma3G109 - CloudTrail ログファイルの検証を有効にする必要があります対応する AWS Security Hub チェック: CloudTrail.4	AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation CloudTrail 証跡ログの検証を有効にします。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G108 - CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります対応する AWS Security Hub チェック: CloudTrail.5	AWSManagedServices-IntegrateCloudTrailWithCloudWatch AWS CloudTrail は CloudWatch Logs と統合されています。	CloudWatchLogsLogGroupName: CloudTrail ログが配信される CloudWatch Logs ロググループの名前。アカウントにあるロググループを使用する必要があります。 CloudWatchLogsRoleName: ユーザーのロググループに書き込むために引き受ける CloudWatch Logs エンドポイントの IAM ロールの名前。アカウントにあるロールを使用する必要があります。自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 CloudWatchLogsLogGroupName CloudWatchLogsRoleName
Hs4Ma3G217 - CodeBuild プロジェクト環境にはログ記録 AWS 設定が必要です対応する AWS Security Hub チェック: CodeBuild.4	AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig CodeBuild プロジェクトのログ記録を有効にします。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G306 - Neptune DB クラスターでは削除保護を有効にする必要があります対応する AWS Security Hub チェック: DocumentDB.3	AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot Amazon DocumentDB 手動クラスタースナップショットからパブリックアクセスを削除します。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G308 - Amazon DocumentDB クラスターでは削除保護が有効になっている必要があります対応する AWS Security Hub チェック: DocumentDB.5	AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection Amazon DocumentDB クラスターの削除保護を有効にします。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G323 - DynamoDB テーブルでは削除保護が有効になっている必要があります対応する AWS Security Hub チェック: DynamoDB.6	AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection AMS 以外の DynamoDB テーブルの削除保護を有効にします。	事前設定済みのパラメータは許可されません。制約なし
ePs02jT06w - Amazon EBS パブリックスナップショット	AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot Amazon EBS スナップショットのパブリックアクセスは無効になっています。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G118 - VPC のデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください対応する AWS Security Hub チェック: EC2.2	AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG デフォルトのセキュリティグループ内のすべての進入ルールと退出ルールが削除されます。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G117 - アタッチされた EBS ボリュームは保管時に暗号化する必要があります対応する AWS Security Hub チェック: EC2.3	AWSManagedServices-EncryptInstanceVolume インスタンスにアタッチされた Amazon EBS ボリュームは暗号化されます。	ボリュームを暗号化するための KMSKeyId: AWS KMS key ID または ARN。 DeleteStaleNonEncryptedSnapshotBackups: 暗号化されていない古いボリュームのスナップショットバックアップを削除するかどうかを決定するフラグ。インスタンスは修復の一部として再起動され、 `DeleteStaleNonEncryptedSnapshotBackups`が復元`false`に役立つに設定されている場合はロールバックが可能です。
Hs4Ma3G120 - 停止した EC2 インスタンスは、指定された期間後に削除する必要があります対応する AWS Security Hub チェック: EC2.4	AWSManagedServices-TerminateInstance (自動実行モードと手動実行モードの両方のデフォルトの SSM ドキュメント） 30 日間停止した Amazon EC2 インスタンスは終了します。	CreateAMIBeforeTermination:。EC2 インスタンスを終了する前にインスタンス AMI をバックアップとして作成するには、を選択します`true`。終了する前にバックアップを作成しない場合は、を選択します`false`。デフォルトは `true` です。制約なし
Hs4Ma3G120 - 停止した EC2 インスタンスは、指定された期間後に削除する必要があります対応する AWS Security Hub チェック: EC2.4	AWSManagedServices-TerminateEC2InstanceStoppedForPeriodOfTime - Security Hub で定義された日数にわたって停止された Amazon EC2 インスタンス (デフォルト値は 30) は終了します。	CreateAMIBeforeTermination: EC2 インスタンスを終了する前にインスタンス AMI をバックアップとして作成するには、を選択します`true`。終了する前にバックアップを作成しない場合は、を選択します`false`。デフォルトは `true` です。制約なし
Hs4Ma3G121 - EBS のデフォルトの暗号化を有効にする必要があります対応する AWS Security Hub チェック: EC2.7	AWSManagedServices-EncryptEBSByDefault 特定のに対して Amazon EBS 暗号化がデフォルトで有効になっている AWS リージョン	事前設定済みのパラメータは許可されません。デフォルトでの暗号化はリージョン固有の設定です。リージョンに対して有効にした場合、そのリージョンの個々のボリュームまたはスナップショットに対して無効にすることはできません。
Hs4Ma3G124 - Amazon EC2 インスタンスはインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります対応する AWS Security Hub チェック: EC2.8	AWSManagedServices-TrustedRemediatorEnableEC2InstanceIMDSv2 Amazon EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用します。	IMDSv1MetricCheckPeriod: CloudWatch で IMDSv1 使用状況メトリクスを分析する日数 (`42-455`）。Amazon EC2 インスタンスが指定された期間内に作成された場合、分析はインスタンスの作成日から開始されます。 HttpPutResponseHopLimit: インスタンスメタデータトークンに許可されるネットワークホップの最大数。この値は、 `1` と `2` ホップの間で設定できます。のホップ制限は、インスタンスで直接実行されるプロセスへのトークンアクセス`1`を制限し、のホップ制限は、インスタンスで実行されているコンテナからのアクセス`2`を許可します。制約なし
Hs4Ma3G207 - EC2 サブネットはパブリック IP アドレスを自動的に割り当てないでください対応する AWS Security Hub チェック: EC2.15	AWSManagedServices-UpdateAutoAssignPublicIpv4Addresses VPC サブネットは、パブリック IP アドレスを自動的に割り当てないように設定されています。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G209 - 未使用のネットワークアクセスコントロールリストが削除されました対応する AWS Security Hub チェック: EC2.16	AWSManagedServices-DeleteUnusedNACL 未使用のネットワーク ACL を削除する	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G215 - 未使用の Amazon EC2 セキュリティグループを削除する必要があります対応する AWS Security Hub チェック: EC2.22	AWSManagedServices-DeleteSecurityGroups 未使用のセキュリティグループを削除します。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G247 - Amazon EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け入れないでください対応する AWS Security Hub チェック: EC2.23	AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach - 指定された非 AMS Amazon EC2 Transit Gateway の VPC アタッチメントリクエストの自動承認を無効にします。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G235 - ECR プライベートリポジトリにはタグのイミュータビリティを設定する必要があります対応する AWS Security Hub チェック: ECR.2	AWSManagedServices-TrustedRemediatorSetImageTagImmutability 指定されたリポジトリのイメージタグのミュータビリティ設定を IMMUTABLE に設定します。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G216 - ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーを設定する必要があります対応する AWS Security Hub チェック: ECR.3	AWSManagedServices-PutECRRepositoryLifecyclePolicy ECR リポジトリにはライフサイクルポリシーが設定されています。	LifecyclePolicyText: リポジトリに適用する JSON リポジトリポリシーテキスト。自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 LifecyclePolicyText
Hs4Ma3G325 - EKS クラスターでは監査ログ記録が有効になっている必要があります対応する AWS Security Hub チェック: EKS.8	AWSManagedServices-TrustedRemediatorEnableEKSAuditLog 監査ログは EKS クラスターで有効になっています。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G183 - Application Load Balancer は HTTP ヘッダーを削除するように設定する必要があります対応する AWS Security Hub チェック: ELB.4	AWSConfigRemediation-DropInvalidHeadersForALB Application Load Balancer は無効なヘッダーフィールドに設定されています。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G184 - Application Load Balancer と Classic Load Balancer のログ記録を有効にする必要があります対応する AWS Security Hub チェック: ELB.5	AWSManagedServices-EnableELBLogging (自動実行モードと手動実行モードの両方のデフォルト SSM ドキュメント） Application Load Balancer と Classic Load Balancer のログ記録が有効になっています。	BucketName: バケット名 (ARN ではありません）。バケットポリシーがログ記録用に正しく設定されていることを確認します。 S3KeyPrefix: Elastic Load Balancing ログの Amazon S3 バケット内の場所のプレフィックス。自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 BucketName S3KeyPrefix Amazon S3 バケットには、バケットにアクセスログを書き込むアクセス許可を Elastic Load Balancing に付与するバケットポリシーが必要です。
Hs4Ma3G184 - Application Load Balancer と Classic Load Balancer のログ記録を有効にする必要があります対応する AWS Security Hub チェック: ELB.5	AWSManagedServices-EnableELBLoggingV2 Application Load Balancer と Classic Load Balancer のログ記録が有効になっています。	TargetBucketTagKey: ターゲット Amazon S3 バケットを識別するために使用されるタグ名 (大文字と小文字を区別）。これを使用して`TargetBucketTagValue`、アクセスログ記録の送信先バケットとして機能するバケットにタグを付けます。 TargetBucketTagValue: ターゲット Amazon S3 バケットを識別するために使用されるタグ値 (大文字と小文字を区別）。これを使用して`TargetBucketTagKey`、アクセスログ記録の送信先バケットとして機能するバケットにタグを付けます。 S3BucketPrefix: Amazon S3 バケットのプレフィックス (論理階層）。指定するプレフィックスに文字列 `AWSLogs` を含めることはできません。詳細については、「プレフィックスを使用してオブジェクトを整理する」を参照してください。自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 TargetBucketTagKey TargetBucketTagValue S3BucketPrefix Amazon S3 バケットには、バケットにアクセスログを書き込むアクセス許可を Elastic Load Balancing に付与するバケットポリシーが必要です。
Hs4Ma3G326 - Amazon EMR パブリックアクセスブロック設定を有効にする必要があります対応する AWS Security Hub チェック: EMR.2	AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess Amazon EMR ブロックのパブリックアクセス設定は、アカウントに対して有効になっています。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G135 - AWS KMS キーを意図せずに削除しないでください対応する AWS Security Hub チェック: KMS.3	AWSManagedServices-CancelKeyDeletion AWS KMS キーの削除はキャンセルされます。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G299 - Amazon DocumentDB 手動クラスタースナップショットは公開しないでください対応する AWS Security Hub チェック: Neptune.4	AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection Amazon Neptune クラスターの削除保護を有効にします。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G319 - Network Firewall ファイアウォールでは削除保護が有効になっている必要があります対応する AWS Security Hub チェック: NetworkFirewall.9	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection - AWS Network Firewall の削除保護を有効にします。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G223 - OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります対応する AWS Security Hub チェック: OpenSearch.3	AWSManagedServices-EnableOpenSearchNodeToNodeEncryption ノード間の暗号化はドメインで有効になっています。	事前設定済みのパラメータは許可されません。 node-to-node暗号化を有効にすると、設定を無効にすることはできません。代わりに、暗号化されたドメインの手動スナップショットを作成し、別のドメインを作成し、データを移行してから、古いドメインを削除します。
Hs4Ma3G222 - CloudWatch Logs への OpenSearch ドメインエラーログ記録を有効にする必要があります対応する AWS Security Hub チェック: Opensearch.4	AWSManagedServices-EnableOpenSearchLogging OpenSearch ドメインでエラーログ記録が有効になっています。	CloudWatchLogGroupArn: anAmazon CloudWatch Logs ロググループの ARN。自動修復を有効にするには、CloudWatchLogGroupArn という事前設定済みのパラメータを指定する必要があります。 Amazon CloudWatch リソースポリシーは、アクセス許可で設定する必要があります。詳細については、「Amazon OpenSearch Service ユーザーガイド」の「監査ログの有効化」を参照してください。
Hs4Ma3G221 - OpenSearch ドメインでは監査ログ記録が有効になっている必要があります対応する AWS Security Hub チェック: Opensearch.5	AWSManagedServices-EnableOpenSearchLogging OpenSearch ドメインは、監査ログ記録が有効に設定されています。	CloudWatchLogGroupArn: ログを発行する CloudWatch Logs グループの ARN。自動修復を有効にするには、次の事前設定済みパラメータを指定する必要があります。CloudWatchLogGroupArn Amazon CloudWatch リソースポリシーは、アクセス許可で設定する必要があります。詳細については、「Amazon OpenSearch Service ユーザーガイド」の「監査ログの有効化」を参照してください。
Hs4Ma3G220 - OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります対応する AWS Security Hub チェック: Opensearch.8	AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2 TLS ポリシーはPolicy-Min-TLS-1-2-2019-07」に設定され、HTTPS (TLS) 経由の暗号化された接続のみが許可されます。	事前設定済みのパラメータは許可されません。 TLS 1.2 を使用するには、OpenSearch ドメインへの接続が必要です。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。この機能を使用してアプリケーションをテストし、パフォーマンスプロファイルと TLS の影響を理解します。
Hs4Ma3G194 - Amazon RDS スナップショットはプライベートである必要があります対応する AWS Security Hub チェック: RDS.1	AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2 Amazon RDS スナップショットのパブリックアクセスは無効になっています。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G192 - RDS DB インスタンスは、PubliclyAccessible AWS 設定によって決定されるパブリックアクセスを禁止する必要があります対応する AWS Security Hub チェック: RDS.2	AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance RDS DB インスタンスでのパブリックアクセスを無効にします。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G189 - Amazon RDS DB インスタンス用に拡張モニタリングが設定されています対応する AWS Security Hub チェック: RDS.6	AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring Amazon RDS DB インスタンスの拡張モニタリングを有効にする	MonitoringInterval: DB インスタンスの拡張モニタリングメトリクスが収集されるポイント間の秒単位の間隔。有効な間隔は 0、1、5、10、15、30、60 です。拡張モニタリングメトリクスの収集を無効にするには、0 を指定します。 MonitoringRoleName: Amazon RDS が拡張モニタリングメトリクスを Amazon CloudWatch Logs に送信することを許可する IAM ロールの名前。ロールが指定されていない場合、デフォルトのロールが存在しない場合は使用`rds-monitoring-role`または作成されます。自動化の実行前に拡張モニタリングが有効になっている場合、事前設定されたパラメータで設定された MonitoringInterval 値と MonitoringRoleName 値を使用して、この自動化によって設定が上書きされる可能性があります。
Hs4Ma3G190 - Amazon RDS クラスターでは削除保護が有効になっている必要があります対応する AWS Security Hub チェック: RDS.7	AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection 削除保護は Amazon RDS クラスターで有効になっています。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G198 - Amazon RDS DB インスタンスでは削除保護が有効になっている必要があります対応する AWS Security Hub チェック: RDS.8	AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection 削除保護は Amazon RDS インスタンスで有効になっています。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G199 - RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります対応する AWS Security Hub チェック: RDS.9	AWSManagedServices-TrustedRemediatorEnableRDSLogExports RDS DB インスタンスまたは RDS DB クラスターで RDS ログのエクスポートが有効になっています。	事前設定済みのパラメータは許可されません。サービスにリンクされたロール AWSServiceRoleForRDS が必要です。
Hs4Ma3G160 - RDS インスタンスには IAM 認証を設定する必要があります対応する AWS Security Hub チェック: RDS.10	AWSManagedServices-UpdateRDSIAMDatabaseAuthentication AWS Identity and Access Management 認証は RDS インスタンスに対して有効になっています。	ApplyImmediately: このリクエストの変更と保留中の変更ができるだけ早く非同期的に適用されるかどうかを示します。変更をすぐに適用するには、を選択します`true`。次のメンテナンスウィンドウの変更をスケジュールするには、を選択します`false`。制約なし
Hs4Ma3G161 - RDS クラスターには IAM 認証を設定する必要があります対応する AWS Security Hub チェック: RDS.12	AWSManagedServices-UpdateRDSIAMDatabaseAuthentication RDS クラスターで IAM 認証が有効になっています。	ApplyImmediately: このリクエストの変更と保留中の変更ができるだけ早く非同期的に適用されるかどうかを示します。変更をすぐに適用するには、を選択します`true`。次のメンテナンスウィンドウの変更をスケジュールするには、を選択します`false`。制約なし
Hs4Ma3G162 - RDS 自動マイナーバージョンアップグレードを有効にする必要があります対応する AWS Security Hub チェック: RDS.13	AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade Amazon RDS の自動マイナーバージョンアップグレード設定が有効になっています。	事前設定済みのパラメータは許可されません。この修復を実行するには、Amazon RDS インスタンスが `available`状態である必要があります。
Hs4Ma3G163 - RDS DB クラスターは、スナップショットにタグをコピーするように設定する必要があります対応する AWS Security Hub チェック: RDS.16	AWSManagedServices-UpdateRDSCopyTagsToSnapshots `CopyTagtosnapshot` Amazon RDS クラスターの設定が有効になっています。	事前設定済みのパラメータは許可されません。この修復を実行するには、Amazon RDS インスタンスが使用可能な状態である必要があります。
Hs4Ma3G164 - RDS DB インスタンスは、スナップショットにタグをコピーするように設定する必要があります対応する AWS Security Hub チェック: RDS.17	AWSManagedServices-UpdateRDSCopyTagsToSnapshots `CopyTagsToSnapshot` Amazon RDS の設定が有効になっています。	事前設定済みのパラメータは許可されません。この修復を実行するには、Amazon RDS インスタンスが使用可能な状態である必要があります。
rSs93HQwa1 Amazon RDS パブリックスナップショット	AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2 Amazon RDS スナップショットのパブリックアクセスは無効になっています。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G103 - Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります対応する AWS Security Hub チェック: Redshift.1	AWSManagedServices-DisablePublicAccessOnRedshiftCluster Amazon Redshift クラスターでのパブリックアクセスは無効になっています。	事前設定済みのパラメータは許可されません。パブリックアクセスを無効にすると、インターネットからのすべてのクライアントがブロックされます。また、Amazon Redshift クラスターは数分間変更状態になり、修復によりクラスターへのパブリックアクセスが無効になります。
Hs4Ma3G106 - Amazon Redshift クラスターでは監査ログ記録が有効になっている必要があります対応する AWS Security Hub チェック: Redshift.4	AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging 監査ログ記録は、メンテナンスウィンドウ中に Amazon Redshift クラスターに対して有効になります。	事前設定済みのパラメータは許可されません。自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 BucketName: バケットは同じにある必要があります AWS リージョン。クラスターには、読み取りバケットと put オブジェクトのアクセス許可が必要です。自動化の実行前に Redshift クラスターのログ記録が有効になっている場合、ログ記録設定は、事前設定されたパラメータで設定された `BucketName`および `S3KeyPrefix`値を使用して、この自動化によって上書きされる可能性があります。
Hs4Ma3G105 - Amazon Redshift では、メジャーバージョンへの自動アップグレードを有効にする必要があります対応する AWS Security Hub チェック: Redshift.6	AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade - メジャーバージョンアップグレードは、メンテナンスウィンドウ中にクラスターに自動的に適用されます。Amazon Redshift クラスターには即時のダウンタイムはありませんが、メジャーバージョンにアップグレードすると、Amazon Redshift クラスターのメンテナンス期間中にダウンタイムが発生する可能性があります。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G104 - Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります対応する AWS Security Hub チェック: Redshift.7	AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting Amazon Redshift クラスターでは、拡張 VPC ルーティングが有効になっています。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G173 - S3 パブリックアクセスブロック設定はバケットレベルで有効にする必要があります対応する AWS Security Hub チェック: S3.8	AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess バケットレベルのパブリックアクセスブロックは、Amazon S3 バケットに適用されます。	事前設定済みのパラメータは許可されません。この修復は、S3 オブジェクトの可用性に影響する可能性があります。Amazon S3 がアクセスを評価する方法の詳細については、Amazon S3ストレージへのパブリックアクセスのブロック」を参照してください。
Hs4Ma3G230 - S3 バケットサーバーアクセスのログ記録を有効にする必要があります対応する AWS Security Hub チェック: S3.9	AWSManagedServices-EnableBucketAccessLogging (自動実行モードと手動実行モードの両方のデフォルト SSM ドキュメント） Amazon S3 サーバーアクセスのログ記録が有効になっています。	TargetBucket: サーバーアクセスログを保存する S3 バケットの名前。 TargetObjectKeyFormat: ログオブジェクトの Amazon S3 キー形式 (値は大文字と小文字が区別されます）。ログオブジェクトの S3 キーにシンプルな形式を使用するには、を選択します`SimplePrefix`。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに EventTime を使用するには、を選択します`PartitionedPrefixEventTime`。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに DeliveryTime を使用するには、を選択します`PartitionedPrefixDeliveryTime`。有効な値は、`SimplePrefix`、`PartitionedPrefixEventTime`、`PartitionedPrefixDeliveryTime` です。自動修復を有効にするには、TargetBucket という事前設定済みのパラメータを指定する必要があります。レプリケート先バケットは、ログ配信の正しいアクセス許可を持つレプリケート元バケット AWS アカウントと同じ AWS リージョンおよびにある必要があります。詳細については、「Amazon S3 サーバーアクセスログを有効にします」を参照してください。
Hs4Ma3G230 – S3 バケットサーバーのアクセスログ記録を有効にする必要があります対応する AWS Security Hub チェック: S3.9	AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 - Amazon S3 バケットログ記録が有効になっています。	TargetBucketTagKey: ターゲットバケットを識別するタグ名 (大文字と小文字を区別）。これと TargetBucketTagValue を使用して、アクセスログ記録の送信先バケットとして使用するバケットにタグを付けます。 TargetBucketTagValue: ターゲットバケットを識別するタグ値 (大文字と小文字を区別）。これと TargetBucketTagKey を使用して、アクセスログ記録の送信先バケットとして使用するバケットにタグを付けます。 TargetObjectKeyFormat: ログオブジェクトの Amazon S3 キー形式 (値は大文字と小文字が区別されます): ログオブジェクトの S3 キーにシンプルな形式を使用するには、SimplePrefix を選択します。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに EventTime を使用するには、PartitionedPrefixEventTime を選択します。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに DeliveryTime を使用するには、PartitionedPrefixDeliveryTime を選択します。デフォルトは PartitionedPrefixEventTime です。自動修復を有効にするには、TargetBucketTagKey と TargetBucketTagValue のパラメータを指定する必要があります。レプリケート先バケットは、ログ配信の正しいアクセス許可を持つレプリケート元バケット AWS アカウントと同じ AWS リージョンおよびにある必要があります。詳細については、「Amazon S3 サーバーアクセスログを有効にします」を参照してください。
Pfx0RwqBli Amazon S3 バケット許可	AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess パブリックアクセスをブロックする	事前設定済みのパラメータは許可されません。このチェックは、複数のアラート条件で構成されます。この自動化は、パブリックアクセスの問題を修正します。で Trusted Advisor フラグ付けされた他の設定の問題の修復はサポートされていません。この修復は、 AWS のサービス作成された S3 バケット (cf-templates-000000000000 など) の修復をサポートします。
Hs4Ma3G272 - ユーザーは SageMaker ノートブックインスタンスにルートアクセスできません対応する AWS Security Hub チェック: SageMaker.3	AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess SageMaker ノートブックインスタンスでは、ユーザーのルートアクセスは無効になっています。	事前設定済みのパラメータは許可されません。この修復により、SageMaker ノートブックインスタンスが InService 状態の場合、停止が発生します。
Hs4Ma3G179 - SNS トピックは保管時にを使用して暗号化する必要があります AWS KMS 対応する AWS Security Hub チェック: SNS.1	AWSManagedServices-EnableSNSEncryptionAtRest SNS トピックはサーバー側の暗号化で設定されます。	KmsKeyId: サーバー側の暗号化 (SSE) に使用される Amazon SNS またはカスタム CMK の AWS マネージドカスタマーマスターキー (CMK) の ID。デフォルトでは `alias/aws/sns` に設定されています。カスタム AWS KMS キーを使用する場合は、正しいアクセス許可で設定する必要があります。詳細については、Amazon SNSを有効にする」を参照してください。
Hs4Ma3G158 - SSM ドキュメントは公開しないでください対応する AWS Security Hub チェック: SSM.4	AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing - SSM ドキュメントのパブリック共有を無効にします。	事前設定済みのパラメータは許可されません。制約なし
Hs4Ma3G136 - Amazon SQS キューは保管時に暗号化する必要があります対応する AWS Security Hub チェック: SQS.1	AWSManagedServices-EnableSQSEncryptionAtRest Amazon SQS のメッセージは暗号化されます。	SqsManagedSseEnabled: に設定する`true`とAmazon SQS 所有の暗号化キーを使用したサーバー側のキュー暗号化が有効になり、に設定する`false`と、 AWS KMS キーを使用したサーバー側のキュー暗号化が有効になります。 KMSKeyId: Amazon SQS の AWS マネージドカスタマーマスターキー (CMK) またはキューのサーバー側の暗号化に使用されるカスタム CMK の ID またはエイリアス。指定しない場合、alias/aws/sqs が使用されます。 KmsDataKeyReusePeriodSeconds: Amazon SQS がデータキーを再利用して、 AWS KMS 再度を呼び出す前にメッセージを暗号化または復号できる秒単位の長さ。60秒(1分)から86,400秒(24時間)の秒数を表す整数。がに設定されている場合`SqsManagedSseEnabled`、この設定は無視されます`true`。暗号化されたキューへの匿名 SendMessage および ReceiveMessage リクエストは拒否されます。SSE が有効なキューへのすべてのリクエストでは必ず、HTTPSと署名バージョン4 を使用する必要があります。

12Fnkpl8Y5

露出したアクセスキー

AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey

公開された IAM アクセスキーは非アクティブ化されます。

事前設定済みのパラメータは許可されません。

公開された IAM アクセスキーで設定されたアプリケーションは認証できません。

Hs4Ma3G127 - API Gateway REST および WebSocket API 実行ログを有効にする必要があります

対応する AWS Security Hub チェック: APIGateway.1

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

実行ログ記録は API ステージで有効になっています。

LogLevel: 実行ログ記録を有効にするログ記録レベル ERROR - ログ記録はエラーに対してのみ有効になります。 INFO- ログ記録はすべてのイベントで有効になっています。

実行ログを有効にするには、アカウントの CloudWatch にログを読み書きするアクセス許可を API Gateway に付与する必要があります。詳細については、「API Gateway で REST API の CloudWatch ログ記録を設定する APIs」を参照してください。

Hs4Ma3G129 - API Gateway REST API ステージでは AWS X-Ray トレースを有効にする必要があります

対応する AWS Security Hub チェック: APIGateway.3

AWSManagedServices-EnableApiGateWayXRayTracing

X-Ray トレースは API ステージで有効になっています。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G202 - API Gateway REST API キャッシュデータは保管時に暗号化する必要があります

対応する AWS Security Hub チェック: APIGateway.5

AWSManagedServices-EnableAPIGatewayCacheEncryption

API Gateway REST API ステージでキャッシュが有効になっている場合、API Gateway REST API キャッシュデータの保管時の暗号化を有効にします。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G177 -

対応する AWS Security Hub チェック - ロードバランサーに関連付けられた Auto Scaling グループは、ロードバランサーのヘルスチェック AutoScaling.1

AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck

Auto Scaling グループに対して Elastic Load Balancing ヘルスチェックが有効になっています。

HealthCheckGracePeriod: サービスを開始した Amazon Elastic Compute Cloud インスタンスのヘルスステータスをチェックするまでに Auto Scaling が待機する秒単位の時間。

Elastic Load Balancing ヘルスチェックを有効にすると、Auto Scaling グループにアタッチされた Elastic Load Balancing ロードバランサーのいずれかが異常と報告した場合、実行中のインスタンスが置き換えられる可能性があります。詳細については、Elastic Load Balancing ロードバランサーを Auto Scaling グループにアタッチする」を参照してください。

Hs4Ma3G245 - AWS CloudFormation スタックは Amazon Simple Notification Service と統合する必要があります

対応する AWS Security Hub チェック: CloudFormation.1

AWSManagedServices-EnableCFNStackNotification

CloudFormation スタックを通知用の Amazon SNS トピックに関連付けます。

NotificationARNs 選択した CloudFormation スタックに関連付ける Amazon SNS トピックの ARNs。

自動修復を有効にするには、NotificationARNs事前設定されたパラメータを指定する必要があります。

Hs4Ma3G210 - CloudFront ディストリビューションではログ記録が有効になっている必要があります

対応する AWS Security Hub チェック: CloudFront.2

AWSManagedServices-EnableCloudFrontDistributionLogging

ログ記録は Amazon CloudFront ディストリビューションで有効になっています。

BucketName: アクセスログを保存する Amazon S3 バケットの名前。
S3KeyPrefix: theAmazon CloudFront ディストリビューションログの S3 バケット内の場所のプレフィックス。
IncludeCookies: アクセスログに Cookie を含めるかどうかを示します。

自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。

BucketName
S3KeyPrefix
IncludeCookies

この修復の制約については、CloudFront ディストリビューションのログ記録を有効にするにはどうすればよいですか？」を参照してください。

Hs4Ma3G109 - CloudTrail ログファイルの検証を有効にする必要があります

対応する AWS Security Hub チェック: CloudTrail.4

AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation

CloudTrail 証跡ログの検証を有効にします。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G108 - CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

対応する AWS Security Hub チェック: CloudTrail.5

AWSManagedServices-IntegrateCloudTrailWithCloudWatch

AWS CloudTrail は CloudWatch Logs と統合されています。

CloudWatchLogsLogGroupName: CloudTrail ログが配信される CloudWatch Logs ロググループの名前。アカウントにあるロググループを使用する必要があります。
CloudWatchLogsRoleName: ユーザーのロググループに書き込むために引き受ける CloudWatch Logs エンドポイントの IAM ロールの名前。アカウントにあるロールを使用する必要があります。

自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。

CloudWatchLogsLogGroupName
CloudWatchLogsRoleName

Hs4Ma3G217 - CodeBuild プロジェクト環境にはログ記録 AWS 設定が必要です

対応する AWS Security Hub チェック: CodeBuild.4

AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig

CodeBuild プロジェクトのログ記録を有効にします。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G306 - Neptune DB クラスターでは削除保護を有効にする必要があります

対応する AWS Security Hub チェック: DocumentDB.3

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot

Amazon DocumentDB 手動クラスタースナップショットからパブリックアクセスを削除します。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G308 - Amazon DocumentDB クラスターでは削除保護が有効になっている必要があります

対応する AWS Security Hub チェック: DocumentDB.5

AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection

Amazon DocumentDB クラスターの削除保護を有効にします。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G323 - DynamoDB テーブルでは削除保護が有効になっている必要があります

対応する AWS Security Hub チェック: DynamoDB.6

AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection

AMS 以外の DynamoDB テーブルの削除保護を有効にします。

事前設定済みのパラメータは許可されません。

制約なし

ePs02jT06w - Amazon EBS パブリックスナップショット

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot

Amazon EBS スナップショットのパブリックアクセスは無効になっています。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G118 - VPC のデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください

対応する AWS Security Hub チェック: EC2.2

AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG

デフォルトのセキュリティグループ内のすべての進入ルールと退出ルールが削除されます。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G117 - アタッチされた EBS ボリュームは保管時に暗号化する必要があります

対応する AWS Security Hub チェック: EC2.3

AWSManagedServices-EncryptInstanceVolume

インスタンスにアタッチされた Amazon EBS ボリュームは暗号化されます。

ボリュームを暗号化するための KMSKeyId: AWS KMS key ID または ARN。
DeleteStaleNonEncryptedSnapshotBackups: 暗号化されていない古いボリュームのスナップショットバックアップを削除するかどうかを決定するフラグ。

インスタンスは修復の一部として再起動され、 DeleteStaleNonEncryptedSnapshotBackupsが復元falseに役立つに設定されている場合はロールバックが可能です。

Hs4Ma3G120 - 停止した EC2 インスタンスは、指定された期間後に削除する必要があります

対応する AWS Security Hub チェック: EC2.4

AWSManagedServices-TerminateInstance (自動実行モードと手動実行モードの両方のデフォルトの SSM ドキュメント）

30 日間停止した Amazon EC2 インスタンスは終了します。

CreateAMIBeforeTermination:。EC2 インスタンスを終了する前にインスタンス AMI をバックアップとして作成するには、を選択しますtrue。終了する前にバックアップを作成しない場合は、を選択しますfalse。デフォルトは true です。

制約なし

Hs4Ma3G120 - 停止した EC2 インスタンスは、指定された期間後に削除する必要があります

対応する AWS Security Hub チェック: EC2.4

AWSManagedServices-TerminateEC2InstanceStoppedForPeriodOfTime - Security Hub で定義された日数にわたって停止された Amazon EC2 インスタンス (デフォルト値は 30) は終了します。

CreateAMIBeforeTermination: EC2 インスタンスを終了する前にインスタンス AMI をバックアップとして作成するには、を選択しますtrue。終了する前にバックアップを作成しない場合は、を選択しますfalse。デフォルトは true です。

制約なし

Hs4Ma3G121 - EBS のデフォルトの暗号化を有効にする必要があります

対応する AWS Security Hub チェック: EC2.7

AWSManagedServices-EncryptEBSByDefault

特定のに対して Amazon EBS 暗号化がデフォルトで有効になっている AWS リージョン

事前設定済みのパラメータは許可されません。

デフォルトでの暗号化はリージョン固有の設定です。リージョンに対して有効にした場合、そのリージョンの個々のボリュームまたはスナップショットに対して無効にすることはできません。

Hs4Ma3G124 - Amazon EC2 インスタンスはインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

対応する AWS Security Hub チェック: EC2.8

AWSManagedServices-TrustedRemediatorEnableEC2InstanceIMDSv2

Amazon EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用します。

IMDSv1MetricCheckPeriod: CloudWatch で IMDSv1 使用状況メトリクスを分析する日数 (42-455）。Amazon EC2 インスタンスが指定された期間内に作成された場合、分析はインスタンスの作成日から開始されます。
HttpPutResponseHopLimit: インスタンスメタデータトークンに許可されるネットワークホップの最大数。この値は、 1 と 2 ホップの間で設定できます。のホップ制限は、インスタンスで直接実行されるプロセスへのトークンアクセス1を制限し、のホップ制限は、インスタンスで実行されているコンテナからのアクセス2を許可します。

制約なし

Hs4Ma3G207 - EC2 サブネットはパブリック IP アドレスを自動的に割り当てないでください

対応する AWS Security Hub チェック: EC2.15

AWSManagedServices-UpdateAutoAssignPublicIpv4Addresses

VPC サブネットは、パブリック IP アドレスを自動的に割り当てないように設定されています。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G209 - 未使用のネットワークアクセスコントロールリストが削除されました

対応する AWS Security Hub チェック: EC2.16

AWSManagedServices-DeleteUnusedNACL

未使用のネットワーク ACL を削除する

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G215 - 未使用の Amazon EC2 セキュリティグループを削除する必要があります

対応する AWS Security Hub チェック: EC2.22

AWSManagedServices-DeleteSecurityGroups

未使用のセキュリティグループを削除します。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G247 - Amazon EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け入れないでください

対応する AWS Security Hub チェック: EC2.23

AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach - 指定された非 AMS Amazon EC2 Transit Gateway の VPC アタッチメントリクエストの自動承認を無効にします。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G235 - ECR プライベートリポジトリにはタグのイミュータビリティを設定する必要があります

対応する AWS Security Hub チェック: ECR.2

AWSManagedServices-TrustedRemediatorSetImageTagImmutability

指定されたリポジトリのイメージタグのミュータビリティ設定を IMMUTABLE に設定します。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G216 - ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーを設定する必要があります

対応する AWS Security Hub チェック: ECR.3

AWSManagedServices-PutECRRepositoryLifecyclePolicy

ECR リポジトリにはライフサイクルポリシーが設定されています。

LifecyclePolicyText: リポジトリに適用する JSON リポジトリポリシーテキスト。

自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。

LifecyclePolicyText

Hs4Ma3G325 - EKS クラスターでは監査ログ記録が有効になっている必要があります

対応する AWS Security Hub チェック: EKS.8

AWSManagedServices-TrustedRemediatorEnableEKSAuditLog

監査ログは EKS クラスターで有効になっています。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G183 - Application Load Balancer は HTTP ヘッダーを削除するように設定する必要があります

対応する AWS Security Hub チェック: ELB.4

AWSConfigRemediation-DropInvalidHeadersForALB

Application Load Balancer は無効なヘッダーフィールドに設定されています。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G184 - Application Load Balancer と Classic Load Balancer のログ記録を有効にする必要があります

対応する AWS Security Hub チェック: ELB.5

AWSManagedServices-EnableELBLogging (自動実行モードと手動実行モードの両方のデフォルト SSM ドキュメント）

Application Load Balancer と Classic Load Balancer のログ記録が有効になっています。

BucketName: バケット名 (ARN ではありません）。バケットポリシーがログ記録用に正しく設定されていることを確認します。
S3KeyPrefix: Elastic Load Balancing ログの Amazon S3 バケット内の場所のプレフィックス。

自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。

BucketName
S3KeyPrefix

Amazon S3 バケットには、バケットにアクセスログを書き込むアクセス許可を Elastic Load Balancing に付与するバケットポリシーが必要です。

Hs4Ma3G184 - Application Load Balancer と Classic Load Balancer のログ記録を有効にする必要があります

対応する AWS Security Hub チェック: ELB.5

AWSManagedServices-EnableELBLoggingV2

Application Load Balancer と Classic Load Balancer のログ記録が有効になっています。

TargetBucketTagKey: ターゲット Amazon S3 バケットを識別するために使用されるタグ名 (大文字と小文字を区別）。これを使用してTargetBucketTagValue、アクセスログ記録の送信先バケットとして機能するバケットにタグを付けます。
TargetBucketTagValue: ターゲット Amazon S3 バケットを識別するために使用されるタグ値 (大文字と小文字を区別）。これを使用してTargetBucketTagKey、アクセスログ記録の送信先バケットとして機能するバケットにタグを付けます。
S3BucketPrefix: Amazon S3 バケットのプレフィックス (論理階層）。指定するプレフィックスに文字列 AWSLogs を含めることはできません。詳細については、「プレフィックスを使用してオブジェクトを整理する」を参照してください。

自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。
- TargetBucketTagKey
- TargetBucketTagValue
- S3BucketPrefix
Amazon S3 バケットには、バケットにアクセスログを書き込むアクセス許可を Elastic Load Balancing に付与するバケットポリシーが必要です。

Hs4Ma3G326 - Amazon EMR パブリックアクセスブロック設定を有効にする必要があります

対応する AWS Security Hub チェック: EMR.2

AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess

Amazon EMR ブロックのパブリックアクセス設定は、アカウントに対して有効になっています。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G135 - AWS KMS キーを意図せずに削除しないでください

対応する AWS Security Hub チェック: KMS.3

AWSManagedServices-CancelKeyDeletion

AWS KMS キーの削除はキャンセルされます。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G299 - Amazon DocumentDB 手動クラスタースナップショットは公開しないでください

対応する AWS Security Hub チェック: Neptune.4

AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection

Amazon Neptune クラスターの削除保護を有効にします。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G319 - Network Firewall ファイアウォールでは削除保護が有効になっている必要があります

対応する AWS Security Hub チェック: NetworkFirewall.9

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection - AWS Network Firewall の削除保護を有効にします。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G223 - OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

対応する AWS Security Hub チェック: OpenSearch.3

AWSManagedServices-EnableOpenSearchNodeToNodeEncryption

ノード間の暗号化はドメインで有効になっています。

事前設定済みのパラメータは許可されません。

node-to-node暗号化を有効にすると、設定を無効にすることはできません。代わりに、暗号化されたドメインの手動スナップショットを作成し、別のドメインを作成し、データを移行してから、古いドメインを削除します。

Hs4Ma3G222 - CloudWatch Logs への OpenSearch ドメインエラーログ記録を有効にする必要があります

対応する AWS Security Hub チェック: Opensearch.4

AWSManagedServices-EnableOpenSearchLogging

OpenSearch ドメインでエラーログ記録が有効になっています。

CloudWatchLogGroupArn: anAmazon CloudWatch Logs ロググループの ARN。

自動修復を有効にするには、CloudWatchLogGroupArn という事前設定済みのパラメータを指定する必要があります。

Amazon CloudWatch リソースポリシーは、アクセス許可で設定する必要があります。詳細については、「Amazon OpenSearch Service ユーザーガイド」の「監査ログの有効化」を参照してください。

Hs4Ma3G221 - OpenSearch ドメインでは監査ログ記録が有効になっている必要があります

対応する AWS Security Hub チェック: Opensearch.5

AWSManagedServices-EnableOpenSearchLogging

OpenSearch ドメインは、監査ログ記録が有効に設定されています。

CloudWatchLogGroupArn: ログを発行する CloudWatch Logs グループの ARN。

自動修復を有効にするには、次の事前設定済みパラメータを指定する必要があります。CloudWatchLogGroupArn

Hs4Ma3G220 - OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

対応する AWS Security Hub チェック: Opensearch.8

AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2

TLS ポリシーはPolicy-Min-TLS-1-2-2019-07」に設定され、HTTPS (TLS) 経由の暗号化された接続のみが許可されます。

事前設定済みのパラメータは許可されません。

TLS 1.2 を使用するには、OpenSearch ドメインへの接続が必要です。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。この機能を使用してアプリケーションをテストし、パフォーマンスプロファイルと TLS の影響を理解します。

Hs4Ma3G194 - Amazon RDS スナップショットはプライベートである必要があります

対応する AWS Security Hub チェック: RDS.1

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

Amazon RDS スナップショットのパブリックアクセスは無効になっています。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G192 - RDS DB インスタンスは、PubliclyAccessible AWS 設定によって決定されるパブリックアクセスを禁止する必要があります

対応する AWS Security Hub チェック: RDS.2

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance

RDS DB インスタンスでのパブリックアクセスを無効にします。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G189 - Amazon RDS DB インスタンス用に拡張モニタリングが設定されています

対応する AWS Security Hub チェック: RDS.6

AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring

Amazon RDS DB インスタンスの拡張モニタリングを有効にする

MonitoringInterval: DB インスタンスの拡張モニタリングメトリクスが収集されるポイント間の秒単位の間隔。有効な間隔は 0、1、5、10、15、30、60 です。拡張モニタリングメトリクスの収集を無効にするには、0 を指定します。
MonitoringRoleName: Amazon RDS が拡張モニタリングメトリクスを Amazon CloudWatch Logs に送信することを許可する IAM ロールの名前。ロールが指定されていない場合、デフォルトのロールが存在しない場合は使用rds-monitoring-roleまたは作成されます。

自動化の実行前に拡張モニタリングが有効になっている場合、事前設定されたパラメータで設定された MonitoringInterval 値と MonitoringRoleName 値を使用して、この自動化によって設定が上書きされる可能性があります。

Hs4Ma3G190 - Amazon RDS クラスターでは削除保護が有効になっている必要があります

対応する AWS Security Hub チェック: RDS.7

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

削除保護は Amazon RDS クラスターで有効になっています。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G198 - Amazon RDS DB インスタンスでは削除保護が有効になっている必要があります

対応する AWS Security Hub チェック: RDS.8

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

削除保護は Amazon RDS インスタンスで有効になっています。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G199 - RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります

対応する AWS Security Hub チェック: RDS.9

AWSManagedServices-TrustedRemediatorEnableRDSLogExports

RDS DB インスタンスまたは RDS DB クラスターで RDS ログのエクスポートが有効になっています。

事前設定済みのパラメータは許可されません。

サービスにリンクされたロール AWSServiceRoleForRDS が必要です。

Hs4Ma3G160 - RDS インスタンスには IAM 認証を設定する必要があります

対応する AWS Security Hub チェック: RDS.10

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

AWS Identity and Access Management 認証は RDS インスタンスに対して有効になっています。

ApplyImmediately: このリクエストの変更と保留中の変更ができるだけ早く非同期的に適用されるかどうかを示します。変更をすぐに適用するには、を選択しますtrue。次のメンテナンスウィンドウの変更をスケジュールするには、を選択しますfalse。

制約なし

Hs4Ma3G161 - RDS クラスターには IAM 認証を設定する必要があります

対応する AWS Security Hub チェック: RDS.12

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

RDS クラスターで IAM 認証が有効になっています。

制約なし

Hs4Ma3G162 - RDS 自動マイナーバージョンアップグレードを有効にする必要があります

対応する AWS Security Hub チェック: RDS.13

AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade

Amazon RDS の自動マイナーバージョンアップグレード設定が有効になっています。

事前設定済みのパラメータは許可されません。

この修復を実行するには、Amazon RDS インスタンスが available状態である必要があります。

Hs4Ma3G163 - RDS DB クラスターは、スナップショットにタグをコピーするように設定する必要があります

対応する AWS Security Hub チェック: RDS.16

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagtosnapshot Amazon RDS クラスターの設定が有効になっています。

事前設定済みのパラメータは許可されません。

この修復を実行するには、Amazon RDS インスタンスが使用可能な状態である必要があります。

Hs4Ma3G164 - RDS DB インスタンスは、スナップショットにタグをコピーするように設定する必要があります

対応する AWS Security Hub チェック: RDS.17

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagsToSnapshot Amazon RDS の設定が有効になっています。

事前設定済みのパラメータは許可されません。

この修復を実行するには、Amazon RDS インスタンスが使用可能な状態である必要があります。

rSs93HQwa1

Amazon RDS パブリックスナップショット

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

Amazon RDS スナップショットのパブリックアクセスは無効になっています。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G103 - Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

対応する AWS Security Hub チェック: Redshift.1

AWSManagedServices-DisablePublicAccessOnRedshiftCluster

Amazon Redshift クラスターでのパブリックアクセスは無効になっています。

事前設定済みのパラメータは許可されません。

パブリックアクセスを無効にすると、インターネットからのすべてのクライアントがブロックされます。また、Amazon Redshift クラスターは数分間変更状態になり、修復によりクラスターへのパブリックアクセスが無効になります。

Hs4Ma3G106 - Amazon Redshift クラスターでは監査ログ記録が有効になっている必要があります

対応する AWS Security Hub チェック: Redshift.4

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging

監査ログ記録は、メンテナンスウィンドウ中に Amazon Redshift クラスターに対して有効になります。

事前設定済みのパラメータは許可されません。

自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。

BucketName: バケットは同じにある必要があります AWS リージョン。クラスターには、読み取りバケットと put オブジェクトのアクセス許可が必要です。

自動化の実行前に Redshift クラスターのログ記録が有効になっている場合、ログ記録設定は、事前設定されたパラメータで設定された BucketNameおよび S3KeyPrefix値を使用して、この自動化によって上書きされる可能性があります。

Hs4Ma3G105 - Amazon Redshift では、メジャーバージョンへの自動アップグレードを有効にする必要があります

対応する AWS Security Hub チェック: Redshift.6

AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade - メジャーバージョンアップグレードは、メンテナンスウィンドウ中にクラスターに自動的に適用されます。Amazon Redshift クラスターには即時のダウンタイムはありませんが、メジャーバージョンにアップグレードすると、Amazon Redshift クラスターのメンテナンス期間中にダウンタイムが発生する可能性があります。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G104 - Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

対応する AWS Security Hub チェック: Redshift.7

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting

Amazon Redshift クラスターでは、拡張 VPC ルーティングが有効になっています。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G173 - S3 パブリックアクセスブロック設定はバケットレベルで有効にする必要があります

対応する AWS Security Hub チェック: S3.8

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

バケットレベルのパブリックアクセスブロックは、Amazon S3 バケットに適用されます。

事前設定済みのパラメータは許可されません。

この修復は、S3 オブジェクトの可用性に影響する可能性があります。Amazon S3 がアクセスを評価する方法の詳細については、Amazon S3ストレージへのパブリックアクセスのブロック」を参照してください。

Hs4Ma3G230 - S3 バケットサーバーアクセスのログ記録を有効にする必要があります

対応する AWS Security Hub チェック: S3.9

AWSManagedServices-EnableBucketAccessLogging (自動実行モードと手動実行モードの両方のデフォルト SSM ドキュメント）

Amazon S3 サーバーアクセスのログ記録が有効になっています。

TargetBucket: サーバーアクセスログを保存する S3 バケットの名前。
TargetObjectKeyFormat: ログオブジェクトの Amazon S3 キー形式 (値は大文字と小文字が区別されます）。ログオブジェクトの S3 キーにシンプルな形式を使用するには、を選択しますSimplePrefix。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに EventTime を使用するには、を選択しますPartitionedPrefixEventTime。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに DeliveryTime を使用するには、を選択しますPartitionedPrefixDeliveryTime。有効な値は、SimplePrefix、PartitionedPrefixEventTime、PartitionedPrefixDeliveryTime です。

自動修復を有効にするには、TargetBucket という事前設定済みのパラメータを指定する必要があります。

レプリケート先バケットは、ログ配信の正しいアクセス許可を持つレプリケート元バケット AWS アカウントと同じ AWS リージョンおよびにある必要があります。詳細については、「Amazon S3 サーバーアクセスログを有効にします」を参照してください。

Hs4Ma3G230 – S3 バケットサーバーのアクセスログ記録を有効にする必要があります

対応する AWS Security Hub チェック: S3.9

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 - Amazon S3 バケットログ記録が有効になっています。

TargetBucketTagKey: ターゲットバケットを識別するタグ名 (大文字と小文字を区別）。これと TargetBucketTagValue を使用して、アクセスログ記録の送信先バケットとして使用するバケットにタグを付けます。
TargetBucketTagValue: ターゲットバケットを識別するタグ値 (大文字と小文字を区別）。これと TargetBucketTagKey を使用して、アクセスログ記録の送信先バケットとして使用するバケットにタグを付けます。
TargetObjectKeyFormat: ログオブジェクトの Amazon S3 キー形式 (値は大文字と小文字が区別されます): ログオブジェクトの S3 キーにシンプルな形式を使用するには、SimplePrefix を選択します。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに EventTime を使用するには、PartitionedPrefixEventTime を選択します。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに DeliveryTime を使用するには、PartitionedPrefixDeliveryTime を選択します。デフォルトは PartitionedPrefixEventTime です。

自動修復を有効にするには、TargetBucketTagKey と TargetBucketTagValue のパラメータを指定する必要があります。

Pfx0RwqBli

Amazon S3 バケット許可

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

パブリックアクセスをブロックする　

事前設定済みのパラメータは許可されません。

このチェックは、複数のアラート条件で構成されます。この自動化は、パブリックアクセスの問題を修正します。で Trusted Advisor フラグ付けされた他の設定の問題の修復はサポートされていません。この修復は、 AWS のサービス作成された S3 バケット (cf-templates-000000000000 など) の修復をサポートします。

Hs4Ma3G272 - ユーザーは SageMaker ノートブックインスタンスにルートアクセスできません

対応する AWS Security Hub チェック: SageMaker.3

AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess

SageMaker ノートブックインスタンスでは、ユーザーのルートアクセスは無効になっています。

事前設定済みのパラメータは許可されません。

この修復により、SageMaker ノートブックインスタンスが InService 状態の場合、停止が発生します。

Hs4Ma3G179 - SNS トピックは保管時にを使用して暗号化する必要があります AWS KMS

対応する AWS Security Hub チェック: SNS.1

AWSManagedServices-EnableSNSEncryptionAtRest

SNS トピックはサーバー側の暗号化で設定されます。

KmsKeyId: サーバー側の暗号化 (SSE) に使用される Amazon SNS またはカスタム CMK の AWS マネージドカスタマーマスターキー (CMK) の ID。デフォルトでは alias/aws/sns に設定されています。

カスタム AWS KMS キーを使用する場合は、正しいアクセス許可で設定する必要があります。詳細については、Amazon SNSを有効にする」を参照してください。

Hs4Ma3G158 - SSM ドキュメントは公開しないでください

対応する AWS Security Hub チェック: SSM.4

AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing - SSM ドキュメントのパブリック共有を無効にします。

事前設定済みのパラメータは許可されません。

制約なし

Hs4Ma3G136 - Amazon SQS キューは保管時に暗号化する必要があります

対応する AWS Security Hub チェック: SQS.1

AWSManagedServices-EnableSQSEncryptionAtRest

Amazon SQS のメッセージは暗号化されます。

SqsManagedSseEnabled: に設定するtrueとAmazon SQS 所有の暗号化キーを使用したサーバー側のキュー暗号化が有効になり、に設定するfalseと、 AWS KMS キーを使用したサーバー側のキュー暗号化が有効になります。
KMSKeyId: Amazon SQS の AWS マネージドカスタマーマスターキー (CMK) またはキューのサーバー側の暗号化に使用されるカスタム CMK の ID またはエイリアス。指定しない場合、alias/aws/sqs が使用されます。
KmsDataKeyReusePeriodSeconds: Amazon SQS がデータキーを再利用して、 AWS KMS 再度を呼び出す前にメッセージを暗号化または復号できる秒単位の長さ。60秒(1分)から86,400秒(24時間)の秒数を表す整数。がに設定されている場合SqsManagedSseEnabled、この設定は無視されますtrue。

暗号化されたキューへの匿名 SendMessage および ReceiveMessage リクエストは拒否されます。SSE が有効なキューへのすべてのリクエストでは必ず、HTTPSと署名バージョン4 を使用する必要があります。

Trusted Advisor Trusted Remediator でサポートされている耐障害性チェック

ID と名前を確認する SSM ドキュメント名と期待される成果サポートされている事前設定済みパラメータと制約

ID と名前を確認する	SSM ドキュメント名と期待される成果	サポートされている事前設定済みパラメータと制約
c18d2gz138 Amazon DynamoDB のポイントインタイムリカバリ	AWSManagedServices-TrustedRemediatorEnableDDBPITR DynamoDB テーブルのpoint-in-timeリカバリを有効にします。	事前設定済みのパラメータは許可されません。制約なし
R365s2Qddf Amazon S3 バケットバージョニング	AWSManagedServices-TrustedRemediatorEnableBucketVersioning Amazon S3 バケットのバージョニングが有効になっています。	事前設定済みのパラメータは許可されません。この修復は、 AWS のサービス作成された S3 バケット (cf-templates-000000000000 など) の修復をサポートしていません。
BueAdJ7NrP Amazon S3 バケットロギング	AWSManagedServices-EnableBucketAccessLogging Amazon S3 バケットのログ記録が有効になっています。	TargetBucket: サーバーアクセスログを保存する S3 バケットの名前。 TargetObjectKeyFormat: ログオブジェクトの Amazon S3 キー形式。ログオブジェクトの S3 キーにシンプルな形式を使用するには、を選択します`SimplePrefix`。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに EventTime を使用するには、を選択します`PartitionedPrefixEventTime`。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに DeliveryTime を使用するには、を選択します`PartitionedPrefixDeliveryTime`。デフォルトは `PartitionedPrefixEventTime` です。有効な値は `SimplePrefix`、、および `PartitionedPrefixDeliveryTime` (大文字`PartitionedPrefixEventTime`と小文字が区別されます) です。自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。 TargetBucket レプリケート先バケットは、ログ配信の正しいアクセス許可を持つレプリケート元バケット AWS アカウントと同じ AWS リージョンおよびにある必要があります。詳細については、「Amazon S3 サーバーアクセスログを有効にします」を参照してください。
f2iK5R6Dep Amazon RDS Multi-AZ	AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ マルチアベイラビリティーゾーンのデプロイが有効になっています。	事前設定済みのパラメータは許可されません。この変更中にパフォーマンスが低下する可能性があります。
H7IgTzjTYb Amazon EBS スナップショット	AWSManagedServices-TrustedRemediatorCreateEBSSnapshot Amazon EBSsnapshotsが作成されます。	事前設定済みのパラメータは許可されません。制約なし
opQPADkZvH RDS バックアップ	AWSManagedServices-EnableRDSBackupRetention Amazon RDS バックアップ保持は DB に対して有効になっています。	BackupRetentionPeriod: 自動バックアップを保持する日数 (1～35)。 ApplyImmediately: RDS バックアップ保持の変更と保留中の変更ができるだけ早く非同期的に適用されるかどうかを示します。変更をすぐに`true`適用するか、次のメンテナンスウィンドウに変更をスケジュール`false`するかを選択します。 `ApplyImmediately` パラメータがに設定されている場合`true`、db の保留中の変更が RDSBackup 保持設定とともに適用されます。
c1qf5bt013 Amazon RDS DB インスタンスのストレージの自動スケーリングが無効になっています	AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling - Amazon RDS DB インスタンスでストレージの自動スケーリングが有効になっています。	MaxAllocatedStorageIncreasePercentage: AllocatedStorage の増加率。 MaxAllocatedStorage デフォルトでは `26` に設定されています。最大ストレージしきい値は、現在割り当てられているストレージよりも 10% 以上高く設定する必要があります。最大ストレージしきい値を 26% 以上に設定するのがベストプラクティスです。詳細については、「Managing capacity automatically with Amazon Relational Database Service storage autoscaling」を参照してください。制約なし
7qGXsKIUw Classic Load Balancer 接続ドレイン	AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining Classic Load Balancer で接続ドレイニングが有効になっています。	ConnectionDrainingTimeout: インスタンスの登録を解除する前に既存の接続を開いたままにする最大時間を秒単位で表します。デフォルトは `300`秒に設定されています。制約なし
c18d2gz106 Amazon EBS が AWS Backup プランに含まれていない	AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan Amazon EBS は AWS Backup プランに含まれています。	修復では、Amazon EBS ボリュームに次のタグペアがタグ付けされます。タグペアは、タグベースのリソース選択基準と一致する必要があります AWS Backup。 TagKey TagValue 制約なし
c18d2gz107 Amazon DynamoDB テーブルが AWS Backup プランに含まれていない	AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlanAddDynamoDBToBackupPlan Amazon DynamoDB テーブルは AWS Backup プランに含まれています。	修復では、Amazon DynamoDB に次のタグペアがタグ付けされます。タグペアは、タグベースのリソース選択基準と一致する必要があります AWS Backup。 TagKey TagValue 制約なし
c18d2gz117 Amazon EFS が AWS Backup プランに含まれていない	AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan Amazon EFS は AWS Backup プランに含まれています。	修復では、Amazon EFS に次のタグペアがタグ付けされます。タグペアは、タグベースのリソース選択基準と一致する必要があります AWS Backup。 TagKey TagValue 制約なし
c18d2gz105 Network Load Balancer のクロスロードバランシング	AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing Network Load Balancer ではクロスゾーン負荷分散が有効になっています。	事前設定済みのパラメータは許可されません。制約なし
c1qf5bt026 Amazon RDS `synchronous_commit`パラメータがオフになっている	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS のパラメータ`synchronous_commit`がオンになっています。	事前設定済みのパラメータは許可されません。制約なし
c1qf5bt030 Amazon RDS `innodb_flush_log_at_trx_commit`パラメータはではありません `1`	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS `1`のパラメータ`innodb_flush_log_at_trx_commit`はに設定されています。	事前設定済みのパラメータは許可されません。制約なし
c1qf5bt031 Amazon RDS `sync_binlog`パラメータがオフになっている	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS のパラメータ`sync_binlog`がオンになっています。	事前設定済みのパラメータは許可されません。制約なし
c1qf5bt036 Amazon RDS `innodb_default_row_format`パラメータ設定が安全ではない	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS `DYNAMIC`のパラメータ`innodb_default_row_format`はに設定されています。	事前設定済みのパラメータは許可されません。制約なし
c18d2gz144 Amazon EC2 詳細モニタリングが有効化されていません	AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring 詳細モニタリングは Amazon EC2 で有効になっています。	事前設定済みのパラメータは許可されません。制約なし

c18d2gz138

Amazon DynamoDB のポイントインタイムリカバリ

AWSManagedServices-TrustedRemediatorEnableDDBPITR

DynamoDB テーブルのpoint-in-timeリカバリを有効にします。

事前設定済みのパラメータは許可されません。

制約なし

R365s2Qddf

Amazon S3 バケットバージョニング

AWSManagedServices-TrustedRemediatorEnableBucketVersioning

Amazon S3 バケットのバージョニングが有効になっています。

事前設定済みのパラメータは許可されません。

この修復は、 AWS のサービス作成された S3 バケット (cf-templates-000000000000 など) の修復をサポートしていません。

BueAdJ7NrP

Amazon S3 バケットロギング

AWSManagedServices-EnableBucketAccessLogging

Amazon S3 バケットのログ記録が有効になっています。

TargetBucket: サーバーアクセスログを保存する S3 バケットの名前。
TargetObjectKeyFormat: ログオブジェクトの Amazon S3 キー形式。ログオブジェクトの S3 キーにシンプルな形式を使用するには、を選択しますSimplePrefix。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに EventTime を使用するには、を選択しますPartitionedPrefixEventTime。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに DeliveryTime を使用するには、を選択しますPartitionedPrefixDeliveryTime。デフォルトは PartitionedPrefixEventTime です。有効な値は SimplePrefix、、および PartitionedPrefixDeliveryTime (大文字PartitionedPrefixEventTimeと小文字が区別されます) です。

自動修復を有効にするには、以下の事前設定済みパラメータを指定する必要があります。

TargetBucket

f2iK5R6Dep

Amazon RDS Multi-AZ

AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ

マルチアベイラビリティーゾーンのデプロイが有効になっています。

事前設定済みのパラメータは許可されません。

この変更中にパフォーマンスが低下する可能性があります。

H7IgTzjTYb

Amazon EBS スナップショット

AWSManagedServices-TrustedRemediatorCreateEBSSnapshot

Amazon EBSsnapshotsが作成されます。

事前設定済みのパラメータは許可されません。

制約なし

opQPADkZvH

RDS バックアップ

AWSManagedServices-EnableRDSBackupRetention

Amazon RDS バックアップ保持は DB に対して有効になっています。

BackupRetentionPeriod: 自動バックアップを保持する日数 (1～35)。
ApplyImmediately: RDS バックアップ保持の変更と保留中の変更ができるだけ早く非同期的に適用されるかどうかを示します。変更をすぐにtrue適用するか、次のメンテナンスウィンドウに変更をスケジュールfalseするかを選択します。

ApplyImmediately パラメータがに設定されている場合true、db の保留中の変更が RDSBackup 保持設定とともに適用されます。

c1qf5bt013

Amazon RDS DB インスタンスのストレージの自動スケーリングが無効になっています

AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling - Amazon RDS DB インスタンスでストレージの自動スケーリングが有効になっています。

MaxAllocatedStorageIncreasePercentage: AllocatedStorage の増加率。 MaxAllocatedStorage デフォルトでは 26 に設定されています。

最大ストレージしきい値は、現在割り当てられているストレージよりも 10% 以上高く設定する必要があります。最大ストレージしきい値を 26% 以上に設定するのがベストプラクティスです。詳細については、「Managing capacity automatically with Amazon Relational Database Service storage autoscaling」を参照してください。

制約なし

7qGXsKIUw

Classic Load Balancer 接続ドレイン

AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining

Classic Load Balancer で接続ドレイニングが有効になっています。

ConnectionDrainingTimeout: インスタンスの登録を解除する前に既存の接続を開いたままにする最大時間を秒単位で表します。デフォルトは 300秒に設定されています。

制約なし

c18d2gz106

Amazon EBS が AWS Backup プランに含まれていない

AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan

Amazon EBS は AWS Backup プランに含まれています。

修復では、Amazon EBS ボリュームに次のタグペアがタグ付けされます。タグペアは、タグベースのリソース選択基準と一致する必要があります AWS Backup。

TagKey
TagValue

制約なし

c18d2gz107

Amazon DynamoDB テーブルが AWS Backup プランに含まれていない

AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlanAddDynamoDBToBackupPlan

Amazon DynamoDB テーブルは AWS Backup プランに含まれています。

修復では、Amazon DynamoDB に次のタグペアがタグ付けされます。タグペアは、タグベースのリソース選択基準と一致する必要があります AWS Backup。

TagKey
TagValue

制約なし

c18d2gz117

Amazon EFS が AWS Backup プランに含まれていない

AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan

Amazon EFS は AWS Backup プランに含まれています。

修復では、Amazon EFS に次のタグペアがタグ付けされます。タグペアは、タグベースのリソース選択基準と一致する必要があります AWS Backup。

TagKey
TagValue

制約なし

c18d2gz105

Network Load Balancer のクロスロードバランシング

AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing

Network Load Balancer ではクロスゾーン負荷分散が有効になっています。

事前設定済みのパラメータは許可されません。

制約なし

c1qf5bt026

Amazon RDS synchronous_commitパラメータがオフになっている

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS のパラメータsynchronous_commitがオンになっています。

事前設定済みのパラメータは許可されません。

制約なし

c1qf5bt030

Amazon RDS innodb_flush_log_at_trx_commitパラメータはではありません 1

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 1のパラメータinnodb_flush_log_at_trx_commitはに設定されています。

事前設定済みのパラメータは許可されません。

制約なし

c1qf5bt031

Amazon RDS sync_binlogパラメータがオフになっている

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS のパラメータsync_binlogがオンになっています。

事前設定済みのパラメータは許可されません。

制約なし

c1qf5bt036

Amazon RDS innodb_default_row_formatパラメータ設定が安全ではない

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS DYNAMICのパラメータinnodb_default_row_formatはに設定されています。

事前設定済みのパラメータは許可されません。

制約なし

c18d2gz144

Amazon EC2 詳細モニタリングが有効化されていません

AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring

詳細モニタリングは Amazon EC2 で有効になっています。

事前設定済みのパラメータは許可されません。

制約なし

Trusted Advisor Trusted Remediator でサポートされているパフォーマンスチェック

ID と名前を確認する SSM ドキュメント名と期待される成果サポートされている事前設定済みパラメータと制約

ID と名前を確認する	SSM ドキュメント名と期待される成果	サポートされている事前設定済みパラメータと制約
COr6dfpM06 AWS Lambda メモリサイズのプロビジョニング不足関数	AWSManagedServices-ResizeLambdaMemory Lambda 関数のメモリサイズは、が提供する推奨メモリサイズに変更されます Trusted Advisor。	RecommendedMemorySize: Lambda 関数の推奨メモリ割り当て。値の範囲は 128～10240 です。自動化の実行前に Lambda 関数のサイズが変更された場合、この自動化は推奨値で設定を上書きする可能性があります Trusted Advisor。
ZRxQlPsb6c 使用率の高い Amazon EC2 インスタンス	AWSManagedServices-ResizeInstanceByOneLevel Amazon EC2 インスタンスのサイズは、同じインスタンスファミリータイプで 1 つのインスタンスタイプごとに変更されます。インスタンスはサイズ変更オペレーション中に停止および開始され、実行の完了後に初期状態に戻ります。この自動化は、Auto Scaling グループ内のインスタンスのサイズ変更をサポートしていません。	MinimumDaysSinceLastChange: 前回のインスタンスタイプ変更からの最小日数。インスタンスタイプが指定された時間内に変更された場合、インスタンスタイプは変更されません。を使用して、この検証`0`をスキップします。デフォルトは `7` です。 CreateAMIBeforeResize: サイズ変更前にインスタンス AMI をバックアップとして作成するには、を選択します`true`。バックアップを作成しない場合は、を選択します`false`。デフォルトは `false` です。有効な値は `true`および `false` (大文字と小文字が区別されます) です。 ResizeIfStopped: インスタンスが停止状態であっても、インスタンスサイズの変更を続行するには、を選択します`true`。停止状態にある場合にインスタンスのサイズを自動的に変更しない場合は、を選択します`false`。有効な値は `true`および `false` (大文字と小文字が区別されます) です。制約なし
c1qf5bt021 最適値未満を使用する Amazon RDS `innodb_change_buffering`パラメータ	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS `NONE`の場合、 `innodb_change_buffering`パラメータの値はに設定されます。	事前設定済みのパラメータは許可されません。制約なし
c1qf5bt025 Amazon RDS `autovacuum`パラメータがオフになっている	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS のパラメータ`autovacuum`がオンになっています。	事前設定済みのパラメータは許可されません。制約なし
c1qf5bt028 Amazon RDS `enable_indexonlyscan`パラメータがオフになっている	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS のパラメータ`enable_indexonlyscan`がオンになっています。	事前設定済みのパラメータは許可されません。制約なし
c1qf5bt029 Amazon RDS `enable_indexscan`パラメータがオフになっている	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS のパラメータ`enable_indexscan`がオンになっています。	事前設定済みのパラメータは許可されません。制約なし
c1qf5bt032 Amazon RDS `innodb_stats_persistent`パラメータがオフになっている	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS のパラメータ`innodb_stats_persistent`がオンになっています。	事前設定済みのパラメータは許可されません。制約なし
c1qf5bt037 Amazon RDS `general_logging`パラメータがオンになっている	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS のパラメータ`general_logging`は無効になっています。	事前設定済みのパラメータは許可されません。制約なし

COr6dfpM06

AWS Lambda メモリサイズのプロビジョニング不足関数

AWSManagedServices-ResizeLambdaMemory

Lambda 関数のメモリサイズは、が提供する推奨メモリサイズに変更されます Trusted Advisor。

RecommendedMemorySize: Lambda 関数の推奨メモリ割り当て。値の範囲は 128～10240 です。

自動化の実行前に Lambda 関数のサイズが変更された場合、この自動化は推奨値で設定を上書きする可能性があります Trusted Advisor。

ZRxQlPsb6c

使用率の高い Amazon EC2 インスタンス

AWSManagedServices-ResizeInstanceByOneLevel

Amazon EC2 インスタンスのサイズは、同じインスタンスファミリータイプで 1 つのインスタンスタイプごとに変更されます。インスタンスはサイズ変更オペレーション中に停止および開始され、実行の完了後に初期状態に戻ります。この自動化は、Auto Scaling グループ内のインスタンスのサイズ変更をサポートしていません。

MinimumDaysSinceLastChange: 前回のインスタンスタイプ変更からの最小日数。インスタンスタイプが指定された時間内に変更された場合、インスタンスタイプは変更されません。を使用して、この検証0をスキップします。デフォルトは 7 です。
CreateAMIBeforeResize: サイズ変更前にインスタンス AMI をバックアップとして作成するには、を選択しますtrue。バックアップを作成しない場合は、を選択しますfalse。デフォルトは false です。有効な値は trueおよび false (大文字と小文字が区別されます) です。
ResizeIfStopped: インスタンスが停止状態であっても、インスタンスサイズの変更を続行するには、を選択しますtrue。停止状態にある場合にインスタンスのサイズを自動的に変更しない場合は、を選択しますfalse。有効な値は trueおよび false (大文字と小文字が区別されます) です。

制約なし

c1qf5bt021

最適値未満を使用する Amazon RDS innodb_change_bufferingパラメータ

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS NONEの場合、 innodb_change_bufferingパラメータの値はに設定されます。

事前設定済みのパラメータは許可されません。

制約なし

c1qf5bt025

Amazon RDS autovacuumパラメータがオフになっている

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS のパラメータautovacuumがオンになっています。

事前設定済みのパラメータは許可されません。

制約なし

c1qf5bt028

Amazon RDS enable_indexonlyscanパラメータがオフになっている

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS のパラメータenable_indexonlyscanがオンになっています。

事前設定済みのパラメータは許可されません。

制約なし

c1qf5bt029

Amazon RDS enable_indexscanパラメータがオフになっている

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS のパラメータenable_indexscanがオンになっています。

事前設定済みのパラメータは許可されません。

制約なし

c1qf5bt032

Amazon RDS innodb_stats_persistentパラメータがオフになっている

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS のパラメータinnodb_stats_persistentがオンになっています。

事前設定済みのパラメータは許可されません。

制約なし

c1qf5bt037

Amazon RDS general_loggingパラメータがオンになっている

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS のパラメータgeneral_loggingは無効になっています。

事前設定済みのパラメータは許可されません。

制約なし

Trusted Advisor Trusted Remediator でサポートされているサービス制限チェック

ID と名前を確認する SSM ドキュメント名と期待される成果サポートされている事前設定済みパラメータと制約

ID と名前を確認する	SSM ドキュメント名と期待される成果	サポートされている事前設定済みパラメータと制約
lN7RR0l7J9 EC2-VPC Elastic IP アドレス	AWSManagedServices-UpdateVpcElasticIPQuota EC2-VPC Elastic IP アドレスの新しい制限がリクエストされます。デフォルトでは、制限は 3 つ引き上げられます。	増分：現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。
kM7QQ0l7J9 VPC インターネットゲートウェイ	AWSManagedServices-IncreaseServiceQuota - VPC インターネットゲートウェイの新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。	増分：現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。
jL7PP0l7J9 VPC	AWSManagedServices-IncreaseServiceQuota VPC の新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。	増分：現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。
fW7HH0l7J9 Auto Scaling グループ	AWSManagedServices-IncreaseServiceQuota Auto Scaling グループの新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。	増分：現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。
3Njm0DJQO9 RDS オプショングループ	AWSManagedServices-IncreaseServiceQuota Amazon RDS オプショングループの新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。	増分：現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。
EM8b3yLRTr ELB Application Load Balancer	AWSManagedServices-IncreaseServiceQuota ELB Application Load Balancer の新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。	増分：現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。
8wIqYSt25K ELB Network Load Balancer	AWSManagedServices-IncreaseServiceQuota ELB Network Load Balancer の新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。	増分：現在のクォータを引き上げる数値。デフォルトは `3` です。 Trusted Advisor チェックが `OK`ステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。

lN7RR0l7J9

EC2-VPC Elastic IP アドレス

AWSManagedServices-UpdateVpcElasticIPQuota

EC2-VPC Elastic IP アドレスの新しい制限がリクエストされます。デフォルトでは、制限は 3 つ引き上げられます。

増分： 現在のクォータを引き上げる数値。デフォルトは 3 です。

Trusted Advisor チェックが OKステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。

kM7QQ0l7J9

VPC インターネットゲートウェイ

AWSManagedServices-IncreaseServiceQuota - VPC インターネットゲートウェイの新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。

増分： 現在のクォータを引き上げる数値。デフォルトは 3 です。

Trusted Advisor チェックが OKステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。

jL7PP0l7J9

VPC

AWSManagedServices-IncreaseServiceQuota

VPC の新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。

増分： 現在のクォータを引き上げる数値。デフォルトは 3 です。

Trusted Advisor チェックが OKステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。

fW7HH0l7J9

Auto Scaling グループ

AWSManagedServices-IncreaseServiceQuota

Auto Scaling グループの新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。

増分： 現在のクォータを引き上げる数値。デフォルトは 3 です。

Trusted Advisor チェックが OKステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。

3Njm0DJQO9

RDS オプショングループ

AWSManagedServices-IncreaseServiceQuota

Amazon RDS オプショングループの新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。

増分： 現在のクォータを引き上げる数値。デフォルトは 3 です。

Trusted Advisor チェックが OKステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。

EM8b3yLRTr

ELB Application Load Balancer

AWSManagedServices-IncreaseServiceQuota

ELB Application Load Balancer の新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。

増分： 現在のクォータを引き上げる数値。デフォルトは 3 です。

Trusted Advisor チェックが OKステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。

8wIqYSt25K

ELB Network Load Balancer

AWSManagedServices-IncreaseServiceQuota

ELB Network Load Balancer の新しい制限がリクエストされます。デフォルトでは、制限は 3 つ増加します。

増分： 現在のクォータを引き上げる数値。デフォルトは 3 です。

Trusted Advisor チェックが OKステータスで更新される前にこの自動化が複数回実行されると、制限が引き上げられる可能性があります。

Trusted Advisor Trusted Remediator でサポートされているオペレーショナルエクセレンスチェック

ID と名前を確認する SSM ドキュメント名と期待される成果サポートされている事前設定済みパラメータと制約

ID と名前を確認する	SSM ドキュメント名と期待される成果	サポートされている事前設定済みパラメータと制約
c18d2gz125 Amazon API Gateway が実行ログを記録しない	AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging 実行ログ記録は API ステージで有効になっています。	事前設定済みのパラメータは許可されません。実行ログを有効にするには、アカウントの CloudWatch にログを読み書きするアクセス許可を API Gateway に付与する必要があります。詳細については、「API Gateway で REST API の CloudWatch ログ記録を設定する APIs」を参照してください。
c18d2gz168 ロードバランサーの Elastic Load Balancing 削除保護が有効になっていない	AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection - Elastic Load Balancer の削除保護が有効になっています。	事前設定済みのパラメータは許可されません。制約なし
c1qf5bt012 Amazon RDS Performance Insights は無効になっています	AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights Amazon RDS で Performance Insights が有効になっています。	PerformanceInsightsRetentionPeriod: Performance Insights データを保持する日数。有効な値: `7`または月 * 31。月は 1～23 の月数です。例: `93` (3 か月 x 31)、 `341` (11 か月 x 31)、 `589` (19 か月 x 31)、または `731`。 PerformanceInsightsKMSKeyId: Performance Insights データを暗号化するための AWS KMS キー ID。PerformanceInsightsKMSKeyId の値を指定しない場合、Amazon RDS はデフォルトの AWS KMS キーを使用します。制約なし
c1fd6b96l4 Amazon S3 アクセスログが有効	AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 Amazon S3 バケットアクセスのログ記録が有効になっています。	TargetBucketTagValue: ターゲットバケットを識別するタグ値 (大文字と小文字を区別）。これと TargetBucketTagKey を使用して、アクセスログ記録の送信先バケットとして使用するバケットにタグを付けます。 TargetObjectKeyFormat: ログオブジェクトの Amazon S3 キー形式 (値は大文字と小文字が区別されます）。ログオブジェクトの S3 キーにシンプルな形式を使用するには、を選択します`SimplePrefix`。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに EventTime を使用するには、を選択します`PartitionedPrefixEventTime`。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに DeliveryTime を使用するには、を選択します`PartitionedPrefixDeliveryTime`。有効な値は、`SimplePrefix`、`PartitionedPrefixEventTime`、`PartitionedPrefixDeliveryTime` です。自動修復を有効にするには、TargetBucketTagKey と TargetBucketTagValue の事前設定済みパラメータを指定する必要があります。レプリケート先バケットは、ログ配信の正しいアクセス許可を持つレプリケート元バケットと同じ AWS リージョンおよび AWS アカウントにある必要があります。詳細については、「Amazon S3 サーバーアクセスログを有効にします」を参照してください。

c18d2gz125

Amazon API Gateway が実行ログを記録しない

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

実行ログ記録は API ステージで有効になっています。

事前設定済みのパラメータは許可されません。

c18d2gz168

ロードバランサーの Elastic Load Balancing 削除保護が有効になっていない

AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection - Elastic Load Balancer の削除保護が有効になっています。

事前設定済みのパラメータは許可されません。

制約なし

c1qf5bt012

Amazon RDS Performance Insights は無効になっています

AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights

Amazon RDS で Performance Insights が有効になっています。

PerformanceInsightsRetentionPeriod: Performance Insights データを保持する日数。有効な値: 7または月 * 31。月は 1～23 の月数です。例: 93 (3 か月 x 31)、 341 (11 か月 x 31)、 589 (19 か月 x 31)、または 731。
PerformanceInsightsKMSKeyId: Performance Insights データを暗号化するための AWS KMS キー ID。PerformanceInsightsKMSKeyId の値を指定しない場合、Amazon RDS はデフォルトの AWS KMS キーを使用します。

制約なし

c1fd6b96l4

Amazon S3 アクセスログが有効

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2

Amazon S3 バケットアクセスのログ記録が有効になっています。

TargetBucketTagValue: ターゲットバケットを識別するタグ値 (大文字と小文字を区別）。これと TargetBucketTagKey を使用して、アクセスログ記録の送信先バケットとして使用するバケットにタグを付けます。
TargetObjectKeyFormat: ログオブジェクトの Amazon S3 キー形式 (値は大文字と小文字が区別されます）。ログオブジェクトの S3 キーにシンプルな形式を使用するには、を選択しますSimplePrefix。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに EventTime を使用するには、を選択しますPartitionedPrefixEventTime。ログオブジェクトにパーティション化された S3 キーを使用し、パーティション化されたプレフィックスに DeliveryTime を使用するには、を選択しますPartitionedPrefixDeliveryTime。有効な値は、SimplePrefix、PartitionedPrefixEventTime、PartitionedPrefixDeliveryTime です。

自動修復を有効にするには、TargetBucketTagKey と TargetBucketTagValue の事前設定済みパラメータを指定する必要があります。

レプリケート先バケットは、ログ配信の正しいアクセス許可を持つレプリケート元バケットと同じ AWS リージョンおよび AWS アカウントにある必要があります。詳細については、「Amazon S3 サーバーアクセスログを有効にします」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サポートされている Compute Optimizer の推奨事項

チェック修復を設定する

Trusted Advisor Trusted Remediator でサポートされている チェック

Trusted Advisor Trusted Remediator でサポートされているコスト最適化チェック

Trusted Advisor Trusted Remediator でサポートされているセキュリティチェック

Trusted Advisor Trusted Remediator でサポートされている耐障害性チェック

Trusted Advisor Trusted Remediator でサポートされているパフォーマンスチェック

Trusted Advisor Trusted Remediator でサポートされているサービス制限チェック

Trusted Advisor Trusted Remediator でサポートされているオペレーショナルエクセレンスチェック

Trusted Advisor Trusted Remediator でサポートされているチェック