本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AMS 中值得信赖的修正者
Trusted Remediator 是一种 AWS Managed Services 解决方案,可自动执行补救措施[AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)和建议。[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)当 Trusted Advisor Compute Optimizer 向您指出降低成本、提高系统可用性、优化性能或弥合安全漏洞的机会时,Trusted Remediator 会创建建议。 AWS 账户借助 Trusted Remediator,您可以使用既定的最佳实践,以安全、标准化的方式解决这些安全、性能、成本优化、容错和服务限制建议的问题。Trusted Remediator 允许您配置修复解决方案,并按照您创建的计划自动运行,从而简化了修复过程。这种简化的方法可以一致、高效地解决问题,且无需人工干预。
## 可信修正者的主要优点
以下是 Trusted Remediator 的主要优点:
+ **提高安全性、性能和成本优化:**Trusted Remediator 可帮助您增强账户的整体安全状况,优化资源利用率并降低运营成本。
+ **自助服务设置和配置:**您可以将 Trusted Remediator 配置为与您的要求和首选项保持一致。
+ **自动 Trusted Advisor 检查和 AWS Compute Optimizer 建议修复:**配置完成后,Trusted Remediator 会自动为选定的检查运行修复操作。这种自动化消除了手动干预的需求。
+ **最佳实践实施:**补救措施基于既定的最佳实践,因此以标准化和有效的方式解决问题。
+ **计划执行:**您可以选择与您的 day-to-day操作工作流程一致的补救时间表。
Trusted Remediator 使您能够主动解决 AWS 环境中已发现的问题,帮助您遵守最佳实践,维护安全、高性能且经济实惠的云基础架构。
## 可信修正者的工作原理
以下是 “可信修正者” 工作流程的示例:
![\[“可信修正者” 工作流程的插图。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/trusted-remediator-workflow.png)
Trusted Remediator 会 AWS 账户 为您评估 Trusted Advisor 和推荐 Compute Optimizer 建议,然后在中创建。 AWS Systems Manager [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html) OpsCenter然后,您可以使用 Trusted Remediator 自动化文档 OpsItems 自动或手动修复。以下是每种补救措施的详细信息:
+ **自动修复:**Trusted Remediator 运行自动化文档并监控运行情况。自动化文档完成后,Trusted Remediator 会解析 Opsitem。
+ **手动修复:**可信修正者会创建 OpsItem 供您查看。审阅完毕后,即可启动自动化文档。
修复日志存储在 Amazon S3 存储桶中。您可以使用 S3 存储桶中的数据来构建用于报告的自定义 QuickSight 仪表板。AMS 还根据要求为可信修正者提供报告。要接收这些报告,请联系您的 CSDM。有关更多信息,请参阅 [可信修正者报告](trusted-remediator-reports.md)。
## 可信修正者的关键术语
以下是在 AMS 中使用 Trusted Remediator 时需要了解的术语:
+ **AWS Trusted Advisor 以及 AWS Compute Optimizer:**由提供的云优化服务 AWS。 Trusted Advisor Compute Optimizer 会检查您的 AWS 环境并根据以下六个类别的最佳实践提供建议:
+ 成本优化
+ 性能
+ 安全性
+ 容错能力
+ 卓越运营
+ 服务限制
有关更多信息,请参阅[AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html)和[AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/)。
+ **可信修正者:**用于[Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)检查和[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)建议的 AMS 补救解决方案。Trusted Remediator 可帮助您使用已知的最佳实践安全地修复 Trusted Advisor 检查和 Compute Optimizer 建议,以提高安全性、性能并降低成本。可信修正器易于设置和配置。您只需配置一次,Trusted Remediator 就会按照您的首选计划(每天或每周)运行修复。
+ **AWS Systems Manager SSM 文档:**一个 JSON 或 YAML 文件,用于定义对您的 AWS 资源 AWS Systems Manager 执行的操作。SSM 文档可作为声明性规范,用于自动执行跨多个 AWS 资源和实例的操作任务。
+ **AWS Systems Manager OpsCenter OpsItem:**云运营问题管理资源,可帮助您跟踪和解决 AWS 环境中的运营问题。 OpsItems 为跨 AWS 服务 资源的运营数据和问题提供集中视图和管理系统。每个都 OpsItem 代表一个操作问题,例如潜在的安全风险、性能问题或操作事件。
+ **配置:**配置是存储在中的一组属性 [AWS AppConfig,其功能为 AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/appconfig.html)。中的 Trusted Remediator 应用程序 AWS AppConfig 可帮助在帐户级别配置修复。您可以使用 AWS AppConfig 控制台或 API 来编辑配置。
+ **执行模式:**执行模式是一个配置属性,用于确定如何针对每个 Trusted Advisor 检查结果运行修复。支持四种执行模式:**自****动、手动**、**有条件**和**非活动**。
+ **资源覆盖:**此功能使用资源标签来覆盖特定资源的配置。
+ **修复项目日志:**可信修正者修复 S3 日志存储桶中的日志文件。修复项目日志是在创建修复时创建 OpsItems 的。此日志文件包含手动执行补救 OpsItems 和自动执行补救 OpsItems。使用此日志文件跟踪所有补救项目。
+ **自动修复执行日志:**可信修正者修复 S3 日志存储桶中的日志文件。自动修复执行日志在 SSM 文档的自动运行完成后创建。此日志包含用于自动执行补救 OpsItems的 SSM 执行详细信息。使用此日志文件来跟踪自动修复。
# 开始使用 AMS 中的可信修复器
可信修正器在 AMS 中可用,无需额外付费。Trusted Remediator 支持单账户和多账户配置。
## 加入可信修复者
要将您的 AMS 账户注册到 Trusted Remedieator,请发送电子邮件给您的云架构师或云服务交付经理 (CSDMs)。在电子邮件中,请包含以下信息:
+ **AWS 账户:** 十二位数的账户识别码。您要注册到 Trusted Remedieator 的所有账户都必须属于同一个 Accelerate 客户。
+ **委托管理员帐户:**用于单个或多个帐户 Trusted Advisor 和 Compute Optimizer 检查配置的帐户。
+ **成员账户:**这些账号是指关联到委派管理员账号的账号。这些账户继承委派管理员账户的配置。您可以拥有一个成员账户或多个成员账户。
**注意**
成员账号继承委派管理员账号的配置。如果您需要为特定账户配置不同的配置,请使用您的首选配置注册多个委派管理员帐户。在入职之前,请与您的云架构师一起规划账户结构和配置。
+ **AWS 区域:**您的资源所在的位置。 AWS 区域 有关列表 AWS 区域,请参阅[AWS 服务 按地区划分](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
+ **补救时间表和时间:**您的首选补救时间表(每天或每周)。Trusted Remediator 会在计划的时间收集 Trusted Advisor 检查并启动修复。例如,您可以将补救计划设置为每周星期日凌晨 1:00(澳大利亚东部标准时间)。
+ **通知电子邮件:**Trusted Remediator 使用通知电子邮件每天通知您是否有补救措施。通知电子邮件的主题是 “可信修正者补救摘要”,其内容提供有关过去 24 小时内运行的可信修正者修正的信息。
**注意**
每次计划修复后,请检查您的应用程序和资源。如需其他支持,请联系 AMS。
在您向 CA 或 CSDM 提交包含所需详细信息的入会申请后,AMS 会将您的账户登录到 Trusted Remediator。Trusted AWS AppConfig Remediator 使用(一种功能)来定义 Trusted Advisor 检查的配置。 AWS Systems Manager这些配置是存储在中的一组属性 AWS AppConfig。为防止对您的资源进行未经授权的费用,当账户加入可信修正者时,所有支持的 Trusted Advisor 检查都将设置为 “**非活动**”。入职后,您可以使用 AWS AppConfig 控制台或 API 来管理配置。这些配置可帮助您自动修复特定的 Trusted Advisor 检查,或者评估和手动修复剩余的检查。这些配置是高度可定制的,允许您为每项 Trusted Advisor 检查应用配置。有关更多信息,请参阅 [在可信修正器中配置 Trusted Advisor 检查修复](tr-configure-remediations.md)。
## 选择要修复的检查和建议
默认情况下,您的配置中的所有 Trusted Advisor 检查和 Compute Optimizer 建议的修复执行模式均为 “**非活动**”。这样可以防止未经授权的补救并保护资源。AMS 提供精心策划的 SSM 自动化文档,用于 Trusted Advisor 支票补救。
要选择要使用可信修正者修复的检查,请完成以下步骤:
1. 查看支持的建议[Trusted Advisor 和 [Compute Optimizer 建议](tr-supported-recommendations-co.md)列表或关联的 SSM 自动化文档的名称](tr-supported-checks.md),以决定要使用 Trusted Remediator 修复哪些检查和建议。
1. 更新您的配置以启用所选 Trusted Advisor 检查的补救功能。有关如何选择支票的说明,请参阅[在可信修正器中配置 Trusted Advisor 检查修复](tr-configure-remediations.md)。
## 在 “可信修正者” 中跟踪您的补救措施
更新账户级别配置后,Trusted Remediator 会 OpsItems 为每项补救措施创建。Trusted Remediator 会 OpsItems 根据您的补救计划运行 SSM 文档进行自动修复。有关如何 OpsItems 从 Systems Manager OpsCenter 控制台查看所有补救措施的说明,请参阅[在 “可信修正者” 中跟踪补救措施](tr-remediation.md#tr-remediation-track)。
## 在 “可信修正器” 中运行手动修复
您可以手动修复 Trusted Advisor 检查。当您启动手动修复时,可信修正者会创建手动执行 OpsItem。您必须查看并启动 SSM 自动化文档才能修复。 OpsItems有关更多信息,请参阅 [在 “可信修正器” 中运行手动修复](tr-remediation.md#tr-remediation-run)。
# 受信任修正者支持的 Compute Optimizer 建议
下表列出了支持的 Compute Optimizer 建议、SSM 自动化文档、预配置的参数以及自动化文档的预期结果。在启用 SSM 自动化文档进行支票补救之前,请查看预期结果,以帮助您根据业务需求了解可能的风险。
确保每个 Compute Optimizer 检查的相应配置规则适用于要为其启用修复的受支持检查。有关更多信息,请参阅[选择使用 AWS Compute Optimizer 支 Trusted Advisor 票](https://docs.aws.amazon.com/awssupport/latest/user/compute-optimizer-with-trusted-advisor.html)。
| 优化选项 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| 规模优化 |
| [亚马逊 EC2 实例建议](https://aws.amazon.com/compute-optimizer/faqs/#topic-4) | **AWSManagedServices-TrustedRemediatorResizeInstanceByComputeOptimizerRecommendation** 根据 Compute Optimizer 的建议更新了亚马逊 EC2 实例类型。如果存在最佳选项,则选择最佳选项,同时保持相同的平台参数(架构、虚拟机管理程序、网络接口、虚拟化类型等)。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Amazon EBS 卷建议](https://aws.amazon.com/compute-optimizer/faqs/#topic-6) | **AWSManagedServices-ModifyEBSVolume** Amazon EBS 卷是根据 Compute Optimizer 的建议修改的。修改可能包括卷类型、大小、IOPS、卷生成(gp2、gp3 等)。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Lambda 函数推荐](https://aws.amazon.com/compute-optimizer/faqs/#topic-7) | **AWSManagedServices-TrustedRemediatorOptimizeLambdaMemory** AWS Lambda 根据 Compute Optimizer 的建议对函数内存进行了优化。 | **RecommendedMemorySize **:自定义内存大小(如果与推荐的选项不同)。 没有限制 |
| 闲置资源 |
| [闲置亚马逊 EBS 交易量](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-DeleteUnusedEBSVolume** 未连接的 Amazon EBS 卷将被删除。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [空闲的亚马逊 EC2 实例](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopEC2 实例** 闲置的 Amazon EC2 实例将被停止。 | **ForceStopWithInstanceStore**:要强制停止使用实例存储的实例,请设置为 “True”。要不强制停止,请设置为 “False”。默认值为 “False” 可防止实例停止。 没有限制 |
| [空闲的亚马逊 RDS 实例](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopIdleRDSInstance** 停止闲置的 Amazon RDS 实例。支持的引擎有:MariaDB、微软 SQL Server、MySQL、Oracle、PostgreSQL。本文档不适用于 Aurora MySQL 和 Aurora PostgreSQL。该实例将在最多 7 天内停止并自动重新启动。 | 不允许使用预配置的参数。 没有限制 |
# Trusted Advisor 受信任修正者支持的检查
下表列出了支持的 Trusted Advisor 检查、SSM 自动化文档、预配置的参数以及自动化文档的预期结果。在启用 SSM 自动化文档进行支票补救之前,请查看预期结果以帮助您根据业务需求了解可能的风险。
对于要为其启用补救功能的受支持检查,请确保每 Trusted Advisor 项检查都有相应的配置规则。有关更多信息,请参阅[查看由支持的 AWS Trusted Advisor 支票 AWS Config](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html)。如果支票有相应的 AWS Security Hub CSPM 控件,请确保启用了 Security Hub 控件。有关更多信息,请参阅在 Sec [urity Hub 中启用控件](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html)。有关管理预配置参数的信息,请参阅 Trusted Rem [ediator 中的配置 Trusted Advisor 检查修复](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html)。
## Trusted Advisor 可信修正者支持的成本优化检查
| 检查身份证和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [Z4 AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses) 未关联的弹性 IP 地址 | **AWSManagedServices-TrustedRemediatorReleaseElasticIP** 释放未与任何资源关联的弹性 IP 地址。 | 不允许使用预配置的参数。 没有限制 |
| [c18d2gz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days) 150-亚马逊实例已停止 EC2 | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime**-停止天数的 Amazon EC2 实例终止。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [c18d2gz128](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy) 未对生命周期策略进行配置的 Amazon ECR 存储库 | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy** 如果生命周期策略尚不存在,则为指定的存储库创建生命周期策略。 | **ImageAgeLimit:**Amazon ECR 存储库中 “任何” 图像的最大保存期限(以天为单位)(1-365)。 没有限制 |
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes) 未充分利用的 Amazon EBS 卷 | **AWSManagedServices-DeleteUnusedEBSVolume** 如果过去 7 天内未连接未充分利用的 Amazon EBS 卷,则删除这些卷。默认情况下会创建 Amazon EBS 快照。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [hj m8 LMh88u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers) 闲置的负载均衡器 | **AWSManagedServices-DeleteIdleClassicLoadBalancer** 如果闲置的 Classic Load Balancer 未使用且未注册任何实例,则将其删除。 | **IdleLoadBalancerDays:**Classic Load Balancer 在考虑处于空闲状态之前有 0 个请求的连接的天数。默认值为七天。 如果启用了自动执行,则如果没有活跃的后端实例,则自动化会删除闲置的 Classic 负载均衡器。对于所有具有活跃后端实例但后端实例运行状况不佳的闲置经典负载均衡器,不会使用自动修复,而是创建 OpsItems 用于手动补救的自动修复。 |
| [ti39Halfu8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances) Amazon RDS 闲置数据库实例 | **AWSManagedServices-StopIdleRDSInstance** 过去七天一直处于空闲状态的 Amazon RDS 数据库实例已停止。 | 不允许使用预配置的参数。 没有限制 |
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size) AWS Lambda 内存大小过度配置的函数 | **AWSManagedServices-ResizeLambdaMemory** AWS Lambda 函数的内存大小已调整为由 Trusted Advisor提供的推荐内存大小。 | **RecommendedMemorySize:**Lambda 函数的推荐内存分配。值范围介于 128 和 10240 之间。 如果在自动化运行之前修改了 Lambda 函数的大小,则该自动化可能会使用推荐的值覆盖这些设置。 Trusted Advisor |
| [qch7dwoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) 低利用率 Amazon EC2 实例 | **AWSManagedServices-StopEC2Inst** ance(自动和手动执行模式下的默认 SSM 文档。) 使用率低的 Amazon EC2 实例已停止。 | **ForceStopWithInstanceStore:**设置为`true`以强制停止使用实例存储的实例。否则,设置为 `false`。默认值为`false`可防止实例停止。有效值为真或假(区分大小写)。 没有限制 |
| [qch7dwoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) 低利用率 Amazon EC2 实例 | **AWSManagedServices-ResizeInstanceByOneLevel** 在相同的 EC2 实例系列类型中,Amazon 实例按向下调整一个实例类型的大小。实例在调整大小操作期间停止并启动,并在 SSM 文档运行完成后恢复到初始状态。此自动化不支持调整 Auto Scaling 组中的实例的大小。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [qch7dwoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) 低利用率 Amazon EC2 实例 | **AWSManagedServices-TerminateInstance** 如果未加入 Auto Scaling 组且未启用终止保护,则低利用率的 Amazon EC2 实例将被终止。默认情况下会创建 AMI。 | **创建AMIBefore终止:**将此选项设置`false`为`true`或可在终止实例之前创建实例 AMI 作为备份。 EC2 默认值为 `true`。有效值为`true`和`false`(区分大小写)。 没有限制 |
| [g31sq1e9U](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters) Underutilized Amazon Redshift Clusters | **AWSManagedServices-PauseRedshiftCluster** 亚马逊 Redshift 集群已暂停。 | 不允许使用预配置的参数。 没有限制 |
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config) Amazon S3 未完成分段上传中止配置 | **AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload** Amazon S3 存储桶配置了生命周期规则,用于中止某些天后仍未完成的分段上传。 | **DaysAfterInitiation:**Amazon S3 停止未完成的分段上传的天数。默认设置为 7 天。 没有限制 |
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances) Amazon 针对实例 EC2 的成本优化建议 | 使用来自的亚马逊 EC2 实例建议和空闲的亚马逊 EC2 实例[受信任修正者支持的 Compute Optimizer 建议](tr-supported-recommendations-co.md)。 | 不允许使用预配置的参数。 没有限制 |
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes) Amazon EBS 针对卷的成本优化建议 | 使用来自的 Amazon EBS 交易量建议和空闲亚马逊 EBS 交易量。[受信任修正者支持的 Compute Optimizer 建议](tr-supported-recommendations-co.md) | 不允许使用预配置的参数。 没有限制 |
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) Amazon RDS 针对数据库实例的成本优化建议 | 使用来自的空闲的 Amazon RDS 实例[受信任修正者支持的 Compute Optimizer 建议](tr-supported-recommendations-co.md)。 | 不允许使用预配置的参数。 没有限制 |
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) AWS Lambda 函数的成本优化建议 | 使用来自的 Lambda 函数建议。[受信任修正者支持的 Compute Optimizer 建议](tr-supported-recommendations-co.md) | 不允许使用预配置的参数。 没有限制 |
## Trusted Advisor 受信任修正者支持的安全检查
| 检查身份证和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [12Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys) Exposed Access Keys | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey** 公开的 IAM 访问密钥已停用。 | 不允许使用预配置的参数。 使用公开的 IAM 访问密钥配置的应用程序无法进行身份验证。 |
| Hs4ma3G127-应启用 API Gateway REST WebSocket 和 API 执行日志记录 相应的 AWS Security Hub CSPM 支票:[APIGateway.1](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1) | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** API 阶段已启用执行日志记录。 | **LogLevel:** 用于启用执行日志记录的日志级别,`ERROR`-仅对错误启用日志记录。 `INFO`-已为所有事件启用日志功能。 要启用执行日志,您必须授予 API Gateway 读取和写入账户日志的权限,有关详细信息,请参阅[ APIs 在 API Gateway 中设置 REST CloudWatch 日志记录](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)。 CloudWatch |
| Hs4ma3G129-API Gateway REST API 阶段应该启用追踪 AWS X-Ray 相应的 AWS Security Hub CSPM 支票:[APIGateway.3](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3) | **AWSManagedServices-EnableApiGateWayXRayTracing** 在 API 阶段已启用 X 射线追踪。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G202-API Gateway REST API 缓存数据应静态加密 相应的 AWS Security Hub CSPM 支票:[APIGateway.5](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5) | **AWSManagedServices-EnableAPIGatewayCacheEncryption** 如果 API Gateway REST API 阶段启用了缓存,则为 API Gateway REST API 缓存数据启用静态加密。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G177- 相应的 AWS Security Hub CSPM 检查-与负载均衡器关联的 Auto Scaling 组应使用负载均衡器运行状况检查。[AutoScaling1](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck** 已为 Auto Scaling 组启用了 Elastic Load Balancing 运行状况检查。 | **HealthCheckGracePeriod:**Auto Scaling 在检查已投入使用的亚马逊弹性计算云实例的运行状况之前等待的时间,以秒为单位。 如果连接到 Auto Scaling 组的任何 Elastic Load Balancing 负载均衡器报告运行状况不佳,则启用 Elastic Load Balancing 运行状况检查可能会导致替换正在运行的实例。有关更多信息,请参阅[将 Elastic Load Balancing 负载均衡器附加到您的 Auto Scaling 组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html) |
| Hs4ma3G245- CloudFormation 堆栈应与亚马逊简单通知服务集成 相应的 AWS Security Hub CSPM 支票:[CloudFormation.1](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1) | **AWSManagedServices-EnableCFNStackNotification** 将 CloudFormation 堆栈与 Amazon SNS 主题关联以获得通知。 | **通知ARNs:**要与 ARNs 选定 CloudFormation 堆栈关联的 Amazon SNS 主题。 要启用 auto 修复,必须提供`NotificationARNs`预配置的参数。 |
| Hs4ma3G210- CloudFront 发行版应该启用日志记录 相应的 AWS Security Hub CSPM 支票:[CloudFront.2](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5) | **AWSManagedServices-EnableCloudFrontDistributionLogging** 已为 Amazon CloudFront 分配启用日志记录。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下预配置的参数: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 有关修正限制,请参阅[如何为我的 CloudFront 分配开启日志记录](https://repost.aws/knowledge-center/cloudfront-logging-requests)? |
| Hs4ma3G109-应启用 CloudTrail 日志文件验证 相应的 AWS Security Hub CSPM 支票:[CloudTrail.4](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4) | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation** 启用 CloudTrail 跟踪日志验证。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G108—— CloudTrail 轨迹应与亚马逊日志集成 CloudWatch 相应的 AWS Security Hub CSPM 支票:[CloudTrail.5](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5) | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch** AWS CloudTrail 已与 CloudWatch 日志集成。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下预配置的参数: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4ma3G217- CodeBuild 项目环境应该有日志配置 AWS 相应的 AWS Security Hub CSPM 支票:[CodeBuild.4](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4) | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig** 启用 CodeBuild 项目日志记录。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G306-Neptune 数据库集群应启用删除保护 相应的 AWS Security Hub CSPM 支票:d [ocumen](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) tDB.3 | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot** 从 Amazon DocumentDB 手动集群快照中移除公共访问权限。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G308-亚马逊 DocumentDB 集群应启用删除保护 相应的 AWS Security Hub CSPM 支票:d [ocumen](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) tDB.5 | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection** 为亚马逊文档数据库集群启用删除保护。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G323-DynamoDB 表应该启用删除保护 相应的 AWS Security Hub CSPM 检查:d [ynam](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) odB.6 | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection** 为非 AMS DynamoDB 表启用删除保护。 | 不允许使用预配置的参数。 没有限制 |
| [eps02jt06w](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots)-亚马逊 EBS 公开快照 | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot** 已禁用 Amazon EBS 快照的公共访问权限。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G118-VPC 默认安全组不应允许入站或出站流量 相应的 AWS Security Hub CSPM 支票:[EC2.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG** 默认安全组中的所有入口和出口规则都将被删除。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G117-附加的 EBS 卷应在静态状态下进行加密 相应的 AWS Security Hub CSPM 支票:[EC2.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) | **AWSManagedServices-EncryptInstanceVolume** 实例上附加的 Amazon EBS 卷已加密。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 作为修复的一部分,实例将重新启动,如果`DeleteStaleNonEncryptedSnapshotBackups`将其设置为有助于恢复,则可以进行`false`回滚。 |
| Hs4ma3G120-应在指定的时间段后移除已停止的 EC2 实例 相应的 AWS Security Hub CSPM 支票:[EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateInstance**(auto 和手动执行模式的默认 SSM 文档) 停止 30 天的 Amazon EC2 实例将被终止。 | **创建AMIBefore终止:**. 要在终止实例之前创建实例 AMI 作为备份,请选择`true`。 EC2 要在终止之前不创建备份,请选择`false`。默认值为 `true`。 没有限制 |
| Hs4ma3G120-应在指定的时间段后移除已停止的 EC2 实例 相应的 AWS Security Hub CSPM 支票:[EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime**-在 Security Hub 中定义的停止天数(默认值为 30)的亚马逊 EC2 实例将被终止。 | **创建AMIBefore终止:**要在终止实例之前创建实例 AMI 作为备份,请选择`true`。 EC2 要在终止之前不创建备份,请选择`false`。默认值为 `true`。 没有限制 |
| Hs4ma3G121-应启用 EBS 默认加密 相应的 AWS Security Hub CSPM 支票:[EC2.7](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7) | **AWSManagedServices-EncryptEBSByDefault** 默认情况下,Amazon EBS 加密是针对特定的 AWS 区域 | 不允许使用预配置的参数。 默认加密是区域特定的设置。如果您为某个区域启用该功能,则无法为该区域的单个卷或快照禁用该功能。 |
| Hs4Ma3G124- EC2 亚马逊实例应使用实例元数据服务版本 2 () IMDSv2 相应的 AWS Security Hub CSPM 支票:[EC2.8](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) | **AWSManagedServices-TrustedRemediator****启用EC2实例 IMDSv2** Amazon EC2 实例使用实例元数据服务版本 2 (IMDSv2)。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| Hs4Ma3G207- EC2 子网不应自动分配公有 IP 地址 相应的 AWS Security Hub CSPM 支票:[EC2.15](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15) | **AWSManagedServices-UpdateAutoAssignPublicIpv4个地址** VPC 子网配置为不自动分配公有 IP 地址。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G209-未使用的网络访问控制列表已删除 相应的 AWS Security Hub CSPM 支票:[EC2.16](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16) | **AWSManagedServices-DeleteUnusedNACL** 删除未使用的网络 ACL | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G215-应移除未使用的 EC2 亚马逊安全组 相应的 AWS Security Hub CSPM 支票:[EC2.22](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22) | **AWSManagedServices-DeleteSecurityGroups** 删除未使用的安全组。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G247-Amazon Transit G EC2 ateway 不应自动接受 VPC 连接请求 相应的 AWS Security Hub CSPM 支票:[EC2.23](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach**-禁用自动接受指定非 AMS Amazon T EC2 ransit Gateway 的 VPC 连接请求。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G235-ECR 私有存储库应配置标签不可变性 相应的 AWS Security Hub CSPM 支票:[ECR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability** 将指定存储库的图像标签可变性设置设置为 IMMUTABLE。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G216-ECR 存储库应至少配置一个生命周期策略 相应的 AWS Security Hub CSPM 支票:[ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy** ECR 存储库已配置生命周期策略。 | **LifecyclePolicyText:**要应用于存储库的 JSON 存储库策略文本。 要启用 auto 修复,必须提供以下预配置的参数: **LifecyclePolicyText** |
| Hs4ma3G325-EKS 集群应启用审核日志记录 相应的 AWS Security Hub CSPM 支票:[EK](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) S.8 | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog** 已为 EKS 集群启用审核日志。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G183-应用程序负载均衡器应配置为丢弃 HTTP 标头 相应的 AWS Security Hub CSPM 支票:[EL](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4) B.4 | **AWSConfigRemediation-DropInvalidHeadersForALB** Application Load Balancer 配置为无效的标头字段。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G184-应启用应用程序负载均衡器和经典负载均衡器日志记录 相应的 AWS Security Hub CSPM 支票:[EL](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) B.5 | **AWSManagedServices-EnableELBLogging (auto 和手动执行模式的默认 SSM 文档)** 应用程序负载均衡器和经典负载均衡器日志记录已启用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下预配置的参数: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) Amazon S3 存储桶必须具有存储桶策略,该策略授予 Elastic Load Balancing 将访问日志写入存储桶的权限。 |
| Hs4Ma3G184-应启用应用程序负载均衡器和经典负载均衡器日志记录 相应的 AWS Security Hub CSPM 支票:[EL](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) B.5 | **AWSManagedServices-EnableELBLoggingV2** 应用程序负载均衡器和经典负载均衡器日志记录已启用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4ma3G326-应启用亚马逊 EMR 屏蔽公开访问设置 相应的 AWS Security Hub CSPM 支票:[EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess** 该账户的 Amazon EMR 屏蔽公开访问设置已开启。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G135- AWS KMS 密钥不应无意中删除 相应的 AWS Security Hub CSPM 支票:[KMS.3](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) | **AWSManagedServices-CancelKeyDeletion** AWS KMS 密钥删除已取消。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G299-Amazon DocumentDB 手动集群快照不应公开 相应的 AWS Security Hub CSPM 支票:[Neptune.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection** 为 Amazon Neptune 集群启用删除保护。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G319-Network Firewall 防火墙应该启用删除保护 相应的 AWS Security Hub CSPM 支票:[NetworkFirewall.9](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection**-为 AWS Network Firewall 启用删除保护。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G223- OpenSearch 域名应加密节点之间发送的数据 相应的 AWS Security Hub CSPM 支票:[OpenSearch.3](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3) | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption** 已为域启用节点到节点加密。 | 不允许使用预配置的参数。 启用 node-to-node加密后,您无法禁用该设置。取而代之的是,手动拍摄加密域的快照,创建另一个域,迁移您的数据,然后删除旧域名。 |
| Hs4ma3G222-应该启用记录到日志的 OpenSearch 域名错误 CloudWatch 相应的 AWS Security Hub CSPM 支票:[Open](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) search.4 | **AWSManagedServices-EnableOpenSearchLogging** 已为该 OpenSearch 域启用错误日志记录。 | CloudWatchLogGroupArn:亚马逊 CloudWatch 日志组的 ARN。 要启用 auto 修复,必须提供以下预配置的参数:**CloudWatchLogGroupArn**。 Amazon CloudWatch 资源策略必须配置权限。有关更多信息,请参阅 *Amazon OpenSearch 服务用户指南*中的[启用审计日志](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) |
| Hs4ma3G221- OpenSearch 域名应启用审核日志 相应的 AWS Security Hub CSPM 支票:[Open](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) search.5 | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch 域配置为启用审核日志。 | **CloudWatchLogGroupArn:**要向其发布 CloudWatch 日志的日志组的 ARN。 要启用 auto 修复,必须提供以下预配置的参数:**CloudWatchLogGroupArn** Amazon CloudWatch 资源策略必须配置权限。有关更多信息,请参阅 *Amazon OpenSearch 服务用户指南*中的[启用审计日志](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) |
| Hs4Ma3G220-与 OpenSearch 域名的连接应使用 TLS 1.2 进行加密 相应的 AWS Security Hub CSPM 支票:[Open](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) search.8 | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2** TLS 策略设置为 “policy-min-tls-1-2-2019-07”,并且只允许通过 HTTPS (TLS) 进行加密连接。 | 不允许使用预配置的参数。 使用 TLS 1.2 需要与 OpenSearch 域建立连接。加密传输中数据可能会影响性能。使用此功能测试您的应用程序,以了解 TLS 的性能状况和影响。 |
| Hs4ma3G194-亚马逊 RDS 快照应该是私有的 相应的 AWS Security Hub CSPM 支票:[RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** Amazon RDS 快照的公共访问已禁用。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G192-RDS 数据库实例应禁止公共访问,具体取决于配置 PubliclyAccessible AWS 相应的 AWS Security Hub CSPM 支票:[RDS.2](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance** 在 RDS 数据库实例上禁用公共访问权限。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G189-为亚马逊 RDS 数据库实例配置了增强监控 相应的 AWS Security Hub CSPM 支票:[RDS.6](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring** 为 Amazon RDS 数据库实例启用增强监控 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 如果在自动化执行之前启用了增强监控,则此自动化可能会使用在预配置参数中配置的 MonitoringInterval 和 MonitoringRoleName 值来覆盖这些设置。 |
| Hs4ma3G190-Amazon RDS 集群应启用删除保护 相应的 AWS Security Hub CSPM 支票:[RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** 已为 Amazon RDS 集群启用删除保护。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G198-Amazon RDS 数据库实例应启用删除保护 相应的 AWS Security Hub CSPM 支票:[RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** 已为 Amazon RDS 实例启用删除保护。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G199-RDS 数据库实例应将日志发布到日志 CloudWatch 相应的 AWS Security Hub CSPM 支票:[RDS.9](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports** 已为 RDS 数据库实例或 RDS 数据库集群启用 RDS 日志导出。 | 不允许使用预配置的参数。 需要服务相关角色 [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure)。 |
| Hs4Ma3G160-应为 RDS 实例配置 IAM 身份验证 相应的 AWS Security Hub CSPM 支票:[RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** AWS Identity and Access Management 已为 RDS 实例启用身份验证。 | **ApplyImmediately:** 表示是否尽快异步应用此请求中的修改和任何待处理的修改。要立即应用更改,请选择`true`。要在下一个维护时段安排更改,请选择`false`。 没有限制 |
| Hs4Ma3G161-应为 RDS 集群配置 IAM 身份验证 相应的 AWS Security Hub CSPM 支票:[RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** 已为 RDS 集群启用了 IAM 身份验证。 | **ApplyImmediately:** 表示是否尽快异步应用此请求中的修改和任何待处理的修改。要立即应用更改,请选择`true`。要在下一个维护时段安排更改,请选择`false`。 没有限制 |
| Hs4Ma3G162-应启用 RDS 自动次要版本升级 相应的 AWS Security Hub CSPM 支票:[RDS.13](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade** Amazon RDS 的自动次要版本升级配置已启用。 | 不允许使用预配置的参数。 Amazon RDS 实例必须处于`available`状态才能进行此修复。 |
| Hs4Ma3G163-RDS 数据库集群应配置为将标签复制到快照 相应的 AWS Security Hub CSPM 支票:[RDS.16](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagtosnapshot`Amazon RDS 集群的设置已启用。 | 不允许使用预配置的参数。 Amazon RDS 实例必须处于可用状态才能进行此修复。 |
| Hs4Ma3G164-RDS 数据库实例应配置为将标签复制到快照 相应的 AWS Security Hub CSPM 支票:[RDS.17](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagsToSnapshot`Amazon RDS 的设置已启用。 | 不允许使用预配置的参数。 Amazon RDS 实例必须处于可用状态才能进行此修复。 |
| [rss93 HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots) Amazon RDS 公有快照 | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** Amazon RDS 快照的公共访问已禁用。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G103-亚马逊 Redshift 集群应禁止公众访问 相应的 AWS Security Hub CSPM 支票:[Redshi](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) ft.1 | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster** 亚马逊 Redshift 集群上的公共访问已禁用。 | 不允许使用预配置的参数。 禁用公共访问会阻止所有来自互联网的客户端。而且,Amazon Redshift 集群在几分钟内处于修改状态,同时修复会禁用集群上的公共访问权限。 |
| Hs4ma3G106-亚马逊 Redshift 集群应启用审核日志 相应的 AWS Security Hub CSPM 支票:[Redshi](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) ft.4 | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging** 在维护时段内,您的 Amazon Redshift 集群启用了审核日志。 | 不允许使用预配置的参数。 要启用 auto 修复,必须提供以下预配置的参数。 **BucketName:** 存储桶必须位于同一个桶中 AWS 区域。集群必须具有读取存储桶和放置对象权限。 如果在自动化执行之前启用了 Redshift 集群日志记录,则该自动化可能会使用在预配置参数中配置的`BucketName`和`S3KeyPrefix`值覆盖日志设置。 |
| Hs4ma3G105-Amazon Redshift应该启用自动升级到主要版本的功能 相应的 AWS Security Hub CSPM 支票:[Redshi](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) ft.6 | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade**-在维护时段内,主要版本升级会自动应用于集群。Amazon Redshift 集群不会立即停机,但是如果升级到主要版本,您的 Amazon Redshift 集群可能会在其维护时段内停机。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G104-亚马逊 Redshift 集群应使用增强型 VPC 路由 相应的 AWS Security Hub CSPM 支票:[Redshi](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) ft.7 | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting** 亚马逊 Redshift 集群已启用增强型 VPC 路由。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G173-S3 阻止公共访问设置应在存储桶级别启用 相应的 AWS Security Hub CSPM 支票:[S3.8](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8) | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Amazon S3 存储桶采用存储桶级别的公共访问封禁。 | 不允许使用预配置的参数。 此补救措施可能会影响 S3 对象的可用性。有关 Amazon S3 如何评估访问权限的信息,请参阅[阻止公众访问您的 Amazon S3 存储](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)。 |
| Hs4ma3G230-S3 存储桶服务器访问日志应启用 相应的 AWS Security Hub CSPM 支票:[S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-EnableBucketAccessLogging**(auto 和手动执行模式的默认 SSM 文档) Amazon S3 服务器访问日志已启用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下预配置的参数:**TargetBucket**。 目标存储桶必须与源存储桶位于 AWS 账户 相同 AWS 区域 且具有正确的日志传输权限。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
| Hs4ma3G230 — 应启用 S3 存储桶服务器访问日志记录 相应的 AWS Security Hub CSPM 支票:[S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2**-已启用 Amazon S3 存储桶日志记录。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下参数:**TargetBucketTagKey**和**TargetBucketTagValue**。 目标存储桶必须与源存储桶位于 AWS 账户 相同 AWS 区域 且具有正确的日志传输权限。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
| [Pfx0 RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) Amazon S3 存储桶权限 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** 阻止公有访问 | 不允许使用预配置的参数。 此检查由多个警报标准组成。这种自动化修复了公共访问问题。 Trusted Advisor 不支持修复标记为的其他配置问题。此修复确实支持修复 AWS 服务 已创建的 S3 存储桶(例如 cf-templates-000000000000)。 |
| Hs4Ma3G272-用户不应拥有笔记本实例的根访问权限 SageMaker 相应的 AWS Security Hub CSPM 支票:[SageMaker.3](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3) | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess** 对于 SageMaker 笔记本实例,用户的 root 访问权限已禁用。 | 不允许使用预配置的参数。 如果 SageMaker 笔记本实例 InService 处于状态,则此补救措施会导致中断。 |
| Hs4Ma3G179-SNS 话题应使用静态加密 AWS KMS 相应的 AWS Security Hub CSPM 支票:[SNS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) | **AWSManagedServices-EnableSNSEncryptionAtRest** SNS 主题配置了服务器端加密。 | **KmsKeyId:**适用于 Amazon SNS 的 AWS 托管客户主密钥 (CMK) 或用于服务器端加密 (SSE) 的自定义 CMK 的 ID。默认值设置为`alias/aws/sns`。 如果使用自定义 AWS KMS 密钥,则必须为其配置正确的权限。有关更多信息,请参阅 [Amazon SNS 主题的启用服务器端加密 (SSE)](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) |
| Hs4ma3G158-SSM 文档不应公开 相应的 AWS Security Hub CSPM 支票:[SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing**-禁用 SSM 文档的公开共享。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G136-亚马逊 SQS 队列应在静态时加密 相应的 AWS Security Hub CSPM 支票:[SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest** 亚马逊 SQS 中的消息经过加密。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 匿名 SendMessage 和对加密队列的 ReceiveMessage 请求将被拒绝。针对启用了 SSE 的队列的所有请求都必须使用 HTTPS 和 Signature Version 4。 |
## Trusted Advisor 可信修正者支持的容错检查
| 检查身份证和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery) 亚马逊 DynamoDB 恢复 Point-in-time | **AWSManagedServices-TrustedRemediatorEnableDDBPITR** 启用 DynamoDB 表的 point-in-time恢复。 | 不允许使用预配置的参数。 没有限制 |
| [r365s2qddf](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) Amazon S3 Bucket Versioning | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning** Amazon S3 存储桶版本控制已启用。 | 不允许使用预配置的参数。 此修复不支持修复 AWS 服务 已创建的 S3 存储桶(例如 cf-templates-000000000000)。 |
| [BueAdj7nrp](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging) Amazon S3 存储桶日志记录 | **AWSManagedServices-EnableBucketAccessLogging** 已启用 Amazon S3 存储桶日志记录。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下预配置的参数: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 目标存储桶必须与源存储桶位于 AWS 账户 相同 AWS 区域 且具有正确的日志传输权限。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
| [f2ik5r6dep](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az) Amazon RDS Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ** 已启用多可用区部署。 | 不允许使用预配置的参数。 在此更改期间,性能可能会降低。 |
| [H7 IgTzj TYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots) Amazon EBS Snapshots | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot** 亚马逊 EBSsnapshots 已创建。 | 不允许使用预配置的参数。 没有限制 |
| [op QPADk zvH](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) RDS 备份 | **AWSManagedServices-EnableRDSBackupRetention** 已为数据库启用 Amazon RDS 备份保留功能。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 如果将`ApplyImmediately`参数设置为`true`,则数据库上待处理的更改将与 RDSBackup 保留设置一起应用。 |
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Amazon RDS 数据库实例已关闭存储自动扩缩功能 | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling**-已为 Amazon RDS 数据库实例启用存储自动扩展。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [7q GXs KIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining) Classic Load Balancer Connection 耗尽 | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining** Classic Load Balancer 已启用连接耗尽功能。 | **ConnectionDrainingTimeout:**取消注册实例之前保持现有连接打开状态的最长时间(以秒为单位)。默认设置为`300`秒。 没有限制 |
| [c18d2gz106](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan) 计划中 AWS Backup 未包含亚马逊 EBS | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan** Amazon EBS 已包含在 AWS Backup 计划中。 | 补救措施使用以下标签对标记 Amazon EBS 卷。标签对必须符合的基于标签的资源选择标准。 AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan) 计划中未包含亚马逊 DynamoDB 表 AWS Backup | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan** 计划中包含亚马逊 DynamoDB 表。 AWS Backup | 补救措施使用以下标签对标记 Amazon DynamoDB。标签对必须符合的基于标签的资源选择标准。 AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan) AWS Backup 计划中未包含亚马逊 EFS | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan** Amazon EFS 包含在 AWS Backup 计划中。 | 补救措施使用以下标签对 Amazon EFS 进行标记。标签对必须符合的基于标签的资源选择标准。 AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing) 网络负载均衡器跨区域负载均衡 | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing** 在 Network Load Balancer 上启用了跨区域负载平衡。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off) 亚马逊 RDS `synchronous_commit` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的参数`synchronous_commit`已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off) 亚马逊 RDS `innodb_flush_log_at_trx_commit` 参数不是 `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** 对`innodb_flush_log_at_trx_commit`于 Amazon RDS`1`,参数设置为。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off) 亚马逊 RDS `sync_binlog` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的参数`sync_binlog`已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe) Amazon RDS `innodb_default_row_format` 参数设置不安全 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** 对`innodb_default_row_format`于 Amazon RDS`DYNAMIC`,参数设置为。 | 不允许使用预配置的参数。 没有限制 |
| [c18d2gz144](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled) 未启用 Amazon EC2 详细监控 | **AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring** 已为 Amazon 启用详细监控 EC2。 | 不允许使用预配置的参数。 没有限制 |
## Trusted Advisor 可信修正者支持的性能检查
| 检查身份证和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size) AWS Lambda 内存大小的函数配置不足 | **AWSManagedServices-ResizeLambdaMemory** Lambda 函数的内存大小已调整为提供的建议内存大小。 Trusted Advisor | **RecommendedMemorySize:**Lambda 函数的推荐内存分配。值范围介于 128 和 10240 之间。 如果在自动执行之前修改了 Lambda 函数的大小,则此自动化可能会使用推荐的值覆盖设置。 Trusted Advisor |
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances) 高利用率 Amazon EC2 实例 | **AWSManagedServices-ResizeInstanceByOneLevel** 在相同的 EC2 实例系列中,Amazon 实例按一种实例类型向上调整大小。在调整大小操作期间,实例将停止并启动,并在执行完成后返回到初始状态。此自动化不支持调整 Auto Scaling 组中的实例的大小。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal) 使用小于最佳值的 Amazon RDS `innodb_change_buffering` 参数 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** 对于 Amazon RDS,`innodb_change_buffering`参数`NONE`的值设置为。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off) 亚马逊 RDS `autovacuum` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的参数`autovacuum`已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off) 亚马逊 RDS `enable_indexonlyscan` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的参数`enable_indexonlyscan`已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off) 亚马逊 RDS `enable_indexscan` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的参数`enable_indexscan`已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off) 亚马逊 RDS `innodb_stats_persistent` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的参数`innodb_stats_persistent`已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on) 亚马逊 RDS `general_logging` 参数已开启 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** 亚马逊 RDS 的参数`general_logging`已关闭。 | 不允许使用预配置的参数。 没有限制 |
## Trusted Advisor 受信任修正者支持的服务限制检查
| 检查身份证和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [ln7rr0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address) EC2-VPC 弹性 IP 地址 | **AWSManagedServices-UpdateVpcElasticIPQuota** 请求对 EC2-VPC 弹性 IP 地址设置新的限制。默认情况下,该限制会增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [km7qq0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways) VPC 互联网网关 | **AWSManagedServices-IncreaseServiceQuota**-请求对 VPC 互联网网关设置新的限制。默认情况下,该限制增加三个。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [jl7pp0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check) VPC | **AWSManagedServices-IncreaseServiceQuota** 请求对 VPC 设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [fw7hh0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups) Auto Scaling 组 | **AWSManagedServices-IncreaseServiceQuota** 请求对 Auto Scaling 组设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [3njm0 DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups) RDS 选项组 | **AWSManagedServices-IncreaseServiceQuota** 请求对 Amazon RDS 选项组设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers) ELB Application Load Balancer | **AWSManagedServices-IncreaseServiceQuota** 请求对 ELB 应用程序负载均衡器设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [8wiQ K YSt25](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers) ELB Network Load Balancer | **AWSManagedServices-IncreaseServiceQuota** 请求对 ELB 网络负载均衡器设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
## Trusted Advisor 可信修正者支持的卓越运营检查
| 检查身份证和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled) Amazon API Gateway 未记录执行日志 | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** API 阶段已启用执行日志记录。 | 不允许使用预配置的参数。 要启用执行日志,您必须授予 API Gateway 读取和写入账户日志的权限,有关详细信息,请参阅[ APIs 在 API Gateway 中设置 REST CloudWatch 日志记录](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)。 CloudWatch |
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled) 没有为负载均衡器启用 Elastic Load Balancing 删除保护 | **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection**-Elastic Load Balancer 的删除保护已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off) Amazon RDS Performance Insights | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights** 亚马逊 RDS 的 Performance Insights 已开启。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled) 已启用 Amazon S3 访问日志 | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** Amazon S3 存储桶访问日志已启用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下预配置的参数:**TargetBucketTagKey**和。**TargetBucketTagValue** 目标存储桶必须与源存储桶位于 AWS 账户 相同 AWS 区域 且具有正确的日志传输权限。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
# 在可信修正器中配置 Trusted Advisor 检查修复
配置 AWS AppConfig 作为可信修正者应用程序的一部分存储在中。每个 Trusted Advisor 检查类别都有单独的配置文件。有关 Trusted Advisor 类别的更多信息,请参阅[查看支票类别](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor.html#view-check-categories)。
您可以基于每个资源或每个 Trusted Advisor 检查来配置修复。您可以使用资源标签来应用例外。
**注意**
目前使用配置了对 Trusted Advisor 发现结果的补救 AWS AppConfig,目前已完全支持此功能。AMS 预计,这种情况将来会改变。最佳做法是避免构建依赖的自动化 AWS AppConfig,因为这种方法可能会发生变化。请注意,为了兼容性,将来可能需要更新或修改围绕当前 AWS AppConfig 实现构建的自动化。
Compute Optimizer-> EC2 实例功能标志有额外的参数:
**allow-upscal** e 允许配置不足但未经过优化的高档实例。 EC2 默认值为“false”。
**min-savings-opportunity-percentage**自动修复的最低节省百分比机会。默认值为 10%
## 默认补救配置
单个 Trusted Advisor 检查的配置存储为 AWS AppConfig 标志。旗帜名称与支票名称相匹配。每个检查配置都包含以下属性:
+ **执行模式:**确定可信修正者如何执行默认修复:
+ **自动:**Trusted Remediator 通过创建资源来自动修复资源 OpsItem,运行 SSM 文档,然后在成功执行 OpsItem 后解决问题。
+ **手动:** OpsItem 已创建,但是 SSM 文档不会自动执行。您可以在 AWS Systems Manager OpsCenter 控制台中查看并手动运行 SSM 文档。 OpsItem
+ **有条件的:**默认情况下,修正处于禁用状态。您可以使用标签为特定资源启用它。有关更多信息,请参阅以下各节[使用资源标签自定义补救措施](#tr-con-rem-customize-tags)和[使用资源覆盖标签自定义补救措施](#tr-con-rem-resource-override)。
+ **非活动:**不会进行修复, OpsItem 也不会创建任何修复。对于设置为非活动状态的 Trusted Advisor 支票,您无法覆盖其执行模式。
+ **预配置参数:**输入自动修复所需的 SSM 文档参数的值,格式为,用逗号 (`Parameter=Value`,) 分隔。有关每[Trusted Advisor 受信任修正者支持的检查](tr-supported-checks.md)项检查的关联 SSM 文档支持的预配置参数,请参阅。
+ **alternative-automation-document:**此属性有助于用另一个支持的文档覆盖现有的自动化文档(如果可用于特定检查)。默认情况下,此属性处于未选中状态。
**注意**
该`alternative-automation-document`属性不支持自定义自动化文档。您可以使用中列出的现有受支持的可信修正者自动化文档。[Trusted Advisor 受信任修正者支持的检查](tr-supported-checks.md)
例如,为了便于检查`Qch7DwouX1`,有三个关联的 SSM 文档: AWSManagedServices-StopEC2Instance AWSManagedServices-ResizeInstanceByOneLevel、和。 AWSManagedServices-TerminateInstance的值`alternative-automation-document`可以是 AWSManagedServices-ResizeInstanceByOneLevel 或 AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance 是要修复`Qch7DwouX1`的默认 SSM 文档)。
每个属性的值必须与该属性的约束条件相匹配。
**提示**
在为 Trusted Advisor 检查应用默认配置之前,最好考虑使用以下各节中描述的资源标记和资源覆盖功能。默认配置适用于账户内的所有资源,这可能并非在所有情况下都是理想的。
以下是控制台屏幕截图示例,其中**执行模式**设置为 “**手动**”,且属性与其约束条件相匹配。
![\[可信修正者执行模式决策工作流的插图。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-exe-mode-man-new.png)
## 使用资源标签自定义补救措施
校验配置中的**automated-for-tagged-only**和**manual-for-tagged-only**属性允许您指定资源标签,说明如何修复单个检查。当您需要对共享相同标签的一组资源应用一致的修复行为时,最好使用此方法。以下是这些标签的描述:
+ **automated-for-tagged-only:**指定资源标签(一个或多个标签对,以逗号分隔),以便检查自动修复,无论默认执行模式如何。
+ **manual-for-tagged-only:**为无论默认执行模式如何,都应手动执行的修复指定资源标签(一个或多个标签对,以逗号分隔)。
例如,如果您要为所有非生产资源启用自动修复并对生产资源强制执行手动修复,则可以按以下方式设置配置:
```
"execution-mode": "Conditional",
"automated-for-tagged-only": "Environment=Non-Production",
"manual-for-tagged-only": "Environment=Production",
```
在您的资源上设置了上述配置后,检查修复行为如下所示:
+ 标有 “环境=非生产” 的资源会自动修复。
+ 标有 “环境=生产” 的资源需要手动干预才能进行修复。
+ 没有 “环境” 标签的资源遵循默认的执行模式(在本例中为 “条件”)。 因此,不会对剩余资源采取任何行动)。
要获得有关配置的更多支持,请联系您的云架构师。
## 使用资源覆盖标签自定义补救措施
资源覆盖标签允许您自定义单个资源的修复行为,无论其标签如何。通过向资源添加特定标签,可以覆盖该资源和 Trusted Advisor 检查的默认执行模式。资源覆盖标签优先于默认配置和资源标记设置。因此,如果您使用资源覆盖标签将资源的默认执行模式设置为 “**自****动**”、“手动” 或 “**有条件**”,则它将覆盖默认执行模式和任何资源标记配置。
要覆盖资源的执行模式,请完成以下步骤:
1. 确定要覆盖其修复配置的资源。
1. 确定要 Trusted Advisor 改写的支票的支票编号。您可以在中找到支持的签 IDs 入的 Trusted Advisor 支票[Trusted Advisor 受信任修正者支持的检查](tr-supported-checks.md)。
1. 使用以下键和值为资源添加标签:
+ **标签密钥:**`TR-Trusted Advisor check ID-Execution-Mode`(区分大小写)
在前面的标签密钥示例中,`Trusted Advisor check ID`替换为要覆盖的 Trusted Advisor 支票的唯一标识。
+ **标签值:**使用以下值之一作为标签值:
+ **自动:**受信任的修正者会自动修复此 Trusted Advisor 检查的资源。
+ **手动:**已 OpsItem 为资源创建,但不会自动执行修复。您可以从中手动查看并运行补救措施 OpsItem。
+ **非活动:**未对此资源和指定的 Trusted Advisor 检查执行修复和 OpsItem 创建。
例如,要使用 Trusted Advisor 支票编号自动修复 Amazon EBS 卷,请向 EBS 卷`DAvU99Dc4C`添加标签。**标签键**为`TR-DAvU99Dc4C-Execution-Mode`,**标签值为**`Automated`。
以下是显示**标签**部分的控制台示例:
![\[控制台上 “标签” 部分的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-tags-example.png)
# 执行模式决策工作流程
有多个级别可以为您的资源和每项 Trusted Advisor 检查配置执行模式。下图显示了 Trusted Remediator 如何根据您的配置决定使用哪种执行模式:
![\[可信修正者执行模式决策工作流的插图。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-ex-mode-workflow.png)
# 配置补救教程
以下教程提供了在 Trusted Remediator 中创建常见补救措施的示例
## 手动修复所有资源
此示例为 Trusted Advisor 支票编号为 DAv U99Dc4C(未充分利用的亚马逊 EBS 卷)的所有亚马逊 EBS 卷配置手动修复。
**为支票编号 DAv为 U99dc4C 的亚马逊 EBS 卷配置手动修复**
1. 在 [https://console.aws.amazon.com/systems-manager/appconfig 上](https://console.aws.amazon.com/systems-manager/appconfig)打开 AWS AppConfig 控制台。
请务必以**委派管理员帐户身份**登录。
1. 从应用程序列表中选择 “**可信修正者**”。
1. 选择**成本优化**配置文件。
1. 选择 “**未充分利用的 Amazon EBS 卷**” 标志。
1. **对于**执行模式,**请选择手动。**
1. 确保**automated-for-tagged-only**和**manual-for-tagged-only**属性为空。这些属性用于覆盖带有匹配标签的资源的默认执行模式。
以下是 “**属性**” 部分的示例,其中**automated-for-tagged-only**manual-for-tagged-only****和的值为空,**执行**模式为手动**:**
![\[“属性” 部分的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-tutorial1.png)
1. 选择 “**保存**” 以更新该值,然后选择 “**保存新版本**” 以应用更改。必须选择 “**保存新版本**”,可信修正者才能识别更改。
1. 确保您的 Amazon EBS 卷没有带有密钥`TR-DAvU99Dc4C-Execution-Mode`的标签。此标签密钥将覆盖该 EBS 卷的默认执行模式。
## 自动修复所有资源,所选资源除外
**此示例为 Trusted Advisor 支票 ID DAv U99Dc4C(未充分利用的 Amazon EBS 卷)的所有 Amazon EBS 卷配置自动修复,但无法修复的指定卷(指定为 “非活动”)除外。**
**为支票编号为 DAv U99dc4C 的 Amazon EBS 卷配置自动修复,选定的非活动资源除外**
1. 在 [https://console.aws.amazon.com/systems-manager/appconfig 上](https://console.aws.amazon.com/systems-manager/appconfig)打开 AWS AppConfig 控制台。
请务必以**委派管理员帐户身份**登录。
1. 从应用程序列表中选择 “**可信修正者**”。
1. 选择**成本优化**配置文件。
1. 选择 “**未充分利用的 Amazon EBS 卷**” 标志。
1. **对于**执行模式,**请选择自动。**
1. 确保**automated-for-tagged-only**和**manual-for-tagged-only**属性为空。这些属性用于覆盖带有匹配标签的资源的默认执行模式。
以下是 “**属性**” 部分的示例,其中**automated-for-tagged-only**manual-for-tagged-only****和的值为空,**执行模式为 “**自动**”:**
![\[“属性” 部分的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-tutorial2.png)
1. 选择 “**保存**” 以更新该值,然后选择 “**保存新版本**” 以应用更改。必须选择 “**保存新版本**”,可信修正者才能识别更改。
此时,所有 Amazon EBS 卷都已设置为自动修复。
1. 覆盖对选定的 Amazon EBS 卷的自动修复:
1. 打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 选择**弹性区块存储**、**卷**。
1. 选择**标签**。
1. 选择**管理标签**。
1. 添加以下标签:
+ **密钥:**TR-DAv U99Dc4C-Execution-Mode
+ **值:**非活动
以下是显示**键**和**值**字段的 “**标签**” 部分的示例:
![\[“属性” 部分的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-tutorial-inactive.png)
1. 对要排除在补救范围之外的所有 Amazon EBS 卷重复步骤 2 到 5。
## 自动修复已标记的资源
此示例为带有 Trusted Advisor 支票 ID DAv U99Dc4C(未充分利用的 Amazon EBS 卷)标签`Stage=NonProd`的所有亚马逊 EBS 卷配置自动修复。没有此标签的所有其他资源都不会被修复。
**使用支票 ID DAv U99dc4C 的标签`Stage=NonProd`为亚马逊 EBS 卷配置自动修复**
1. 在 [https://console.aws.amazon.com/systems-manager/appconfig 上](https://console.aws.amazon.com/systems-manager/appconfig)打开 AWS AppConfig 控制台。
请务必以**委派管理员帐户身份**登录。
1. 从应用程序列表中选择 “**可信修正者**”。
1. 选择**成本优化**配置文件。
1. 选择 “**未充分利用的 Amazon EBS 卷**” 标志。
1. **对于**执行模式,请选择 “有条件**的”。**
1. 将 **automated-for-tagged-only** 设置为 `Stage=NonProd`。`execution-mode`对于具有匹配标签的资源,此属性会覆盖默认值。确保**manual-for-tagged-only**属性为空。
**以下是 “**属性**” 部分的示例,该部分**automated-for-tagged-only**设置为 **Stage= NonProd**,执行模式设置为 “**条件**”:**
![\[“属性” 部分的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-tutorial-conditional.png)
1. 或者,将预配置参数设置为以下参数之一:
+ `CreateSnapshot=false`不要在删除 Amazon EBS 卷之前创建该卷的快照
+ `MinimumUnattachedDays=10`将要删除的 Amazon EBS 卷的最小独立天数设置为 10 天
+ `CreateSnapshot=false`,`MinimumUnattachedDays=10`对于上述两个
1. 选择 “**保存**” 以更新该值,然后选择 “**保存新版本**” 以应用更改。必须选择 “**保存新版本**”,可信修正者才能识别更改。
1. 确保您的 Amazon EBS 卷没有带有密钥`TR-DAvU99Dc4C-Execution-Mode`的标签。此标签密钥将覆盖该 EBS 卷的默认执行模式。
# 在 “可信修正者” 中使用补救措施
## 在 “可信修正者” 中跟踪补救措施
要跟踪 OpsItems 修正情况,请完成以下步骤:
1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 选择 “**运营管理**”,**OpsCenter**。
1. (可选)按 “**来源 = 可信修正者**” 筛选列表,以便在列表中仅包括受信任的修正者 OpsItems 。
以下是按**来源=可信**修正者筛选的 OpsCenter 屏幕示例:
![\[“属性” 部分的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-opsitems-console.png)
**注意**
除了 OpsItems 从中查看之外 OpsCenter,您还可以查看 AMS S3 存储桶中的修复日志。有关更多信息,请参阅 [可信修正者中的修复日志](tr-logging.md)。
## 在 “可信修正器” 中运行手动修复
可信修正者为配置 OpsItems 为手动修复的检查进行创建。您必须查看这些检查并手动开始修复过程。
要手动修复 OpsItem,请完成以下步骤:
1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 选择 “**运营管理**”,**OpsCenter**。
1. (可选)按 “**来源 = 可信修正者**” 筛选列表,以便在列表中仅包括受信任的修正者 OpsItems 。
1. 选择您 OpsItem 要查看的。
1. 查看的操作数据 OpsItem。操作数据包括以下项目:
+ **trustedAdvisorCheck类别:**支 Trusted Advisor 票编号的类别。例如,容错
+ **trustedAdvisorCheckID:**唯一的 Trusted Advisor 支票编号。
+ **trustedAdvisorCheck元数据:**资源元数据,包括资源 ID。
+ **trustedAdvisorCheck名称:**支 Trusted Advisor 票的名称。
+ **trustedAdvisorCheck状态:**检测到的资源 Trusted Advisor 检查的状态。
1. 要手动修复 OpsItem,请完成以下步骤:
1. 从 **Runbooks** 中,选择一个关联的运行手册(SSM 文档)。
1. 选择**执行**。
1. 对于 **AutomationAssumeRole **,选择 ` arn:aws:iam::AWS 账户 ID:role/ams_ssm_automation_role`。将 AWS 账户 ID 替换为运行修复的账户 ID。有关其他参数值,请参阅**操作数据**。
要手动修复资源,用于向进行身份验证的角色或用户 AWS 账户 必须拥有 IAM 角色`ams-ssm-automation-role`的`iam:PassRole`权限。有关更多信息,请参阅[向用户授予将角色传递给 AWS 服务或联系您的云架构师的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)。
1. 选择**执行**。
1. 在 “**最新状态和结果**” 列中监控 SSM 文档的执行进度。
1. 文档完成后,选择 “**设置状态**”、“**已解决**” 以手动解决问题 OpsItem。如果文档失败,请查看详细信息并重新运行。 SSMdocument要获得其他故障排除支持,请创建服务请求。
要解决 OpsItem 不经过修正的问题,请选择 “**将状态设置**为**已解决**”。
1. 对于所有剩余的手动修复,重复步骤 3 和 4 OpsItems。
## 对可信修正者中的修正进行故障排除
如需有关手动补救和补救失败的帮助,请联系 AMS。
要查看修复状态和结果,请完成以下步骤:
1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 选择 “**运营管理**”,**OpsCenter**。
1. (可选)按 “**来源 = 可信修正者**” 筛选列表,以便在列表中仅包括受信任的修正者 OpsItems 。
1. 选择您 OpsItem 要查看的。
1. 在 “**自动化执行**” 部分中,查看**文档名称****和状态以及结果**。
1. 查看以下常见的自动化故障。如果您的问题未在此处列出,请联系您的 CSDM 寻求帮助。
**常见的补救错误**
### 自动化执行中未列出任何执行任务
任何与关联的执行都 OpsItem 可能表示由于参数值不正确而导致执行未能启动。
**故障排除步骤**
1. 在**运营数据**中,查看`trustedAdvisorCheckAutoRemediation`属性值。
1. 验证**DocumentName**和**参数**值是否正确。要获得正确的值,请查看[在可信修正器中配置 Trusted Advisor 检查修复](tr-configure-remediations.md)有关如何配置 SSM 参数的详细信息。要查看支持的校验参数,请参阅 [Trusted Advisor 受信任修正者支持的检查](tr-supported-checks.md)
1. 验证 SSM 文档中的值是否与允许的模式相匹配。要查看文档内容中的参数详细信息,请在 “**运行手册**” 部分中选择文档名称。
1. 检查并更正参数后,[再次手动运行 SSM 文档](#tr-remediation)。
1. 为防止此错误再次发生,请确保在配置中使用正确的**参数**值配置补救措施。有关更多信息,请参阅 [在可信修正器中配置 Trusted Advisor 检查修复](tr-configure-remediations.md)。
### 自动化执行中的执行失败
补救文档包含多个步骤,这些步骤与通过 AWS 服务 执行各种操作进行交互 APIs。要确定故障的具体原因,请完成以下步骤:
**故障排除步骤**
1. 要查看各个执行步骤,请在 “**自动化****执行” 部分中选择 “执行 ID**” 链接。以下是 Systems Manager 控制台的示例,显示了所选自动化的**执行步骤**:
![\[显示所选自动化的 Systems Manager 控制台的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-troubleshooting.png)
1. 选择状态为 “**失败**” 的步骤。以下是错误消息示例:
+ `NoSuchBucket - An error occurred (NoSuchBucket) when calling the GetPublicAccessBlock operation: The specified bucket does not exist`
此错误表示在修正配置的预配置参数中指定的存储桶名称不正确。
要解决此错误,[请使用正确的存储桶名称手动运行自动化](#tr-remediation)。为防止此问题再次发生,[请使用正确的存储桶名称更新修复配置](tr-configure-remediations.md)。
+ `DB instance my-db-instance-1 is not in available status for modification.`
此错误表示由于数据库实例处于无效状态,自动化无法进行预期的更改。
要解决此错误,[请手动运行自动化](#tr-remediation)。
# 可信修正者中的修复日志
Trusted Remediator 创建 JSON 格式的日志并将其上传到亚马逊简单存储服务。日志文件将上传到 AMS 创建并命名的 S3 存储桶。`ams-trusted-remediator-{your-account-id}-logs`AMS 在委派管理员账户中创建 S3 存储桶。您可以将日志文件导入到中 QuickSight 以生成自定义的修复报告。
有关更多信息,请参阅 [可信修正者与 QuickSight](tr-qs-integration.md)。
## 修复项目日志
可信修正者会在创建修正`Remediation item log` OpsItem 时创建。此日志包含手动修复 OpsItem 和自动修复 OpsItem。您可以使用`Remediation item log`来跟踪所有修正的概述。
**Compute Optimizer 建议的修复项目日志位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/compute_optimizer_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**用于 Trusted Advisor 检查的修正项目日志位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**修复项目日志示例文件 URL**
`s3:///ams-trusted-remediator-111122223333-logs/remediation_items/2023-02-06/1675660464-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Compute Optimizer 修复项目日志格式**
```
{
"AccountID": "Account_ID",
"ComputeOptimizerCheckID": "Compute Optimizer check ID",
"ComputeOptimizerCheckName": "Compute Optimizer check name",
"ResourceID": "Resource ID",
"RemediationTime": Remediation creation time,
"ExecutionMode": "Automated or Manual",
"OpsItemID": "OpsItem ID"
}
```
**Trusted Advisor 修正项目日志格式**
```
{
"TrustedAdvisorCheckID": Trusted Advisor check ID,
"TrustedAdvisorCheckName": Trusted Advisor check name,
"TrustedAdvisorCheckResultTime": 10 digits epoch time or unix timestamp,
"ResourceID": Resource ID,
"RemediationTime": Remediation creation time,
"ExecutionMode": Automated or Manual,
"OpsItemID": OpsItem ID
}
```
**Compute Optimizer 修复项目日志格式示例内容**
```
{
"AccountID": "123456789012",
"ComputeOptimizerCheckID": "compute-optimizer-ebs",
"ComputeOptimizerCheckName": "EBS volumes",
"ResourceID": "vol-1235589366f77aca7",
"RemediationTime": 1755044783,
"ExecutionMode": "Manual",
"OpsItemID": "oi-b8888b38fe78"
}
```
**Trusted Advisor 修复项目日志格式示例内容**
```
{
"TrustedAdvisorCheckID": "DAvU99Dc4C",
"TrustedAdvisorCheckName": "Underutilized Amazon EBS Volumes",
"TrustedAdvisorCheckResultTime": 1675614749,
"ResourceID": "vol-00bd8965660b4c16d",
"RemediationTime": 1675660464,
"OpsItemID": "oi-cca5df7af718"
}
```
## 自动修复执行日志、Compute Optimizer 和 Trusted Advisor
Trusted Remediator 会在自动运行 SSM 文档完成`Automated remediation execution log`时创建。此日志包含 OpsItem 仅用于自动修复的 SSM 运行详细信息。您可以使用此日志文件来跟踪自动修复。
**Compute Optimizer 自动修复日志位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer recommendation ID.json`
**Trusted Advisor 自动修复日志位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID-Resource ID.json`
**Compute Optimizer 自动修复日志位置示例**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/1750908858-123456789012-compute-optimizer-ec2-i-1235173471d2cd789.json`
**Trusted Advisor 自动修复日志位置示例**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2023-02-06/1675660573-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**自动修复日志格式示例内容**
```
{
"OpsItemID": "oi-767c77e05301",
"SSMExecutionID": "93d091b2-778a-4cbc-b672-006954d76b86",
"SSMExecutionStatus": "Success"}
```
## 成员账号日志
Trusted Remediator 会在您的账户加入或注销`Member accounts log`时创建。您可以使用`Member accounts log`来查找每个成员账户的账户 ID AWS 区域、已注册和执行时间。
**成员账号日志位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/configuration_logs/member_accounts.json`
**成员账户日志示例文件 URL**
`s3://ams-trusted-remediator-111122223333-logs/configuration_logs/member_accounts.json`
**成员账户日志格式**
```
{
"delegated_administrator_account_id": Delegated Administrator account id,
"appconfig_configuration_region": Trusted Remediator AppConfig Region,
"member_accounts": [
{
"account_id": Member account id
"account_partition": Member account partition (for example, aws),
"regions": [
{
"execution_time": Remediation execution time in cron schedule expression,
"execution_timezone": Timezone for the remediation execution time,
"region_name": AWS 区域 name
}
...
]
}
...
],
"updated_at": Log update time,
}
```
**成员账户日志格式示例内容**
```
{
"delegated_administrator_account_id": "111122223333",
"appconfig_configuration_region": "ap-southeast-2",
"member_accounts": [
{
"account_id": "222233334444",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 9 * * 6",
"execution_timezone": "Australia/Sydney",
"region_name": "ap-southeast-2"
},
{
"execution_time": "0 5 * * 7",
"execution_timezone": "UTC",
"region_name": "us-east-1"
}
]
},
{
"account_id": "333344445555",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 1 * * 5",
"execution_timezone": "Asia/Seoul",
"region_name": "ap-northeast-2"
}
]
}
],
"updated_at": "1730869607"
}
```
# 可信修正者与 QuickSight
您可以将存储在 Amazon S3 中的可信修复者日志与集成 QuickSight ,以生成自定义的修复报告。 QuickSight 集成是可选的。此功能允许您使用日志来构建自定义报告仪表板。要按要求获取可信修正者的报告,请联系您的 CSDM。有关可用的可信修正者报告的更多信息,请参阅[可信修正者报告](trusted-remediator-reports.md)。
有关在中可视化数据的更多信息 QuickSight,请参阅中的[可视化数据](https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html)。 QuickSight
## QuickSight 为修复项目日志添加数据集
要 QuickSight 为修正项目日志添加数据集,请执行以下步骤:
1. 登录 QuickSight 控制台。您可以在任何 AWS 区域 QuickSight 支持的 QuickSight 版本中创建报告。但是,为了提高性能和降低成本,最好在 Trusted Remediator 日志存储桶所在的区域创建报告。
1. 选择**数据集**。
1. 选择 **S3**。
1. **在新的 S3 数据源**中,输入以下值:
+ **数据源名称:**` trusted-remediator-delegated_administrator_account_id-account_region-remediation-items`.
+ **上传清单文件:**创建包含以下内容的 JSON 文件并使用它。创建文件时,在 URIPrefixes 密钥`logging_bucket_name`中替换。
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_items/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ 选择**连接**。
+ 在 “**完成数据集创建**” 窗口中,选择 “**可视化**”。
+ QuickSight 打开新的分析表页面。现在,您可以使用修正项目日志创建新的分析了。
以下是样本分析:
![\[样本分析工作表。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-sample-analysis.png)
## QuickSight 为自动修复执行日志添加数据集
1. 登录 QuickSight 控制台。您可以在任何 AWS 区域 QuickSight 支持的 QuickSight 版本中创建报告。但是,为了提高性能和降低成本,最好在 Trusted Remediator 日志存储桶所在的区域创建报告。
1. 选择**数据集**。
1. 选择 **S3**。
1. **在新的 S3 数据源**中,输入以下值:
+ **数据源名称:**`trusted-remediator-delegated_administrator_account_id-account_region-remediation-executions`.
+ **上传清单文件:**创建包含以下内容的 JSON 文件,然后使用此文件。创建文件时,在 URIPrefixes 密钥`logging_bucket_name`中替换。
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_executions/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ 选择**连接**。
+ 在 “**完成数据集创建**” 窗口中,选择 “**可视化**”。
+ QuickSight 打开新的分析表页面。现在,您可以使用修正项目日志创建新的分析了。
以下是样本分析:
![\[样本分析工作表。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-sample-analysis2.png)
# 《可信修正者》中的最佳实践
以下是帮助您使用可信修正器的最佳实践:
+ 如果您不确定补救结果,请从手动执行模式开始。有时,从一开始就对补救应用自动执行可能会导致意想不到的结果。
+ 每周对补救措施进行一次回顾 OpsItems ,深入了解可信修复者的结果。
+ 成员账户继承委派管理员账户的配置。因此,重要的是要以一种有助于您管理具有相同配置的多个帐户的方式来构建帐户。您可以使用标签将资源排除在默认配置之外。
# 受信任的修正者 FAQs
以下是有关可信修正者的常见问题:
## 什么是 Trusted Remedicator?它对我有什么好处?
当 Compute Optimizer 发现违规行为 Trusted Advisor 或发布建议时,Trusted Remediator 会根据您指定的偏好进行响应,方法是应用补救措施、通过手动修正寻求批准,或者在即将到来的月度业务回顾 (MBR) 中报告补救措施。补救将在您的首选补救时间或计划进行。Trusted Remediator 使您能够自助服务并对 Trusted Advisor 支票采取行动,并且可以灵活地单独或批量配置和修复支票。AMS 拥有经过测试的补救文件库,通过应用安全检查和遵循 AWS 最佳实践,不断禁止提高您的账户。只有当您在配置中指定这样做时,您才会收到通知。AMS 用户可以选择加入 Trusted Remediator,无需额外付费。
## Trusted Remediator 与其他 AWS 服务人有何关系和协作?
作为现有企业支持计划的一部分,您可以访问 Trusted Advisor 支票和 Compute Optimizer 建议。Trusted Remediator 与 Trusted Advisor Compute Optimizer 集成,可利用现有的 AMS 自动化功能。具体而言,AMS 使用 AWS Systems Manager 自动化文档(运行手册)进行自动修复。 AWS AppConfig 用于配置修复工作流程。您可以通过 Systems Manager OpsCenter 查看所有当前和过去的补救措施。修复日志存储在 Amazon S3 存储桶中。您可以使用日志在中导入和构建自定义报告仪表板 QuickSight。
## 谁来配置补救措施?
您的账户中的配置归您所有。管理您的配置是您的责任。您可以联系您的 CA 或 CDSM,寻求管理配置的帮助。您也可以通过服务请求与 AMS 联系,以获得配置支持、手动补救和修复失败故障排除。
## 如何安装 SSM 自动化文档?
SSM 自动化文档会自动共享给已注册的 AMS 账户。
## AMS 拥有的资源也会得到补救吗?
可信修正者不会标记 AMS 拥有的资源。Trusted Remediator 只关注您的资源。
## AWS 区域 Trusted Remediator 中有哪些可用以及谁可以使用它?
可信修正器适用于 AMS Accelerate 客户。有关支持区域的最新列表,请参阅[AWS 服务 按地区划分](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## 可信修正者会导致资源漂移吗?
由于 SSM 自动化文档直接通过 AWS API 更新资源,因此可能会出现资源偏差。您可以使用标签来隔离通过现有 CI/CD 包创建的资源。您可以将 Trusted Remediator 配置为在修复其他资源的同时忽略已标记的资源。
## 如何暂停或停止可信修正者?
您可以通过 AWS AppConfig 应用程序关闭 “可信修正者”。要暂停或停止可信修正者,请完成以下步骤:
1. 在 [https://console.aws.amazon.com/systems-manager/appconfig 上](https://console.aws.amazon.com/systems-manager/appconfig)打开 AWS AppConfig 控制台。
1. 选择可信修正者。
1. 在配置文件上选择**设置**。
1. 选择 “**暂停可信修正者**” 标志。
1. 将该`suspended`属性的值设置为。`true`
**注意**
使用此过程时要小心,因为这会停止所有关联到委派管理员帐户的账户的 Trusted Remediator。
## 如何修复可信修正者不支持的检查?
您可以继续通过按需运营 (OOD) 与 AMS 联系,获取不支持的支票。AMS 可帮助您补救这些检查。有关更多信息,请参阅[按需操作](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html)。
## 可信修正者与修复有何不同 AWS Config ?
AWS Config 修复是另一种解决方案,可帮助您优化云资源并保持对最佳实践的合规性。以下是这两种解决方案之间的一些操作差异:
+ Trusted Remediator 使用 Trusted Advisor 和 Compute Optimizer 作为检测机制。 AWS Config 修正使用 AWS Config 规则作为检测机制。
+ 对于 Trusted Remideator,修复将按照您预定义的修复计划进行。在中 AWS Config,补救是实时进行的。
+ Trusted Remediator 中每项修复的参数都可以根据您的用例轻松自定义,并且可以通过在资源上添加标签来实现自动修复或手动修复。
+ 可信修正者提供报告功能。
+ Trusted Remediator 会向您发送一封电子邮件通知,其中包含修正列表和修正状态。
某些 Trusted Advisor 检查和 Compute Optimizer 建议可能有相同的规则。 AWS Config如果存在匹配的 AWS Config 规则和 Trusted Advisor 检查,则最佳做法是仅启用一项补救措施。有关每项 Trusted Advisor 检查 AWS Config 规则的信息,请参阅[Trusted Advisor 受信任修正者支持的检查](tr-supported-checks.md)。
## Trusted Remediator 会将哪些资源部署到您的账户?
可信修正者在可信修正者委派的管理员帐户中部署以下资源:
+ 一个名为 `ams-trusted-remediator-{your-account-id}-logs` 的 Amazon S3 存储桶。Trusted OpsItem Remediator `Remediation item log` 在创建补救措施时以 JSON 格式创建,并将日志文件上传到此存储桶。
+ 用于保存支持的 Trusted Advisor 检查和 Compute Optimizer 建议的补救配置的 AWS AppConfig 应用程序。
可信修正者不会在可信修正者成员帐户中部署资源。