Trusted Advisor verificações suportadas pelo Trusted Remediator - Guia do usuário avançado do AMS
Verificações de Trusted Advisor otimização de custos suportadasVerificações Trusted Advisor de segurança suportadasVerificações de Trusted Advisor tolerância a falhas suportadasVerificações Trusted Advisor de desempenho suportadasVerificações Trusted Advisor de limites de serviço compatíveisVerificações de excelência Trusted Advisor operacional suportadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Trusted Advisor verificações suportadas pelo Trusted Remediator

A tabela a seguir lista as Trusted Advisor verificações suportadas, os documentos de automação do SSM, os parâmetros pré-configurados e o resultado esperado dos documentos de automação. Analise o resultado esperado para ajudá-lo a entender os possíveis riscos com base nos requisitos de sua empresa antes de habilitar um documento de automação de SSM para remediação de cheques.

Certifique-se de que a regra de configuração correspondente para cada Trusted Advisor verificação esteja presente para as verificações suportadas para as quais você deseja habilitar a correção. Para obter mais informações, consulte Exibir AWS Trusted Advisor verificações fornecidas por AWS Config. Se uma verificação tiver AWS Security Hub controles correspondentes, verifique se o controle do Security Hub está ativado. Para obter mais informações, consulte Habilitando controles no Security Hub. Para obter informações sobre o gerenciamento de parâmetros pré-configurados, consulte Configure Trusted Advisor check remediation no Trusted Remediator.

Trusted Advisor verificações de otimização de custos suportadas pelo Trusted Remediator

Verifique o ID e o nome Nome do documento SSM e resultado esperado Parâmetros e restrições pré-configurados suportados

Z4 AUBRNSmz

Endereços de IP elástico não associados

AWSManagedServices-TrustedRemediatorReleaseElasticIP

Libera um endereço IP elástico que não está associado a nenhum recurso.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c18d2gz150 - Instâncias da Amazon paradas EC2

AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime - EC2 As instâncias da Amazon interrompidas por vários dias são encerradas.

  • Criar AMIBefore encerramento: Para criar a AMI da instância como backup antes de encerrar a EC2 instância da Amazon, escolhatrue. Para não criar um backup antes de encerrar, escolhafalse. O padrão é true.

  • AllowedDays: o número de dias em que a instância está parada antes de ser encerrada. O padrão é 30.

Sem restrições

c18d2gz128

Repositório do Amazon ECR sem política de ciclo de vida configurada

AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy

Cria uma política de ciclo de vida para o repositório especificado se uma política de ciclo de vida ainda não existir.

ImageAgeLimit: O limite máximo de idade em dias (1-365) para “qualquer” imagem no repositório Amazon ECR.

Sem restrições

DAvU99Dc4C

Volumes subutilizados do Amazon EBS

AWSManagedServices-DeleteUnusedEBSVolume

Exclui volumes subutilizados do Amazon EBS se os volumes estiverem desvinculados nos últimos 7 dias. Um snapshot do Amazon EBS é criado por padrão.

  • CreateSnapshot: Se configurada comotrue, a automação cria um snapshot do volume do Amazon EBS antes de ser excluído. A configuração padrão é true. Os valores válidos são true e false (com distinção entre maiúsculas e minúsculas).

  • MinimumUnattachedDays: Mínimo de dias não vinculados do volume do EBS a serem excluídos, até 62 dias. Se definido como0, o documento SSM não verifica o período não anexado e exclui o volume se o volume estiver atualmente desconectado. O padrão é value is7.

Sem restrições

oi M8 LMh88u

Balanceadores de carga obsoletos

AWSManagedServices-DeleteIdleClassicLoadBalancer

Exclui um Classic Load Balancer ocioso se ele não for usado e nenhuma instância estiver registrada.

IdleLoadBalancerDays: o número de dias em que o Classic Load Balancer tem 0 conexões solicitadas antes de considerá-lo ocioso. O padrão é sete dias.

Se a execução automática estiver ativada, a automação excluirá os Classic Load Balancers ociosos se não houver instâncias de back-end ativas. Para todos os Classic Load Balancers ociosos que têm instâncias de back-end ativas, mas não têm instâncias de back-end saudáveis, a remediação automática não é usada OpsItems e a correção manual é criada.

TI39HalfU8

Amazon RDS Idle DB Instances

AWSManagedServices-StopIdleRDSInstance

A instância de banco de dados Amazon RDS que esteve em um estado ocioso nos últimos sete dias foi interrompida.

Não são permitidos parâmetros pré-configurados.

Sem restrições

COr6dfpM05

AWS Lambda funções superprovisionadas para o tamanho da memória

AWSManagedServices-ResizeLambdaMemory

AWS Lambda o tamanho da memória da função é redimensionado para o tamanho de memória recomendado fornecido pelo Trusted Advisor.

RecommendedMemorySize: a alocação de memória recomendada para a função Lambda. O intervalo de valores está entre 128 e 10240.

Se o tamanho da função Lambda foi modificado antes da execução da automação, as configurações podem ser substituídas por essa automação pelo valor recomendado por. Trusted Advisor

QCH7dWOUx1

Instâncias Amazon EC2 de baixa utilização

AWSManagedServices-StopEC2Instance (documento SSM padrão para o modo de execução automática e manual).

EC2 As instâncias da Amazon com baixa utilização são interrompidas.

ForceStopWithInstanceStore: defina como para true forçar a parada de instâncias usando o armazenamento de instâncias. Caso contrário, defina como false. O valor padrão de false impede que a instância pare. Os valores válidos são verdadeiros ou falsos (diferencia maiúsculas de minúsculas).

Sem restrições

QCH7dWOUx1

Instâncias Amazon EC2 de baixa utilização

AWSManagedServices-ResizeInstanceByOneLevel

A EC2 instância da Amazon é redimensionada por um tipo de instância abaixo do mesmo tipo de família de instâncias. A instância é interrompida e iniciada durante a operação de redimensionamento e retorna ao estado inicial após a conclusão da execução do documento SSM. Essa automação não dá suporte ao redimensionamento de instâncias que estão em um grupo de Auto Scaling.

  • MinimumDaysSinceLastChange: número mínimo de dias desde a última alteração do tipo de instância. Se o tipo de instância foi modificado dentro de um tempo especificado, o tipo de instância não será alterado. Use 0 para pular essa validação. O padrão é 7.

  • Criar AMIBefore redimensionamento: para criar a AMI da instância como backup antes do redimensionamento, escolha. true Para não criar um backup, escolhafalse. O padrão é false. Os valores válidos são true e false (com distinção entre maiúsculas e minúsculas).

  • ResizeIfStopped: para continuar com a alteração do tamanho da instância, mesmo que a instância esteja em um estado interrompido, escolhatrue. Para não redimensionar automaticamente a instância se estiver em um estado interrompido, escolhafalse. Os valores válidos são true e false (com distinção entre maiúsculas e minúsculas).

Sem restrições

QCH7dWOUx1

Instâncias Amazon EC2 de baixa utilização

AWSManagedServices-TerminateInstance

As EC2 instâncias Amazon de baixa utilização são encerradas se não fizerem parte de um grupo de Auto Scaling e a proteção contra rescisão não está ativada. Uma AMI é criada por padrão.

Criar AMIBefore encerramento: defina essa opção para true ou false para criar uma AMI de instância como backup antes de encerrar a EC2 instância. O padrão é true. Os valores válidos são true e false (com distinção entre maiúsculas e minúsculas).

Sem restrições

G31sq1e9u

Clusters subutilizados do Amazon Redshift

AWSManagedServices-PauseRedshiftCluster

O cluster do Amazon Redshift está pausado.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1cj39rr6v

Configuração de cancelamento de upload em várias partes incompleta do Amazon S3

AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload

O bucket do Amazon S3 é configurado com uma regra de ciclo de vida para abortar carregamentos de várias partes que permanecem incompletos após determinados dias.

DaysAfterInitiation: o número de dias após os quais o Amazon S3 interrompe um upload incompleto de várias partes. O padrão é definido para 7 dias.

Sem restrições

c1z7kmr00n

Recomendações EC2 de otimização de custos da Amazon para instâncias

 Use as recomendações de EC2 instâncias da Amazon e a EC2 instância inativa da Amazon deRecomendações do Compute Optimizer suportadas pelo Trusted Remediator.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1z7kmr02n

Recomendações de otimização de custos do Amazon EBS para volumes

 Use as recomendações de volume do Amazon EBS e deixe o volume ocioso do Amazon EBS de. Recomendações do Compute Optimizer suportadas pelo Trusted Remediator

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1z7kmr03n

Recomendações de otimização de custos do Amazon RDS para instâncias de banco de dados

 Use a instância inativa do Amazon RDS de. Recomendações do Compute Optimizer suportadas pelo Trusted Remediator

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1z7kmr05n

AWS Lambda recomendações de otimização de custos para funções

 Use as recomendações da função Lambda de. Recomendações do Compute Optimizer suportadas pelo Trusted Remediator

Não são permitidos parâmetros pré-configurados.

Sem restrições

Trusted Advisor verificações de segurança suportadas pelo Trusted Remediator

Verifique o ID e o nome Nome do documento SSM e resultado esperado Parâmetros e restrições pré-configurados suportados

12Fnkpl8Y5

Exposed Access Keys

AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey

A chave de acesso do IAM exposta está desativada.

Não são permitidos parâmetros pré-configurados.

Os aplicativos configurados com uma chave de acesso do IAM exposta não podem ser autenticados.

Hs4Ma3G127 - O REST do API Gateway WebSocket e o registro de execução da API devem estar habilitados

AWS Security Hub Verificação correspondente: 1 APIGateway.

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

O registro de execução é ativado no estágio da API.

LogLevel: Nível de registro para ativar o registro de execução, ERROR - O registro é ativado somente para erros. INFO - O registro está ativado para todos os eventos.

Você deve conceder permissão ao API Gateway para ler e gravar registros da sua conta CloudWatch para ativar o registro de execução. Consulte Configurar o CloudWatch registro para REST APIs no API Gateway para obter detalhes.

Hs4Ma3G129 - Os estágios da API REST API Gateway devem ter o rastreamento ativado AWS X-Ray

AWS Security Hub Verificação correspondente: 3 APIGateway.

AWSManagedServices-EnableApiGateWayXRayTracing

O rastreamento X-Ray está ativado no estágio da API.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G202 - Os dados do cache da API REST do API Gateway devem ser criptografados em repouso

AWS Security Hub Verificação correspondente: 5 APIGateway.

AWSManagedServices-EnableAPIGatewayCacheEncryption

Ative a criptografia em repouso para os dados de cache da API REST do API Gateway se o estágio da API REST API Gateway tiver o cache ativado.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma 3G177 -

AWS Security Hub Verificação correspondente: grupos de escalonamento automático associados a um balanceador de carga devem usar verificações de integridade do balanceador de carga .1 AutoScaling

AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck

As verificações de saúde do Elastic Load Balancing estão habilitadas para o Auto Scaling Group.

HealthCheckGracePeriod: a quantidade de tempo, em segundos, que o Auto Scaling espera antes de verificar o status de saúde de uma instância do Amazon Elastic Compute Cloud que entrou em serviço.

A ativação das verificações de integridade do Elastic Load Balancing pode resultar na substituição de uma instância em execução se algum dos load balancers do Elastic Load Balancing vinculados ao grupo Auto Scaling relatar que ela não está íntegra. Para obter mais informações, consulte Anexar um balanceador de carga do Elastic Load Balancing ao seu grupo de Auto Scaling

Hs4Ma3G245 - as CloudFormation pilhas devem ser integradas ao Amazon Simple Notification Service

AWS Security Hub Verificação correspondente: 1 CloudFormation.

AWSManagedServices-EnableCFNStackNotification

Associe uma CloudFormation pilha a um tópico do Amazon SNS para notificação.

NotificaçãoARNs: Os tópicos ARNs do Amazon SNS a serem associados às pilhas selecionadas CloudFormation .

Para ativar a correção automática, o parâmetro NotificationARNs pré-configurado deve ser fornecido.

Hs4Ma3G210 - CloudFront as distribuições devem ter o registro ativado

AWS Security Hub Verificação correspondente: 2 CloudFront.

AWSManagedServices-EnableCloudFrontDistributionLogging

O registro está habilitado para CloudFront distribuições da Amazon.

  • BucketName: o nome do bucket do Amazon S3 em que você deseja armazenar os registros de acesso.

  • S3KeyPrefix: O prefixo da localização no bucket do S3 para os registros de distribuição da CloudFront Amazon.

  • IncludeCookies: indica se os cookies devem ser incluídos nos registros de acesso.

Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos:

  • BucketName

  • S3KeyPrefix

  • IncludeCookies

Para essas restrições de remediação, consulte Como faço para ativar o registro em log para minha distribuição? CloudFront

Hs4Ma3G109 - a validação do arquivo de CloudTrail log deve ser ativada

AWS Security Hub Verificação correspondente: CloudTrail.4

AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation

Permite a validação do registro de CloudTrail trilhas.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G108 - as CloudTrail trilhas devem ser integradas ao Amazon Logs CloudWatch

AWS Security Hub Verificação correspondente: 5 CloudTrail.

AWSManagedServices-IntegrateCloudTrailWithCloudWatch

AWS CloudTrail é integrado ao CloudWatch Logs.

  • CloudWatchLogsLogGroupName: nome do grupo de CloudWatch registros de registros para o qual CloudTrail os registros são entregues. Você deve usar um grupo de logs que exista em sua conta.

  • CloudWatchLogsRoleName: nome da função do IAM que o endpoint de CloudWatch registros deve assumir para gravar no grupo de registros de um usuário. Você deve usar uma função que exista em sua conta.

Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos:

  • CloudWatchLogsLogGroupName

  • CloudWatchLogsRoleName

Hs4Ma3G217 - os ambientes do CodeBuild projeto devem ter uma configuração de registro AWS

AWS Security Hub Verificação correspondente: CodeBuild.4

AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig

Ativa o registro para o CodeBuild projeto.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G306 - Os clusters de banco de dados Neptune devem ter a proteção de exclusão ativada

AWS Security Hub Verificação correspondente: DocumentDB.3

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot

Remove o acesso público do snapshot manual do cluster do Amazon DocumentDB.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G308 - Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada

AWS Security Hub Verificação correspondente: DocumentDB.5

AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection

Permite a proteção contra exclusão do cluster Amazon DocumentDB.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G323 - As tabelas do DynamoDB devem ter a proteção contra exclusão ativada

AWS Security Hub Verificação correspondente: DynamoDB.6

AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection

Ativa a proteção contra exclusão de tabelas do DynamoDB que não sejam do AMS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

EPS02jt06w - Snapshots públicos do Amazon EBS

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot

O acesso público ao snapshot do Amazon EBS está desativado.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G118 - Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída

AWS Security Hub Verificação correspondente: 2 EC2.

AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG

Todas as regras de entrada e saída no grupo de segurança padrão são removidas.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G117 - Os volumes EBS anexados devem ser criptografados em repouso

AWS Security Hub Verificação correspondente: 3 EC2.

AWSManagedServices-EncryptInstanceVolume

O volume do Amazon EBS anexado na instância é criptografado.

  • KMSKeyID: ID da AWS KMS chave ou ARN para criptografar o volume.

  • DeleteStaleNonEncryptedSnapshotBackups: um sinalizador que decide se o backup instantâneo dos volumes antigos não criptografados deve ser excluído.

A instância é reinicializada como parte da correção e a reversão é possível se DeleteStaleNonEncryptedSnapshotBackups estiver configurada para false ajudar na restauração.

Hs4Ma3G120 - EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

AWS Security Hub Verificação correspondente: EC2.4

AWSManagedServices-TerminateInstance(documento SSM padrão para o modo de execução automática e manual)

EC2 As instâncias da Amazon interrompidas por 30 dias são encerradas.

Criar AMIBefore rescisão:. Para criar a AMI da instância como backup antes de encerrar a EC2 instância, escolhatrue. Para não criar um backup antes de encerrar, escolhafalse. O padrão é true.

Sem restrições

Hs4Ma3G120 - EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

AWS Security Hub Verificação correspondente: EC2.4

AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime - EC2 As instâncias da Amazon paradas por um número de dias definido no Security Hub (o valor padrão é 30) são encerradas.

Criar AMIBefore encerramento: Para criar a AMI da instância como backup antes de encerrar a EC2 instância, escolhatrue. Para não criar um backup antes de encerrar, escolhafalse. O padrão é true.

Sem restrições

Hs4Ma3G121 - A criptografia padrão do EBS deve estar ativada

AWS Security Hub Verificação correspondente: 7 EC2.

AWSManagedServices-EncryptEBSByDefault

A criptografia do Amazon EBS, por padrão, está habilitada para o Região da AWS

Não são permitidos parâmetros pré-configurados.

A criptografia por padrão é uma configuração específica da região. Se você habilitá-lo para uma região, não poderá desativá-lo para volumes ou snapshots individuais nessa região.

Hs4Ma3G124 - As instâncias da EC2 Amazon devem usar o Instance Metadata Service versão 2 () IMDSv2

AWS Security Hub Verificação correspondente: 8 EC2.

AWSManagedServices-TrustedRemediatorHabilitar EC2 instância IMDSv2

EC2 As instâncias da Amazon usam o Instance Metadata Service versão 2 (IMDSv2).

  • IMDSv1MetricCheckPeriod: o número de dias (42-455) para analisar as métricas de IMDSv1 uso CloudWatch. Se a EC2 instância da Amazon foi criada dentro do período de tempo especificado, a análise começa a partir da data de criação da instância.

  • HttpPutResponseHopLimit: o número máximo de saltos de rede permitidos para o token de metadados da instância. Esse valor pode ser configurado entre 2 saltos 1 e saltos. Um limite de salto 1 restringe o acesso por token a processos executados diretamente na instância, enquanto um limite de salto de 2 permite o acesso de contêineres em execução na instância.

Sem restrições

Hs4Ma3G207 - as EC2 sub-redes não devem atribuir automaticamente endereços IP públicos

AWS Security Hub Cheque correspondente: EC2.15

AWSManagedServices-UpdateAutoAssignPublicIpv4 endereços

As sub-redes VPC são configuradas para não atribuir automaticamente endereços IP públicos.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G209 - As listas de controle de acesso à rede não utilizadas são removidas

AWS Security Hub Verificação correspondente: EC2.16

AWSManagedServices-DeleteUnusedNACL

Excluir ACL de rede não utilizada

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G215 - Grupos de segurança não utilizados da Amazon devem ser removidos EC2

AWS Security Hub Verificação correspondente: EC2.22

AWSManagedServices-DeleteSecurityGroups

Exclua grupos de segurança não utilizados.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G247 - O Amazon Transit EC2 Gateway não deve aceitar automaticamente solicitações de anexos de VPC

AWS Security Hub Cheque correspondente: EC2.23

AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach- Desativa a aceitação automática de solicitações de anexos de VPC para o Amazon Transit EC2 Gateway não AMS especificado.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G235 - Os repositórios privados do ECR devem ter a imutabilidade da tag configurada

AWS Security Hub Verificação correspondente: ECR.2

AWSManagedServices-TrustedRemediatorSetImageTagImmutability

Define as configurações de mutabilidade da tag de imagem como IMMUTABLE para o repositório especificado.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G216 - Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada

AWS Security Hub Verificação correspondente: ECR.3

AWSManagedServices-PutECRRepositoryLifecyclePolicy

O repositório ECR tem uma política de ciclo de vida configurada.

LifecyclePolicyText: o texto da política do repositório JSON a ser aplicado ao repositório.

Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos:

LifecyclePolicyText

Hs4Ma3G325 - Os clusters EKS devem ter o registro de auditoria ativado

AWS Security Hub Verificação correspondente: EKS.8

AWSManagedServices-TrustedRemediatorEnableEKSAuditLog

O registro de auditoria está habilitado para o cluster EKS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G183 - O balanceador de carga do aplicativo deve ser configurado para descartar cabeçalhos HTTP

AWS Security Hub Verificação correspondente: ELB.4

AWSConfigRemediation-DropInvalidHeadersForALB

O Application Load Balancer está configurado para campos de cabeçalho inválidos.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G184 - O registro de balanceadores de carga de aplicativos e balanceadores de carga clássicos deve estar ativado

AWS Security Hub Verificação correspondente: ELB.5

AWSManagedServices-EnableELBLogging (documento SSM padrão para o modo de execução automática e manual)

O registro em log do Application Load Balancer e do Classic Load Balancer está ativado.

  • BucketName: o nome do bucket (não o ARN). Certifique-se de que a política de bucket esteja configurada corretamente para registro em log.

  • S3KeyPrefix: O prefixo da localização no bucket do Amazon S3 para os registros do Elastic Load Balancing.

Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos:

  • BucketName

  • S3KeyPrefix

O bucket do Amazon S3 deve ter uma política de bucket que conceda permissão ao Elastic Load Balancing para gravar os registros de acesso no bucket.

Hs4Ma3G184 - O registro de balanceadores de carga de aplicativos e balanceadores de carga clássicos deve estar ativado

AWS Security Hub Verificação correspondente: ELB.5

AWSManagedServices-EnableELBLoggingV2

O registro em log do Application Load Balancer e do Classic Load Balancer está ativado.

  • TargetBucketTagKey: o nome da tag (com distinção entre maiúsculas e minúsculas) usada para identificar o bucket de destino do Amazon S3. Use isso junto com TargetBucketTagValue para marcar o bucket que servirá como bucket de destino para o registro de acesso.

  • TargetBucketTagValue: o valor da tag (com distinção entre maiúsculas e minúsculas) usado para identificar o bucket de destino do Amazon S3. Use isso junto com TargetBucketTagKey para marcar o bucket que servirá como bucket de destino para o registro de acesso.

  • S3BucketPrefix: O prefixo (hierarquia lógica) do bucket Amazon S3. O prefixo especificado não pode incluir a string AWSLogs. Para mais informações, consulte Organizar objetos usando prefixos.

    Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos:

    • TargetBucketTagKey

    • TargetBucketTagValue

    • S3BucketPrefix

    O bucket do Amazon S3 deve ter uma política de bucket que conceda permissão ao Elastic Load Balancing para gravar os registros de acesso no bucket.

Hs4Ma3G326 - A configuração de bloqueio de acesso público do Amazon EMR deve estar ativada

AWS Security Hub Verificação correspondente: EMR.2

AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess

As configurações de bloqueio de acesso público do Amazon EMR estão ativadas para a conta.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G135 - as AWS KMS chaves não devem ser excluídas acidentalmente

AWS Security Hub Verificação correspondente: KMS.3

AWSManagedServices-CancelKeyDeletion

AWS KMS a exclusão da chave foi cancelada.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G299 - Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos

AWS Security Hub Cheque correspondente: Netuno.4

AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection

Permite a proteção contra exclusão do cluster Amazon Neptune.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G319 - Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada

AWS Security Hub Cheque correspondente: 9 NetworkFirewall.

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection- Ativa a proteção de exclusão para o AWS Network Firewall.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G223 - os OpenSearch domínios devem criptografar os dados enviados entre os nós

AWS Security Hub Verificação correspondente: 3 OpenSearch.

AWSManagedServices-EnableOpenSearchNodeToNodeEncryption

A criptografia de nó a nó está habilitada para o domínio.

Não são permitidos parâmetros pré-configurados.

Depois que a node-to-node criptografia estiver ativada, você não poderá desativar a configuração. Em vez disso, tire um instantâneo manual do domínio criptografado, crie outro domínio, migre seus dados e exclua o domínio antigo.

Hs4Ma3G222 - o registro de erros de OpenSearch domínio nos registros deve estar ativado CloudWatch

AWS Security Hub Verificação correspondente: Opensearch.4

AWSManagedServices-EnableOpenSearchLogging

O registro de erros está ativado para o OpenSearch domínio.

CloudWatchLogGroupArn: o ARN de um grupo de CloudWatch logs do Amazon Logs.

Para habilitar a remediação automática, o seguinte parâmetro pré-configurado deve ser fornecido:. CloudWatchLogGroupArn

A política CloudWatch de recursos da Amazon deve ser configurada com permissões. Para obter mais informações, consulte Habilitar registros de auditoria no Guia do usuário do Amazon OpenSearch Service

Hs4Ma3G221 - OpenSearch os domínios devem ter o registro de auditoria ativado

AWS Security Hub Verificação correspondente: Opensearch.5

AWSManagedServices-EnableOpenSearchLogging

OpenSearch os domínios são configurados com o registro de auditoria ativado.

CloudWatchLogGroupArn: o ARN do grupo de CloudWatch registros no qual publicar registros.

Para habilitar a correção automática, o seguinte parâmetro pré-configurado deve ser fornecido: CloudWatchLogGroupArn

A política CloudWatch de recursos da Amazon deve ser configurada com permissões. Para obter mais informações, consulte Habilitar registros de auditoria no Guia do usuário do Amazon OpenSearch Service

Hs4Ma3G220 - As conexões com OpenSearch domínios devem ser criptografadas usando TLS 1.2

AWS Security Hub Verificação correspondente: Opensearch.8

AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2

A política TLS está definida como `policy-min-TLS-1-2-2019-07` e somente conexões criptografadas por HTTPS (TLS) são permitidas.

Não são permitidos parâmetros pré-configurados.

Conexões com OpenSearch domínios são necessárias para usar o TLS 1.2. A criptografia de dados em trânsito pode afetar o desempenho. Teste seus aplicativos com esse recurso para entender o perfil de desempenho e o impacto do TLS.

Hs4Ma3G194 - O snapshot do Amazon RDS deve ser privado

AWS Security Hub Verificação correspondente: RDS.1

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

O acesso público ao snapshot do Amazon RDS está desativado.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G192 - As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible AWS

AWS Security Hub Verificação correspondente: RDS.2

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance

Desative o acesso público na instância de banco de dados do RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G189 - O monitoramento aprimorado é configurado para instâncias de banco de dados Amazon RDS

AWS Security Hub Verificação correspondente: RDS.6

AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring

Habilite o monitoramento aprimorado para instâncias de banco de dados Amazon RDS

  • MonitoringInterval: o intervalo, em segundos, entre os pontos em que as métricas de monitoramento aprimorado são coletadas para a instância de banco de dados. Os intervalos válidos são 0, 1, 5, 10, 15, 30 e 60. Para desabilitar a coleta de métricas de monitoramento avançado, especifique 0.

  • MonitoringRoleName: o nome da função do IAM que permite que o Amazon RDS envie métricas de monitoramento aprimoradas para o Amazon CloudWatch Logs. Se uma função não for especificada, a função rds-monitoring-role padrão será usada ou criada, caso não exista.

Se o monitoramento aprimorado for ativado antes da execução da automação, as configurações poderão ser substituídas por essa automação com os MonitoringRoleName valores MonitoringInterval e configurados nos parâmetros pré-configurados.

Hs4Ma3G190 - Os clusters do Amazon RDS devem ter a proteção de exclusão ativada

AWS Security Hub Verificação correspondente: RDS.7

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

A proteção contra exclusão está habilitada para clusters do Amazon RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G198 - As instâncias de banco de dados do Amazon RDS devem ter a proteção de exclusão ativada

AWS Security Hub Verificação correspondente: RDS.8

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

A proteção contra exclusão está habilitada para instâncias do Amazon RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G199 - As instâncias de banco de dados do RDS devem publicar registros nos registros CloudWatch

AWS Security Hub Verificação correspondente: RDS.9

AWSManagedServices-TrustedRemediatorEnableRDSLogExports

As exportações de log do RDS estão habilitadas para a instância de banco de dados RDS ou o cluster de banco de dados RDS.

Não são permitidos parâmetros pré-configurados.

A função AWSServiceRoleForRDS vinculada ao serviço é necessária.

Hs4Ma3G160 - A autenticação do IAM deve ser configurada para instâncias do RDS

AWS Security Hub Verificação correspondente: RDS.10

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

AWS Identity and Access Management a autenticação está habilitada para a instância do RDS.

ApplyImmediately: indica se as modificações nessa solicitação e quaisquer modificações pendentes são aplicadas de forma assíncrona o mais rápido possível. Para aplicar a alteração imediatamente, escolha. true Para programar a alteração para a próxima janela de manutenção, escolhafalse.

Sem restrições

Hs4Ma3G161 - A autenticação do IAM deve ser configurada para clusters RDS

AWS Security Hub Verificação correspondente: RDS.12

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

A autenticação do IAM está habilitada para o cluster RDS.

ApplyImmediately: indica se as modificações nessa solicitação e quaisquer modificações pendentes são aplicadas de forma assíncrona o mais rápido possível. Para aplicar a alteração imediatamente, escolha. true Para programar a alteração para a próxima janela de manutenção, escolhafalse.

Sem restrições

Hs4Ma3G162 - As atualizações automáticas de versões secundárias do RDS devem ser habilitadas

AWS Security Hub Verificação correspondente: RDS.13

AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade

A configuração automática de upgrade de versões secundárias para o Amazon RDS está habilitada.

Não são permitidos parâmetros pré-configurados.

A instância do Amazon RDS deve estar no available estado para que essa remediação ocorra.

Hs4Ma3G163 - Os clusters de banco de dados RDS devem ser configurados para copiar tags para instantâneos

AWS Security Hub Verificação correspondente: RDS.16

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagtosnapshota configuração para clusters do Amazon RDS está ativada.

Não são permitidos parâmetros pré-configurados.

As instâncias do Amazon RDS devem estar disponíveis para que essa correção ocorra.

Hs4Ma3G164 - As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para instantâneos

AWS Security Hub Verificação correspondente: RDS.17

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagsToSnapshota configuração do Amazon RDS está ativada.

Não são permitidos parâmetros pré-configurados.

As instâncias do Amazon RDS devem estar disponíveis para que essa correção ocorra.

RsS93 HQwa1

Snapshots públicos do Amazon RDS

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

O acesso público ao snapshot do Amazon RDS está desativado.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G103 - Os clusters do Amazon Redshift devem proibir o acesso público

AWS Security Hub Verificação correspondente: Redshift.1

AWSManagedServices-DisablePublicAccessOnRedshiftCluster

O acesso público no cluster do Amazon Redshift está desativado.

Não são permitidos parâmetros pré-configurados.

A desativação do acesso público bloqueia todos os clientes provenientes da Internet. E o cluster do Amazon Redshift fica no estado de modificação por alguns minutos, enquanto a remediação desativa o acesso público ao cluster.

Hs4Ma3G106 - Os clusters do Amazon Redshift devem ter o registro de auditoria ativado

AWS Security Hub Verificação correspondente: Redshift.4

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging

O registro de auditoria é ativado no seu cluster do Amazon Redshift durante a janela de manutenção.

Não são permitidos parâmetros pré-configurados.

Para habilitar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos.

BucketName: O balde deve estar no mesmo Região da AWS. O cluster deve ter permissões de leitura e colocação de objetos.

Se o registro em cluster do Redshift estiver ativado antes da execução da automação, as configurações de registro poderão ser substituídas por essa automação com os S3KeyPrefix valores BucketName e configurados nos parâmetros pré-configurados.

Hs4Ma3G105 - O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas

AWS Security Hub Verificação correspondente: Redshift.6

AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade- As principais atualizações da versão são aplicadas automaticamente ao cluster durante a janela de manutenção. Não há tempo de inatividade imediato para o cluster do Amazon Redshift, mas seu cluster do Amazon Redshift pode ter tempo de inatividade durante a janela de manutenção se for atualizado para uma versão principal.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G104 - Os clusters do Amazon Redshift devem usar roteamento de VPC aprimorado

AWS Security Hub Verificação correspondente: Redshift.7

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting

O roteamento aprimorado de VPC está habilitado para clusters do Amazon Redshift.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G173 - A configuração de acesso público do bloco S3 deve ser ativada no nível do bucket

AWS Security Hub Verificação correspondente: S3.8

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

Os blocos de acesso público no nível do bucket são aplicados ao bucket do Amazon S3.

Não são permitidos parâmetros pré-configurados.

Essa correção pode afetar a disponibilidade dos objetos do S3. Para obter informações sobre como o Amazon S3 avalia o acesso, consulte Bloqueio do acesso público ao seu armazenamento do Amazon S3.

Hs4Ma3G230 - O registro de acesso ao servidor de bucket S3 deve estar ativado

AWS Security Hub Verificação correspondente: S3.9

AWSManagedServices-EnableBucketAccessLogging(documento SSM padrão para o modo de execução automática e manual)

O registro de acesso ao servidor Amazon S3 está ativado.

  • TargetBucket: o nome do bucket do S3 para armazenar registros de acesso ao servidor.

  • TargetObjectKeyFormat: formato de chave do Amazon S3 para objetos de log (os valores diferenciam maiúsculas de minúsculas). Para usar o formato simples das chaves do S3 para objetos de log, escolhaSimplePrefix. Para usar a chave S3 particionada para objetos de log e usar EventTime para o prefixo particionado, escolha. PartitionedPrefixEventTime Para usar a chave S3 particionada para objetos de log e usar DeliveryTime para o prefixo particionado, escolha. PartitionedPrefixDeliveryTime Os valores válidos são SimplePrefix, PartitionedPrefixEventTime e PartitionedPrefixDeliveryTime.

Para habilitar a remediação automática, o seguinte parâmetro pré-configurado deve ser fornecido:. TargetBucket

O bucket de destino deve estar no mesmo bucket Região da AWS e Conta da AWS no bucket de origem, com as permissões corretas para entrega de registros. Para obter mais informações, consulte Habilitar registro em log de acesso ao servidor do Amazon S3.

Hs4Ma3G230 — O registro de acesso ao servidor bucket S3 deve estar habilitado

AWS Security Hub Verificação correspondente: S3.9

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 - O registro do bucket do Amazon S3 está ativado.

  • TargetBucketTagKey: o nome da tag (com distinção entre maiúsculas e minúsculas) para identificar o bucket de destino. Use isso e TargetBucketTagValuemarque o bucket a ser usado como o bucket de destino para o registro de acesso.

  • TargetBucketTagValue: o valor da tag (com distinção entre maiúsculas e minúsculas) para identificar o bucket de destino, use-o e TargetBucketTagKeypara marcar o bucket a ser usado como o bucket de destino para o registro de acesso.

  • TargetObjectKeyFormat: Formato de chave do Amazon S3 para objetos de log (os valores diferenciam maiúsculas de minúsculas): Para usar o formato simples das chaves do S3 para objetos de log, escolha. SimplePrefix Para usar a chave S3 particionada para objetos de log e usar EventTime para o prefixo particionado, escolha. PartitionedPrefixEventTime Para usar a chave S3 particionada para objetos de log e usar DeliveryTime para o prefixo particionado, escolha. PartitionedPrefixDeliveryTime O padrão é PartitionedPrefixEventTime.

Para habilitar a correção automática, os seguintes parâmetros devem ser fornecidos: TargetBucketTagKeye. TargetBucketTagValue

O bucket de destino deve estar no mesmo bucket Região da AWS e Conta da AWS no bucket de origem, com as permissões corretas para entrega de registros. Para obter mais informações, consulte Habilitar registro em log de acesso ao servidor do Amazon S3.

Pfx0 RwqBli

Permissões do bucket do Amazon S3

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

Bloqueio de acesso público

Não são permitidos parâmetros pré-configurados.

Essa verificação consiste em vários critérios de alerta. Essa automação corrige problemas de acesso público. A correção de outros problemas de configuração sinalizados por Trusted Advisor não é suportada. Essa remediação oferece suporte à remediação de buckets S3 AWS service (Serviço da AWS) criados (por exemplo, cf-templates-000000000000).

Hs4Ma3G272 - Os usuários não devem ter acesso root às instâncias do notebook SageMaker

AWS Security Hub Verificação correspondente: 3 SageMaker.

AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess

O acesso root para usuários está desativado para a instância do SageMaker notebook.

Não são permitidos parâmetros pré-configurados.

Essa remediação causa interrupção se a instância do SageMaker notebook estiver no InService estado.

Hs4Ma3G179 - Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS

AWS Security Hub Verificação correspondente: SNS.1

AWSManagedServices-EnableSNSEncryptionAtRest

O tópico do SNS é configurado com criptografia do lado do servidor.

KmsKeyId: o ID de uma chave mestra de cliente AWS gerenciada (CMK) para o Amazon SNS ou de uma CMK personalizada a ser usada para criptografia do lado do servidor (SSE). O padrão está definido comoalias/aws/sns.

Se uma AWS KMS chave personalizada for usada, ela deverá ser configurada com as permissões corretas. Para obter mais informações, consulte Habilitando a criptografia do lado do servidor (SSE) para um tópico do Amazon SNS

Hs4Ma3G158 - Documentos SSM não devem ser públicos

AWS Security Hub Verificação correspondente: SSM.4

AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing- Desativa o compartilhamento público do documento SSM.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hs4Ma3G136 - As filas do Amazon SQS devem ser criptografadas em repouso

AWS Security Hub Verificação correspondente: SQS.1

AWSManagedServices-EnableSQSEncryptionAtRest

As mensagens no Amazon SQS são criptografadas.

  • SqsManagedSseEnabled: Defina como true para habilitar a criptografia de filas do lado do servidor usando chaves de criptografia de propriedade do Amazon SQS, defina como para false habilitar a criptografia de filas do lado do servidor usando uma chave. AWS KMS

  • KMSKeyID: O ID ou alias de uma chave mestra de cliente (CMK) AWS gerenciada para o Amazon SQS ou de uma CMK personalizada a ser usada para criptografia do lado do servidor para a fila. Se não for fornecido, alias/aws/sqs é usado.

  • KmsDataKeyReusePeriodSeconds: o período de tempo, em segundos, durante o qual o Amazon SQS pode reutilizar uma chave de dados para criptografar ou descriptografar mensagens antes de ligar novamente. AWS KMS Um número inteiro que representa segundos, entre 60 segundos (1 minuto) e 86.400 segundos (24 horas). Essa configuração será ignorada se SqsManagedSseEnabled estiver definida comotrue.

Anônimo SendMessage e ReceiveMessage as solicitações para a fila criptografada são rejeitadas. Todas as solicitações para filas com SSE habilitada devem usar HTTPS e o Signature versão 4.

Trusted Advisor verificações de tolerância a falhas suportadas pelo Trusted Remediator

Verifique o ID e o nome Nome do documento SSM e resultado esperado Parâmetros e restrições pré-configurados suportados

c18d2gz138

Recuperação do Amazon DynamoDB Point-in-time

AWSManagedServices-TrustedRemediatorEnableDDBPITR

Permite point-in-time a recuperação de tabelas do DynamoDB.

Não são permitidos parâmetros pré-configurados.

Sem restrições

R365s2qddf

Versionamento em bucket do Amazon S3

AWSManagedServices-TrustedRemediatorEnableBucketVersioning

O versionamento do bucket do Amazon S3 está ativado.

Não são permitidos parâmetros pré-configurados.

Essa correção não oferece suporte à correção de buckets S3 AWS service (Serviço da AWS) criados (por exemplo, cf-templates-000000000000).

BueAdJ7nRP

Registro em bucket do Amazon S3

AWSManagedServices-EnableBucketAccessLogging

O registro do bucket do Amazon S3 está ativado.

  • TargetBucket: o nome do bucket do S3 para armazenar os registros de acesso ao servidor.

  • TargetObjectKeyFormat: Formato de chave Amazon S3 para objetos de log, para usar o formato simples para chaves S3 para objetos de log, escolha. SimplePrefix Para usar a chave S3 particionada para objetos de log e usar EventTime para o prefixo particionado, escolha. PartitionedPrefixEventTime Para usar a chave S3 particionada para objetos de log e usar DeliveryTime para o prefixo particionado, escolha. PartitionedPrefixDeliveryTime O padrão é PartitionedPrefixEventTime. Os valores válidos são SimplePrefix PartitionedPrefixEventTime e PartitionedPrefixDeliveryTime (com distinção entre maiúsculas e minúsculas).

Para ativar a correção automática, os seguintes parâmetros pré-configurados devem ser fornecidos:

  • TargetBucket

O bucket de destino deve estar no mesmo bucket Região da AWS e Conta da AWS no bucket de origem, com as permissões corretas para entrega de registros. Para obter mais informações, consulte Habilitar registro em log de acesso ao servidor do Amazon S3.

F2ik5r6dep

Amazon RDS Multi-AZ

AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ

A implantação da Zona de Multidisponibilidade está ativada.

Não são permitidos parâmetros pré-configurados.

Há uma possível degradação do desempenho durante essa alteração.

H7 IgTzj TYb

Snapshots do Amazon EBS

AWSManagedServices-TrustedRemediatorCreateEBSSnapshot

A Amazon EBSsnapshots é criada.

Não são permitidos parâmetros pré-configurados.

Sem restrições

em QPADk ZvH

Backups do RDS

AWSManagedServices-EnableRDSBackupRetention

A retenção de backup do Amazon RDS está habilitada para o banco de dados.

  • BackupRetentionPeriod: o número de dias (1 a 35) para reter backups automatizados.

  • ApplyImmediately: indica se a alteração na retenção de backup do RDS e quaisquer modificações pendentes são aplicadas de forma assíncrona assim que possível. Escolha true aplicar a alteração imediatamente ou false programar a alteração para a próxima janela de manutenção.

Se o ApplyImmediately parâmetro for definido comotrue, as alterações pendentes no banco de dados serão aplicadas junto com a configuração RDSBackup de retenção.

c1qf5bt013

As instâncias de banco de dados do Amazon RDS têm o escalonamento automático de armazenamento desativado

AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling- O escalonamento automático de armazenamento está habilitado para a instância de banco de dados Amazon RDS.

Sem restrições

7q GXs KIUw

Classic Load Balancer Connection Draining

AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining

A drenagem da conexão está ativada para o Classic Load Balancer.

ConnectionDrainingTimeout: o tempo máximo, em segundos, para manter as conexões existentes abertas antes de cancelar o registro das instâncias. O padrão é definido como 300 segundos.

Sem restrições

c18d2gz106

Amazon EBS não incluído no plano AWS Backup

AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan

O Amazon EBS está incluído no AWS Backup plano.

 A remediação marca o volume do Amazon EBS com o seguinte par de tags. O par de tags deve corresponder aos critérios de seleção de recursos baseados em tags para AWS Backup.

  • TagKey

  • TagValue

Sem restrições

c18d2gz107

Tabela do Amazon DynamoDB não incluída no plano AWS Backup

AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlan

A tabela do Amazon DynamoDB está incluída no plano. AWS Backup

A remediação marca o Amazon DynamoDB com o seguinte par de tags. O par de tags deve corresponder aos critérios de seleção de recursos baseados em tags para AWS Backup.

  • TagKey

  • TagValue

Sem restrições

c18d2gz117

Amazon EFS não incluído no AWS Backup plano

AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan

O Amazon EFS está incluído no AWS Backup plano.

 A remediação marca o Amazon EFS com o seguinte par de tags. O par de tags deve corresponder aos critérios de seleção de recursos baseados em tags para AWS Backup.

  • TagKey

  • TagValue

Sem restrições

c18d2gz105

Balanceamento de carga cruzada dos Network Load Balancers

AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing

O balanceamento de carga entre zonas está ativado no Network Load Balancer.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1qf5bt026

O synchronous_commit parâmetro Amazon RDS está desativado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

synchronous_commitO parâmetro está ativado para o Amazon RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1qf5bt030

O innodb_flush_log_at_trx_commit parâmetro Amazon RDS não é 1

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

innodb_flush_log_at_trx_commitO parâmetro está definido como 1 para Amazon RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1qf5bt031

O sync_binlog parâmetro Amazon RDS está desativado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

sync_binlogO parâmetro está ativado para o Amazon RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1qf5bt036

A configuração de innodb_default_row_format parâmetros do Amazon RDS não é segura

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

innodb_default_row_formatO parâmetro está definido como DYNAMIC para Amazon RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c18d2gz144

Monitoramento EC2 detalhado da Amazon não ativado

AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring

O monitoramento detalhado está habilitado para a Amazon EC2.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Trusted Advisor verificações de desempenho suportadas pelo Trusted Remediator

Verifique o ID e o nome Nome do documento SSM e resultado esperado Parâmetros e restrições pré-configurados suportados

COr6dfpM06

AWS Lambda funções subprovisionadas para o tamanho da memória

AWSManagedServices-ResizeLambdaMemory

O tamanho da memória das funções Lambda é redimensionado para o tamanho de memória recomendado fornecido por. Trusted Advisor

RecommendedMemorySize: a alocação de memória recomendada para a função Lambda. O intervalo de valores está entre 128 e 10240.

Se o tamanho da função Lambda for modificado antes da execução da automação, essa automação poderá substituir as configurações pelo valor recomendado por. Trusted Advisor

ZRxQlPsb6c

Instâncias Amazon EC2 de alta utilização

AWSManagedServices-ResizeInstanceByOneLevel

As EC2 instâncias da Amazon são redimensionadas por um tipo de instância no mesmo tipo de família de instâncias. As instâncias são interrompidas e iniciadas durante a operação de redimensionamento e retornam ao estado inicial após a conclusão da execução. Essa automação não dá suporte ao redimensionamento de instâncias que estão em um grupo de Auto Scaling.

  • MinimumDaysSinceLastChange: o número mínimo de dias desde a última alteração do tipo de instância. Se o tipo de instância foi modificado dentro do tempo especificado, o tipo de instância não será alterado. Use 0 para pular essa validação. O padrão é 7.

  • Criar AMIBefore redimensionamento: para criar a AMI da instância como backup antes do redimensionamento, escolha. true Para não criar um backup, escolhafalse. O padrão é false. Os valores válidos são true e false (com distinção entre maiúsculas e minúsculas).

  • ResizeIfStopped: para continuar com a alteração do tamanho da instância, mesmo que a instância esteja em um estado interrompido, escolhatrue. Para não redimensionar automaticamente a instância se estiver em um estado interrompido, escolhafalse. Os valores válidos são true e false (com distinção entre maiúsculas e minúsculas).

Sem restrições

c1qf5bt021

innodb_change_bufferingParâmetro do Amazon RDS usando menos do que o valor ideal

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

O valor do innodb_change_buffering parâmetro é definido como NONE para o Amazon RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1qf5bt025

O autovacuum parâmetro Amazon RDS está desativado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

autovacuumO parâmetro está ativado para o Amazon RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1qf5bt028

O enable_indexonlyscan parâmetro Amazon RDS está desativado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

enable_indexonlyscanO parâmetro está ativado para o Amazon RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1qf5bt029

O enable_indexscan parâmetro Amazon RDS está desativado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

enable_indexscanO parâmetro está ativado para o Amazon RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1qf5bt032

O innodb_stats_persistent parâmetro Amazon RDS está desativado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

innodb_stats_persistentO parâmetro está ativado para o Amazon RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1qf5bt037

O general_logging parâmetro Amazon RDS está ativado

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

general_loggingO parâmetro está desativado para o Amazon RDS.

Não são permitidos parâmetros pré-configurados.

Sem restrições

Trusted Advisor verificações de limites de serviço suportadas pelo Trusted Remediator

Verifique o ID e o nome Nome do documento SSM e resultado esperado Parâmetros e restrições pré-configurados suportados

Ln7RR0L7j9

EC2-Endereço IP elástico da VPC

AWSManagedServices-UpdateVpcElasticIPQuota

É solicitado um novo limite para endereços IP elásticos EC2 -VPC. Por padrão, o limite é aumentado em 3.

Incremento: o número para aumentar a cota atual. O padrão é 3.

Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o OK status, talvez haja um aumento maior no limite.

Km7QQ0L7J9

Gateways da Internet da VPC

AWSManagedServices-IncreaseServiceQuota- É solicitado um novo limite para gateways de Internet VPC. Por padrão, o limite é aumentado em três.

Incremento: o número para aumentar a cota atual. O padrão é 3.

Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o OK status, talvez haja um aumento maior no limite.

Jl7pp0l7j9

VPC

AWSManagedServices-IncreaseServiceQuota

Um novo limite para VPC é solicitado. Por padrão, o limite é aumentado em 3.

Incremento: o número para aumentar a cota atual. O padrão é 3.

Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o OK status, talvez haja um aumento maior no limite.

Fw7hh0l7j9

Grupos de Auto Scaling

AWSManagedServices-IncreaseServiceQuota

É solicitado um novo limite para grupos de Auto Scaling. Por padrão, o limite é aumentado em 3.

Incremento: o número para aumentar a cota atual. O padrão é 3.

Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o OK status, talvez haja um aumento maior no limite.

3 Njm0 DJQO9

Grupos de opção do RDS

AWSManagedServices-IncreaseServiceQuota

Um novo limite para grupos de opções do Amazon RDS é solicitado. Por padrão, o limite é aumentado em 3.

Incremento: o número para aumentar a cota atual. O padrão é 3.

Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o OK status, talvez haja um aumento maior no limite.

EM8b3yLRTr

Balanceadores de carga da aplicação do ELB

AWSManagedServices-IncreaseServiceQuota

É solicitado um novo limite para os balanceadores de carga de aplicativos ELB. Por padrão, o limite é aumentado em 3.

Incremento: o número para aumentar a cota atual. O padrão é 3.

Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o OK status, talvez haja um aumento maior no limite.

8 WiQ K YSt25

Balanceadores de carga da rede do ELB

AWSManagedServices-IncreaseServiceQuota

É solicitado um novo limite para os balanceadores de carga de rede ELB. Por padrão, o limite é aumentado em 3.

Incremento: o número para aumentar a cota atual. O padrão é 3.

Se essa automação for executada várias vezes antes da Trusted Advisor verificação ser atualizada com o OK status, talvez haja um aumento maior no limite.

Trusted Advisor verificações de excelência operacional suportadas pelo Trusted Remediator

Verifique o ID e o nome Nome do documento SSM e resultado esperado Parâmetros e restrições pré-configurados suportados

c18d2gz125

O Amazon API Gateway não está registrando em log os logs de execução

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

O registro de execução é ativado no estágio da API.

Não são permitidos parâmetros pré-configurados.

Você deve conceder permissão ao API Gateway para ler e gravar registros da sua conta CloudWatch para ativar o registro de execução. Consulte Configurar o CloudWatch registro para REST APIs no API Gateway para obter detalhes.

c18d2gz168

A proteção contra exclusão do Elastic Load Balancing não está habilitada para balanceadores de carga

AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection- A proteção contra exclusão está ativada para o Elastic Load Balancer.

Não são permitidos parâmetros pré-configurados.

Sem restrições

c1qf5bt012

O Amazon RDS Performance Insights está desativado

AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights

O Performance Insights está ativado para o Amazon RDS.

  • PerformanceInsightsRetentionPeriod: o número de dias para reter os dados do Performance Insights. Valores válidos: 7 ou mês * 31, em que mês é um número de meses de 1 a 23. Exemplos: 93 (3 meses* 31), 341 (11 meses* 31), 589 (19 meses* 31) ou731.

  • PerformanceInsightsKMSKeyID: O ID da AWS KMS chave para criptografia dos dados do Performance Insights. Se você não especificar um valor para PerformanceInsights KMSKey Id, o Amazon RDS usará sua AWS KMS chave padrão.

Sem restrições

c1fd6b96l4

Logs de acesso do Amazon S3 habilitados

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2

O registro de acesso ao bucket do Amazon S3 está ativado.

  • TargetBucketTagValue: o valor da tag (com distinção entre maiúsculas e minúsculas) para identificar o bucket de destino, use-o e TargetBucketTagKey para marcar o bucket a ser usado como o bucket de destino para o registro de acesso.

  • TargetObjectKeyFormat: formato de chave do Amazon S3 para objetos de log (os valores diferenciam maiúsculas de minúsculas). Para usar o formato simples das chaves do S3 para objetos de log, escolhaSimplePrefix. Para usar a chave S3 particionada para objetos de log e usar EventTime para o prefixo particionado, escolha. PartitionedPrefixEventTime Para usar a chave S3 particionada para objetos de log e usar DeliveryTime para o prefixo particionado, escolha. PartitionedPrefixDeliveryTime Os valores válidos são SimplePrefix, PartitionedPrefixEventTime e PartitionedPrefixDeliveryTime.

Para habilitar a correção automática, o seguinte parâmetro pré-configurado deve ser fornecido: e. TargetBucketTagKeyTargetBucketTagValue

O bucket de destino deve estar no mesmo bucket Região da AWS e Conta da AWS no bucket de origem, com as permissões corretas para entrega de registros. Para obter mais informações, consulte Habilitar registro em log de acesso ao servidor do Amazon S3.