支持 Trusted Advisor 的成本优化检查支持 Trusted Advisor 的安全检查支持的容 Trusted Advisor 错检查支持的 Trusted Advisor 性能检查支持的 Trusted Advisor 服务限制检查支持卓越 Trusted Advisor 运营检查

Trusted Advisor 受信任修正者支持的检查

下表列出了支持的 Trusted Advisor 检查、SSM 自动化文档、预配置的参数以及自动化文档的预期结果。在启用 SSM 自动化文档进行支票补救之前，请查看预期结果以帮助您根据业务需求了解可能的风险。

对于要为其启用补救功能的受支持检查，请确保每 Trusted Advisor 项检查都有相应的配置规则。有关更多信息，请参阅查看由支持的 AWS Trusted Advisor 支票 AWS Config。如果支票有相应的 AWS Security Hub 控件，请确保启用了 Security Hub 控件。有关更多信息，请参阅在 Sec urity Hub 中启用控件。有关管理预配置参数的信息，请参阅 Trusted Rem ediator 中的配置 Trusted Advisor 检查修复。

Trusted Advisor 可信修正者支持的成本优化检查

检查身份证和姓名 SSM 文档名称和预期结果支持的预配置参数和约束

检查身份证和姓名	SSM 文档名称和预期结果	支持的预配置参数和约束
Z4 AUBRNSmz 未关联的弹性 IP 地址	AWSManagedServices-TrustedRemediatorReleaseElasticIP 释放未与任何资源关联的弹性 IP 地址。	不允许使用预配置的参数。没有限制
c18d2gz 150-亚马逊实例已停止 EC2	AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime-停止天数的 Amazon EC2 实例终止。	创建AMIBefore终止：要在终止 Amazon EC2 实例之前创建实例 AMI 作为备份，请选择`true`。要在终止之前不创建备份，请选择`false`。默认值为 `true`。 AllowedDays：实例在终止之前处于停止状态的天数。默认值为 30。没有限制
c18d2gz128 未对生命周期策略进行配置的 Amazon ECR 存储库	AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy 如果生命周期策略尚不存在，则为指定的存储库创建生命周期策略。	ImageAgeLimit：Amazon ECR 存储库中 “任何” 图像的最大保存期限（以天为单位）(1-365)。没有限制
DAvU99Dc4C 未充分利用的 Amazon EBS 卷	AWSManagedServices-DeleteUnusedEBSVolume 如果过去 7 天内未连接未充分利用的 Amazon EBS 卷，则删除这些卷。默认情况下会创建 Amazon EBS 快照。	CreateSnapshot：如果设置为`true`，则自动化会在删除 Amazon EBS 卷之前创建该卷的快照。默认设置为 `true`。有效值为`true`和`false`（区分大小写）。 MinimumUnattachedDays：删除 EBS 卷的最少未连接天数，最多 62 天。如果设置为`0`，则 SSM 文档不会检查未连接的时段，如果该卷当前处于未连接状态，则会删除该卷。默认值为`7`。没有限制
hj m8 LMh88u 闲置的负载均衡器	AWSManagedServices-DeleteIdleClassicLoadBalancer 如果闲置的 Classic Load Balancer 未使用且未注册任何实例，则将其删除。	IdleLoadBalancerDays：Classic Load Balancer 在考虑处于空闲状态之前有 0 个请求的连接的天数。默认值为七天。如果启用了自动执行，则如果没有活跃的后端实例，则自动化会删除闲置的 Classic 负载均衡器。对于所有具有活跃后端实例但后端实例运行状况不佳的闲置经典负载均衡器，不会使用自动修复，而是创建 OpsItems 用于手动补救的自动修复。
ti39Halfu8 Amazon RDS 闲置数据库实例	AWSManagedServices-StopIdleRDSInstance 过去七天一直处于空闲状态的 Amazon RDS 数据库实例已停止。	不允许使用预配置的参数。没有限制
COr6dfpM05 AWS Lambda 内存大小过度配置的函数	AWSManagedServices-ResizeLambdaMemory AWS Lambda 函数的内存大小已调整为由 Trusted Advisor提供的推荐内存大小。	RecommendedMemorySize：Lambda 函数的推荐内存分配。值范围介于 128 和 10240 之间。如果在自动化运行之前修改了 Lambda 函数的大小，则该自动化可能会使用推荐的值覆盖这些设置。 Trusted Advisor
qch7dwoux1 低利用率 Amazon EC2 实例	AWSManagedServices-StopEC2Inst ance（自动和手动执行模式下的默认 SSM 文档。）使用率低的 Amazon EC2 实例已停止。	ForceStopWithInstanceStore：设置为`true`以强制停止使用实例存储的实例。否则，设置为 `false`。默认值为`false`可防止实例停止。有效值为真或假（区分大小写）。没有限制
qch7dwoux1 低利用率 Amazon EC2 实例	AWSManagedServices-ResizeInstanceByOneLevel 在相同的 EC2 实例系列类型中，Amazon 实例按向下调整一个实例类型的大小。实例在调整大小操作期间停止并启动，并在 SSM 文档运行完成后恢复到初始状态。此自动化不支持调整 Auto Scaling 组中的实例的大小。	MinimumDaysSinceLastChange：自上次实例类型更改以来的最短天数。如果在指定时间内修改了实例类型，则不会更改实例类型。`0`用于跳过此验证。默认值为 `7`。创建AMIBefore调整大小：要在调整大小之前创建实例 AMI 作为备份，请选择`true`。要不创建备份，请选择`false`。默认值为 `false`。有效值为`true`和`false`（区分大小写）。 ResizeIfStopped：要继续更改实例大小，即使实例处于停止状态，也请选择`true`。要在实例处于停止状态时不自动调整其大小，请选择`false`。有效值为`true`和`false`（区分大小写）。没有限制
qch7dwoux1 低利用率 Amazon EC2 实例	AWSManagedServices-TerminateInstance 如果未加入 Auto Scaling 组且未启用终止保护，则低利用率的 Amazon EC2 实例将被终止。默认情况下会创建 AMI。	创建AMIBefore终止：将此选项设置`false`为`true`或可在终止实例之前创建实例 AMI 作为备份。 EC2 默认值为 `true`。有效值为`true`和`false`（区分大小写）。没有限制
g31sq1e9U Underutilized Amazon Redshift Clusters	AWSManagedServices-PauseRedshiftCluster 亚马逊 Redshift 集群已暂停。	不允许使用预配置的参数。没有限制
c1cj39rr6v Amazon S3 未完成分段上传中止配置	AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload Amazon S3 存储桶配置了生命周期规则，用于中止某些天后仍未完成的分段上传。	DaysAfterInitiation：Amazon S3 停止未完成的分段上传的天数。默认设置为 7 天。没有限制
c1z7kmr00n Amazon 针对实例 EC2 的成本优化建议	使用来自的亚马逊 EC2 实例建议和空闲的亚马逊 EC2 实例受信任修正者支持的 Compute Optimizer 建议。	不允许使用预配置的参数。没有限制
c1z7kmr02n Amazon EBS 针对卷的成本优化建议	使用来自的 Amazon EBS 交易量建议和空闲亚马逊 EBS 交易量。受信任修正者支持的 Compute Optimizer 建议	不允许使用预配置的参数。没有限制
c1z7kmr03n Amazon RDS 针对数据库实例的成本优化建议	使用来自的空闲的 Amazon RDS 实例受信任修正者支持的 Compute Optimizer 建议。	不允许使用预配置的参数。没有限制
c1z7kmr05n AWS Lambda 函数的成本优化建议	使用来自的 Lambda 函数建议。受信任修正者支持的 Compute Optimizer 建议	不允许使用预配置的参数。没有限制

Z4 AUBRNSmz

未关联的弹性 IP 地址

AWSManagedServices-TrustedRemediatorReleaseElasticIP

释放未与任何资源关联的弹性 IP 地址。

不允许使用预配置的参数。

没有限制

c18d2gz 150-亚马逊实例已停止 EC2

AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime-停止天数的 Amazon EC2 实例终止。

创建AMIBefore终止：要在终止 Amazon EC2 实例之前创建实例 AMI 作为备份，请选择true。要在终止之前不创建备份，请选择false。默认值为 true。
AllowedDays：实例在终止之前处于停止状态的天数。默认值为 30。

没有限制

c18d2gz128

未对生命周期策略进行配置的 Amazon ECR 存储库

AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy

如果生命周期策略尚不存在，则为指定的存储库创建生命周期策略。

ImageAgeLimit：Amazon ECR 存储库中 “任何” 图像的最大保存期限（以天为单位）(1-365)。

没有限制

DAvU99Dc4C

未充分利用的 Amazon EBS 卷

AWSManagedServices-DeleteUnusedEBSVolume

如果过去 7 天内未连接未充分利用的 Amazon EBS 卷，则删除这些卷。默认情况下会创建 Amazon EBS 快照。

CreateSnapshot：如果设置为true，则自动化会在删除 Amazon EBS 卷之前创建该卷的快照。默认设置为 true。有效值为true和false（区分大小写）。
MinimumUnattachedDays：删除 EBS 卷的最少未连接天数，最多 62 天。如果设置为0，则 SSM 文档不会检查未连接的时段，如果该卷当前处于未连接状态，则会删除该卷。默认值为7。

没有限制

hj m8 LMh88u

闲置的负载均衡器

AWSManagedServices-DeleteIdleClassicLoadBalancer

如果闲置的 Classic Load Balancer 未使用且未注册任何实例，则将其删除。

IdleLoadBalancerDays：Classic Load Balancer 在考虑处于空闲状态之前有 0 个请求的连接的天数。默认值为七天。

如果启用了自动执行，则如果没有活跃的后端实例，则自动化会删除闲置的 Classic 负载均衡器。对于所有具有活跃后端实例但后端实例运行状况不佳的闲置经典负载均衡器，不会使用自动修复，而是创建 OpsItems 用于手动补救的自动修复。

ti39Halfu8

Amazon RDS 闲置数据库实例

AWSManagedServices-StopIdleRDSInstance

过去七天一直处于空闲状态的 Amazon RDS 数据库实例已停止。

不允许使用预配置的参数。

没有限制

COr6dfpM05

AWS Lambda 内存大小过度配置的函数

AWSManagedServices-ResizeLambdaMemory

AWS Lambda 函数的内存大小已调整为由 Trusted Advisor提供的推荐内存大小。

RecommendedMemorySize：Lambda 函数的推荐内存分配。值范围介于 128 和 10240 之间。

如果在自动化运行之前修改了 Lambda 函数的大小，则该自动化可能会使用推荐的值覆盖这些设置。 Trusted Advisor

qch7dwoux1

低利用率 Amazon EC2 实例

AWSManagedServices-StopEC2Inst ance（自动和手动执行模式下的默认 SSM 文档。）

使用率低的 Amazon EC2 实例已停止。

ForceStopWithInstanceStore：设置为true以强制停止使用实例存储的实例。否则，设置为 false。默认值为false可防止实例停止。有效值为真或假（区分大小写）。

没有限制

qch7dwoux1

低利用率 Amazon EC2 实例

AWSManagedServices-ResizeInstanceByOneLevel

在相同的 EC2 实例系列类型中，Amazon 实例按向下调整一个实例类型的大小。实例在调整大小操作期间停止并启动，并在 SSM 文档运行完成后恢复到初始状态。此自动化不支持调整 Auto Scaling 组中的实例的大小。

MinimumDaysSinceLastChange：自上次实例类型更改以来的最短天数。如果在指定时间内修改了实例类型，则不会更改实例类型。0用于跳过此验证。默认值为 7。
创建AMIBefore调整大小：要在调整大小之前创建实例 AMI 作为备份，请选择true。要不创建备份，请选择false。默认值为 false。有效值为true和false（区分大小写）。
ResizeIfStopped：要继续更改实例大小，即使实例处于停止状态，也请选择true。要在实例处于停止状态时不自动调整其大小，请选择false。有效值为true和false（区分大小写）。

没有限制

qch7dwoux1

低利用率 Amazon EC2 实例

AWSManagedServices-TerminateInstance

如果未加入 Auto Scaling 组且未启用终止保护，则低利用率的 Amazon EC2 实例将被终止。默认情况下会创建 AMI。

创建AMIBefore终止：将此选项设置false为true或可在终止实例之前创建实例 AMI 作为备份。 EC2 默认值为 true。有效值为true和false（区分大小写）。

没有限制

g31sq1e9U

Underutilized Amazon Redshift Clusters

AWSManagedServices-PauseRedshiftCluster

亚马逊 Redshift 集群已暂停。

不允许使用预配置的参数。

没有限制

c1cj39rr6v

Amazon S3 未完成分段上传中止配置

AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload

Amazon S3 存储桶配置了生命周期规则，用于中止某些天后仍未完成的分段上传。

DaysAfterInitiation：Amazon S3 停止未完成的分段上传的天数。默认设置为 7 天。

没有限制

c1z7kmr00n

Amazon 针对实例 EC2 的成本优化建议

使用来自的亚马逊 EC2 实例建议和空闲的亚马逊 EC2 实例受信任修正者支持的 Compute Optimizer 建议。

不允许使用预配置的参数。

没有限制

c1z7kmr02n

Amazon EBS 针对卷的成本优化建议

使用来自的 Amazon EBS 交易量建议和空闲亚马逊 EBS 交易量。受信任修正者支持的 Compute Optimizer 建议

不允许使用预配置的参数。

没有限制

c1z7kmr03n

Amazon RDS 针对数据库实例的成本优化建议

使用来自的空闲的 Amazon RDS 实例受信任修正者支持的 Compute Optimizer 建议。

不允许使用预配置的参数。

没有限制

c1z7kmr05n

AWS Lambda 函数的成本优化建议

使用来自的 Lambda 函数建议。受信任修正者支持的 Compute Optimizer 建议

不允许使用预配置的参数。

没有限制

Trusted Advisor 受信任修正者支持的安全检查

检查身份证和姓名 SSM 文档名称和预期结果支持的预配置参数和约束

检查身份证和姓名	SSM 文档名称和预期结果	支持的预配置参数和约束
12Fnkpl8Y5 Exposed Access Keys	AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey 公开的 IAM 访问密钥已停用。	不允许使用预配置的参数。使用公开的 IAM 访问密钥配置的应用程序无法进行身份验证。
Hs4ma3G127-应启用 API Gateway REST WebSocket 和 API 执行日志记录相应的 AWS Security Hub 支票：APIGateway.1	AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging API 阶段已启用执行日志记录。	LogLevel: 用于启用执行日志记录的日志级别，`ERROR`-仅对错误启用日志记录。 `INFO`-已为所有事件启用日志功能。要启用执行日志，您必须授予 API Gateway 读取和写入账户日志的权限，有关详细信息，请参阅 APIs 在 API Gateway 中设置 REST CloudWatch 日志记录。 CloudWatch
Hs4ma3G129-API Gateway REST API 阶段应该启用追踪 AWS X-Ray 相应的 AWS Security Hub 支票：APIGateway.3	AWSManagedServices-EnableApiGateWayXRayTracing 在 API 阶段已启用 X 射线追踪。	不允许使用预配置的参数。没有限制
Hs4Ma3G202-API Gateway REST API 缓存数据应静态加密相应的 AWS Security Hub 支票：APIGateway.5	AWSManagedServices-EnableAPIGatewayCacheEncryption 如果 API Gateway REST API 阶段启用了缓存，则为 API Gateway REST API 缓存数据启用静态加密。	不允许使用预配置的参数。没有限制
Hs4ma3G177- 相应的 AWS Security Hub 检查-与负载均衡器关联的 Auto Scaling 组应使用负载均衡器运行状况检查。AutoScaling1	AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck 已为 Auto Scaling 组启用了 Elastic Load Balancing 运行状况检查。	HealthCheckGracePeriod：Auto Scaling 在检查已投入使用的亚马逊弹性计算云实例的运行状况之前等待的时间，以秒为单位。如果连接到 Auto Scaling 组的任何 Elastic Load Balancing 负载均衡器报告运行状况不佳，则启用 Elastic Load Balancing 运行状况检查可能会导致替换正在运行的实例。有关更多信息，请参阅将 Elastic Load Balancing 负载均衡器附加到您的 Auto Scaling 组
Hs4ma3G245- AWS CloudFormation 堆栈应与亚马逊简单通知服务集成相应的 AWS Security Hub 支票：CloudFormation.1	AWSManagedServices-EnableCFNStackNotification 将 CloudFormation 堆栈与 Amazon SNS 主题关联以获得通知。	通知ARNs：要与 ARNs 选定 CloudFormation 堆栈关联的 Amazon SNS 主题。要启用 auto 修复，必须提供`NotificationARNs`预配置的参数。
Hs4ma3G210- CloudFront 发行版应该启用日志记录相应的 AWS Security Hub 支票：CloudFront.2	AWSManagedServices-EnableCloudFrontDistributionLogging 已为 Amazon CloudFront 分配启用日志记录。	BucketName：您要在其中存储访问日志的 Amazon S3 存储桶的名称。 S3KeyPrefix：亚马逊 CloudFront 分配日志在 S3 存储桶中的位置的前缀。 IncludeCookies：表示是否在访问日志中包含 Cookie。要启用 auto 修复，必须提供以下预配置的参数： BucketName S3KeyPrefix IncludeCookies 有关修正限制，请参阅如何为我的 CloudFront 分配开启日志记录？
Hs4ma3G109-应启用 CloudTrail 日志文件验证相应的 AWS Security Hub 支票：CloudTrail.4	AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation 启用 CloudTrail 跟踪日志验证。	不允许使用预配置的参数。没有限制
Hs4ma3G108—— CloudTrail 轨迹应与亚马逊日志集成 CloudWatch 相应的 AWS Security Hub 支票：CloudTrail.5	AWSManagedServices-IntegrateCloudTrailWithCloudWatch AWS CloudTrail 已与 CloudWatch 日志集成。	CloudWatchLogsLogGroupName：将 CloudWatch 日志传送到的日志 CloudTrail 日志组的名称。您必须使用账户中存在的日志组。 CloudWatchLogsRoleName： CloudWatch 日志终端节点要代入的写入用户日志组的 IAM 角色的名称。您必须使用账户中存在的角色。要启用 auto 修复，必须提供以下预配置的参数： CloudWatchLogsLogGroupName CloudWatchLogsRoleName
Hs4ma3G217- CodeBuild 项目环境应该有日志配置 AWS 相应的 AWS Security Hub 支票：CodeBuild.4	AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig 启用 CodeBuild 项目日志记录。	不允许使用预配置的参数。没有限制
Hs4ma3G306-Neptune 数据库集群应启用删除保护相应的 AWS Security Hub 支票：d ocumen tDB.3	AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot 从 Amazon DocumentDB 手动集群快照中移除公共访问权限。	不允许使用预配置的参数。没有限制
Hs4ma3G308-亚马逊 DocumentDB 集群应启用删除保护相应的 AWS Security Hub 支票：d ocumen tDB.5	AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection 为亚马逊文档数据库集群启用删除保护。	不允许使用预配置的参数。没有限制
Hs4ma3G323-DynamoDB 表应该启用删除保护相应的 AWS Security Hub 检查：d ynam odB.6	AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection 为非 AMS DynamoDB 表启用删除保护。	不允许使用预配置的参数。没有限制
eps02jt06w-亚马逊 EBS 公开快照	AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot 已禁用 Amazon EBS 快照的公共访问权限。	不允许使用预配置的参数。没有限制
Hs4Ma3G118-VPC 默认安全组不应允许入站或出站流量相应的 AWS Security Hub 支票：EC2.2	AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG 默认安全组中的所有入口和出口规则都将被删除。	不允许使用预配置的参数。没有限制
Hs4Ma3G117-附加的 EBS 卷应在静态状态下进行加密相应的 AWS Security Hub 支票：EC2.3	AWSManagedServices-EncryptInstanceVolume 实例上附加的 Amazon EBS 卷已加密。	KMSKeyID：用于加密卷的 AWS KMS 密钥 ID 或 ARN。 DeleteStaleNonEncryptedSnapshotBackups：一个标志，用于决定是否应删除未加密的旧卷的快照备份。作为修复的一部分，实例将重新启动，如果`DeleteStaleNonEncryptedSnapshotBackups`将其设置为有助于恢复，则可以进行`false`回滚。
Hs4ma3G120-应在指定的时间段后移除已停止的 EC2 实例相应的 AWS Security Hub 支票：EC2.4	AWSManagedServices-TerminateInstance（auto 和手动执行模式的默认 SSM 文档）停止 30 天的 Amazon EC2 实例将被终止。	创建AMIBefore终止:. 要在终止实例之前创建实例 AMI 作为备份，请选择`true`。 EC2 要在终止之前不创建备份，请选择`false`。默认值为 `true`。没有限制
Hs4ma3G120-应在指定的时间段后移除已停止的 EC2 实例相应的 AWS Security Hub 支票：EC2.4	AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime-在 Security Hub 中定义的停止天数（默认值为 30）的亚马逊 EC2 实例将被终止。	创建AMIBefore终止：要在终止实例之前创建实例 AMI 作为备份，请选择`true`。 EC2 要在终止之前不创建备份，请选择`false`。默认值为 `true`。没有限制
Hs4ma3G121-应启用 EBS 默认加密相应的 AWS Security Hub 支票：EC2.7	AWSManagedServices-EncryptEBSByDefault 默认情况下，Amazon EBS 加密是针对特定的 AWS 区域	不允许使用预配置的参数。默认加密是区域特定的设置。如果您为某个区域启用该功能，则无法为该区域的单个卷或快照禁用该功能。
Hs4Ma3G124- EC2 亚马逊实例应使用实例元数据服务版本 2 () IMDSv2 相应的 AWS Security Hub 支票：EC2.8	AWSManagedServices-TrustedRemediator启用EC2实例 IMDSv2 Amazon EC2 实例使用实例元数据服务版本 2 (IMDSv2)。	IMDSv1MetricCheckPeriod：分析 IMDSv1 使用情况指标的天数 (`42-455`) CloudWatch。如果 Amazon EC2 实例是在指定时间段内创建的，则分析将从实例的创建日期开始。 HttpPutResponseHopLimit：实例元数据令牌允许的最大网络跳数。可以在`1`和`2`跳数之间配置此值。跳跃限制为将令牌访问`1`限制为直接在实例上运行的进程，而跳跃限制为则`2`允许从实例上运行的容器进行访问。没有限制
Hs4Ma3G207- EC2 子网不应自动分配公有 IP 地址相应的 AWS Security Hub 支票：EC2.15	AWSManagedServices-UpdateAutoAssignPublicIpv4个地址 VPC 子网配置为不自动分配公有 IP 地址。	不允许使用预配置的参数。没有限制
Hs4ma3G209-未使用的网络访问控制列表已删除相应的 AWS Security Hub 支票：EC2.16	AWSManagedServices-DeleteUnusedNACL 删除未使用的网络 ACL	不允许使用预配置的参数。没有限制
Hs4ma3G215-应移除未使用的 EC2 亚马逊安全组相应的 AWS Security Hub 支票：EC2.22	AWSManagedServices-DeleteSecurityGroups 删除未使用的安全组。	不允许使用预配置的参数。没有限制
Hs4ma3G247-Amazon Transit G EC2 ateway 不应自动接受 VPC 连接请求相应的 AWS Security Hub 支票：EC2.23	AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach-禁用自动接受指定非 AMS Amazon T EC2 ransit Gateway 的 VPC 连接请求。	不允许使用预配置的参数。没有限制
Hs4Ma3G235-ECR 私有存储库应配置标签不可变性相应的 AWS Security Hub 支票：ECR.2	AWSManagedServices-TrustedRemediatorSetImageTagImmutability 将指定存储库的图像标签可变性设置设置为 IMMUTABLE。	不允许使用预配置的参数。没有限制
Hs4Ma3G216-ECR 存储库应至少配置一个生命周期策略相应的 AWS Security Hub 支票：ECR.3	AWSManagedServices-PutECRRepositoryLifecyclePolicy ECR 存储库已配置生命周期策略。	LifecyclePolicyText：要应用于存储库的 JSON 存储库策略文本。要启用 auto 修复，必须提供以下预配置的参数： LifecyclePolicyText
Hs4ma3G325-EKS 集群应启用审核日志记录相应的 AWS Security Hub 支票：EK S.8	AWSManagedServices-TrustedRemediatorEnableEKSAuditLog 已为 EKS 集群启用审核日志。	不允许使用预配置的参数。没有限制
Hs4Ma3G183-应用程序负载均衡器应配置为丢弃 HTTP 标头相应的 AWS Security Hub 支票：EL B.4	AWSConfigRemediation-DropInvalidHeadersForALB Application Load Balancer 配置为无效的标头字段。	不允许使用预配置的参数。没有限制
Hs4Ma3G184-应启用应用程序负载均衡器和经典负载均衡器日志记录相应的 AWS Security Hub 支票：EL B.5	AWSManagedServices-EnableELBLogging （auto 和手动执行模式的默认 SSM 文档）应用程序负载均衡器和经典负载均衡器日志记录已启用。	BucketName：存储桶名称（不是 ARN）。确保已正确配置存储桶策略以进行日志记录。 S3KeyPrefix：Elastic Load Balancing 日志在 Amazon S3 存储桶中的位置的前缀。要启用 auto 修复，必须提供以下预配置的参数： BucketName S3KeyPrefix Amazon S3 存储桶必须具有存储桶策略，该策略授予 Elastic Load Balancing 将访问日志写入存储桶的权限。
Hs4Ma3G184-应启用应用程序负载均衡器和经典负载均衡器日志记录相应的 AWS Security Hub 支票：EL B.5	AWSManagedServices-EnableELBLoggingV2 应用程序负载均衡器和经典负载均衡器日志记录已启用。	TargetBucketTagKey：用于标识目标 Amazon S3 存储桶的标签名称（区分大小写）。使用它`TargetBucketTagValue`来标记将用作访问日志的目标存储桶的存储桶。 TargetBucketTagValue：用于标识目标 Amazon S3 存储桶的标签值（区分大小写）。使用它`TargetBucketTagKey`来标记将用作访问日志的目标存储桶的存储桶。 S3BucketPrefix：Amazon S3 存储桶的前缀（逻辑层次结构）。您指定的前缀不得包含字符串 `AWSLogs`。要获取更多信息，请参阅使用前缀整理对象。要启用 auto 修复，必须提供以下预配置的参数： TargetBucketTagKey TargetBucketTagValue S3BucketPrefix Amazon S3 存储桶必须具有存储桶策略，该策略授予 Elastic Load Balancing 将访问日志写入存储桶的权限。
Hs4ma3G326-应启用亚马逊 EMR 屏蔽公开访问设置相应的 AWS Security Hub 支票：EMR.2	AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess 该账户的 Amazon EMR 屏蔽公开访问设置已开启。	不允许使用预配置的参数。没有限制
Hs4ma3G135- AWS KMS 密钥不应无意中删除相应的 AWS Security Hub 支票：KMS.3	AWSManagedServices-CancelKeyDeletion AWS KMS 密钥删除已取消。	不允许使用预配置的参数。没有限制
Hs4ma3G299-Amazon DocumentDB 手动集群快照不应公开相应的 AWS Security Hub 支票：Neptune.4	AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection 为 Amazon Neptune 集群启用删除保护。	不允许使用预配置的参数。没有限制
Hs4ma3G319-Network Firewall 防火墙应该启用删除保护相应的 AWS Security Hub 支票：NetworkFirewall.9	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection-为 AWS Network Firewall 启用删除保护。	不允许使用预配置的参数。没有限制
Hs4ma3G223- OpenSearch 域名应加密节点之间发送的数据相应的 AWS Security Hub 支票：OpenSearch.3	AWSManagedServices-EnableOpenSearchNodeToNodeEncryption 已为域启用节点到节点加密。	不允许使用预配置的参数。启用 node-to-node加密后，您无法禁用该设置。取而代之的是，手动拍摄加密域的快照，创建另一个域，迁移您的数据，然后删除旧域名。
Hs4ma3G222-应该启用记录到日志的 OpenSearch 域名错误 CloudWatch 相应的 AWS Security Hub 支票：Open search.4	AWSManagedServices-EnableOpenSearchLogging 已为该 OpenSearch 域启用错误日志记录。	CloudWatchLogGroupArn：亚马逊 CloudWatch 日志组的 ARN。要启用 auto 修复，必须提供以下预配置的参数：CloudWatchLogGroupArn。 Amazon CloudWatch 资源策略必须配置权限。有关更多信息，请参阅 Amazon OpenSearch 服务用户指南中的启用审计日志
Hs4ma3G221- OpenSearch 域名应启用审核日志相应的 AWS Security Hub 支票：Open search.5	AWSManagedServices-EnableOpenSearchLogging OpenSearch 域配置为启用审核日志。	CloudWatchLogGroupArn：要向其发布 CloudWatch 日志的日志组的 ARN。要启用 auto 修复，必须提供以下预配置的参数：CloudWatchLogGroupArn Amazon CloudWatch 资源策略必须配置权限。有关更多信息，请参阅 Amazon OpenSearch 服务用户指南中的启用审计日志
Hs4Ma3G220-与 OpenSearch 域名的连接应使用 TLS 1.2 进行加密相应的 AWS Security Hub 支票：Open search.8	AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2 TLS 策略设置为 “policy-min-tls-1-2-2019-07”，并且只允许通过 HTTPS (TLS) 进行加密连接。	不允许使用预配置的参数。使用 TLS 1.2 需要与 OpenSearch 域建立连接。加密传输中数据可能会影响性能。使用此功能测试您的应用程序，以了解 TLS 的性能状况和影响。
Hs4ma3G194-亚马逊 RDS 快照应该是私有的相应的 AWS Security Hub 支票：RDS.1	AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2 Amazon RDS 快照的公共访问已禁用。	不允许使用预配置的参数。没有限制
Hs4Ma3G192-RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible AWS 相应的 AWS Security Hub 支票：RDS.2	AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance 在 RDS 数据库实例上禁用公共访问权限。	不允许使用预配置的参数。没有限制
Hs4Ma3G189-为亚马逊 RDS 数据库实例配置了增强监控相应的 AWS Security Hub 支票：RDS.6	AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring 为 Amazon RDS 数据库实例启用增强监控	MonitoringInterval：为数据库实例收集增强监控指标的时间间隔，以秒为单位。有效间隔为 0、1、5、10、15、30 和 60。要禁用收集增强监控指标，请指定 0。 MonitoringRoleName：允许 Amazon RDS 向 Amazon L CloudWatch ogs 发送增强型监控指标的 IAM 角色的名称。如果未指定角色，`rds-monitoring-role`则使用或创建默认角色（如果该角色不存在）。如果在自动化执行之前启用了增强监控，则此自动化可能会使用在预配置参数中配置的 MonitoringInterval 和 MonitoringRoleName 值来覆盖这些设置。
Hs4ma3G190-Amazon RDS 集群应启用删除保护相应的 AWS Security Hub 支票：RDS.7	AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection 已为 Amazon RDS 集群启用删除保护。	不允许使用预配置的参数。没有限制
Hs4Ma3G198-Amazon RDS 数据库实例应启用删除保护相应的 AWS Security Hub 支票：RDS.8	AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection 已为 Amazon RDS 实例启用删除保护。	不允许使用预配置的参数。没有限制
Hs4Ma3G199-RDS 数据库实例应将日志发布到日志 CloudWatch 相应的 AWS Security Hub 支票：RDS.9	AWSManagedServices-TrustedRemediatorEnableRDSLogExports 已为 RDS 数据库实例或 RDS 数据库集群启用 RDS 日志导出。	不允许使用预配置的参数。需要服务相关角色 AWSServiceRoleForRDS。
Hs4Ma3G160-应为 RDS 实例配置 IAM 身份验证相应的 AWS Security Hub 支票：RDS.10	AWSManagedServices-UpdateRDSIAMDatabaseAuthentication AWS Identity and Access Management 已为 RDS 实例启用身份验证。	ApplyImmediately: 表示是否尽快异步应用此请求中的修改和任何待处理的修改。要立即应用更改，请选择`true`。要在下一个维护时段安排更改，请选择`false`。没有限制
Hs4Ma3G161-应为 RDS 集群配置 IAM 身份验证相应的 AWS Security Hub 支票：RDS.12	AWSManagedServices-UpdateRDSIAMDatabaseAuthentication 已为 RDS 集群启用了 IAM 身份验证。	ApplyImmediately: 表示是否尽快异步应用此请求中的修改和任何待处理的修改。要立即应用更改，请选择`true`。要在下一个维护时段安排更改，请选择`false`。没有限制
Hs4Ma3G162-应启用 RDS 自动次要版本升级相应的 AWS Security Hub 支票：RDS.13	AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade Amazon RDS 的自动次要版本升级配置已启用。	不允许使用预配置的参数。 Amazon RDS 实例必须处于`available`状态才能进行此修复。
Hs4Ma3G163-RDS 数据库集群应配置为将标签复制到快照相应的 AWS Security Hub 支票：RDS.16	AWSManagedServices-UpdateRDSCopyTagsToSnapshots `CopyTagtosnapshot`Amazon RDS 集群的设置已启用。	不允许使用预配置的参数。 Amazon RDS 实例必须处于可用状态才能进行此修复。
Hs4Ma3G164-RDS 数据库实例应配置为将标签复制到快照相应的 AWS Security Hub 支票：RDS.17	AWSManagedServices-UpdateRDSCopyTagsToSnapshots `CopyTagsToSnapshot`Amazon RDS 的设置已启用。	不允许使用预配置的参数。 Amazon RDS 实例必须处于可用状态才能进行此修复。
rss93 HQwa1 Amazon RDS 公有快照	AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2 Amazon RDS 快照的公共访问已禁用。	不允许使用预配置的参数。没有限制
Hs4ma3G103-亚马逊 Redshift 集群应禁止公众访问相应的 AWS Security Hub 支票：Redshi ft.1	AWSManagedServices-DisablePublicAccessOnRedshiftCluster 亚马逊 Redshift 集群上的公共访问已禁用。	不允许使用预配置的参数。禁用公共访问会阻止所有来自互联网的客户端。而且，Amazon Redshift 集群在几分钟内处于修改状态，同时修复会禁用集群上的公共访问权限。
Hs4ma3G106-亚马逊 Redshift 集群应启用审核日志相应的 AWS Security Hub 支票：Redshi ft.4	AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging 在维护时段内，您的 Amazon Redshift 集群启用了审核日志。	不允许使用预配置的参数。要启用 auto 修复，必须提供以下预配置的参数。 BucketName: 存储桶必须位于同一个桶中 AWS 区域。集群必须具有读取存储桶和放置对象权限。如果在自动化执行之前启用了 Redshift 集群日志记录，则该自动化可能会使用在预配置参数中配置的`BucketName`和`S3KeyPrefix`值覆盖日志设置。
Hs4ma3G105-Amazon Redshift应该启用自动升级到主要版本的功能相应的 AWS Security Hub 支票：Redshi ft.6	AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade-在维护时段内，主要版本升级会自动应用于集群。Amazon Redshift 集群不会立即停机，但是如果升级到主要版本，您的 Amazon Redshift 集群可能会在其维护时段内停机。	不允许使用预配置的参数。没有限制
Hs4ma3G104-亚马逊 Redshift 集群应使用增强型 VPC 路由相应的 AWS Security Hub 支票：Redshi ft.7	AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting 亚马逊 Redshift 集群已启用增强型 VPC 路由。	不允许使用预配置的参数。没有限制
Hs4ma3G173-S3 阻止公共访问设置应在存储桶级别启用相应的 AWS Security Hub 支票：S3.8	AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess Amazon S3 存储桶采用存储桶级别的公共访问封禁。	不允许使用预配置的参数。此补救措施可能会影响 S3 对象的可用性。有关 Amazon S3 如何评估访问权限的信息，请参阅阻止公众访问您的 Amazon S3 存储。
Hs4ma3G230-S3 存储桶服务器访问日志应启用相应的 AWS Security Hub 支票：S3.9	AWSManagedServices-EnableBucketAccessLogging（auto 和手动执行模式的默认 SSM 文档） Amazon S3 服务器访问日志已启用。	TargetBucket：用于存储服务器访问日志的 S3 存储桶的名称。 TargetObjectKeyFormat: 日志对象的 Amazon S3 密钥格式（值区分大小写）。要对日志对象使用 S3 密钥的简单格式，请选择`SimplePrefix`。要对日志对象使用分区 S3 密钥并使用 EventTime 分区前缀，请选择。`PartitionedPrefixEventTime`要对日志对象使用分区 S3 密钥并使用 DeliveryTime 分区前缀，请选择。`PartitionedPrefixDeliveryTime`有效值为 `SimplePrefix`、`PartitionedPrefixEventTime` 和 `PartitionedPrefixDeliveryTime`。要启用 auto 修复，必须提供以下预配置的参数：TargetBucket。目标存储桶必须与源存储桶位于 AWS 账户相同 AWS 区域且具有正确的日志传输权限。有关更多信息，请参阅启用 Amazon S3 服务器访问日志记录。
Hs4ma3G230 — 应启用 S3 存储桶服务器访问日志记录相应的 AWS Security Hub 支票：S3.9	AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2-已启用 Amazon S3 存储桶日志记录。	TargetBucketTagKey：用于标识目标存储桶的标签名称（区分大小写）。使用此和标记TargetBucketTagValue要用作访问日志记录的目标存储桶的存储桶。 TargetBucketTagValue：标签值（区分大小写），用于标识目标存储桶、使用该值以及标记TargetBucketTagKey要用作访问日志记录的目标存储桶的存储桶。 TargetObjectKeyFormat: 日志对象的 Amazon S3 密钥格式（值区分大小写）：要使用日志对象的 S3 密钥的简单格式，请选择SimplePrefix。要对日志对象使用分区 S3 密钥并使用 EventTime 分区前缀，请选择。PartitionedPrefixEventTime要对日志对象使用分区 S3 密钥并使用 DeliveryTime 分区前缀，请选择。PartitionedPrefixDeliveryTime默认值为 PartitionedPrefixEventTime。要启用 auto 修复，必须提供以下参数：TargetBucketTagKey和TargetBucketTagValue。目标存储桶必须与源存储桶位于 AWS 账户相同 AWS 区域且具有正确的日志传输权限。有关更多信息，请参阅启用 Amazon S3 服务器访问日志记录。
Pfx0 RwqBli Amazon S3 存储桶权限	AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess 阻止公有访问	不允许使用预配置的参数。此检查由多个警报标准组成。这种自动化修复了公共访问问题。 Trusted Advisor 不支持修复标记为的其他配置问题。此修复确实支持修复 AWS 服务已创建的 S3 存储桶（例如 cf-templates-000000000000）。
Hs4Ma3G272-用户不应拥有笔记本实例的根访问权限 SageMaker 相应的 AWS Security Hub 支票：SageMaker.3	AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess 对于 SageMaker 笔记本实例，用户的 root 访问权限已禁用。	不允许使用预配置的参数。如果 SageMaker 笔记本实例 InService 处于状态，则此补救措施会导致中断。
Hs4Ma3G179-SNS 话题应使用静态加密 AWS KMS 相应的 AWS Security Hub 支票：SNS.1	AWSManagedServices-EnableSNSEncryptionAtRest SNS 主题配置了服务器端加密。	KmsKeyId：适用于 Amazon SNS 的 AWS 托管客户主密钥 (CMK) 或用于服务器端加密 (SSE) 的自定义 CMK 的 ID。默认值设置为`alias/aws/sns`。如果使用自定义 AWS KMS 密钥，则必须为其配置正确的权限。有关更多信息，请参阅 Amazon SNS 主题的启用服务器端加密 (SSE)
Hs4ma3G158-SSM 文档不应公开相应的 AWS Security Hub 支票：SSM.4	AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing-禁用 SSM 文档的公开共享。	不允许使用预配置的参数。没有限制
Hs4Ma3G136-亚马逊 SQS 队列应在静态时加密相应的 AWS Security Hub 支票：SQS.1	AWSManagedServices-EnableSQSEncryptionAtRest 亚马逊 SQS 中的消息经过加密。	SqsManagedSseEnabled：设置`true`为使用Amazon SQS拥有的加密密钥启用服务器端队列加密，设置`false`为使用密钥启用服务器端队列加密。 AWS KMS KMSKeyID：Amazon SQS 的 AWS 托管客户主密钥 (CMK) 或用于队列服务器端加密的自定义 CMK 的 ID 或别名。如果未提供，alias/aws/sqs则使用。 KmsDataKeyReusePeriodSeconds：在再次调用之前，Amazon SQS 可以重复使用数据密钥来加密或解密消息的时间长度，以秒为单位。 AWS KMS 一个表示秒数的证书，介于 60 秒（1 分钟）和 86400 秒（24 小时）之间。如果设置为，`SqsManagedSseEnabled`则忽略此设置`true`。匿名 SendMessage 和对加密队列的 ReceiveMessage 请求将被拒绝。针对启用了 SSE 的队列的所有请求都必须使用 HTTPS 和 Signature Version 4。

12Fnkpl8Y5

Exposed Access Keys

AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey

公开的 IAM 访问密钥已停用。

不允许使用预配置的参数。

使用公开的 IAM 访问密钥配置的应用程序无法进行身份验证。

Hs4ma3G127-应启用 API Gateway REST WebSocket 和 API 执行日志记录

相应的 AWS Security Hub 支票：APIGateway.1

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

API 阶段已启用执行日志记录。

LogLevel: 用于启用执行日志记录的日志级别，ERROR-仅对错误启用日志记录。 INFO-已为所有事件启用日志功能。

要启用执行日志，您必须授予 API Gateway 读取和写入账户日志的权限，有关详细信息，请参阅 APIs 在 API Gateway 中设置 REST CloudWatch 日志记录。 CloudWatch

Hs4ma3G129-API Gateway REST API 阶段应该启用追踪 AWS X-Ray

相应的 AWS Security Hub 支票：APIGateway.3

AWSManagedServices-EnableApiGateWayXRayTracing

在 API 阶段已启用 X 射线追踪。

不允许使用预配置的参数。

没有限制

Hs4Ma3G202-API Gateway REST API 缓存数据应静态加密

相应的 AWS Security Hub 支票：APIGateway.5

AWSManagedServices-EnableAPIGatewayCacheEncryption

如果 API Gateway REST API 阶段启用了缓存，则为 API Gateway REST API 缓存数据启用静态加密。

不允许使用预配置的参数。

没有限制

Hs4ma3G177-

相应的 AWS Security Hub 检查-与负载均衡器关联的 Auto Scaling 组应使用负载均衡器运行状况检查。AutoScaling1

AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck

已为 Auto Scaling 组启用了 Elastic Load Balancing 运行状况检查。

HealthCheckGracePeriod：Auto Scaling 在检查已投入使用的亚马逊弹性计算云实例的运行状况之前等待的时间，以秒为单位。

如果连接到 Auto Scaling 组的任何 Elastic Load Balancing 负载均衡器报告运行状况不佳，则启用 Elastic Load Balancing 运行状况检查可能会导致替换正在运行的实例。有关更多信息，请参阅将 Elastic Load Balancing 负载均衡器附加到您的 Auto Scaling 组

Hs4ma3G245- AWS CloudFormation 堆栈应与亚马逊简单通知服务集成

相应的 AWS Security Hub 支票：CloudFormation.1

AWSManagedServices-EnableCFNStackNotification

将 CloudFormation 堆栈与 Amazon SNS 主题关联以获得通知。

通知ARNs：要与 ARNs 选定 CloudFormation 堆栈关联的 Amazon SNS 主题。

要启用 auto 修复，必须提供NotificationARNs预配置的参数。

Hs4ma3G210- CloudFront 发行版应该启用日志记录

相应的 AWS Security Hub 支票：CloudFront.2

AWSManagedServices-EnableCloudFrontDistributionLogging

已为 Amazon CloudFront 分配启用日志记录。

BucketName：您要在其中存储访问日志的 Amazon S3 存储桶的名称。
S3KeyPrefix：亚马逊 CloudFront 分配日志在 S3 存储桶中的位置的前缀。
IncludeCookies：表示是否在访问日志中包含 Cookie。

要启用 auto 修复，必须提供以下预配置的参数：

BucketName
S3KeyPrefix
IncludeCookies

有关修正限制，请参阅如何为我的 CloudFront 分配开启日志记录？

Hs4ma3G109-应启用 CloudTrail 日志文件验证

相应的 AWS Security Hub 支票：CloudTrail.4

AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation

启用 CloudTrail 跟踪日志验证。

不允许使用预配置的参数。

没有限制

Hs4ma3G108—— CloudTrail 轨迹应与亚马逊日志集成 CloudWatch

相应的 AWS Security Hub 支票：CloudTrail.5

AWSManagedServices-IntegrateCloudTrailWithCloudWatch

AWS CloudTrail 已与 CloudWatch 日志集成。

CloudWatchLogsLogGroupName：将 CloudWatch 日志传送到的日志 CloudTrail 日志组的名称。您必须使用账户中存在的日志组。
CloudWatchLogsRoleName： CloudWatch 日志终端节点要代入的写入用户日志组的 IAM 角色的名称。您必须使用账户中存在的角色。

要启用 auto 修复，必须提供以下预配置的参数：

CloudWatchLogsLogGroupName
CloudWatchLogsRoleName

Hs4ma3G217- CodeBuild 项目环境应该有日志配置 AWS

相应的 AWS Security Hub 支票：CodeBuild.4

AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig

启用 CodeBuild 项目日志记录。

不允许使用预配置的参数。

没有限制

Hs4ma3G306-Neptune 数据库集群应启用删除保护

相应的 AWS Security Hub 支票：d ocumen tDB.3

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot

从 Amazon DocumentDB 手动集群快照中移除公共访问权限。

不允许使用预配置的参数。

没有限制

Hs4ma3G308-亚马逊 DocumentDB 集群应启用删除保护

相应的 AWS Security Hub 支票：d ocumen tDB.5

AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection

为亚马逊文档数据库集群启用删除保护。

不允许使用预配置的参数。

没有限制

Hs4ma3G323-DynamoDB 表应该启用删除保护

相应的 AWS Security Hub 检查：d ynam odB.6

AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection

为非 AMS DynamoDB 表启用删除保护。

不允许使用预配置的参数。

没有限制

eps02jt06w-亚马逊 EBS 公开快照

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot

已禁用 Amazon EBS 快照的公共访问权限。

不允许使用预配置的参数。

没有限制

Hs4Ma3G118-VPC 默认安全组不应允许入站或出站流量

相应的 AWS Security Hub 支票：EC2.2

AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG

默认安全组中的所有入口和出口规则都将被删除。

不允许使用预配置的参数。

没有限制

Hs4Ma3G117-附加的 EBS 卷应在静态状态下进行加密

相应的 AWS Security Hub 支票：EC2.3

AWSManagedServices-EncryptInstanceVolume

实例上附加的 Amazon EBS 卷已加密。

KMSKeyID：用于加密卷的 AWS KMS 密钥 ID 或 ARN。
DeleteStaleNonEncryptedSnapshotBackups：一个标志，用于决定是否应删除未加密的旧卷的快照备份。

作为修复的一部分，实例将重新启动，如果DeleteStaleNonEncryptedSnapshotBackups将其设置为有助于恢复，则可以进行false回滚。

Hs4ma3G120-应在指定的时间段后移除已停止的 EC2 实例

相应的 AWS Security Hub 支票：EC2.4

AWSManagedServices-TerminateInstance（auto 和手动执行模式的默认 SSM 文档）

停止 30 天的 Amazon EC2 实例将被终止。

创建AMIBefore终止:. 要在终止实例之前创建实例 AMI 作为备份，请选择true。 EC2 要在终止之前不创建备份，请选择false。默认值为 true。

没有限制

Hs4ma3G120-应在指定的时间段后移除已停止的 EC2 实例

相应的 AWS Security Hub 支票：EC2.4

AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime-在 Security Hub 中定义的停止天数（默认值为 30）的亚马逊 EC2 实例将被终止。

创建AMIBefore终止：要在终止实例之前创建实例 AMI 作为备份，请选择true。 EC2 要在终止之前不创建备份，请选择false。默认值为 true。

没有限制

Hs4ma3G121-应启用 EBS 默认加密

相应的 AWS Security Hub 支票：EC2.7

AWSManagedServices-EncryptEBSByDefault

默认情况下，Amazon EBS 加密是针对特定的 AWS 区域

不允许使用预配置的参数。

默认加密是区域特定的设置。如果您为某个区域启用该功能，则无法为该区域的单个卷或快照禁用该功能。

Hs4Ma3G124- EC2 亚马逊实例应使用实例元数据服务版本 2 () IMDSv2

相应的 AWS Security Hub 支票：EC2.8

AWSManagedServices-TrustedRemediator启用EC2实例 IMDSv2

Amazon EC2 实例使用实例元数据服务版本 2 (IMDSv2)。

IMDSv1MetricCheckPeriod：分析 IMDSv1 使用情况指标的天数 (42-455) CloudWatch。如果 Amazon EC2 实例是在指定时间段内创建的，则分析将从实例的创建日期开始。
HttpPutResponseHopLimit：实例元数据令牌允许的最大网络跳数。可以在1和2跳数之间配置此值。跳跃限制为将令牌访问1限制为直接在实例上运行的进程，而跳跃限制为则2允许从实例上运行的容器进行访问。

没有限制

Hs4Ma3G207- EC2 子网不应自动分配公有 IP 地址

相应的 AWS Security Hub 支票：EC2.15

AWSManagedServices-UpdateAutoAssignPublicIpv4个地址

VPC 子网配置为不自动分配公有 IP 地址。

不允许使用预配置的参数。

没有限制

Hs4ma3G209-未使用的网络访问控制列表已删除

相应的 AWS Security Hub 支票：EC2.16

AWSManagedServices-DeleteUnusedNACL

删除未使用的网络 ACL

不允许使用预配置的参数。

没有限制

Hs4ma3G215-应移除未使用的 EC2 亚马逊安全组

相应的 AWS Security Hub 支票：EC2.22

AWSManagedServices-DeleteSecurityGroups

删除未使用的安全组。

不允许使用预配置的参数。

没有限制

Hs4ma3G247-Amazon Transit G EC2 ateway 不应自动接受 VPC 连接请求

相应的 AWS Security Hub 支票：EC2.23

AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach-禁用自动接受指定非 AMS Amazon T EC2 ransit Gateway 的 VPC 连接请求。

不允许使用预配置的参数。

没有限制

Hs4Ma3G235-ECR 私有存储库应配置标签不可变性

相应的 AWS Security Hub 支票：ECR.2

AWSManagedServices-TrustedRemediatorSetImageTagImmutability

将指定存储库的图像标签可变性设置设置为 IMMUTABLE。

不允许使用预配置的参数。

没有限制

Hs4Ma3G216-ECR 存储库应至少配置一个生命周期策略

相应的 AWS Security Hub 支票：ECR.3

AWSManagedServices-PutECRRepositoryLifecyclePolicy

ECR 存储库已配置生命周期策略。

LifecyclePolicyText：要应用于存储库的 JSON 存储库策略文本。

要启用 auto 修复，必须提供以下预配置的参数：

LifecyclePolicyText

Hs4ma3G325-EKS 集群应启用审核日志记录

相应的 AWS Security Hub 支票：EK S.8

AWSManagedServices-TrustedRemediatorEnableEKSAuditLog

已为 EKS 集群启用审核日志。

不允许使用预配置的参数。

没有限制

Hs4Ma3G183-应用程序负载均衡器应配置为丢弃 HTTP 标头

相应的 AWS Security Hub 支票：EL B.4

AWSConfigRemediation-DropInvalidHeadersForALB

Application Load Balancer 配置为无效的标头字段。

不允许使用预配置的参数。

没有限制

Hs4Ma3G184-应启用应用程序负载均衡器和经典负载均衡器日志记录

相应的 AWS Security Hub 支票：EL B.5

AWSManagedServices-EnableELBLogging （auto 和手动执行模式的默认 SSM 文档）

应用程序负载均衡器和经典负载均衡器日志记录已启用。

BucketName：存储桶名称（不是 ARN）。确保已正确配置存储桶策略以进行日志记录。
S3KeyPrefix：Elastic Load Balancing 日志在 Amazon S3 存储桶中的位置的前缀。

要启用 auto 修复，必须提供以下预配置的参数：

BucketName
S3KeyPrefix

Amazon S3 存储桶必须具有存储桶策略，该策略授予 Elastic Load Balancing 将访问日志写入存储桶的权限。

Hs4Ma3G184-应启用应用程序负载均衡器和经典负载均衡器日志记录

相应的 AWS Security Hub 支票：EL B.5

AWSManagedServices-EnableELBLoggingV2

应用程序负载均衡器和经典负载均衡器日志记录已启用。

TargetBucketTagKey：用于标识目标 Amazon S3 存储桶的标签名称（区分大小写）。使用它TargetBucketTagValue来标记将用作访问日志的目标存储桶的存储桶。
TargetBucketTagValue：用于标识目标 Amazon S3 存储桶的标签值（区分大小写）。使用它TargetBucketTagKey来标记将用作访问日志的目标存储桶的存储桶。
S3BucketPrefix：Amazon S3 存储桶的前缀（逻辑层次结构）。您指定的前缀不得包含字符串 AWSLogs。要获取更多信息，请参阅使用前缀整理对象。

要启用 auto 修复，必须提供以下预配置的参数：
- TargetBucketTagKey
- TargetBucketTagValue
- S3BucketPrefix
Amazon S3 存储桶必须具有存储桶策略，该策略授予 Elastic Load Balancing 将访问日志写入存储桶的权限。

Hs4ma3G326-应启用亚马逊 EMR 屏蔽公开访问设置

相应的 AWS Security Hub 支票：EMR.2

AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess

该账户的 Amazon EMR 屏蔽公开访问设置已开启。

不允许使用预配置的参数。

没有限制

Hs4ma3G135- AWS KMS 密钥不应无意中删除

相应的 AWS Security Hub 支票：KMS.3

AWSManagedServices-CancelKeyDeletion

AWS KMS 密钥删除已取消。

不允许使用预配置的参数。

没有限制

Hs4ma3G299-Amazon DocumentDB 手动集群快照不应公开

相应的 AWS Security Hub 支票：Neptune.4

AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection

为 Amazon Neptune 集群启用删除保护。

不允许使用预配置的参数。

没有限制

Hs4ma3G319-Network Firewall 防火墙应该启用删除保护

相应的 AWS Security Hub 支票：NetworkFirewall.9

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection-为 AWS Network Firewall 启用删除保护。

不允许使用预配置的参数。

没有限制

Hs4ma3G223- OpenSearch 域名应加密节点之间发送的数据

相应的 AWS Security Hub 支票：OpenSearch.3

AWSManagedServices-EnableOpenSearchNodeToNodeEncryption

已为域启用节点到节点加密。

不允许使用预配置的参数。

启用 node-to-node加密后，您无法禁用该设置。取而代之的是，手动拍摄加密域的快照，创建另一个域，迁移您的数据，然后删除旧域名。

Hs4ma3G222-应该启用记录到日志的 OpenSearch 域名错误 CloudWatch

相应的 AWS Security Hub 支票：Open search.4

AWSManagedServices-EnableOpenSearchLogging

已为该 OpenSearch 域启用错误日志记录。

CloudWatchLogGroupArn：亚马逊 CloudWatch 日志组的 ARN。

要启用 auto 修复，必须提供以下预配置的参数：CloudWatchLogGroupArn。

Amazon CloudWatch 资源策略必须配置权限。有关更多信息，请参阅 Amazon OpenSearch 服务用户指南中的启用审计日志

Hs4ma3G221- OpenSearch 域名应启用审核日志

相应的 AWS Security Hub 支票：Open search.5

AWSManagedServices-EnableOpenSearchLogging

OpenSearch 域配置为启用审核日志。

CloudWatchLogGroupArn：要向其发布 CloudWatch 日志的日志组的 ARN。

要启用 auto 修复，必须提供以下预配置的参数：CloudWatchLogGroupArn

Amazon CloudWatch 资源策略必须配置权限。有关更多信息，请参阅 Amazon OpenSearch 服务用户指南中的启用审计日志

Hs4Ma3G220-与 OpenSearch 域名的连接应使用 TLS 1.2 进行加密

相应的 AWS Security Hub 支票：Open search.8

AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2

TLS 策略设置为 “policy-min-tls-1-2-2019-07”，并且只允许通过 HTTPS (TLS) 进行加密连接。

不允许使用预配置的参数。

使用 TLS 1.2 需要与 OpenSearch 域建立连接。加密传输中数据可能会影响性能。使用此功能测试您的应用程序，以了解 TLS 的性能状况和影响。

Hs4ma3G194-亚马逊 RDS 快照应该是私有的

相应的 AWS Security Hub 支票：RDS.1

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

Amazon RDS 快照的公共访问已禁用。

不允许使用预配置的参数。

没有限制

Hs4Ma3G192-RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible AWS

相应的 AWS Security Hub 支票：RDS.2

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance

在 RDS 数据库实例上禁用公共访问权限。

不允许使用预配置的参数。

没有限制

Hs4Ma3G189-为亚马逊 RDS 数据库实例配置了增强监控

相应的 AWS Security Hub 支票：RDS.6

AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring

为 Amazon RDS 数据库实例启用增强监控

MonitoringInterval：为数据库实例收集增强监控指标的时间间隔，以秒为单位。有效间隔为 0、1、5、10、15、30 和 60。要禁用收集增强监控指标，请指定 0。
MonitoringRoleName：允许 Amazon RDS 向 Amazon L CloudWatch ogs 发送增强型监控指标的 IAM 角色的名称。如果未指定角色，rds-monitoring-role则使用或创建默认角色（如果该角色不存在）。

如果在自动化执行之前启用了增强监控，则此自动化可能会使用在预配置参数中配置的 MonitoringInterval 和 MonitoringRoleName 值来覆盖这些设置。

Hs4ma3G190-Amazon RDS 集群应启用删除保护

相应的 AWS Security Hub 支票：RDS.7

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

已为 Amazon RDS 集群启用删除保护。

不允许使用预配置的参数。

没有限制

Hs4Ma3G198-Amazon RDS 数据库实例应启用删除保护

相应的 AWS Security Hub 支票：RDS.8

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

已为 Amazon RDS 实例启用删除保护。

不允许使用预配置的参数。

没有限制

Hs4Ma3G199-RDS 数据库实例应将日志发布到日志 CloudWatch

相应的 AWS Security Hub 支票：RDS.9

AWSManagedServices-TrustedRemediatorEnableRDSLogExports

已为 RDS 数据库实例或 RDS 数据库集群启用 RDS 日志导出。

不允许使用预配置的参数。

需要服务相关角色 AWSServiceRoleForRDS。

Hs4Ma3G160-应为 RDS 实例配置 IAM 身份验证

相应的 AWS Security Hub 支票：RDS.10

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

AWS Identity and Access Management 已为 RDS 实例启用身份验证。

ApplyImmediately: 表示是否尽快异步应用此请求中的修改和任何待处理的修改。要立即应用更改，请选择true。要在下一个维护时段安排更改，请选择false。

没有限制

Hs4Ma3G161-应为 RDS 集群配置 IAM 身份验证

相应的 AWS Security Hub 支票：RDS.12

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

已为 RDS 集群启用了 IAM 身份验证。

没有限制

Hs4Ma3G162-应启用 RDS 自动次要版本升级

相应的 AWS Security Hub 支票：RDS.13

AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade

Amazon RDS 的自动次要版本升级配置已启用。

不允许使用预配置的参数。

Amazon RDS 实例必须处于available状态才能进行此修复。

Hs4Ma3G163-RDS 数据库集群应配置为将标签复制到快照

相应的 AWS Security Hub 支票：RDS.16

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagtosnapshotAmazon RDS 集群的设置已启用。

不允许使用预配置的参数。

Amazon RDS 实例必须处于可用状态才能进行此修复。

Hs4Ma3G164-RDS 数据库实例应配置为将标签复制到快照

相应的 AWS Security Hub 支票：RDS.17

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagsToSnapshotAmazon RDS 的设置已启用。

不允许使用预配置的参数。

Amazon RDS 实例必须处于可用状态才能进行此修复。

rss93 HQwa1

Amazon RDS 公有快照

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

Amazon RDS 快照的公共访问已禁用。

不允许使用预配置的参数。

没有限制

Hs4ma3G103-亚马逊 Redshift 集群应禁止公众访问

相应的 AWS Security Hub 支票：Redshi ft.1

AWSManagedServices-DisablePublicAccessOnRedshiftCluster

亚马逊 Redshift 集群上的公共访问已禁用。

不允许使用预配置的参数。

禁用公共访问会阻止所有来自互联网的客户端。而且，Amazon Redshift 集群在几分钟内处于修改状态，同时修复会禁用集群上的公共访问权限。

Hs4ma3G106-亚马逊 Redshift 集群应启用审核日志

相应的 AWS Security Hub 支票：Redshi ft.4

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging

在维护时段内，您的 Amazon Redshift 集群启用了审核日志。

不允许使用预配置的参数。

要启用 auto 修复，必须提供以下预配置的参数。

BucketName: 存储桶必须位于同一个桶中 AWS 区域。集群必须具有读取存储桶和放置对象权限。

如果在自动化执行之前启用了 Redshift 集群日志记录，则该自动化可能会使用在预配置参数中配置的BucketName和S3KeyPrefix值覆盖日志设置。

Hs4ma3G105-Amazon Redshift应该启用自动升级到主要版本的功能

相应的 AWS Security Hub 支票：Redshi ft.6

AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade-在维护时段内，主要版本升级会自动应用于集群。Amazon Redshift 集群不会立即停机，但是如果升级到主要版本，您的 Amazon Redshift 集群可能会在其维护时段内停机。

不允许使用预配置的参数。

没有限制

Hs4ma3G104-亚马逊 Redshift 集群应使用增强型 VPC 路由

相应的 AWS Security Hub 支票：Redshi ft.7

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting

亚马逊 Redshift 集群已启用增强型 VPC 路由。

不允许使用预配置的参数。

没有限制

Hs4ma3G173-S3 阻止公共访问设置应在存储桶级别启用

相应的 AWS Security Hub 支票：S3.8

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

Amazon S3 存储桶采用存储桶级别的公共访问封禁。

不允许使用预配置的参数。

此补救措施可能会影响 S3 对象的可用性。有关 Amazon S3 如何评估访问权限的信息，请参阅阻止公众访问您的 Amazon S3 存储。

Hs4ma3G230-S3 存储桶服务器访问日志应启用

相应的 AWS Security Hub 支票：S3.9

AWSManagedServices-EnableBucketAccessLogging（auto 和手动执行模式的默认 SSM 文档）

Amazon S3 服务器访问日志已启用。

TargetBucket：用于存储服务器访问日志的 S3 存储桶的名称。
TargetObjectKeyFormat: 日志对象的 Amazon S3 密钥格式（值区分大小写）。要对日志对象使用 S3 密钥的简单格式，请选择SimplePrefix。要对日志对象使用分区 S3 密钥并使用 EventTime 分区前缀，请选择。PartitionedPrefixEventTime要对日志对象使用分区 S3 密钥并使用 DeliveryTime 分区前缀，请选择。PartitionedPrefixDeliveryTime有效值为 SimplePrefix、PartitionedPrefixEventTime 和 PartitionedPrefixDeliveryTime。

要启用 auto 修复，必须提供以下预配置的参数：TargetBucket。

目标存储桶必须与源存储桶位于 AWS 账户相同 AWS 区域且具有正确的日志传输权限。有关更多信息，请参阅启用 Amazon S3 服务器访问日志记录。

Hs4ma3G230 — 应启用 S3 存储桶服务器访问日志记录

相应的 AWS Security Hub 支票：S3.9

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2-已启用 Amazon S3 存储桶日志记录。

TargetBucketTagKey：用于标识目标存储桶的标签名称（区分大小写）。使用此和标记TargetBucketTagValue要用作访问日志记录的目标存储桶的存储桶。
TargetBucketTagValue：标签值（区分大小写），用于标识目标存储桶、使用该值以及标记TargetBucketTagKey要用作访问日志记录的目标存储桶的存储桶。
TargetObjectKeyFormat: 日志对象的 Amazon S3 密钥格式（值区分大小写）：要使用日志对象的 S3 密钥的简单格式，请选择SimplePrefix。要对日志对象使用分区 S3 密钥并使用 EventTime 分区前缀，请选择。PartitionedPrefixEventTime要对日志对象使用分区 S3 密钥并使用 DeliveryTime 分区前缀，请选择。PartitionedPrefixDeliveryTime默认值为 PartitionedPrefixEventTime。

要启用 auto 修复，必须提供以下参数：TargetBucketTagKey和TargetBucketTagValue。

目标存储桶必须与源存储桶位于 AWS 账户相同 AWS 区域且具有正确的日志传输权限。有关更多信息，请参阅启用 Amazon S3 服务器访问日志记录。

Pfx0 RwqBli

Amazon S3 存储桶权限

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

阻止公有访问

不允许使用预配置的参数。

此检查由多个警报标准组成。这种自动化修复了公共访问问题。 Trusted Advisor 不支持修复标记为的其他配置问题。此修复确实支持修复 AWS 服务已创建的 S3 存储桶（例如 cf-templates-000000000000）。

Hs4Ma3G272-用户不应拥有笔记本实例的根访问权限 SageMaker

相应的 AWS Security Hub 支票：SageMaker.3

AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess

对于 SageMaker 笔记本实例，用户的 root 访问权限已禁用。

不允许使用预配置的参数。

如果 SageMaker 笔记本实例 InService 处于状态，则此补救措施会导致中断。

Hs4Ma3G179-SNS 话题应使用静态加密 AWS KMS

相应的 AWS Security Hub 支票：SNS.1

AWSManagedServices-EnableSNSEncryptionAtRest

SNS 主题配置了服务器端加密。

KmsKeyId：适用于 Amazon SNS 的 AWS 托管客户主密钥 (CMK) 或用于服务器端加密 (SSE) 的自定义 CMK 的 ID。默认值设置为alias/aws/sns。

如果使用自定义 AWS KMS 密钥，则必须为其配置正确的权限。有关更多信息，请参阅 Amazon SNS 主题的启用服务器端加密 (SSE)

Hs4ma3G158-SSM 文档不应公开

相应的 AWS Security Hub 支票：SSM.4

AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing-禁用 SSM 文档的公开共享。

不允许使用预配置的参数。

没有限制

Hs4Ma3G136-亚马逊 SQS 队列应在静态时加密

相应的 AWS Security Hub 支票：SQS.1

AWSManagedServices-EnableSQSEncryptionAtRest

亚马逊 SQS 中的消息经过加密。

SqsManagedSseEnabled：设置true为使用Amazon SQS拥有的加密密钥启用服务器端队列加密，设置false为使用密钥启用服务器端队列加密。 AWS KMS
KMSKeyID：Amazon SQS 的 AWS 托管客户主密钥 (CMK) 或用于队列服务器端加密的自定义 CMK 的 ID 或别名。如果未提供，alias/aws/sqs则使用。
KmsDataKeyReusePeriodSeconds：在再次调用之前，Amazon SQS 可以重复使用数据密钥来加密或解密消息的时间长度，以秒为单位。 AWS KMS 一个表示秒数的证书，介于 60 秒（1 分钟）和 86400 秒（24 小时）之间。如果设置为，SqsManagedSseEnabled则忽略此设置true。

匿名 SendMessage 和对加密队列的 ReceiveMessage 请求将被拒绝。针对启用了 SSE 的队列的所有请求都必须使用 HTTPS 和 Signature Version 4。

Trusted Advisor 可信修正者支持的容错检查

检查身份证和姓名 SSM 文档名称和预期结果支持的预配置参数和约束

检查身份证和姓名	SSM 文档名称和预期结果	支持的预配置参数和约束
c18d2gz138 亚马逊 DynamoDB 恢复 Point-in-time	AWSManagedServices-TrustedRemediatorEnableDDBPITR 启用 DynamoDB 表的 point-in-time恢复。	不允许使用预配置的参数。没有限制
r365s2qddf Amazon S3 Bucket Versioning	AWSManagedServices-TrustedRemediatorEnableBucketVersioning Amazon S3 存储桶版本控制已启用。	不允许使用预配置的参数。此修复不支持修复 AWS 服务已创建的 S3 存储桶（例如 cf-templates-000000000000）。
BueAdj7nrp Amazon S3 存储桶日志记录	AWSManagedServices-EnableBucketAccessLogging 已启用 Amazon S3 存储桶日志记录。	TargetBucket：用于存储服务器访问日志的 S3 存储桶的名称。 TargetObjectKeyFormat: 日志对象的 Amazon S3 密钥格式，要使用日志对象的 S3 密钥的简单格式，请选择`SimplePrefix`。要对日志对象使用分区 S3 密钥并使用 EventTime 分区前缀，请选择。`PartitionedPrefixEventTime`要对日志对象使用分区 S3 密钥并使用 DeliveryTime 分区前缀，请选择。`PartitionedPrefixDeliveryTime`默认值为 `PartitionedPrefixEventTime`。有效值为`SimplePrefix`、`PartitionedPrefixEventTime`和`PartitionedPrefixDeliveryTime`（区分大小写）。要启用 auto 修复，必须提供以下预配置的参数： TargetBucket 目标存储桶必须与源存储桶位于 AWS 账户相同 AWS 区域且具有正确的日志传输权限。有关更多信息，请参阅启用 Amazon S3 服务器访问日志记录。
f2ik5r6dep Amazon RDS Multi-AZ	AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ 已启用多可用区部署。	不允许使用预配置的参数。在此更改期间，性能可能会降低。
H7 IgTzj TYb Amazon EBS Snapshots	AWSManagedServices-TrustedRemediatorCreateEBSSnapshot 亚马逊 EBSsnapshots 已创建。	不允许使用预配置的参数。没有限制
op QPADk zvH RDS 备份	AWSManagedServices-EnableRDSBackupRetention 已为数据库启用 Amazon RDS 备份保留功能。	BackupRetentionPeriod：保留自动备份的天数 (1-35)。 ApplyImmediately：表示是否尽快异步应用 RDS 备份保留期更改和任何待处理的修改。`true`选择立即应用更改，或者`false`将更改安排到下一个维护时段。如果将`ApplyImmediately`参数设置为`true`，则数据库上待处理的更改将与 RDSBackup 保留设置一起应用。
c1qf5bt013 Amazon RDS 数据库实例已关闭存储自动扩缩功能	AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling-已为 Amazon RDS 数据库实例启用存储自动扩展。	MaxAllocatedStorageIncreasePercentage: 电流的增加百分比 AllocatedStorage，用于设置 MaxAllocatedStorage。默认值设置为`26`。您必须将最大存储阈值设置为比当前分配的存储空间至少多 10%。最佳做法是将最大存储阈值设置为至少 26%。有关详细信息，请查看使用 Amazon Relational Database Service 存储自动扩展功能自动管理容量。没有限制
7q GXs KIUw Classic Load Balancer Connection 耗尽	AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining Classic Load Balancer 已启用连接耗尽功能。	ConnectionDrainingTimeout：取消注册实例之前保持现有连接打开状态的最长时间（以秒为单位）。默认设置为`300`秒。没有限制
c18d2gz106 计划中 AWS Backup 未包含亚马逊 EBS	AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan Amazon EBS 已包含在 AWS Backup 计划中。	补救措施使用以下标签对标记 Amazon EBS 卷。标签对必须符合的基于标签的资源选择标准。 AWS Backup TagKey TagValue 没有限制
c18d2gz107 计划中未包含亚马逊 DynamoDB 表 AWS Backup	AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlan 计划中包含亚马逊 DynamoDB 表。 AWS Backup	补救措施使用以下标签对标记 Amazon DynamoDB。标签对必须符合的基于标签的资源选择标准。 AWS Backup TagKey TagValue 没有限制
c18d2gz117 AWS Backup 计划中未包含亚马逊 EFS	AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan Amazon EFS 包含在 AWS Backup 计划中。	补救措施使用以下标签对 Amazon EFS 进行标记。标签对必须符合的基于标签的资源选择标准。 AWS Backup TagKey TagValue 没有限制
c18d2gz105 网络负载均衡器跨区域负载均衡	AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing 在 Network Load Balancer 上启用了跨区域负载平衡。	不允许使用预配置的参数。没有限制
c1qf5bt026 亚马逊 RDS `synchronous_commit` 参数已关闭	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的参数`synchronous_commit`已开启。	不允许使用预配置的参数。没有限制
c1qf5bt030 亚马逊 RDS `innodb_flush_log_at_trx_commit` 参数不是 `1`	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter 对`innodb_flush_log_at_trx_commit`于 Amazon RDS`1`，参数设置为。	不允许使用预配置的参数。没有限制
c1qf5bt031 亚马逊 RDS `sync_binlog` 参数已关闭	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的参数`sync_binlog`已开启。	不允许使用预配置的参数。没有限制
c1qf5bt036 Amazon RDS `innodb_default_row_format` 参数设置不安全	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter 对`innodb_default_row_format`于 Amazon RDS`DYNAMIC`，参数设置为。	不允许使用预配置的参数。没有限制
c18d2gz144 未启用 Amazon EC2 详细监控	AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring 已为 Amazon 启用详细监控 EC2。	不允许使用预配置的参数。没有限制

c18d2gz138

亚马逊 DynamoDB 恢复 Point-in-time

AWSManagedServices-TrustedRemediatorEnableDDBPITR

启用 DynamoDB 表的 point-in-time恢复。

不允许使用预配置的参数。

没有限制

r365s2qddf

Amazon S3 Bucket Versioning

AWSManagedServices-TrustedRemediatorEnableBucketVersioning

Amazon S3 存储桶版本控制已启用。

不允许使用预配置的参数。

此修复不支持修复 AWS 服务已创建的 S3 存储桶（例如 cf-templates-000000000000）。

BueAdj7nrp

Amazon S3 存储桶日志记录

AWSManagedServices-EnableBucketAccessLogging

已启用 Amazon S3 存储桶日志记录。

TargetBucket：用于存储服务器访问日志的 S3 存储桶的名称。
TargetObjectKeyFormat: 日志对象的 Amazon S3 密钥格式，要使用日志对象的 S3 密钥的简单格式，请选择SimplePrefix。要对日志对象使用分区 S3 密钥并使用 EventTime 分区前缀，请选择。PartitionedPrefixEventTime要对日志对象使用分区 S3 密钥并使用 DeliveryTime 分区前缀，请选择。PartitionedPrefixDeliveryTime默认值为 PartitionedPrefixEventTime。有效值为SimplePrefix、PartitionedPrefixEventTime和PartitionedPrefixDeliveryTime（区分大小写）。

要启用 auto 修复，必须提供以下预配置的参数：

TargetBucket

目标存储桶必须与源存储桶位于 AWS 账户相同 AWS 区域且具有正确的日志传输权限。有关更多信息，请参阅启用 Amazon S3 服务器访问日志记录。

f2ik5r6dep

Amazon RDS Multi-AZ

AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ

已启用多可用区部署。

不允许使用预配置的参数。

在此更改期间，性能可能会降低。

H7 IgTzj TYb

Amazon EBS Snapshots

AWSManagedServices-TrustedRemediatorCreateEBSSnapshot

亚马逊 EBSsnapshots 已创建。

不允许使用预配置的参数。

没有限制

op QPADk zvH

RDS 备份

AWSManagedServices-EnableRDSBackupRetention

已为数据库启用 Amazon RDS 备份保留功能。

BackupRetentionPeriod：保留自动备份的天数 (1-35)。
ApplyImmediately：表示是否尽快异步应用 RDS 备份保留期更改和任何待处理的修改。true选择立即应用更改，或者false将更改安排到下一个维护时段。

如果将ApplyImmediately参数设置为true，则数据库上待处理的更改将与 RDSBackup 保留设置一起应用。

c1qf5bt013

Amazon RDS 数据库实例已关闭存储自动扩缩功能

AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling-已为 Amazon RDS 数据库实例启用存储自动扩展。

MaxAllocatedStorageIncreasePercentage: 电流的增加百分比 AllocatedStorage，用于设置 MaxAllocatedStorage。默认值设置为26。

您必须将最大存储阈值设置为比当前分配的存储空间至少多 10%。最佳做法是将最大存储阈值设置为至少 26%。有关详细信息，请查看使用 Amazon Relational Database Service 存储自动扩展功能自动管理容量。

没有限制

7q GXs KIUw

Classic Load Balancer Connection 耗尽

AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining

Classic Load Balancer 已启用连接耗尽功能。

ConnectionDrainingTimeout：取消注册实例之前保持现有连接打开状态的最长时间（以秒为单位）。默认设置为300秒。

没有限制

c18d2gz106

计划中 AWS Backup 未包含亚马逊 EBS

AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan

Amazon EBS 已包含在 AWS Backup 计划中。

补救措施使用以下标签对标记 Amazon EBS 卷。标签对必须符合的基于标签的资源选择标准。 AWS Backup

TagKey
TagValue

没有限制

c18d2gz107

计划中未包含亚马逊 DynamoDB 表 AWS Backup

AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlan

计划中包含亚马逊 DynamoDB 表。 AWS Backup

补救措施使用以下标签对标记 Amazon DynamoDB。标签对必须符合的基于标签的资源选择标准。 AWS Backup

TagKey
TagValue

没有限制

c18d2gz117

AWS Backup 计划中未包含亚马逊 EFS

AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan

Amazon EFS 包含在 AWS Backup 计划中。

补救措施使用以下标签对 Amazon EFS 进行标记。标签对必须符合的基于标签的资源选择标准。 AWS Backup

TagKey
TagValue

没有限制

c18d2gz105

网络负载均衡器跨区域负载均衡

AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing

在 Network Load Balancer 上启用了跨区域负载平衡。

不允许使用预配置的参数。

没有限制

c1qf5bt026

亚马逊 RDS synchronous_commit 参数已关闭

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的参数synchronous_commit已开启。

不允许使用预配置的参数。

没有限制

c1qf5bt030

亚马逊 RDS innodb_flush_log_at_trx_commit 参数不是 1

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

对innodb_flush_log_at_trx_commit于 Amazon RDS1，参数设置为。

不允许使用预配置的参数。

没有限制

c1qf5bt031

亚马逊 RDS sync_binlog 参数已关闭

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的参数sync_binlog已开启。

不允许使用预配置的参数。

没有限制

c1qf5bt036

Amazon RDS innodb_default_row_format 参数设置不安全

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

对innodb_default_row_format于 Amazon RDSDYNAMIC，参数设置为。

不允许使用预配置的参数。

没有限制

c18d2gz144

未启用 Amazon EC2 详细监控

AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring

已为 Amazon 启用详细监控 EC2。

不允许使用预配置的参数。

没有限制

Trusted Advisor 可信修正者支持的性能检查

检查身份证和姓名 SSM 文档名称和预期结果支持的预配置参数和约束

检查身份证和姓名	SSM 文档名称和预期结果	支持的预配置参数和约束
COr6dfpM06 AWS Lambda 内存大小的函数配置不足	AWSManagedServices-ResizeLambdaMemory Lambda 函数的内存大小已调整为提供的建议内存大小。 Trusted Advisor	RecommendedMemorySize：Lambda 函数的推荐内存分配。值范围介于 128 和 10240 之间。如果在自动执行之前修改了 Lambda 函数的大小，则此自动化可能会使用推荐的值覆盖设置。 Trusted Advisor
ZRxQlPsb6c 高利用率 Amazon EC2 实例	AWSManagedServices-ResizeInstanceByOneLevel 在相同的 EC2 实例系列中，Amazon 实例按一种实例类型向上调整大小。在调整大小操作期间，实例将停止并启动，并在执行完成后返回到初始状态。此自动化不支持调整 Auto Scaling 组中的实例的大小。	MinimumDaysSinceLastChange：自上次实例类型更改以来的最短天数。如果在指定时间内修改了实例类型，则不会更改实例类型。`0`用于跳过此验证。默认值为 `7`。创建AMIBefore调整大小：要在调整大小之前创建实例 AMI 作为备份，请选择`true`。要不创建备份，请选择`false`。默认值为 `false`。有效值为`true`和`false`（区分大小写）。 ResizeIfStopped：要继续更改实例大小，即使实例处于停止状态，也请选择`true`。要在实例处于停止状态时不自动调整其大小，请选择`false`。有效值为`true`和`false`（区分大小写）。没有限制
c1qf5bt021 使用小于最佳值的 Amazon RDS `innodb_change_buffering` 参数	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter 对于 Amazon RDS，`innodb_change_buffering`参数`NONE`的值设置为。	不允许使用预配置的参数。没有限制
c1qf5bt025 亚马逊 RDS `autovacuum` 参数已关闭	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的参数`autovacuum`已开启。	不允许使用预配置的参数。没有限制
c1qf5bt028 亚马逊 RDS `enable_indexonlyscan` 参数已关闭	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的参数`enable_indexonlyscan`已开启。	不允许使用预配置的参数。没有限制
c1qf5bt029 亚马逊 RDS `enable_indexscan` 参数已关闭	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的参数`enable_indexscan`已开启。	不允许使用预配置的参数。没有限制
c1qf5bt032 亚马逊 RDS `innodb_stats_persistent` 参数已关闭	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的参数`innodb_stats_persistent`已开启。	不允许使用预配置的参数。没有限制
c1qf5bt037 亚马逊 RDS `general_logging` 参数已开启	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter 亚马逊 RDS 的参数`general_logging`已关闭。	不允许使用预配置的参数。没有限制

COr6dfpM06

AWS Lambda 内存大小的函数配置不足

AWSManagedServices-ResizeLambdaMemory

Lambda 函数的内存大小已调整为提供的建议内存大小。 Trusted Advisor

RecommendedMemorySize：Lambda 函数的推荐内存分配。值范围介于 128 和 10240 之间。

如果在自动执行之前修改了 Lambda 函数的大小，则此自动化可能会使用推荐的值覆盖设置。 Trusted Advisor

ZRxQlPsb6c

高利用率 Amazon EC2 实例

AWSManagedServices-ResizeInstanceByOneLevel

在相同的 EC2 实例系列中，Amazon 实例按一种实例类型向上调整大小。在调整大小操作期间，实例将停止并启动，并在执行完成后返回到初始状态。此自动化不支持调整 Auto Scaling 组中的实例的大小。

MinimumDaysSinceLastChange：自上次实例类型更改以来的最短天数。如果在指定时间内修改了实例类型，则不会更改实例类型。0用于跳过此验证。默认值为 7。
创建AMIBefore调整大小：要在调整大小之前创建实例 AMI 作为备份，请选择true。要不创建备份，请选择false。默认值为 false。有效值为true和false（区分大小写）。
ResizeIfStopped：要继续更改实例大小，即使实例处于停止状态，也请选择true。要在实例处于停止状态时不自动调整其大小，请选择false。有效值为true和false（区分大小写）。

没有限制

c1qf5bt021

使用小于最佳值的 Amazon RDS innodb_change_buffering 参数

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

对于 Amazon RDS，innodb_change_buffering参数NONE的值设置为。

不允许使用预配置的参数。

没有限制

c1qf5bt025

亚马逊 RDS autovacuum 参数已关闭

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的参数autovacuum已开启。

不允许使用预配置的参数。

没有限制

c1qf5bt028

亚马逊 RDS enable_indexonlyscan 参数已关闭

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的参数enable_indexonlyscan已开启。

不允许使用预配置的参数。

没有限制

c1qf5bt029

亚马逊 RDS enable_indexscan 参数已关闭

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的参数enable_indexscan已开启。

不允许使用预配置的参数。

没有限制

c1qf5bt032

亚马逊 RDS innodb_stats_persistent 参数已关闭

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的参数innodb_stats_persistent已开启。

不允许使用预配置的参数。

没有限制

c1qf5bt037

亚马逊 RDS general_logging 参数已开启

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

亚马逊 RDS 的参数general_logging已关闭。

不允许使用预配置的参数。

没有限制

Trusted Advisor 受信任修正者支持的服务限制检查

检查身份证和姓名 SSM 文档名称和预期结果支持的预配置参数和约束

检查身份证和姓名	SSM 文档名称和预期结果	支持的预配置参数和约束
ln7rr0l7j9 EC2-VPC 弹性 IP 地址	AWSManagedServices-UpdateVpcElasticIPQuota 请求对 EC2-VPC 弹性 IP 地址设置新的限制。默认情况下，该限制会增加 3。	增量：要增加当前配额的数字。默认值为 `3`。如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。
km7qq0l7j9 VPC 互联网网关	AWSManagedServices-IncreaseServiceQuota-请求对 VPC 互联网网关设置新的限制。默认情况下，该限制增加三个。	增量：要增加当前配额的数字。默认值为 `3`。如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。
jl7pp0l7j9 VPC	AWSManagedServices-IncreaseServiceQuota 请求对 VPC 设置新的限制。默认情况下，该限制增加 3。	增量：要增加当前配额的数字。默认值为 `3`。如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。
fw7hh0l7j9 Auto Scaling 组	AWSManagedServices-IncreaseServiceQuota 请求对 Auto Scaling 组设置新的限制。默认情况下，该限制增加 3。	增量：要增加当前配额的数字。默认值为 `3`。如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。
3njm0 DJQO9 RDS 选项组	AWSManagedServices-IncreaseServiceQuota 请求对 Amazon RDS 选项组设置新的限制。默认情况下，该限制增加 3。	增量：要增加当前配额的数字。默认值为 `3`。如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。
EM8b3yLRTr ELB Application Load Balancer	AWSManagedServices-IncreaseServiceQuota 请求对 ELB 应用程序负载均衡器设置新的限制。默认情况下，该限制增加 3。	增量：要增加当前配额的数字。默认值为 `3`。如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。
8wiQ K YSt25 ELB Network Load Balancer	AWSManagedServices-IncreaseServiceQuota 请求对 ELB 网络负载均衡器设置新的限制。默认情况下，该限制增加 3。	增量：要增加当前配额的数字。默认值为 `3`。如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。

ln7rr0l7j9

EC2-VPC 弹性 IP 地址

AWSManagedServices-UpdateVpcElasticIPQuota

请求对 EC2-VPC 弹性 IP 地址设置新的限制。默认情况下，该限制会增加 3。

增量：要增加当前配额的数字。默认值为 3。

如果在使用OK状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。

km7qq0l7j9

VPC 互联网网关

AWSManagedServices-IncreaseServiceQuota-请求对 VPC 互联网网关设置新的限制。默认情况下，该限制增加三个。

增量：要增加当前配额的数字。默认值为 3。

如果在使用OK状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。

jl7pp0l7j9

VPC

AWSManagedServices-IncreaseServiceQuota

请求对 VPC 设置新的限制。默认情况下，该限制增加 3。

增量：要增加当前配额的数字。默认值为 3。

如果在使用OK状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。

fw7hh0l7j9

Auto Scaling 组

AWSManagedServices-IncreaseServiceQuota

请求对 Auto Scaling 组设置新的限制。默认情况下，该限制增加 3。

增量：要增加当前配额的数字。默认值为 3。

如果在使用OK状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。

3njm0 DJQO9

RDS 选项组

AWSManagedServices-IncreaseServiceQuota

请求对 Amazon RDS 选项组设置新的限制。默认情况下，该限制增加 3。

增量：要增加当前配额的数字。默认值为 3。

如果在使用OK状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。

EM8b3yLRTr

ELB Application Load Balancer

AWSManagedServices-IncreaseServiceQuota

请求对 ELB 应用程序负载均衡器设置新的限制。默认情况下，该限制增加 3。

增量：要增加当前配额的数字。默认值为 3。

如果在使用OK状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。

8wiQ K YSt25

ELB Network Load Balancer

AWSManagedServices-IncreaseServiceQuota

请求对 ELB 网络负载均衡器设置新的限制。默认情况下，该限制增加 3。

增量：要增加当前配额的数字。默认值为 3。

如果在使用OK状态更新 Trusted Advisor 支票之前多次运行此自动化，则可能会增加更高的限额。

Trusted Advisor 可信修正者支持的卓越运营检查

检查身份证和姓名 SSM 文档名称和预期结果支持的预配置参数和约束

检查身份证和姓名	SSM 文档名称和预期结果	支持的预配置参数和约束
c18d2gz125 Amazon API Gateway 未记录执行日志	AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging API 阶段已启用执行日志记录。	不允许使用预配置的参数。要启用执行日志，您必须授予 API Gateway 读取和写入账户日志的权限，有关详细信息，请参阅 APIs 在 API Gateway 中设置 REST CloudWatch 日志记录。 CloudWatch
c18d2gz168 没有为负载均衡器启用 Elastic Load Balancing 删除保护	AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection-Elastic Load Balancer 的删除保护已开启。	不允许使用预配置的参数。没有限制
c1qf5bt012 Amazon RDS Performance Insights	AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights 亚马逊 RDS 的 Performance Insights 已开启。	PerformanceInsightsRetentionPeriod：保留 Performance Insights 数据的天数。有效值：`7`或月 * 31，其中月是 1-23 之间的月数。示例：`93`（3 个月 * 31）、`341`（11 个月 * 31）、`589`（19 个月 * 31）或`731`。 PerformanceInsightsKMSKeyID：Performance Insights 数据加密的密 AWS KMS 钥 ID。如果您没有为 PerformanceInsights KMSKey ID 指定值，则 Amazon RDS 将使用您的默认 AWS KMS 密钥。没有限制
c1fd6b96l4 已启用 Amazon S3 访问日志	AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 Amazon S3 存储桶访问日志已启用。	TargetBucketTagValue：标签值（区分大小写），用于标识目标存储桶、使用该值以及标记 TargetBucketTagKey 要用作访问日志记录的目标存储桶的存储桶。 TargetObjectKeyFormat: 日志对象的 Amazon S3 密钥格式（值区分大小写）。要对日志对象使用 S3 密钥的简单格式，请选择`SimplePrefix`。要对日志对象使用分区 S3 密钥并使用 EventTime 分区前缀，请选择。`PartitionedPrefixEventTime`要对日志对象使用分区 S3 密钥并使用 DeliveryTime 分区前缀，请选择。`PartitionedPrefixDeliveryTime`有效值为 `SimplePrefix`、`PartitionedPrefixEventTime` 和 `PartitionedPrefixDeliveryTime`。要启用 auto 修复，必须提供以下预配置的参数：TargetBucketTagKey和。TargetBucketTagValue 目标存储桶必须与源存储桶位于 AWS 账户相同 AWS 区域且具有正确的日志传输权限。有关更多信息，请参阅启用 Amazon S3 服务器访问日志记录。

c18d2gz125

Amazon API Gateway 未记录执行日志

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

API 阶段已启用执行日志记录。

不允许使用预配置的参数。

要启用执行日志，您必须授予 API Gateway 读取和写入账户日志的权限，有关详细信息，请参阅 APIs 在 API Gateway 中设置 REST CloudWatch 日志记录。 CloudWatch

c18d2gz168

没有为负载均衡器启用 Elastic Load Balancing 删除保护

AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection-Elastic Load Balancer 的删除保护已开启。

不允许使用预配置的参数。

没有限制

c1qf5bt012

Amazon RDS Performance Insights

AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights

亚马逊 RDS 的 Performance Insights 已开启。

PerformanceInsightsRetentionPeriod：保留 Performance Insights 数据的天数。有效值：7或月 * 31，其中月是 1-23 之间的月数。示例：93（3 个月 * 31）、341（11 个月 * 31）、589（19 个月 * 31）或731。
PerformanceInsightsKMSKeyID：Performance Insights 数据加密的密 AWS KMS 钥 ID。如果您没有为 PerformanceInsights KMSKey ID 指定值，则 Amazon RDS 将使用您的默认 AWS KMS 密钥。

没有限制

c1fd6b96l4

已启用 Amazon S3 访问日志

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2

Amazon S3 存储桶访问日志已启用。

TargetBucketTagValue：标签值（区分大小写），用于标识目标存储桶、使用该值以及标记 TargetBucketTagKey 要用作访问日志记录的目标存储桶的存储桶。
TargetObjectKeyFormat: 日志对象的 Amazon S3 密钥格式（值区分大小写）。要对日志对象使用 S3 密钥的简单格式，请选择SimplePrefix。要对日志对象使用分区 S3 密钥并使用 EventTime 分区前缀，请选择。PartitionedPrefixEventTime要对日志对象使用分区 S3 密钥并使用 DeliveryTime 分区前缀，请选择。PartitionedPrefixDeliveryTime有效值为 SimplePrefix、PartitionedPrefixEventTime 和 PartitionedPrefixDeliveryTime。

要启用 auto 修复，必须提供以下预配置的参数：TargetBucketTagKey和。TargetBucketTagValue

目标存储桶必须与源存储桶位于 AWS 账户相同 AWS 区域且具有正确的日志传输权限。有关更多信息，请参阅启用 Amazon S3 服务器访问日志记录。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

支持的 Compute Optimizer 建议

配置检查补救措施