As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Remediador confiável no AMS
<a name="trusted-remediator"></a>

O Trusted Remediator é uma solução do AWS Managed Services que automatiza a remediação e as recomendações. [AWS Trusted Advisor[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) O Trusted Remediator cria recomendações quando Trusted Advisor e o Compute Optimizer indicam oportunidades para você reduzir custos, melhorar a disponibilidade do sistema, otimizar o desempenho ou fechar lacunas de segurança. Contas da AWS Com o Trusted Remediator, você pode abordar essas recomendações de segurança, desempenho, otimização de custos, tolerância a falhas e limite de serviço de uma forma segura e padronizada que usa as melhores práticas estabelecidas. O Trusted Remediator permite que você configure uma solução de remediação e seja executada automaticamente de acordo com um cronograma criado por você, simplificando o processo de remediação. Essa abordagem simplificada aborda os problemas de forma consistente, eficiente e sem intervenção manual.

## Principais benefícios do Trusted Remediator
<a name="tr-key-features"></a>

A seguir estão os principais benefícios do Trusted Remediator:
+ **Segurança, desempenho e otimização de custos aprimorados:** o Trusted Remediator ajuda você a aprimorar a postura geral de segurança de suas contas, otimizar a utilização de recursos e reduzir os custos operacionais.
+ **Configuração e configuração de autoatendimento:** você pode configurar o Trusted Remediator de acordo com seus requisitos e preferências.
+ ** Trusted Advisor Verificações automatizadas e correção de AWS Compute Optimizer recomendações: após a** configuração, o Trusted Remediator executa automaticamente as ações de remediação para as verificações selecionadas. Essa automação elimina a necessidade de intervenção manual.
+ **Implementação das melhores práticas:** as ações de remediação são baseadas nas melhores práticas estabelecidas, portanto, os problemas são tratados de forma padronizada e eficaz.
+ **Execução programada:** você pode escolher o cronograma de remediação que se alinha aos seus fluxos de trabalho day-to-day operacionais.

O Trusted Remediator permite que você resolva proativamente os problemas identificados em seus AWS ambientes, ajudando você a aderir às melhores práticas e a manter uma infraestrutura de nuvem segura, de alto desempenho e econômica.

## Como funciona o Trusted Remediator
<a name="tr-how-it-works"></a>

A seguir está uma ilustração do fluxo de trabalho do Trusted Remediator:

![\[Uma ilustração do fluxo de trabalho do Trusted Remediator.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/trusted-remediator-workflow.png)


O Trusted Remediator avalia as recomendações Trusted Advisor e o Compute Optimizer para você e cria em. Contas da AWS AWS Systems Manager [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html) OpsCenter Em seguida, você pode usar os documentos de automação do Trusted Remediator para corrigir o problema de OpsItems forma automática ou manual. A seguir estão os detalhes de cada tipo de remediação:
+ **Remediação automatizada:** o Trusted Remediator executa o documento de automação e monitora a execução. Após a conclusão do documento de automação, o Trusted Remediator resolve o Opsitem.
+ **Remediação manual:** o Trusted Remediator cria o OpsItem para você revisar. Depois de revisar, você inicia o documento de automação.

Os registros de remediação são armazenados em um bucket do Amazon S3. Você pode usar os dados no bucket do S3 para criar QuickSight painéis personalizados para relatórios. O AMS também fornece relatórios mediante solicitação para o Trusted Remediator. Para receber esses relatórios, entre em contato com seu CSDM. Para obter mais informações, consulte [Relatórios do Trusted Remediator](trusted-remediator-reports.md).

## Termos-chave para Trusted Remediator
<a name="tr-key-terms"></a>

A seguir estão os termos que são úteis para conhecer quando você usa o Trusted Remediator no AMS:
+ **AWS Trusted Advisor e AWS Compute Optimizer:** Serviços de otimização de nuvem fornecidos pela AWS. Trusted Advisor e o Compute Optimizer inspecionam AWS seu ambiente e fornecem recomendações com base nas melhores práticas nas seis categorias a seguir:
  + Otimização de custo
  + Desempenho
  + Segurança
  + Tolerância a falhas
  + Excelência operacional
  + Limites do serviço

  Para obter mais informações, consulte [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) e [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/).
+ **Trusted Remediator:** uma solução de remediação do AMS para [Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)verificações e [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)recomendações. O Trusted Remediator ajuda você a corrigir com segurança as Trusted Advisor verificações e as recomendações do Compute Optimizer com as melhores práticas conhecidas para melhorar a segurança, o desempenho e reduzir custos. O Trusted Remediator é fácil de instalar e configurar. Você configura uma vez e o Trusted Remediator executa as correções de acordo com sua programação preferida (diária ou semanal).
+ **AWS Systems Manager Documento SSM:** um arquivo JSON ou YAML que define as ações que são AWS Systems Manager executadas em seus recursos. AWS O documento SSM serve como uma especificação declarativa para automatizar tarefas operacionais em vários AWS recursos e instâncias.
+ **AWS Systems Manager OpsCenter OpsItem:** um recurso de gerenciamento de problemas operacionais na nuvem que ajuda você a rastrear e resolver problemas operacionais em seu AWS ambiente. OpsItems forneça uma visão centralizada e um sistema de gerenciamento para dados operacionais e problemas em todos Serviços da AWS os recursos. Cada um OpsItem representa um problema operacional, como um potencial risco de segurança, um problema de desempenho ou um incidente operacional.
+ **Configuração:** Uma configuração é um conjunto de atributos armazenados em [AWS AppConfig, uma capacidade de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/appconfig.html). O aplicativo Trusted Remediator AWS AppConfig ajuda a configurar remediações no nível da conta. Você pode usar o AWS AppConfig console ou a API para editar as configurações.
+ **Modo de execução:** o modo de execução é um atributo de configuração que determina como executar a correção para cada resultado da Trusted Advisor verificação. Há quatro modos de execução suportados: **automatizado**, **manual**, **condicional** e **inativo**.
+ **Substituição de recursos:** esse recurso usa tags de recursos para substituir uma configuração para recursos específicos.
+ **Registro do item de remediação:** um arquivo de log no bucket de log de remediação do Trusted Remediator S3. O registro do item de remediação é criado quando a remediação OpsItems é criada. Esse arquivo de log contém remediação de execução manual OpsItems e remediação de execução automatizada. OpsItems Use esse arquivo de log para rastrear todos os itens de remediação.
+ **Registro de execução de remediação automatizada:** um arquivo de log no bucket de log de remediação do Trusted Remediator S3. O registro automatizado de execução de remediação é criado quando a execução automatizada de um documento SSM é concluída. Esse registro contém detalhes da execução do SSM para remediação OpsItems automática da execução. Use esse arquivo de log para rastrear remediações automatizadas.

# Comece a usar o Trusted Remediator no AMS
<a name="tr-gs"></a>

O Trusted Remediator está disponível no AMS sem custo adicional. O Trusted Remediator oferece suporte a configurações de conta única e de várias contas.

## Integrado ao Trusted Remediator
<a name="tr-gs-onboard-"></a>

Para integrar suas contas do AMS ao Trusted Remediator, envie um e-mail para seus arquitetos de nuvem ou gerentes de entrega de serviços em nuvem ()CSDMs. No e-mail, inclua as seguintes informações:
+ **Contas da AWS:** O número de identificação da conta de doze dígitos. Todas as contas que você deseja integrar ao Trusted Remediator devem pertencer ao mesmo cliente do Accelerate.
  + **Conta de administrador delegado:** a conta que é usada para verificar a configuração Trusted Advisor de uma ou várias contas do Compute Optimizer.
  + **Contas de membros:** são as contas vinculadas à conta de administrador delegado. Essas contas herdam as configurações da conta de administrador delegado. Você pode ter uma conta de membro ou várias contas de membros.
**nota**  
As contas dos membros herdam as configurações da conta do administrador delegado. Se você precisar de configurações diferentes para contas específicas, integre várias contas de administrador delegado com suas configurações preferidas. Planeje a estrutura da conta e as configurações com seus arquitetos de nuvem antes de embarcar.
+ **Regiões da AWS:** Regiões da AWS Onde seus recursos estão localizados. Para obter uma lista de Regiões da AWS, consulte [Serviços da AWS por região](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
+ **Cronograma e horário de remediação:** seu cronograma de remediação preferido (diário ou semanal). O Trusted Remediator reúne as Trusted Advisor verificações e inicia a remediação no horário programado. Por exemplo, você pode definir o cronograma de remediação para 1h da manhã de domingo de cada semana, horário padrão do leste da Austrália.
+ **E-mail de notificação:** o Trusted Remediator usa o e-mail de notificação para notificá-lo diariamente se houver remediações. O assunto do e-mail de notificação é “Resumo da remediação do Trusted Remediator” e o conteúdo fornece informações sobre as remediações do Trusted Remediator executadas nas últimas 24 horas.
**nota**  
Analise seus aplicativos e recursos após cada remediação programada. Para obter suporte adicional, entre em contato com a AMS.

Depois de enviar sua solicitação de integração com os detalhes necessários para sua CA ou CSDM, o AMS integra suas contas ao Trusted Remediator. O Trusted Remediator usa AWS AppConfig um recurso de AWS Systems Manager, para definir a configuração das Trusted Advisor verificações. Essas configurações são um conjunto de atributos armazenados em AWS AppConfig. Para evitar cobranças não autorizadas em seus recursos, todas as Trusted Advisor verificações suportadas são definidas como **Inativas** quando as contas são integradas ao Trusted Remediator. Depois da integração, você pode usar o AWS AppConfig console ou a API para gerenciar as configurações. Essas configurações ajudam você a corrigir automaticamente Trusted Advisor verificações específicas ou a avaliar e corrigir manualmente as verificações restantes. As configurações são altamente personalizáveis, permitindo que você aplique configurações para cada verificação. Trusted Advisor Para obter mais informações, consulte [Configurar Trusted Advisor a correção de cheques no Trusted Remediator](tr-configure-remediations.md).

## Escolha as verificações e recomendações a serem corrigidas
<a name="tr-gs-choose-checks"></a>

Por padrão, o modo de execução de remediação é **inativo** para todas as Trusted Advisor verificações e recomendações do Compute Optimizer em sua configuração. Isso evita a remediação não autorizada e protege os recursos. O AMS fornece documentos de automação SSM selecionados para remediação de Trusted Advisor cheques.

Para selecionar as verificações que você deseja corrigir com o Trusted Remediator, conclua as seguintes etapas:

1. Analise a lista de [recomendações suportadas Trusted Advisor e do [Compute Optimizer](tr-supported-recommendations-co.md) ou o nome dos documentos de automação SSM associados](tr-supported-checks.md) para decidir quais verificações e recomendações você deseja corrigir com o Trusted Remediator.

1. Atualize sua configuração para ativar a correção para as Trusted Advisor verificações selecionadas. Para obter instruções sobre como selecionar cheques, consulte[Configurar Trusted Advisor a correção de cheques no Trusted Remediator](tr-configure-remediations.md).

## Acompanhe suas remediações no Trusted Remediator
<a name="tr-gs-track-remediation"></a>

Depois de atualizar sua configuração em nível de conta, o Trusted Remediator cria OpsItems para cada remediação. O Trusted Remediator executa o documento SSM para remediação automatizada de OpsItems acordo com seu cronograma de remediação. Para obter instruções sobre como visualizar todas as correções no OpsCenter console OpsItems do Systems Manager, consulte[Rastreie as remediações no Trusted Remediator](tr-remediation.md#tr-remediation-track).

## Execute correções manuais no Trusted Remediator
<a name="tr-gs-manual-remediation"></a>

Você pode corrigir manualmente as Trusted Advisor verificações. Quando você inicia uma remediação manual, o Trusted Remediator cria uma execução manual. OpsItem Você deve revisar e iniciar o documento de automação do SSM para corrigir o. OpsItems Para obter mais informações, consulte [Execute correções manuais no Trusted Remediator](tr-remediation.md#tr-remediation-run).

# Recomendações do Compute Optimizer suportadas pelo Trusted Remediator
<a name="tr-supported-recommendations-co"></a>

A tabela a seguir lista as recomendações suportadas do Compute Optimizer, os documentos de automação do SSM, os parâmetros pré-configurados e o resultado esperado dos documentos de automação. Analise o resultado esperado para ajudá-lo a entender os possíveis riscos com base nos requisitos de sua empresa antes de habilitar um documento de automação de SSM para remediação de cheques.

Certifique-se de que a regra de configuração correspondente para cada verificação do Compute Optimizer esteja presente nas verificações suportadas para as quais você deseja habilitar a correção. Para obter mais informações, consulte [Aceitar AWS Compute OptimizerTrusted Advisor cheques](https://docs.aws.amazon.com/awssupport/latest/user/compute-optimizer-with-trusted-advisor.html). 


| Opção de otimização | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados | 
| --- | --- | --- | 
| Redimensionamento | 
| [Recomendações de EC2 instâncias da Amazon](https://aws.amazon.com/compute-optimizer/faqs/#topic-4) | **AWSManagedServices-TrustedRemediatorResizeInstanceByComputeOptimizerRecommendation** Tipo de EC2 instância da Amazon atualizado de acordo com as recomendações do Compute Optimizer. As opções mais ideais são escolhidas mantendo os mesmos parâmetros da plataforma (arquitetura, hipervisor, interface de rede, tipo de virtualização etc.), se a opção existir. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) | 
| [Recomendações de volume do Amazon EBS](https://aws.amazon.com/compute-optimizer/faqs/#topic-6) | **AWSManagedServices-ModifyEBSVolume**  O volume do Amazon EBS é modificado de acordo com as recomendações do Compute Optimizer. A modificação pode incluir tipo de volume, tamanho, IOPS, geração de volume (gp2, gp3 etc.). | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) | 
| [Recomendações da função Lambda](https://aws.amazon.com/compute-optimizer/faqs/#topic-7) | **AWSManagedServices-TrustedRemediatorOptimizeLambdaMemory** AWS Lambda memória de função otimizada de acordo com as recomendações do Compute Optimizer. | **RecommendedMemorySize **: tamanho de memória personalizado, se diferente das opções recomendadas. Sem restrições | 
| Recursos ociosos | 
| [Volume inativo do Amazon EBS](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-DeleteUnusedEBSVolume** O volume Amazon EBS não anexado será excluído. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) | 
| [Instância inativa da Amazon EC2 ](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopEC2 instâncias** A EC2 instância inativa da Amazon será interrompida. | **ForceStopWithInstanceStore**: para forçar a interrupção de instâncias usando o armazenamento de instâncias, defina como “Verdadeiro”. Para não forçar a parada, defina como 'False'. O valor padrão 'False' impede que a instância pare. Sem restrições | 
| [Instância inativa do Amazon RDS](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopIdleRDSInstance** Pare uma instância inativa do Amazon RDS. Os mecanismos suportados são: MariaDB, Microsoft SQL Server, MySQL, Oracle, PostgreSQL. Este documento não se aplica ao Aurora MySQL e ao Aurora PostgreSQL. A instância será interrompida por até 7 dias e reiniciada automaticamente. | Não são permitidos parâmetros pré-configurados. Sem restrições | 

# Trusted Advisor verificações suportadas pelo Trusted Remediator
<a name="tr-supported-checks"></a>

A tabela a seguir lista as Trusted Advisor verificações suportadas, os documentos de automação do SSM, os parâmetros pré-configurados e o resultado esperado dos documentos de automação. Analise o resultado esperado para ajudá-lo a entender os possíveis riscos com base nos requisitos de sua empresa antes de habilitar um documento de automação de SSM para remediação de cheques.

Certifique-se de que a regra de configuração correspondente para cada Trusted Advisor verificação esteja presente para as verificações suportadas para as quais você deseja habilitar a correção. Para obter mais informações, consulte [Exibir AWS Trusted Advisor verificações fornecidas por AWS Config](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html). Se uma verificação tiver AWS Security Hub CSPM controles correspondentes, verifique se o controle do Security Hub está ativado. Para obter mais informações, consulte [Habilitando controles no Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html). Para obter informações sobre o gerenciamento de parâmetros pré-configurados, consulte [Configure Trusted Advisor check remediation no Trusted](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html) Remediator.

## Trusted Advisor verificações de otimização de custos suportadas pelo Trusted Remediator
<a name="tr-supported-checks-cost-op"></a>


| Verifique o ID e o nome | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados | 
| --- | --- | --- | 
| [Z4 AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses) Endereços de IP elástico não associados | **AWSManagedServices-TrustedRemediatorReleaseElasticIP** Libera um endereço IP elástico que não está associado a nenhum recurso. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c18d2gz150](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days) - Instâncias da Amazon paradas EC2  | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime** - EC2 As instâncias da Amazon interrompidas por vários dias são encerradas. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições | 
| [c18d2gz128](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy) Repositório do Amazon ECR sem política de ciclo de vida configurada | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy** Cria uma política de ciclo de vida para o repositório especificado se uma política de ciclo de vida ainda não existir. | **ImageAgeLimit:** O limite máximo de idade em dias (1-365) para “qualquer” imagem no repositório Amazon ECR. Sem restrições | 
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes) Volumes subutilizados do Amazon EBS | **AWSManagedServices-DeleteUnusedEBSVolume** Exclui volumes subutilizados do Amazon EBS se os volumes estiverem desvinculados nos últimos 7 dias. Um snapshot do Amazon EBS é criado por padrão. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições | 
| [oi M8 LMh88u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers) Balanceadores de carga obsoletos | **AWSManagedServices-DeleteIdleClassicLoadBalancer** Exclui um Classic Load Balancer ocioso se ele não for usado e nenhuma instância estiver registrada. | **IdleLoadBalancerDays:** o número de dias em que o Classic Load Balancer tem 0 conexões solicitadas antes de considerá-lo ocioso. O padrão é sete dias. Se a execução automática estiver ativada, a automação excluirá os Classic Load Balancers ociosos se não houver instâncias de back-end ativas. Para todos os Classic Load Balancers ociosos que têm instâncias de back-end ativas, mas não têm instâncias de back-end saudáveis, a remediação automática não é usada OpsItems e a correção manual é criada. | 
| [TI39HalfU8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances) Amazon RDS Idle DB Instances | **AWSManagedServices-StopIdleRDSInstance** A instância de banco de dados Amazon RDS que esteve em um estado ocioso nos últimos sete dias foi interrompida. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size) AWS Lambda funções superprovisionadas para o tamanho da memória | **AWSManagedServices-ResizeLambdaMemory** AWS Lambda o tamanho da memória da função é redimensionado para o tamanho de memória recomendado fornecido pelo Trusted Advisor. | **RecommendedMemorySize:** a alocação de memória recomendada para a função Lambda. O intervalo de valores está entre 128 e 10240. Se o tamanho da função Lambda foi modificado antes da execução da automação, as configurações podem ser substituídas por essa automação pelo valor recomendado por. Trusted Advisor | 
| [QCH7dWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Instâncias Amazon EC2 de baixa utilização | **AWSManagedServices-StopEC2Instance** (documento SSM padrão para o modo de execução automática e manual).  EC2 As instâncias da Amazon com baixa utilização são interrompidas. | **ForceStopWithInstanceStore:** defina como para `true` forçar a parada de instâncias usando o armazenamento de instâncias. Caso contrário, defina como `false`. O valor padrão de `false` impede que a instância pare. Os valores válidos são verdadeiros ou falsos (diferencia maiúsculas de minúsculas). Sem restrições | 
| [QCH7dWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Instâncias Amazon EC2 de baixa utilização | **AWSManagedServices-ResizeInstanceByOneLevel** A EC2 instância da Amazon é redimensionada por um tipo de instância abaixo do mesmo tipo de família de instâncias. A instância é interrompida e iniciada durante a operação de redimensionamento e retorna ao estado inicial após a conclusão da execução do documento SSM. Essa automação não dá suporte ao redimensionamento de instâncias que estão em um grupo de Auto Scaling. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições | 
| [QCH7dWOUx1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Instâncias Amazon EC2 de baixa utilização | **AWSManagedServices-TerminateInstance** As EC2 instâncias Amazon de baixa utilização são encerradas se não fizerem parte de um grupo de Auto Scaling e a proteção contra rescisão não está ativada. Uma AMI é criada por padrão. | **Criar AMIBefore encerramento:** defina essa opção para `true` ou `false` para criar uma AMI de instância como backup antes de encerrar a EC2 instância. O padrão é `true`. Os valores válidos são `true` e `false` (com distinção entre maiúsculas e minúsculas). Sem restrições | 
| [G31sq1e9u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters) Clusters subutilizados do Amazon Redshift | **AWSManagedServices-PauseRedshiftCluster** O cluster do Amazon Redshift está pausado. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config) Configuração de cancelamento de upload em várias partes incompleta do Amazon S3 | **AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload** O bucket do Amazon S3 é configurado com uma regra de ciclo de vida para abortar carregamentos de várias partes que permanecem incompletos após determinados dias. | **DaysAfterInitiation:** o número de dias após os quais o Amazon S3 interrompe um upload incompleto de várias partes. O padrão é definido para 7 dias. Sem restrições | 
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances) Recomendações EC2 de otimização de custos da Amazon para instâncias | Use as recomendações de EC2 instâncias da Amazon e a  EC2 instância inativa da Amazon de[Recomendações do Compute Optimizer suportadas pelo Trusted Remediator](tr-supported-recommendations-co.md). | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes) Recomendações de otimização de custos do Amazon EBS para volumes |  Use as recomendações de volume do Amazon EBS e deixe o volume ocioso do Amazon EBS de. [Recomendações do Compute Optimizer suportadas pelo Trusted Remediator](tr-supported-recommendations-co.md) | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) Recomendações de otimização de custos do Amazon RDS para instâncias de banco de dados |  Use a instância inativa do Amazon RDS de. [Recomendações do Compute Optimizer suportadas pelo Trusted Remediator](tr-supported-recommendations-co.md) | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) AWS Lambda recomendações de otimização de custos para funções |  Use as recomendações da função Lambda de. [Recomendações do Compute Optimizer suportadas pelo Trusted Remediator](tr-supported-recommendations-co.md) | Não são permitidos parâmetros pré-configurados. Sem restrições | 

## Trusted Advisor verificações de segurança suportadas pelo Trusted Remediator
<a name="tr-supported-checks-security"></a>


| Verifique o ID e o nome | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados | 
| --- | --- | --- | 
| [12Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys) Exposed Access Keys | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey** A chave de acesso do IAM exposta está desativada. | Não são permitidos parâmetros pré-configurados. Os aplicativos configurados com uma chave de acesso do IAM exposta não podem ser autenticados. | 
|  Hs4Ma3G127 - O REST do API Gateway WebSocket e o registro de execução da API devem estar habilitados  AWS Security Hub CSPM Verificação correspondente: 1 [APIGateway.](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1) | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** O registro de execução é ativado no estágio da API. | **LogLevel:** Nível de registro para ativar o registro de execução, `ERROR` - O registro é ativado somente para erros. `INFO` - O registro está ativado para todos os eventos. Você deve conceder permissão ao API Gateway para ler e gravar registros da sua conta CloudWatch para ativar o registro de execução. Consulte [Configurar o CloudWatch registro para REST APIs no API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) para obter detalhes. | 
| Hs4Ma3G129 - Os estágios da API REST API Gateway devem ter o rastreamento ativado AWS X-Ray   AWS Security Hub CSPM Verificação correspondente: 3 [APIGateway.](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3) | **AWSManagedServices-EnableApiGateWayXRayTracing** O rastreamento X-Ray está ativado no estágio da API. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G202 - Os dados do cache da API REST do API Gateway devem ser criptografados em repouso  AWS Security Hub CSPM Verificação correspondente: 5 [APIGateway.](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5) | **AWSManagedServices-EnableAPIGatewayCacheEncryption** Ative a criptografia em repouso para os dados de cache da API REST do API Gateway se o estágio da API REST API Gateway tiver o cache ativado. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma 3G177 -   AWS Security Hub CSPM [Verificação correspondente: grupos de escalonamento automático associados a um balanceador de carga devem usar verificações de integridade do balanceador de carga .1 AutoScaling](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck** As verificações de saúde do Elastic Load Balancing estão habilitadas para o Auto Scaling Group. | **HealthCheckGracePeriod:** a quantidade de tempo, em segundos, que o Auto Scaling espera antes de verificar o status de saúde de uma instância do Amazon Elastic Compute Cloud que entrou em serviço. A ativação das verificações de integridade do Elastic Load Balancing pode resultar na substituição de uma instância em execução se algum dos load balancers do Elastic Load Balancing vinculados ao grupo Auto Scaling relatar que ela não está íntegra. Para obter mais informações, consulte [Anexar um balanceador de carga do Elastic Load Balancing ao seu grupo de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html)  | 
| Hs4Ma3G245 - as CloudFormation pilhas devem ser integradas ao Amazon Simple Notification Service  AWS Security Hub CSPM Verificação correspondente: 1 [CloudFormation.](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1) | **AWSManagedServices-EnableCFNStackNotification** Associe uma CloudFormation pilha a um tópico do Amazon SNS para notificação. | **NotificaçãoARNs:** Os tópicos ARNs do Amazon SNS a serem associados às pilhas selecionadas CloudFormation . Para ativar a correção automática, o parâmetro `NotificationARNs` pré-configurado deve ser fornecido. | 
| Hs4Ma3G210 - CloudFront as distribuições devem ter o registro ativado  AWS Security Hub CSPM Verificação correspondente: 2 [CloudFront.](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5) | **AWSManagedServices-EnableCloudFrontDistributionLogging** O registro está habilitado para CloudFront distribuições da Amazon. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para essas restrições de remediação, consulte [Como faço para ativar o registro em log para](https://repost.aws/knowledge-center/cloudfront-logging-requests) minha distribuição? CloudFront  | 
| Hs4Ma3G109 - a validação do arquivo de CloudTrail log deve ser ativada  AWS Security Hub CSPM Verificação correspondente: [CloudTrail.4](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4) | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation** Permite a validação do registro de CloudTrail trilhas. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G108 - as CloudTrail trilhas devem ser integradas ao Amazon Logs CloudWatch   AWS Security Hub CSPM Verificação correspondente: 5 [CloudTrail.](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5) | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch** AWS CloudTrail é integrado ao CloudWatch Logs. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) | 
| Hs4Ma3G217 - os ambientes do CodeBuild projeto devem ter uma configuração de registro AWS   AWS Security Hub CSPM Verificação correspondente: [CodeBuild.4](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4) | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig** Ativa o registro para o CodeBuild projeto. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G306 - Os clusters de banco de dados Neptune devem ter a proteção de exclusão ativada  AWS Security Hub CSPM Verificação correspondente: [DocumentDB.3](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot** Remove o acesso público do snapshot manual do cluster do Amazon DocumentDB. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G308 - Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada  AWS Security Hub CSPM Verificação correspondente: [DocumentDB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection** Permite a proteção contra exclusão do cluster Amazon DocumentDB. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G323 - As tabelas do DynamoDB devem ter a proteção contra exclusão ativada  AWS Security Hub CSPM Verificação correspondente: [DynamoDB.6](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection** Ativa a proteção contra exclusão de tabelas do DynamoDB que não sejam do AMS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [EPS02jt06w](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots) - Snapshots públicos do Amazon EBS | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot** O acesso público ao snapshot do Amazon EBS está desativado. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G118 - Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída  AWS Security Hub CSPM Verificação correspondente: 2 [EC2.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG** Todas as regras de entrada e saída no grupo de segurança padrão são removidas. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G117 - Os volumes EBS anexados devem ser criptografados em repouso  AWS Security Hub CSPM Verificação correspondente: 3 [EC2.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) | **AWSManagedServices-EncryptInstanceVolume** O volume do Amazon EBS anexado na instância é criptografado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) A instância é reinicializada como parte da correção e a reversão é possível se `DeleteStaleNonEncryptedSnapshotBackups` estiver configurada para `false` ajudar na restauração. | 
| Hs4Ma3G120 - EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado  AWS Security Hub CSPM Verificação correspondente: [EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateInstance**(documento SSM padrão para o modo de execução automática e manual)  EC2 As instâncias da Amazon interrompidas por 30 dias são encerradas. | **Criar AMIBefore rescisão:**. Para criar a AMI da instância como backup antes de encerrar a EC2 instância, escolha`true`. Para não criar um backup antes de encerrar, escolha`false`. O padrão é `true`. Sem restrições  | 
| Hs4Ma3G120 - EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado  AWS Security Hub CSPM Verificação correspondente: [EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime** - EC2 As instâncias da Amazon paradas por um número de dias definido no Security Hub (o valor padrão é 30) são encerradas. | **Criar AMIBefore encerramento:** Para criar a AMI da instância como backup antes de encerrar a EC2 instância, escolha`true`. Para não criar um backup antes de encerrar, escolha`false`. O padrão é `true`. Sem restrições | 
| Hs4Ma3G121 - A criptografia padrão do EBS deve estar ativada  AWS Security Hub CSPM Verificação correspondente: 7 [EC2.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7) | **AWSManagedServices-EncryptEBSByDefault** A criptografia do Amazon EBS, por padrão, está habilitada para o Região da AWS | Não são permitidos parâmetros pré-configurados. A criptografia por padrão é uma configuração específica da região. Se você habilitá-lo para uma região, não poderá desativá-lo para volumes ou snapshots individuais nessa região. | 
|  Hs4Ma3G124 - As instâncias da EC2 Amazon devem usar o Instance Metadata Service versão 2 () IMDSv2  AWS Security Hub CSPM Verificação correspondente: 8 [EC2.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) | **AWSManagedServices-TrustedRemediator****Habilitar EC2 instância IMDSv2**  EC2 As instâncias da Amazon usam o Instance Metadata Service versão 2 (IMDSv2). |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições | 
| Hs4Ma3G207 - as EC2 sub-redes não devem atribuir automaticamente endereços IP públicos  AWS Security Hub CSPM Cheque correspondente: [EC2.15](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15) | **AWSManagedServices-UpdateAutoAssignPublicIpv4 endereços** As sub-redes VPC são configuradas para não atribuir automaticamente endereços IP públicos. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G209 - As listas de controle de acesso à rede não utilizadas são removidas  AWS Security Hub CSPM Verificação correspondente: [EC2.16](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16) | **AWSManagedServices-DeleteUnusedNACL** Excluir ACL de rede não utilizada | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G215 - Grupos de segurança não utilizados da Amazon devem ser removidos EC2   AWS Security Hub CSPM Verificação correspondente: [EC2.22](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22) | **AWSManagedServices-DeleteSecurityGroups** Exclua grupos de segurança não utilizados. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G247 - O Amazon Transit EC2 Gateway não deve aceitar automaticamente solicitações de anexos de VPC  AWS Security Hub CSPM Cheque correspondente: [EC2.23](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach**- Desativa a aceitação automática de solicitações de anexos de VPC para o Amazon Transit EC2 Gateway não AMS especificado. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G235 - Os repositórios privados do ECR devem ter a imutabilidade da tag configurada  AWS Security Hub CSPM Verificação correspondente: [ECR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability** Define as configurações de mutabilidade da tag de imagem como IMMUTABLE para o repositório especificado. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G216 - Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada  AWS Security Hub CSPM Verificação correspondente: [ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy** O repositório ECR tem uma política de ciclo de vida configurada. | **LifecyclePolicyText:** o texto da política do repositório JSON a ser aplicado ao repositório. Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos: **LifecyclePolicyText** | 
| Hs4Ma3G325 - Os clusters EKS devem ter o registro de auditoria ativado  AWS Security Hub CSPM Verificação correspondente: [EKS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog** O registro de auditoria está habilitado para o cluster EKS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G183 - O balanceador de carga do aplicativo deve ser configurado para descartar cabeçalhos HTTP  AWS Security Hub CSPM Verificação correspondente: [ELB.4](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4) | **AWSConfigRemediation-DropInvalidHeadersForALB** O Application Load Balancer está configurado para campos de cabeçalho inválidos. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G184 - O registro de balanceadores de carga de aplicativos e balanceadores de carga clássicos deve estar ativado  AWS Security Hub CSPM Verificação correspondente: [ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLogging (documento SSM padrão para o modo de execução automática e manual)** O registro em log do Application Load Balancer e do Classic Load Balancer está ativado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) O bucket do Amazon S3 deve ter uma política de bucket que conceda permissão ao Elastic Load Balancing para gravar os registros de acesso no bucket. | 
| Hs4Ma3G184 - O registro de balanceadores de carga de aplicativos e balanceadores de carga clássicos deve estar ativado  AWS Security Hub CSPM Verificação correspondente: [ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLoggingV2** O registro em log do Application Load Balancer e do Classic Load Balancer está ativado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html)  | 
| Hs4Ma3G326 - A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada  AWS Security Hub CSPM Verificação correspondente: [EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess** As configurações de bloqueio de acesso público do Amazon EMR estão ativadas para a conta. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G135 - as AWS KMS chaves não devem ser excluídas acidentalmente  AWS Security Hub CSPM Verificação correspondente: [KMS.3](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) | **AWSManagedServices-CancelKeyDeletion** AWS KMS a exclusão da chave foi cancelada. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G299 - Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos  AWS Security Hub CSPM Cheque correspondente: [Netuno.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection** Permite a proteção contra exclusão do cluster Amazon Neptune. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G319 - Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada  AWS Security Hub CSPM Cheque correspondente: 9 [NetworkFirewall.](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection**- Ativa a proteção de exclusão para o AWS Network Firewall. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G223 - os OpenSearch domínios devem criptografar os dados enviados entre os nós  AWS Security Hub CSPM Verificação correspondente: 3 [OpenSearch.](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3) | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption** A criptografia de nó a nó está habilitada para o domínio. | Não são permitidos parâmetros pré-configurados. Depois que a node-to-node criptografia estiver ativada, você não poderá desativar a configuração. Em vez disso, tire um instantâneo manual do domínio criptografado, crie outro domínio, migre seus dados e exclua o domínio antigo. | 
| Hs4Ma3G222 - o registro de erros de OpenSearch domínio nos registros deve estar ativado CloudWatch   AWS Security Hub CSPM Verificação correspondente: [Opensearch.4](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) | **AWSManagedServices-EnableOpenSearchLogging** O registro de erros está ativado para o OpenSearch domínio. | CloudWatchLogGroupArn: o ARN de um grupo de CloudWatch logs do Amazon Logs. Para habilitar a remediação automática, o seguinte parâmetro pré-configurado deve ser fornecido:. **CloudWatchLogGroupArn** A política CloudWatch de recursos da Amazon deve ser configurada com permissões. Para obter mais informações, consulte [Habilitar registros de auditoria](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) no *Guia do usuário do Amazon OpenSearch Service* | 
| Hs4Ma3G221 - OpenSearch os domínios devem ter o registro de auditoria ativado  AWS Security Hub CSPM Verificação correspondente: [Opensearch.5](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch os domínios são configurados com o registro de auditoria ativado. | **CloudWatchLogGroupArn:** o ARN do grupo de CloudWatch registros no qual publicar registros. Para habilitar a correção automática, o seguinte parâmetro pré-configurado deve ser fornecido: **CloudWatchLogGroupArn** A política CloudWatch de recursos da Amazon deve ser configurada com permissões. Para obter mais informações, consulte [Habilitar registros de auditoria](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) no *Guia do usuário do Amazon OpenSearch Service* | 
| Hs4Ma3G220 - As conexões com OpenSearch domínios devem ser criptografadas usando TLS 1.2  AWS Security Hub CSPM Verificação correspondente: [Opensearch.8](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2** A política TLS está definida como `policy-min-TLS-1-2-2019-07` e somente conexões criptografadas por HTTPS (TLS) são permitidas. | Não são permitidos parâmetros pré-configurados. Conexões com OpenSearch domínios são necessárias para usar o TLS 1.2. A criptografia de dados em trânsito pode afetar o desempenho. Teste seus aplicativos com esse recurso para entender o perfil de desempenho e o impacto do TLS. | 
| Hs4Ma3G194 - O snapshot do Amazon RDS deve ser privado  AWS Security Hub CSPM Verificação correspondente: [RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** O acesso público ao snapshot do Amazon RDS está desativado. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G192 - As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible AWS   AWS Security Hub CSPM Verificação correspondente: [RDS.2](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance** Desative o acesso público na instância de banco de dados do RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G189 - O monitoramento aprimorado é configurado para instâncias de banco de dados Amazon RDS  AWS Security Hub CSPM Verificação correspondente: [RDS.6](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring** Habilite o monitoramento aprimorado para instâncias de banco de dados Amazon RDS | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Se o monitoramento aprimorado for ativado antes da execução da automação, as configurações poderão ser substituídas por essa automação com os MonitoringRoleName valores MonitoringInterval e configurados nos parâmetros pré-configurados. | 
| Hs4Ma3G190 - Os clusters do Amazon RDS devem ter a proteção de exclusão ativada  AWS Security Hub CSPM Verificação correspondente: [RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** A proteção contra exclusão está habilitada para clusters do Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G198 - As instâncias de banco de dados do Amazon RDS devem ter a proteção de exclusão ativada  AWS Security Hub CSPM Verificação correspondente: [RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** A proteção contra exclusão está habilitada para instâncias do Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G199 - As instâncias de banco de dados do RDS devem publicar registros nos registros CloudWatch   AWS Security Hub CSPM Verificação correspondente: [RDS.9](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports** As exportações de log do RDS estão habilitadas para a instância de banco de dados RDS ou o cluster de banco de dados RDS. | Não são permitidos parâmetros pré-configurados. A função [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) vinculada ao serviço é necessária. | 
| Hs4Ma3G160 - A autenticação do IAM deve ser configurada para instâncias do RDS  AWS Security Hub CSPM Verificação correspondente: [RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** AWS Identity and Access Management a autenticação está habilitada para a instância do RDS. | **ApplyImmediately:** indica se as modificações nessa solicitação e quaisquer modificações pendentes são aplicadas de forma assíncrona o mais rápido possível. Para aplicar a alteração imediatamente, escolha. `true` Para programar a alteração para a próxima janela de manutenção, escolha`false`. Sem restrições | 
| Hs4Ma3G161 - A autenticação do IAM deve ser configurada para clusters RDS  AWS Security Hub CSPM Verificação correspondente: [RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** A autenticação do IAM está habilitada para o cluster RDS. | **ApplyImmediately:** indica se as modificações nessa solicitação e quaisquer modificações pendentes são aplicadas de forma assíncrona o mais rápido possível. Para aplicar a alteração imediatamente, escolha. `true` Para programar a alteração para a próxima janela de manutenção, escolha`false`. Sem restrições | 
| Hs4Ma3G162 - As atualizações automáticas de versões secundárias do RDS devem ser habilitadas  AWS Security Hub CSPM Verificação correspondente: [RDS.13](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade** A configuração automática de upgrade de versões secundárias para o Amazon RDS está habilitada. | Não são permitidos parâmetros pré-configurados. A instância do Amazon RDS deve estar no `available` estado para que essa remediação ocorra. | 
| Hs4Ma3G163 - Os clusters de banco de dados RDS devem ser configurados para copiar tags para instantâneos  AWS Security Hub CSPM Verificação correspondente: [RDS.16](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagtosnapshot`a configuração para clusters do Amazon RDS está ativada. | Não são permitidos parâmetros pré-configurados. As instâncias do Amazon RDS devem estar disponíveis para que essa correção ocorra. | 
| Hs4Ma3G164 - As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para instantâneos  AWS Security Hub CSPM Verificação correspondente: [RDS.17](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagsToSnapshot`a configuração do Amazon RDS está ativada. | Não são permitidos parâmetros pré-configurados. As instâncias do Amazon RDS devem estar disponíveis para que essa correção ocorra. | 
| [RsS93 HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots) Snapshots públicos do Amazon RDS | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** O acesso público ao snapshot do Amazon RDS está desativado. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G103 - Os clusters do Amazon Redshift devem proibir o acesso público  AWS Security Hub CSPM Verificação correspondente: [Redshift.1](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster** O acesso público no cluster do Amazon Redshift está desativado. | Não são permitidos parâmetros pré-configurados. A desativação do acesso público bloqueia todos os clientes provenientes da Internet. E o cluster do Amazon Redshift fica no estado de modificação por alguns minutos, enquanto a remediação desativa o acesso público ao cluster. | 
| Hs4Ma3G106 - Os clusters do Amazon Redshift devem ter o registro de auditoria ativado  AWS Security Hub CSPM Verificação correspondente: [Redshift.4](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging** O registro de auditoria é ativado no seu cluster do Amazon Redshift durante a janela de manutenção. | Não são permitidos parâmetros pré-configurados. Para habilitar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos. **BucketName:** O balde deve estar no mesmo Região da AWS. O cluster deve ter permissões de leitura e colocação de objetos.  Se o registro em cluster do Redshift estiver ativado antes da execução da automação, as configurações de registro poderão ser substituídas por essa automação com os `S3KeyPrefix` valores `BucketName` e configurados nos parâmetros pré-configurados. | 
| Hs4Ma3G105 - O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas  AWS Security Hub CSPM Verificação correspondente: [Redshift.6](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade**- As principais atualizações da versão são aplicadas automaticamente ao cluster durante a janela de manutenção. Não há tempo de inatividade imediato para o cluster do Amazon Redshift, mas seu cluster do Amazon Redshift pode ter tempo de inatividade durante a janela de manutenção se for atualizado para uma versão principal. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G104 - Os clusters do Amazon Redshift devem usar roteamento de VPC aprimorado  AWS Security Hub CSPM Verificação correspondente: [Redshift.7](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting** O roteamento aprimorado de VPC está habilitado para clusters do Amazon Redshift. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G173 - A configuração de acesso público do bloco S3 deve ser ativada no nível do bucket  AWS Security Hub CSPM Verificação correspondente: [S3.8](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8) | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Os blocos de acesso público no nível do bucket são aplicados ao bucket do Amazon S3. | Não são permitidos parâmetros pré-configurados. Essa correção pode afetar a disponibilidade dos objetos do S3. Para obter informações sobre como o Amazon S3 avalia o acesso, consulte [Bloqueio do acesso público ao seu armazenamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html).  | 
| Hs4Ma3G230 - O registro de acesso ao servidor de bucket S3 deve estar ativado   AWS Security Hub CSPM Verificação correspondente: [S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-EnableBucketAccessLogging**(documento SSM padrão para o modo de execução automática e manual) O registro de acesso ao servidor Amazon S3 está ativado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar a remediação automática, o seguinte parâmetro pré-configurado deve ser fornecido:. **TargetBucket** O bucket de destino deve estar no mesmo bucket Região da AWS e Conta da AWS no bucket de origem, com as permissões corretas para entrega de registros. Para obter mais informações, consulte [Habilitar registro em log de acesso ao servidor do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). | 
| Hs4Ma3G230 — O registro de acesso ao servidor bucket S3 deve estar habilitado  AWS Security Hub CSPM Verificação correspondente: [S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** - O registro do bucket do Amazon S3 está ativado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar a correção automática, os seguintes parâmetros devem ser fornecidos: **TargetBucketTagKey**e. **TargetBucketTagValue** O bucket de destino deve estar no mesmo bucket Região da AWS e Conta da AWS no bucket de origem, com as permissões corretas para entrega de registros. Para obter mais informações, consulte [Habilitar registro em log de acesso ao servidor do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). | 
| [Pfx0 RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) Permissões do bucket do Amazon S3 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Bloqueio de acesso público | Não são permitidos parâmetros pré-configurados. Essa verificação consiste em vários critérios de alerta. Essa automação corrige problemas de acesso público. A correção de outros problemas de configuração sinalizados por Trusted Advisor não é suportada. Essa remediação oferece suporte à remediação de buckets S3 AWS service (Serviço da AWS) criados (por exemplo, cf-templates-000000000000). | 
| Hs4Ma3G272 - Os usuários não devem ter acesso root às instâncias do notebook SageMaker   AWS Security Hub CSPM Verificação correspondente: 3 [SageMaker.](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3) | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess** O acesso root para usuários está desativado para a instância do SageMaker notebook. | Não são permitidos parâmetros pré-configurados. Essa remediação causa interrupção se a instância do SageMaker notebook estiver no InService estado. | 
| Hs4Ma3G179 - Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS  AWS Security Hub CSPM Verificação correspondente: [SNS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) | **AWSManagedServices-EnableSNSEncryptionAtRest** O tópico do SNS é configurado com criptografia do lado do servidor. | **KmsKeyId:** o ID de uma chave mestra de cliente AWS gerenciada (CMK) para o Amazon SNS ou de uma CMK personalizada a ser usada para criptografia do lado do servidor (SSE). O padrão está definido como`alias/aws/sns`. Se uma AWS KMS chave personalizada for usada, ela deverá ser configurada com as permissões corretas. Para obter mais informações, consulte [Habilitando a criptografia do lado do servidor (SSE) para um tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) | 
| Hs4Ma3G158 - Documentos SSM não devem ser públicos  AWS Security Hub CSPM Verificação correspondente: [SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing**- Desativa o compartilhamento público do documento SSM. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| Hs4Ma3G136 - As filas do Amazon SQS devem ser criptografadas em repouso  AWS Security Hub CSPM Verificação correspondente: [SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest** As mensagens no Amazon SQS são criptografadas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Anônimo SendMessage e ReceiveMessage as solicitações para a fila criptografada são rejeitadas. Todas as solicitações para filas com SSE habilitada devem usar HTTPS e o Signature versão 4. | 

## Trusted Advisor verificações de tolerância a falhas suportadas pelo Trusted Remediator
<a name="tr-supported-checks-fault-tolerance"></a>


| Verifique o ID e o nome | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados | 
| --- | --- | --- | 
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery) Recuperação do Amazon DynamoDB Point-in-time | **AWSManagedServices-TrustedRemediatorEnableDDBPITR** Permite point-in-time a recuperação de tabelas do DynamoDB. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [R365s2qddf](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) Versionamento em bucket do Amazon S3 | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning** O versionamento do bucket do Amazon S3 está ativado. | Não são permitidos parâmetros pré-configurados. Essa correção não oferece suporte à correção de buckets S3 AWS service (Serviço da AWS) criados (por exemplo, cf-templates-000000000000). | 
| [BueAdJ7nRP](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging) Registro em bucket do Amazon S3 | **AWSManagedServices-EnableBucketAccessLogging** O registro do bucket do Amazon S3 está ativado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) O bucket de destino deve estar no mesmo bucket Região da AWS e Conta da AWS no bucket de origem, com as permissões corretas para entrega de registros. Para obter mais informações, consulte [Habilitar registro em log de acesso ao servidor do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html).  | 
| [F2ik5r6dep](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az) Amazon RDS Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ** A implantação da Zona de Multidisponibilidade está ativada. | Não são permitidos parâmetros pré-configurados. Há uma possível degradação do desempenho durante essa alteração. | 
| [H7 IgTzj TYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots) Snapshots do Amazon EBS | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot** A Amazon EBSsnapshots é criada. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [em QPADk ZvH](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Backups do RDS | **AWSManagedServices-EnableRDSBackupRetention** A retenção de backup do Amazon RDS está habilitada para o banco de dados. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Se o `ApplyImmediately` parâmetro for definido como`true`, as alterações pendentes no banco de dados serão aplicadas junto com a configuração RDSBackup de retenção. | 
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) As instâncias de banco de dados do Amazon RDS têm o escalonamento automático de armazenamento desativado | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling**- O escalonamento automático de armazenamento está habilitado para a instância de banco de dados Amazon RDS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições | 
| [7q GXs KIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining) Classic Load Balancer Connection Draining  | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining** A drenagem da conexão está ativada para o Classic Load Balancer. | **ConnectionDrainingTimeout:** o tempo máximo, em segundos, para manter as conexões existentes abertas antes de cancelar o registro das instâncias. O padrão é definido como `300` segundos. Sem restrições | 
| [c18d2gz106](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan) Amazon EBS não incluído no plano AWS Backup  | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan** O Amazon EBS está incluído no AWS Backup plano. | A remediação marca o volume do Amazon EBS com o seguinte par de tags. O par de tags deve corresponder aos critérios de seleção de recursos baseados em tags para AWS Backup. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições | 
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan) Tabela do Amazon DynamoDB não incluída no plano AWS Backup  | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan** A tabela do Amazon DynamoDB está incluída no plano. AWS Backup  | A remediação marca o Amazon DynamoDB com o seguinte par de tags. O par de tags deve corresponder aos critérios de seleção de recursos baseados em tags para AWS Backup. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições | 
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan) Amazon EFS não incluído no AWS Backup plano | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan** O Amazon EFS está incluído no AWS Backup plano. | A remediação marca o Amazon EFS com o seguinte par de tags. O par de tags deve corresponder aos critérios de seleção de recursos baseados em tags para AWS Backup. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições | 
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing) Balanceamento de carga cruzada dos Network Load Balancers | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing** O balanceamento de carga entre zonas está ativado no Network Load Balancer. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off) O `synchronous_commit` parâmetro Amazon RDS está desativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `synchronous_commit`O parâmetro está ativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off) O `innodb_flush_log_at_trx_commit` parâmetro Amazon RDS não é `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `innodb_flush_log_at_trx_commit`O parâmetro está definido como `1` para Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off) O `sync_binlog` parâmetro Amazon RDS está desativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `sync_binlog`O parâmetro está ativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe) A configuração de `innodb_default_row_format` parâmetros do Amazon RDS não é segura | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `innodb_default_row_format`O parâmetro está definido como `DYNAMIC` para Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c18d2gz144](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled) Monitoramento EC2 detalhado da Amazon não ativado | **AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring** O monitoramento detalhado está habilitado para a Amazon EC2. | Não são permitidos parâmetros pré-configurados. Sem restrições | 

## Trusted Advisor verificações de desempenho suportadas pelo Trusted Remediator
<a name="tr-supported-checks-performance"></a>


| Verifique o ID e o nome | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados | 
| --- | --- | --- | 
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size) AWS Lambda funções subprovisionadas para o tamanho da memória | **AWSManagedServices-ResizeLambdaMemory** O tamanho da memória das funções Lambda é redimensionado para o tamanho de memória recomendado fornecido por. Trusted Advisor | **RecommendedMemorySize:** a alocação de memória recomendada para a função Lambda. O intervalo de valores está entre 128 e 10240. Se o tamanho da função Lambda for modificado antes da execução da automação, essa automação poderá substituir as configurações pelo valor recomendado por. Trusted Advisor | 
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances) Instâncias Amazon EC2 de alta utilização | **AWSManagedServices-ResizeInstanceByOneLevel** As EC2 instâncias da Amazon são redimensionadas por um tipo de instância no mesmo tipo de família de instâncias. As instâncias são interrompidas e iniciadas durante a operação de redimensionamento e retornam ao estado inicial após a conclusão da execução. Essa automação não dá suporte ao redimensionamento de instâncias que estão em um grupo de Auto Scaling. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições | 
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal) `innodb_change_buffering`Parâmetro do Amazon RDS usando menos do que o valor ideal | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** O valor do `innodb_change_buffering` parâmetro é definido como `NONE` para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off) O `autovacuum` parâmetro Amazon RDS está desativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `autovacuum`O parâmetro está ativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off) O `enable_indexonlyscan` parâmetro Amazon RDS está desativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `enable_indexonlyscan`O parâmetro está ativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off) O `enable_indexscan` parâmetro Amazon RDS está desativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `enable_indexscan`O parâmetro está ativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off) O `innodb_stats_persistent` parâmetro Amazon RDS está desativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `innodb_stats_persistent`O parâmetro está ativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on) O `general_logging` parâmetro Amazon RDS está ativado | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** `general_logging`O parâmetro está desativado para o Amazon RDS. | Não são permitidos parâmetros pré-configurados. Sem restrições | 

## Trusted Advisor verificações de limites de serviço suportadas pelo Trusted Remediator
<a name="tr-supported-checks-service-limits"></a>


| Verifique o ID e o nome | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados | 
| --- | --- | --- | 
| [Ln7RR0L7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address) EC2-Endereço IP elástico da VPC | **AWSManagedServices-UpdateVpcElasticIPQuota** É solicitado um novo limite para endereços IP elásticos EC2 -VPC. Por padrão, o limite é aumentado em 3. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. | 
| [Km7QQ0L7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways) Gateways da Internet da VPC | **AWSManagedServices-IncreaseServiceQuota**- É solicitado um novo limite para gateways de Internet VPC. Por padrão, o limite é aumentado em três. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. | 
| [Jl7pp0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check) VPC | **AWSManagedServices-IncreaseServiceQuota** Um novo limite para VPC é solicitado. Por padrão, o limite é aumentado em 3. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. | 
| [Fw7hh0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups) Grupos de Auto Scaling | **AWSManagedServices-IncreaseServiceQuota** É solicitado um novo limite para grupos de Auto Scaling. Por padrão, o limite é aumentado em 3. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. | 
| [3 Njm0 DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups) Grupos de opção do RDS | **AWSManagedServices-IncreaseServiceQuota** Um novo limite para grupos de opções do Amazon RDS é solicitado. Por padrão, o limite é aumentado em 3. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. | 
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers) Balanceadores de carga da aplicação do ELB | **AWSManagedServices-IncreaseServiceQuota** É solicitado um novo limite para os balanceadores de carga de aplicativos ELB. Por padrão, o limite é aumentado em 3. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. | 
| [8 WiQ K YSt25](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers) Balanceadores de carga da rede do ELB | **AWSManagedServices-IncreaseServiceQuota** É solicitado um novo limite para os balanceadores de carga de rede ELB. Por padrão, o limite é aumentado em 3. | **Incremento:** o número para aumentar a cota atual. O padrão é `3`. Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o `OK` status, talvez haja um aumento maior no limite. | 

## Trusted Advisor verificações de excelência operacional suportadas pelo Trusted Remediator
<a name="tr-supported-checks-op-ex"></a>


| Verifique o ID e o nome | Nome do documento SSM e resultado esperado | Parâmetros e restrições pré-configurados suportados | 
| --- | --- | --- | 
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled) O Amazon API Gateway não está registrando em log os logs de execução | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** O registro de execução é ativado no estágio da API. | Não são permitidos parâmetros pré-configurados. Você deve conceder permissão ao API Gateway para ler e gravar registros da sua conta CloudWatch para ativar o registro de execução. Consulte [Configurar o CloudWatch registro para REST APIs no API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) para obter detalhes. | 
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled) A proteção contra exclusão do Elastic Load Balancing não está habilitada para balanceadores de carga | **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection**- A proteção contra exclusão está ativada para o Elastic Load Balancer. | Não são permitidos parâmetros pré-configurados. Sem restrições | 
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off) O Amazon RDS Performance Insights está desativado | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights** O Performance Insights está ativado para o Amazon RDS. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Sem restrições | 
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled) Logs de acesso do Amazon S3 habilitados | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** O registro de acesso ao bucket do Amazon S3 está ativado. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/tr-supported-checks.html) Para habilitar a correção automática, o seguinte parâmetro pré-configurado deve ser fornecido: e. **TargetBucketTagKey**TargetBucketTagValue**** O bucket de destino deve estar no mesmo bucket Região da AWS e Conta da AWS no bucket de origem, com as permissões corretas para entrega de registros. Para obter mais informações, consulte [Habilitar registro em log de acesso ao servidor do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html). | 

# Configurar Trusted Advisor a correção de cheques no Trusted Remediator
<a name="tr-configure-remediations"></a>

As configurações são armazenadas AWS AppConfig como parte do aplicativo Trusted Remediator. Cada categoria de Trusted Advisor verificação tem um perfil de configuração separado. Para obter mais informações sobre Trusted Advisor categorias, consulte [Exibir categorias de verificação](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor.html#view-check-categories).

Você pode configurar as remediações por recurso ou por Trusted Advisor verificação. Você pode aplicar exceções usando tags de recursos.

**nota**  
A correção das Trusted Advisor descobertas está atualmente configurada usando AWS AppConfig, e esse recurso é totalmente suportado atualmente. A AMS prevê que isso mudará no futuro. É uma prática recomendada evitar criar automações que dependam de AWS AppConfig, pois esse método está sujeito a alterações. Lembre-se de que talvez seja necessário atualizar ou modificar as automações criadas com base na AWS AppConfig implementação atual no futuro para fins de compatibilidade.  
O sinalizador de recurso Compute Optimizer EC2 -> instances tem parâmetros extras:  
**allow-upscale Para permitir o aumento da escala de instâncias** subprovisionadas e não otimizadas. EC2 O valor padrão é “false”.
**min-savings-opportunity-percentage**A oportunidade mínima de porcentagem de economia para remediação automatizada. O valor padrão é 10%

## Configurações padrão de remediação
<a name="tr-con-rem-defaults"></a>

As configurações para Trusted Advisor verificações individuais são armazenadas como AWS AppConfig sinalizadores. O nome da bandeira corresponde ao nome do cheque. Cada configuração de verificação contém os seguintes atributos:
+ **modo de execução:** determina como o Trusted Remediator executa a remediação padrão:
  + **Automatizado:** o Trusted Remediator corrige automaticamente os recursos criando um OpsItem, executando o documento SSM e resolvendo-o após a OpsItem execução bem-sucedida.
  + **Manual:** Um OpsItem é criado, mas o documento SSM não é executado automaticamente. Você revisa e executa manualmente o documento SSM a partir OpsItem do AWS Systems Manager OpsCenter console.
  + **Condicional:** a remediação está desativada por padrão. Você pode habilitá-lo para recursos específicos usando tags. Para obter mais informações, consulte as seções a seguir [Personalize a remediação com tags de recursos](#tr-con-rem-customize-tags) [Personalize a remediação com tags de substituição de recursos](#tr-con-rem-resource-override) e.
  + **Inativo:** a remediação não ocorre e nenhuma OpsItem é criada. Você não pode substituir o modo de execução da Trusted Advisor verificação que está definida como inativa.
+ parâmetros **preconfigurados: insira valores para os parâmetros** do documento SSM que são necessários para remediação automatizada, no formato de, separados por uma vírgula (`Parameter=Value`,). Consulte [Trusted Advisor verificações suportadas pelo Trusted Remediator](tr-supported-checks.md) os parâmetros pré-configurados compatíveis para o documento SSM associado para cada verificação.
+ **alternative-automation-document:** esse atributo ajuda a substituir o documento de automação existente por outro documento compatível (se disponível para a verificação específica). Por padrão, esse atributo não está selecionado. 
**nota**  
O `alternative-automation-document` atributo não é compatível com documentos de automação personalizados. Você pode usar os documentos de automação do Trusted Remediator compatíveis existentes listados em[Trusted Advisor verificações suportadas pelo Trusted Remediator](tr-supported-checks.md).  
Por exemplo, para verificar`Qch7DwouX1`, há três documentos SSM associados: AWSManagedServices-StopEC 2Instance AWSManagedServices-ResizeInstanceByOneLevel, e. AWSManagedServices-TerminateInstance O valor de `alternative-automation-document` pode ser AWSManagedServices-ResizeInstanceByOneLevel ou AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance é o documento SSM padrão a ser corrigido`Qch7DwouX1`).

  O valor de cada atributo deve corresponder às restrições desse atributo.

**dica**  
Antes de aplicar as configurações padrão para suas Trusted Advisor verificações, é uma prática recomendada considerar o uso dos recursos de marcação de recursos e substituição de recursos descritos nas seções a seguir. As configurações padrão se aplicam a todos os recursos da conta, o que pode não ser desejável em todos os casos.

A seguir está um exemplo de captura de tela do console com o **modo de execução** definido como **Manual e os atributos que correspondem** às suas restrições.

![\[Uma ilustração do fluxo de trabalho de decisão do modo de execução do Trusted Remediator.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-exe-mode-man-new.png)


## Personalize a remediação com tags de recursos
<a name="tr-con-rem-customize-tags"></a>

Os **manual-for-tagged-only**atributos **automated-for-tagged-only**e na configuração de verificação permitem que você especifique tags de recursos sobre como você deseja corrigir verificações individuais. É uma prática recomendada usar esse método quando você precisa aplicar um comportamento consistente de remediação a um grupo de recursos que compartilham a mesma tag ou tags. A seguir estão as descrições dessas tags:
+ **automated-for-tagged-only:** especifique as tags de recursos (um ou mais pares de tags, separadas por vírgula) para que as verificações sejam corrigidas automaticamente, independentemente do modo de execução padrão.
+ **manual-for-tagged-only:** especifique tags de recursos (um ou mais pares de tags, separados por vírgula) para correções que devem ser executadas manualmente, independentemente do modo de execução padrão.

Por exemplo, se você quiser habilitar a remediação automatizada para todos os recursos que não são de produção e impor a correção manual para os recursos de produção, você pode definir sua configuração da seguinte forma:

```
"execution-mode": "Conditional", 
"automated-for-tagged-only": "Environment=Non-Production", 
"manual-for-tagged-only": "Environment=Production",
```

Com as configurações anteriores definidas em seus recursos, verifique se o comportamento da correção é o seguinte:
+ Os recursos marcados com 'Environment=Non-Production' são corrigidos automaticamente.
+ Recursos marcados com 'Environment=Production' requerem intervenção manual para remediação. 
+ Recursos sem a tag 'Ambiente' seguem o modo de execução padrão (`Conditional`, neste caso). Portanto, nenhuma ação é tomada com os recursos restantes).

Para obter suporte adicional com suas configurações, entre em contato com seu Cloud Architect.

## Personalize a remediação com tags de substituição de recursos
<a name="tr-con-rem-resource-override"></a>

As tags de substituição de recursos permitem que você personalize o comportamento de remediação de recursos individuais, independentemente de suas tags. Ao adicionar uma tag específica a um recurso, você substitui o modo de execução padrão desse recurso e a Trusted Advisor verificação. A tag de substituição de recursos tem precedência sobre a configuração padrão e as configurações de marcação de recursos. Portanto, se você definir o modo de execução padrão como **Automatizado**, **Manual** ou **Condicional** para um recurso usando a tag de substituição de recursos, ele substituirá o modo de execução padrão e todas as configurações de marcação de recursos.

Para substituir o modo de execução de um recurso, conclua as seguintes etapas:

1. Identifique os recursos para os quais você deseja substituir a configuração de remediação.

1. Determine o Trusted Advisor ID do cheque que você deseja substituir. Você pode encontrar a verificação IDs de Trusted Advisor check-ins compatíveis[Trusted Advisor verificações suportadas pelo Trusted Remediator](tr-supported-checks.md).

1. Adicione uma tag aos recursos com a chave e o valor a seguir:
   + **Chave de tag: `TR-Trusted Advisor check ID-Execution-Mode` (diferencia** maiúsculas de minúsculas)

     No exemplo de chave de tag anterior, `Trusted Advisor check ID` substitua pelo identificador exclusivo da Trusted Advisor verificação que você deseja substituir.
   + **Valor da tag:** use um dos seguintes valores para o valor da tag:
     + **Automatizado:** o Trusted Remediator corrige automaticamente o recurso para essa Trusted Advisor verificação.
     + **Manual:** Um OpsItem é criado para o recurso, mas a correção não é executada automaticamente. Você revisa e executa a correção manualmente a partir do OpsItem.
     + **Inativo:** a correção e a OpsItem criação não são realizadas para esse recurso e para a verificação especificada Trusted Advisor .

Por exemplo, para corrigir automaticamente um volume do Amazon EBS com o ID do Trusted Advisor cheque, `DAvU99Dc4C` adicione uma tag ao volume do EBS. A **chave da tag** é `TR-DAvU99Dc4C-Execution-Mode` e o **valor da tag** é`Automated`.

Veja a seguir um exemplo do console mostrando a seção **Tags**:

![\[Um exemplo da seção Tags no console.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-tags-example.png)


# Fluxo de trabalho de decisão do modo execução
<a name="tr-ex-mode-workflow"></a>

Há vários níveis para configurar o modo de execução para seus recursos e cada Trusted Advisor verificação. O diagrama a seguir mostra como o Trusted Remediator decide qual modo de execução usar com base em suas configurações:

![\[Uma ilustração do fluxo de trabalho de decisão do modo de execução do Trusted Remediator.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-ex-mode-workflow.png)


# Configurar tutoriais de remediação
<a name="tr-tutorials"></a>

Os tutoriais a seguir fornecem exemplos de criação de remediações comuns no Trusted Remediator.

## Corrija todos os recursos manualmente
<a name="tr-tutorials-man"></a>

Este exemplo configura a remediação manual para todos os volumes do Amazon EBS com o ID de Trusted Advisor verificação DAv U99Dc4C (volumes subutilizados do Amazon EBS).

**Configure a remediação manual para volumes do Amazon EBS com o ID de verificação U99Dc4C DAv**

1. Abra o AWS AppConfig console em [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).

   Certifique-se de entrar como a conta de **administrador delegado**.

1. Selecione **Trusted Remediator** na lista de aplicativos.

1. Escolha o perfil de configuração **de otimização de custos**.

1. Selecione a bandeira de **volumes subutilizados do Amazon EBS.**

1. **Para o **modo de execução, selecione Manual**.**

1. Certifique-se de que os **manual-for-tagged-only**atributos **automated-for-tagged-only**e estejam em branco. Esses atributos são usados para substituir o modo de execução padrão para recursos com tags correspondentes.

   Veja a seguir um exemplo da seção **Atributos** com valores em branco para **automated-for-tagged-only**e **manual-for-tagged-only**e **Manual** para o modo de **execução:**  
![\[Um exemplo da seção Atributos.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-tutorial1.png)

1. Escolha **Salvar** para atualizar o valor e, em seguida, escolha **Salvar nova versão** para aplicar as alterações. Você deve escolher **Salvar nova versão** para que o Trusted Remediator reconheça a alteração.

1. Certifique-se de que seus volumes do Amazon EBS não tenham uma etiqueta com a chave`TR-DAvU99Dc4C-Execution-Mode`. Essa chave de tag substitui o modo de execução padrão desse volume do EBS.

## Corrija todos os recursos automaticamente, exceto os recursos selecionados
<a name="tr-tutorials-auto"></a>

**Este exemplo configura a remediação automática para todos os volumes do Amazon EBS com o ID de Trusted Advisor verificação DAv U99Dc4C (volumes subutilizados do Amazon EBS), com exceção dos volumes especificados que não serão corrigidos (designados como inativos).**

**Configure a remediação automática para volumes do Amazon EBS com o ID de verificação DAv U99Dc4C, com exceção dos recursos inativos selecionados**

1. Abra o AWS AppConfig console em [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).

   Certifique-se de entrar como a conta de **administrador delegado**.

1. Selecione **Trusted Remediator** na lista de aplicativos.

1. Escolha o perfil de configuração **de otimização de custos**.

1. Selecione a bandeira de **volumes subutilizados do Amazon EBS.**

1. **Para o **modo de execução, selecione** Automatizado.**

1. Certifique-se de que os **manual-for-tagged-only**atributos **automated-for-tagged-only**e estejam em branco. Esses atributos são usados para substituir o modo de execução padrão para recursos com tags correspondentes.

   Veja a seguir um exemplo da seção **Atributos** com valores em branco para **automated-for-tagged-only**e **manual-for-tagged-only**e **Automatizado** para o modo de **execução:**  
![\[Um exemplo da seção Atributos.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-tutorial2.png)

1. Escolha **Salvar** para atualizar o valor e, em seguida, escolha **Salvar nova versão** para aplicar as alterações. Você deve escolher **Salvar nova versão** para que o Trusted Remediator reconheça a alteração.

   Nesse momento, todos os volumes do Amazon EBS estão configurados para correção automática.

1. Substitua a remediação automática para volumes selecionados do Amazon EBS:

   1. Abra o EC2 console da Amazon em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

   1. Escolha **Elastic Block Store**, **Volumes**.

   1. Escolha **Tags**.

   1. Selecione **Gerenciar tags**.

   1. Adicione a seguinte tag:
      + **Chave: Modo de execução** TR- DAv U99Dc4C
      + **Valor:** Inativo

      Veja a seguir um exemplo da seção **Tags** que mostra os campos **Chave** e **Valor**:  
![\[Um exemplo da seção Atributos.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-tutorial-inactive.png)

   1. Repita as etapas de 2 a 5 para todos os volumes do Amazon EBS que você deseja excluir da remediação.

## Corrija recursos marcados automaticamente
<a name="tr-tutorials-auto-tags"></a>

Este exemplo configura a remediação automática para todos os volumes do Amazon EBS com a tag `Stage=NonProd` com o ID de Trusted Advisor verificação DAv U99Dc4C (volumes subutilizados do Amazon EBS). Todos os outros recursos sem essa tag não são corrigidos.

**Configure a remediação automática para volumes do Amazon EBS com a tag `Stage=NonProd` para ID de verificação U99Dc4C DAv**

1. Abra o AWS AppConfig console em [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).

   Certifique-se de entrar como a conta de **administrador delegado**.

1. Selecione **Trusted Remediator** na lista de aplicativos.

1. Escolha o perfil de configuração **de otimização de custos**.

1. Selecione a bandeira de **volumes subutilizados do Amazon EBS.**

1. **Para o **modo de execução, selecione** Condicional.**

1. Defina **automated-for-tagged-only** como `Stage=NonProd` . Esse atributo substitui o padrão `execution-mode` para recursos com tags correspondentes. Certifique-se de que os **manual-for-tagged-only**atributos estejam em branco.

   **Veja a seguir um exemplo da seção **Atributos **automated-for-tagged-only****definida como **Stage= NonProd** e **Condicional** para o modo de execução:**  
![\[Um exemplo da seção Atributos.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-tutorial-conditional.png)

1. Opcionalmente, defina os parâmetros pré-configurados como um dos seguintes:
   + `CreateSnapshot=false`para não criar um snapshot do volume do Amazon EBS antes que ele seja excluído
   + `MinimumUnattachedDays=10`definir que o mínimo de dias não anexados do volume do Amazon EBS a ser excluído seja de 10 dias
   + `CreateSnapshot=false`, `MinimumUnattachedDays=10` para ambas as opções acima

1. Escolha **Salvar** para atualizar o valor e, em seguida, escolha **Salvar nova versão** para aplicar as alterações. Você deve escolher **Salvar nova versão** para que o Trusted Remediator reconheça a alteração.

1. Certifique-se de que seus volumes do Amazon EBS não tenham uma etiqueta com a chave`TR-DAvU99Dc4C-Execution-Mode`. Essa chave de tag substitui o modo de execução padrão desse volume do EBS.

# Trabalhe com remediações no Trusted Remediator
<a name="tr-remediation"></a>

## Rastreie as remediações no Trusted Remediator
<a name="tr-remediation-track"></a>

Para rastrear OpsItems as remediações, conclua as seguintes etapas:

1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Escolha **Gerenciamento de operações**, **OpsCenter**.

1. (Opcional) Filtre a lista por **Source=Trusted Remediator** para incluir somente Trusted OpsItems Remediator na lista.

   Veja a seguir um exemplo da OpsCenter tela filtrada pelo **Source=Trusted** Remediator:  
![\[Um exemplo da seção Atributos.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-opsitems-console.png)

**nota**  
Além OpsItems de visualizar a partir do OpsCenter, você pode visualizar os registros de remediação no bucket do AMS S3. Para obter mais informações, consulte [Registros de remediação no Trusted Remediator](tr-logging.md).

## Execute correções manuais no Trusted Remediator
<a name="tr-remediation-run"></a>

O Trusted Remediator cria OpsItems para verificações configuradas para remediação manual. Você deve revisar essas verificações e iniciar o processo de remediação manualmente.

Para corrigir manualmente o OpsItem, conclua as seguintes etapas:

1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Escolha **Gerenciamento de operações**, **OpsCenter**.

1. (Opcional) Filtre a lista por **Source=Trusted Remediator** para incluir somente Trusted OpsItems Remediator na lista.

1. Escolha o OpsItem que você deseja revisar.

1. Revise os dados operacionais do OpsItem. Os dados operacionais incluem os seguintes itens:
   + **trustedAdvisorCheckCategoria:** A categoria da ID do Trusted Advisor cheque. Por exemplo, tolerância a falhas
   + **trustedAdvisorCheckID:** O ID exclusivo do Trusted Advisor cheque.
   + **trustedAdvisorCheckMetadados:** os metadados do recurso, incluindo o ID do recurso.
   + **trustedAdvisorCheckNome:** O nome do Trusted Advisor cheque.
   + **trustedAdvisorCheckStatus:** O status da Trusted Advisor verificação detectada para o recurso.

1. Para corrigir manualmente o OpsItem, conclua as seguintes etapas:

   1. Em **Runbooks**, escolha um dos runbooks associados (documentos SSM).

   1. Clique em **Executar**.

   1. Para **AutomationAssumeRole **, escolha ` arn:aws:iam::Conta da AWS ID:role/ams_ssm_automation_role`. Substitua o Conta da AWS ID pelo ID da conta em que a correção é executada. Para outros valores de parâmetros, consulte os **dados da operação**.

      Para corrigir recursos manualmente, a função ou o usuário usado para se autenticar no Conta da AWS deve ter `iam:PassRole` as permissões para a função do IAM. `ams-ssm-automation-role` Para obter mais informações, consulte [Conceder permissões a um usuário para passar uma função para um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) ou entrar em contato com seu Cloud Architect.

   1. Clique em **Executar**.

   1. Monitore o progresso da execução do documento SSM na coluna **Status e resultados mais recentes**.

   1. Depois que o documento for concluído, escolha **Definir status**, **Resolvido** para resolver manualmente o. OpsItem Se o documento falhar, revise os detalhes e execute novamente o. SSMdocument Para obter suporte adicional para solução de problemas, crie uma solicitação de serviço.

   Para resolver um problema OpsItem sem remediação, selecione **Definir status como** **Resolvido**.

1. Repita as etapas 3 e 4 para todas as correções manuais restantes. OpsItems

## Solucionar problemas de remediações no Trusted Remediator
<a name="tr-remediation-troubleshoot"></a>

Para obter ajuda com correções manuais e falhas de remediação, entre em contato com a AMS.

Para ver o status e os resultados da remediação, conclua as seguintes etapas:

1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Escolha **Gerenciamento de operações**, **OpsCenter**.

1. (Opcional) Filtre a lista por **Source=Trusted Remediator** para incluir somente Trusted OpsItems Remediator na lista.

1. Escolha o OpsItem que você deseja revisar.

1. Na seção **Execuções de automação**, revise o **nome e o status do documento** **e os resultados**.

1. Analise as seguintes falhas comuns de automação. Se seus problemas não estiverem listados aqui, entre em contato com seu CSDM para obter ajuda.

**Erros comuns de remediação**

### Nenhuma execução está listada em Execuções de automação
<a name="tr-rem-ts-error-none"></a>

Nenhuma execução associada ao OpsItem pode indicar que a execução falhou ao iniciar devido a valores de parâmetros incorretos.

**Etapas de solução de problemas**

1. Nos **dados operacionais**, revise o valor da `trustedAdvisorCheckAutoRemediation` propriedade.

1. Verifique se os valores **DocumentName**e **dos parâmetros** estão corretos. Para obter os valores corretos, consulte [Configurar Trusted Advisor a correção de cheques no Trusted Remediator](tr-configure-remediations.md) os detalhes sobre como configurar os parâmetros do SSM. Para analisar os parâmetros de verificação compatíveis, consulte [Trusted Advisor verificações suportadas pelo Trusted Remediator](tr-supported-checks.md) 

1. Verifique se os valores no documento SSM correspondem aos padrões permitidos. Para visualizar os detalhes dos parâmetros no conteúdo do documento, selecione o nome do documento na seção **Runbooks**.

1. Depois de revisar e corrigir os parâmetros, [execute manualmente o documento SSM novamente.](#tr-remediation)

1. Para evitar que esse erro ocorra novamente, certifique-se de configurar a correção com os valores de **parâmetros** corretos em sua configuração. Para obter mais informações, consulte [Configurar Trusted Advisor a correção de cheques no Trusted Remediator](tr-configure-remediations.md).

### Execuções com falha em execuções de automação
<a name="tr-rem-ts-error-failed"></a>

Os documentos de remediação contêm várias etapas que interagem com a Serviços da AWS execução de várias ações. APIs Para identificar uma causa específica para a falha, conclua as seguintes etapas:

**Etapas de solução de problemas**

1. Para visualizar as etapas de execução individuais, escolha o link **ID de execução** na seção **Execuções de automação**. Veja a seguir um exemplo do console do Systems Manager mostrando as **etapas de execução** de uma automação selecionada:  
![\[Um exemplo do console do Systems Manager mostrando uma automação selecionada.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-troubleshooting.png)

1. Escolha a etapa com o status **Falha**. Veja a seguir exemplos de mensagens de erro:
   + `NoSuchBucket - An error occurred (NoSuchBucket) when calling the GetPublicAccessBlock operation: The specified bucket does not exist`

     Esse erro indica que o nome incorreto do bucket foi especificado nos parâmetros pré-configurados da configuração de remediação.

     Para resolver esse erro, [execute manualmente a automação](#tr-remediation) usando o nome correto do bucket. Para evitar que esse problema ocorra novamente, [atualize a configuração de remediação](tr-configure-remediations.md) com o nome correto do bucket.
   + `DB instance my-db-instance-1 is not in available status for modification.`

     Esse erro indica que a automação não pôde fazer as alterações esperadas porque a instância de banco de dados estava em um estado inválido.

     Para resolver esse erro, [execute manualmente a automação](#tr-remediation).

# Registros de remediação no Trusted Remediator
<a name="tr-logging"></a>

O Trusted Remediator cria registros no formato JSON e os carrega no Amazon Simple Storage Service. Os arquivos de log são enviados para um bucket do S3 criado pelo AMS e nomeado. `ams-trusted-remediator-{your-account-id}-logs` O AMS cria o bucket do S3 na conta do administrador delegado. Você pode importar os arquivos de log QuickSight para gerar relatórios de remediação personalizados.

Para obter mais informações, consulte [Integração do Trusted Remediator com QuickSight](tr-qs-integration.md).

## Registro de itens de remediação
<a name="tr-logging-rem-item"></a>

O Trusted Remediator cria o `Remediation item log` quando uma remediação OpsItem é criada. Esse registro contém remediação manual OpsItem e remediação automatizada. OpsItem Você pode usar o `Remediation item log` para acompanhar a visão geral de todas as remediações.

**Localização do log do item de remediação para recomendações do Compute Optimizer**

`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/compute_optimizer_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`

**Localização do registro do item de remediação para verificações Trusted Advisor **

`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`

**URL do arquivo de amostra de registro do item de remediação**

`s3:///ams-trusted-remediator-111122223333-logs/remediation_items/2023-02-06/1675660464-DAvU99Dc4C-vol-00bd8965660b4c16d.json`

**Formato de registro de itens de remediação do Compute Optimizer**

```
{
  "AccountID": "Account_ID",
  "ComputeOptimizerCheckID": "Compute Optimizer check ID",
  "ComputeOptimizerCheckName": "Compute Optimizer check name",
  "ResourceID": "Resource ID",
  "RemediationTime": Remediation creation time,
  "ExecutionMode": "Automated or Manual",
  "OpsItemID": "OpsItem ID"
}
```

**Trusted Advisor Formato de registro do item de remediação**

```
{
   "TrustedAdvisorCheckID": Trusted Advisor check ID,
   "TrustedAdvisorCheckName": Trusted Advisor check name,
   "TrustedAdvisorCheckResultTime": 10 digits epoch time or unix timestamp,
   "ResourceID": Resource ID,
   "RemediationTime": Remediation creation time,
   "ExecutionMode": Automated or Manual,
   "OpsItemID": OpsItem ID
}
```

**Conteúdo de amostra do formato de registro do item de remediação do Compute Optimizer**

```
{
  "AccountID": "123456789012",
  "ComputeOptimizerCheckID": "compute-optimizer-ebs",
  "ComputeOptimizerCheckName": "EBS volumes",
  "ResourceID": "vol-1235589366f77aca7",
  "RemediationTime": 1755044783,
  "ExecutionMode": "Manual",
  "OpsItemID": "oi-b8888b38fe78"
}
```

**Trusted Advisor Exemplo de conteúdo do formato de registro do item de remediação**

```
{
    "TrustedAdvisorCheckID": "DAvU99Dc4C", 
    "TrustedAdvisorCheckName": "Underutilized Amazon EBS Volumes",
    "TrustedAdvisorCheckResultTime": 1675614749,
    "ResourceID": "vol-00bd8965660b4c16d",
    "RemediationTime": 1675660464,
    "OpsItemID": "oi-cca5df7af718"
}
```

## Registro de execução de remediação automatizado, Compute Optimizer e Trusted Advisor
<a name="tr-logging-rem-exe"></a>

O Trusted Remediator cria o `Automated remediation execution log` quando uma execução automatizada de documentos SSM é concluída. Esse registro contém detalhes da execução do SSM somente para remediação OpsItem automatizada. Você pode usar esse arquivo de log para rastrear remediações automatizadas.

**Compute Optimizer Localização automatizada do registro de remediação**

`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer recommendation ID.json`

**Trusted Advisor Localização automatizada do registro de remediação**

`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID-Resource ID.json`

**Exemplo de localização do log de remediação automatizado do Compute Optimizer**

`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/1750908858-123456789012-compute-optimizer-ec2-i-1235173471d2cd789.json`

**Trusted Advisor Exemplo de localização automatizada do registro de remediação**

`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2023-02-06/1675660573-DAvU99Dc4C-vol-00bd8965660b4c16d.json`

**Exemplo de conteúdo do formato de registro de remediação automatizado**

```
{
    "OpsItemID": "oi-767c77e05301",
    "SSMExecutionID": "93d091b2-778a-4cbc-b672-006954d76b86",
    "SSMExecutionStatus": "Success"}
```

## Registro de contas de membros
<a name="tr-logging-member-account"></a>

O Trusted Remediator cria o `Member accounts log` quando sua conta está integrada ou desembarcada. Você pode usar o `Member accounts log` para encontrar o ID da conta, a integração Regiões da AWS e o tempo de execução de cada conta de membro.

**Localização do registro das contas dos membros**

`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/configuration_logs/member_accounts.json`

**URL do arquivo de amostra de registro de contas de membros**

`s3://ams-trusted-remediator-111122223333-logs/configuration_logs/member_accounts.json`

**Formato de registro de contas de membros**

```
{
    "delegated_administrator_account_id": Delegated Administrator account id,
    "appconfig_configuration_region": Trusted Remediator AppConfig Region,
    "member_accounts": [
        {
            "account_id": Member account id
            "account_partition": Member account partition (for example, aws),
            "regions": [
                {
                    "execution_time": Remediation execution time in cron schedule expression,
                    "execution_timezone": Timezone for the remediation execution time,
                    "region_name": Região da AWS name
                }
                ...
            ]
        }
        ...
    ],
    "updated_at": Log update time,
}
```

**Exemplo de conteúdo do formato de registro de contas de membros**

```
{
    "delegated_administrator_account_id": "111122223333",
    "appconfig_configuration_region": "ap-southeast-2",
    "member_accounts": [
        {
            "account_id": "222233334444",
            "account_partition": "aws",
            "regions": [
                {
                    "execution_time": "0 9 * * 6",
                    "execution_timezone": "Australia/Sydney",
                    "region_name": "ap-southeast-2"
                },
                {
                    "execution_time": "0 5 * * 7",
                    "execution_timezone": "UTC",
                    "region_name": "us-east-1"
                }
            ]
        },
        {
            "account_id": "333344445555",
            "account_partition": "aws",
            "regions": [
                {
                    "execution_time": "0 1 * * 5",
                    "execution_timezone": "Asia/Seoul",
                    "region_name": "ap-northeast-2"
                }
            ]
        }
    ],
    "updated_at": "1730869607"
}
```

# Integração do Trusted Remediator com QuickSight
<a name="tr-qs-integration"></a>

Você pode integrar os registros do Trusted Remediator armazenados no Amazon S3 para criar um relatório QuickSight de remediação personalizado. QuickSight a integração é opcional. Esse recurso permite que você use os registros para criar painéis de relatórios personalizados. Para obter relatórios sob solicitação para o Trusted Remediator, entre em contato com seu CSDM. Para obter mais informações sobre os relatórios disponíveis do Trusted Remediator, consulte[Relatórios do Trusted Remediator](trusted-remediator-reports.md). 

Para obter mais informações sobre como visualizar dados em QuickSight, consulte [Visualizando dados](https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html) em. QuickSight

## Adicionar um conjunto de dados ao registro QuickSight do item de remediação
<a name="tr-qs-rem-item-log"></a>

Para adicionar um conjunto de dados ao registro QuickSight de itens de remediação, siga estas etapas:

1. Faça login no QuickSight console. Você pode criar o QuickSight relatório em qualquer um Região da AWS que QuickSight suporte. No entanto, para melhorar o desempenho e reduzir os custos, é uma prática recomendada criar o relatório na região em que o bucket de registro do Trusted Remediator está localizado.

1. Escolha **Conjuntos de dados**.

1. Selecione **S3**.

1. Na **nova fonte de dados do S3**, insira os seguintes valores:
   + **Nome da fonte de dados:**` trusted-remediator-delegated_administrator_account_id-account_region-remediation-items`.
   + **Faça upload de um arquivo de manifesto:** crie um arquivo JSON com o conteúdo a seguir e use-o. Ao criar o arquivo, `logging_bucket_name` substitua a URIPrefixes chave.

     ```
     {
         "fileLocations": [
             {
                 "URIPrefixes": [
                     "s3://{logging_bucket_name}/remediation_items/"
                 ]
             }
         ],
         "globalUploadSettings": {
             "format": "JSON",
             "delimiter": ",",
             "textqualifier": "'",
             "containsHeader": "true"
         }
     }
     ```
   + Selecione **Conectar**.
   + Na janela **Concluir criação do conjunto** de dados, escolha **Visualizar**.
   + QuickSight abre a nova página da planilha de análise. Agora você está pronto para criar uma nova análise usando o registro de itens de remediação.

A seguir está uma análise de amostra:

![\[Uma planilha de análise de amostra.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-sample-analysis.png)


## Adicione um conjunto de dados ao registro QuickSight de execução de remediação automatizada
<a name="tr-qs-rem-exe-log"></a>

1. Faça login no QuickSight console. Você pode criar o QuickSight relatório em qualquer um Região da AWS que QuickSight suporte. No entanto, para melhorar o desempenho e reduzir os custos, é uma prática recomendada criar o relatório na região em que o bucket de registro do Trusted Remediator está localizado.

1. Escolha **Conjuntos de dados**.

1. Selecione **S3**.

1. Na **nova fonte de dados do S3**, insira os seguintes valores:
   + **Nome da fonte de dados:**`trusted-remediator-delegated_administrator_account_id-account_region-remediation-executions`.
   + **Faça upload de um arquivo de manifesto:** crie um arquivo JSON com o conteúdo a seguir e use esse arquivo. Ao criar o arquivo, `logging_bucket_name` substitua a URIPrefixes chave.

     ```
     {
         "fileLocations": [
             {
                 "URIPrefixes": [
                     "s3://{logging_bucket_name}/remediation_executions/"
                 ]
             }
         ],
         "globalUploadSettings": {
             "format": "JSON",
             "delimiter": ",",
             "textqualifier": "'",
             "containsHeader": "true"
         }
     }
     ```
   + Selecione **Conectar**.
   + Na janela **Concluir criação do conjunto** de dados, escolha **Visualizar**.
   + QuickSight abre a nova página da planilha de análise. Agora você está pronto para criar uma nova análise usando o registro de itens de remediação.

A seguir está uma análise de amostra:

![\[Uma planilha de análise de amostra.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/tr-sample-analysis2.png)


# Melhores práticas no Trusted Remediator
<a name="tr-best-practices"></a>

A seguir estão as melhores práticas para ajudá-lo a usar o Trusted Remediator:
+ Se você não tiver certeza sobre os resultados da correção, comece com o modo de execução manual. Às vezes, aplicar a execução automatizada para remediações desde o início pode causar resultados inesperados.
+ Faça uma análise semanal das remediações e obtenha informações sobre OpsItems os resultados do Trusted Remediator.
+ As contas dos membros herdam as configurações da conta do administrador delegado. Portanto, é importante estruturar as contas de uma forma que ajude você a gerenciar várias contas com as mesmas configurações. Você pode isentar recursos da configuração padrão usando tags.

# Remediador confiável FAQs
<a name="tr-faq"></a>

A seguir estão as perguntas mais frequentes sobre o Trusted Remediator:

## O que é Trusted Remediator e como ele me beneficia?
<a name="tr-faq-benefits"></a>

Quando uma não conformidade é identificada Trusted Advisor ou uma recomendação é emitida pelo Compute Optimizer, o Trusted Remediator responde de acordo com suas preferências especificadas, seja aplicando correções, buscando aprovação por meio de correções manuais ou relatando as correções durante sua próxima Análise Empresarial Mensal (MBR). A remediação acontece no horário ou no cronograma de remediação de sua preferência. O Trusted Remediator oferece a capacidade de autoatendimento e de Trusted Advisor realizar verificações com a flexibilidade de configurar e corrigir verificações individualmente ou em massa. Com uma biblioteca de documentos de remediação testados, o AMS constantemente aumenta suas contas aplicando verificações de segurança e seguindo as AWS melhores práticas. Você só será notificado se especificar isso em sua configuração. Os usuários do AMS podem optar pelo Trusted Remediator sem custo adicional.

## Como o Trusted Remediator se relaciona e trabalha com outros Serviços da AWS?
<a name="tr-faq-relates"></a>

Você tem acesso a Trusted Advisor verificações e recomendações do Compute Optimizer como parte do seu plano atual de Enterprise Support. O Trusted Remediator se integra ao Trusted Advisor Compute Optimizer para aproveitar os recursos existentes de automação do AMS. Especificamente, o AMS usa documentos de AWS Systems Manager automação (runbooks) para remediações automatizadas. AWS AppConfig é usado para configurar os fluxos de trabalho de remediação. Você pode ver todas as remediações atuais e passadas por meio do Systems Manager OpsCenter. Os registros de remediação são armazenados em um bucket do Amazon S3. Você pode usar os registros para importar e criar painéis de relatórios personalizados no QuickSight.

## Quem configura as remediações?
<a name="tr-faq-configure"></a>

Você é o proprietário das configurações da sua conta. Gerenciar suas configurações é de sua responsabilidade. Você pode entrar em contato com sua CA ou CDSM para obter ajuda no gerenciamento de suas configurações. Você também pode entrar em contato com o AMS por meio de uma solicitação de serviço para suporte de configuração, correções manuais e solução de problemas de falhas de correção.

## Como faço para instalar documentos de automação SSM?
<a name="tr-faq-ssm"></a>

Os documentos de automação do SSM são compartilhados automaticamente com contas AMS integradas.

## Os recursos de propriedade da AMS também serão corrigidos?
<a name="tr-faq-ams-owned"></a>

Os recursos de propriedade da AMS não são sinalizados pelo Trusted Remediator. O Trusted Remediator se concentra apenas em seus recursos.

## Em Regiões da AWS que o Trusted Remediator está disponível e quem pode usá-lo?
<a name="tr-faq-regions"></a>

O Trusted Remediator está disponível para clientes do AMS Accelerate. Para obter uma lista atual das regiões de suporte, consulte [Serviços da AWS por região](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O Trusted Remediator causará desvio de recursos?
<a name="tr-faq-drift"></a>

Como os documentos de automação do SSM atualizam diretamente os recursos por meio da AWS API, pode ocorrer desvio de recursos. Você pode usar tags para segregar recursos criados por meio de seus pacotes existentes CI/CD . Você pode configurar o Trusted Remediator para ignorar os recursos marcados e, ao mesmo tempo, remediar seus outros recursos.

## Como faço para pausar ou parar o Trusted Remediator?
<a name="tr-faq-stop"></a>

Você pode desativar o Trusted Remediator por meio do AWS AppConfig aplicativo. Para pausar ou interromper o Trusted Remediator, conclua as seguintes etapas:

1. Abra o AWS AppConfig console em [https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig).

1. Selecione Trusted Remediator.

1. Escolha **Configurações** no perfil de configuração.

1. Selecione o indicador **Suspender Trusted Remediator**.

1. Defina o valor do `suspended` atributo como. `true`

**nota**  
Tenha cuidado ao usar esse procedimento, pois isso interrompe o Trusted Remediator para todas as contas vinculadas à conta do administrador delegado.

## Como posso corrigir verificações que não são suportadas pelo Trusted Remediator?
<a name="tr-faq-remediate-checks"></a>

Você pode continuar entrando em contato com o AMS por meio do Operations On Demand (OOD) para verificar verificações não suportadas. O AMS ajuda você a corrigir essas verificações. Para obter mais informações, consulte [Operations On Demand](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html).

## Como o Trusted Remediator é diferente da AWS Config remediação?
<a name="tr-faq-differences"></a>

AWS Config A remediação é outra solução que ajuda você a otimizar os recursos da nuvem e manter a conformidade com as melhores práticas. A seguir estão algumas das diferenças operacionais entre as duas soluções:
+ O Trusted Remediator usa Trusted Advisor o Compute Optimizer como mecanismos de detecção. AWS Config A remediação usa AWS Config regras como mecanismo de detecção.
+ Para o Trusted Remediator, a remediação acontece de acordo com seu cronograma de remediação predefinido. Em AWS Config, a remediação acontece em tempo real.
+ Os parâmetros para cada remediação no Trusted Remediator são facilmente personalizáveis com base em seu caso de uso, e a correção pode ser automatizada ou feita manualmente adicionando tags aos recursos.
+ O Trusted Remediator fornece funcionalidade de geração de relatórios.
+ O Trusted Remediator envia uma notificação por e-mail com a lista de remediação e o status da remediação.

Algumas Trusted Advisor verificações e recomendações do Compute Optimizer podem ter a mesma regra em. AWS ConfigÉ uma prática recomendada habilitar somente uma correção se houver uma AWS Config regra e Trusted Advisor verificação correspondentes. Para obter informações sobre AWS Config as regras para cada Trusted Advisor verificação, consulte[Trusted Advisor verificações suportadas pelo Trusted Remediator](tr-supported-checks.md).

## Quais recursos o Trusted Remediator implanta em suas contas?
<a name="tr-faq-deployed-resources"></a>

O Trusted Remediator implanta os seguintes recursos na conta de administrador delegado do Trusted Remediator:
+ Um bucket do Amazon S3 nomeado `ams-trusted-remediator-{your-account-id}-logs`. O Trusted Remediator cria o formato JSON quando uma remediação OpsItem é criada e carrega os arquivos de log `Remediation item log` nesse bucket.
+ Um AWS AppConfig aplicativo para manter as configurações de remediação para Trusted Advisor verificações suportadas e recomendações do Compute Optimizer.

O Trusted Remediator não implanta recursos na conta de membro do Trusted Remediator.