": {
...
}
}
```
+ **ResourceType**: essa chave deve ser uma das seguintes sequências de caracteres suportadas. A configuração dentro desse objeto JSON se relacionará somente ao tipo de AWS recurso especificado. Tipos de recursos compatíveis:
```
AWS::EC2::Instance
AWS::EC2::Instance::Disk
AWS::RDS::DBInstance
AWS::RDS::DBCluster
AWS::Elasticsearch::Domain
AWS::OpenSearch::Domain
AWS::Redshift::Cluster
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::ElasticLoadBalancingV2::LoadBalancer::TargetGroup
AWS::ElasticLoadBalancing::LoadBalancer
AWS::FSx::FileSystem::ONTAP
AWS::FSx::FileSystem::ONTAP::Volume
AWS::FSx::FileSystem::Windows
AWS::EFS::FileSystem
AWS::EC2::NatGateway
AWS::EC2::VPNConnection
```
+ **ConfigurationId**: essa chave deve ser exclusiva no perfil e nomear de forma exclusiva o seguinte bloco de configuração. Se dois blocos de configuração no mesmo **ResourceType**bloco tiverem o mesmo **ID de configuração**, aquele que aparecer por último no perfil entrará em vigor. Se você especificar um **ConfigurationID** em seu perfil de personalização que seja igual ao especificado no perfil padrão, o bloco de configuração definido no perfil de personalização entrará em vigor.
+ **Ativado**: (opcional, default=true) Especifique se o bloco de configuração entrará em vigor. Defina isso como false para desativar um bloco de configuração. Um bloco de configuração desativado se comporta como se não estivesse presente no perfil.
+ **Tag**: especifique a tag à qual essa definição de alarme se aplica. Qualquer recurso (do tipo de recurso apropriado) que tenha essa chave e valor de tag terá um CloudWatch alarme criado com a definição fornecida. Esse campo é um objeto JSON com os seguintes campos:
+ **Chave**: A chave da etiqueta correspondente. Lembre-se de que, se você estiver usando o Resource Tagger para aplicar as tags ao recurso, a chave da tag sempre começará com **ams:rt**:.
+ **Valor**: o valor da tag correspondente.
+ **AlarmDefinition**: Define o alarme a ser criado. Esse é um objeto JSON cujos campos são passados como estão para a chamada da CloudWatch `PutMetricAlarm` API (com exceção dos pseudoparâmetros; para obter mais informações, consulte). [Perfil de configuração acelerada: substituição de pseudoparâmetros](acc-mem-config-doc-sub.md) Para obter informações sobre quais campos são obrigatórios, consulte a [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)documentação.
OU
**CompositeAlarmDefinition**: define um alarme composto a ser criado. Ao criar um alarme composto, você especifica uma expressão de regra para o alarme que leva em conta o estado de alarme de outros alarmes que você criou. Esse é um objeto JSON cujos campos são passados no estado em que se encontram para o. `CloudWatchPutCompositeAlarm` O alarme composto entrará no estado ALARM somente se todas as condições da regra forem atendidas. Os alarmes especificados na expressão de regra de um alarme composto podem incluir alarmes de métrica e outros alarmes compostos. Para obter informações sobre quais campos são obrigatórios, consulte a [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)documentação.
Ambas as opções fornecem os seguintes campos:
+ **AlarmName**: especifique o nome do alarme que você deseja criar para o recurso. Esse campo tem todas as mesmas regras especificadas na [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)documentação; no entanto, como o nome do alarme deve ser exclusivo em uma região, o Gerenciador de alarmes tem um requisito adicional: você deve especificar o pseudoparâmetro identificador exclusivo no nome do alarme (caso contrário, o Gerenciador de alarmes anexará o identificador exclusivo do recurso à frente do nome do alarme). Por exemplo, para o tipo de **AWS::EC2::Instance**recurso, você deve especificar `${EC2::InstanceId}` o nome do alarme, ou ele será adicionado implicitamente no início do nome do alarme. Para obter a lista de identificadores, consulte[Perfil de configuração acelerada: substituição de pseudoparâmetros](acc-mem-config-doc-sub.md).
Todos os outros campos estão conforme especificado na documentação [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)ou na [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)documentação.
+ **AlarmRule**: especifique quais outros alarmes devem ser avaliados para determinar o estado desse alarme composto. Para cada alarme que você referenciar, eles devem existir CloudWatch ou estar especificados no perfil de configuração do Gerenciador de alarmes em sua conta.
**Importante**
Você pode especificar qualquer um **AlarmDefinition**ou **CompositeAlarmDefinition**no documento de configuração do Gerenciador de alarmes, mas os dois não podem ser usados ao mesmo tempo.
No exemplo a seguir, o sistema cria um alarme quando dois alarmes métricos especificados excedem seu limite:
```
{
"AWS::EC2::Instance": {
"LinuxResourceAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"CompositeAlarmDefinition": {
"AlarmName": "${EC2::InstanceId} Resource Usage High",
"AlarmDescription": "Alarm when a linux EC2 instance is using too much CPU and too much Disk",
"AlarmRule": "ALARM(\"${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}\") AND ALARM(\"${EC2::InstanceId}: CPU Too High\")"
}
}
}
}
```
**Importante**
Quando o Alarm Manager não consegue criar ou excluir um alarme devido a uma configuração interrompida, ele envia a notificação para o tópico **Direct-Customer-Alerts** SNS. Esse alarme é chamado **AlarmDependencyError**.
É altamente recomendável que você tenha confirmado sua assinatura deste tópico do SNS. Para receber mensagens publicadas em [um tópico](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html), você deve inscrever [um endpoint](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html#sns-endpoints) no tópico. Para obter detalhes, consulte [Etapa 1: Criar um tópico](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#step-create-queue).
**nota**
Quando os alarmes de detecção de anomalias são criados, o Alarm Manager cria automaticamente os modelos de detecção de anomalias necessários para as métricas especificadas. Quando os alarmes de detecção de anomalias são excluídos, o Gerenciador de alarmes não exclui os modelos de detecção de anomalias associados.
A [Amazon CloudWatch limita o número de modelos de detecção de anomalias](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) que você pode ter em uma determinada AWS região. Se você exceder a cota do modelo, o Alarm Manager não criará novos alarmes de detecção de anomalias. Você deve excluir modelos não utilizados ou trabalhar com seu parceiro do AMS para solicitar um aumento de limite.
Muitas das definições de alarmes de linha de base fornecidas pelo AMS Accelerate listam o tópico do SNS, o tópico do **MMS**, como alvo. Isso é para uso no serviço de monitoramento do AMS Accelerate e é o mecanismo de transporte para que suas notificações de alarme cheguem ao AMS Accelerate. Não especifique o **MMS-Topic** como alvo para nenhum alarme diferente dos fornecidos na linha de base (e substituições dos mesmos), pois o serviço ignora alarmes desconhecidos. Isso **não faz** com que o AMS Accelerate atue em seus alarmes personalizados.
# Perfil de configuração acelerada: substituição de pseudoparâmetros
Em qualquer um dos perfis de configuração, você pode especificar pseudoparâmetros que são substituídos no local da seguinte forma:
+ Global - em qualquer lugar no perfil:
+ \$1 \$1AWS::AccountId\$1: Substituído pelo ID AWS da sua conta
+ \$1 \$1AWS::Partition\$1: Substituído pela partição em que Região da AWS o recurso está (isso é 'aws' para a maioria das regiões); para obter mais informações, consulte a entrada para partição na referência do [ARN.](https://docs.amazonaws.cn/en_us/general/latest/gr/aws-arns-and-namespaces.html)
+ \$1 \$1AWS::Region\$1: Substituído pelo nome da região na qual seu recurso está implantado (por exemplo, us-east-1)
+ Em um bloco **AWS::EC2::Instance**de tipo de recurso:
+ \$1 \$1EC2::InstanceId\$1: (**identificador**) substituído pelo ID da instância da sua EC2 instância da Amazon.
+ \$1 \$1EC2::InstanceName\$1: substituído pelo nome da sua EC2 instância da Amazon.
+ Em um bloco do tipo de recurso **AWS::EC2::Instance: :Disk:**
+ \$1 \$1EC2::InstanceId\$1: (**identificador**) Substituído pelo ID da instância da sua EC2 instância da Amazon.
+ \$1 \$1EC2::InstanceName\$1: Substituído pelo nome da sua EC2 instância da Amazon.
+ \$1 \$1EC2: :Disk: :Device\$1: (**identificador**) Substituído pelo nome do disco. (Somente Linux, em instâncias gerenciadas pelo [CloudWatch Agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)).
+ \$1 \$1EC2: :Disk::FSType\$1: (**identificador**) Substituído pelo tipo de sistema de arquivos do disco. (Somente Linux, em instâncias gerenciadas pelo [ CloudWatchAgent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)).
+ \$1 \$1EC2: :Disk: :Path\$1: (**identificador**) Substituído pelo caminho do disco. No Linux, esse é o ponto de montagem do disco (por exemplo,/), enquanto no Windows esse é o rótulo da unidade (por exemplo, c:/) (somente em uma instância gerenciada pelo [CloudWatch Agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)).
+ \$1 \$1EC2: :Disk: :UUID\$1: (**identificador**) Substituído por um UUID gerado que identifica exclusivamente o disco, isso deve ser especificado no nome do alarme, pois um alarme sob AWS::EC2::Instance::Disk o tipo de recurso criará um alarme por volume. Especificar \$1 \$1EC2: :Disk: :UUID\$1 manterá a exclusividade dos nomes dos alarmes.
+ Em um bloco **AWS::EKS::Cluster**de tipo de recurso:
+ \$1 \$1EKS::ClusterName\$1: (**identificador**) substituído pelo nome do seu cluster EKS.
+ Em um bloco **AWS::OpenSearch::Domain**de tipo de recurso:
+ \$1 \$1OpenSearch::DomainName\$1: (**identificador**) substituído pelo nome do seu domínio EKS.
+ Em um bloco **AWS::ElasticLoadBalancing::LoadBalancer**de tipo de recurso:
+ \$1 \$1ElasticLoadBalancing::LoadBalancer: :Name\$1: (**identificador**) substituído pelo nome do seu Load Balancer V1.
+ Em um bloco **AWS::ElasticLoadBalancingV2::LoadBalancer**de tipo de recurso:
+ \$1 \$1ElasticLoadBalancingV2:: :Arn\$1LoadBalancer: (**identificador**) substituído pelo ARN do seu Load Balancer V2.
+ \$1 \$1ElasticLoadBalancingV2::LoadBalancer: :Name\$1: (**identificador**) substituído pelo nome do seu Load Balancer V2.
+ \$1 \$1ElasticLoadBalancingV2:::LoadBalancer:FullName\$1: (**identificador**) substituído pelo nome completo do seu Load Balancer V2.
+ Em um bloco de tipo de TargetGroup recurso **AWS::ElasticLoadBalancingV2::LoadBalancer:**:
+ \$1 \$1ElasticLoadBalancingV2:::TargetGroup:FullName\$1: (**identificador**) substituído pelo nome do grupo-alvo do seu Load Balancer V2.
+ \$1 \$1ElasticLoadBalancingV2:: :UUID\$1TargetGroup: (**identificador**) substituído por um UUID gerado para seu Load Balancer V2.
+ Em um bloco **AWS::EC2::NatGateway**de tipo de recurso:
+ \$1 \$1NatGateway::NatGatewayId\$1: (**identificador**) substituído pelo ID do NAT Gateway.
+ Em um bloco de tipo de DBInstance recurso **AWS: :RDS::**
+ \$1 \$1RDS:: DBInstance Identifier\$1: (identificador) substituído pelo **identificador** da sua instância de banco de dados do RDS.
+ Em um bloco de tipo de DBCluster recurso **AWS: :RDS::**
+ \$1 \$1RDS:: DBCluster Identifier\$1: (identificador) substituído pelo seu **identificador** de cluster de banco de dados RDS.
+ Em um bloco **AWS::Redshift::Cluster**de tipo de recurso:
+ \$1 \$1Redshift::ClusterIdentifier\$1: (**identificador) substituído pelo seu identificador** de cluster do Redshift.
+ Em um bloco **AWS::Synthetics::Canary**de tipo de recurso:
+ \$1 \$1Synthetics::CanaryName\$1: (**identificador**) substituído pelo nome do seu canário Synthetics CloudWatch .
+ Em um bloco do tipo de VPNConnection recurso **AWSEC2:**:::
+ \$1 \$1AWS::EC2::VpnConnectionId\$1: (**identificador**) substituído pelo seu ID de VPN.
+ Em um bloco **AWS::EFS::FileSystem**de tipo de recurso:
+ \$1 \$1EFS::FileSystemId\$1: (**identificador**) Substituído pelo ID do sistema de arquivos do seu sistema de arquivos EFS.
+ Em um bloco de tipo de recurso **AWS::FSx::FileSystem: :ONTAP**:
+ \$1 \$1FSx::FileSystemId\$1: (**identificador**) Substituído pelo ID do sistema de arquivos do seu sistema de arquivos FSX.
+ \$1 \$1FSx::FileSystem: :Throughput\$1: Substituído pela taxa de transferência do seu sistema de arquivos FSX.
+ \$1 \$1FSx:FileSystem: :Iops\$1: Substituído pelo IOPS do sistema de arquivos FSX.
+ Em um bloco do tipo de recurso **AWS::FSx::FileSystem: :ONTAP: :Volume**:
+ \$1 \$1FSx::FileSystemId\$1: (**identificador**) Substituído pelo ID do sistema de arquivos do seu sistema de arquivos FSX.
+ \$1 \$1FSx: :ONTAP::VolumeId\$1: (**identificador**) Substituído pelo ID do volume.
+ Em um bloco de tipo de recurso **AWS::FSx::FileSystem: :Windows:**
+ \$1 \$1FSx::FileSystemId\$1: (**identificador**) Substituído pelo ID do sistema de arquivos do seu sistema de arquivos FSX.
+ \$1 \$1FSx::FileSystem: :Throughput\$1: Substituído pela taxa de transferência do seu sistema de arquivos FSX.
**nota**
Todos os parâmetros marcados com **identificador** são usados como prefixo para o nome dos alarmes criados, a menos que você especifique esse identificador no nome do alarme.
# Exemplos de configuração de alarmes acelerados
No exemplo a seguir, o sistema cria um alarme para cada disco conectado à instância Linux correspondente.
```
{
"AWS::EC2::Instance::Disk": {
"LinuxDiskAlarm": {
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "disk_used_percent",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "device",
"Value": "${EC2::Disk::Device}"
},
{
"Name": "fstype",
"Value": "${EC2::Disk::FSType}"
},
{
"Name": "path",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
No exemplo a seguir, o sistema cria um alarme para cada disco conectado à instância correspondente do Windows.
```
{
"AWS::EC2::Instance::Disk": {
"WindowsDiskAlarm": {
"Tag": {
"Key": "ams:rt:mywindowsinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "LogicalDisk % Free Space",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "objectname",
"Value": "LogicalDisk"
},
{
"Name": "instance",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
# Visualizando a configuração do Accelerate Alarm Manager
Tanto os **AMSManagedalarmes quanto os **CustomerManagedAlarms****podem ser revisados AppConfig com [GetConfiguration](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_GetConfiguration.html).
Veja a seguir um exemplo da `GetConfiguration` chamada:
```
aws appconfig get-configuration --application AMSAlarmManager --environment AMSInfrastructure --configuration AMSManagedAlarms --client-id
any-string outfile.json
```
+ **Aplicação**: esta AppConfig é a unidade lógica para fornecer recursos; para o Gerenciador de alarmes, isso é `AMSAlarmManager`
+ **Meio ambiente**: este é o AMSInfrastructure meio ambiente
+ **Configuração**: para visualizar os alarmes de linha de base do AMS Accelerate, o valor é`AMSManagedAlarms`; para visualizar as definições de alarme do cliente, a configuração é `CustomerManagedAlarms`
+ **ID do cliente**: é um identificador exclusivo da instância do aplicativo, que pode ser qualquer string
+ As definições de alarme podem ser visualizadas no arquivo de saída especificado, que neste caso é `outfile.json`
Você pode ver qual versão da configuração foi implantada em sua conta visualizando as implantações anteriores no AMSInfrastructure ambiente.
# Alterando a configuração do alarme Accelerate
Para adicionar ou atualizar novas definições de alarme, você pode implantar o documento [Usando CloudFormation para implantar o Accelerate as alterações de configuração](acc-mem-deploy-change-cfn.md) de configuração ou invocar a [CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API.
Esse é um comando de linha de comando do Linux que gera o valor do parâmetro em base64, que é o que o comando AppConfig CLI espera. Para obter informações, consulte a AWS CLI documentação [Binary/Blob (objeto binário grande)](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob).
Exemplo:
```
aws appconfig create-hosted-configuration-version --application-id application-id --configuration-profile-id configuration-profile-id --content base64-string
--content-type application/json
```
+ **ID do aplicativo:** ID do aplicativo AMS AlarmManager; você pode descobrir isso com a chamada da [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)API.
+ **ID do perfil de configuração**: ID da configuração CustomerManagedAlarms; você pode descobrir isso com a chamada da [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)API.
+ **Conteúdo**[: string Base64 do conteúdo, a ser criada criando um documento e codificando-o em base64: cat alarms-v2.json \$1 base64 (consulte Binário/Blob (objeto binário grande)).](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob)
**Tipo de conteúdo: tipo** MIME, `application/json` porque as definições de alarme são escritas em JSON.
**Importante**
Restrinja o acesso às ações [StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)da API [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)e às ações da API a usuários confiáveis que entendam as responsabilidades e as consequências da implantação de uma nova configuração em seus alvos.
Para saber mais sobre como usar os AppConfig recursos da AWS para criar e implantar uma configuração, consulte Como [trabalhar com a AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html).
# Modificando a configuração padrão do alarme Accelerate
Embora você não possa modificar o perfil de configuração padrão, você pode substituir os padrões especificando um bloco de configuração em seu perfil de personalização com o mesmo **configurationId** do bloco de configuração padrão. Se você fizer isso, todo o seu bloco de configuração substituirá o bloco de configuração padrão ao qual a configuração de marcação deve ser aplicada.
Por exemplo, considere o seguinte perfil de configuração padrão:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 5,
...
}
}
}
}
```
Para alterar o limite desse alarme para 10, **você deve fornecer toda a definição do alarme**, não apenas as partes que deseja alterar. Por exemplo, você pode fornecer o seguinte perfil de personalização:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 10,
...
}
}
}
}
```
**Importante**
Lembre-se de implantar suas alterações de configuração depois de fazê-las. No SSM AppConfig, você deve implantar uma nova versão da configuração depois de criá-la.
# Implantando alterações na configuração do Accelerate Alarm
Depois de concluir uma personalização, você precisa implantá-la, com AppConfig ou CloudFormation.
**Topics**
+ [Usando AppConfig para implantar alterações na configuração do Accelerate Alarm](acc-mem-deploy-change-appconfig.md)
+ [Usando CloudFormation para implantar o Accelerate as alterações de configuração](acc-mem-deploy-change-cfn.md)
# Usando AppConfig para implantar alterações na configuração do Accelerate Alarm
Depois que a personalização for concluída, use AppConfig para implantar suas alterações com [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html).
```
aws appconfig start-deployment --application-id application_id
--environment-id environment_id Vdeployment-strategy-id
deployment_strategy_id --configuration-profile-id configuration_profile_id --configuration-version 1
```
+ **ID do aplicativo**: ID do aplicativo`AMSAlarmManager`, você pode encontrá-lo com a chamada da [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)API.
+ **ID do ambiente**: você pode encontrar isso com a chamada [ListEnvironments](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListEnvironments.html)da API.
+ **ID da estratégia de implantação**: você pode encontrar isso com a chamada [ListDeploymentStrategies](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListDeploymentStrategies.html)da API.
+ **ID do perfil de configuração**: ID de`CustomerManagedAlarms`; você pode encontrar isso com a chamada [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)da API.
+ **Versão de configuração**: a versão do perfil de configuração a ser implantado.
**Importante**
O Alarm Manager aplica as definições de alarme conforme especificado nos perfis de configuração. Qualquer modificação manual que você fizer nos CloudWatch alarmes Console de gerenciamento da AWS ou no CloudWatch CLI/SDK será automaticamente revertida, portanto, certifique-se de que suas alterações sejam definidas por meio do Gerenciador de alarmes. Para entender quais alarmes são criados pelo Gerenciador de alarmes, você pode procurar a `ams:alarm-manager:managed` tag com valor`true`.
Restrinja o acesso às ações [ StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)da API [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)e às ações da API a usuários confiáveis que entendam as responsabilidades e as consequências da implantação de uma nova configuração em seus alvos.
Para saber mais sobre como usar os AppConfig recursos da AWS para criar e implantar uma configuração, consulte a [ AppConfig documentação da AWS.](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html)
# Usando CloudFormation para implantar o Accelerate as alterações de configuração
Se você deseja implantar seu perfil de `CustomerManagedAlarms` configuração usando CloudFormation, você pode usar os seguintes CloudFormation modelos. Coloque a configuração JSON desejada no `AMSAlarmManagerConfigurationVersion.Content` campo.
Quando você implanta os modelos em uma CloudFormation pilha ou conjunto de pilhas, a implantação do `AMSResourceTaggerDeployment` recurso falhará se você não tiver seguido o formato JSON exigido para a configuração. Consulte [Perfil de configuração acelerada: monitoramento](acc-mem-config-doc-format.md) para obter detalhes sobre o formato esperado.
Para obter ajuda na implantação desses modelos como uma CloudFormation pilha ou conjunto de pilhas, consulte a documentação relevante da AWS CloudFormation abaixo:
+ [Criação de uma pilha no console da AWS CloudFormation ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
+ [Criação de uma pilha com o AWS CLI](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-cli-creating-stack.html)
+ [Criação de um conjunto de pilhas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)
**nota**
Se você implantar uma versão de configuração usando um desses modelos e, posteriormente, excluir a CloudFormation pilha/conjunto de pilhas, a versão de configuração do modelo permanecerá como a versão atual implantada e nenhuma implantação adicional será feita. Se você quiser voltar para uma configuração padrão, precisará implantar manualmente uma configuração vazia (ou seja, apenas \$1\$1) ou atualizar sua pilha para uma configuração vazia, em vez de excluir a pilha.
**JSON**
```
{
"Description": "Custom configuration for the AMS Alarm Manager.",
"Resources": {
"AMSAlarmManagerConfigurationVersion": {
"Type": "AWS::AppConfig::HostedConfigurationVersion",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"Content": "{}",
"ContentType": "application/json"
}
},
"AMSAlarmManagerDeployment": {
"Type": "AWS::AppConfig::Deployment",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"ConfigurationVersion": {
"Ref": "AMSAlarmManagerConfigurationVersion"
},
"DeploymentStrategyId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-Deployment-StrategyID"
},
"EnvironmentId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-EnvironmentId"
}
}
}
}
}
```
**YAML**
```
Description: Custom configuration for the AMS Alarm Manager.
Resources:
AMSAlarmManagerConfigurationVersion:
Type: AWS::AppConfig::HostedConfigurationVersion
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
Content: |
{
}
ContentType: application/json
AMSAlarmManagerDeployment:
Type: AWS::AppConfig::Deployment
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
ConfigurationVersion:
!Ref AMSAlarmManagerConfigurationVersion
DeploymentStrategyId:
!ImportValue AMS-Alarm-Manager-Configuration-Deployment-StrategyID
EnvironmentId:
!ImportValue AMS-Alarm-Manager-Configuration-EnvironmentId
```
# Revertendo Acelere as alterações do alarme
[Você pode reverter as definições de alarme por meio do mesmo mecanismo de implantação, especificando uma versão anterior do perfil de configuração e executando StartDeployment.](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)
# Retenção dos alarmes do Accelerate
Quando os recursos monitorados pelo AMS são excluídos, todos os alarmes criados pelo Alarm Manager para esses recursos são automaticamente excluídos pelo Alarm Manager. Se você precisar reter determinados alarmes para fins de auditoria, conformidade ou histórico, use o recurso de retenção de etiquetas do Alarm Manager.
Para reter um alarme mesmo após a exclusão do recurso monitorado, adicione uma `"ams:alarm-manager:retain" ` tag à configuração personalizada do alarme, conforme mostrado no exemplo a seguir.
```
{
"AWS::EC2::Instance": {
"AMSCpuAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: CPU Too High",
"AlarmDescription": "AMS Baseline Alarm for EC2 CPUUtilization",
[...]
"Tags": [
{
"Key": "ams:alarm-manager:retain",
"Value": "true"
}
]
}
}
}
}
```
Um alarme configurado com a `"ams:alarm-manager:retain"` tag não é excluído automaticamente pelo Gerenciador de alarmes quando o recurso monitorado é encerrado. O alarme retido persiste CloudWatch indefinidamente até que você o remova manualmente usando. CloudWatch
# Desativando a configuração padrão de alarme do Accelerate
O AMS Accelerate fornece o perfil de configuração padrão em sua conta com base nos alarmes de linha de base. No entanto, essa configuração padrão pode ser desativada substituindo qualquer uma das definições de alarme. Você pode desativar uma regra de configuração padrão substituindo o **configurationId** da regra em seu perfil de configuração de personalização e especificando o campo ativado com o valor false.
Por exemplo, se a seguinte configuração estiver presente no perfil de configuração padrão:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
...
}
}
}
```
Você pode desativar essa regra de marcação incluindo o seguinte em seu perfil de configuração de personalização:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": false
}
}
}
```
Para fazer essas alterações, a [CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API deve ser chamada com o documento de perfil JSON (consulte[Alterando a configuração do alarme Accelerate](acc-mem-change-am.md)) e, posteriormente, implantada (consulte[Implantando alterações na configuração do Accelerate Alarm](acc-mem-deploy-change.md)). Observe que, ao criar a nova versão de configuração, você também deve incluir todos os alarmes personalizados criados anteriormente que desejar no documento de perfil JSON.
**Importante**
Quando o AMS Accelerate atualiza o perfil de configuração padrão, ele não é calibrado em relação aos alarmes personalizados configurados, portanto, revise as alterações nos alarmes padrão ao substituí-las em seu perfil de configuração de personalização.
# Criação de CloudWatch alarmes adicionais para o Accelerate
Você pode criar CloudWatch alarmes adicionais para o AMS Accelerate usando CloudWatch métricas e alarmes personalizados para instâncias da Amazon EC2 .
Produza seu script de monitoramento de aplicativos e sua métrica personalizada. Para obter mais informações e acessar exemplos de scripts, consulte [Monitoramento de memória e métricas de disco para instâncias EC2 Linux da Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mon-scripts.html).
Os scripts de CloudWatch monitoramento para EC2 instâncias Linux da Amazon demonstram como produzir e consumir CloudWatch métricas personalizadas. Esses scripts Perl de amostra formam um exemplo totalmente funcional que relata métricas de utilização de memória, swap e espaço em disco para uma instância do Linux.
**Importante**
O AMS Accelerate não monitora CloudWatch os alarmes criados por você.
# Visualizando o número de recursos monitorados pelo Alarm Manager for Accelerate
O Alarm Manager envia métricas a cada hora para a Amazon CloudWatch, no `AMS/AlarmManager` namespace. As métricas são emitidas somente para tipos de recursos suportados pelo Gerenciador de alarmes.
| Nome da métrica | Dimensões | Descrição |
| --- | --- | --- |
| ResourceCount | Componente, ResourceType | Número de recursos (do tipo de recurso especificado) implantados nessa região. Unidades: contagem |
| ResourcesMissingManagedAlarms | Componente, ResourceType | Número de recursos (do tipo de recurso especificado) que exigem alarmes gerenciados, mas o Alarm Manager ainda não aplicou os alarmes. Unidades: contagem |
| UnmanagedResources | Componente, ResourceType | Número de recursos (do tipo de recurso especificado) que não têm nenhum alarme gerenciado aplicado a eles pelo Alarm Manager. Normalmente, esses recursos não correspondem a nenhum bloco de configuração do Alarm Manager ou são explicitamente excluídos dos blocos de configuração. Unidades: contagem |
| MatchingResourceCount | Componente, ResourceType, ConfigClauseName | Número de recursos (do tipo de recurso especificado) que correspondem ao bloco de configuração do Alarm Manager. Para que um recurso corresponda ao bloco de configuração, o bloco deve estar ativado e o recurso deve ter as mesmas tags especificadas no bloco de configuração. Unidades: contagem |
**Essas métricas também podem ser visualizadas como gráficos no painel do AMS-Alarm-Manager-Reporting-Dashboard.** Para ver o painel, no console de AWS CloudWatch gerenciamento, selecione **AMS-Alarm-Manager-Reporting-Dashboard**. Por padrão, os gráficos nesse painel exibem os dados do período anterior de 12 horas.
O AMS Accelerate implanta CloudWatch alarmes em sua conta para detectar aumentos significativos no número de recursos não gerenciados, por exemplo, recursos excluídos do gerenciamento pelo AMS Alarm Manager. As operações do AMS investigarão aumentos nos recursos não gerenciados que excedam: três recursos do mesmo tipo ou um aumento de 50% em relação a todos os recursos do mesmo tipo. Se a alteração não parecer deliberada, a AMS Operations poderá entrar em contato com você para analisar a alteração.
# Remediação automática de alertas pelo AMS
Após a verificação, o AWS Managed Services (AMS) corrige automaticamente determinados alertas de acordo com condições e processos específicos descritos nesta seção.
| Nome do alerta | Descrição | Limites | Ação |
| --- | --- | --- | --- |
| Falha ao verificar status | Possíveis falhas de hardware ou um estado de falha da instância. | O sistema detectou um status de falha pelo menos uma vez nos últimos 15 minutos. | A remediação automática do AMS primeiro valida se a instância está acessível. Se a instância estiver inacessível, ela será interrompida e reiniciada. O stop and start permite que a instância migre para um novo hardware subjacente. Para obter mais informações, consulte a seção a seguir "Automação de remediação de falhas na verificação de EC2 status”. |
| AMSLinuxDiskUsage | Acione quando o uso do disco de 1 ponto de montagem (espaço designado em um volume) na sua EC2 instância estiver sendo preenchido. | O limite está acima do valor definido 6 vezes nos últimos 30 minutos. | A remediação automática do AMS primeiro exclui os arquivos temporários. Se isso não liberar espaço em disco suficiente, ele estende o volume para evitar tempo de inatividade se o volume ficar cheio. |
| AMSWindowsDiskUsage | Quando o uso do disco de 1 ponto de montagem (espaço designado em um volume) na sua EC2 instância está se esgotando. | O limite está acima do valor definido 6 vezes nos últimos 30 minutos. | A remediação automática do AMS primeiro exclui os arquivos temporários. Se isso não liberar espaço em disco suficiente, ele estende o volume para evitar tempo de inatividade se o volume ficar cheio. |
| RDS-EVENT-0089 | A instância de banco de dados consumiu mais de 90% do armazenamento alocado. | O armazenamento é mais de 90% alocado. | A remediação automática do AMS primeiro valida se o banco de dados está em um estado modificável e disponível ou com armazenamento cheio. Em seguida, ele tenta aumentar o armazenamento alocado, o IOPS e a taxa de transferência de armazenamento por meio de um conjunto de alterações. CloudFormation Se o desvio da pilha já for detectado, ele retornará à API do RDS para evitar o tempo de inatividade. Esse recurso pode ser desativado adicionando a seguinte tag à instância de banco de dados do RDS: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0007 | O armazenamento alocado para a instância de banco de dados foi esgotado. Para resolver, aloque armazenamento adicional. | O armazenamento é 100% alocado. | A remediação automática do AMS primeiro valida se o banco de dados está em um estado modificável e disponível ou com armazenamento cheio. Em seguida, ele tenta aumentar o armazenamento alocado, o IOPS e a taxa de transferência de armazenamento por meio de um conjunto de alterações. CloudFormation Se o desvio da pilha já for detectado, ele retornará à API do RDS para evitar o tempo de inatividade. Esse recurso pode ser desativado adicionando a seguinte tag à instância de banco de dados do RDS: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0224 | O armazenamento alocado solicitado atinge ou excede o limite máximo de armazenamento configurado. | O limite máximo de armazenamento para a instância de banco de dados foi esgotado ou é maior ou igual ao armazenamento alocado solicitado. | A remediação automática do AMS primeiro valida se a quantidade solicitada de armazenamento do RDS ultrapassará o limite máximo de armazenamento. Se confirmado, o AMS tenta aumentar o limite máximo de armazenamento em 30% com um CloudFormation conjunto de alterações ou uma API direta do RDS se os recursos não forem provisionados. CloudFormation Esse recurso pode ser desativado adicionando a seguinte tag à instância de banco de dados do RDS: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| Capacidade de armazenamento RDS | Restam menos de 1 GB no armazenamento alocado para a instância de banco de dados. | O armazenamento é alocado em 99%. | A remediação automática do AMS primeiro valida se o banco de dados está em um estado modificável e disponível ou com armazenamento cheio. Em seguida, ele tenta aumentar o armazenamento alocado, o IOPS e a taxa de transferência de armazenamento por meio de um conjunto de alterações. CloudFormation Se o desvio da pilha já for detectado, ele retornará à API do RDS para evitar o tempo de inatividade. Esse recurso pode ser desativado adicionando a seguinte tag à instância de banco de dados do RDS: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
## EC2 falha na verificação de status: notas de automação de remediação
Como a remediação automática do AMS funciona com problemas de falha na verificação de EC2 status:
+ Se sua EC2 instância da Amazon estiver inacessível, ela deverá ser interrompida e iniciada novamente para que possa ser migrada para um novo hardware e recuperada.
+ Se a raiz do problema estiver no sistema operacional (dispositivos ausentes no fstab, corrupção do kernel etc.), a automação não conseguirá recuperar sua instância.
+ Se sua instância pertencer a um grupo de Auto Scaling, a automação não tomará nenhuma ação — a ação de AutoScalingGroup escalabilidade substitui a instância.
+ Se sua instância tiver a recuperação EC2 automática ativada, a correção não será executada.
## EC2 automação de remediação de uso de volume
Como a remediação automática do AWS Managed Services (AMS) funciona com problemas de uso EC2 de volume:
+ A automação primeiro valida se a expansão do volume é necessária e se ela pode ser executada. Se a expansão for considerada apropriada, a automação pode aumentar a capacidade do volume. Esse processo automatizado equilibra a necessidade de crescimento com uma expansão controlada e limitada.
+ Antes de estender um volume, a automação executa tarefas de limpeza (Windows: Disk Cleaner, Linux: Logrotate \$1 Simple Service Manager Agent Log, remoção do log) na instância para tentar liberar espaço.
**nota**
As tarefas de limpeza não são executadas em instâncias da família EC2 “T” devido à dependência de créditos de CPU para funcionalidade contínua.
+ No Linux, a automação só suporta a extensão de sistemas de arquivos do tipo EXT2 EXT3, EXT4 e XFS.
+ No Windows, a automação só oferece suporte ao New Technology File System (NTFS) e ao Resilient File System (ReFS).
+ A automação não estende os volumes que fazem parte do Logical Volume Manager (LVM) ou de uma matriz RAID.
+ A automação não amplia os volumes de *armazenamento de instâncias*.
+ A automação não age se o volume afetado já for maior que 2 TiB.
+ A expansão por meio da automação é limitada a um máximo de três vezes por semana e cinco vezes no total durante a vida útil do sistema.
+ A automação não expande o volume se a expansão anterior ocorreu nas últimas seis horas.
Quando essas regras impedem a automação de agir, o AMS entra em contato com você por meio de uma solicitação de serviço de saída para determinar as próximas ações a serem tomadas.
## Automação de remediação de eventos de baixo armazenamento do Amazon RDS
Como a remediação automática do AWS Managed Services (AMS) funciona com problemas de eventos de baixo armazenamento do Amazon RDS:
+ Antes de tentar estender o armazenamento da instância do Amazon RDS, a automação executa várias verificações para garantir que a instância do Amazon RDS esteja em um estado modificável e disponível, ou com armazenamento cheio.
+ Quando o desvio da CloudFormation pilha é detectado, a remediação ocorre por meio da API do Amazon RDS.
+ A ação de remediação não é executada nos seguintes cenários:
+ O status da instância do Amazon RDS não é “disponível” ou “com armazenamento cheio”.
+ O armazenamento da instância do Amazon RDS não é modificável no momento (como quando o armazenamento foi modificado nas últimas seis horas).
+ A instância do Amazon RDS tem armazenamento com escalabilidade automática habilitado.
+ A instância do Amazon RDS não é um recurso dentro de uma CloudFormation pilha.
+ A remediação é limitada a uma expansão por seis horas e não mais do que três expansões em um período contínuo de quatorze dias.
+ Quando esses cenários ocorrem, o AMS entra em contato com você com um incidente de saída para determinar as próximas ações.
# Usando as regras EventBridge gerenciadas da Amazon no AMS
O AMS Accelerate usa o Amazon EventBridge Managed Rules. Uma regra gerenciada é um tipo exclusivo de regra diretamente vinculada ao AMS. Essas regras combinam os eventos recebidos e os enviam aos alvos para processamento. As regras gerenciadas são predefinidas pelo AMS e incluem padrões de eventos exigidos pelo serviço para gerenciar contas de clientes e, a menos que definido de outra forma, somente o serviço proprietário pode utilizar essas regras gerenciadas.
As regras gerenciadas do AMS Accelerate estão vinculadas ao principal `events.managedservices.amazonaws.com` de serviço. Essas regras gerenciadas são gerenciadas por meio da função [`AWSServiceRoleForManagedServices_Events`vinculada ao serviço](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/using-service-linked-roles.html#slr-evb-rule). Para excluir essas regras, é necessária uma confirmação especial do cliente. Para obter mais informações, consulte [Excluindo regras gerenciadas para o AMS](#delete-managed-rules).
Para obter mais informações sobre regras, consulte [Regras](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) no *Guia do EventBridge usuário da Amazon*.
## Amazon EventBridge Managed Rules implantadas pelo AMS
**Regras EventBridge gerenciadas da Amazon**
| Nome da regra | Descrição | Definição |
| --- | --- | --- |
| AmsAccessRolesRule | Essa regra escuta modificações em funções e políticas específicas do AMS Accelerate. |
{
"source": ["aws.iam"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventName": [
"DeleteRole",
"DeletePolicy",
"CreatePolicyVersion",
"AttachRolePolicy",
"DetachRolePolicy"
],
"requestParameters": {
"$or": [
{
"roleName": [
"ams-access-admin",
"ams-access-admin-operations",
"ams-access-operations",
"ams-access-read-only",
"ams-access-security-analyst",
"ams-access-security-analyst-read-only"
]
},
{
"policyArn": [
"arn:*:iam::*:policy/ams-access-allow-pass-role",
"arn:*:iam::*:policy/ams-access-deny-cloudshell-policy",
"arn:*:iam::*:policy/ams-access-deny-operations-policy",
"arn:*:iam::*:policy/ams-access-deny-update-iam-policy",
"arn:*:iam::*:policy/ams-access-ssr-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-read-only-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-extended-policy",
"arn:*:iam::*:policy/ams-access-admin-policy",
"arn:*:iam::*:policy/ams-access-admin-operations-policy"
]
},
]
},
},
}
|
| AMSCoreRegra | Essa regra encaminha os CloudWatch eventos da Amazon para os serviços de remediação AWS Config e monitoramento do AMS Config, respeitosamente. Os AWS Config eventos criam e resolvem AWS Systems Manager OpsItems. Os CloudWatch eventos da Amazon monitoram os CloudWatch alarmes. |
{
{
"source": ["aws.config", "aws.cloudwatch"],
"detail-type": ["Config Rules Compliance Change", "CloudWatch Alarm State Change"],
}
}
|
## Criação de regras gerenciadas para AMS
Você não precisa criar manualmente as Amazon EventBridge Managed Rules. Quando você se integra ao AMS no AWS Management Console AWS CLI, no ou na AWS API, o AMS os cria para você.
## Editando regras gerenciadas para AMS
O AMS não permite que você edite as regras gerenciadas. O nome e o padrão de evento para cada regra gerenciada são predefinidos pelo AMS.
## Excluindo regras gerenciadas para AMS
Você não precisa excluir manualmente as regras gerenciadas. Quando você se desconecta do AMS no AWS Management Console, no ou na AWS API AWS CLI, o AMS limpa os recursos e exclui todas as regras gerenciadas de propriedade do AMS para você.
Caso o AMS não remova as regras gerenciadas durante a desativação, você também pode usar o EventBridge console da Amazon AWS CLI ou a AWS API para excluir manualmente as regras gerenciadas. Para fazer isso, você deve primeiro sair do AMS e realizar uma exclusão forçada das Regras Gerenciadas.
# Remediador confiável no AMS
O Trusted Remediator é uma solução do AWS Managed Services que automatiza a remediação e as recomendações. [AWS Trusted Advisor[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) O Trusted Remediator cria recomendações quando Trusted Advisor e o Compute Optimizer indicam oportunidades para você reduzir custos, melhorar a disponibilidade do sistema, otimizar o desempenho ou fechar lacunas de segurança. Contas da AWS Com o Trusted Remediator, você pode abordar essas recomendações de segurança, desempenho, otimização de custos, tolerância a falhas e limite de serviço de uma forma segura e padronizada que usa as melhores práticas estabelecidas. O Trusted Remediator permite que você configure uma solução de remediação e seja executada automaticamente de acordo com um cronograma criado por você, simplificando o processo de remediação. Essa abordagem simplificada aborda os problemas de forma consistente, eficiente e sem intervenção manual.
## Principais benefícios do Trusted Remediator
A seguir estão os principais benefícios do Trusted Remediator:
+ **Segurança, desempenho e otimização de custos aprimorados:** o Trusted Remediator ajuda você a aprimorar a postura geral de segurança de suas contas, otimizar a utilização de recursos e reduzir os custos operacionais.
+ **Configuração e configuração de autoatendimento:** você pode configurar o Trusted Remediator de acordo com seus requisitos e preferências.
+ ** Trusted Advisor Verificações automatizadas e correção de AWS Compute Optimizer recomendações: após a** configuração, o Trusted Remediator executa automaticamente as ações de remediação para as verificações selecionadas. Essa automação elimina a necessidade de intervenção manual.
+ **Implementação das melhores práticas:** as ações de remediação são baseadas nas melhores práticas estabelecidas, portanto, os problemas são tratados de forma padronizada e eficaz.
+ **Execução programada:** você pode escolher o cronograma de remediação que se alinha aos seus fluxos de trabalho day-to-day operacionais.
O Trusted Remediator permite que você resolva proativamente os problemas identificados em seus AWS ambientes, ajudando você a aderir às melhores práticas e a manter uma infraestrutura de nuvem segura, de alto desempenho e econômica.
## Como funciona o Trusted Remediator
A seguir está uma ilustração do fluxo de trabalho do Trusted Remediator:
![\[Uma ilustração do fluxo de trabalho do Trusted Remediator.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/trusted-remediator-workflow.png)
O Trusted Remediator avalia as recomendações Trusted Advisor e o Compute Optimizer para você e cria em. Contas da AWS AWS Systems Manager [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html) OpsCenter Em seguida, você pode usar os documentos de automação do Trusted Remediator para corrigir o problema de OpsItems forma automática ou manual. A seguir estão os detalhes de cada tipo de remediação:
+ **Remediação automatizada:** o Trusted Remediator executa o documento de automação e monitora a execução. Após a conclusão do documento de automação, o Trusted Remediator resolve o Opsitem.
+ **Remediação manual:** o Trusted Remediator cria o OpsItem para você revisar. Depois de revisar, você inicia o documento de automação.
Os registros de remediação são armazenados em um bucket do Amazon S3. Você pode usar os dados no bucket do S3 para criar QuickSight painéis personalizados para relatórios. O AMS também fornece relatórios mediante solicitação para o Trusted Remediator. Para receber esses relatórios, entre em contato com seu CSDM. Para obter mais informações, consulte [Relatórios do Trusted Remediator](trusted-remediator-reports.md).
## Termos-chave para Trusted Remediator
A seguir estão os termos que são úteis para conhecer quando você usa o Trusted Remediator no AMS:
+ **AWS Trusted Advisor e AWS Compute Optimizer:** Serviços de otimização de nuvem fornecidos pela AWS. Trusted Advisor e o Compute Optimizer inspecionam AWS seu ambiente e fornecem recomendações com base nas melhores práticas nas seis categorias a seguir:
+ Otimização de custo
+ Desempenho
+ Segurança
+ Tolerância a falhas
+ Excelência operacional
+ Limites do serviço
Para obter mais informações, consulte [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) e [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/).
+ **Trusted Remediator:** uma solução de remediação do AMS para [Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)verificações e [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)recomendações. O Trusted Remediator ajuda você a corrigir com segurança as Trusted Advisor verificações e as recomendações do Compute Optimizer com as melhores práticas conhecidas para melhorar a segurança, o desempenho e reduzir custos. O Trusted Remediator é fácil de instalar e configurar. Você configura uma vez e o Trusted Remediator executa as correções de acordo com sua programação preferida (diária ou semanal).
+ **AWS Systems Manager Documento SSM:** um arquivo JSON ou YAML que define as ações que são AWS Systems Manager executadas em seus recursos. AWS O documento SSM serve como uma especificação declarativa para automatizar tarefas operacionais em vários AWS recursos e instâncias.
+ **AWS Systems Manager OpsCenter OpsItem:** um recurso de gerenciamento de problemas operacionais na nuvem que ajuda você a rastrear e resolver problemas operacionais em seu AWS ambiente. OpsItems forneça uma visão centralizada e um sistema de gerenciamento para dados operacionais e problemas em todos Serviços da AWS os recursos. Cada um OpsItem representa um problema operacional, como um potencial risco de segurança, um problema de desempenho ou um incidente operacional.
+ **Configuração:** Uma configuração é um conjunto de atributos armazenados em [AWS AppConfig, uma capacidade de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/appconfig.html). O aplicativo Trusted Remediator AWS AppConfig ajuda a configurar remediações no nível da conta. Você pode usar o AWS AppConfig console ou a API para editar as configurações.
+ **Modo de execução:** o modo de execução é um atributo de configuração que determina como executar a correção para cada resultado da Trusted Advisor verificação. Há quatro modos de execução suportados: **automatizado**, **manual**, **condicional** e **inativo**.
+ **Substituição de recursos:** esse recurso usa tags de recursos para substituir uma configuração para recursos específicos.
+ **Registro do item de remediação:** um arquivo de log no bucket de log de remediação do Trusted Remediator S3. O registro do item de remediação é criado quando a remediação OpsItems é criada. Esse arquivo de log contém remediação de execução manual OpsItems e remediação de execução automatizada. OpsItems Use esse arquivo de log para rastrear todos os itens de remediação.
+ **Registro de execução de remediação automatizada:** um arquivo de log no bucket de log de remediação do Trusted Remediator S3. O registro automatizado de execução de remediação é criado quando a execução automatizada de um documento SSM é concluída. Esse registro contém detalhes da execução do SSM para remediação OpsItems automática da execução. Use esse arquivo de log para rastrear remediações automatizadas.
# Comece a usar o Trusted Remediator no AMS
O Trusted Remediator está disponível no AMS sem custo adicional. O Trusted Remediator oferece suporte a configurações de conta única e de várias contas.
## Integrado ao Trusted Remediator
Para integrar suas contas do AMS ao Trusted Remediator, envie um e-mail para seus arquitetos de nuvem ou gerentes de entrega de serviços em nuvem ()CSDMs. No e-mail, inclua as seguintes informações:
+ **Contas da AWS:** O número de identificação da conta de doze dígitos. Todas as contas que você deseja integrar ao Trusted Remediator devem pertencer ao mesmo cliente do Accelerate.
+ **Conta de administrador delegado:** a conta que é usada para verificar a configuração Trusted Advisor de uma ou várias contas do Compute Optimizer.
+ **Contas de membros:** são as contas vinculadas à conta de administrador delegado. Essas contas herdam as configurações da conta de administrador delegado. Você pode ter uma conta de membro ou várias contas de membros.
**nota**
As contas dos membros herdam as configurações da conta do administrador delegado. Se você precisar de configurações diferentes para contas específicas, integre várias contas de administrador delegado com suas configurações preferidas. Planeje a estrutura da conta e as configurações com seus arquitetos de nuvem antes de embarcar.
+ **Regiões da AWS:** Regiões da AWS Onde seus recursos estão localizados. Para obter uma lista de Regiões da AWS, consulte [Serviços da AWS por região](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
+ **Cronograma e horário de remediação:** seu cronograma de remediação preferido (diário ou semanal). O Trusted Remediator reúne as Trusted Advisor verificações e inicia a remediação no horário programado. Por exemplo, você pode definir o cronograma de remediação para 1h da manhã de domingo de cada semana, horário padrão do leste da Austrália.
+ **E-mail de notificação:** o Trusted Remediator usa o e-mail de notificação para notificá-lo diariamente se houver remediações. O assunto do e-mail de notificação é “Resumo da remediação do Trusted Remediator” e o conteúdo fornece informações sobre as remediações do Trusted Remediator executadas nas últimas 24 horas.
**nota**
Analise seus aplicativos e recursos após cada remediação programada. Para obter suporte adicional, entre em contato com a AMS.
Depois de enviar sua solicitação de integração com os detalhes necessários para sua CA ou CSDM, o AMS integra suas contas ao Trusted Remediator. O Trusted Remediator usa AWS AppConfig um recurso de AWS Systems Manager, para definir a configuração das Trusted Advisor verificações. Essas configurações são um conjunto de atributos armazenados em AWS AppConfig. Para evitar cobranças não autorizadas em seus recursos, todas as Trusted Advisor verificações suportadas são definidas como **Inativas** quando as contas são integradas ao Trusted Remediator. Depois da integração, você pode usar o AWS AppConfig console ou a API para gerenciar as configurações. Essas configurações ajudam você a corrigir automaticamente Trusted Advisor verificações específicas ou a avaliar e corrigir manualmente as verificações restantes. As configurações são altamente personalizáveis, permitindo que você aplique configurações para cada verificação. Trusted Advisor Para obter mais informações, consulte [Configurar Trusted Advisor a correção de cheques no Trusted Remediator](tr-configure-remediations.md).
## Escolha as verificações e recomendações a serem corrigidas
Por padrão, o modo de execução de remediação é **inativo** para todas as Trusted Advisor verificações e recomendações do Compute Optimizer em sua configuração. Isso evita a remediação não autorizada e protege os recursos. O AMS fornece documentos de automação SSM selecionados para remediação de Trusted Advisor cheques.
Para selecionar as verificações que você deseja corrigir com o Trusted Remediator, conclua as seguintes etapas:
1. Analise a lista de [recomendações suportadas Trusted Advisor e do [Compute Optimizer](tr-supported-recommendations-co.md) ou o nome dos documentos de automação SSM associados](tr-supported-checks.md) para decidir quais verificações e recomendações você deseja corrigir com o Trusted Remediator.
1. Atualize sua configuração para ativar a correção para as Trusted Advisor verificações selecionadas. Para obter instruções sobre como selecionar cheques, consulte[Configurar Trusted Advisor a correção de cheques no Trusted Remediator](tr-configure-remediations.md).
## Acompanhe suas remediações no Trusted Remediator
Depois de atualizar sua configuração em nível de conta, o Trusted Remediator cria OpsItems para cada remediação. O Trusted Remediator executa o documento SSM para remediação automatizada de OpsItems acordo com seu cronograma de remediação. Para obter instruções sobre como visualizar todas as correções no OpsCenter console OpsItems do Systems Manager, consulte[Rastreie as remediações no Trusted Remediator](tr-remediation.md#tr-remediation-track).
## Execute correções manuais no Trusted Remediator
Você pode corrigir manualmente as Trusted Advisor verificações. Quando você inicia uma remediação manual, o Trusted Remediator cria uma execução manual. OpsItem Você deve revisar e iniciar o documento de automação do SSM para corrigir o. OpsItems Para obter mais informações, consulte [Execute correções manuais no Trusted Remediator](tr-remediation.md#tr-remediation-run).
# Recomendações do Compute Optimizer suportadas pelo Trusted Remediator
A tabela a seguir lista as recomendações suportadas do Compute Optimizer, os documentos de automação do SSM, os parâmetros pré-configurados e o resultado esperado dos documentos de automação. Analise o resultado esperado para ajudá-lo a entender os possíveis riscos com base nos requisitos de sua empresa antes de habilitar um documento de automação de SSM para remediação de cheques.
Certifique-se de que a regra de configuração correspondente para cada verificação do Compute Optimizer esteja presente nas verificações suportadas para as quais você deseja habilitar a correção. Para obter mais informações, consulte [Aceitar AWS Compute OptimizerTrusted Advisor cheques](https://docs.aws.amazon.com/awssupport/latest/user/compute-optimizer-with-trusted-advisor.html).
| Opção de otimização | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados |
| --- | --- | --- |
| Redimensionamento |
| [Recomendações de EC2 instâncias da Amazon](https://aws.amazon.com/compute-optimizer/faqs/#topic-4) | **AWSManagedServices-TrustedRemediatorResizeInstanceByComputeOptimizerRecommendation** Tipo de EC2 instância da Amazon atualizado de acordo com as recomendações do Compute Optimizer. As opções mais ideais são escolhidas mantendo os mesmos parâmetros da plataforma (arquitetura, hipervisor, interface de rede, tipo de virtualização etc.), se a opção existir. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Recomendações de volume do Amazon EBS](https://aws.amazon.com/compute-optimizer/faqs/#topic-6) | **AWSManagedServices-ModifyEBSVolume** O volume do Amazon EBS é modificado de acordo com as recomendações do Compute Optimizer. A modificação pode incluir tipo de volume, tamanho, IOPS, geração de volume (gp2, gp3 etc.). | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Recomendações da função Lambda](https://aws.amazon.com/compute-optimizer/faqs/#topic-7) | **AWSManagedServices-TrustedRemediatorOptimizeLambdaMemory** AWS Lambda memória de função otimizada de acordo com as recomendações do Compute Optimizer. | **RecommendedMemorySize **: tamanho de memória personalizado, se diferente das opções recomendadas. Sem restrições |
| Recursos ociosos |
| [Volume inativo do Amazon EBS](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-DeleteUnusedEBSVolume** O volume Amazon EBS não anexado será excluído. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Instância inativa da Amazon EC2 ](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopEC2 instâncias** A EC2 instância inativa da Amazon será interrompida. | **ForceStopWithInstanceStore**: para forçar a interrupção de instâncias usando o armazenamento de instâncias, defina como “Verdadeiro”. Para não forçar a parada, defina como 'False'. O valor padrão 'False' impede que a instância pare. Sem restrições |
| [Instância inativa do Amazon RDS](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopIdleRDSInstance** Pare uma instância inativa do Amazon RDS. Os mecanismos suportados são: MariaDB, Microsoft SQL Server, MySQL, Oracle, PostgreSQL. Este documento não se aplica ao Aurora MySQL e ao Aurora PostgreSQL. A instância será interrompida por até 7 dias e reiniciada automaticamente. | Não são permitidos parâmetros pré-configurados. Sem restrições |
# Trusted Advisor verificações suportadas pelo Trusted Remediator
A tabela a seguir lista as Trusted Advisor verificações suportadas, os documentos de automação do SSM, os parâmetros pré-configurados e o resultado esperado dos documentos de automação. Analise o resultado esperado para ajudá-lo a entender os possíveis riscos com base nos requisitos de sua empresa antes de habilitar um documento de automação de SSM para remediação de cheques.
Certifique-se de que a regra de configuração correspondente para cada Trusted Advisor verificação esteja presente para as verificações suportadas para as quais você deseja habilitar a correção. Para obter mais informações, consulte [Exibir AWS Trusted Advisor verificações fornecidas por AWS Config](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html). Se uma verificação tiver AWS Security Hub CSPM controles correspondentes, verifique se o controle do Security Hub está ativado. Para obter mais informações, consulte [Habilitando controles no Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html). Para obter informações sobre o gerenciamento de parâmetros pré-configurados, consulte [Configure Trusted Advisor check remediation no Trusted](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html) Remediator.
## Trusted Advisor verificações de otimização de custos suportadas pelo Trusted Remediator
| Verifique o ID e o nome | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados |
| --- | --- | --- |
| [Z4 AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses) Endereços de IP elástico não associados | **AWSManagedServices-TrustedRemediatorReleaseElasticIP** Libera um endereço IP elástico que não está associado a nenhum recurso. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c18d2gz150](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days) - Instâncias da Amazon paradas EC2 | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime** - EC2 As instâncias da Amazon interrompidas por vários dias são encerradas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições |
| [c18d2gz128](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy) Repositório do Amazon ECR sem política de ciclo de vida configurada | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy** Cria uma política de ciclo de vida para o repositório especificado se uma política de ciclo de vida ainda não existir. | **ImageAgeLimit:** O limite máximo de idade em dias (1-365) para “qualquer” imagem no repositório Amazon ECR. Sem restrições |
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes) Volumes subutilizados do Amazon EBS | **AWSManagedServices-DeleteUnusedEBSVolume** Exclui volumes subutilizados do Amazon EBS se os volumes estiverem desvinculados nos últimos 7 dias. Um snapshot do Amazon EBS é criado por padrão. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições |
| [oi M8 LMh88u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers) Balanceadores de carga obsoletos | **AWSManagedServices-DeleteIdleClassicLoadBalancer** Exclui um Classic Load Balancer ocioso se ele não for usado e nenhuma instância estiver registrada. | **IdleLoadBalancerDays:** o número de dias em que o Classic Load Balancer tem 0 conexões solicitadas antes de considerá-lo ocioso. O padrão é sete dias. Se a execução automática estiver ativada, a automação excluirá os Classic Load Balancers ociosos se não houver instâncias de back-end ativas. Para todos os Classic Load Balancers ociosos que têm instâncias de back-end ativas, mas não têm instâncias de back-end saudáveis, a remediação automática não é usada OpsItems e a correção manual é criada. |
| [TI39HalfU8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances) Amazon RDS Idle DB Instances | **AWSManagedServices-StopIdleRDSInstance** A instância de banco de dados Amazon RDS que esteve em um estado ocioso nos últimos sete dias foi interrompida. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size) AWS Lambda funções superprovisionadas para o tamanho da memória | **AWSManagedServices-ResizeLambdaMemory** AWS Lambda o tamanho da memória da função é redimensionado para o tamanho de memória recomendado fornecido pelo Trusted Advisor. | **RecommendedMemorySize:** a alocação de memória recomendada para a função Lambda. O intervalo de valores está entre 128 e 10240. Se o tamanho da função Lambda foi modificado antes da execução da automação, as configurações podem ser substituídas por essa automação pelo valor recomendado por. Trusted Advisor |
| [QCH7dWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Instâncias Amazon EC2 de baixa utilização | **AWSManagedServices-StopEC2Instance** (documento SSM padrão para o modo de execução automática e manual). EC2 As instâncias da Amazon com baixa utilização são interrompidas. | **ForceStopWithInstanceStore:** defina como para `true` forçar a parada de instâncias usando o armazenamento de instâncias. Caso contrário, defina como `false`. O valor padrão de `false` impede que a instância pare. Os valores válidos são verdadeiros ou falsos (diferencia maiúsculas de minúsculas). Sem restrições |
| [QCH7dWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Instâncias Amazon EC2 de baixa utilização | **AWSManagedServices-ResizeInstanceByOneLevel** A EC2 instância da Amazon é redimensionada por um tipo de instância abaixo do mesmo tipo de família de instâncias. A instância é interrompida e iniciada durante a operação de redimensionamento e retorna ao estado inicial após a conclusão da execução do documento SSM. Essa automação não dá suporte ao redimensionamento de instâncias que estão em um grupo de Auto Scaling. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições |
| [QCH7dWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Instâncias Amazon EC2 de baixa utilização | **AWSManagedServices-TerminateInstance** As EC2 instâncias Amazon de baixa utilização são encerradas se não fizerem parte de um grupo de Auto Scaling e a proteção contra rescisão não está ativada. Uma AMI é criada por padrão. | **Criar AMIBefore encerramento:** defina essa opção para `true` ou `false` para criar uma AMI de instância como backup antes de encerrar a EC2 instância. O padrão é `true`. Os valores válidos são `true` e `false` (com distinção entre maiúsculas e minúsculas). Sem restrições |
| [G31sq1e9u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters) Clusters subutilizados do Amazon Redshift | **AWSManagedServices-PauseRedshiftCluster** O cluster do Amazon Redshift está pausado. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config) Configuração de cancelamento de upload em várias partes incompleta do Amazon S3 | **AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload** O bucket do Amazon S3 é configurado com uma regra de ciclo de vida para abortar carregamentos de várias partes que permanecem incompletos após determinados dias. | **DaysAfterInitiation:** o número de dias após os quais o Amazon S3 interrompe um upload incompleto de várias partes. O padrão é definido para 7 dias. Sem restrições |
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances) Recomendações EC2 de otimização de custos da Amazon para instâncias | Use as recomendações de EC2 instâncias da Amazon e a EC2 instância inativa da Amazon de[Recomendações do Compute Optimizer suportadas pelo Trusted Remediator](tr-supported-recommendations-co.md). | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes) Recomendações de otimização de custos do Amazon EBS para volumes | Use as recomendações de volume do Amazon EBS e deixe o volume ocioso do Amazon EBS de. [Recomendações do Compute Optimizer suportadas pelo Trusted Remediator](tr-supported-recommendations-co.md) | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) Recomendações de otimização de custos do Amazon RDS para instâncias de banco de dados | Use a instância inativa do Amazon RDS de. [Recomendações do Compute Optimizer suportadas pelo Trusted Remediator](tr-supported-recommendations-co.md) | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) AWS Lambda recomendações de otimização de custos para funções | Use as recomendações da função Lambda de. [Recomendações do Compute Optimizer suportadas pelo Trusted Remediator](tr-supported-recommendations-co.md) | Não são permitidos parâmetros pré-configurados. Sem restrições |
## Trusted Advisor verificações de segurança suportadas pelo Trusted Remediator
| Verifique o ID e o nome | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados |
| --- | --- | --- |
| [12Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys) Exposed Access Keys | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey** A chave de acesso do IAM exposta está desativada. | Não são permitidos parâmetros pré-configurados. Os aplicativos configurados com uma chave de acesso do IAM exposta não podem ser autenticados. |
| Hs4Ma3G127 - O REST do API Gateway WebSocket e o registro de execução da API devem estar habilitados AWS Security Hub CSPM Verificação correspondente: 1 [APIGateway.](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1) | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** O registro de execução é ativado no estágio da API. | **LogLevel:** Nível de registro para ativar o registro de execução, `ERROR` - O registro é ativado somente para erros. `INFO` - O registro está ativado para todos os eventos. Você deve conceder permissão ao API Gateway para ler e gravar registros da sua conta CloudWatch para ativar o registro de execução. Consulte [Configurar o CloudWatch registro para REST APIs no API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) para obter detalhes. |
| Hs4Ma3G129 - Os estágios da API REST API Gateway devem ter o rastreamento ativado AWS X-Ray AWS Security Hub CSPM Verificação correspondente: 3 [APIGateway.](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3) | **AWSManagedServices-EnableApiGateWayXRayTracing** O rastreamento X-Ray está ativado no estágio da API. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G202 - Os dados do cache da API REST do API Gateway devem ser criptografados em repouso AWS Security Hub CSPM Verificação correspondente: 5 [APIGateway.](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5) | **AWSManagedServices-EnableAPIGatewayCacheEncryption** Ative a criptografia em repouso para os dados de cache da API REST do API Gateway se o estágio da API REST API Gateway tiver o cache ativado. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma 3G177 - AWS Security Hub CSPM [Verificação correspondente: grupos de escalonamento automático associados a um balanceador de carga devem usar verificações de integridade do balanceador de carga .1 AutoScaling](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck** As verificações de saúde do Elastic Load Balancing estão habilitadas para o Auto Scaling Group. | **HealthCheckGracePeriod:** a quantidade de tempo, em segundos, que o Auto Scaling espera antes de verificar o status de saúde de uma instância do Amazon Elastic Compute Cloud que entrou em serviço. A ativação das verificações de integridade do Elastic Load Balancing pode resultar na substituição de uma instância em execução se algum dos load balancers do Elastic Load Balancing vinculados ao grupo Auto Scaling relatar que ela não está íntegra. Para obter mais informações, consulte [Anexar um balanceador de carga do Elastic Load Balancing ao seu grupo de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html) |
| Hs4Ma3G245 - as CloudFormation pilhas devem ser integradas ao Amazon Simple Notification Service AWS Security Hub CSPM Verificação correspondente: 1 [CloudFormation.](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1) | **AWSManagedServices-EnableCFNStackNotification** Associe uma CloudFormation pilha a um tópico do Amazon SNS para notificação. | **NotificaçãoARNs:** Os tópicos ARNs do Amazon SNS a serem associados às pilhas selecionadas CloudFormation . Para ativar a correção automática, o parâmetro `NotificationARNs` pré-configurado deve ser fornecido. |
| Hs4Ma3G210 - CloudFront as distribuições devem ter o registro ativado AWS Security Hub CSPM Verificação correspondente: 2 [CloudFront.](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5) | **AWSManagedServices-EnableCloudFrontDistributionLogging** O registro está habilitado para CloudFront distribuições da Amazon. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para essas restrições de remediação, consulte [Como faço para ativar o registro em log para](https://repost.aws/knowledge-center/cloudfront-logging-requests) minha distribuição? CloudFront |
| Hs4Ma3G109 - a validação do arquivo de CloudTrail log deve ser ativada AWS Security Hub CSPM Verificação correspondente: [CloudTrail.4](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4) | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation** Permite a validação do registro de CloudTrail trilhas. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G108 - as CloudTrail trilhas devem ser integradas ao Amazon Logs CloudWatch AWS Security Hub CSPM Verificação correspondente: 5 [CloudTrail.](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5) | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch** AWS CloudTrail é integrado ao CloudWatch Logs. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G217 - os ambientes do CodeBuild projeto devem ter uma configuração de registro AWS AWS Security Hub CSPM Verificação correspondente: [CodeBuild.4](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4) | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig** Ativa o registro para o CodeBuild projeto. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G306 - Os clusters de banco de dados Neptune devem ter a proteção de exclusão ativada AWS Security Hub CSPM Verificação correspondente: [DocumentDB.3](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot** Remove o acesso público do snapshot manual do cluster do Amazon DocumentDB. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G308 - Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada AWS Security Hub CSPM Verificação correspondente: [DocumentDB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection** Permite a proteção contra exclusão do cluster Amazon DocumentDB. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G323 - As tabelas do DynamoDB devem ter a proteção contra exclusão ativada AWS Security Hub CSPM Verificação correspondente: [DynamoDB.6](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection** Ativa a proteção contra exclusão de tabelas do DynamoDB que não sejam do AMS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [EPS02jt06w](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots) - Snapshots públicos do Amazon EBS | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot** O acesso público ao snapshot do Amazon EBS está desativado. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G118 - Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída AWS Security Hub CSPM Verificação correspondente: 2 [EC2.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG** Todas as regras de entrada e saída no grupo de segurança padrão são removidas. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G117 - Os volumes EBS anexados devem ser criptografados em repouso AWS Security Hub CSPM Verificação correspondente: 3 [EC2.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) | **AWSManagedServices-EncryptInstanceVolume** O volume do Amazon EBS anexado na instância é criptografado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) A instância é reinicializada como parte da correção e a reversão é possível se `DeleteStaleNonEncryptedSnapshotBackups` estiver configurada para `false` ajudar na restauração. |
| Hs4Ma3G120 - EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado AWS Security Hub CSPM Verificação correspondente: [EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateInstance**(documento SSM padrão para o modo de execução automática e manual) EC2 As instâncias da Amazon interrompidas por 30 dias são encerradas. | **Criar AMIBefore rescisão:**. Para criar a AMI da instância como backup antes de encerrar a EC2 instância, escolha`true`. Para não criar um backup antes de encerrar, escolha`false`. O padrão é `true`. Sem restrições |
| Hs4Ma3G120 - EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado AWS Security Hub CSPM Verificação correspondente: [EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime** - EC2 As instâncias da Amazon paradas por um número de dias definido no Security Hub (o valor padrão é 30) são encerradas. | **Criar AMIBefore encerramento:** Para criar a AMI da instância como backup antes de encerrar a EC2 instância, escolha`true`. Para não criar um backup antes de encerrar, escolha`false`. O padrão é `true`. Sem restrições |
| Hs4Ma3G121 - A criptografia padrão do EBS deve estar ativada AWS Security Hub CSPM Verificação correspondente: 7 [EC2.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7) | **AWSManagedServices-EncryptEBSByDefault** A criptografia do Amazon EBS, por padrão, está habilitada para o Região da AWS | Não são permitidos parâmetros pré-configurados. A criptografia por padrão é uma configuração específica da região. Se você habilitá-lo para uma região, não poderá desativá-lo para volumes ou snapshots individuais nessa região. |
| Hs4Ma3G124 - As instâncias da EC2 Amazon devem usar o Instance Metadata Service versão 2 () IMDSv2 AWS Security Hub CSPM Verificação correspondente: 8 [EC2.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) | **AWSManagedServices-TrustedRemediator****Habilitar EC2 instância IMDSv2** EC2 As instâncias da Amazon usam o Instance Metadata Service versão 2 (IMDSv2). | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições |
| Hs4Ma3G207 - as EC2 sub-redes não devem atribuir automaticamente endereços IP públicos AWS Security Hub CSPM Cheque correspondente: [EC2.15](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15) | **AWSManagedServices-UpdateAutoAssignPublicIpv4 endereços** As sub-redes VPC são configuradas para não atribuir automaticamente endereços IP públicos. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G209 - As listas de controle de acesso à rede não utilizadas são removidas AWS Security Hub CSPM Verificação correspondente: [EC2.16](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16) | **AWSManagedServices-DeleteUnusedNACL** Excluir ACL de rede não utilizada | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G215 - Grupos de segurança não utilizados da Amazon devem ser removidos EC2 AWS Security Hub CSPM Verificação correspondente: [EC2.22](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22) | **AWSManagedServices-DeleteSecurityGroups** Exclua grupos de segurança não utilizados. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G247 - O Amazon Transit EC2 Gateway não deve aceitar automaticamente solicitações de anexos de VPC AWS Security Hub CSPM Cheque correspondente: [EC2.23](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach**- Desativa a aceitação automática de solicitações de anexos de VPC para o Amazon Transit EC2 Gateway não AMS especificado. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G235 - Os repositórios privados do ECR devem ter a imutabilidade da tag configurada AWS Security Hub CSPM Verificação correspondente: [ECR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability** Define as configurações de mutabilidade da tag de imagem como IMMUTABLE para o repositório especificado. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G216 - Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada AWS Security Hub CSPM Verificação correspondente: [ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy** O repositório ECR tem uma política de ciclo de vida configurada. | **LifecyclePolicyText:** o texto da política do repositório JSON a ser aplicado ao repositório. Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos: **LifecyclePolicyText** |
| Hs4Ma3G325 - Os clusters EKS devem ter o registro de auditoria ativado AWS Security Hub CSPM Verificação correspondente: [EKS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog** O registro de auditoria está habilitado para o cluster EKS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G183 - O balanceador de carga do aplicativo deve ser configurado para descartar cabeçalhos HTTP AWS Security Hub CSPM Verificação correspondente: [ELB.4](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4) | **AWSConfigRemediation-DropInvalidHeadersForALB** O Application Load Balancer está configurado para campos de cabeçalho inválidos. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G184 - O registro de balanceadores de carga de aplicativos e balanceadores de carga clássicos deve estar ativado AWS Security Hub CSPM Verificação correspondente: [ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLogging (documento SSM padrão para o modo de execução automática e manual)** O registro em log do Application Load Balancer e do Classic Load Balancer está ativado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) O bucket do Amazon S3 deve ter uma política de bucket que conceda permissão ao Elastic Load Balancing para gravar os registros de acesso no bucket. |
| Hs4Ma3G184 - O registro de balanceadores de carga de aplicativos e balanceadores de carga clássicos deve estar ativado AWS Security Hub CSPM Verificação correspondente: [ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLoggingV2** O registro em log do Application Load Balancer e do Classic Load Balancer está ativado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G326 - A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada AWS Security Hub CSPM Verificação correspondente: [EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess** As configurações de bloqueio de acesso público do Amazon EMR estão ativadas para a conta. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G135 - as AWS KMS chaves não devem ser excluídas acidentalmente AWS Security Hub CSPM Verificação correspondente: [KMS.3](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) | **AWSManagedServices-CancelKeyDeletion** AWS KMS a exclusão da chave foi cancelada. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G299 - Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos AWS Security Hub CSPM Cheque correspondente: [Netuno.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection** Permite a proteção contra exclusão do cluster Amazon Neptune. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G319 - Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada AWS Security Hub CSPM Cheque correspondente: 9 [NetworkFirewall.](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection**- Ativa a proteção de exclusão para o AWS Network Firewall. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G223 - os OpenSearch domínios devem criptografar os dados enviados entre os nós AWS Security Hub CSPM Verificação correspondente: 3 [OpenSearch.](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3) | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption** A criptografia de nó a nó está habilitada para o domínio. | Não são permitidos parâmetros pré-configurados. Depois que a node-to-node criptografia estiver ativada, você não poderá desativar a configuração. Em vez disso, tire um instantâneo manual do domínio criptografado, crie outro domínio, migre seus dados e exclua o domínio antigo. |
| Hs4Ma3G222 - o registro de erros de OpenSearch domínio nos registros deve estar ativado CloudWatch AWS Security Hub CSPM Verificação correspondente: [Opensearch.4](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) | **AWSManagedServices-EnableOpenSearchLogging** O registro de erros está ativado para o OpenSearch domínio. | CloudWatchLogGroupArn: o ARN de um grupo de CloudWatch logs do Amazon Logs. Para habilitar a remediação automática, o seguinte parâmetro pré-configurado deve ser fornecido:. **CloudWatchLogGroupArn** A política CloudWatch de recursos da Amazon deve ser configurada com permissões. Para obter mais informações, consulte [Habilitar registros de auditoria](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) no *Guia do usuário do Amazon OpenSearch Service* |
| Hs4Ma3G221 - OpenSearch os domínios devem ter o registro de auditoria ativado AWS Security Hub CSPM Verificação correspondente: [Opensearch.5](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch os domínios são configurados com o registro de auditoria ativado. | **CloudWatchLogGroupArn:** o ARN do grupo de CloudWatch registros no qual publicar registros. Para habilitar a correção automática, o seguinte parâmetro pré-configurado deve ser fornecido: **CloudWatchLogGroupArn** A política CloudWatch de recursos da Amazon deve ser configurada com permissões. Para obter mais informações, consulte [Habilitar registros de auditoria](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) no *Guia do usuário do Amazon OpenSearch Service* |
| Hs4Ma3G220 - As conexões com OpenSearch domínios devem ser criptografadas usando TLS 1.2 AWS Security Hub CSPM Verificação correspondente: [Opensearch.8](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2** A política TLS está definida como `policy-min-TLS-1-2-2019-07` e somente conexões criptografadas por HTTPS (TLS) são permitidas. | Não são permitidos parâmetros pré-configurados. Conexões com OpenSearch domínios são necessárias para usar o TLS 1.2. A criptografia de dados em trânsito pode afetar o desempenho. Teste seus aplicativos com esse recurso para entender o perfil de desempenho e o impacto do TLS. |
| Hs4Ma3G194 - O snapshot do Amazon RDS deve ser privado AWS Security Hub CSPM Verificação correspondente: [RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** O acesso público ao snapshot do Amazon RDS está desativado. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G192 - As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible AWS AWS Security Hub CSPM Verificação correspondente: [RDS.2](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance** Desative o acesso público na instância de banco de dados do RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G189 - O monitoramento aprimorado é configurado para instâncias de banco de dados Amazon RDS AWS Security Hub CSPM Verificação correspondente: [RDS.6](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring** Habilite o monitoramento aprimorado para instâncias de banco de dados Amazon RDS | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Se o monitoramento aprimorado for ativado antes da execução da automação, as configurações poderão ser substituídas por essa automação com os MonitoringRoleName valores MonitoringInterval e configurados nos parâmetros pré-configurados. |
| Hs4Ma3G190 - Os clusters do Amazon RDS devem ter a proteção de exclusão ativada AWS Security Hub CSPM Verificação correspondente: [RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** A proteção contra exclusão está habilitada para clusters do Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G198 - As instâncias de banco de dados do Amazon RDS devem ter a proteção de exclusão ativada AWS Security Hub CSPM Verificação correspondente: [RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** A proteção contra exclusão está habilitada para instâncias do Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G199 - As instâncias de banco de dados do RDS devem publicar registros nos registros CloudWatch AWS Security Hub CSPM Verificação correspondente: [RDS.9](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports** As exportações de log do RDS estão habilitadas para a instância de banco de dados RDS ou o cluster de banco de dados RDS. | Não são permitidos parâmetros pré-configurados. A função [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) vinculada ao serviço é necessária. |
| Hs4Ma3G160 - A autenticação do IAM deve ser configurada para instâncias do RDS AWS Security Hub CSPM Verificação correspondente: [RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** AWS Identity and Access Management a autenticação está habilitada para a instância do RDS. | **ApplyImmediately:** indica se as modificações nessa solicitação e quaisquer modificações pendentes são aplicadas de forma assíncrona o mais rápido possível. Para aplicar a alteração imediatamente, escolha. `true` Para programar a alteração para a próxima janela de manutenção, escolha`false`. Sem restrições |
| Hs4Ma3G161 - A autenticação do IAM deve ser configurada para clusters RDS AWS Security Hub CSPM Verificação correspondente: [RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** A autenticação do IAM está habilitada para o cluster RDS. | **ApplyImmediately:** indica se as modificações nessa solicitação e quaisquer modificações pendentes são aplicadas de forma assíncrona o mais rápido possível. Para aplicar a alteração imediatamente, escolha. `true` Para programar a alteração para a próxima janela de manutenção, escolha`false`. Sem restrições |
| Hs4Ma3G162 - As atualizações automáticas de versões secundárias do RDS devem ser habilitadas AWS Security Hub CSPM Verificação correspondente: [RDS.13](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade** A configuração automática de upgrade de versões secundárias para o Amazon RDS está habilitada. | Não são permitidos parâmetros pré-configurados. A instância do Amazon RDS deve estar no `available` estado para que essa remediação ocorra. |
| Hs4Ma3G163 - Os clusters de banco de dados RDS devem ser configurados para copiar tags para instantâneos AWS Security Hub CSPM Verificação correspondente: [RDS.16](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagtosnapshot`a configuração para clusters do Amazon RDS está ativada. | Não são permitidos parâmetros pré-configurados. As instâncias do Amazon RDS devem estar disponíveis para que essa correção ocorra. |
| Hs4Ma3G164 - As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para instantâneos AWS Security Hub CSPM Verificação correspondente: [RDS.17](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagsToSnapshot`a configuração do Amazon RDS está ativada. | Não são permitidos parâmetros pré-configurados. As instâncias do Amazon RDS devem estar disponíveis para que essa correção ocorra. |
| [RsS93 HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots) Snapshots públicos do Amazon RDS | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** O acesso público ao snapshot do Amazon RDS está desativado. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G103 - Os clusters do Amazon Redshift devem proibir o acesso público AWS Security Hub CSPM Verificação correspondente: [Redshift.1](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster** O acesso público no cluster do Amazon Redshift está desativado. | Não são permitidos parâmetros pré-configurados. A desativação do acesso público bloqueia todos os clientes provenientes da Internet. E o cluster do Amazon Redshift fica no estado de modificação por alguns minutos, enquanto a remediação desativa o acesso público ao cluster. |
| Hs4Ma3G106 - Os clusters do Amazon Redshift devem ter o registro de auditoria ativado AWS Security Hub CSPM Verificação correspondente: [Redshift.4](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging** O registro de auditoria é ativado no seu cluster do Amazon Redshift durante a janela de manutenção. | Não são permitidos parâmetros pré-configurados. Para habilitar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos. **BucketName:** O balde deve estar no mesmo Região da AWS. O cluster deve ter permissões de leitura e colocação de objetos. Se o registro em cluster do Redshift estiver ativado antes da execução da automação, as configurações de registro poderão ser substituídas por essa automação com os `S3KeyPrefix` valores `BucketName` e configurados nos parâmetros pré-configurados. |
| Hs4Ma3G105 - O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas AWS Security Hub CSPM Verificação correspondente: [Redshift.6](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade**- As principais atualizações da versão são aplicadas automaticamente ao cluster durante a janela de manutenção. Não há tempo de inatividade imediato para o cluster do Amazon Redshift, mas seu cluster do Amazon Redshift pode ter tempo de inatividade durante a janela de manutenção se for atualizado para uma versão principal. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G104 - Os clusters do Amazon Redshift devem usar roteamento de VPC aprimorado AWS Security Hub CSPM Verificação correspondente: [Redshift.7](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting** O roteamento aprimorado de VPC está habilitado para clusters do Amazon Redshift. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G173 - A configuração de acesso público do bloco S3 deve ser ativada no nível do bucket AWS Security Hub CSPM Verificação correspondente: [S3.8](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8) | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Os blocos de acesso público no nível do bucket são aplicados ao bucket do Amazon S3. | Não são permitidos parâmetros pré-configurados. Essa correção pode afetar a disponibilidade dos objetos do S3. Para obter informações sobre como o Amazon S3 avalia o acesso, consulte [Bloqueio do acesso público ao seu armazenamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html). |
| Hs4Ma3G230 - O registro de acesso ao servidor de bucket S3 deve estar ativado AWS Security Hub CSPM Verificação correspondente: [S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-EnableBucketAccessLogging**(documento SSM padrão para o modo de execução automática e manual) O registro de acesso ao servidor Amazon S3 está ativado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar a remediação automática, o seguinte parâmetro pré-configurado deve ser fornecido:. **TargetBucket** O bucket de destino deve estar no mesmo bucket Região da AWS e Conta da AWS no bucket de origem, com as permissões corretas para entrega de registros. Para obter mais informações, consulte [Habilitar registro em log de acesso ao servidor do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| Hs4Ma3G230 — O registro de acesso ao servidor bucket S3 deve estar habilitado AWS Security Hub CSPM Verificação correspondente: [S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** - O registro do bucket do Amazon S3 está ativado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar a correção automática, os seguintes parâmetros devem ser fornecidos: **TargetBucketTagKey**e. **TargetBucketTagValue** O bucket de destino deve estar no mesmo bucket Região da AWS e Conta da AWS no bucket de origem, com as permissões corretas para entrega de registros. Para obter mais informações, consulte [Habilitar registro em log de acesso ao servidor do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| [Pfx0 RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) Permissões do bucket do Amazon S3 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Bloqueio de acesso público | Não são permitidos parâmetros pré-configurados. Essa verificação consiste em vários critérios de alerta. Essa automação corrige problemas de acesso público. A correção de outros problemas de configuração sinalizados por Trusted Advisor não é suportada. Essa remediação oferece suporte à remediação de buckets S3 AWS service (Serviço da AWS) criados (por exemplo, cf-templates-000000000000). |
| Hs4Ma3G272 - Os usuários não devem ter acesso root às instâncias do notebook SageMaker AWS Security Hub CSPM Verificação correspondente: 3 [SageMaker.](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3) | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess** O acesso root para usuários está desativado para a instância do SageMaker notebook. | Não são permitidos parâmetros pré-configurados. Essa remediação causa interrupção se a instância do SageMaker notebook estiver no InService estado. |
| Hs4Ma3G179 - Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS AWS Security Hub CSPM Verificação correspondente: [SNS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) | **AWSManagedServices-EnableSNSEncryptionAtRest** O tópico do SNS é configurado com criptografia do lado do servidor. | **KmsKeyId:** o ID de uma chave mestra de cliente AWS gerenciada (CMK) para o Amazon SNS ou de uma CMK personalizada a ser usada para criptografia do lado do servidor (SSE). O padrão está definido como`alias/aws/sns`. Se uma AWS KMS chave personalizada for usada, ela deverá ser configurada com as permissões corretas. Para obter mais informações, consulte [Habilitando a criptografia do lado do servidor (SSE) para um tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) |
| Hs4Ma3G158 - Documentos SSM não devem ser públicos AWS Security Hub CSPM Verificação correspondente: [SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing**- Desativa o compartilhamento público do documento SSM. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| Hs4Ma3G136 - As filas do Amazon SQS devem ser criptografadas em repouso AWS Security Hub CSPM Verificação correspondente: [SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest** As mensagens no Amazon SQS são criptografadas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Anônimo SendMessage e ReceiveMessage as solicitações para a fila criptografada são rejeitadas. Todas as solicitações para filas com SSE habilitada devem usar HTTPS e o Signature versão 4. |
## Trusted Advisor verificações de tolerância a falhas suportadas pelo Trusted Remediator
| Verifique o ID e o nome | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados |
| --- | --- | --- |
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery) Recuperação do Amazon DynamoDB Point-in-time | **AWSManagedServices-TrustedRemediatorEnableDDBPITR** Permite point-in-time a recuperação de tabelas do DynamoDB. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [R365s2qddf](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) Versionamento em bucket do Amazon S3 | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning** O versionamento do bucket do Amazon S3 está ativado. | Não são permitidos parâmetros pré-configurados. Essa correção não oferece suporte à correção de buckets S3 AWS service (Serviço da AWS) criados (por exemplo, cf-templates-000000000000). |
| [BueAdJ7nRP](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging) Registro em bucket do Amazon S3 | **AWSManagedServices-EnableBucketAccessLogging** O registro do bucket do Amazon S3 está ativado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) O bucket de destino deve estar no mesmo bucket Região da AWS e Conta da AWS no bucket de origem, com as permissões corretas para entrega de registros. Para obter mais informações, consulte [Habilitar registro em log de acesso ao servidor do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
| [F2ik5r6dep](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az) Amazon RDS Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ** A implantação da Zona de Multidisponibilidade está ativada. | Não são permitidos parâmetros pré-configurados. Há uma possível degradação do desempenho durante essa alteração. |
| [H7 IgTzj TYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots) Snapshots do Amazon EBS | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot** A Amazon EBSsnapshots é criada. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [em QPADk ZvH](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Backups do RDS | **AWSManagedServices-EnableRDSBackupRetention** A retenção de backup do Amazon RDS está habilitada para o banco de dados. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Se o `ApplyImmediately` parâmetro for definido como`true`, as alterações pendentes no banco de dados serão aplicadas junto com a configuração RDSBackup de retenção. |
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) As instâncias de banco de dados do Amazon RDS têm o escalonamento automático de armazenamento desativado | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling**- O escalonamento automático de armazenamento está habilitado para a instância de banco de dados Amazon RDS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições |
| [7q GXs KIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining) Classic Load Balancer Connection Draining | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining** A drenagem da conexão está ativada para o Classic Load Balancer. | **ConnectionDrainingTimeout:** o tempo máximo, em segundos, para manter as conexões existentes abertas antes de cancelar o registro das instâncias. O padrão é definido como `300` segundos. Sem restrições |
| [c18d2gz106](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan) Amazon EBS não incluído no plano AWS Backup | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan** O Amazon EBS está incluído no AWS Backup plano. | A remediação marca o volume do Amazon EBS com o seguinte par de tags. O par de tags deve corresponder aos critérios de seleção de recursos baseados em tags para AWS Backup. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições |
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan) Tabela do Amazon DynamoDB não incluída no plano AWS Backup | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan** A tabela do Amazon DynamoDB está incluída no plano. AWS Backup | A remediação marca o Amazon DynamoDB com o seguinte par de tags. O par de tags deve corresponder aos critérios de seleção de recursos baseados em tags para AWS Backup. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições |
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan) Amazon EFS não incluído no AWS Backup plano | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan** O Amazon EFS está incluído no AWS Backup plano. | A remediação marca o Amazon EFS com o seguinte par de tags. O par de tags deve corresponder aos critérios de seleção de recursos baseados em tags para AWS Backup. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições |
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing) Balanceamento de carga cruzada dos Network Load Balancers | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing** O balanceamento de carga entre zonas está ativado no Network Load Balancer. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off) O `synchronous_commit` parâmetro Amazon RDS está desativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `synchronous_commit`O parâmetro está ativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off) O `innodb_flush_log_at_trx_commit` parâmetro Amazon RDS não é `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `innodb_flush_log_at_trx_commit`O parâmetro está definido como `1` para Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off) O `sync_binlog` parâmetro Amazon RDS está desativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `sync_binlog`O parâmetro está ativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe) A configuração de `innodb_default_row_format` parâmetros do Amazon RDS não é segura | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `innodb_default_row_format`O parâmetro está definido como `DYNAMIC` para Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c18d2gz144](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled) Monitoramento EC2 detalhado da Amazon não ativado | **AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring** O monitoramento detalhado está habilitado para a Amazon EC2. | Não são permitidos parâmetros pré-configurados. Sem restrições |
## Trusted Advisor verificações de desempenho suportadas pelo Trusted Remediator
| Verifique o ID e o nome | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados |
| --- | --- | --- |
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size) AWS Lambda funções subprovisionadas para o tamanho da memória | **AWSManagedServices-ResizeLambdaMemory** O tamanho da memória das funções Lambda é redimensionado para o tamanho de memória recomendado fornecido por. Trusted Advisor | **RecommendedMemorySize:** a alocação de memória recomendada para a função Lambda. O intervalo de valores está entre 128 e 10240. Se o tamanho da função Lambda for modificado antes da execução da automação, essa automação poderá substituir as configurações pelo valor recomendado por. Trusted Advisor |
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances) Instâncias Amazon EC2 de alta utilização | **AWSManagedServices-ResizeInstanceByOneLevel** As EC2 instâncias da Amazon são redimensionadas por um tipo de instância no mesmo tipo de família de instâncias. As instâncias são interrompidas e iniciadas durante a operação de redimensionamento e retornam ao estado inicial após a conclusão da execução. Essa automação não dá suporte ao redimensionamento de instâncias que estão em um grupo de Auto Scaling. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições |
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal) `innodb_change_buffering`Parâmetro do Amazon RDS usando menos do que o valor ideal | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** O valor do `innodb_change_buffering` parâmetro é definido como `NONE` para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off) O `autovacuum` parâmetro Amazon RDS está desativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `autovacuum`O parâmetro está ativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off) O `enable_indexonlyscan` parâmetro Amazon RDS está desativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `enable_indexonlyscan`O parâmetro está ativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off) O `enable_indexscan` parâmetro Amazon RDS está desativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `enable_indexscan`O parâmetro está ativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off) O `innodb_stats_persistent` parâmetro Amazon RDS está desativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `innodb_stats_persistent`O parâmetro está ativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on) O `general_logging` parâmetro Amazon RDS está ativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `general_logging`O parâmetro está desativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições |
## Trusted Advisor verificações de limites de serviço suportadas pelo Trusted Remediator
| Verifique o ID e o nome | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados |
| --- | --- | --- |
| [Ln7RR0L7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address) EC2-Endereço IP elástico da VPC | **AWSManagedServices-UpdateVpcElasticIPQuota** É solicitado um novo limite para endereços IP elásticos EC2 -VPC. Por padrão, o limite é aumentado em 3. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. |
| [Km7QQ0L7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways) Gateways da Internet da VPC | **AWSManagedServices-IncreaseServiceQuota**- É solicitado um novo limite para gateways de Internet VPC. Por padrão, o limite é aumentado em três. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. |
| [Jl7pp0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check) VPC | **AWSManagedServices-IncreaseServiceQuota** Um novo limite para VPC é solicitado. Por padrão, o limite é aumentado em 3. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. |
| [Fw7hh0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups) Grupos de Auto Scaling | **AWSManagedServices-IncreaseServiceQuota** É solicitado um novo limite para grupos de Auto Scaling. Por padrão, o limite é aumentado em 3. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. |
| [3 Njm0 DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups) Grupos de opção do RDS | **AWSManagedServices-IncreaseServiceQuota** Um novo limite para grupos de opções do Amazon RDS é solicitado. Por padrão, o limite é aumentado em 3. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. |
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers) Balanceadores de carga da aplicação do ELB | **AWSManagedServices-IncreaseServiceQuota** É solicitado um novo limite para os balanceadores de carga de aplicativos ELB. Por padrão, o limite é aumentado em 3. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. |
| [8 WiQ K YSt25](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers) Balanceadores de carga da rede do ELB | **AWSManagedServices-IncreaseServiceQuota** É solicitado um novo limite para os balanceadores de carga de rede ELB. Por padrão, o limite é aumentado em 3. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. |
## Trusted Advisor verificações de excelência operacional suportadas pelo Trusted Remediator
| Verifique o ID e o nome | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados |
| --- | --- | --- |
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled) O Amazon API Gateway não está registrando em log os logs de execução | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** O registro de execução é ativado no estágio da API. | Não são permitidos parâmetros pré-configurados. Você deve conceder permissão ao API Gateway para ler e gravar registros da sua conta CloudWatch para ativar o registro de execução. Consulte [Configurar o CloudWatch registro para REST APIs no API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) para obter detalhes. |
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled) A proteção contra exclusão do Elastic Load Balancing não está habilitada para balanceadores de carga | **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection**- A proteção contra exclusão está ativada para o Elastic Load Balancer. | Não são permitidos parâmetros pré-configurados. Sem restrições |
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off) O Amazon RDS Performance Insights está desativado | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights** O Performance Insights está ativado para o Amazon RDS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições |
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled) Logs de acesso do Amazon S3 habilitados | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** O registro de acesso ao bucket do Amazon S3 está ativado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar a correção automática, o seguinte parâmetro pré-configurado deve ser fornecido: e. **TargetBucketTagKey**TargetBucketTagValue**** O bucket de destino deve estar no mesmo bucket Região da AWS e Conta da AWS no bucket de origem, com as permissões corretas para entrega de registros. Para obter mais informações, consulte [Habilitar registro em log de acesso ao servidor do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). |
# Configurar Trusted Advisor a correção de cheques no Trusted Remediator
As configurações são armazenadas AWS AppConfig como parte do aplicativo Trusted Remediator. Cada categoria de Trusted Advisor verificação tem um perfil de configuração separado. Para obter mais informações sobre Trusted Advisor categorias, consulte [Exibir categorias de verificação](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor.html#view-check-categories).
Você pode configurar as remediações por recurso ou por Trusted Advisor verificação. Você pode aplicar exceções usando tags de recursos.
**nota**
A correção das Trusted Advisor descobertas está atualmente configurada usando AWS AppConfig, e esse recurso é totalmente suportado atualmente. A AMS prevê que isso mudará no futuro. É uma prática recomendada evitar criar automações que dependam de AWS AppConfig, pois esse método está sujeito a alterações. Lembre-se de que talvez seja necessário atualizar ou modificar as automações criadas com base na AWS AppConfig implementação atual no futuro para fins de compatibilidade.
O sinalizador de recurso Compute Optimizer EC2 -> instances tem parâmetros extras:
**allow-upscale Para permitir o aumento da escala de instâncias** subprovisionadas e não otimizadas. EC2 O valor padrão é “false”.
**min-savings-opportunity-percentage**A oportunidade mínima de porcentagem de economia para remediação automatizada. O valor padrão é 10%
## Configurações padrão de remediação
As configurações para Trusted Advisor verificações individuais são armazenadas como AWS AppConfig sinalizadores. O nome da bandeira corresponde ao nome do cheque. Cada configuração de verificação contém os seguintes atributos:
+ **modo de execução:** determina como o Trusted Remediator executa a remediação padrão:
+ **Automatizado:** o Trusted Remediator corrige automaticamente os recursos criando um OpsItem, executando o documento SSM e resolvendo-o após a OpsItem execução bem-sucedida.
+ **Manual:** Um OpsItem é criado, mas o documento SSM não é executado automaticamente. Você revisa e executa manualmente o documento SSM a partir OpsItem do AWS Systems Manager OpsCenter console.
+ **Condicional:** a remediação está desativada por padrão. Você pode habilitá-lo para recursos específicos usando tags. Para obter mais informações, consulte as seções a seguir [Personalize a remediação com tags de recursos](#tr-con-rem-customize-tags) [Personalize a remediação com tags de substituição de recursos](#tr-con-rem-resource-override) e.
+ **Inativo:** a remediação não ocorre e nenhuma OpsItem é criada. Você não pode substituir o modo de execução da Trusted Advisor verificação que está definida como inativa.
+ parâmetros **preconfigurados: insira valores para os parâmetros** do documento SSM que são necessários para remediação automatizada, no formato de, separados por uma vírgula (`Parameter=Value`,). Consulte [Trusted Advisor verificações suportadas pelo Trusted Remediator](tr-supported-checks.md) os parâmetros pré-configurados compatíveis para o documento SSM associado para cada verificação.
+ **alternative-automation-document:** esse atributo ajuda a substituir o documento de automação existente por outro documento compatível (se disponível para a verificação específica). Por padrão, esse atributo não está selecionado.
**nota**
O `alternative-automation-document` atributo não é compatível com documentos de automação personalizados. Você pode usar os documentos de automação do Trusted Remediator compatíveis existentes listados em[Trusted Advisor verificações suportadas pelo Trusted Remediator](tr-supported-checks.md).
Por exemplo, para verificar`Qch7DwouX1`, há três documentos SSM associados: AWSManagedServices-StopEC 2Instance AWSManagedServices-ResizeInstanceByOneLevel, e. AWSManagedServices-TerminateInstance O valor de `alternative-automation-document` pode ser AWSManagedServices-ResizeInstanceByOneLevel ou AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance é o documento SSM padrão a ser corrigido`Qch7DwouX1`).
O valor de cada atributo deve corresponder às restrições desse atributo.
**dica**
Antes de aplicar as configurações padrão para suas Trusted Advisor verificações, é uma prática recomendada considerar o uso dos recursos de marcação de recursos e substituição de recursos descritos nas seções a seguir. As configurações padrão se aplicam a todos os recursos da conta, o que pode não ser desejável em todos os casos.
A seguir está um exemplo de captura de tela do console com o **modo de execução** definido como **Manual e os atributos que correspondem** às suas restrições.
![\[Uma ilustração do fluxo de trabalho de decisão do modo de execução do Trusted Remediator.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-exe-mode-man-new.png)
## Personalize a remediação com tags de recursos
Os **manual-for-tagged-only**atributos **automated-for-tagged-only**e na configuração de verificação permitem que você especifique tags de recursos sobre como você deseja corrigir verificações individuais. É uma prática recomendada usar esse método quando você precisa aplicar um comportamento consistente de remediação a um grupo de recursos que compartilham a mesma tag ou tags. A seguir estão as descrições dessas tags:
+ **automated-for-tagged-only:** especifique as tags de recursos (um ou mais pares de tags, separadas por vírgula) para que as verificações sejam corrigidas automaticamente, independentemente do modo de execução padrão.
+ **manual-for-tagged-only:** especifique tags de recursos (um ou mais pares de tags, separados por vírgula) para correções que devem ser executadas manualmente, independentemente do modo de execução padrão.
Por exemplo, se você quiser habilitar a remediação automatizada para todos os recursos que não são de produção e impor a correção manual para os recursos de produção, você pode definir sua configuração da seguinte forma:
```
"execution-mode": "Conditional",
"automated-for-tagged-only": "Environment=Non-Production",
"manual-for-tagged-only": "Environment=Production",
```
Com as configurações anteriores definidas em seus recursos, verifique se o comportamento da correção é o seguinte:
+ Os recursos marcados com 'Environment=Non-Production' são corrigidos automaticamente.
+ Recursos marcados com 'Environment=Production' requerem intervenção manual para remediação.
+ Recursos sem a tag 'Ambiente' seguem o modo de execução padrão (`Conditional`, neste caso). Portanto, nenhuma ação é tomada com os recursos restantes).
Para obter suporte adicional com suas configurações, entre em contato com seu Cloud Architect.
## Personalize a remediação com tags de substituição de recursos
As tags de substituição de recursos permitem que você personalize o comportamento de remediação de recursos individuais, independentemente de suas tags. Ao adicionar uma tag específica a um recurso, você substitui o modo de execução padrão desse recurso e a Trusted Advisor verificação. A tag de substituição de recursos tem precedência sobre a configuração padrão e as configurações de marcação de recursos. Portanto, se você definir o modo de execução padrão como **Automatizado**, **Manual** ou **Condicional** para um recurso usando a tag de substituição de recursos, ele substituirá o modo de execução padrão e todas as configurações de marcação de recursos.
Para substituir o modo de execução de um recurso, conclua as seguintes etapas:
1. Identifique os recursos para os quais você deseja substituir a configuração de remediação.
1. Determine o Trusted Advisor ID do cheque que você deseja substituir. Você pode encontrar a verificação IDs de Trusted Advisor check-ins compatíveis[Trusted Advisor verificações suportadas pelo Trusted Remediator](tr-supported-checks.md).
1. Adicione uma tag aos recursos com a chave e o valor a seguir:
+ **Chave de tag: `TR-Trusted Advisor check ID-Execution-Mode` (diferencia** maiúsculas de minúsculas)
No exemplo de chave de tag anterior, `Trusted Advisor check ID` substitua pelo identificador exclusivo da Trusted Advisor verificação que você deseja substituir.
+ **Valor da tag:** use um dos seguintes valores para o valor da tag:
+ **Automatizado:** o Trusted Remediator corrige automaticamente o recurso para essa Trusted Advisor verificação.
+ **Manual:** Um OpsItem é criado para o recurso, mas a correção não é executada automaticamente. Você revisa e executa a correção manualmente a partir do OpsItem.
+ **Inativo:** a correção e a OpsItem criação não são realizadas para esse recurso e para a verificação especificada Trusted Advisor .
Por exemplo, para corrigir automaticamente um volume do Amazon EBS com o ID do Trusted Advisor cheque, `DAvU99Dc4C` adicione uma tag ao volume do EBS. A **chave da tag** é `TR-DAvU99Dc4C-Execution-Mode` e o **valor da tag** é`Automated`.
Veja a seguir um exemplo do console mostrando a seção **Tags**:
![\[Um exemplo da seção Tags no console.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-tags-example.png)
# Fluxo de trabalho de decisão do modo execução
Há vários níveis para configurar o modo de execução para seus recursos e cada Trusted Advisor verificação. O diagrama a seguir mostra como o Trusted Remediator decide qual modo de execução usar com base em suas configurações:
![\[Uma ilustração do fluxo de trabalho de decisão do modo de execução do Trusted Remediator.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-ex-mode-workflow.png)
# Configurar tutoriais de remediação
Os tutoriais a seguir fornecem exemplos de criação de remediações comuns no Trusted Remediator.
## Corrija todos os recursos manualmente
Este exemplo configura a remediação manual para todos os volumes do Amazon EBS com o ID de Trusted Advisor verificação DAv U99Dc4C (volumes subutilizados do Amazon EBS).
**Configure a remediação manual para volumes do Amazon EBS com o ID de verificação U99Dc4C DAv**
1. Abra o AWS AppConfig console em [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
Certifique-se de entrar como a conta de **administrador delegado**.
1. Selecione **Trusted Remediator** na lista de aplicativos.
1. Escolha o perfil de configuração **de otimização de custos**.
1. Selecione a bandeira de **volumes subutilizados do Amazon EBS.**
1. **Para o **modo de execução, selecione Manual**.**
1. Certifique-se de que os **manual-for-tagged-only**atributos **automated-for-tagged-only**e estejam em branco. Esses atributos são usados para substituir o modo de execução padrão para recursos com tags correspondentes.
Veja a seguir um exemplo da seção **Atributos** com valores em branco para **automated-for-tagged-only**e **manual-for-tagged-only**e **Manual** para o modo de **execução:**
![\[Um exemplo da seção Atributos.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-tutorial1.png)
1. Escolha **Salvar** para atualizar o valor e, em seguida, escolha **Salvar nova versão** para aplicar as alterações. Você deve escolher **Salvar nova versão** para que o Trusted Remediator reconheça a alteração.
1. Certifique-se de que seus volumes do Amazon EBS não tenham uma etiqueta com a chave`TR-DAvU99Dc4C-Execution-Mode`. Essa chave de tag substitui o modo de execução padrão desse volume do EBS.
## Corrija todos os recursos automaticamente, exceto os recursos selecionados
**Este exemplo configura a remediação automática para todos os volumes do Amazon EBS com o ID de Trusted Advisor verificação DAv U99Dc4C (volumes subutilizados do Amazon EBS), com exceção dos volumes especificados que não serão corrigidos (designados como inativos).**
**Configure a remediação automática para volumes do Amazon EBS com o ID de verificação DAv U99Dc4C, com exceção dos recursos inativos selecionados**
1. Abra o AWS AppConfig console em [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
Certifique-se de entrar como a conta de **administrador delegado**.
1. Selecione **Trusted Remediator** na lista de aplicativos.
1. Escolha o perfil de configuração **de otimização de custos**.
1. Selecione a bandeira de **volumes subutilizados do Amazon EBS.**
1. **Para o **modo de execução, selecione** Automatizado.**
1. Certifique-se de que os **manual-for-tagged-only**atributos **automated-for-tagged-only**e estejam em branco. Esses atributos são usados para substituir o modo de execução padrão para recursos com tags correspondentes.
Veja a seguir um exemplo da seção **Atributos** com valores em branco para **automated-for-tagged-only**e **manual-for-tagged-only**e **Automatizado** para o modo de **execução:**
![\[Um exemplo da seção Atributos.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-tutorial2.png)
1. Escolha **Salvar** para atualizar o valor e, em seguida, escolha **Salvar nova versão** para aplicar as alterações. Você deve escolher **Salvar nova versão** para que o Trusted Remediator reconheça a alteração.
Nesse momento, todos os volumes do Amazon EBS estão configurados para correção automática.
1. Substitua a remediação automática para volumes selecionados do Amazon EBS:
1. Abra o EC2 console da Amazon em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Escolha **Elastic Block Store**, **Volumes**.
1. Escolha **Tags**.
1. Selecione **Gerenciar tags**.
1. Adicione a seguinte tag:
+ **Chave: Modo de execução** TR- DAv U99Dc4C
+ **Valor:** Inativo
Veja a seguir um exemplo da seção **Tags** que mostra os campos **Chave** e **Valor**:
![\[Um exemplo da seção Atributos.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-tutorial-inactive.png)
1. Repita as etapas de 2 a 5 para todos os volumes do Amazon EBS que você deseja excluir da remediação.
## Corrija recursos marcados automaticamente
Este exemplo configura a remediação automática para todos os volumes do Amazon EBS com a tag `Stage=NonProd` com o ID de Trusted Advisor verificação DAv U99Dc4C (volumes subutilizados do Amazon EBS). Todos os outros recursos sem essa tag não são corrigidos.
**Configure a remediação automática para volumes do Amazon EBS com a tag `Stage=NonProd` para ID de verificação U99Dc4C DAv**
1. Abra o AWS AppConfig console em [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
Certifique-se de entrar como a conta de **administrador delegado**.
1. Selecione **Trusted Remediator** na lista de aplicativos.
1. Escolha o perfil de configuração **de otimização de custos**.
1. Selecione a bandeira de **volumes subutilizados do Amazon EBS.**
1. **Para o **modo de execução, selecione** Condicional.**
1. Defina **automated-for-tagged-only** como `Stage=NonProd` . Esse atributo substitui o padrão `execution-mode` para recursos com tags correspondentes. Certifique-se de que os **manual-for-tagged-only**atributos estejam em branco.
**Veja a seguir um exemplo da seção **Atributos **automated-for-tagged-only****definida como **Stage= NonProd** e **Condicional** para o modo de execução:**
![\[Um exemplo da seção Atributos.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-tutorial-conditional.png)
1. Opcionalmente, defina os parâmetros pré-configurados como um dos seguintes:
+ `CreateSnapshot=false`para não criar um snapshot do volume do Amazon EBS antes que ele seja excluído
+ `MinimumUnattachedDays=10`definir que o mínimo de dias não anexados do volume do Amazon EBS a ser excluído seja de 10 dias
+ `CreateSnapshot=false`, `MinimumUnattachedDays=10` para ambas as opções acima
1. Escolha **Salvar** para atualizar o valor e, em seguida, escolha **Salvar nova versão** para aplicar as alterações. Você deve escolher **Salvar nova versão** para que o Trusted Remediator reconheça a alteração.
1. Certifique-se de que seus volumes do Amazon EBS não tenham uma etiqueta com a chave`TR-DAvU99Dc4C-Execution-Mode`. Essa chave de tag substitui o modo de execução padrão desse volume do EBS.
# Trabalhe com remediações no Trusted Remediator
## Rastreie as remediações no Trusted Remediator
Para rastrear OpsItems as remediações, conclua as seguintes etapas:
1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Escolha **Gerenciamento de operações**, **OpsCenter**.
1. (Opcional) Filtre a lista por **Source=Trusted Remediator** para incluir somente Trusted OpsItems Remediator na lista.
Veja a seguir um exemplo da OpsCenter tela filtrada pelo **Source=Trusted** Remediator:
![\[Um exemplo da seção Atributos.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-opsitems-console.png)
**nota**
Além OpsItems de visualizar a partir do OpsCenter, você pode visualizar os registros de remediação no bucket do AMS S3. Para obter mais informações, consulte [Registros de remediação no Trusted Remediator](tr-logging.md).
## Execute correções manuais no Trusted Remediator
O Trusted Remediator cria OpsItems para verificações configuradas para remediação manual. Você deve revisar essas verificações e iniciar o processo de remediação manualmente.
Para corrigir manualmente o OpsItem, conclua as seguintes etapas:
1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Escolha **Gerenciamento de operações**, **OpsCenter**.
1. (Opcional) Filtre a lista por **Source=Trusted Remediator** para incluir somente Trusted OpsItems Remediator na lista.
1. Escolha o OpsItem que você deseja revisar.
1. Revise os dados operacionais do OpsItem. Os dados operacionais incluem os seguintes itens:
+ **trustedAdvisorCheckCategoria:** A categoria da ID do Trusted Advisor cheque. Por exemplo, tolerância a falhas
+ **trustedAdvisorCheckID:** O ID exclusivo do Trusted Advisor cheque.
+ **trustedAdvisorCheckMetadados:** os metadados do recurso, incluindo o ID do recurso.
+ **trustedAdvisorCheckNome:** O nome do Trusted Advisor cheque.
+ **trustedAdvisorCheckStatus:** O status da Trusted Advisor verificação detectada para o recurso.
1. Para corrigir manualmente o OpsItem, conclua as seguintes etapas:
1. Em **Runbooks**, escolha um dos runbooks associados (documentos SSM).
1. Clique em **Executar**.
1. Para **AutomationAssumeRole **, escolha ` arn:aws:iam::Conta da AWS ID:role/ams_ssm_automation_role`. Substitua o Conta da AWS ID pelo ID da conta em que a correção é executada. Para outros valores de parâmetros, consulte os **dados da operação**.
Para corrigir recursos manualmente, a função ou o usuário usado para se autenticar no Conta da AWS deve ter `iam:PassRole` as permissões para a função do IAM. `ams-ssm-automation-role` Para obter mais informações, consulte [Conceder permissões a um usuário para passar uma função para um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) ou entrar em contato com seu Cloud Architect.
1. Clique em **Executar**.
1. Monitore o progresso da execução do documento SSM na coluna **Status e resultados mais recentes**.
1. Depois que o documento for concluído, escolha **Definir status**, **Resolvido** para resolver manualmente o. OpsItem Se o documento falhar, revise os detalhes e execute novamente o. SSMdocument Para obter suporte adicional para solução de problemas, crie uma solicitação de serviço.
Para resolver um problema OpsItem sem remediação, selecione **Definir status como** **Resolvido**.
1. Repita as etapas 3 e 4 para todas as correções manuais restantes. OpsItems
## Solucionar problemas de remediações no Trusted Remediator
Para obter ajuda com correções manuais e falhas de remediação, entre em contato com a AMS.
Para ver o status e os resultados da remediação, conclua as seguintes etapas:
1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Escolha **Gerenciamento de operações**, **OpsCenter**.
1. (Opcional) Filtre a lista por **Source=Trusted Remediator** para incluir somente Trusted OpsItems Remediator na lista.
1. Escolha o OpsItem que você deseja revisar.
1. Na seção **Execuções de automação**, revise o **nome e o status do documento** **e os resultados**.
1. Analise as seguintes falhas comuns de automação. Se seus problemas não estiverem listados aqui, entre em contato com seu CSDM para obter ajuda.
**Erros comuns de remediação**
### Nenhuma execução está listada em Execuções de automação
Nenhuma execução associada ao OpsItem pode indicar que a execução falhou ao iniciar devido a valores de parâmetros incorretos.
**Etapas de solução de problemas**
1. Nos **dados operacionais**, revise o valor da `trustedAdvisorCheckAutoRemediation` propriedade.
1. Verifique se os valores **DocumentName**e **dos parâmetros** estão corretos. Para obter os valores corretos, consulte [Configurar Trusted Advisor a correção de cheques no Trusted Remediator](tr-configure-remediations.md) os detalhes sobre como configurar os parâmetros do SSM. Para analisar os parâmetros de verificação compatíveis, consulte [Trusted Advisor verificações suportadas pelo Trusted Remediator](tr-supported-checks.md)
1. Verifique se os valores no documento SSM correspondem aos padrões permitidos. Para visualizar os detalhes dos parâmetros no conteúdo do documento, selecione o nome do documento na seção **Runbooks**.
1. Depois de revisar e corrigir os parâmetros, [execute manualmente o documento SSM novamente.](#tr-remediation)
1. Para evitar que esse erro ocorra novamente, certifique-se de configurar a correção com os valores de **parâmetros** corretos em sua configuração. Para obter mais informações, consulte [Configurar Trusted Advisor a correção de cheques no Trusted Remediator](tr-configure-remediations.md).
### Execuções com falha em execuções de automação
Os documentos de remediação contêm várias etapas que interagem com a Serviços da AWS execução de várias ações. APIs Para identificar uma causa específica para a falha, conclua as seguintes etapas:
**Etapas de solução de problemas**
1. Para visualizar as etapas de execução individuais, escolha o link **ID de execução** na seção **Execuções de automação**. Veja a seguir um exemplo do console do Systems Manager mostrando as **etapas de execução** de uma automação selecionada:
![\[Um exemplo do console do Systems Manager mostrando uma automação selecionada.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-troubleshooting.png)
1. Escolha a etapa com o status **Falha**. Veja a seguir exemplos de mensagens de erro:
+ `NoSuchBucket - An error occurred (NoSuchBucket) when calling the GetPublicAccessBlock operation: The specified bucket does not exist`
Esse erro indica que o nome incorreto do bucket foi especificado nos parâmetros pré-configurados da configuração de remediação.
Para resolver esse erro, [execute manualmente a automação](#tr-remediation) usando o nome correto do bucket. Para evitar que esse problema ocorra novamente, [atualize a configuração de remediação](tr-configure-remediations.md) com o nome correto do bucket.
+ `DB instance my-db-instance-1 is not in available status for modification.`
Esse erro indica que a automação não pôde fazer as alterações esperadas porque a instância de banco de dados estava em um estado inválido.
Para resolver esse erro, [execute manualmente a automação](#tr-remediation).
# Registros de remediação no Trusted Remediator
O Trusted Remediator cria registros no formato JSON e os carrega no Amazon Simple Storage Service. Os arquivos de log são enviados para um bucket do S3 criado pelo AMS e nomeado. `ams-trusted-remediator-{your-account-id}-logs` O AMS cria o bucket do S3 na conta do administrador delegado. Você pode importar os arquivos de log QuickSight para gerar relatórios de remediação personalizados.
Para obter mais informações, consulte [Integração do Trusted Remediator com QuickSight](tr-qs-integration.md).
## Registro de itens de remediação
O Trusted Remediator cria o `Remediation item log` quando uma remediação OpsItem é criada. Esse registro contém remediação manual OpsItem e remediação automatizada. OpsItem Você pode usar o `Remediation item log` para acompanhar a visão geral de todas as remediações.
**Localização do log do item de remediação para recomendações do Compute Optimizer**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/compute_optimizer_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**Localização do registro do item de remediação para verificações Trusted Advisor **
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**URL do arquivo de amostra de registro do item de remediação**
`s3:///ams-trusted-remediator-111122223333-logs/remediation_items/2023-02-06/1675660464-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Formato de registro de itens de remediação do Compute Optimizer**
```
{
"AccountID": "Account_ID",
"ComputeOptimizerCheckID": "Compute Optimizer check ID",
"ComputeOptimizerCheckName": "Compute Optimizer check name",
"ResourceID": "Resource ID",
"RemediationTime": Remediation creation time,
"ExecutionMode": "Automated or Manual",
"OpsItemID": "OpsItem ID"
}
```
**Trusted Advisor Formato de registro do item de remediação**
```
{
"TrustedAdvisorCheckID": Trusted Advisor check ID,
"TrustedAdvisorCheckName": Trusted Advisor check name,
"TrustedAdvisorCheckResultTime": 10 digits epoch time or unix timestamp,
"ResourceID": Resource ID,
"RemediationTime": Remediation creation time,
"ExecutionMode": Automated or Manual,
"OpsItemID": OpsItem ID
}
```
**Conteúdo de amostra do formato de registro do item de remediação do Compute Optimizer**
```
{
"AccountID": "123456789012",
"ComputeOptimizerCheckID": "compute-optimizer-ebs",
"ComputeOptimizerCheckName": "EBS volumes",
"ResourceID": "vol-1235589366f77aca7",
"RemediationTime": 1755044783,
"ExecutionMode": "Manual",
"OpsItemID": "oi-b8888b38fe78"
}
```
**Trusted Advisor Exemplo de conteúdo do formato de registro do item de remediação**
```
{
"TrustedAdvisorCheckID": "DAvU99Dc4C",
"TrustedAdvisorCheckName": "Underutilized Amazon EBS Volumes",
"TrustedAdvisorCheckResultTime": 1675614749,
"ResourceID": "vol-00bd8965660b4c16d",
"RemediationTime": 1675660464,
"OpsItemID": "oi-cca5df7af718"
}
```
## Registro de execução de remediação automatizado, Compute Optimizer e Trusted Advisor
O Trusted Remediator cria o `Automated remediation execution log` quando uma execução automatizada de documentos SSM é concluída. Esse registro contém detalhes da execução do SSM somente para remediação OpsItem automatizada. Você pode usar esse arquivo de log para rastrear remediações automatizadas.
**Compute Optimizer Localização automatizada do registro de remediação**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer recommendation ID.json`
**Trusted Advisor Localização automatizada do registro de remediação**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID-Resource ID.json`
**Exemplo de localização do log de remediação automatizado do Compute Optimizer**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/1750908858-123456789012-compute-optimizer-ec2-i-1235173471d2cd789.json`
**Trusted Advisor Exemplo de localização automatizada do registro de remediação**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2023-02-06/1675660573-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Exemplo de conteúdo do formato de registro de remediação automatizado**
```
{
"OpsItemID": "oi-767c77e05301",
"SSMExecutionID": "93d091b2-778a-4cbc-b672-006954d76b86",
"SSMExecutionStatus": "Success"}
```
## Registro de contas de membros
O Trusted Remediator cria o `Member accounts log` quando sua conta está integrada ou desembarcada. Você pode usar o `Member accounts log` para encontrar o ID da conta, a integração Regiões da AWS e o tempo de execução de cada conta de membro.
**Localização do registro das contas dos membros**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/configuration_logs/member_accounts.json`
**URL do arquivo de amostra de registro de contas de membros**
`s3://ams-trusted-remediator-111122223333-logs/configuration_logs/member_accounts.json`
**Formato de registro de contas de membros**
```
{
"delegated_administrator_account_id": Delegated Administrator account id,
"appconfig_configuration_region": Trusted Remediator AppConfig Region,
"member_accounts": [
{
"account_id": Member account id
"account_partition": Member account partition (for example, aws),
"regions": [
{
"execution_time": Remediation execution time in cron schedule expression,
"execution_timezone": Timezone for the remediation execution time,
"region_name": Região da AWS name
}
...
]
}
...
],
"updated_at": Log update time,
}
```
**Exemplo de conteúdo do formato de registro de contas de membros**
```
{
"delegated_administrator_account_id": "111122223333",
"appconfig_configuration_region": "ap-southeast-2",
"member_accounts": [
{
"account_id": "222233334444",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 9 * * 6",
"execution_timezone": "Australia/Sydney",
"region_name": "ap-southeast-2"
},
{
"execution_time": "0 5 * * 7",
"execution_timezone": "UTC",
"region_name": "us-east-1"
}
]
},
{
"account_id": "333344445555",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 1 * * 5",
"execution_timezone": "Asia/Seoul",
"region_name": "ap-northeast-2"
}
]
}
],
"updated_at": "1730869607"
}
```
# Integração do Trusted Remediator com QuickSight
Você pode integrar os registros do Trusted Remediator armazenados no Amazon S3 para criar um relatório QuickSight de remediação personalizado. QuickSight a integração é opcional. Esse recurso permite que você use os registros para criar painéis de relatórios personalizados. Para obter relatórios sob solicitação para o Trusted Remediator, entre em contato com seu CSDM. Para obter mais informações sobre os relatórios disponíveis do Trusted Remediator, consulte[Relatórios do Trusted Remediator](trusted-remediator-reports.md).
Para obter mais informações sobre como visualizar dados em QuickSight, consulte [Visualizando dados](https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html) em. QuickSight
## Adicionar um conjunto de dados ao registro QuickSight do item de remediação
Para adicionar um conjunto de dados ao registro QuickSight de itens de remediação, siga estas etapas:
1. Faça login no QuickSight console. Você pode criar o QuickSight relatório em qualquer um Região da AWS que QuickSight suporte. No entanto, para melhorar o desempenho e reduzir os custos, é uma prática recomendada criar o relatório na região em que o bucket de registro do Trusted Remediator está localizado.
1. Escolha **Conjuntos de dados**.
1. Selecione **S3**.
1. Na **nova fonte de dados do S3**, insira os seguintes valores:
+ **Nome da fonte de dados:**` trusted-remediator-delegated_administrator_account_id-account_region-remediation-items`.
+ **Faça upload de um arquivo de manifesto:** crie um arquivo JSON com o conteúdo a seguir e use-o. Ao criar o arquivo, `logging_bucket_name` substitua a URIPrefixes chave.
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_items/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ Selecione **Conectar**.
+ Na janela **Concluir criação do conjunto** de dados, escolha **Visualizar**.
+ QuickSight abre a nova página da planilha de análise. Agora você está pronto para criar uma nova análise usando o registro de itens de remediação.
A seguir está uma análise de amostra:
![\[Uma planilha de análise de amostra.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-sample-analysis.png)
## Adicione um conjunto de dados ao registro QuickSight de execução de remediação automatizada
1. Faça login no QuickSight console. Você pode criar o QuickSight relatório em qualquer um Região da AWS que QuickSight suporte. No entanto, para melhorar o desempenho e reduzir os custos, é uma prática recomendada criar o relatório na região em que o bucket de registro do Trusted Remediator está localizado.
1. Escolha **Conjuntos de dados**.
1. Selecione **S3**.
1. Na **nova fonte de dados do S3**, insira os seguintes valores:
+ **Nome da fonte de dados:**`trusted-remediator-delegated_administrator_account_id-account_region-remediation-executions`.
+ **Faça upload de um arquivo de manifesto:** crie um arquivo JSON com o conteúdo a seguir e use esse arquivo. Ao criar o arquivo, `logging_bucket_name` substitua a URIPrefixes chave.
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_executions/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ Selecione **Conectar**.
+ Na janela **Concluir criação do conjunto** de dados, escolha **Visualizar**.
+ QuickSight abre a nova página da planilha de análise. Agora você está pronto para criar uma nova análise usando o registro de itens de remediação.
A seguir está uma análise de amostra:
![\[Uma planilha de análise de amostra.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-sample-analysis2.png)
# Melhores práticas no Trusted Remediator
A seguir estão as melhores práticas para ajudá-lo a usar o Trusted Remediator:
+ Se você não tiver certeza sobre os resultados da correção, comece com o modo de execução manual. Às vezes, aplicar a execução automatizada para remediações desde o início pode causar resultados inesperados.
+ Faça uma análise semanal das remediações e obtenha informações sobre OpsItems os resultados do Trusted Remediator.
+ As contas dos membros herdam as configurações da conta do administrador delegado. Portanto, é importante estruturar as contas de uma forma que ajude você a gerenciar várias contas com as mesmas configurações. Você pode isentar recursos da configuração padrão usando tags.
# Remediador confiável FAQs
A seguir estão as perguntas mais frequentes sobre o Trusted Remediator:
## O que é Trusted Remediator e como ele me beneficia?
Quando uma não conformidade é identificada Trusted Advisor ou uma recomendação é emitida pelo Compute Optimizer, o Trusted Remediator responde de acordo com suas preferências especificadas, seja aplicando correções, buscando aprovação por meio de correções manuais ou relatando as correções durante sua próxima Análise Empresarial Mensal (MBR). A remediação acontece no horário ou no cronograma de remediação de sua preferência. O Trusted Remediator oferece a capacidade de autoatendimento e de Trusted Advisor realizar verificações com a flexibilidade de configurar e corrigir verificações individualmente ou em massa. Com uma biblioteca de documentos de remediação testados, o AMS constantemente aumenta suas contas aplicando verificações de segurança e seguindo as AWS melhores práticas. Você só será notificado se especificar isso em sua configuração. Os usuários do AMS podem optar pelo Trusted Remediator sem custo adicional.
## Como o Trusted Remediator se relaciona e trabalha com outros Serviços da AWS?
Você tem acesso a Trusted Advisor verificações e recomendações do Compute Optimizer como parte do seu plano atual de Enterprise Support. O Trusted Remediator se integra ao Trusted Advisor Compute Optimizer para aproveitar os recursos existentes de automação do AMS. Especificamente, o AMS usa documentos de AWS Systems Manager automação (runbooks) para remediações automatizadas. AWS AppConfig é usado para configurar os fluxos de trabalho de remediação. Você pode ver todas as remediações atuais e passadas por meio do Systems Manager OpsCenter. Os registros de remediação são armazenados em um bucket do Amazon S3. Você pode usar os registros para importar e criar painéis de relatórios personalizados no QuickSight.
## Quem configura as remediações?
Você é o proprietário das configurações da sua conta. Gerenciar suas configurações é de sua responsabilidade. Você pode entrar em contato com sua CA ou CDSM para obter ajuda no gerenciamento de suas configurações. Você também pode entrar em contato com o AMS por meio de uma solicitação de serviço para suporte de configuração, correções manuais e solução de problemas de falhas de correção.
## Como faço para instalar documentos de automação SSM?
Os documentos de automação do SSM são compartilhados automaticamente com contas AMS integradas.
## Os recursos de propriedade da AMS também serão corrigidos?
Os recursos de propriedade da AMS não são sinalizados pelo Trusted Remediator. O Trusted Remediator se concentra apenas em seus recursos.
## Em Regiões da AWS que o Trusted Remediator está disponível e quem pode usá-lo?
O Trusted Remediator está disponível para clientes do AMS Accelerate. Para obter uma lista atual das regiões de suporte, consulte [Serviços da AWS por região](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
## O Trusted Remediator causará desvio de recursos?
Como os documentos de automação do SSM atualizam diretamente os recursos por meio da AWS API, pode ocorrer desvio de recursos. Você pode usar tags para segregar recursos criados por meio de seus pacotes existentes CI/CD . Você pode configurar o Trusted Remediator para ignorar os recursos marcados e, ao mesmo tempo, remediar seus outros recursos.
## Como faço para pausar ou parar o Trusted Remediator?
Você pode desativar o Trusted Remediator por meio do AWS AppConfig aplicativo. Para pausar ou interromper o Trusted Remediator, conclua as seguintes etapas:
1. Abra o AWS AppConfig console em [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).
1. Selecione Trusted Remediator.
1. Escolha **Configurações** no perfil de configuração.
1. Selecione o indicador **Suspender Trusted Remediator**.
1. Defina o valor do `suspended` atributo como. `true`
**nota**
Tenha cuidado ao usar esse procedimento, pois isso interrompe o Trusted Remediator para todas as contas vinculadas à conta do administrador delegado.
## Como posso corrigir verificações que não são suportadas pelo Trusted Remediator?
Você pode continuar entrando em contato com o AMS por meio do Operations On Demand (OOD) para verificar verificações não suportadas. O AMS ajuda você a corrigir essas verificações. Para obter mais informações, consulte [Operations On Demand](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html).
## Como o Trusted Remediator é diferente da AWS Config remediação?
AWS Config A remediação é outra solução que ajuda você a otimizar os recursos da nuvem e manter a conformidade com as melhores práticas. A seguir estão algumas das diferenças operacionais entre as duas soluções:
+ O Trusted Remediator usa Trusted Advisor o Compute Optimizer como mecanismos de detecção. AWS Config A remediação usa AWS Config regras como mecanismo de detecção.
+ Para o Trusted Remediator, a remediação acontece de acordo com seu cronograma de remediação predefinido. Em AWS Config, a remediação acontece em tempo real.
+ Os parâmetros para cada remediação no Trusted Remediator são facilmente personalizáveis com base em seu caso de uso, e a correção pode ser automatizada ou feita manualmente adicionando tags aos recursos.
+ O Trusted Remediator fornece funcionalidade de geração de relatórios.
+ O Trusted Remediator envia uma notificação por e-mail com a lista de remediação e o status da remediação.
Algumas Trusted Advisor verificações e recomendações do Compute Optimizer podem ter a mesma regra em. AWS ConfigÉ uma prática recomendada habilitar somente uma correção se houver uma AWS Config regra e Trusted Advisor verificação correspondentes. Para obter informações sobre AWS Config as regras para cada Trusted Advisor verificação, consulte[Trusted Advisor verificações suportadas pelo Trusted Remediator](tr-supported-checks.md).
## Quais recursos o Trusted Remediator implanta em suas contas?
O Trusted Remediator implanta os seguintes recursos na conta de administrador delegado do Trusted Remediator:
+ Um bucket do Amazon S3 nomeado `ams-trusted-remediator-{your-account-id}-logs`. O Trusted Remediator cria o formato JSON quando uma remediação OpsItem é criada e carrega os arquivos de log `Remediation item log` nesse bucket.
+ Um AWS AppConfig aplicativo para manter as configurações de remediação para Trusted Advisor verificações suportadas e recomendações do Compute Optimizer.
O Trusted Remediator não implanta recursos na conta de membro do Trusted Remediator.