本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Trusted Advisor 受信任修正者支持的检查
下表列出了支持的 Trusted Advisor 检查、SSM 自动化文档、预配置的参数以及自动化文档的预期结果。在启用 SSM 自动化文档进行支票补救之前,请查看预期结果,以帮助您根据业务需求了解可能的风险。
对于要为其启用补救功能的受支持检查,请确保每 Trusted Advisor 项检查都有相应的配置规则。有关更多信息,请参阅[查看由支持的 AWS Trusted Advisor 支票 AWS Config](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html)。如果支票有相应的 AWS Security Hub CSPM 控件,请确保启用了 Security Hub CSPM 控件。有关更多信息,请参阅在 Security [Hub CSPM 中启用控件](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html)。有关管理预配置参数的信息,请参阅 Trusted Rem [ediator 中的配置 Trusted Advisor 检查修复](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html)。
## Trusted Advisor 可信修正者支持的成本优化检查
| 检查身份和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [Z4 AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses)
未关联的弹性 IP 地址 | **AWSManagedServices-TrustedRemediatorReleaseElasticIP**
释放未与任何资源关联的弹性 IP 地址。 | 不允许使用预配置的参数。
没有限制 |
| [c18d2gz150](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days)-亚马逊 EC2 实例已停止 | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime**-停止天数的 Amazon EC2 实例终止。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)没有限制 |
| [c18d2gz128](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy)
未对生命周期策略进行配置的 Amazon ECR 存储库 | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy**
如果生命周期策略尚不存在,则为指定的存储库创建生命周期策略。 | **ImageAgeLimit:**Amazon ECR 存储库中 “任何” 图像的最大保存期限(以天为单位)(1-365)。
没有限制 |
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes)
未充分利用的 Amazon EBS 卷 | **AWSManagedServices-DeleteUnusedEBSVolume**
如果过去 7 天内未连接未充分利用的 Amazon EBS 卷,则删除这些卷。默认情况下会创建 Amazon EBS 快照。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)没有限制 |
| [hj m8 LMh88u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers)
闲置的负载均衡器 | **AWSManagedServices-DeleteIdleClassicLoadBalancer**
如果闲置的 Classic Load Balancer 未使用且未注册任何实例,则将其删除。 | **IdleLoadBalancerDays:**Classic Load Balancer 在考虑处于空闲状态之前有 0 个请求的连接的天数。默认值为七天。
如果启用了自动执行,则如果没有活跃的后端实例,则自动化会删除闲置的经典负载均衡器。对于所有具有活跃后端实例但后端实例运行状况不佳的闲置经典负载均衡器,不会使用自动修复,而是创建 OpsItems 用于手动补救的自动修复。 |
| [ti39Halfu8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances)
Amazon RDS 闲置数据库实例 | **AWSManagedServices-StopIdleRDSInstance**
过去七天一直处于空闲状态的 Amazon RDS 数据库实例已停止。 | 不允许使用预配置的参数。
没有限制 |
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size)
AWS Lambda 内存大小过度配置的函数 | **AWSManagedServices-ResizeLambdaMemory**
AWS Lambda 函数的内存大小已调整为由 Trusted Advisor提供的推荐内存大小。 | **RecommendedMemorySize:**Lambda 函数的推荐内存分配。值范围介于 128 和 10240 之间。
如果在自动化运行之前修改了 Lambda 函数的大小,则该自动化可能会使用推荐的值覆盖这些设置。 Trusted Advisor |
| [qch7dwoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances)
低使用率 Amazon EC2 实例 | **AWSManagedServices-StopEC2Inst** ance(自动和手动执行模式下的默认 SSM 文档。)
使用率低的 Amazon EC2 实例已停止。 | **ForceStopWithInstanceStore:**设置为`true`以强制停止使用实例存储的实例。否则,设置为 `false`。默认值为`false`可防止实例停止。有效值为真或假(区分大小写)。
没有限制 |
| [qch7dwoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances)
低使用率 Amazon EC2 实例 | **AWSManagedServices-ResizeInstanceByOneLevel**
Amazon EC2 实例在相同实例系列类型中向下调整一个实例类型的大小。实例在调整大小操作期间停止并启动,并在 SSM 文档运行完成后恢复到初始状态。此自动化不支持调整 Auto Scaling 组中的实例的大小。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)没有限制 |
| [qch7dwoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances)
低使用率 Amazon EC2 实例 | **AWSManagedServices-TerminateInstance**
低利用率的 Amazon EC2 实例如果不属于 Auto Scaling 组并且未启用终止保护,则会被终止。AMI 是默认创建的。 | **创建AMIBefore终止:**将此选项设置`false`为`true`或可在终止 EC2 实例之前创建实例 AMI 作为备份。默认值为 `true`。有效值为`true`和`false`(区分大小写)。
没有限制 |
| [g31sq1e9U](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters)
Underutilized Amazon Redshift Clusters | **AWSManagedServices-PauseRedshiftCluster**
亚马逊 Redshift 集群已暂停。 | 不允许使用预配置的参数。
没有限制 |
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config)
Amazon S3 未完成的分段上传中止配置 | **AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload**
Amazon S3 存储桶配置了生命周期规则,用于中止某些天后仍未完成的分段上传。 | **DaysAfterInitiation:**Amazon S3 停止未完成的分段上传的天数。默认设置为 7 天。
没有限制 |
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances)
针对实例的 Amazon EC2 成本优化建议 | 使用来自的 Amazon EC2 实例推荐和空闲亚马逊 EC2 实例[受信任修正者支持的 Compute Optimizer 建议](tr-supported-recommendations-co.md)。 | 不允许使用预配置的参数。
没有限制 |
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes)
针对卷的 Amazon EBS 成本优化建议 | 使用来自的 Amazon EBS 交易量建议和空闲亚马逊 EBS 交易量。[受信任修正者支持的 Compute Optimizer 建议](tr-supported-recommendations-co.md) | 不允许使用预配置的参数。
没有限制 |
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances)
针对数据库实例的 Amazon RDS 成本优化建议 | 使用来自的空闲的 Amazon RDS 实例[受信任修正者支持的 Compute Optimizer 建议](tr-supported-recommendations-co.md)。 | 不允许使用预配置的参数。
没有限制 |
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances)
AWS Lambda 函数的成本优化建议 | 使用来自的 Lambda 函数建议。[受信任修正者支持的 Compute Optimizer 建议](tr-supported-recommendations-co.md) | 不允许使用预配置的参数。
没有限制 |
## Trusted Advisor 受信任修正者支持的安全检查
| 检查身份和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [12Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys)
Exposed Access Keys | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey**
公开的 IAM 访问密钥已停用。 | 不允许使用预配置的参数。
使用公开的 IAM 访问密钥配置的应用程序无法进行身份验证。 |
| Hs4ma3G127-应启用 API Gateway REST WebSocket 和 API 执行日志记录
相应的 AWS Security Hub CSPM 支票:[APIGateway.1](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1) | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging**
API 阶段已启用执行日志记录。 | **LogLevel:** 用于启用执行日志记录的日志级别,`ERROR`-仅对错误启用日志记录。 `INFO`-已为所有事件启用日志功能。
要启用执行日志,您必须授予 API Gateway 读取和写入账户日志的权限,有关详细信息,请参阅[ APIs 在 API Gateway 中设置 REST CloudWatch 日志记录](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)。 CloudWatch |
| Hs4ma3G129-API Gateway REST API 阶段应该启用追踪 AWS X-Ray
相应的 AWS Security Hub CSPM 支票:[APIGateway.3](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3) | **AWSManagedServices-EnableApiGateWayXRayTracing**
在 API 阶段已启用 X 射线追踪。 | 不允许使用预配置的参数。
没有限制 |
| Hs4Ma3G202-API Gateway REST API 缓存数据应进行静态加密
相应的 AWS Security Hub CSPM 支票:[APIGateway.5](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5) | **AWSManagedServices-EnableAPIGatewayCacheEncryption**
如果 API Gateway REST API 阶段启用了缓存,则为 API Gateway REST API 缓存数据启用静态加密。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G177-
相应的 AWS Security Hub CSPM 检查-与负载均衡器关联的自动伸缩组应使用负载均衡器运行状况检查。[AutoScaling1](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck**
已为 Auto Scaling 组启用了 Elastic Load Balancing 运行状况检查。 | **HealthCheckGracePeriod:**Auto Scaling 在检查已投入使用的亚马逊弹性计算云实例的运行状况之前等待的时间(以秒为单位)。
如果连接到 Auto Scaling 组的任何 Elastic Load Balancing 负载均衡器报告运行状况不佳,则启用 Elastic Load Balancing 运行状况检查可能会导致替换正在运行的实例。有关更多信息,请参阅[将 Elastic Load Balancing 负载均衡器附加到您的 Auto Scaling 组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html) |
| Hs4ma3G245- CloudFormation 堆栈应与亚马逊简单通知服务集成
相应的 AWS Security Hub CSPM 支票:[CloudFormation.1](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1) | **AWSManagedServices-EnableCFNStackNotification**
将 CloudFormation 堆栈与 Amazon SNS 主题关联以获得通知。 | **通知ARNs:**要与 ARNs 选定 CloudFormation 堆栈关联的 Amazon SNS 主题。
要启用 auto 修复,必须提供`NotificationARNs`预配置的参数。 |
| Hs4ma3G210- CloudFront 发行版应该启用日志记录
相应的 AWS Security Hub CSPM 支票:[CloudFront.2](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5) | **AWSManagedServices-EnableCloudFrontDistributionLogging**
已为 Amazon CloudFront 分配启用日志记录。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)要启用 auto 修复,必须提供以下预配置的参数:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)
有关修正限制,请参阅[如何为我的 CloudFront 分配开启日志记录](https://repost.aws/knowledge-center/cloudfront-logging-requests)? |
| Hs4ma3G109-应启用 CloudTrail 日志文件验证
相应的 AWS Security Hub CSPM 支票:[CloudTrail.4](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4) | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation**
启用 CloudTrail 跟踪日志验证。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G108—— CloudTrail 轨迹应与亚马逊日志集成 CloudWatch
相应的 AWS Security Hub CSPM 支票:[CloudTrail.5](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5) | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch**
AWS CloudTrail 已与 CloudWatch 日志集成。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)要启用 auto 修复,必须提供以下预配置的参数:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html) |
| Hs4ma3G217- CodeBuild 项目环境应该有日志配置 AWS
相应的 AWS Security Hub CSPM 支票:[CodeBuild.4](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4) | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig**
启用 CodeBuild 项目日志记录。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G306-Neptune 数据库集群应启用删除保护
相应的 AWS Security Hub CSPM 支票:[海王星.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection**
为 Amazon Neptune 集群启用删除保护。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G308-亚马逊 DocumentDB 集群应启用删除保护
相应的 AWS Security Hub CSPM 支票:d [ocumen](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) tDB.5 | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection**
为亚马逊文档数据库集群启用删除保护。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G323-DynamoDB 表应该启用删除保护
相应的 AWS Security Hub CSPM 检查:d [ynam](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) odB.6 | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection**
为非 AMS DynamoDB 表启用删除保护。 | 不允许使用预配置的参数。
没有限制 |
| [eps02jt06w](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots)-亚马逊 EBS 公共快照 | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot**
已禁用 Amazon EBS 快照的公共访问权限。 | 不允许使用预配置的参数。
没有限制 |
| Hs4Ma3G118-VPC 默认安全组不应允许入站或出站流量
相应的 AWS Security Hub CSPM 支票:[EC2.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG**
默认安全组中的所有入口和出口规则都将被删除。 | 不允许使用预配置的参数。
没有限制 |
| Hs4Ma3G117-附加的 EBS 卷应在静态状态下进行加密
相应的 AWS Security Hub CSPM 支票:[EC2.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) | **AWSManagedServices-EncryptInstanceVolume**
实例上附加的 Amazon EBS 卷已加密。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)作为修复的一部分,实例将重新启动,如果`DeleteStaleNonEncryptedSnapshotBackups`将其设置为有助于恢复,则可以进行`false`回滚。 |
| Hs4Ma3G120-应在指定的时间段后移除已停止的 EC2 实例
相应的 AWS Security Hub CSPM 支票:[EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateInstance**(auto 和手动执行模式的默认 SSM 文档)
停止 30 天的 Amazon EC2 实例将被终止。 | **创建AMIBefore终止:**. 要在终止 EC2 实例之前创建实例 AMI 作为备份,请选择`true`。要在终止之前不创建备份,请选择`false`。默认值为 `true`。
没有限制 |
| Hs4Ma3G120-应在指定的时间段后移除已停止的 EC2 实例
相应的 AWS Security Hub CSPM 支票:[EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime**-在 Security Hub 中定义的天数(默认值为 30)中停止的 Amazon EC2 实例将被终止。 | **创建AMIBefore终止:**要在终止 EC2 实例之前创建实例 AMI 作为备份,请选择`true`。要在终止之前不创建备份,请选择`false`。默认值为 `true`。
没有限制 |
| Hs4ma3G121-应启用 EBS 默认加密
相应的 AWS Security Hub CSPM 支票:[EC2.7](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7) | **AWSManagedServices-EncryptEBSByDefault**
默认情况下,Amazon EBS 加密是针对特定的 AWS 区域 | 不允许使用预配置的参数。
默认加密是区域特定的设置。如果您为某个区域启用该功能,则无法为该区域的单个卷或快照禁用该功能。 |
| Hs4Ma3G124-亚马逊 EC2 实例应使用实例元数据服务版本 2 () IMDSv2
相应的 AWS Security Hub CSPM 支票:[EC2.8](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) | **AWSManagedServices-TrustedRemediator****启用EC2实例 IMDSv2**
Amazon EC2 实例使用实例元数据服务版本 2 (IMDSv2)。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)没有限制 |
| Hs4Ma3G207-EC2 子网不应自动分配公有 IP 地址
相应的 AWS Security Hub CSPM 支票:[EC2.15](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15) | **AWSManagedServices-UpdateAutoAssignPublicIpv4个地址**
VPC 子网配置为不自动分配公有 IP 地址。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G209-未使用的网络访问控制列表已删除
相应的 AWS Security Hub CSPM 支票:[EC2.16](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16) | **AWSManagedServices-DeleteUnusedNACL**
删除未使用的网络 ACL | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G215-应移除未使用的亚马逊 EC2 安全组
相应的 AWS Security Hub CSPM 支票:[EC2.22](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22) | **AWSManagedServices-DeleteSecurityGroups**
删除未使用的安全组。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G247-Amazon EC2 Transit Gateway 不应自动接受 VPC 连接请求
相应的 AWS Security Hub CSPM 支票:[EC2.23](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach**-禁用自动接受指定非 AMS Amazon EC2 Transit Gateway 的 VPC 连接请求。 | 不允许使用预配置的参数。
没有限制 |
| Hs4Ma3G235-ECR 私有存储库应配置标签不可变性
相应的 AWS Security Hub CSPM 支票:[ECR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability**
将指定存储库的图像标签可变性设置设置为 IMMUTABLE。 | 不允许使用预配置的参数。
没有限制 |
| Hs4Ma3G216-ECR 存储库应至少配置一个生命周期策略
相应的 AWS Security Hub CSPM 支票:[ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy**
ECR 存储库已配置生命周期策略。 | **LifecyclePolicyText:**要应用于存储库的 JSON 存储库策略文本。
要启用 auto 修复,必须提供以下预配置的参数:
**LifecyclePolicyText** |
| Hs4ma3G325-EKS 集群应启用审核日志记录
相应的 AWS Security Hub CSPM 支票:[EK](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) S.8 | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog**
已为 EKS 集群启用审核日志。 | 不允许使用预配置的参数。
没有限制 |
| Hs4Ma3G183-应用程序负载均衡器应配置为丢弃 HTTP 标头
相应的 AWS Security Hub CSPM 支票:[EL](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4) B.4 | **AWSConfigRemediation-DropInvalidHeadersForALB**
Application Load Balancer 配置为无效的标头字段。 | 不允许使用预配置的参数。
没有限制 |
| Hs4Ma3G184-应启用应用程序负载均衡器和经典负载均衡器日志记录
相应的 AWS Security Hub CSPM 支票:[EL](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) B.5 | **AWSManagedServices-EnableELBLogging (auto 和手动执行模式的默认 SSM 文档)**
应用程序负载均衡器和经典负载均衡器日志记录已启用。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)要启用 auto 修复,必须提供以下预配置的参数:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)
Amazon S3 存储桶必须有存储桶策略,该策略授予 Elastic Load Balancing 将访问日志写入存储桶的权限。 |
| Hs4Ma3G184-应启用应用程序负载均衡器和经典负载均衡器日志记录
相应的 AWS Security Hub CSPM 支票:[EL](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) B.5 | **AWSManagedServices-EnableELBLoggingV2**
应用程序负载均衡器和经典负载均衡器日志记录已启用。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html) |
| Hs4ma3G326-应启用亚马逊 EMR 屏蔽公开访问设置
相应的 AWS Security Hub CSPM 支票:[EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess**
该账户的 Amazon EMR 屏蔽公开访问设置已开启。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G135- AWS KMS 密钥不应无意中删除
相应的 AWS Security Hub CSPM 支票:[KMS.3](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) | **AWSManagedServices-CancelKeyDeletion**
AWS KMS 密钥删除已取消。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G299-Amazon DocumentDB 手动集群快照不应公开
相应的 AWS Security Hub CSPM 支票:d [ocumen](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) tDB.3 | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot**
从 Amazon DocumentDB 手动集群快照中移除公共访问权限。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G319-Network Firewall 防火墙应该启用删除保护
相应的 AWS Security Hub CSPM 支票:[NetworkFirewall.9](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection**-为 AWS Network Firewall 启用删除保护。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G223- OpenSearch 域名应加密节点之间发送的数据
相应的 AWS Security Hub CSPM 支票:[OpenSearch.3](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3) | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption**
已为域启用节点到节点加密。 | 不允许使用预配置的参数。
启用 node-to-node加密后,您无法禁用该设置。取而代之的是,手动拍摄加密域的快照,创建另一个域,迁移您的数据,然后删除旧域名。 |
| Hs4ma3G222-应该启用记录到日志的 OpenSearch 域名错误 CloudWatch
相应的 AWS Security Hub CSPM 支票:[Open](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) search.4 | **AWSManagedServices-EnableOpenSearchLogging**
已为该 OpenSearch 域启用错误日志记录。 | CloudWatchLogGroupArn:亚马逊 CloudWatch 日志组的 ARN。
要启用 auto 修复,必须提供以下预配置的参数:**CloudWatchLogGroupArn**。
Amazon CloudWatch 资源策略必须配置权限。有关更多信息,请参阅 *Amazon OpenSearch 服务用户指南*中的[启用审计日志](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) |
| Hs4ma3G221- OpenSearch 域名应启用审核日志
相应的 AWS Security Hub CSPM 支票:[Open](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) search.5 | **AWSManagedServices-EnableOpenSearchLogging**
OpenSearch 域配置为启用审核日志。 | **CloudWatchLogGroupArn:**要向其发布 CloudWatch 日志的日志组的 ARN。
要启用 auto 修复,必须提供以下预配置的参数:**CloudWatchLogGroupArn**
Amazon CloudWatch 资源策略必须配置权限。有关更多信息,请参阅 *Amazon OpenSearch 服务用户指南*中的[启用审计日志](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) |
| Hs4Ma3G220-与 OpenSearch 域名的连接应使用 TLS 1.2 进行加密
相应的 AWS Security Hub CSPM 支票:[Open](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) search.8 | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2**
TLS 策略设置为 “policy-min-tls-1-2-2019-07”,并且只允许通过 HTTPS (TLS) 进行加密连接。 | 不允许使用预配置的参数。
使用 TLS 1.2 需要连接到 OpenSearch 域。加密传输中数据可能会影响性能。使用此功能测试您的应用程序,以了解 TLS 的性能状况和影响。 |
| Hs4ma3G194-亚马逊 RDS 快照应该是私有的
相应的 AWS Security Hub CSPM 支票:[RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2**
Amazon RDS 快照的公共访问已禁用。 | 不允许使用预配置的参数。
没有限制 |
| Hs4Ma3G192-RDS 数据库实例应禁止公共访问,具体取决于配置 PubliclyAccessible AWS
相应的 AWS Security Hub CSPM 支票:[RDS.2](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance**
在 RDS 数据库实例上禁用公共访问权限。 | 不允许使用预配置的参数。
没有限制 |
| Hs4Ma3G189-为亚马逊 RDS 数据库实例配置了增强监控
相应的 AWS Security Hub CSPM 支票:[RDS.6](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring**
为 Amazon RDS 数据库实例启用增强监控 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)如果在自动化执行之前启用了增强监控,则此自动化可能会使用在预配置参数中配置的 MonitoringInterval 和 MonitoringRoleName 值来覆盖这些设置。 |
| Hs4ma3G190-Amazon RDS 集群应启用删除保护
相应的 AWS Security Hub CSPM 支票:[RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection**
已为 Amazon RDS 集群启用删除保护。 | 不允许使用预配置的参数。
没有限制 |
| Hs4Ma3G198-Amazon RDS 数据库实例应启用删除保护
相应的 AWS Security Hub CSPM 支票:[RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection**
已为 Amazon RDS 实例启用删除保护。 | 不允许使用预配置的参数。
没有限制 |
| Hs4Ma3G199-RDS 数据库实例应将日志发布到日志 CloudWatch
相应的 AWS Security Hub CSPM 支票:[RDS.9](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports**
已为 RDS 数据库实例或 RDS 数据库集群启用 RDS 日志导出。 | 不允许使用预配置的参数。
需要服务相关角色 [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure)。 |
| Hs4Ma3G160-应为 RDS 实例配置 IAM 身份验证
相应的 AWS Security Hub CSPM 支票:[RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication**
AWS Identity and Access Management 已为 RDS 实例启用身份验证。 | **ApplyImmediately:** 表示是否尽快异步应用此请求中的修改和任何待处理的修改。要立即应用更改,请选择`true`。要在下一个维护时段安排更改,请选择`false`。
没有限制 |
| Hs4Ma3G161-应为 RDS 集群配置 IAM 身份验证
相应的 AWS Security Hub CSPM 支票:[RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication**
已为 RDS 集群启用了 IAM 身份验证。 | **ApplyImmediately:** 表示是否尽快异步应用此请求中的修改和任何待处理的修改。要立即应用更改,请选择`true`。要在下一个维护时段安排更改,请选择`false`。
没有限制 |
| Hs4Ma3G162-应启用 RDS 自动次要版本升级
相应的 AWS Security Hub CSPM 支票:[RDS.13](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade**
Amazon RDS 的自动次要版本升级配置已启用。 | 不允许使用预配置的参数。
Amazon RDS 实例必须处于`available`状态才能进行此修复。 |
| Hs4Ma3G163-RDS 数据库集群应配置为将标签复制到快照
相应的 AWS Security Hub CSPM 支票:[RDS.16](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots**
`CopyTagtosnapshot`Amazon RDS 集群的设置已启用。 | 不允许使用预配置的参数。
Amazon RDS 实例必须处于可用状态才能进行此修复。 |
| Hs4Ma3G164-RDS 数据库实例应配置为将标签复制到快照
相应的 AWS Security Hub CSPM 支票:[RDS.17](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots**
`CopyTagsToSnapshot`Amazon RDS 的设置已启用。 | 不允许使用预配置的参数。
Amazon RDS 实例必须处于可用状态才能进行此修复。 |
| [rss93 HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots)
Amazon RDS 公有快照 | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2**
Amazon RDS 快照的公共访问已禁用。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G103-亚马逊 Redshift 集群应禁止公众访问
相应的 AWS Security Hub CSPM 支票:[Redshi](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) ft.1 | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster**
亚马逊 Redshift 集群上的公共访问已禁用。 | 不允许使用预配置的参数。
禁用公共访问会阻止所有来自互联网的客户端。而且,Amazon Redshift 集群在几分钟内处于修改状态,同时修复会禁用集群上的公共访问权限。 |
| Hs4ma3G106-亚马逊 Redshift 集群应启用审核日志
相应的 AWS Security Hub CSPM 支票:[Redshi](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) ft.4 | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging**
在维护时段内,您的 Amazon Redshift 集群启用了审核日志。 | 不允许使用预配置的参数。
要启用 auto 修复,必须提供以下预配置的参数。
**BucketName:** 存储桶必须位于同一个桶中 AWS 区域。集群必须具有读取存储桶和放置对象权限。
如果在自动化执行之前启用了 Redshift 集群日志记录,则该自动化可能会使用在预配置参数中配置的`BucketName`和`S3KeyPrefix`值覆盖日志设置。 |
| Hs4ma3G105-Amazon Redshift应该启用自动升级到主要版本的功能
相应的 AWS Security Hub CSPM 支票:[Redshi](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) ft.6 | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade**-在维护时段内,主要版本升级会自动应用于集群。Amazon Redshift 集群不会立即停机,但是如果升级到主要版本,您的 Amazon Redshift 集群可能会在其维护时段内停机。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G104-亚马逊 Redshift 集群应使用增强型 VPC 路由
相应的 AWS Security Hub CSPM 支票:[Redshi](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) ft.7 | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting**
亚马逊 Redshift 集群已启用增强型 VPC 路由。 | 不允许使用预配置的参数。
没有限制 |
| Hs4ma3G173-S3 封锁公共访问设置应在存储桶级别启用
相应的 AWS Security Hub CSPM 支票:[S3.8](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8) | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess**
对于 Amazon S3 存储桶应用存储桶级别的公共访问封锁。 | 不允许使用预配置的参数。
此补救措施可能会影响 S3 对象的可用性。有关 Amazon S3 如何评估访问权限的信息,请参阅[阻止公众访问您的 Amazon S3 存储](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)。 |
| Hs4ma3G230-S3 存储桶服务器访问日志应启用
相应的 AWS Security Hub CSPM 支票:[S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-EnableBucketAccessLogging**(auto 和手动执行模式的默认 SSM 文档)
Amazon S3 服务器访问日志已启用。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)要启用 auto 修复,必须提供以下预配置的参数:**TargetBucket**。
目标存储桶必须与源存储桶位于 AWS 账户 相同 AWS 区域 且具有正确的日志传输权限。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
| Hs4ma3G230 — 应启用 S3 存储桶服务器访问日志记录
相应的 AWS Security Hub CSPM 支票:[S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2**-已启用 Amazon S3 存储桶日志记录。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)要启用 auto 修复,必须提供以下参数:**TargetBucketTagKey**和**TargetBucketTagValue**。
目标存储桶必须与源存储桶位于 AWS 账户 相同 AWS 区域 且具有正确的日志传输权限。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
| [Pfx0 RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions)
Amazon S3 存储桶权限 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess**
封锁公共访问 | 不允许使用预配置的参数。
此检查由多个警报标准组成。这种自动化修复了公共访问问题。 Trusted Advisor 不支持修复标记为的其他配置问题。此修复确实支持修复 AWS 服务 已创建的 S3 存储桶(例如 cf-templates-000000000000)。 |
| Hs4Ma3G272-用户不应拥有笔记本实例的根访问权限 SageMaker
相应的 AWS Security Hub CSPM 支票:[SageMaker.3](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3) | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess**
对于 SageMaker 笔记本实例,用户的 root 访问权限已禁用。 | 不允许使用预配置的参数。
如果 SageMaker 笔记本实例 InService 处于状态,则此补救措施会导致中断。 |
| Hs4Ma3G179-SNS 话题应使用静态加密 AWS KMS
相应的 AWS Security Hub CSPM 支票:[SNS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) | **AWSManagedServices-EnableSNSEncryptionAtRest**
SNS 主题配置了服务器端加密。 | **KmsKeyId:**适用于 Amazon SNS 的 AWS 托管客户主密钥 (CMK) 或用于服务器端加密 (SSE) 的自定义 CMK 的 ID。默认设置为`alias/aws/sns`。
如果使用自定义 AWS KMS 密钥,则必须为其配置正确的权限。有关更多信息,请参阅 [Amazon SNS 主题的启用服务器端加密 (SSE)](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) |
| Hs4ma3G158-SSM 文档不应公开
相应的 AWS Security Hub CSPM 支票:[SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing**-禁用 SSM 文档的公开共享。 | 不允许使用预配置的参数。
没有限制 |
| Hs4Ma3G136——亚马逊 SQS 队列应在静态状态下进行加密
相应的 AWS Security Hub CSPM 支票:[SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest**
亚马逊 SQS 中的消息经过加密。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)匿名 SendMessage 和对加密队列的 ReceiveMessage 请求将被拒绝。针对启用了 SSE 的队列的所有请求都必须使用 HTTPS 和 Signature Version 4。 |
## Trusted Advisor 可信修正者支持的容错检查
| 检查身份和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery)
亚马逊 DynamoDB 恢复 Point-in-time | **AWSManagedServices-TrustedRemediatorEnableDDBPITR**
启用 DynamoDB 表的 point-in-time恢复。 | 不允许使用预配置的参数。
没有限制 |
| [r365s2qddf](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning)
Amazon S3 Bucket Versioning | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning**
Amazon S3 存储桶版本控制已启用。 | 不允许使用预配置的参数。
此修复不支持修复 AWS 服务 已创建的 S3 存储桶(例如 cf-templates-000000000000)。 |
| [BueAdj7nrp](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging)
Amazon S3 存储桶日志记录 | **AWSManagedServices-EnableBucketAccessLogging**
已启用 Amazon S3 存储桶日志记录。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)要启用 auto 修复,必须提供以下预配置的参数:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)
目标存储桶必须与源存储桶位于 AWS 账户 相同 AWS 区域 且具有正确的日志传输权限。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
| [f2ik5r6dep](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az)
Amazon RDS Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ**
已启用多可用区部署。 | 不允许使用预配置的参数。
在此更改期间,性能可能会降低。 |
| [H7 IgTzj TYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots)
Amazon EBS Snapshots | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot**
亚马逊 EBSsnapshots 已创建。 | 不允许使用预配置的参数。
没有限制 |
| [op QPADk zvH](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups)
RDS 备份 | **AWSManagedServices-EnableRDSBackupRetention**
已为数据库启用 Amazon RDS 备份保留功能。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)如果将`ApplyImmediately`参数设置为`true`,则数据库上待处理的更改将与 RDSBackup 保留设置一起应用。 |
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups)
Amazon RDS 数据库实例已关闭存储自动扩缩 | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling**-已为 Amazon RDS 数据库实例启用存储自动扩展。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)没有限制 |
| [7q GXs KIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining)
Classic Load Balancer Connection 耗尽 | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining**
Classic Load Balancer 已启用连接耗尽功能。 | **ConnectionDrainingTimeout:**取消注册实例之前保持现有连接打开状态的最长时间(以秒为单位)。默认设置为`300`秒。
没有限制 |
| [c18d2gz106](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan)
计划中 AWS Backup 未包含亚马逊 EBS | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan**
Amazon EBS 已包含在 AWS Backup 计划中。 | 补救措施使用以下标签对标记 Amazon EBS 卷。标签对必须符合的基于标签的资源选择标准。 AWS Backup[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)没有限制 |
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan)
计划中未包含亚马逊 DynamoDB 表 AWS Backup | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan**
计划中包含亚马逊 DynamoDB 表。 AWS Backup | 补救措施使用以下标签对标记 Amazon DynamoDB。标签对必须符合的基于标签的资源选择标准。 AWS Backup[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)没有限制 |
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan)
AWS Backup 计划中未包含亚马逊 EFS | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan**
Amazon EFS 包含在 AWS Backup 计划中。 | 补救措施使用以下标签对 Amazon EFS 进行标记。标签对必须符合的基于标签的资源选择标准。 AWS Backup[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)没有限制 |
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing)
网络负载均衡器跨区域负载均衡 | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing**
在 Network Load Balancer 上启用了跨区域负载平衡。 | 不允许使用预配置的参数。
没有限制 |
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off)
亚马逊 RDS `synchronous_commit` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter**
Amazon RDS 的参数`synchronous_commit`已开启。 | 不允许使用预配置的参数。
没有限制 |
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off)
亚马逊 RDS `innodb_flush_log_at_trx_commit` 参数不是 `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter**
对`innodb_flush_log_at_trx_commit`于 Amazon RDS`1`,参数设置为。 | 不允许使用预配置的参数。
没有限制 |
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off)
亚马逊 RDS `sync_binlog` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter**
Amazon RDS 的参数`sync_binlog`已开启。 | 不允许使用预配置的参数。
没有限制 |
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe)
Amazon RDS `innodb_default_row_format` 参数设置不安全 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter**
对`innodb_default_row_format`于 Amazon RDS`DYNAMIC`,参数设置为。 | 不允许使用预配置的参数。
没有限制 |
| [c18d2gz144](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled)
未启用 Amazon EC2 详细监控 | **AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring**
已为 Amazon EC2 启用详细监控。 | 不允许使用预配置的参数。
没有限制 |
## Trusted Advisor 可信修正者支持的性能检查
| 检查身份和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size)
AWS Lambda 内存大小的函数配置不足 | **AWSManagedServices-ResizeLambdaMemory**
Lambda 函数的内存大小已调整为提供的建议内存大小。 Trusted Advisor | **RecommendedMemorySize:**Lambda 函数的推荐内存分配。值范围介于 128 和 10240 之间。
如果在自动执行之前修改了 Lambda 函数的大小,则此自动化可能会使用推荐的值覆盖设置。 Trusted Advisor |
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances)
高使用率 Amazon EC2 实例 | **AWSManagedServices-ResizeInstanceByOneLevel**
Amazon EC2 实例按相同实例系列类型向上调整一个实例类型的大小。在调整大小操作期间,实例将停止并启动,并在执行完成后返回到初始状态。此自动化不支持调整 Auto Scaling 组中的实例的大小。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)没有限制 |
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal)
使用小于最佳值的 Amazon RDS `innodb_change_buffering` 参数 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter**
对于 Amazon RDS,`innodb_change_buffering`参数`NONE`的值设置为。 | 不允许使用预配置的参数。
没有限制 |
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off)
亚马逊 RDS `autovacuum` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter**
Amazon RDS 的参数`autovacuum`已开启。 | 不允许使用预配置的参数。
没有限制 |
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off)
亚马逊 RDS `enable_indexonlyscan` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter**
Amazon RDS 的参数`enable_indexonlyscan`已开启。 | 不允许使用预配置的参数。
没有限制 |
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off)
亚马逊 RDS `enable_indexscan` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter**
Amazon RDS 的参数`enable_indexscan`已开启。 | 不允许使用预配置的参数。
没有限制 |
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off)
亚马逊 RDS `innodb_stats_persistent` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter**
Amazon RDS 的参数`innodb_stats_persistent`已开启。 | 不允许使用预配置的参数。
没有限制 |
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on)
亚马逊 RDS `general_logging` 参数已开启 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter**
亚马逊 RDS 的参数`general_logging`已关闭。 | 不允许使用预配置的参数。
没有限制 |
## Trusted Advisor 受信任修正者支持的服务限制检查
| 检查身份和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [lN7 J9 RR0l7](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address)
EC2-VPC 弹性 IP 地址 | **AWSManagedServices-UpdateVpcElasticIPQuota**
要求对 EC2-VPC 弹性 IP 地址设置新的限制。默认情况下,该限制会增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。
如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [km7 J9 QQ0l7](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways)
VPC 互联网网关 | **AWSManagedServices-IncreaseServiceQuota**-请求对 VPC 互联网网关设置新的限制。默认情况下,该限制增加三个。 | **增量:**要增加当前配额的数字。默认值为 `3`。
如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [jl7 J9 PP0l7](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check)
VPC | **AWSManagedServices-IncreaseServiceQuota**
请求对 VPC 设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。
如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [fw7 J9 HH0l7](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups)
Auto Scaling 组 | **AWSManagedServices-IncreaseServiceQuota**
请求对 Auto Scaling 组设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。
如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [3njm0 DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups)
RDS 选项组 | **AWSManagedServices-IncreaseServiceQuota**
请求对 Amazon RDS 选项组设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。
如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers)
ELB Application Load Balancer | **AWSManagedServices-IncreaseServiceQuota**
请求对 ELB 应用程序负载均衡器设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。
如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [8wiQ K YSt25](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers)
ELB Network Load Balancer | **AWSManagedServices-IncreaseServiceQuota**
请求对 ELB 网络负载均衡器设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。
如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
## Trusted Advisor 可信修正者支持的卓越运营检查
| 检查身份和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled)
Amazon API Gateway 未记录执行日志 | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging**
API 阶段已启用执行日志记录。 | 不允许使用预配置的参数。
要启用执行日志,您必须授予 API Gateway 读取和写入账户日志的权限,有关详细信息,请参阅[ APIs 在 API Gateway 中设置 REST CloudWatch 日志记录](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)。 CloudWatch |
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled)
没有为负载均衡器启用 Elastic Load Balancing 删除保护 | **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection**-Elastic Load Balancer 的删除保护已开启。 | 不允许使用预配置的参数。
没有限制 |
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off)
Amazon RDS 性能详情已关闭 | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights**
亚马逊 RDS 的 Performance Insights 已开启。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)没有限制 |
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled)
Amazon S3 访问日志已启用 | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2**
Amazon S3 存储桶访问日志已启用。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/tr-supported-checks.html)要启用 auto 修复,必须提供以下预配置的参数:**TargetBucketTagKey**和。**TargetBucketTagValue**
目标存储桶必须与源存储桶位于 AWS 账户 相同 AWS 区域 且具有正确的日志传输权限。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |