本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Trusted Advisor 檢查參考
**重要**
終止支援通知:開發人員支援將於 2027 年 1 月 1 日終止。擁有開發人員支援的客戶可以繼續使用其現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
支援結束通知:商業支援將於 2027 年 1 月 1 日終止。擁有 Business Support 的客戶可以繼續使用現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
終止支援通知:2027 年 1 月 1 日, AWS 將停止 Enterprise On-Ramp。在整個 2026 年,Enterprise On-Ramp 客戶將在合約續約期間或定期批次期間自動升級至 AWS Enterprise Support。客戶將在升級前一個月收到電子郵件通知。無需採取進一步動作。Enterprise Support 提供指定的 TAM 指派、15 分鐘的回應時間,並且可免費 AWS 安全事件應變 使用,而且最低 5,000 美元 (從 15,000 美元減少)。如需詳細資訊,請參閱[AWS 企業 支援 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/enterprise/)。
如需詳細資訊,請參閱[開發人員、商業和企業延遲結束支援](support-plans-eos.md)。
開發人員支援、商業支援和 Enterprise On-Ramp 仍可在 AWS GovCloud (US) 區域中使用。
您可以在下列參考中檢視所有 Trusted Advisor 檢查名稱、描述和 IDs。您也可登入 [Trusted Advisor](https://console.aws.amazon.com/trustedadvisor) 主控台,檢視有關檢查、建議的動作及狀態的詳細資訊。
如果您有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃,您也可以使用 [AWS Trusted Advisor API](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/Welcome.html) 和 AWS Command Line Interface (AWS CLI) 來存取您的檢查。如需詳細資訊,請參閱下列主題:
+ [開始使用 Trusted Advisor API](trustedadvisor.md)
+ [AWS Trusted Advisor API 參考](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/Welcome.html)
**注意**
如果您有基本支援或開發人員支援計劃,您可以使用 Trusted Advisor 主控台存取 [服務限制](service-limits.md)類別中的所有檢查,以及 安全性和容錯能力類別中的下列檢查:
[Amazon EBS 公有快照](security-checks.md#amazon-ebs-public-snapshots)
[Amazon RDS 公有快照](security-checks.md#amazon-rds-public-snapshots)
[Amazon S3 儲存貯體許可](security-checks.md#amazon-s3-bucket-permissions)
[根帳戶的 MFA](security-checks.md#mfa-root-account)
[安全群組-— 不受限制的特定連接埠](security-checks.md#security-groups-specific-ports-unrestricted)
[AWS STS 跨 的全域端點用量 AWS 區域](fault-tolerance-checks.md#sts-global-endpoint)
**Topics**
+ [成本最佳化](cost-optimization-checks.md)
+ [效能](performance-checks.md)
+ [安全](security-checks.md)
+ [容錯能力](fault-tolerance-checks.md)
+ [服務限制](service-limits.md)
+ [營運卓越](operational-excellence-checks.md)
# 成本最佳化
您可以針對成本最佳化類別使用下列檢查。
**Contents**
+ [AWS 帳戶 不屬於 AWS Organizations](#account-not-part-of-organizations)
+ [資料庫叢集儲存體的 Amazon Aurora 成本最佳化建議](#aurora-cost-opt-db-cluster-storage)
+ [Amazon Comprehend 未充分利用的端點](#amazon-comprehend-underutilized-endpoints)
+ [Amazon DynamoDB 預留容量購買建議](#dynamodb-reserved-capacity-purchase-rec)
+ [磁碟區的 Amazon EBS 成本最佳化建議](#ebs-cost-opt-for-volumes)
+ [Amazon EBS 過度佈建的磁碟區](#amazon-ebs-over-provisioned-volumes)
+ [Amazon EC2 Auto Scaling 群組的 Amazon EC2 成本最佳化建議](#ec2-cost-opt-for-autoscaling)
+ [執行個體的 Amazon EC2 成本最佳化建議](#ec2-cost-opt-for-instances)
+ [Microsoft SQL 伺服器的 Amazon EC2 執行個體合併](#ec2-instances-consolidation-sql-server)
+ [Microsoft SQL 伺服器過度佈建的 Amazon EC2 執行個體](#ec2-instance-over-provisioned-microsoft-sql-server)
+ [Amazon EC2 執行個體已停止](#ec2-instance-stopped-for-thirty-days)
+ [Amazon EC2 預留執行個體租用過期](#amazon-ec2-reserved-instances-lease-expiration)
+ [Amazon EC2 預留執行個體最佳化](#amazon-ec2-reserved-instances-optimization)
+ [未設定生命週期政策的 Amazon ECR 儲存庫](#amazon-ecr-repository-without-lifecycle-policy)
+ [Amazon ElastiCache 預留節點購買建議](#elasticache-reserved-node-purchase-recommendations)
+ [AWS Fargate Amazon ECS 的成本最佳化建議](#fargate-cost-opt-for-ecs)
+ [Amazon MemoryDB 預留節點購買建議](#memorydb-reserved-node-purchase-recommendations)
+ [Amazon OpenSearch Service 預留執行個體購買建議](#os-ri-purchase-recommendations)
+ [資料庫執行個體的 Amazon RDS 成本最佳化建議](#rds-cost-opt-for-db-instances)
+ [資料庫執行個體儲存體的 Amazon RDS 成本最佳化建議](#rds-cost-opt-for-db-instance-storage)
+ [Amazon RDS 閒置資料庫執行個體](#amazon-rds-idle-dbs-instances)
+ [Amazon RDS 預留執行個體購買建議](#rds-ri-purchase-recommendations)
+ [Amazon Redshift 預留節點購買建議](#redshift-reserved-node-purchase-recommendations)
+ [Amazon Route 53 延遲資源記錄集](#amazon-route-53-latency-resource-record-sets)
+ [已設定 Amazon S3 儲存貯體生命週期政策](#amazon-s3-bucket-lifecycle-policy-configured)
+ [Amazon S3 未完成分段上傳中止組態](#s3-incomplete-multipart-upload-abort-config)
+ [已啟用版本功能的 Amazon S3 儲存貯體 (未設定生命週期政策)](#amazon-s3-version-enabled-buckets-no-lifecycle-policy)
+ [AWS Lambda 函數的成本最佳化建議](#lambda-cost-opt-for-functions)
+ [AWS Lambda 具有過多逾時的 函數](#aws-lambda-functions-excessive-timeouts)
+ [AWS Lambda 具有高錯誤率的 函數](#aws-lambda-functions-with-high-error-rates)
+ [AWS Lambda 記憶體大小過度佈建的函數](#aws-lambda-over-provisioned-functions-memory-size)
+ [AWS Savings Plans 的運算購買建議](#savings-plans-purchase-recommendations-compute)
+ [Amazon SageMaker AI 的AWS Savings Plans 購買建議](#savings-plans-purchase-recommendations-sagemaker)
+ [AWS Well-Architected 成本最佳化的高風險問題](#well-architected-high-risk-issues-cost-optimization)
+ [閒置負載平衡器](#idle-load-balancers)
+ [閒置 NAT 閘道](#idle-nat-gateways)
+ [非作用中 AWS Network Firewall](#inactive-network-firewall)
+ [非作用中 VPC 介面端點](#inactive-vpc-interface-endpoints)
+ [非作用中閘道Load Balancer端點](#inactive-gateway-load-balancer)
+ [非作用中 NAT 閘道](#inactive-nat-gateways)
+ [低使用率 Amazon EC2 執行個體](#low-utilization-amazon-ec2-instances)
+ [無關聯彈性 IP 地址](#unassociated-elastic-ip-addresses)
+ [未充分利用的 Amazon EBS 磁碟區](#underutilized-amazon-ebs-volumes)
+ [利用率過低的 Amazon Redshift 叢集](#underutilized-amazon-redshift-clusters)
## AWS 帳戶 不屬於 AWS Organizations
**Description**
檢查 是否 AWS 帳戶 屬於適當管理帳戶 AWS Organizations 下的一部分。
AWS Organizations 是一種帳戶管理服務,可將多個 AWS 帳戶合併為集中管理的組織。這可讓您集中結構帳戶以進行帳單合併,並在工作負載於 AWS擴展時實作擁有權與安全政策。
您可以使用 AWS Config 規則的 **MasterAccountId** 參數來指定管理帳戶 ID。
如需詳細資訊,請參閱[什麼是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz127`
**來源**
`AWS Config Managed Rule: account-part-of-organizations`
**警示條件**
黃色:此 AWS 帳戶不屬於 AWS Organizations。
**建議的動作**
新增此 AWS 帳戶做為 的一部分 AWS Organizations。
如需詳細資訊,請參閱[教學課程:建立和設定組織。](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 資料庫叢集儲存體的 Amazon Aurora 成本最佳化建議
**Description**
檢查您的 Amazon Aurora 資料庫叢集儲存組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr17n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:Aurora 資料庫叢集儲存體具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 Aurora 和 RDS 資料庫建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-rds-recommendations.html)
+ [Amazon Aurora 的建議](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/monitoring-recommendations.html)
+ [Amazon Aurora 的設定](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon Comprehend 未充分利用的端點
**Description**
檢查端點的輸送量組態。此檢查會在端點未主動用於即時推論請求時提醒您。系統會將超過連續 15 天未使用的端點視為未充分利用。所有端點都會根據設定的輸送量以及端點處於作用中的時間長度計費。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Cm24dfsM12`
**警示條件**
黃色:端點處於作用中狀態,但在過去 15 天其未用於即時推論請求。
**建議的動作**
如果過去 15 天未使用過該端點,建議您使用 [Application Auto Scaling](https://docs.aws.amazon.com/comprehend/latest/dg/comprehend-autoscaling.html) 定義資源的擴展政策。
如果端點已有定義的擴展政策,而且端點在過去 30 天內未使用,請考慮刪除該端點並使用非同步推論。如需詳細資訊,請參閱 [Deleting an endpoint with Amazon Comprehend](https://docs.aws.amazon.com/comprehend/latest/dg/manage-endpoints-delete.html) (使用 Amazon Comprehend 刪除端點)。
**報告欄位**
+ 狀態
+ 區域
+ 端點 ARN
+ 已佈建的推論單元
+ AutoScaling 狀態
+ Reason
+ 上次更新時間
## Amazon DynamoDB 預留容量購買建議
**Description**
檢查您的 Amazon DynamoDB 使用模式,並透過預留容量購買提供潛在節省成本的建議。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr15n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有由 DynamoDB 的 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [DynamoDB 預留容量](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/reserved-capacity.html)
+ [存取保留建議](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [Amazon DynamoDB 預留容量](https://aws.amazon.com/dynamodb/reserved-capacity/)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## 磁碟區的 Amazon EBS 成本最佳化建議
**Description**
檢查您的 Amazon EBS 磁碟區組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr02n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:EBS 磁碟區具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 Amazon EBS 磁碟區建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-ebs-recommendations.html)
+ [EBS 磁碟區指標](https://docs.aws.amazon.com/compute-optimizer/latest/ug/ebs-metrics-analyzed.html)
+ [Amazon EBS 磁碟區類型](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-volume-types.html)
+ [請求 Amazon EBS 磁碟區修改](https://docs.aws.amazon.com/ebs/latest/userguide/requesting-ebs-volume-modifications.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon EBS 過度佈建的磁碟區
**Description**
這是舊版檢查。建議使用提供其他自訂建議的新檢查 (檢查 ID:[c1z7kmr02n](#ebs-cost-opt-for-volumes))。
檢查回顧期間在任何時間執行的 Amazon Elastic Block Store (Amazon EBS) 磁碟區。此檢查會提醒您注意工作負載 EBS 磁碟區過度佈建的情形。當您擁有過度佈建的磁碟區時,您需要為未使用的資源付費。雖然某些案例的本質可能會導致最佳化降低,但通常可以透過變更 EBS 磁碟區的組態來降低成本。預估每月節省成本是根據 EBS 磁碟區的目前使用率計算得出。如果磁碟區整個月都不存在,實際節省成本會有所不同。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`COr6dfpM03`
**警示條件**
黃色:回顧期間過度佈建的 EBS 磁碟區。若要判斷磁碟區是否過度佈建,我們會考慮所有預設 CloudWatch 指標 (包括 IOPS 和輸送量)。用於識別過度佈建 EBS 磁碟區的演算法遵循 AWS 最佳實務。找出新的模式時,該演算法會更新。
**建議的動作**
請考慮縮減低使用率磁碟區的大小。
如需詳細資訊,請參閱[選擇加入 AWS Compute Optimizer Trusted Advisor 檢查](compute-optimizer-with-trusted-advisor.md)。
**報告欄位**
+ 狀態
+ 區域
+ 磁碟區 ID
+ 磁碟區類型
+ 磁碟區大小 (GB)
+ 磁碟區基準 IOPS
+ 磁碟區高載 IOPS
+ 磁碟區高載輸送量
+ 建議的磁碟區類型
+ 建議的磁碟區大小 (GB)
+ 建議的磁碟區基準 IOPS
+ 建議的磁碟區高載 IOPS
+ 建議的磁碟區基準輸送量
+ 建議的磁碟區高載輸送量
+ 回顧期間 (天)
+ 成本節省機會 (%)
+ 預估每月節省成本
+ 預估每月節省成本貨幣
+ 上次更新時間
## Amazon EC2 Auto Scaling 群組的 Amazon EC2 成本最佳化建議
**Description**
檢查您的 Amazon EC2 Auto Scaling 群組組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr01n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:Amazon EC2 Auto Scaling 群組具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 Amazon EC2 Auto Scaling 磁碟區建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-asg-recommendations.html)
+ [Amazon EC2 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-groups.html)
+ [什麼是 Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## 執行個體的 Amazon EC2 成本最佳化建議
**Description**
檢查您的 Amazon EC2 執行個體組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr00n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:EC2 執行個體具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 EC2 執行個體建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-ec2-recommendations.html)
+ [EC2 執行個體指標](https://docs.aws.amazon.com/compute-optimizer/latest/ug/ec2-metrics-analyzed.html)
+ [Amazon EC2 執行個體類型變更](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Microsoft SQL 伺服器的 Amazon EC2 執行個體合併
**Description**
檢查過去 24 小時內執行 SQL 伺服器的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。如果您的執行個體少於 SQL 伺服器授權的最小數量,這項檢查會提醒您。依據《Microsoft SQL Server 授權指南》,即使一個執行個體只有 1 個或 2 個 vCPU,您仍需支付 4 個 vCPUs 授權。您可以合併較小的 SQL 伺服器執行個體,以協助降低成本。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Qsdfp3A4L2`
**警示條件**
黃色:使用 SQL Server 的執行個體擁有的 vCPU 是少於 4 個。
**建議的動作**
考慮將較小的 SQL Server 工作負載合併到至少具有四個 vCPUs執行個體。
**其他資源**
+ [將 Microsoft SQL Server 遷移至 AWS](https://aws.amazon.com/sql/)
+ [上的 Microsoft 授權 AWS](https://aws.amazon.com/windows/resources/licensing/)
+ [Microsoft SQL Server 授權指南](https://www.microsoft.com/en-us/sql-server/sql-server-2019-pricing)
**報告欄位**
+ 狀態
+ 區域
+ 執行個體 ID
+ 執行個體類型
+ vCPU
+ vCPU 數量下限
+ SQL Server 版本
+ 上次更新時間
## Microsoft SQL 伺服器過度佈建的 Amazon EC2 執行個體
**Description**
檢查過去 24 小時內執行 SQL 伺服器的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。SQL 伺服器資料庫對每個執行個體都有運算容量限制。具有 SQL 伺服器標準版的執行個體最多可以使用 48 個 vCPUs。具有 SQL 伺服器 Web 版的執行個體最多可以使用 32 個 vCPUs。此檢查會在執行個體超過此 vCPU 限制時發出提醒。
如果您的執行個體過度佈建,則您會支付全額價格卻無法感受到效能提升。您可以管理執行個體的數量和大小,以協助降低成本。
預估每月節省成本是根據相同的執行個體系列搭配 SQL Server 執行個體可以使用的 vCPUs 數量上限以及隨需定價計算得出。如果您使用預留執行個體 (RI) 或是如果執行個體一整天都沒有執行,則實際節省的成本將有所不同。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Qsdfp3A4L1`
**警示條件**
+ 紅色:使用 SQL Server Standard 版的執行個體擁有的 vCPU 數量超過 48 個。
+ 紅色:使用 SQL Server Web 版的執行個體擁有的 vCPU 數量超過 32 個。
**建議的動作**
如果是 SQL Server Standard 版,請考慮變更為使用具有 48 個 vCPU 的相同執行個體系列中的執行個體。如果是 SQL Server Web 版,請考慮變更為使用具有 32 個 vCPU 的相同執行個體系列中的執行個體。如果需要大量記憶體,請考慮變更為使用記憶體最佳化 R5 執行個體。如需詳細資訊,請參閱 [Best Practices for Deploying Microsoft SQL Server on Amazon EC2](https://docs.aws.amazon.com/prescriptive-guidance/latest/sql-server-ec2-best-practices/welcome.html) (《Amazon EC2 上部署 Microsoft SQL Server 的最佳實務》。
**其他資源**
+ [將 Microsoft SQL Server 遷移至 AWS](https://aws.amazon.com/sql)
+ 您可以使用 [Launch Wizard](https://aws.amazon.com/launchwizard) 來簡化您在 EC2 上的 SQL Server 部署。
**報告欄位**
+ 狀態
+ 區域
+ 執行個體 ID
+ 執行個體類型
+ vCPU
+ SQL Server 版本
+ vCPU 數量上限
+ 建議的執行個體類型
+ 預估每月節省成本
+ 上次更新時間
## Amazon EC2 執行個體已停止
**Description**
檢查是否有已停止超過 30 天的 Amazon EC2 執行個體。
您可以在 AWS Config 參數的 **AllowedDays** 中指定允許的天數值。
如需詳細資訊,請參閱[當我所有的執行個體終止時,為何會向我收取 Amazon EC2 的費用?](https://repost.aws/knowledge-center/ec2-billing-terminated)
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz150`
**來源**
`AWS Config Managed Rule: ec2-stopped-instance `
**警示條件**
+ 黃色:有 Amazon EC2 執行個體已停止超過允許的天數。
**建議的動作**
檢閱已停止 30 天以上的 Amazon EC2 執行個體。為避免產生不必要的成本,請終止任何不再需要的執行個體。
如需詳細資訊,請參閱[終止您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html)。
**其他資源**
+ [Amazon EC2 隨需定價](https://aws.amazon.com/ec2/pricing/on-demand/)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EC2 預留執行個體租用過期
**Description**
排定在未來 30 天內過期,或已在過去 30 天內過期的 Amazon EC2 預留執行個體檢查。
預留執行個體不會自動續約。您可以繼續使用保留所涵蓋的 Amazon EC2 執行個體而無須中斷,但需支付依隨需費率計費的費用。新的預留執行個體可以具有與過期參數相同的參數,也可以購買具有不同參數的預留執行個體。
預估每月節省成本是在使用相同執行個體類型的情況下,使用隨需和預留執行個體費率間的差異。
**檢查 ID**
`1e93e4c0b5`
**警示條件**
+ 黃色:預留執行個體的租賃將在 30 天後到期。
+ 黃色:預留執行個體的租賃已在 30 天前到期。
**建議的動作**
請考慮購買新的預留執行個體來取代即將到期的預留執行個體。如需詳細資訊,請參閱[如何購買預留執行個體](https://aws.amazon.com/ec2/purchasing-options/reserved-instances/buyer/)和[購買預留執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-concepts-buying.html)。
**其他資源**
+ [預留執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts-on-demand-reserved-instances.html)
+ [執行個體類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html)
**報告欄位**
+ 狀態
+ 區域
+ 執行個體類型
+ 平台
+ 執行個體計數
+ 目前每月成本
+ 預估每月節省成本
+ 到期日期
+ 預留執行個體 ID
+ Reason
## Amazon EC2 預留執行個體最佳化
**Description**
使用 的重要部分 AWS 包括平衡預留執行個體 (RI) 購買與隨需執行個體用量。此檢查提供建議,說明哪些 RI 有助於降低使用隨需執行個體所產生的成本。
我們會分析過去 30 天內的隨需用量,用於建立這些建議。接著我們將用量分類為符合資格的保留類別。我們會在產生的用量類別中模擬每個保留組合,藉此識別每種 RI 類別的建議購買數量。這個模擬和最佳化過程讓我們能最大限度地節省您的成本。此檢查涵蓋以標準預留執行個體為基礎的建議,並提供部分預付款選項。
此檢查不適用於合併帳單的連結帳戶。此檢查的建議僅適用於付款帳戶。
**檢查 ID**
`cX3c2R1chu`
**警示條件**
黃色:最佳化部分預付預留執行個體的使用有助於降低成本。
**建議的動作**
請參閱 [Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) 頁面以取得更詳細的自訂建議。此外,請參閱[購買指南](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html#ri-market-buying-guide)了解如何購買預留執行個體以及可用的選項。
**其他資源**
+ 您可以在[此處](https://aws.amazon.com/ec2/pricing/reserved-instances/)找到有關預留執行個體及其如何為您節省成本的資訊。
+ 如需有關此建議的詳細資訊,請參閱《 Trusted Advisor 常見問題》中的[預留執行個體最佳化檢查問題](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/faqs/#Reserved_Instance_Optimization_Check_Questions)。
**報告欄位**
+ 區域
+ 執行個體類型
+ 平台
+ 建議購買的預留執行個體數量
+ 預期的預留執行個體平均使用率
+ 依建議操作後預估可節省的成本 (每月)
+ 預付預留執行個體成本
+ 預估預留執行個體成本 (每月)
+ 依建議購買預留執行個體後的預估隨需成本 (每月)
+ 預估實現收支平衡的時間 (月)
+ 回顧期間 (天)
+ 期限 (年)
## 未設定生命週期政策的 Amazon ECR 儲存庫
**Description**
檢查私有 Amazon ECR 儲存庫是否至少設定了一個生命週期政策。生命週期政策可讓您定義一組規則,以自動清理舊的或未使用的容器映像。這可讓您控制映像的生命週期管理、讓 Amazon ECR 儲存庫更有條理,並有助於降低整體儲存成本。
如需詳細資訊,請參閱[生命週期政策](https://docs.aws.amazon.com/AmazonECR/latest/userguide/LifecyclePolicies.html)。
**檢查 ID**
`c18d2gz128`
**來源**
`AWS Config Managed Rule: ecr-private-lifecycle-policy-configured`
**警示條件**
黃色:Amazon ECR 私有儲存庫沒有任何已設定的生命週期政策。
**建議的動作**
請考慮為您的私有 Amazon ECR 儲存庫建立至少一個生命週期政策。
如需詳細資訊,請參閱[建立生命週期政策](https://docs.aws.amazon.com/AmazonECR/latest/userguide/lp_creation.html)。
**其他資源**
+ [生命週期政策](https://docs.aws.amazon.com/AmazonECR/latest/userguide/LifecyclePolicies.html)。
+ [建立生命週期政策](https://docs.aws.amazon.com/AmazonECR/latest/userguide/lp_creation.html)。
+ [生命週期政策範例](https://docs.aws.amazon.com/AmazonECR/latest/userguide/lifecycle_policy_examples.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon ElastiCache 預留節點購買建議
**Description**
檢查您的 Amazon ElastiCache 使用模式,以提供透過預留節點購買節省潛在成本的建議。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr13n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有 Cost Optimization Hub for Amazon ElastiCache 所識別的成本節省動作。
**建議的動作**
考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html) 如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [預留節點](https://docs.aws.amazon.com/AmazonElastiCache/latest/dg/CacheNodes.Reserved.html)
+ [存取保留建議](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [Amazon ElastiCache 預留節點](https://aws.amazon.com/elasticache/reserved-cache-nodes/)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## AWS Fargate Amazon ECS 的成本最佳化建議
**Description**
檢查您的 AWS Fargate 是否有 Amazon ECS 組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr06n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
上的黃色:Amazon ECS 服務 AWS Fargate 具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [在 Fargate 建議上檢視 Amazon ECS 服務](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-ecs-recommendations.html)
+ [Fargate 上 Amazon ECS 服務的指標](https://docs.aws.amazon.com/compute-optimizer/latest/ug/ecs-fargate-metrics-analyzed.html)
+ [AWS Fargate 適用於 Amazon ECS 的](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html#fargate-task-sizing)
+ [使用主控台更新 Amazon ECS 服務](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon MemoryDB 預留節點購買建議
**Description**
檢查您的 Amazon MemoryDB 使用模式,以提供透過預留節點購買節省潛在成本的建議。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr16n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有 Cost Optimization Hub for MemoryDB 所識別的成本節省動作。
**建議的動作**
考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [MemoryDB 預留節點](https://docs.aws.amazon.com/memorydb/latest/devguide/nodes.reservednodes.html)
+ [存取保留建議](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [使用預留節點](https://docs.aws.amazon.com/memorydb/latest/devguide/reserved-nodes-working-with.html)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon OpenSearch Service 預留執行個體購買建議
**Description**
檢查您的 Amazon OpenSearch Service 使用模式,以提供透過預留執行個體 (RI) 購買節省潛在成本的建議。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr14n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有 Cost Optimization Hub for Amazon OpenSearch Service 所識別的成本節省動作。
**建議的動作**
考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [Amazon OpenSearch Service 中的預留執行個體](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ri.html)
+ [存取保留建議](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [購買預留執行個體 (AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ri-cli.html)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## 資料庫執行個體的 Amazon RDS 成本最佳化建議
**Description**
檢查您的 Amazon RDS 資料庫執行個體組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr03n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:RDS 資料庫執行個體具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 RDS 資料庫建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-rds-recommendations.html.html)
+ [RDS 資料庫指標](https://docs.aws.amazon.com/compute-optimizer/latest/ug/rds-metrics-analyzed.html)
+ [資料庫執行個體類別](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.DBInstanceClass.html)
+ [修改 Amazon RDS 資料庫執行個體 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## 資料庫執行個體儲存體的 Amazon RDS 成本最佳化建議
**Description**
檢查您的 Amazon RDS 資料庫執行個體儲存組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr04n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:RDS 資料庫儲存體具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 RDS 資料庫建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-rds-recommendations.html)
+ [Amazon RDS 資料庫執行個體儲存體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Storage.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon RDS 閒置資料庫執行個體
**Description**
這是舊版檢查。建議使用提供其他自訂建議的新檢查 (檢查 ID:[c1z7kmr03n](#rds-cost-opt-for-db-instances))。
針對任何疑似閒置的資料庫 (DB) 執行個體,檢查 Amazon Relational Database Service (Amazon RDS) 的組態。
如果資料庫執行個體長時間沒有連線,您可以刪除執行個體以降低成本。如果執行個體在過去 7 天內沒有連線,系統便會將資料庫執行個體視為閒置。如果執行個體上的資料需要持久性儲存,您可以使用成本較低的選項,例如拍攝和保留資料庫快照。手動建立的資料庫快照會保留到您刪除為止。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`Ti39halfu8`
**警示條件**
黃色:作用中資料庫執行個體在過去 7 天內未有連線。
**建議的動作**
請考慮建立閒置資料庫執行個體的快照,然後停止或刪除該資料庫執行個體。停止資料庫執行個體可免除其部分成本,但不會免除儲存成本。已停止的執行個體會在設定的保留期間內保留所有自動備份。與刪除執行個體並僅保留最終快照相比,停止資料庫執行個體通常會產生額外費用。請參閱[暫時停止 Amazon RDS 執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_StopInstance.html)和[刪除具有最終快照的資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_DeleteInstance.html)。
**其他資源**
[備份與恢復](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_CommonTasks.BackupRestore.html)
**報告欄位**
+ 區域
+ 資料庫執行個體名稱
+ Multi-AZ
+ 執行個體類型
+ 已佈建的儲存空間 (GB)
+ 自上次連線以來的天數
+ 預估每月節省成本 (隨需)
## Amazon RDS 預留執行個體購買建議
**Description**
檢查您的 Amazon RDS 使用模式,以提供透過預留執行個體 (RI) 購買節省潛在成本的建議。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr11n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:EBS 磁碟區具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [Amazon RDS 的預留資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithReservedDBInstances.html)
+ [存取保留建議](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [購買 Amazon RDS 的預留資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithReservedDBInstances.WorkingWith.html)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon Redshift 預留節點購買建議
**Description**
檢查您的 Amazon Redshift 使用模式,以提供透過預留節點購買節省潛在成本的建議。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr12n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有由 Cost Optimization Hub for Amazon Redshift 識別的成本節省動作。
**建議的動作**
請考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [預留節點](https://docs.aws.amazon.com/redshift/latest/mgmt/purchase-reserved-node-instance.html)
+ [存取保留建議](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [購買預留節點](https://docs.aws.amazon.com/redshift/latest/mgmt/purchase-reserved-node-offering-console.html)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon Route 53 延遲資源記錄集
**Description**
檢查是否有設定效率低下的 Amazon Route 53 延遲記錄集。
若要允許 Amazon Route 53 將查詢路由到網路延遲最低 AWS 區域 的 ,您應該為不同區域中的特定網域名稱 (例如 example.com) 建立延遲資源紀錄集。如果您只為網域名稱建立一個延遲資源記錄集,則所有查詢都會路由到一個區域,而且您需為以延遲為基礎的路由額外付費,而不會獲得好處。
AWS 服務建立的託管區域不會出現在您的檢查結果中。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`51fC20e7I2`
**警示條件**
黃色:特定網域名稱僅設定有一個延遲資源記錄集。
**建議的動作**
如果您在多個區域擁有資源,請務必為每個區域定義一個延遲資源記錄集。請參閱[以延遲為基礎的路由](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html#routing-policy-latency)。
如果您只有一個資源 AWS 區域,請考慮在多個資源中建立資源, AWS 區域 並為每個資源定義延遲資源紀錄集;請參閱[以延遲為基礎的路由](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html#routing-policy-latency)。
如果您不想使用多個 AWS 區域,您應該使用簡單的資源紀錄集。請參閱[使用資源記錄集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)。
**其他資源**
+ 《[Amazon Route 53 開發人員指南](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/)》
+ [Amazon Route 53 定價](https://aws.amazon.com/route53/pricing/)
**報告欄位**
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 資源記錄集類型
## 已設定 Amazon S3 儲存貯體生命週期政策
**Description**
檢查 Amazon S3 儲存貯體是否設定了生命週期政策。Amazon S3 生命週期政策可確保儲存貯體內的 Amazon S3 物件在其整個生命週期內以具成本效益的方式儲存。對於滿足資料保留和儲存的法規要求而言,這一點非常重要。政策組態是一組定義由 Amazon S3 服務套用至物件群組之動作的規則。生命週期政策可讓您自動將物件轉換為成本較低的儲存類別,或隨著這些物件效齡增加而予以刪除。例如,您可以在建立物件的 30 天後將物件轉換為 Amazon S3 Standard-IA 儲存體,或在 1 年後轉換為 Amazon Glacier。
您也可以定義物件到期時間,讓 Amazon S3 在一段時間後代表您刪除物件。
您可以使用 AWS Config 規則中的參數來調整檢查組態
如需詳細資訊,請參閱[管理儲存生命週期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz100`
**來源**
`AWS Config Managed Rule: s3-lifecycle-policy-check`
**警示條件**
黃色:Amazon S3 儲存貯體沒有已設定的生命週期政策。
**建議的動作**
確保您在 Amazon S3 儲存貯體中設定了生命週期政策。
如果您的組織未準備保留政策,請考慮使用 Amazon S3 Intelligent-Tiering 來最佳化成本。
如需如何定義 Amazon S3 生命週期政策的相關資訊,請參閱[在儲存貯體上設定生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)。
如需 Amazon S3 Intelligent-Tiering 的相關資訊,請參閱 [Amazon S3 Intelligent-Tiering 儲存類別](https://aws.amazon.com/s3/storage-classes/intelligent-tiering/)
**其他資源**
[設定儲存貯體的生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)
[S3 生命週期組態範例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/lifecycle-configuration-examples.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
## Amazon S3 未完成分段上傳中止組態
**Description**
檢查每個 Amazon S3 儲存貯體是否已設定生命週期規則,以中止在 7 天後未完成的分段上傳。建議使用生命週期規則來中止這些不完整的上傳,並刪除相關聯的儲存。
此檢查的結果每天會自動重新整理一次或多次,不允許重新整理請求。變更可能需要幾個小時才會顯示。變更可能需要幾個小時才會顯示。對於商業、Enterprise On-Ramp 或 Enterprise Support 客戶,您可以使用 `BatchUpdateRecommendationResourceExclusion` API 從 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1cj39rr6v`
**警示條件**
黃色:生命週期組態儲存貯體不包含生命週期規則,以中止在 7 天後未完成的所有分段上傳。
**建議的動作**
檢閱沒有生命週期規則的儲存貯體生命週期組態,該規則會清除所有未完成的分段上傳。24 小時後未完成的上傳不太可能完成。[按一下此處](https://docs.aws.amazon.com/AmazonS3/latest/userguide/lifecycle-configuration-examples.html#lc-expire-mpu)以遵循建立生命週期規則的指示。建議將此套用至儲存貯體中的所有物件。如果您需要將其他生命週期動作套用至儲存貯體中的所選物件,則可以有多個具有不同篩選條件的規則。如需詳細資訊,請檢查儲存鏡頭儀表板或呼叫 ListMultipartUpload API。
**其他資源**
[建立生命週期組態 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html#lifecycle-config-overview-how)
[探索和刪除不完整的分段上傳以降低 Amazon S3 成本](https://aws.amazon.com/blogs/aws-cloud-financial-management/discovering-and-deleting-incomplete-multipart-uploads-to-lower-amazon-s3-costs/)
[使用分段上傳上傳和複製物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html)
[生命週期組態元素](https://docs.aws.amazon.com/AmazonS3/latest/userguide/intro-lifecycle-rules.html)
[描述生命週期動作的元素](https://docs.aws.amazon.com/AmazonS3/latest/userguide/intro-lifecycle-rules.html#intro-lifecycle-rules-actions)
[中止分段上傳的生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/lifecycle-configuration-examples.html#lc-expire-mpu)
**報告欄位**
+ 狀態
+ 區域
+ 儲存貯體名稱
+ 儲存貯體 ARN
+ 刪除不完整 MPU 的生命週期規則
+ 啟動後的天數
+ 上次更新時間
## 已啟用版本功能的 Amazon S3 儲存貯體 (未設定生命週期政策)
**Description**
檢查已啟用版本功能的 Amazon S3 儲存貯體是否設定了生命週期政策。
如需詳細資訊,請參閱[管理儲存生命週期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。
您可以在 AWS Config 規則中使用 **bucketNames** 參數來指定要檢查的儲存貯體名稱。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz171`
**來源**
`AWS Config Managed Rule: s3-version-lifecycle-policy-check`
**警示條件**
黃色:已啟用版本功能的 Amazon S3 儲存貯體沒有已設定的生命週期政策。
**建議的動作**
為 Amazon S3 儲存貯體設定生命週期政策以管理您的物件,使其在整個生命週期之中能以更符合成本效益的方式儲存。
如需詳細資訊,請參閱[在儲存貯體上設定生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)。
**其他資源**
[管理儲存生命週期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)
[設定儲存貯體的生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Lambda 函數的成本最佳化建議
**Description**
檢查您的 AWS Lambda 組態和用量模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr05n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:Lambda 函數具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 Lambda 函數建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-lambda-recommendations.html)
+ [Lambda 函數指標](https://docs.aws.amazon.com/compute-optimizer/latest/ug/lambda-metrics-analyzed.html)
+ [設定 AWS Lambda 函數](https://docs.aws.amazon.com/lambda/latest/dg/lambda-functions.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## AWS Lambda 具有過多逾時的 函數
**Description**
檢查是否有 Lambda 函數具有高逾時率而可能導致高成本。
Lambda 費用是根據您函數的執行時間和請求數量計費。函數逾時導致的錯誤可能會引發重試。重試函數會產生額外的請求和執行時間費用。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`L4dfs2Q3C3`
**警示條件**
黃色:過去 7 天內,有任何一天由於逾時導致超過 10% 的叫用以錯誤結束的函數。
**建議的動作**
檢查函數記錄和 X-Ray 追蹤,找出函數高持續時間的貢獻來源。在相關部分 (例如 API 呼叫或資料庫連線之前或之後) 在程式碼中實作記錄。預設情況下, AWS SDK 用戶端逾時可能比設定的函數持續時間更長。調整 API 和 SDK 連線用戶端,以便在函數逾時內重試或失敗。如果預期的持續時間長於設定的逾時,您可以增加函數的逾時設定時長。如需詳細資訊,請參閱[監控與疑難排解 Lambda 應用程式](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html)。
**其他資源**
+ [監控與疑難排解 Lambda 應用程式](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html)
+ [Lambda 函數重試逾時 SDK](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-retry-timeout-sdk/)
+ [AWS Lambda 搭配 使用 AWS X-Ray](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html)
+ [存取 的 Amazon CloudWatch logs AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-cloudwatchlogs.html)
+ [的錯誤處理器範例應用程式 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/samples-errorprocessor.html)
**報告欄位**
+ 狀態
+ 區域
+ 函數 ARN
+ 每日逾時率上限
+ 達到每日逾時率上限的日期
+ 平均每日逾時率
+ 函數逾時設定 (毫秒)
+ 每日損失的運算成本
+ 平均每日叫用次數
+ 當日叫用次數
+ 當日逾時率
+ 上次更新時間
## AWS Lambda 具有高錯誤率的 函數
**Description**
檢查是否有 Lambda 函數具有高錯誤率而可能導致成本較高。
Lambda 費用是根據您函數的請求數量和彙總執行時間計費。函數錯誤可能會導致重試,而產生額外費用。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`L4dfs2Q3C2`
**警示條件**
黃色:過去 7 天內,有任何一天有超過 10% 的叫用以錯誤結束的函數。
**建議的動作**
請考慮遵循下列指南,以減少錯誤。函數錯誤包含函式程式碼所傳回的錯誤,以及函式執行階段所傳回的錯誤。
為了協助您疑難排解 Lambda 錯誤,Lambda 會與 Amazon CloudWatch 和 等服務整合 AWS X-Ray。您可以組合使用日誌、指標、警示及 X-Ray 追蹤,快速偵測及識別您的函數程式碼、API 或其他支援您應用程式的資源中的問題。如需詳細資訊,請參閱[監控與疑難排解 Lambda 應用程式](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html)。
如需有關使用特定執行階段處理錯誤的詳細資訊,請參閱 [AWS Lambda中錯誤處理和自動重試](https://docs.aws.amazon.com/lambda/latest/dg/invocation-retries.html)。
如需其他疑難排解,請參閱[針對 Lambda 中的問題進行疑難排解](https://docs.aws.amazon.com/lambda/latest/dg/lambda-troubleshooting.html)。
您也可以從 AWS Lambda 合作夥伴提供的監控和可觀測性工具生態系統中進行選擇。如需詳細資訊,請參閱 [AWS Lambda 合作夥伴](https://aws.amazon.com/lambda/partners/?partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc)。
**其他資源**
+ [AWS Lambda中錯誤處理和自動重試](https://docs.aws.amazon.com/lambda/latest/dg/invocation-retries.html)
+ [監控與疑難排解 Lambda 應用程式](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html)
+ [Lambda 函數重試逾時 SDK](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-retry-timeout-sdk/)
+ [針對 Lambda 中的問題進行疑難排解](https://docs.aws.amazon.com/lambda/latest/dg/lambda-troubleshooting.html)
+ [API 叫用錯誤](https://docs.aws.amazon.com/lambda/latest/dg/API_Invoke.html#API_Invoke_Errors)
+ [的錯誤處理器範例應用程式 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/samples-errorprocessor.html)
**報告欄位**
+ 狀態
+ 區域
+ 函數 ARN
+ 每日錯誤率上限
+ 達到最大錯誤率的日期
+ 平均每日錯誤率
+ 每日損失的運算成本
+ 當日叫用次數
+ 當日錯誤率
+ \$1平均每日調用
+ 上次更新時間
## AWS Lambda 記憶體大小過度佈建的函數
**Description**
這是舊版檢查。建議使用提供其他自訂建議的新檢查 (檢查 ID:[c1z7kmr05n](#lambda-cost-opt-for-functions))。
檢查在回顧期間至少調用一次的 AWS Lambda 函數。此檢查會提醒您任何 Lambda 函數在記憶體大小過度佈建的情形。如果您的 Lambda 函數在記憶體大小過度佈建,則需要為未使用的資源付費。雖然某些案例的本質可能會導致使用率低,但通常可以透過變更 Lambda 函數的記憶體組態來降低成本。預估每月節省成本是根據 Lambda 函數的目前使用率計算得出。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`COr6dfpM05`
**警示條件**
黃色:在回顧期間記憶體大小過度佈建的 Lambda 函數。若要判斷 Lambda 函數是否過度佈建,我們會考慮該函數的所有預設 CloudWatch 指標。用於識別記憶體大小過度佈建的 Lambda 函數的演算法是依據 AWS 最佳實務。找出新的模式時,該演算法會更新。
**建議的動作**
請考慮縮減 Lambda 函數的記憶體大小。
如需詳細資訊,請參閱[選擇加入 AWS Compute Optimizer Trusted Advisor 檢查](compute-optimizer-with-trusted-advisor.md)。
**報告欄位**
+ 狀態
+ 區域
+ 函數名稱
+ 函數版本
+ 記憶體大小 (MB)
+ 建議的記憶體大小 (MB)
+ 回顧期間 (天)
+ 成本節省機會 (%)
+ 預估每月節省成本
+ 預估每月節省成本貨幣
+ 上次更新時間
## AWS Savings Plans 的運算購買建議
**Description**
檢查 Amazon EC2 的 AWS 運算用量模式 AWS Fargate,AWS Lambda 並提供 Savings Plans 購買建議。透過這些建議,您可以承諾每小時以美元為單位的一致用量,以換取折扣費率。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr09n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有由 Cost Optimization Hub 為運算資源識別的成本節省動作。
**建議的動作**
請考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [什麼是 Savings Plans?](https://docs.aws.amazon.com/savingsplans/latest/userguide/what-is-savings-plans.html)
+ [Savings Plans 類型](https://docs.aws.amazon.com/savingsplans/latest/userguide/plan-types.html)
+ [購買 Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-purchase.html)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon SageMaker AI 的AWS Savings Plans 購買建議
**Description**
檢查您的 Amazon SageMaker AI 使用情況,並提供 Savings Plans 購買建議。透過這些建議,您可以承諾每小時以美元為單位的一致用量,以換取折扣費率。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr08n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有由 Cost Optimization Hub for Amazon SageMaker AI 識別的成本節省動作。
**建議的動作**
請考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [什麼是 Savings Plans?](https://docs.aws.amazon.com/savingsplans/latest/userguide/what-is-savings-plans.html)
+ [Savings Plans 類型](https://docs.aws.amazon.com/savingsplans/latest/userguide/plan-types.html)
+ [購買 Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-purchase.html)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## AWS Well-Architected 成本最佳化的高風險問題
**Description**
檢查成本最佳化支柱中,工作負載是否有高風險問題 (HRI)。這項檢查是以您的 AWS-Well Architected 檢閱為基礎。您的檢查結果取決於您是否使用 AWS Well-Architected 完成工作負載評估。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Wxdfp4B1L1`
**警示條件**
+ 紅色:在 AWS Well-Architected 的成本最佳化支柱中發現至少一個作用中的高風險問題。
+ 綠色:在 AWS Well-Architected 的成本最佳化支柱中未偵測到作用中的高風險問題。
**建議的動作**
AWS Well-Architected 在工作負載評估期間偵測到高風險問題。解決這些問題,可能有機會降低風險和節省成本。登入 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具,檢閱答案並採取行動,解決待處理的問題。
**報告欄位**
+ 狀態
+ 區域
+ 工作負載 ARN
+ 工作負載名稱
+ 檢閱者姓名
+ 工作負載類型
+ 工作負載開始日期
+ 工作負載上次修改日期
+ 成本最佳化方面已識別的高風險問題數量
+ 成本最佳化方面已解決的高風險問題數量
+ 成本最佳化方面已回答的問題數量
+ 成本最佳化支柱中的問題總數
+ 上次更新時間
## 閒置負載平衡器
**Description**
檢查 Elastic Load Balancing 組態是否有閒置的負載平衡器。
任何已設定的負載平衡器都會累積費用。如果負載平衡器沒有相關聯的後端執行個體,或者網路流量受到嚴重限制,便無法有效使用負載平衡器。這項檢查目前只會檢查 ELB 服務中的 Classic Load Balancer 類型。不包括其他 ELB 類型 (Application Load Balancer、Network Load Balancer)。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`hjLMh88uM8`
**警示條件**
+ 黃色:負載平衡器沒有作用中的後端執行個體。
+ 黃色:負載平衡器沒有運作良好的後端執行個體。
+ 黃色:在過去 7 天內,負載平衡器每天的請求數量少於 100 個。
**建議的動作**
如果您的負載平衡器沒有作用中的後端執行個體,請考慮註冊執行個體或刪除您的負載平衡器。請參閱[向 Load Balancer 註冊 Amazon EC2 執行個體](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/US_DeReg_Reg_Instances.html#RegisteringInstances)或[刪除負載平衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-getting-started.html#delete-load-balancer)。
如果您的負載平衡器沒有運作良好的後端執行個體,請參閱[疑難排解 Elastic Load Balancing:運作狀態檢查組態](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ts-elb-healthcheck.html)。
如果您的負載平衡器請求數量較低,請考慮刪除負載平衡器。請參閱[刪除負載平衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-getting-started.html#delete-load-balancer)。
**其他資源**
+ [管理負載平衡器](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/UserScenarios.html)
+ [疑難排解彈性負載平衡](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-troubleshooting.html)
**報告欄位**
+ 區域
+ 負載平衡器名稱
+ Reason
+ 預估每月節省成本
## 閒置 NAT 閘道
**Description**
檢查您的 NAT 閘道組態和使用模式,以識別可能是成本最佳化候選項目的閒置或未充分利用 NAT 閘道。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
**檢查 ID**
`c1z7kmr18n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:NAT 閘道具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
考慮實作建議來刪除閒置 NAT 閘道。如需實作此建議的詳細資訊,請參閱 AWS Cloud Financial Management [Service Cost Optimization 手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [檢視閒置資源建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-idle-recommendations.html)
+ [使用 NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-working-with.html)
+ [NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## 非作用中 AWS Network Firewall
**Description**
檢查您的 AWS Network Firewall 端點,並在 Network Firewall 顯示為非作用中時提醒您。
如果 Network Firewall 的所有端點在過去 30 天內都未處理任何資料,則會將其視為非作用中。Network Firewall 端點會產生每小時費用。此檢查會提醒 Network Firewall 過去 30 天內未處理任何資料。最佳實務是移除未使用的網路防火牆或更新您的架構。
**檢查 ID**
`c2vlfg0bfw`
**警示條件**
+ 黃色:Network Firewall 在過去 30 天內處理 0 個位元組。
+ 綠色:Network Firewall 在過去 30 天內處理超過 0 個位元組。
**建議的動作**
如果在過去 30 天內未使用 Network Firewall,請考慮刪除 Network Firewall。
如果 Transit Gateway 用於 VPC 間通訊,請考慮在集中式網路檢查架構中部署網路防火牆。這可以減少非作用中網路防火牆的每小時費用。
**其他資源**
[AWS Network Firewall 定價](https://aws.amazon.com/network-firewall/pricing/)
[使用 檢查部署模型 AWS Network Firewall](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/inspection-deployment-models-with-AWS-network-firewall-ra.pdf)
**報告欄位**
+ 狀態
+ 區域
+ Network Firewall Arn
+ VPC ID
+ 子網路
+ TotalBytesProcessed
+ 上次更新時間
## 非作用中 VPC 介面端點
**Description**
檢查您的 VPC 介面端點,並在端點似乎處於非作用中狀態時提醒您。如果 VPC 介面端點在過去 30 天內未處理任何資料,則會將其視為非作用中。VPC 介面端點有每小時費用和資料處理成本。此檢查會提醒您有關 VPC 介面端點,其中包含過去 30 天內處理 0 個資料。最佳實務是移除未使用的 VPC 介面端點或更新您的架構。
**檢查 ID**
`c2vlfg0jp6`
**警示條件**
+ 黃色:VPC 介面端點在過去 30 天內已處理 0 個位元組。
+ 綠色:VPC 介面端點在過去 30 天內已處理超過 0 個位元組
**建議的動作**
如果在過去 30 天內未使用 VPC 介面端點,請考慮刪除 VPC 介面端點。
如果 Transit Gateway 用於 VPC 間通訊,請考慮在集中式架構中部署 VPC 介面端點,以減少非作用中 VPC 介面端點的每小時費用。
**其他資源**
+ [AWS PrivateLink 定價](https://aws.amazon.com/privatelink/pricing/)
+ [集中存取 VPC 私有端點](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html)
**報告欄位**
+ 狀態
+ 區域
+ VPC 端點 ID
+ VPC ID
+ 子網路 ID
+ 服務名稱
+ TotalBytesProcessed
+ 上次更新時間
## 非作用中閘道Load Balancer端點
**Description**
檢查您的 Gateway Load Balancer 端點,並在它們似乎處於非作用中狀態時發出警告。如果 Gateway Load Balancer 端點在過去 30 天內未處理任何資料,則視為未充分利用。Gateway Load Balancer 端點有每小時費用和資料處理費用。此檢查會提醒您閘道Load Balancer端點,其中包含過去 30 天內處理 0 個資料。建議您移除未使用的 Gateway Load Balancer 端點,或更新您的架構。
**檢查 ID**
`c2vlfg0k35`
**警示條件**
+ 黃色:Gateway Load Balancer 端點在過去 30 天內處理 0 個位元組
+ 綠色:Gateway Load Balancer 端點在過去 30 天內處理超過 0 個位元組
**建議的動作**
如果閘道Load Balancer端點在過去 30 天內未使用,請考慮刪除 VPC 端點。
如果 Transit Gateway 用於 VPC 間通訊,請考慮在集中式網路檢查架構中部署 Gateway Load Balancer 端點,以減少非作用中 Gateway Load Balancer 端點的每小時費用。
**其他資源**
[AWS PrivateLink 定價](https://aws.amazon.com/vpc/pricing/)
[使用 AWS Gateway Load Balancer 和 的集中式檢查架構 AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway)
**報告欄位**
+ 狀態
+ 區域
+ VPC 端點 ID
+ VPC ID
+ 子網路 ID
+ 服務名稱
+ TotalBytesProcessed
+ 上次更新時間
## 非作用中 NAT 閘道
**Description**
檢查您的 NAT 閘道是否有非作用中閘道。如果過去 30 天內未處理任何資料 (0 位元組),NAT 閘道會被視為非作用中。NAT Gateway 會產生每小時費用和資料處理費用。
**檢查 ID**
`c2vlfg022t`
**警示條件**
+ 黃色:NAT 閘道在過去 30 天內處理了 0 個位元組
+ 綠色:NAT 閘道在過去 30 天內處理超過 0 個位元組
**建議的動作**
請考慮刪除過去 30 天內未使用,且在 VPC 外部網路存取不需要的任何 NAT 閘道。
如果 Transit Gateway 用於 VPC 間通訊,請考慮部署集中式 NAT Gateway 以輸出至網際網路架構。這可以降低非作用中 NAT 閘道的每小時成本。
**其他資源**
[NAT Gateway 定價](https://aws.amazon.com/vpc/pricing/)
[集中輸出至網際網路](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-egress-to-internet.html)
**報告欄位**
+ 狀態
+ 區域
+ NAT 閘道 ID
+ 子網路 ID
+ VPC ID
+ TotalBytesFromDest
+ TotalBytesFromSrc
+ TotalBytes
+ 上次更新時間
## 低使用率 Amazon EC2 執行個體
**Description**
這是舊版檢查。建議使用提供其他自訂建議的新檢查 (檢查 ID:[c1z7kmr00n](#ec2-cost-opt-for-instances))。
檢查過去 14 天內在任何時間執行的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。如果每日 CPU 使用率為 10% 或以下,且網路輸入/輸出為 5 MB 或以下至少 4 天,此檢查就會發出提醒。
執行中的執行個體會產生以小時計的使用費。雖然某些案例的本質可能會導致使用率低,但通常可以透過管理執行個體的數量和大小來降低成本。
預估每月節省成本是根據隨需執行個體的目前使用率以及執行個體可能利用率過低的預估天數計算得出。如果您使用預留執行個體或 Spot 執行個體,或是當執行個體一整天都沒有執行,實際節省的成本將有所不同。若要取得每日使用率資料,請下載此檢查的報告。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`Qch7DwouX1`
**警示條件**
黃色:在過去 14 天中,有執行個體至少 4 天每日平均 CPU 使用率為 10% 或更低,網路 I/O 量為 5 MB 或更少。
**建議的動作**
請考慮停止或終止使用率低的執行個體,或使用 Auto Scaling 來調整執行個體數量。如需詳細資訊,請參閱[停止和啟動執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html)、[終止您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html),以及 [Auto Scaling 是什麼?](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/WhatIsAutoScaling.html)
**其他資源**
+ [監控 Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-monitoring.html)
+ [執行個體中繼資料與使用者資料](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AESDG-chapter-instancedata.html)
+ 《[Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)》
+ 《[Auto Scaling 開發者指南](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/WhatIsAutoScaling.html)》
**報告欄位**
+ 區域/可用區域
+ 執行個體 ID
+ 執行個體名稱
+ 執行個體類型
+ 預估每月節省成本
+ 14 天 CPU 平均使用率
+ 14 天平均網路 I/O 量
+ 使用率低的天數
## 無關聯彈性 IP 地址
**Description**
檢查與執行中 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體無關聯的彈性 IP 地址 (EIP)。
EIP 是針對動態雲端運算設計的靜態 IP 地址。與傳統靜態 IP 地址不同,EIP 會透過將公有 IP 地址重新映射至帳戶中的另一個執行個體,藉此遮罩執行個體或可用區域的故障。針對與執行中的執行個體無關聯的 EIP,會收取名目費用。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`Z4AUBRNSmz`
**警示條件**
黃色:已分配的彈性 IP 地址 (EIP) 未與執行中的 Amazon EC2 執行個體建立關聯。
**建議的動作**
將 EIP 與執行中的作用中執行個體建立關聯,或釋出沒有關聯的 EIP。如需詳細資訊,請參閱[建立彈性 IP 地址與其他執行中的執行個體的關聯](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating-different)和[釋出彈性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing)。
**其他資源**
[彈性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html)
**報告欄位**
+ 區域
+ IP Address (IP 地址)
## 未充分利用的 Amazon EBS 磁碟區
**Description**
檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區組態,並在磁碟區利用率似乎過低時發出警告。
磁碟區建立時會開始計費。如果磁碟區在一段時間內維持未連接狀態或寫入活動非常少 (不包括開機磁碟區),表示該磁碟區利用率過低。建議您移除利用率過低的磁碟區以降低成本。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`DAvU99Dc4C`
**警示條件**
黃色:在過去 7 天內,磁碟區未連接或磁碟區每天的 IOPS 數量少於 1 個。
**建議的動作**
請考慮建立快照並刪除磁碟區以降低成本。如需詳細資訊,請參閱[建立 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html)和[刪除 Amazon EBS 磁碟區](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-deleting-volume.html)。
**其他資源**
+ [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)
+ [監控您的磁碟區狀態](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-volume-status.html)
**報告欄位**
+ 區域
+ 磁碟區 ID
+ 磁碟區名稱
+ 磁碟區類型
+ 磁碟區大小
+ 每月儲存成本
+ 快照 ID
+ 快照名稱
+ 快照存在時間
**注意**
如果您選擇加入您的帳戶 AWS Compute Optimizer,我們建議您改用 Amazon EBS 過度佈建磁碟區檢查。如需詳細資訊,請參閱[選擇加入 AWS Compute Optimizer Trusted Advisor 檢查](compute-optimizer-with-trusted-advisor.md)。
## 利用率過低的 Amazon Redshift 叢集
**Description**
檢查您的 Amazon Redshift 組態是否有似乎利用率過低的叢集。
如果 Amazon Redshift 叢集長時間沒有連線,或者使用的 CPU 量很低,您可以使用成本較低的選項,例如縮小叢集或關閉叢集並拍攝最終快照。即使刪除叢集,最終快照仍會保留。
**檢查 ID**
`G31sQ1E9U`
**警示條件**
+ 黃色:在過去 7 天內,執行中的叢集沒有連線。
+ 黃色:在過去 7 天內,執行中的叢集 99% 的時間叢集平均 CPU 使用率低於 5%。
**建議的動作**
請考慮關閉叢集並建立最終快照,或縮減叢集的大小。請參閱 [Shutting Down and Deleting Clusters](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html#rs-mgmt-shutdown-delete-cluster) (關閉及刪除叢集) 和 [Resizing a Cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html#cluster-resize-intro) (調整叢集大小)。
**其他資源**
《Amazon CloudWatch 使用者指南》[https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/)
**報告欄位**
+ 狀態
+ 區域
+ 叢集
+ 執行個體類型
+ Reason
+ 預估每月節省成本
# 效能
透過檢查服務配額 (先前稱為限額) 來改善服務的效能,如此一來您便可利用佈建的輸送量、監控利用率過高的執行個體,以及偵測任何未使用的資源。
您可以針對效能類別使用下列檢查。
**Contents**
+ [為讀取工作負載佈建不足的 Amazon Aurora 資料庫叢集](#amazon-aurora-db-cluster-under-provisioned)
+ [未啟用 Amazon DynamoDB Auto Scaling](#dynamodb-auto-scaling-not-enabled)
+ [未啟用 Amazon EBS 最佳化](#ebs-optimization-not-enabled)
+ [Amazon EBS 佈建 IOPS (SSD) 磁碟區連接組態](#EBS-ProvisionedIOPSRule)
+ [Amazon EBS 佈建不足的磁碟區](#amazon-ebs-under-provisioned-volumes)
+ [Amazon EC2 Auto Scaling 群組並未與啟動範本關聯](#ec2-auto-scaling-no-launch-template)
+ [Amazon EC2 對 EBS 輸送量最佳化](#ebs-throughput-optimization)
+ [EC2 虛擬化類型為半虛擬化](#ec2-virtualization-type-is-paravirtual)
+ [Amazon ECS 記憶體硬性限制](#ecs-memory-hard-limit)
+ [Amazon EFS 輸送量模式最佳化](#amazon-efs-throughput-mode-optimization)
+ [Amazon RDS 自動清空參數已關閉](#rds-autovacuum-off)
+ [Amazon RDS 資料庫叢集最多僅支援 64 TiB 磁碟區](#rds-db-clusters-64-tib-volume)
+ [叢集中具有異質執行個體類別的 Amazon RDS 資料庫執行個體](#rds-db-instances-heterogeneous-class)
+ [叢集中具有異質執行個體大小的 Amazon RDS 資料庫執行個體](#rds-db-instances-heterogeneous-size)
+ [Amazon RDS 資料庫記憶體參數與預設不同](#rds-db-memory-parameters-diverging)
+ [Amazon RDS enable\$1indexonlyscan 參數已關閉](#rds-enable-indexonlyscan-parameter-off)
+ [Amazon RDS enable\$1indexscan 參數已關閉](#rds-enable-indexscan-parameter-off)
+ [Amazon RDS general\$1logging 參數已開啟](#rds-general-logging-on)
+ [使用低於最佳值的 Amazon RDS InnoDB\$1Change\$1Buffering 參數](#rds-innodb-parameter-less-than-optimal)
+ [Amazon RDS innodb\$1open\$1files 參數很低](#rds-innodb-open-files-parameter-low)
+ [Amazon RDS innodb\$1stats\$1persistent 參數已關閉](#rds-innodb-stats-persistent-parameter-off)
+ [針對系統容量佈建不足的 Amazon RDS 執行個體](#amazon-rds-under-provisioned-system-capacity)
+ [Amazon RDS 磁性磁碟區正在使用中](#rds-magentic-volume-in-use)
+ [未使用巨型頁面的 Amazon RDS 參數群組](#rds--parameter-groups-no-huge-pages)
+ [Amazon RDS 查詢快取參數已開啟](#rds-cache-parameter-on)
+ [需要更新 Amazon RDS 資源執行個體類別](#rds-resources-instance-class-update)
+ [需要更新 Amazon RDS 資源主要版本](#rds-resources-major-version-update)
+ [使用包含授權下終止支援引擎版本的 Amazon RDS 資源](#rds-resources-using-eos-engine)
+ [Amazon Route 53 別名資源記錄集](#r53-record-sets-alias)
+ [AWS Lambda 記憶體大小的佈建不足函數](#aws-lambda-under-provisioned-functions-memory-size)
+ [AWS Lambda 未設定並行限制的函數](#lambda-functions-without-concurrency-limit)
+ [AWS Well-Architected 效能的高風險問題](#well-architected-high-risk-issues-performance)
+ [CloudFront 備用網域名稱](#cloudfront-domain-name-check)
+ [CloudFront 內容交付最佳化](#cloudfront-content-delivery-optimization)
+ [CloudFront 標頭轉送和快取命中率](#cloudfront-forwarded-headers)
+ [高 CPU 使用率 Amazon EC2 執行個體](#high-utilization-amazon-ec2-instances)
## 為讀取工作負載佈建不足的 Amazon Aurora 資料庫叢集
**Description**
檢查 Amazon Aurora 資料庫叢集是否具有支援讀取工作負載的資源。
**檢查 ID**
` c1qf5bt038`
**警示條件**
黃色:
增加資料庫讀取:資料庫負載很高,而且資料庫讀取的資料列比寫入或更新資料列多。
**建議的動作**
我們建議您調整查詢,以減少資料庫負載,或將讀取器資料庫執行個體新增至資料庫叢集,其執行個體類別和大小與叢集中的寫入器資料庫執行個體相同。目前的組態至少有一個資料庫執行個體,其資料庫負載持續很高,主要由讀取操作造成。將另一個資料庫執行個體新增至叢集,並將讀取工作負載導向資料庫叢集唯讀端點,以分配這些操作。
**其他資源**
Aurora 資料庫叢集有一個讀取器端點用於唯讀連線。此端點使用負載平衡來管理對資料庫叢集中資料庫負載貢獻最大的查詢。讀取器端點會將這些陳述式導向 Aurora 僅供讀取複本,並減少主要執行個體的負載。讀取器端點也會擴展容量,以使用叢集中的 Aurora 僅供讀取複本數目來處理並行 SELECT 查詢。
如需詳細資訊,請參閱[將 Aurora 複本新增至資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html)和管理 [Aurora 資料庫叢集的效能和擴展](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Performance.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 增加資料庫讀取 (計數)
+ 上次偵測期間
+ 上次更新時間
## 未啟用 Amazon DynamoDB Auto Scaling
**Description**
檢查您的 Amazon DynamoDB 資料表和全域次要索引是否已啟用自動擴展或隨需功能。
Amazon DynamoDB Auto Scaling 功能會使用 Application Auto Scaling 服務代您動態調整佈建的輸送容量,藉此回應實際流量模式。這可讓資料表或全域次要索引增加其佈建的讀取與寫入容量,不需調節就以處理突然增加的流量。當工作負載降低時,Application Auto Scaling 可降低輸送量,讓您無須為未使用的佈建容量付費。
您可以使用 AWS Config 規則中的參數來調整檢查組態。
如需詳細資訊,請參閱[使用 DynamoDB Auto Scaling 自動管理輸送容量](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz136`
**來源**
AWS Config 受管規則:dynamodb-autoscaling-enabled
**警示條件**
黃色:您的 DynamoDB 資料表和/或全域次要索引未啟用自動擴展。
**建議的動作**
除非您已經有機制可根據工作負載需求來自動擴展 DynamoDB 資料表和/或全域次要索引的佈建輸送量,否則請考慮為 Amazon DynamoDB 資料表啟用自動擴展功能。
如需詳細資訊,請參閱[AWS 管理主控台 搭配 DynamoDB Auto Scalp 使用](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html) 。
**其他資源**
[使用 DynamoDB Auto Scaling 功能自動管理輸送容量](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用 Amazon EBS 最佳化
**Description**
檢查 Amazon EC2 執行個體是否已啟用 Amazon EBS 最佳化。
Amazon EBS 最佳化執行個體使用最佳化組態堆疊,並為 Amazon EBS I/O 提供額外專用容量。此最佳化透過減少 Amazon EBS I/O 與執行個體的其他流量之間的爭用情況,為您的 Amazon EBS 磁碟區提供最佳效能。
如需詳細資訊,請參閱 [Amazon EBS 最佳化執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz142`
**來源**
AWS Config 受管規則:ebs-optimized-instance
**警示條件**
黃色:Amazon EBS 最佳化未於支援的 Amazon EC2 執行個體上啟用。
**建議的動作**
在支援的執行個體上開啟 Amazon EBS 最佳化。
如需詳細資訊,請參閱[啟動時啟用 EBS 最佳化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html#enable-ebs-optimization)。
**其他資源**
[Amazon EBS 最佳化執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EBS 佈建 IOPS (SSD) 磁碟區連接組態
**Description**
檢查是否有連接到可針對 Amazon EBS 最佳化的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體之佈建 IOPS (SSD) 磁碟區尚未針對 EBS 最佳化。
Amazon Elastic Block Store (Amazon EBS) 中的佈建 IOPS (SSD) 磁碟區,設計為只有在連接到針對 EBS 最佳化的執行個體時才能提供預期的效能。
**檢查 ID**
`PPkZrjsH2q`
**警示條件**
黃色:可以進行 EBS 最佳化的 Amazon EC2 執行個體具有連接的佈建 IOPS (SSD) 磁碟區,但是該執行個體並沒有進行 EBS 最佳化。
**建議的動作**
建立 EBS 最佳化的新執行個體、分離磁碟區,然後將磁碟區重新連接至新執行個體。如需詳細資訊,請參閱 [Amazon EBS 最佳化執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSOptimized.html)及[將 Amazon EBS 磁碟區連接到執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-attaching-volume.html)。
**其他資源**
+ [Amazon EBS 磁碟區類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumeTypes.html)
+ [Amazon EBS 磁碟區效能](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSPerformance.html)
**報告欄位**
+ 狀態
+ 區域/可用區域
+ 磁碟區 ID
+ 磁碟區名稱
+ 磁碟區連接
+ 執行個體 ID
+ 執行個體類型
+ EBS 優化
## Amazon EBS 佈建不足的磁碟區
**Description**
檢查回顧期間在任何時間執行的 Amazon Elastic Block Store (Amazon EBS) 磁碟區。此檢查會提醒您注意工作負載 EBS 磁碟區佈建不足的情形。穩定的高使用率可能表示最佳化、穩定的效能,但也可能表示應用程式的資源不足。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`COr6dfpM04`
**警示條件**
黃色:回顧期間佈建不足的 EBS 磁碟區。若要判斷磁碟區是否佈建不足,我們會考慮所有預設 CloudWatch 指標 (包括 IOPS 和輸送量)。用於識別佈建不足 EBS 磁碟區的演算法遵循 AWS 最佳實務。找出新的模式時,該演算法會更新。
**建議的動作**
考慮提升高使用率磁碟區的大小。
如需詳細資訊,請參閱[選擇加入 AWS Compute Optimizer Trusted Advisor 檢查](compute-optimizer-with-trusted-advisor.md)。
**報告欄位**
+ 狀態
+ 區域
+ 磁碟區 ID
+ 磁碟區類型
+ 磁碟區大小 (GB)
+ 磁碟區基準 IOPS
+ 磁碟區高載 IOPS
+ 磁碟區高載輸送量
+ 建議的磁碟區類型
+ 建議的磁碟區大小 (GB)
+ 建議的磁碟區基準 IOPS
+ 建議的磁碟區高載 IOPS
+ 建議的磁碟區基準輸送量
+ 建議的磁碟區高載輸送量
+ 回顧期間 (天)
+ 效能風險
+ 上次更新時間
## Amazon EC2 Auto Scaling 群組並未與啟動範本關聯
**Description**
檢查 Amazon EC2 Auto Scaling 群組是否從 Amazon EC2 啟動範本建立。
使用啟動範本來建立您的 Amazon EC2 Auto Scaling 群組,以確保存取最新的 Auto Scaling 群組功能和改進項目。例如,版本控制和多個執行個體類型。
如需詳細資訊,請參閱[啟動範本](https://docs.aws.amazon.com/autoscaling/ec2/userguide/launch-templates.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz102`
**來源**
AWS Config 受管規則:autoscaling-launch-template
**警示條件**
黃色:Amazon EC2 Auto Scaling 群組並未與有效的啟動範本關聯。
**建議的動作**
使用 Amazon EC2 啟動範本來建立 Amazon EC2 Auto Scaling 群組。
如需詳細資訊,請參閱[建立 Auto Scaling 群組的啟動範本](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html)。
**其他資源**
+ [啟動範本](https://docs.aws.amazon.com/autoscaling/ec2/userguide/launch-templates.html)
+ [建立啟動範本](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-launch-template.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EC2 對 EBS 輸送量最佳化
**Description**
檢查是否有 Amazon EBS 磁碟區的效能可能受到所連接 Amazon EC2 執行個體的最大輸送量容量影響。
若要最佳化效能,應確保 Amazon EC2 執行個體的最大輸送量大於連接 EBS 磁碟區的彙總輸送量上限。此檢查會計算每個針對 EBS 最佳化的執行個體前一天每五分鐘期間的 EBS 磁碟區總輸送量 (以國際標準時間 (UTC) 為基礎),並在超過一半期間的用量超過 EC2 執行個體最大輸送量的 95% 時發出提醒。
**檢查 ID**
`Bh2xRR2FGH`
**警示條件**
黃色:在前一天 (UTC),連接至 EC2 執行個體的 EBS 磁碟區彙總輸送量 (MB/s),在 50% 以上的時間內超過執行個體與 EBS 磁碟區之間發佈輸送量的 95%。
**建議的動作**
比較 Amazon EBS 磁碟區的最大輸送量 (請參閱 [Amazon EBS 磁碟區類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumeTypes.html)) 與磁碟區所連接 Amazon EC2 執行個體的最大輸送量。請參閱[支援 EBS 最佳化的執行個體類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSOptimized.html#ebs-optimization-support)。
請考慮將磁碟區連接到支援對 Amazon EBS 更高輸送量的執行個體,以獲得最佳效能。
**其他資源**
+ [Amazon EBS 磁碟區類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumeTypes.html)
+ [Amazon EBS 最佳化的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSOptimized.html)
+ [監控您的磁碟區狀態](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-volume-status.html)
+ [將 Amazon EBS 磁碟區連接至執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-attaching-volume.html)
+ [將 Amazon EBS 磁碟區與執行個體分離](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-detaching-volume.html)
+ [刪除 Amazon EBS 磁碟區](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-deleting-volume.html)
**報告欄位**
+ 狀態
+ 區域
+ 執行個體 ID
+ 執行個體類型
+ 時間接近最大值
## EC2 虛擬化類型為半虛擬化
**Description**
檢查 Amazon EC2 執行個體的虛擬化類型是否為半虛擬化。
最佳實務是盡可能使用硬體虛擬機器 (HVM) 執行個體而非半虛擬執行個體。這是因為 HVM 虛擬化中的增強以及 HVM AMI 之 PV 驅動程式的可用性,消除了 PV 和 HVM 訪客之間以往存在的效能差距。請務必注意,目前這一代的執行個體類型不支援 PV AMI。因此,選擇 HVM 執行個體類型可提供最佳效能以及與現代硬體的相容性。
如需詳細資訊,請參閱 [Linux AMI 虛擬化類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz148`
**來源**
AWS Config 受管規則:ec2-paravirtual-instance-check
**警示條件**
黃色:Amazon EC2 執行個體的虛擬化類型為半虛擬化。
**建議的動作**
為您的 Amazon EC2 執行個體使用 HVM 虛擬化,並使用相容的執行個體類型。
如需有關選擇適當虛擬化類型的資訊,請參閱[變更執行個體類型的相容性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/resize-limitations.html)。
**其他資源**
[變更執行個體類型的相容性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/resize-limitations.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon ECS 記憶體硬性限制
**Description**
檢查 Amazon ECS 任務定義是否為其容器定義設定了記憶體限制。為任務中所有容器預訂的記憶體總量必須低於任務記憶體值。
如需詳細資訊,請參閱[容器定義](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definitions)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz176`
**來源**
AWS Config 受管規則:ecs-task-definition-memory-hard-limit
**警示條件**
黃色:未設定 Amazon ECS 記憶體硬性限制。
**建議的動作**
為您的 Amazon ECS 任務配置記憶體以避免記憶體不足。如果您的容器嘗試使用超過指定的記憶體,則會終止容器。
如需詳細資訊,請參閱[如何將記憶體分配給 Amazon ECS 中的任務?](https://repost.aws/knowledge-center/allocate-ecs-memory-tasks)。
**其他資源**
[叢集保留](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch-metrics.html#cluster_reservation)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EFS 輸送量模式最佳化
**Description**
檢查 Amazon EFS 檔案系統目前是否設定為使用爆量輸送量模式。Amazon EFS 爆量輸送量針對超過基準輸送量 (每 GiB 50 KiB/s) 的效能使用「額度」。點數耗盡後,效能會調節至基準輸送量,這可能會導致使用者速度變慢、應用程式失敗和逾時。若要進一步了解爆量模式,請參閱《*Amazon EFS 使用者指南*》中的[輸送量模式](https://docs.aws.amazon.com/efs/latest/ug/performance.html#throughput-modes)
**檢查 ID**
`c1dfprch02`
**警示條件**
+ 黃色:檔案系統正在使用爆量輸送量模式。
**建議的動作**
如果您的爆量輸送量額度偏低或耗盡,請考慮切換到佈建或彈性輸送量模式,為您的使用者和應用程式提供所需的輸送量。使用佈建輸送量,您可以設定工作負載所需的輸送量,並支付為檔案系統啟用的輸送量。如果您不確定輸送量需求,可以使用彈性輸送量模式,其中輸送量隨工作負載彈性擴展,而且您只需按傳輸的總資料量來支付使用量。您可以隨時更新檔案系統組態,以在輸送量模式之間切換。若要進一步了解輸送量定價,請參閱 [Amazon EFS 定價](https://aws.amazon.com/efs/pricing/)。您也可以使用 預估成本[AWS 定價計算工具](https://calculator.aws/#/createCalculator/EFS)。
**其他資源**
+ [爆量輸送量](https://docs.aws.amazon.com/efs/latest/ug/performance.html#bursting)
+ [Amazon EFS 定價](https://aws.amazon.com/efs/pricing/)
+ [AWS 定價計算工具](https://calculator.aws/#/createCalculator/EFS)
**報告欄位**
+ 狀態
+ 區域
+ EFS 檔案系統 ID
+ 輸送量模式
+ 上次更新時間
## Amazon RDS 自動清空參數已關閉
**Description**
資料庫執行個體的自動清空參數已關閉。關閉自動清空功能會增加資料表和索引膨脹並影響效能。
建議您在資料庫參數群組中開啟自動清空。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt025`
**警示條件**
黃色:資料庫參數群組已關閉自動清空。
**建議的動作**
在您的資料庫參數群組中開啟自動清空參數。
**其他資源**
PostgreSQL 資料庫需要定期維護,稱為清空。PostgreSQL 中的自動清空會自動執行 **VACCUUM** 和 **ANALYZE** 命令。此程序會收集資料表統計資料,並刪除無效資料列。關閉自動清空時,資料表、索引膨脹、過時統計資料的增加會影響資料庫效能。
如需詳細資訊,請參閱[了解 Amazon RDS for PostgreSQL 環境中的自動清空](https://aws.amazon.com/blogs/database/understanding-autovacuum-in-amazon-rds-for-postgresql-environments/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS 資料庫叢集最多僅支援 64 TiB 磁碟區
**Description**
您的資料庫叢集支援最多 64 TiB 的磁碟區。最新的引擎版本支援高達 128 TiB 的磁碟區。建議您將資料庫叢集的引擎版本升級至最新版本,以支援高達 128 TiB 的磁碟區。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt017`
**警示條件**
黃色:資料庫叢集僅支援高達 64 TiB 的磁碟區。
**建議的動作**
升級資料庫叢集的引擎版本,以支援高達 128 TiB 的磁碟區。
**其他資源**
當您在單一 Amazon Aurora 資料庫叢集上擴展應用程式時,如果儲存限制為 128 TiB,則可能無法達到限制。增加的儲存限制有助於避免刪除資料或在多個執行個體之間分割資料庫。
如需詳細資訊,請參閱 [Amazon Aurora 大小限制](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/CHAP_Limits.html#RDS_Limits.FileSize.Aurora)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 引擎版本目前
+ 建議值
+ 上次更新時間
## 叢集中具有異質執行個體類別的 Amazon RDS 資料庫執行個體
**Description**
建議您在您的資料庫叢集中,對所有資料庫執行個體皆使用相同的資料庫執行個體類別和大小。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt009`
**警示條件**
紅色:資料庫叢集具有具有異質執行個體類別的資料庫執行個體。
**建議的動作**
在您的資料庫叢集中,對所有資料庫執行個體皆使用相同的資料庫執行個體類別和大小。
**其他資源**
當資料庫叢集中的資料庫執行個體使用不同的資料庫執行個體類別或大小時,資料庫執行個體的工作負載可能會有不平衡。在容錯移轉期間,其中一個讀取器資料庫執行個體會變更為寫入器資料庫執行個體。如果資料庫執行個體使用相同的資料庫執行個體類別和大小,則可以平衡資料庫叢集中資料庫執行個體的工作負載。
如需詳細資訊,請參閱 [Aurora 複本](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Replication.html#Aurora.Replication.Replicas)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## 叢集中具有異質執行個體大小的 Amazon RDS 資料庫執行個體
**Description**
建議您在您的資料庫叢集中,對所有資料庫執行個體皆使用相同的資料庫執行個體類別和大小。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt008`
**警示條件**
紅色:資料庫叢集具有具有異質執行個體大小的資料庫執行個體。
**建議的動作**
在您的資料庫叢集中,對所有資料庫執行個體皆使用相同的資料庫執行個體類別和大小。
**其他資源**
當資料庫叢集中的資料庫執行個體使用不同的資料庫執行個體類別或大小時,資料庫執行個體的工作負載可能會有不平衡。在容錯移轉期間,其中一個讀取器資料庫執行個體會變更為寫入器資料庫執行個體。如果資料庫執行個體使用相同的資料庫執行個體類別和大小,則可以平衡資料庫叢集中資料庫執行個體的工作負載。
如需詳細資訊,請參閱 [Aurora 複本](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Replication.html#Aurora.Replication.Replicas)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS 資料庫記憶體參數與預設不同
**Description**
資料庫執行個體的記憶體參數與預設值明顯不同。這些設定可能會影響效能並導致錯誤。
建議您在資料庫參數群組中,將資料庫執行個體的自訂記憶體參數重設為其預設值。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt020`
**警示條件**
黃色:資料庫參數群組的記憶體參數與預設值有很大差異。
**建議的動作**
將記憶體參數重設為其預設值。
**其他資源**
如需詳細資訊,請參閱[設定 Amazon RDS for MySQL 參數的最佳實務,第一部分:效能相關參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS enable\$1indexonlyscan 參數已關閉
**Description**
僅索引掃描計畫類型關閉時,查詢規劃器或最佳化工具皆無法使用該功能。
建議您將 **enable\$1indexonlyscan** 參數值設定為 1。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt028`
**警示條件**
黃色:資料庫參數群組已關閉 **enable\$1indexonlyscan** 參數。
**建議的動作**
將 **enable\$1indexonlyscan** 參數設定為 1。
**其他資源**
當您關閉 **enable\$1indexonlyscan** 參數時,它會防止查詢規劃器選取最佳執行計畫。查詢規劃器使用不同的計劃類型,例如索引掃描,可增加查詢成本和執行時間。索引只會掃描計劃類型擷取資料,而不會存取資料表資料。
如需詳細資訊,請參閱 PostgreSQL 文件網站上的 [enable\$1indexonlyscan (布林值)](https://www.postgresql.org/docs/current/runtime-config-query.html#GUC-ENABLE-INDEXONLYSCAN)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS enable\$1indexscan 參數已關閉
**Description**
索引掃描計畫類型關閉時,查詢規劃器或最佳化工具皆無法使用該功能。
建議您將 **enable\$1indexscan** 參數值設定為 1。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt029`
**警示條件**
黃色:資料庫參數群組已關閉 **enable\$1indexscan** 參數。
**建議的動作**
將 **enable\$1indexscan** 參數設定為 1。
**其他資源**
當您關閉 **enable\$1indexscan** 參數時,它會防止查詢規劃器選取最佳執行計畫。查詢規劃器使用不同的計劃類型,例如索引掃描,可增加查詢成本和執行時間。
如需詳細資訊,請參閱 PostgreSQL 文件網站上的 [enable\$1indexscan (布林值)](https://www.postgresql.org/docs/current/runtime-config-query.html#GUC-ENABLE-INDEXSCAN)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS general\$1logging 參數已開啟
**Description**
您的資料庫執行個體已開啟一般記錄功能。此設定在針對資料庫問題進行疑難排解時非常有用。不過,開啟一般記錄功能會增加 I/O 操作和配置儲存空間量,進而導致爭用和效能降低。
檢查您的要求是否有一般記錄用量。我們建議您將 **general\$1logging** 參數值設定為 **0**。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt037`
**警示條件**
黃色:資料庫參數群組已開啟 **general\$1logging**。
**建議的動作**
檢查您的要求是否有一般記錄用量。如果不是強制性的,建議您將 **general\$1logging** 參數值設定為 **0**。
**其他資源**
當 general**\$1logging** 參數值為 1 時,會開啟一般查詢日誌。一般查詢日誌包含資料庫伺服器操作的記錄。當用戶端連線或中斷連線,且日誌包含從用戶端接收的每個 SQL 陳述式時,伺服器會將資訊寫入此日誌。當您懷疑用戶端發生錯誤,並且想要尋找用戶端傳送至資料庫伺服器的資訊時,一般查詢日誌非常有用。
如需詳細資訊,請參閱 [RDS for MySQL 資料庫日誌概觀](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MySQL.LogFileSize.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## 使用低於最佳值的 Amazon RDS InnoDB\$1Change\$1Buffering 參數
**Description**
變更緩衝可讓 MySQL 資料庫執行個體延遲一些寫入,這是維持次要索引的必要項目。此功能在磁碟緩慢的環境中非常有用。變更緩衝組態稍微改善了資料庫效能,但在升級期間導致損毀復原和長關機時間延遲。
建議您將 **innodb\$1change\$1buffering** 參數的值設定為 **NONE**。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt021`
**警示條件**
黃色:資料庫參數群組的 **innodb\$1change\$1buffering** 參數設定為低最佳值。
**建議的動作**
將資料庫參數群組中的 **innodb\$1change\$1buffering** 參數值設定為 **NONE**。
**其他資源**
如需詳細資訊,請參閱[設定 Amazon RDS for MySQL 參數的最佳實務,第一部分:效能相關參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS innodb\$1open\$1files 參數很低
**Description**
innodb\$1open\$1files 參數控制 InnoDB 一次可以開啟的檔案數量。InnoDB 會在 mysqld 執行時,開啟所有日誌和系統資料表空間檔案。
針對 InnoDB 一次能開啟的最大檔案數量,您的資料庫執行個體設定值很低。我們建議您將 innodb\$1open\$1files 參數設定為最小值 65。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt033`
**警示條件**
黃色:資料庫參數群組的 InnoDB 開啟檔案設定設定錯誤。
**建議的動作**
將 innodb\$1open\$1files 參數設定為最小值 65。
**其他資源**
innodb\$1open\$1files 參數控制 InnoDB 一次可以開啟的檔案數量。InnoDB 會保持開啟所有日誌檔案和系統資料表空間檔案。如果使用file-per-table儲存模型,InnoDB 也需要開啟幾個 .ibd 檔案。當 innodb\$1open\$1files 設定低時,會影響資料庫效能,伺服器可能無法啟動。
如需詳細資訊,請參閱 MySql 文件網站上的 [InnoDB 啟動選項和系統變數 - innodb\$1open\$1files](https://dev.mysql.com/doc/refman/5.7/en/innodb-parameters.html#sysvar_innodb_open_files)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS innodb\$1stats\$1persistent 參數已關閉
**Description**
您的資料庫執行個體未設定將 InnoDB 統計資料保留於磁碟。未儲存統計資料時,會在每次執行個體重新啟動和存取資料表時重新計算統計資料。這會導致查詢執行計畫的變化。您可以在資料表層級修改此全域參數的值。
建議您將 **innodb\$1stats\$1persistent** 參數值設定為 **ON**。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt032`
**警示條件**
黃色:資料庫參數群組具有未保留到磁碟的最佳化工具統計資料。
**建議的動作**
將 **innodb\$1stats\$1persistent** 參數值設定為 **ON**。
**其他資源**
如果 **innodb\$1stats\$1persistent** 參數設定為 **ON**,則最佳化工具統計資料會在執行個體重新啟動時保留。這可改善執行計畫穩定性和一致的查詢效能。您可以在建立或修改資料表時,使用 **STATS\$1PERSISTENT** 子句來修改資料表層級的全域統計資料持久性。
如需詳細資訊,請參閱[設定 Amazon RDS for MySQL 參數的最佳實務,第一部分:效能相關參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## 針對系統容量佈建不足的 Amazon RDS 執行個體
**Description**
檢查 Amazon RDS 執行個體或 Amazon Aurora 資料庫執行個體是否具有操作所需的系統容量。
**檢查 ID**
` c1qf5bt039`
**警示條件**
黃色:
Out-of-memory終止:當資料庫主機上的程序因作業系統層級的記憶體減少而停止時,記憶體不足 (OOM) 會終止計數器增加。
過度交換:os.memory.swap.in 和 os.memory.swap.out 指標值很高。
**建議的動作**
我們建議您調整查詢以使用較少的記憶體,或使用配置較高記憶體的資料庫執行個體類型。當執行個體的記憶體不足時,這會影響資料庫效能。
**其他資源**
偵測到Out-of-memory刪除:當主機上執行的程序需要超過作業系統實際可用的記憶體時,Linux 核心會叫用記憶體不足 (OOM) Killer。在此情況下,OOM Killer 會檢閱所有執行中的程序,並停止一或多個程序,以釋出系統記憶體並保持系統執行。
偵測到交換:當資料庫主機上的記憶體不足時,作業系統會將最少使用的頁面傳送至交換空間中的磁碟。此卸載程序會影響資料庫效能。
如需詳細資訊,請參閱 [Amazon RDS 執行個體類型](https://aws.amazon.com/rds/instance-types/)和[擴展yourAmazon RDS 執行個體](https://aws.amazon.com/blogs/database/scaling-your-amazon-rds-instance-vertically-and-horizontally/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ Out-of-memory終止 (計數)
+ 過度交換 (計數)
+ 上次偵測期間
+ 上次更新時間
## Amazon RDS 磁性磁碟區正在使用中
**Description**
您的資料庫執行個體正在使用磁帶儲存。多數資料庫執行個體不建議使用磁帶儲存。選擇不同的儲存類型:一般用途 (SSD) 或佈建 IOPS。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt000`
**警示條件**
黃色:Amazon RDS 資源正在使用磁性儲存。
**建議的動作**
選擇不同的儲存類型:一般用途 (SSD) 或佈建 IOPS。
**其他資源**
磁性儲存是較舊的儲存類型。一般用途 (SSD) 或佈建 IOPS 是新儲存需求的建議儲存類型。這些儲存類型可提供更高且一致的效能,並改善儲存大小選項。
如需詳細資訊,請參閱[上一代磁碟區](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volume-types.html#vol-type-prev)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## 未使用巨型頁面的 Amazon RDS 參數群組
**Description**
大型頁面可以提高資料庫可擴展性,但您的資料庫執行個體未使用大型頁面。建議您在資料庫執行個體的資料庫參數群組中,將 **use\$1large\$1pages** 參數值設定為 **ONLY**。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt024`
**警示條件**
黃色:資料庫參數群組不使用大型頁面。
**建議的動作**
在您的資料庫參數群組中,將 **use\$1large\$1pages** 參數值設定為 **ONLY**。
**其他資源**
如需詳細資訊,請參閱[開啟 RDS for Oracle 執行個體的 HugePages](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Oracle.Concepts.HugePages.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS 查詢快取參數已開啟
**Description**
當變更需要清除查詢快取時,您的資料庫執行個體會顯示為停滯。大部分工作負載並不會受益於查詢快取。MySQL 8.0 版已移除查詢快取。建議您將 query\$1cache\$1type 參數設定為 0。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt022`
**警示條件**
黃色:資料庫參數群組已開啟查詢快取。
**建議的動作**
將資料庫參數群組中的 query\$1cache\$1type 參數值設定為 0。
**其他資源**
如需詳細資訊,請參閱[設定 Amazon RDS for MySQL 參數的最佳實務,第一部分:效能相關參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## 需要更新 Amazon RDS 資源執行個體類別
**Description**
您的資料庫正在執行上一代資料庫執行個體類別。我們已將上一代的資料庫執行個體類別取代為具有更佳成本、效能或兩者的資料庫執行個體類別。建議您使用較新一代的資料庫執行個體類別來執行資料庫執行個體。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt015`
**警示條件**
紅色:資料庫執行個體正在使用終止支援資料庫執行個體類別。
**建議的動作**
升級至最新的資料庫執行個體類別。
**其他資源**
如需詳細資訊,請參閱[資料庫執行個體類別的支援資料庫引擎](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.DBInstanceClass.html#Concepts.DBInstanceClass.Support)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 資料庫執行個體類別
+ 建議值
+ 引擎名稱
+ 上次更新時間
## 需要更新 Amazon RDS 資源主要版本
**Description**
不支援具有資料庫引擎目前主要版本的資料庫。建議您升級至包含新功能和增強功能的最新主要版本。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt014`
**警示條件**
紅色:RDS 資源正在使用終止支援主要版本。
**建議的動作**
升級至資料庫引擎的最新主要版本。
**其他資源**
Amazon RDS 會為支援的資料庫引擎發行新版本,以最新版本維護您的資料庫。新發行的版本可能包括錯誤修正、安全性增強功能,以及資料庫引擎的其他改善。您可以使用藍/綠部署,將資料庫執行個體升級所需的停機時間降至最低。
如需詳細資訊,請參閱下列資源:
+ [升級資料庫執行個體引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html)
+ [Amazon Aurora 更新](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Updates.html)
+ [使用 Amazon RDS 藍/綠部署進行資料庫更新](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/blue-green-deployments.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 引擎目前版本
+ 建議值
+ 上次更新時間
## 使用包含授權下終止支援引擎版本的 Amazon RDS 資源
**Description**
建議您將主要版本升級至 Amazon RDS 支援的最新引擎版本,以繼續目前的授權支援。目前授權不支援資料庫的引擎版本。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt016`
**警示條件**
紅色:Amazon RDS 資源在包含授權的模型下使用終止支援引擎版本。
**建議的動作**
建議您將資料庫升級至 Amazon RDS 中支援的最新版本,以繼續使用授權模型。
**其他資源**
如需詳細資訊,請參閱 [Oracle 主要版本升級](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Major.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 引擎版本目前
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon Route 53 別名資源記錄集
**Description**
檢查是否有資源記錄集可變更為別名資源記錄集,以改善效能並節省成本。
別名資源紀錄集會將 DNS 查詢路由至 AWS 資源 (例如 Elastic Load Balancing 負載平衡器或 Amazon S3 儲存貯體) 或其他 Route 53 資源紀錄集。當您使用別名資源紀錄集時,Route 53 會免費將您的 DNS 查詢路由至 AWS 資源。
AWS 服務建立的託管區域不會出現在您的檢查結果中。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`B913Ef6fb4`
**警示條件**
+ 黃色:資源記錄集是 Amazon S3 網站的 CNAME。
+ 黃色:資源記錄集是 Amazon CloudFront 分佈的 CNAME。
+ 黃色:資源記錄集是 Elastic Load Balancing 負載平衡器的 CNAME。
**建議的動作**
以別名資源記錄集取代列出的 CNAME 資源記錄集;請參閱[選擇別名或非別名資源記錄集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingAliasRRSets.html)。
您也需要根據 AWS 資源,將記錄類型從 CNAME 變更為 A 或 AAAA。請參閱[您在建立或編輯 Amazon Route 53 資源記錄集時指定的值](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-values.html)。
**其他資源**
[將查詢路由至 AWS 資源](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-aws-resources.html)
**報告欄位**
+ 狀態
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 資源記錄集類型
+ 資源記錄集識別碼
+ 別名目標
## AWS Lambda 記憶體大小的佈建不足函數
**Description**
檢查在回顧期間至少調用一次的 AWS Lambda 函數。此檢查會提醒您任何 Lambda 函數在記憶體大小佈建不足的情形。當您的 Lambda 函數在記憶體大小佈建不足時,這些函數會需要更長的時間才能完成。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`COr6dfpM06`
**警示條件**
黃色:在回顧期間記憶體大小佈建不足的 Lambda 函數。若要判斷 Lambda 函數是否佈建不足,我們會考慮該函數的所有預設 CloudWatch 指標。用於識別記憶體大小佈建不足 Lambda 函數的演算法遵循 AWS 最佳實務。找出新的模式時,該演算法會更新。
**建議的動作**
請考慮增加 Lambda 函數的記憶體大小。
如需詳細資訊,請參閱[選擇加入 AWS Compute Optimizer Trusted Advisor 檢查](compute-optimizer-with-trusted-advisor.md)。
**報告欄位**
+ 狀態
+ 區域
+ 函數名稱
+ 函數版本
+ 記憶體大小 (MB)
+ 建議的記憶體大小 (MB)
+ 回顧期間 (天)
+ 效能風險
+ 上次更新時間
## AWS Lambda 未設定並行限制的函數
**Description**
檢查 AWS Lambda 函數是否已設定函數層級並行執行限制。
並行是 AWS Lambda 函數可同時處理的傳輸中請求數量。Lambda 會針對每個並行請求佈建個別的執行環境執行個體。
您可以使用規則中的 AWS Config **concurrencyLimitLow** 和 **ConcurrencyLimitHigh** 參數來指定預留並行下限和上限。
如需詳細資訊,請參閱 [Lambda 函數擴展](https://docs.aws.amazon.com/lambda/latest/dg/lambda-concurrency.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz181`
**來源**
AWS Config 受管規則:lambda-concurrency-check
**警示條件**
黃色:Lambda 函數並未設定並行限制。
**建議的動作**
請確定您的 Lambda 函數已設定並行功能。Lambda 函數的並行限制有助於確保您的函數可靠且可預測地處理請求。並行限制減少了因流量突然激增而導致功能不堪負荷的風險。
如需詳細資訊,請參閱[設定預留並行](https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html)。
**其他資源**
+ [Lambda 函數擴展](https://docs.aws.amazon.com/lambda/latest/dg/lambda-concurrency.html)
+ [設定預留並行](https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Well-Architected 效能的高風險問題
**Description**
檢查效能支柱中,工作負載是否有高風險問題 (HRI)。這項檢查是以您的 AWS-Well Architected 檢閱為基礎。您的檢查結果取決於您是否使用 AWS Well-Architected 完成工作負載評估。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Wxdfp4B1L2`
**警示條件**
+ 紅色:在 AWS Well-Architected 的效能支柱中發現至少一個作用中的高風險問題。
+ 綠色:在 AWS Well-Architected 的效能支柱中未偵測到作用中的高風險問題。
**建議的動作**
AWS Well-Architected 在工作負載評估期間偵測到高風險問題。解決這些問題,可能有機會降低風險和節省成本。登入 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具,檢閱答案並採取行動,解決待處理的問題。
**報告欄位**
+ 狀態
+ 區域
+ 工作負載 ARN
+ 工作負載名稱
+ 檢閱者姓名
+ 工作負載類型
+ 工作負載開始日期
+ 工作負載上次修改日期
+ 效能方面已識別的高風險問題數量
+ 效能方面已解決的高風險問題數量
+ 效能方面已回答的問題數量
+ 效能支柱中的問題總數
+ 上次更新時間
## CloudFront 備用網域名稱
**Description**
此檢查適用於傳統 Amazon CloudFront 分佈。
檢查 DNS 是否已在使用備用網域名稱 (CNAMEs) 的傳統 Amazon CloudFront 分佈中正確設定。
如果 CloudFront 分佈包含備用網域名稱,網域的 DNS 組態必須將 DNS 查詢路由至該分佈。
這項檢查假設 Amazon Route 53 DNS 和 Amazon CloudFront 分佈設定於相同的 AWS 帳戶。因此,由於這個 AWS 帳戶之外的 DNS 設定,提醒清單可能包含原本會如預期般運作的資源。
**檢查 ID**
`N420c450f2`
**警示條件**
+ 黃色:CloudFront 分佈包含備用網域名稱,但是 DNS 組態未正確設定為 CNAME 記錄或 Amazon Route 53 別名資源記錄。
+ 黃色:CloudFront 分佈包含備用網域名稱,但是因為有太多重新導向, Trusted Advisor 無法評估 DNS 組態。
+ 黃色:CloudFront 分佈包含備用網域名稱,但是由於某些其他原因 (很可能是因為逾時), Trusted Advisor 無法評估 DNS 組態。
**建議的動作**
更新 DNS 組態,以將 DNS 查詢路由到 CloudFront 分佈;請參閱[使用備用網域名稱 (CNAME)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html)。
如果您要將 Amazon Route 53 作為 DNS 服務,請參閱[使用您的網域名稱將流量路由到 Amazon CloudFront Web 分佈](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-cloudfront-distribution.html)。如果檢查已逾時,請嘗試重新整理檢查。
**其他資源**
《[Amazon CloudFront 開發人員指南](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/)》
**報告欄位**
+ 狀態
+ 分佈 ID
+ 分佈網域名稱
+ 備用網域名稱
+ Reason
## CloudFront 內容交付最佳化
**Description**
使用 Amazon CloudFront 全域內容交付服務,檢查是否可以加速從 Amazon Simple Storage Service (Amazon S3) 儲存貯體傳輸資料的案例。 AWS
將 CloudFront 設定為交付內容時,對內容發出的請求會自動路由到離快取內容的最近節點。此路由能以最佳的效能將內容交付給您的使用者。與儲存在儲存貯體中的資料相比,若傳出的資料比率高,表示您可受益於使用 Amazon CloudFront 來交付資料。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`796d6f3D83`
**警示條件**
+ 黃色:在檢查前 30 天內,透過 GET 請求從儲存貯體傳輸至使用者的資料量,至少是儲存在儲存貯體中平均資料量的 25 倍。
+ 紅色:在檢查前 30 天內,透過 GET 請求從儲存貯體傳輸給使用者的資料量至少為 10 TB,至少是儲存在儲存貯體中平均資料量的 25 倍。
**建議的動作**
考慮使用 CloudFront 取得更好的效能。請參閱 [Amazon CloudFront 產品詳細資訊](https://aws.amazon.com/cloudfront/details)。
如果每月傳輸的資料超過 10 TB,請參閱 [Amazon CloudFront 定價](https://aws.amazon.com/cloudfront/pricing)探索可能實現的成本節省。
**其他資源**
+ 《[Amazon CloudFront 開發人員指南](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/)》
+ [AWS 案例研究:PBS](https://aws.amazon.com/solutions/case-studies/pbs/)
**報告欄位**
+ 狀態
+ 區域
+ 儲存貯體名稱
+ S3 儲存體 (GB)
+ 資料傳出 (GB)
+ 傳輸與儲存的比率
## CloudFront 標頭轉送和快取命中率
**Description**
此檢查適用於傳統 Amazon CloudFront 分佈。
檢查 CloudFront 目前從用戶端接收並轉送至原始伺服器的 HTTP 請求標頭。
某些標頭 (例如日期或使用者代理程式) 會大幅降低快取命中率 (從 CloudFront 邊緣快取提供的請求比例)。這會增加原始伺服器的負載並降低效能,因為 CloudFront 必須將更多的請求轉送到原始伺服器。
**檢查 ID**
`N415c450f2`
**警示條件**
黃色:CloudFront 轉送至原始伺服器的一個或多個請求標頭可能會大幅降低快取命中率。
**建議的動作**
考慮使用請求標頭的好處是否足夠抵消對快取命中率的負面影響。如果無論標頭值是什麼,原始伺服器都會傳回相同物件,建議您不要將 CloudFront 設定為將該標頭轉送到原始伺服器。如需詳細資訊,請參閱[將 CloudFront 設定為根據請求標頭快取物件](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/header-caching.html)。
**其他資源**
+ [增加 CloudFront 邊緣快取提供的請求比例](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html#cache-hit-ratio-request-headers)
+ [CloudFront 快取統計資料報告](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-statistics.html)
+ [HTTP 請求標頭和 CloudFront 行為](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-headers-behavior)
**報告欄位**
+ 分佈 ID
+ 分佈網域名稱
+ 快取行為路徑模式
+ 標頭
## 高 CPU 使用率 Amazon EC2 執行個體
**Description**
檢查過去 14 天內在任何時間執行的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。如果四天或以上天數的每日 CPU 使用率超過 90%,則會傳送提醒。
穩定的高使用率可能表示最佳化、穩定的效能。不過也可能表示應用程式的資源不足。若要取得每日 CPU 使用率資料,請下載此檢查的報告。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`ZRxQlPsb6c`
**警示條件**
黃色:在過去 14 天中,至少有 4 天執行個體每日平均 CPU 使用率超過 90%。
**建議的動作**
請考慮新增更多執行個體。如需有關根據需求調整執行個體數量的詳細資訊,請參閱 [Auto Scaling 是什麼?](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/WhatIsAutoScaling.html)
**其他資源**
+ [監控 Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-monitoring.html)
+ [執行個體中繼資料與使用者資料](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AESDG-chapter-instancedata.html)
+ 《[Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/)》
+ 《[Amazon EC2 Auto Scaling 使用者指南](https://docs.aws.amazon.com/autoscaling/latest/userguide/)》
**報告欄位**
+ 區域/可用區域
+ 執行個體 ID
+ 執行個體類型
+ 執行個體名稱
+ 14 天平均 CPU 使用率
+ CPU 使用率超過 90% 的天數
# 安全
您可以針對安全類別使用下列檢查。
**注意**
如果您為 啟用 Security Hub CSPM AWS 帳戶,您可以在 Trusted Advisor 主控台中檢視問題清單。如需相關資訊,請參閱[在 中檢視 AWS Security Hub CSPM 控制項 AWS Trusted Advisor](security-hub-controls-with-trusted-advisor.md)。
您可以檢視 AWS 基礎安全最佳實務安全標準中的所有控制項,但具有**類別:復原 > 恢復能力**的控制項*除外*。如需支援的控制項清單,請參閱《AWS Security Hub CSPM 使用者指南》**中的 [AWS 基礎安全最佳實務控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html)。
**Contents**
+ [Application Load Balancer 安全群組](#alb-security-group)
+ [Amazon CloudWatch 日誌群組保留期間](#cloudwatch-log-group-retention-less-than-365)
+ [Microsoft SQL 伺服器終止支援的 Amazon EC2 執行個體](#ec2-instances-with-sql-server-end-of-support)
+ [Microsoft Windows Server 終止支援的 Amazon EC2 執行個體](#ec2-instances-with-windows-server-end-of-support)
+ [具有 Ubuntu LTS 終止標準支援的 Amazon EC2 執行個體](#amazon-ec2-instances-ubuntu-lts-end-of-standard-support)
+ [未使用data-in-transit加密的 Amazon EFS 用戶端](#amazon-efs-clients-not-using-data-in-transit-encryption)
+ [Amazon EBS 公有快照](#amazon-ebs-public-snapshots)
+ [Amazon RDS Aurora 儲存加密已關閉](#amazon-rds-aurora-storage-encryption-off)
+ [需要 Amazon RDS 引擎次要版本升級](#amazon-rds-engine-minor-version-upgrade-required)
+ [Amazon RDS 公有快照](#amazon-rds-public-snapshots)
+ [Amazon RDS 安全群組存取風險](#amazon-rds-security-group-access-risk)
+ [Amazon RDS 儲存加密已關閉](#amazon-rds-storage-encryption-off)
+ [Amazon Route 53 不符合指向 S3 儲存貯體的 CNAME 記錄](#amazon-route-53-mismatching-cname-records-s3-buckets)
+ [Amazon Route 53 MX 資源記錄集和寄件者政策架構](#amazon-route-53-mx-resorc-resource-record-sets-sender-policy-framework)
+ [Amazon S3 儲存貯體許可](#amazon-s3-bucket-permissions)
+ [已停用具有 DNS 解析的 Amazon VPC 對等互連](#amazon-vpc-peering-connections-no-dns-resolution)
+ [Application Load Balancer 目標群組加密的通訊協定](#application-load-balancer-target-groups)
+ [AWS Backup 無資源型政策的保存庫,以防止刪除復原點](#backup-vault-without-resource-based-policy-prevent-delete)
+ [AWS CloudTrail 管理事件記錄](#aws-cloudtrail-man-events-log)
+ [AWS Lambda 使用已棄用執行時間的函數](#aws-lambda-functions-deprecated-runtimes)
+ [AWS Well-Architected 安全性的高風險問題](#well-architected-high-risk-issues-security)
+ [IAM 憑證存放區中的 CloudFront 自訂 SSL 憑證](#cloudfront-custom-ssl-certificates-iam-certificate-store)
+ [原始伺服器上的 CloudFront SSL 憑證](#cloudfront-ssl-certificate-origin-server)
+ [ELB 接聽程式安全性](#elb-listener-security)
+ [Classic Load Balancer 安全群組](#elb-security-groups)
+ [存取金鑰已暴露](#exposed-access-keys)
+ [IAM 存取金鑰輪換](#iam-access-key-rotation)
+ [IAM Access Analyzer 外部存取](#iam-access-analyzer-external-access)
+ [IAM 密碼政策](#iam-password-policy)
+ [IAM SAML 2.0 身分提供者](#iam-saml-identity-provider)
+ [根帳戶的 MFA](#mfa-root-account)
+ [根使用者存取金鑰](#root-user-access-key)
+ [安全群組-— 不受限制的特定連接埠](#security-groups-specific-ports-unrestricted)
+ [安全群組 - 不受限制的存取](#security-groups-unrestricted-access)
## Application Load Balancer 安全群組
**Description**
檢查連接到 Application Load Balancer 及其 Amazon EC2 目標的安全群組。Application Load Balancer 安全群組應僅允許在接聽程式中設定的傳入連接埠。在目標從負載平衡器接收流量的相同連接埠中,目標的安全群組不應接受來自網際網路的直接連線。
如果安全群組允許存取未針對負載平衡器設定的連接埠,或允許直接存取目標,則資料遺失或惡意攻擊的風險會增加。
此檢查不包括下列群組:
+ 與 IP 地址或 EC2 執行個體無關的目標群組。
+ IPv6 流量的安全群組規則。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`8604e947f2`
**警示條件**
+ 紅色:目標具有公有 IP 和安全群組,允許目標控制連接埠上來自任何地方的傳入連線 (0.0.0.0/0)。
+ 紅色:目標具有公有 IP 和安全群組,允許來自任何地方 (0.0.0.0/0) 流量連接埠上的傳入連線。
+ 紅色:Application Load Balancer 已啟用身分驗證,目標允許來自任何地方 (0.0.0.0/0) 流量連接埠上的傳入連線。
+ 黃色:目標的安全群組允許來自任何地方 (0.0.0.0/0) 流量連接埠上的傳入連線。
+ 黃色:目標的安全群組允許目標控制連接埠上來自任何地方的傳入連線 (0.0.0.0/0)。
+ 黃色:Application Load Balancer 安全群組允許沒有對應接聽程式的連接埠上的傳入連線。
+ 黃色:目標的安全群組允許來自未連接到 Application Load Balancer 之安全群組的目標控制連接埠上的傳入連線。
+ 綠色:Application Load Balancer 安全群組僅允許連接埠上與接聽程式相符的傳入連線。
**建議的動作**
為了提高安全性,請確定您的安全群組只允許必要的流量流程:
+ Application Load Balancer 的安全群組應僅允許對其接聽程式中設定的相同連接埠進行傳入連線。
+ 使用負載平衡器和目標的專屬安全群組。
+ 目標安全群組應僅允許流量連接埠中來自與其相關聯的負載平衡器 (s) 的連線。
+ 目標安全群組應僅允許目標控制連接埠中的連線來自與其相關聯的負載平衡器 (s)。
**其他資源**
+ [使用安全群組控制 AWS 資源的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Application Load Balancer 的安全群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)
**報告欄位**
+ 狀態
+ 區域
+ 目標群組
+ ALB 名稱
+ ALB SG ID
+ 目標 SG ID
+ 啟用身分驗證
+ 上次更新時間
## Amazon CloudWatch 日誌群組保留期間
**Description**
檢查 Amazon CloudWatch 日誌群組保留期間是否設定為 365 天或其他指定的天數。
根據預設,日誌將無限期保留且永遠不會過期。不過,您可以調整每個日誌群組的保留原則,以符合特定期間的產業法規或法律要求。
您可以使用 AWS Config 規則中的 **LogGroupNames** 和 **MinRetentionTime** 參數來指定最短保留時間和日誌群組名稱。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz186`
**來源**
`AWS Config Managed Rule: cw-loggroup-retention-period-check`
**警示條件**
黃色:Amazon CloudWatch 日誌群組的保留期間少於所需的最短天數。
**建議的動作**
為儲存在 Amazon CloudWatch Logs 中的日誌資料設定超過 365 天的保留期間,以符合法規遵循要求。
如需詳細資訊,請參閱[更改在 CloudWatch Logs 中的日誌資料保留期](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)。
**其他資源**
[更改 CloudWatch 日誌保留](https://docs.aws.amazon.com/managedservices/latest/userguide/log-customize-retention.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Microsoft SQL 伺服器終止支援的 Amazon EC2 執行個體
**Description**
檢查過去 24 小時內用於執行 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 SQL 伺服器版本。這項檢查會在版本接近或已達到終止支援時發出提醒。每個 SQL 伺服器版本都提供 10 年的支援,包括 5 年的主流支援和 5 年的延長支援。終止支援後,SQL 伺服器版本將不會收到定期的安全更新。使用不支援的 SQL 伺服器版本執行應用程式可能會帶來安全或法規遵循風險。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Qsdfp3A4L3`
**警示條件**
+ 紅色:EC2 執行個體具有已終止支援的 SQL Server 版本。
+ 黃色:EC2 執行個體具有即將在 12 個月終止支援的 SQL Server 版本。
**建議的動作**
若要將 SQL Server 工作負載現代化,請考慮將其重構到 AWS 雲端 原生資料庫,如 Amazon Aurora。如需詳細資訊,請參閱[使用 現代化 Windows 工作負載 AWS](https://aws.amazon.com/windows/modernization/)。
若要移至全受管資料庫,請考慮將其平台轉換為 Amazon Relational Database Service (Amazon RDS)。如需詳細資訊,請參閱 [Amazon RDS for SQL Server](https://aws.amazon.com/rds/sqlserver/)。
若要在 Amazon EC2 上升級您的 SQL Server,請考慮使用自動化 Runbook 簡化您的升級。如需詳細資訊,請參閱 [AWS Systems Manager 文件](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awsec2-CloneInstanceAndUpgradeSQLServer.html)。
如果您無法在 Amazon EC2 上升級 SQL Server,請考慮使用 Windows Server 的終止支援遷移計劃 (EMP)。如需詳細資訊,請參閱 [EMP 網站](https://aws.amazon.com/emp-windows-server/)。
**其他資源**
+ [使用 準備好 SQL Server 終止支援 AWS](https://aws.amazon.com/sql/sql2008-eos/)
+ [將 Microsoft SQL Server 遷移至 AWS](https://aws.amazon.com/sql)
**報告欄位**
+ 狀態
+ 區域
+ 執行個體 ID
+ SQL Server 版本
+ 支援週期
+ 終止支援
+ 上次更新時間
## Microsoft Windows Server 終止支援的 Amazon EC2 執行個體
**Description**
如果您的 Microsoft Windows Server 版本接近或已終止支援,此檢查會提醒您。每個 Windows Server 版本都提供 10 年的支援,包括 5 年的主流支援和 5 年的延伸支援。支援結束後,Windows Server 版本不會定期收到安全性更新。使用不支援的 Windows Server 版本執行應用程式可能會帶來安全或合規風險。
此檢查會根據用來啟動 EC2 執行個體的 AMI 產生結果。目前的執行個體作業系統可能與其啟動 AMI 不同。例如,如果您從 Windows Server 2016 AMI 啟動執行個體,並稍後升級至 Windows Server 2019,則啟動 AMI 不會變更。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Qsdfp3A4L4`
**警示條件**
+ 紅色:EC2 執行個體會在終止支援的 Windows Server 版本 (Windows Server 2003、2003 R2、2008 和 2008 R2) 上執行。
+ 黃色:EC2 執行個體會在不到 18 個月 (Windows Server 2012 和 2012 R2) 內終止支援的 Windows Server 版本上執行。
**建議的動作**
若要現代化 Windows Server 工作負載,請考慮[使用現代化 Windows 工作負載 AWS](https://aws.amazon.com/windows/modernization/)上可用的各種選項。
若要升級您的 Windows Server 工作負載,以便在更新版本的 Windows Server 上執行,您可以使用自動化 Runbook。如需詳細資訊,請參閱 [AWS Systems Manager 文件](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/os-inplaceupgrade.html)。
請完成下列步驟:
+ 升級 Windows Server 版本
+ 硬停止並在升級時啟動
+ 如果使用 EC2Config,請遷移至 EC2Launch
**報告欄位**
+ 狀態
+ 區域
+ 執行個體 ID
+ Windows Server 版本
+ 支援週期
+ 終止支援
+ 上次更新時間
## 具有 Ubuntu LTS 終止標準支援的 Amazon EC2 執行個體
**Description**
此檢查會在版本接近或已達到標準支援結束時提醒您。請務必採取動作 – 遷移至下一個 LTS 或升級至 Ubuntu Pro。支援結束後,您的 18.04 LTS 機器將不會收到任何安全性更新。透過 Ubuntu Pro 訂閱,您的 Ubuntu 18.04 LTS 部署可以接收擴充安全維護 (ESM),直到 2028 年為止。保持未修補的安全漏洞會將您的系統開放給駭客,以及重大違規的可能性。
此檢查的結果至少每天自動重新整理一次,不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch15`
**警示條件**
紅色:Amazon EC2 執行個體的 Ubuntu 版本已達到標準支援結束 (Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS 和 18.04.6 LTS)。
黃色:Amazon EC2 執行個體的 Ubuntu 版本將在不到 6 個月內達到標準支援結束 (Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、 LTS、20.04.5 LTS 和 20.04.6 LTS)。
綠色:所有 Amazon EC2 執行個體都合規。
**建議的動作**
若要將 Ubuntu 18.04 LTS 執行個體升級至支援的 LTS 版本,請遵循[本文](https://ubuntu.com/server/docs/upgrade-introduction)所述的步驟。若要將 Ubuntu 18.04 LTS 執行個體升級至 [Ubuntu Pro](https://aws.amazon.com/about-aws/whats-new/2023/04/amazon-ec2-ubuntu-pro-subscription-model/),請造訪 AWS License Manager 主控台並遵循[AWS License Manager 使用者指南](https://docs.aws.amazon.com/license-manager/latest/userguide/license-conversion.html)中所述的步驟。您也可以參考 [Ubuntu 部落格](https://discourse.ubuntu.com/t/how-to-upgrade-ubuntu-lts-to-ubuntu-pro-on-aws-using-aws-license-manager/35449),其中顯示將 Ubuntu 執行個體升級至 Ubuntu Pro 的逐步示範。
**其他資源**
如需定價的相關資訊,請聯絡 [支援](https://aws.amazon.com/support)。
**報告欄位**
+ 狀態
+ 區域
+ Ubuntu Lts 版本
+ 預期的支援結束日期
+ 執行個體 ID
+ 支援週期
+ 上次更新時間
## 未使用data-in-transit加密的 Amazon EFS 用戶端
**Description**
檢查 Amazon EFS 檔案系統是否使用data-in-transit加密進行掛載。 AWS 建議客戶對所有資料流程使用data-in-transit資料加密,以防止資料意外暴露或未經授權的存取。Amazon EFS 建議用戶端使用 Amazon EFS 掛載協助程式來使用 TLS v1.2 加密傳輸中的資料。
**檢查 ID**
` c1dfpnchv1`
**警示條件**
黃色:Amazon EFS 檔案系統的一或多個 NFS 用戶端未使用提供data-in-transit加密的建議掛載設定。
綠色:Amazon EFS 檔案系統的所有 NFS 用戶端都使用提供data-in-transit加密的建議掛載設定。
**建議的動作**
若要利用 Amazon EFS data-in-transit加密功能,建議您使用 Amazon EFS 掛載協助程式和建議的掛載設定來重新掛載檔案系統。
根據預設,某些 Linux 發行版本不包含支援 TLS 功能的 stunnel 版本。如果您使用的是不支援的 Linux 發行版本 (請參閱《*Amazon Elastic File System 使用者指南*》中的[支援的發行](https://docs.aws.amazon.com/efs/latest/ug/using-amazon-efs-utils.html#efs-utils-supported-distros)版本),則最佳實務是在使用建議的掛載設定重新掛載之前進行升級。
**其他資源**
+ [加密傳輸中的資料](https://docs.aws.amazon.com/efs/latest/ug/encryption-in-transit.html)
**報告欄位**
+ 狀態
+ 區域
+ EFS 檔案系統 ID
+ 具有未加密連線的 AZs
+ 上次更新時間
## Amazon EBS 公有快照
**Description**
檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區快照的許可設定,並在任何快照可公開存取時提醒您。
當您公開快照時,可以讓所有 AWS 帳戶 和 使用者存取快照上的所有資料。若要僅與特定使用者或帳戶共用快照,請將快照標記為私有。然後,指定您要與其共用快照資料的使用者或帳戶。請注意,如果您已在「封鎖所有共用」模式中啟用封鎖公開存取,則您的公有快照將無法公開存取,也不會出現在此檢查的結果中。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會出現。
**檢查 ID**
`ePs02jT06w`
**警示條件**
紅色:EBS 磁碟區快照可公開存取。
**建議的動作**
除非您確定要與所有 AWS 帳戶 和使用者共用快照中的所有資料,否則請修改許可:將快照標記為私有,然後指定您要授予許可的帳戶。如需詳細資訊,請參閱[共用 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)。使用 EBS 快照的封鎖公開存取來控制允許公開存取您的資料的設定。此檢查無法從 Trusted Advisor 主控台的檢視中排除。
若要直接修改快照的許可,請在 AWS Systems Manager 主控台中使用 Runbook。如需詳細資訊,請參閱[https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyebssnapshotpermission.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyebssnapshotpermission.html)。
**其他資源**
[Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html)
**報告欄位**
+ 狀態
+ 區域
+ 磁碟區 ID
+ 快照 ID
+ Description
## Amazon RDS Aurora 儲存加密已關閉
**Description**
Amazon RDS 使用您管理的金鑰,支援所有資料庫引擎的靜態加密 AWS Key Management Service。在具有 Amazon RDS 加密的作用中資料庫執行個體上,儲存體中存放的靜態資料會加密,類似於自動備份、僅供讀取複本和快照。
如果在建立 Aurora 資料庫叢集時未開啟加密,則必須將解密的快照還原至加密的資料庫叢集。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt005`
**警示條件**
紅色:Amazon RDS Aurora 資源未啟用加密。
**建議的動作**
為您的資料庫叢集開啟靜態資料加密。
**其他資源**
您可以在建立資料庫執行個體時開啟加密,或使用解決方法在作用中資料庫執行個體上開啟加密。您無法將解密的資料庫叢集修改為加密的資料庫叢集。不過,您可以將解密的快照還原至加密的資料庫叢集。從解密的快照還原時,您必須指定 AWS KMS 金鑰。
如需詳細資訊,請參閱[加密 Amazon Aurora 資源](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)。
**報告欄位**
+ 狀態
+ 區域
+ 解析
+ 引擎名稱
+ 上次更新時間
## 需要 Amazon RDS 引擎次要版本升級
**Description**
您的資料庫資源未執行最新的次要資料庫引擎版本。最新的次要版本包含最新的安全性修正和其他改進。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt003`
**警示條件**
黃色:Amazon RDS 資源未執行最新的次要資料庫引擎版本。
**建議的動作**
升級至最新的引擎版本。
**其他資源**
我們建議您使用最新的資料庫引擎次要版本來維護資料庫,因為此版本包含最新的安全性和功能修正。資料庫引擎次要版本升級僅包含與資料庫引擎相同主要版本之較早次要版本回溯相容的變更。
如需詳細資訊,請參閱[升級資料庫執行個體引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html)。
**報告欄位**
+ 狀態
+ 區域
+ 解析
+ 引擎名稱
+ 引擎版本目前
+ 建議值
+ 上次更新時間
## Amazon RDS 公有快照
**Description**
檢查 Amazon Relational Database Service (Amazon RDS) 資料庫快照的許可設定,並在任何快照標示為公有時發出提醒。
當您公開快照時,可以讓所有 AWS 帳戶 和 使用者存取快照上的所有資料。如果您只想與特定使用者或帳戶共用快照,請將快照標示為私有。然後指定您要共用快照資料的使用者或帳戶。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會出現。
**檢查 ID**
`rSs93HQwa1`
**警示條件**
紅色:Amazon RDS 快照標記為公有。
**建議的動作**
除非您確定要與所有 AWS 帳戶 和使用者共用快照中的所有資料,否則請修改許可:將快照標記為私有,然後指定您要授予許可的帳戶。如需詳細資訊,請參閱[共用資料庫快照或資料庫叢集快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html)。此檢查無法從 Trusted Advisor 主控台的檢視中排除。
若要直接修改快照的許可,您可以在 AWS Systems Manager 主控台中使用 Runbook。如需詳細資訊,請參閱[https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyrdssnapshotpermission.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyrdssnapshotpermission.html)。
**其他資源**
[備份與還原 Amazon RDS 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_CommonTasks.BackupRestore.html)
**報告欄位**
+ 狀態
+ 區域
+ 資料庫執行個體或叢集 ID
+ 快照 ID
## Amazon RDS 安全群組存取風險
**Description**
檢查 Amazon Relational Database Service (Amazon RDS) 的安全群組組態,並在安全群組規則授予過度寬鬆的資料庫許可存取權時發出警告。建議的安全群組規則組態是僅允許從特定的 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組或特定 IP 地址存取。
此檢查只會評估連接到toAmazon [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 外部執行之 Amazon RDS 執行個體的安全群組。
**檢查 ID**
`nNauJisYIT`
**警示條件**
+ 黃色:資料庫安全群組規則參考的 Amazon EC2 安全群組會授予對下列其中一個連接埠的全域存取權:20、21、22、1433、1434、3306、3389、4333、5432、5500。
+ 紅色:資料庫安全群組規則會授予全域存取權 (CIDR 規則尾碼為 /0)。
+ 綠色:資料庫安全群組不包含允許規則。
**建議的動作**
EC2-Classic 在 2022 年 8 月 15 日淘汰。建議您將 Amazon RDS 執行個體移至 VPC,並使用 Amazon EC2 安全群組。如需將資料庫執行個體移至 VPC 的詳細資訊,請參閱[將不在 VPC 中的資料庫執行個體移至 VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.Non-VPC2VPC.html)。
如果您無法將 Amazon RDS 執行個體遷移至 VPC,請檢閱您的安全群組規則,並限制對授權 IP 地址或 IP 範圍的存取。若要編輯安全群組,請使用 [AuthorizeDBSecurityGroupIngress](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AuthorizeDBSecurityGroupIngress.html) API 或 AWS 管理主控台。如需詳細資訊,請參閱[使用資料庫安全群組](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithSecurityGroups.html)。
**其他資源**
+ [Amazon RDS 安全群組](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html)
+ [無類別網域間路由](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [TCP 和 UDP 連接埠號碼清單](https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)
**報告欄位**
+ 狀態
+ 區域
+ RDS 安全群組名稱
+ 輸入規則
+ Reason
## Amazon RDS 儲存加密已關閉
**Description**
Amazon RDS 使用您管理的金鑰,支援所有資料庫引擎的靜態加密 AWS Key Management Service。在具有 Amazon RDS 加密的作用中資料庫執行個體上,儲存體中存放的靜態資料會加密,類似於自動備份、僅供讀取複本和快照。
如果在建立資料庫執行個體時未開啟加密,則必須先還原解密快照的加密複本,才能開啟加密。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt006`
**警示條件**
紅色:Amazon RDS 資源未啟用加密。
**建議的動作**
為您的資料庫執行個體開啟靜態資料加密。
**其他資源**
您只能在建立資料庫執行個體時加密資料庫執行個體。若要加密現有的作用中資料庫執行個體:
**建立原始資料庫執行個體的加密複本**
1. 建立資料庫執行個體的快照。
1. 建立步驟 1 中建立之快照的加密副本。
1. 從加密快照還原資料庫執行個體。
如需詳細資訊,請參閱下列資源:
+ [加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [複製資料庫快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CopySnapshot.html)
**報告欄位**
+ 狀態
+ 區域
+ 解析
+ 引擎名稱
+ 上次更新時間
## Amazon Route 53 不符合指向 S3 儲存貯體的 CNAME 記錄
**Description**
檢查 CNAME 記錄指向 Amazon S3 儲存貯體主機名稱的 Amazon Route 53 託管區域,並在 CNAME 與您的 S3 儲存貯體名稱不相符時發出警示。
**檢查 ID**
`c1ng44jvbm`
**警示條件**
紅色:Amazon Route 53 託管區域具有指向不相符 S3 儲存貯體主機名稱的 CNAME 記錄。
綠色:在您的 Amazon Route 53 託管區域中找不到不相符的 CNAME 記錄。
**建議的動作**
將 CNAME 記錄指向 S3 儲存貯體主機名稱時,您必須確定您設定的任何 CNAME 或別名記錄都有相符的儲存貯體。透過這樣做,您可以避免 CNAME 記錄被欺騙的風險。您也可以防止任何未經授權的 AWS 使用者使用您的網域託管故障或惡意的 Web 內容。
若要避免將 CNAME 記錄直接指向 S3 儲存貯體主機名稱,請考慮使用原始存取控制 (OAC) 透過 Amazon CloudFront 存取 S3 儲存貯體 Web 資產。
如需將 CNAME 與 Amazon S3 儲存貯體主機名稱建立關聯的詳細資訊,請參閱[使用 CNAME 記錄自訂 Amazon S3 URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingCustomURLs)。
**其他資源**
+ [如何將主機名稱與 Amazon S3 儲存貯體建立關聯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingCustomURLsHowTo)
+ [使用 CloudFront 限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)
**報告欄位**
+ 狀態
+ 託管區域 ID
+ 託管區域 ARN
+ 比對 CNAME 記錄
+ 不相符的 CNAME 記錄
+ 上次更新時間
## Amazon Route 53 MX 資源記錄集和寄件者政策架構
**Description**
對於每個 MX 記錄, 會檢查包含有效 SPF 值的相關聯 TXT 記錄。TXT 記錄值必須以「v=spf1」開頭。網際網路工程任務小組 (IETF) 已棄用 SPF 記錄類型。使用 Route 53 時,最佳實務是使用 TXT 記錄而非 SPF 記錄。當 MX 記錄至少有一個具有有效 SPF 值的相關聯 TXT 記錄時, 會將此檢查 Trusted Advisor 報告為綠色。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`c9D319e7sG`
**警示條件**
+ 綠色:MX 資源記錄集具有包含有效 SPF 值的 TXT 資源記錄。
+ 黃色:MX 資源記錄集具有 TXT 或 SPF 資源記錄,其中包含有效的 SPF 值。
+ 紅色:MX 資源記錄集沒有包含有效 SPF 值的 TXT 或 SPF 資源記錄。
**建議的動作**
針對每個 MX 資源記錄集,建立包含有效 SPF 值的 TXT 或 SPF 資源記錄集。如需詳細資訊,請參閱 [Sender Policy Framework: SPF Record Syntax](http://www.open-spf.org/SPF_Record_Syntax) (寄件者政策架構:SPF 記錄語法) 和 [Creating Resource Record Sets By Using the Amazon Route 53 Console](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/RRSchanges_console.html) (使用 Amazon Route 53 主控台來建立資源記錄集)。
**其他資源**
+ [MX 記錄類型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#MXFormat)
+ [SPF 記錄類型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#SPFFormat)
+ [re:Post 指引](https://repost.aws/knowledge-center/route53-spf-record)
+ [RFC 7208](https://tools.ietf.org/html/rfc7208#section-14.1)
**報告欄位**
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 狀態
## Amazon S3 儲存貯體許可
**Description**
檢查 Amazon Simple Storage Service (Amazon S3) 中具有開放存取許可或允許存取任何已驗證 AWS 使用者的儲存貯體。
此檢查會檢查明確的儲存貯體許可,以及可能會覆寫這些許可的儲存貯體政策。建議不要將 Amazon S3 儲存貯體的 List 存取權授予所有使用者。這些許可有可能導致非預期的使用者以高頻率列出儲存貯體中的物件,進而造成費用高於預期。授予上傳和刪除存取權給所有人的許可,可能會導致儲存貯體中出現安全漏洞。
**檢查 ID**
`Pfx0RwqBli`
**警示條件**
+ 紅色:儲存貯體 ACL 允許**所有人**的清單存取或上傳/刪除存取,或未啟用**任何已驗證 AWS 的使用者**和**封鎖公開存取**設定。
+ 紅色:儲存貯體政策允許公開存取,而且未啟用**封鎖公開存取**設定。
+ Red: Trusted Advisor 沒有檢查政策的許可,或者由於其他原因無法評估政策。
+ 黃色:儲存貯體政策允許公有存取,但**限制公有儲存貯體**設定已開啟,且僅限該帳戶的授權使用者存取。
+ 黃色:儲存貯體合規,但未啟用完整的**封鎖公開存取**保護。
+ 綠色:儲存貯體符合規範,並已啟用完整的**封鎖公開存取**保護。
啟用封鎖公開存取**忽略公有 ACL 時,不會評估公有 ACLs** 授予。
**建議的動作**
如果儲存貯體授予開放式存取權,請確定是否真的需要開放式存取權。例如,若要託管靜態網站,您可以使用 Amazon CloudFront 來提供 Amazon S3 上託管的內容。請參閱《[Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 Amazon CloudFront 可能的話,請更新儲存貯體許可,以限制擁有者或特定使用者的存取權。使用 Amazon S3 封鎖公開存取,控制允許公開存取資料的設定。設定[設定儲存貯體及物件存取許可](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/set-permissions.html)。
**其他資源**
[管理對您 Amazon S3 資源的存取許可](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
[設定 Amazon S3 儲存貯體的封鎖公開存取設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)
**報告欄位**
+ 狀態
+ 區域名稱
+ 區域 API 參數
+ 儲存貯體名稱
+ ACL 允許 List 存取權
+ ACL 允許 Upload 和 Delete 存取權
+ 政策允許存取權
## 已停用具有 DNS 解析的 Amazon VPC 對等互連
**Description**
檢查您的 VPC 對等互連是否同時為接受者和請求者 VPC 開啟 DNS 解析。
VPC 對等互連的 DNS 解析可在從 VPC 查詢時,將公用 DNS 主機名稱解析為私有 IPv4 地址。這允許使用 DNS 名稱在對等 VPC 中的資源之間進行通訊。VPC 對等互連中的 DNS 解析可讓應用程式開發和管理變得更簡單、更不容易出錯,並確保資源一律會透過 VPC 對等互連進行私密通訊。
您可以使用 AWS Config 規則中的 **vpcIds** 參數來指定 VPC IDs。
如需詳細資訊,請參閱[啟用 VPC 對等互連的 DNS 解析](https://docs.aws.amazon.com/vpc/latest/peering/modify-peering-connections.html#vpc-peering-dns)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz124`
**來源**
`AWS Config Managed Rule: vpc-peering-dns-resolution-check`
**警示條件**
黃色:VPC 對等互連中的接受者和請求者 VPC 皆未啟用 DNS 解析。
**建議的動作**
開啟 VPC 對等互連的 DNS 解析。
**其他資源**
+ [修改 VPC 對等互連連線選項](https://docs.aws.amazon.com/vpc/latest/peering/modify-peering-connections.html#vpc-peering-dns)
+ [VPC 中的 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Application Load Balancer 目標群組加密的通訊協定
**Description**
檢查 Application Load Balancer (ALB) 目標群組正在使用 HTTPS 通訊協定來加密傳輸中執行個體或 IP 後端目標類型的通訊。ALB 和後端目標之間的 HTTPS 請求有助於維護傳輸中資料的資料機密性。
**檢查 ID**
`c2vlfg0p1w`
**警示條件**
+ 黃色:使用 HTTP 的 Application Load Balancer 目標群組。
+ 綠色:使用 HTTPS 的 Application Load Balancer 目標群組。
**建議的動作**
設定後端目標類型的執行個體或 IP 以支援 HTTPS 存取,並將目標群組變更為使用 HTTPS 通訊協定來加密 ALB 與後端目標類型的執行個體或 IP 之間的通訊。
**其他資源**
[強制執行傳輸中的加密](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html)
[Application Load Balancer 目標類型](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-type)
[Application Load Balancer 路由組態](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-group-routing-configuration)
[Elastic Load Balancing 中的資料保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/data-protection.html)
**報告欄位**
+ 狀態
+ 區域
+ ALB Arn
+ ALB 名稱
+ ALB VPC ID
+ 目標群組 Arn
+ 目標群組名稱
+ 目標群組通訊協定
+ 上次更新時間
## AWS Backup 無資源型政策的保存庫,以防止刪除復原點
**Description**
檢查 AWS Backup 保存庫是否具有連接的資源型政策,以防止復原點刪除。
資源型政策可防止意外刪除復原點,讓您以最低權限對備份資料強制執行存取控制。
您可以指定您不希望規則在規則的 **principalArnList** 參數中檢查的 AWS Config AWS Identity and Access Management ARNs。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz152`
**來源**
`AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled`
**警示條件**
黃色:有保存 AWS Backup 庫沒有資源型政策以防止刪除復原點。
**建議的動作**
為您的保存 AWS Backup 庫建立資源型政策,以防止意外刪除復原點。
此政策必須包含具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle,以及 backup:PutBackupVaultAccessPolicy 許可的「拒絕」陳述式。
如需詳細資訊,請參閱[設定備份文件庫的存取政策](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CloudTrail 管理事件記錄
**Description**
檢查您對 的使用 AWS CloudTrail。CloudTrail 可讓您更清楚了解 中的活動 AWS 帳戶。它透過記錄帳戶上 API AWS 呼叫的相關資訊來執行此操作。例如,您可以使用這些日誌來判斷特定使用者在指定時段內採取的動作,或是哪些使用者在指定時段內對特定資源採取了動作。
由於 CloudTrail 會將日誌檔案交付至 Amazon Simple Storage Service (Amazon S3) 儲存貯體,因此 CloudTrail 必須擁有儲存貯體的寫入許可。如果線索套用到所有 AWS 區域 (建立新線索時的預設值),則線索會在 Trusted Advisor 報告中出現多次。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c25hn9x03v`
**警示條件**
+ 紅色:不會為 建立線索 AWS 區域,也不會為任何線索啟用記錄。
+ 黃色:CloudTrail 已啟用,但所有線索都會報告日誌交付錯誤。
+ 綠色:CloudTrail 已啟用,不會報告日誌交付錯誤。
**建議的動作**
若要從主控台建立追蹤並開始記錄,請開啟 [AWS CloudTrail 主控台](https://console.aws.amazon.com/cloudtrail/home)。
若要開始記錄,請參閱[停止和開始追蹤記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create_trail_using_cli.html#stopstartclil)。
如果您收到日誌交付錯誤,請確定儲存貯體存在,且必要政策已連接至儲存貯體。請參閱 [Amazon S3 儲存貯體政策](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create_trail_bucket_policy.html)。
**其他資源**
+ [AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)
+ [支援的區域](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_supported_regions.html)
+ [支援的服務](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_supported_services.html)
+ [為組織建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
**報告欄位**
+ 狀態
+ 區域
+ 已啟用記錄
+ 已回報交付錯誤
+ 上次更新時間
## AWS Lambda 使用已棄用執行時間的函數
**Description**
檢查其 \$1LATEST 版本設定為使用即將棄用或已棄用之執行時間的 Lambda 函數。已棄用的執行時間不符合安全性更新或技術支援的資格
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
已發佈的 Lambda 函數版本是不可變的,這表示可以叫用它們,但無法更新它們。只能更新 Lambda 函數的 `$LATEST` 版本。如需詳細資訊,請參閱 [Lambda 函數版本](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html)。
**檢查 ID**
`L4dfs2Q4C5`
**警示條件**
+ 紅色:函數的 \$1LATEST 版本設定為使用已棄用的執行時間。
+ 黃色:函數的 \$1LATEST 版本正在即將棄用的執行時間上執行。函數會在執行時間棄用日期前至少 180 天包含。
**建議的動作**
如果您有函數正在接近棄用的執行階段上執行,您應該準備將這些函數遷移至受支援的執行階段。如需詳細資訊,請參閱[執行階段支援政策](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html)。
建議您刪除已不再使用的先前函數版本。
**其他資源**
[Lambda 執行階段](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html)
**報告欄位**
+ 狀態
+ 區域
+ 函數 ARN
+ 執行時期
+ 距離棄用的天數
+ 取代日期
+ 平均每日叫用次數
+ 上次更新時間
## AWS Well-Architected 安全性的高風險問題
**Description**
檢查安全性支柱中,工作負載是否有高風險問題 (HRI)。這項檢查是以您的 AWS-Well Architected 檢閱為基礎。您的檢查結果取決於您是否使用 AWS Well-Architected 完成工作負載評估。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Wxdfp4B1L3`
**警示條件**
+ 紅色:在 AWS Well-Architected 的安全支柱中至少發現一個作用中的高風險問題。
+ 綠色:在 AWS Well-Architected 的安全支柱中未偵測到作用中的高風險問題。
**建議的動作**
AWS Well-Architected 在工作負載評估期間偵測到高風險問題。解決這些問題,可能有機會降低風險和節省成本。登入 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具,檢閱答案並採取行動,解決待處理的問題。
**報告欄位**
+ 狀態
+ 區域
+ 工作負載 ARN
+ 工作負載名稱
+ 檢閱者姓名
+ 工作負載類型
+ 工作負載開始日期
+ 工作負載上次修改日期
+ 安全性方面已識別的高風險問題數量
+ 安全性方面已解決的高風險問題數量
+ 安全性方面的問題數量
+ 安全性支柱中的問題總數
+ 上次更新時間
## IAM 憑證存放區中的 CloudFront 自訂 SSL 憑證
**Description**
此檢查適用於傳統 Amazon CloudFront 分佈。
檢查 IAM 憑證存放區中的 SSL 憑證是否有 CloudFront 備用網域名稱。這項檢查會在憑證過期、即將過期、使用過期的加密或未正確設定分佈時發出提醒。
當備用網域名稱的自訂憑證到期時,顯示 CloudFront 內容的瀏覽器可能會出現有關您網站安全性的警告訊息。使用 SHA-1 雜湊演算法加密的憑證已由大多數 Web 瀏覽器取代,例如 Chrome 和 Firefox。
憑證包含的網域名稱,必須與原始網域名稱或檢視者請求之主機標頭中的網域名稱相符。如果不相符,CloudFront 會傳回 HTTP 狀態代碼 502 (錯誤閘道) 給使用者。如需詳細資訊,請參閱[使用備用網域名稱與 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS)。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`N425c450f2`
**警示條件**
+ 紅色:自訂 SSL 憑證已過期。
+ 黃色:自訂 SSL 憑證會在接下來的七天內到期。
+ 黃色:自訂 SSL 憑證使用 SHA-1 雜湊演算法加密。
+ 黃色:分佈中的一個或多個備用網域名稱沒有出現在自訂 SSL 憑證的 Common Name (通用名稱) 欄位或 Subject Alternative Names (主體備用名稱) 欄位中。
**建議的動作**
建議您使用 AWS Certificate Manager 來佈建、管理和部署伺服器憑證。使用 ACM,您可以請求新的憑證,或將現有的 ACM 或外部憑證部署至 AWS 資源。ACM 提供的憑證是免費的,並且可以自動續約。如需有關使用 ACM 的詳細資訊,請參閱《 使用者指南》[AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)。若要驗證 AWS 區域 ACM 支援,請參閱 中的[AWS Certificate Manager 端點](https://docs.aws.amazon.com/general/latest/gr/acm.html)和配額 AWS 一般參考。
續約過期的憑證或即將過期的憑證。如需續約憑證的詳細資訊,請參閱在 IAM 中[管理伺服器憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)。
以使用 SHA-256 雜湊演算法加密的憑證,取代使用 SHA-1 雜湊演算法加密的憑證。
以 Common Name (通用名稱) 欄位或 Subject Alternative Names (主體備用網域名稱) 欄位中有適用值的憑證來取代該憑證。
**其他資源**
[使用 HTTPS 連線存取物件](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html)
[匯入憑證](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)
[AWS Certificate Manager 使用者指南](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)
**報告欄位**
+ 狀態
+ 分佈 ID
+ 分佈網域名稱
+ 憑證名稱
+ Reason
## 原始伺服器上的 CloudFront SSL 憑證
**Description**
檢查原始伺服器是否有已過期、即將過期、遺失或使用過期加密的 SSL 憑證。如果憑證出現上述任一問題,CloudFront 會以 HTTP 狀態代碼 502 (錯誤閘道) 回應您的內容請求。
Chrome 和 Firefox 等 Web 瀏覽器已棄用使用 SHA-1 雜湊演算法加密的憑證。根據您與 CloudFront 分佈相關聯的 SSL 憑證數量,此檢查可能會向您的 Web 託管供應商的帳單新增每月幾分錢,例如, AWS 如果您使用 Amazon EC2 或 Elastic Load Balancing 作為 CloudFront 分佈的原始伺服器。此檢查不會驗證您的原始伺服器憑證鏈結或憑證授權單位。您可以在 CloudFront 組態中檢查這些事項。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`N430c450f2`
**警示條件**
+ 紅色:您原始伺服器上的 SSL 憑證已過期或遺失。
+ 黃色:您原始伺服器上的 SSL 憑證會在三十天後到期。
+ 黃色:您原始伺服器上的 SSL 憑證使用 SHA-1 雜湊演算法加密。
+ 黃色:找不到您原始伺服器上的 SSL 憑證。連線可能因為逾時或其他 HTTPS 連線問題而失敗。
**建議的動作**
如果您原始伺服器上的憑證已過期或即將到期,請更新憑證。
如果憑證不存在,則新增憑證。
以使用 SHA-256 雜湊演算法加密的憑證,取代使用 SHA-1 雜湊演算法加密的憑證。
**其他資源**
[使用備用網域名稱和 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS)
**報告欄位**
+ 狀態
+ 分佈 ID
+ 分佈網域名稱
+ Origin
+ Reason
## ELB 接聽程式安全性
**Description**
檢查具有未使用建議安全組態進行加密通訊之接聽程式的傳統負載平衡器。 AWS 建議您使用安全通訊協定 (HTTPS 或 SSL)、up-to-date安全政策,以及安全的密碼和通訊協定。當您為前端連線 (用戶端至負載平衡器) 使用安全通訊協定時,請求會在用戶端和負載平衡器之間加密。這會建立更安全的環境。Elastic Load Balancing 提供預先定義的安全政策,其加密和通訊協定符合 AWS 安全最佳實務。預先定義政策的新版本會隨著新組態開放使用而發佈。
**檢查 ID**
`a2sEc6ILx`
**警示條件**
+ 紅色:負載平衡器沒有使用安全通訊協定 (HTTPS) 設定的接聽程式。
+ 黃色:負載平衡器 HTTPS 接聽程式設定了包含弱密碼的安全政策。
+ 黃色:未使用建議的安全政策設定負載平衡器 HTTPS 接聽程式。
+ 綠色:負載平衡器至少有一個 HTTPS 接聽程式,且所有 HTTPS 接聽程式都設定了建議的政策。
**建議的動作**
如果到負載平衡器的流量必須是安全的,請使用 HTTPS 或 SSL 通訊協定進行前端連線。
將負載平衡器升級至最新版本的預先定義 SSL 安全政策。
僅使用建議的密碼和通訊協定。
如需詳細資訊,請參閱 [Elastic Load Balancing 的接聽程式組態](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-listener-config.html)。
**其他資源**
+ [接聽程式組態快速參考](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/using-elb-listenerconfig-quickref.html)
+ [更新負載平衡器的 SSL 溝通組態](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ssl-config-update.html)
+ [Elastic Load Balancing 的 SSL 溝通組態](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html)
+ [SSL 安全政策表](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-security-policy-table.html)
**報告欄位**
+ 狀態
+ 區域
+ 負載平衡器名稱
+ 負載平衡器連接埠
+ Reason
## Classic Load Balancer 安全群組
**Description**
檢查是否有使用安全群組設定的負載平衡器,允許存取未為負載平衡器設定的連接埠。
如果安全群組允許存取未針對負載平衡器設定的連接埠,資料遺失或遭受惡意攻擊的風險就會增加。
**檢查 ID**
`xSqX82fQu`
**警示條件**
+ 黃色:與負載平衡器相關聯的 Amazon VPC 安全群組的傳入規則,允許存取未在負載平衡器的接聽程式組態中定義的連接埠。
+ 綠色:與負載平衡器相關聯的 Amazon VPC 安全群組傳入規則不允許存取負載平衡器接聽程式組態中未定義的連接埠。
**建議的動作**
設定安全群組規則,將存取權設定為僅限僅負載平衡器接聽程式組態中定義的連接埠和通訊協定可以使用,以及支援 Path MTU 探索的 ICMP 通訊協定可以使用。請參閱 [Classic Load Balancer 的接聽程式](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-listener-config.html)和[在 VPC 中負載平衡器的安全群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-security-groups)。
如果遺失安全群組,請將新的安全群組套用至負載平衡器。建立安全群組規則,將存取權設定為僅限僅負載平衡器接聽程式組態中定義的連接埠和通訊協定可以使用。請參閱[在 VPC 中負載平衡器的安全群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-security-groups)。
**其他資源**
+ [Elastic Load Balancing User Guide](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/) (《Elastic Load Balancing 使用者指南》)
+ [遷移 Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/migrate-classic-load-balancer.html)
+ [設定 Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-configure-load-balancer.html)
**報告欄位**
+ 狀態
+ 區域
+ 負載平衡器名稱
+ 安全群組 ID
+ Reason
## 存取金鑰已暴露
**Description**
檢查常用的程式碼存放庫是否有已遭暴露的存取金鑰,以及可能因為存取金鑰遭入侵而造成的不正常的 Amazon Elastic Compute Cloud (Amazon EC2) 用量。
存取金鑰由存取金鑰 ID 和對應的私密存取金鑰組成。遭暴露的存取金鑰會對您的帳戶和其他使用者構成安全風險,可能會導致未經授權的活動或濫用而產生過多費用,以及違反 [AWS 客戶協議](https://aws.amazon.com/agreement)。
如果您的存取金鑰已遭暴露,請立即採取行動來保護您的帳戶。為了保護您的帳戶免於產生過多費用, AWS 會暫時限制您建立某些 AWS 資源的能力。這無法確保您的帳戶安全。只能限制部分您可能需支付費用的未經授權使用。
此檢查並不保證能識別遭暴露的存取金鑰或遭入侵的 EC2 執行個體。您最終必須負責存取金鑰 AWS 和資源的安全。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
如果顯示存取金鑰的截止日期, AWS 帳戶 如果在該日期之前未停止未經授權的使用, AWS 可能會暫停您的 。如果您認為警示有誤,[請聯絡 AWS 支援](https://console.aws.amazon.com/support/home?#/case/create?issueType=customer-service&serviceCode=customer-account&categoryCode=security)。
中顯示的資訊 Trusted Advisor 可能不會反映您帳戶的最新狀態。在帳戶上所有公開的存取金鑰都解決之前,不會將公開的存取金鑰標記為已解決。此資料同步最多可能需要一週的時間。
**檢查 ID**
`12Fnkpl8Y5`
**警示條件**
+ 紅色:可能已洩露 – AWS 已識別已在網際網路上公開且可能已洩露 (已使用) 的存取金鑰 ID 和對應的私密存取金鑰。
+ 紅色:已公開 – AWS 已識別已在網際網路上公開的存取金鑰 ID 和對應的私密存取金鑰。
+ 紅色:可疑 – 異常的 Amazon EC2 使用情況表示存取金鑰可能已遭到入侵,但尚未被識別為已在網際網路上公開。
**建議的動作**
儘快刪除受影響的存取金鑰。如果金鑰與 IAM 使用者相關聯,請參閱[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingCredentials.html)。
檢查您的帳戶是否有未經授權的使用。登入 [AWS 管理主控台](https://console.aws.amazon.com/) 並檢查每個服務控制台是否存在可疑資源。請特別注意正在執行中的 Amazon EC2 執行個體、Spot 執行個體請求、存取金鑰和 IAM 使用者。您還可以在[帳單和成本管理主控台](https://console.aws.amazon.com/billing/home#/)上檢查整體使用情況。
**其他資源**
+ [管理 AWS 存取金鑰的最佳實務](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html)
+ [AWS 安全稽核準則](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
**報告欄位**
+ 存取金鑰 ID
+ 使用者名稱 (IAM 或根)
+ 詐騙類型
+ 案例 ID
+ 更新時間
+ Location
+ 截止日期
+ 用量 (美元/日)
## IAM 存取金鑰輪換
**Description**
檢查是否有作用中 IAM 存取金鑰過去 90 天內未輪換。
若定期輪換存取金鑰,可以減少在您不知情的情況下使用遭入侵的金鑰來存取資源的機會。就這項檢查的目的而言,上次輪換日期和時間指的是建立存取金鑰或上次啟用的時間。存取金鑰編號和日期來自最新 IAM 憑證報告中的 `access_key_1_last_rotated` 和 `access_key_2_last_rotated` 資訊。
由於憑證報告的重新產生頻率受到限制,因此重新整理此檢查可能不會反映最近的變更。如需詳細資訊,請參閱[取得 AWS 帳戶帳戶的憑證報告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)。
若要建立和輪換存取金鑰,使用者必須擁有相應的許可。如需詳細資訊,請參閱[允許使用者管理自己的密碼、存取金鑰和 SSH 金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_delegate-permissions_examples.html#creds-policies-credentials)。
**檢查 ID**
`DqdJqYeRm5`
**警示條件**
+ 綠色:存取金鑰處於作用中狀態,並在過去的 90 天內輪換過。
+ 黃色:存取金鑰處於作用中狀態,並在過去 2 年內輪換過,但輪換時間已超過 90 天。
+ 紅色:存取金鑰處於作用中狀態,但在過去 2 年內沒有輪換過。
**建議的動作**
定期輪換存取金鑰。請參閱[輪換存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)和[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
**其他資源**
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [如何輪換 IAM 使用者的存取金鑰](https://aws.amazon.com/blogs/security/how-to-rotate-access-keys-for-iam-users/)
**報告欄位**
+ 狀態
+ IAM 使用者
+ 存取金鑰
+ 上次輪換的金鑰
+ Reason
## IAM Access Analyzer 外部存取
**Description**
檢查帳戶層級的 IAM Access Analyzer 外部存取權是否存在。
IAM Access Analyzer 外部存取分析器可協助識別您帳戶中與外部實體共用的資源。分析器接著會建立包含調查結果的集中式儀表板。在 IAM 主控台中啟用新的分析器之後,安全團隊就可以根據過多許可排定要檢閱哪些帳戶的優先順序。外部存取分析器會建立資源的公有和跨帳戶存取調查結果,並且免費提供。
**檢查 ID**
`07602fcad6`
**警示條件**
+ 紅色:未在帳戶層級啟用分析器外部存取權。
+ 綠色:分析器外部存取權會在帳戶層級啟用。
**建議的動作**
每個帳戶的外部存取分析器建立可協助安全團隊根據過多許可排定要檢閱哪些帳戶的優先順序。如需詳細資訊,請參閱[問題 AWS Identity and Access Management Access Analyzer 清單入門](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)。
此外,最佳實務是使用未使用的存取分析器,這是一種付費功能,可簡化檢查未使用的存取,以引導您取得最低權限。如需詳細資訊,請參閱[識別授予 IAM 使用者和角色的未使用存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-unused-access-analysis)。
**其他資源**
+ [使用 AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification)
+ [IAM Access Analyzer 更新:尋找未使用的存取權、在部署之前檢查政策 ](https://aws.amazon.com/blogs/aws/iam-access-analyzer-updates-find-unused-access-check-policies-before-deployment)
**報告欄位**
+ 狀態
+ 區域
+ 帳戶外部存取分析器 Arn
+ Organization External Access Analyzer Arns
+ 上次更新時間
## IAM 密碼政策
**Description**
檢查帳戶的密碼策略,並在密碼政策未啟用或密碼內容要求未啟用時發出警告。
密碼內容要求可藉由強制建立高強度使用者密碼,提高您 AWS 環境的整體安全性。建立或變更密碼政策時,對立即為新的使用者強制執行該項變更,但不會要求現有使用者變更密碼。
**檢查 ID**
`Yw2K9puPzl`
**警示條件**
+ 綠色:啟用密碼政策並啟用建議的內容需求。
+ 黃色:已啟用密碼政策,但至少有一項內容要求未啟用。
**建議的動作**
如果未啟用某些內容要求,請考慮啟用它們。如果未啟用密碼政策,請建立並設定一個密碼政策。請參閱[設定 IAM 使用者的帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingPasswordPolicies.html)。
若要存取 AWS 管理主控台,IAM 使用者需要密碼。作為最佳實務, AWS 強烈建議您不要建立 IAM 使用者,而是使用聯合。聯合允許使用者使用其現有的公司登入資料來登入 AWS 管理主控台。使用 IAM Identity Center 建立或聯合使用者,然後在 帳戶中擔任 IAM 角色。
若要進一步了解身分提供者和聯合身分,請參閱《IAM 使用者指南》中的[身分提供者和聯合身分](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html)。若要進一步了解 IAM Identity Center,請參閱 [IAM Identity Center 使用者指南](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
**其他資源**
[管理密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/Credentials-ManagingPasswords.html)
**報告欄位**
+ 密碼政策
+ 大寫
+ 小寫
+ Number
+ 非英數字元
## IAM SAML 2.0 身分提供者
**Description**
檢查 是否 AWS 帳戶 設定為透過支援 SAML 2.0 的身分提供者 (IdP) 存取。當您集中身分並在[外部身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)或 中設定使用者時,請務必遵循最佳實務[AWS IAM Identity Center](https://aws.amazon.com/single-sign-on/)。
**檢查 ID**
`c2vlfg0p86`
**警示條件**
+ 黃色:此帳戶未設定為透過支援 SAML 2.0 的身分提供者 (IdP) 存取。
+ 綠色:此帳戶設定為透過支援 SAML 2.0 的身分提供者 (IdP) 存取。
**建議的動作**
為 啟用 IAM Identity Center AWS 帳戶。如需詳細資訊,請參閱[EnablingIAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。開啟 IAM Identity Center 之後,您可以執行常見的任務,例如建立許可集並指派 Identity Center 群組的存取權。如需詳細資訊,請參閱[常見任務](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。
這是在 IAM Identity Center 中管理人類使用者的最佳實務。但是,您可以使用 IAM 為小型部署的人類使用者短期啟用聯合身分使用者存取。如需詳細資訊,請參閱 [SAML 2.0 聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html)。
**其他資源**
[什麼是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
[什麼是 IsIAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html)
**報告欄位**
+ 狀態
+ AWS 帳戶 ID
+ 上次更新時間
## 根帳戶的 MFA
**Description**
檢查帳戶的根使用者憑證,並在未啟用多重驗證 (MFA) 時發出警告。
為了提高安全性,我們建議您使用 MFA 來保護您的帳戶,這需要使用者在與 AWS 管理主控台 和相關聯的網站互動時,從其 MFA 硬體或虛擬裝置輸入唯一的驗證碼。
對於您的 AWS Organizations 管理帳戶, 存取 時 AWS 需要根使用者的多重驗證 (MFA) AWS 管理主控台。
對於您的 AWS Organizations 成員帳戶,我們建議您使用 集中管理根登入資料 AWS Identity and Access Management。成員帳戶根使用者憑證可以集中刪除,無需管理根使用者憑證上的 MFA。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[成員帳戶的最佳實務](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)。
**檢查 ID**
`7DAFEmoDos`
**警示條件**
+ 紅色:根帳戶上未啟用 MFA。
+ 綠色:不存在根使用者登入資料 (根密碼),或為帳戶啟用 MFA。
**建議的動作**
**如果這是 中的成員帳戶 AWS Organizations:**登入您的管理帳戶,在 IAM 中啟用根存取管理功能,並從此成員帳戶移除您的根使用者憑證。請參閱[集中成員帳戶的根存取權](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-enable-root-access.html)。
**如果這是 中的獨立或管理帳戶 AWS Organizations:**登入您的根帳戶並啟用 MFA 裝置。如需詳細資訊,請參閱在 IAM 中[檢查 MFA 狀態](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_checking-status.html)和多重要素驗證 [AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
**其他資源**
+ [集中管理成員帳戶的根存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)
+ [AWS IAM 中的多重要素驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [AWS 帳戶 根使用者的多重要素驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)
## 根使用者存取金鑰
**Description**
檢查根使用者存取金鑰是否存在。強烈建議您不要為根使用者建立存取金鑰對。由於[只有少數任務需要根使用者,](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)而且您通常不常執行這些任務,因此最佳實務是登入 AWS 管理主控台 以執行根使用者任務。建立存取金鑰之前,請檢閱[長期存取金鑰的替代方案](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html#sec-alternatives-to-long-term-access-keys)。
**檢查 ID**
`c2vlfg0f4h`
**警示條件**
+ 紅色:根使用者存取金鑰存在
+ 綠色:根使用者存取金鑰不存在
**建議的動作**
刪除根使用者的存取金鑰 (s)。請參閱[刪除根使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user_manage_delete-key.html)。此任務必須由根使用者執行。您無法以 IAM 使用者或角色的身分執行這些步驟。
**其他資源**
+ [需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)
+ [重設遺失或忘記的根使用者密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)
報告欄位
+ 狀態
+ 帳戶 ID
+ 上次更新時間
## 安全群組-— 不受限制的特定連接埠
**Description**
檢查安全群組的規則是否允許對特定連接埠進行無限制存取 (0.0.0.0/0)。
不受限制的存取會增加惡意活動的機會 (駭客攻擊、阻斷服務攻擊、資料遺失)。風險最高的連接埠會標示為紅色,而風險較低的連接埠會標示為黃色。標示為綠色的連接埠通常由需要不受限制存取的應用程式 (例如 HTTP 和 SMTP) 使用。
如果您刻意以這種方式設定安全群組,建議您使用其他安全措施來保護基礎設施 (例如 IP 表)。
此檢查只會評估您為 IPv4 地址建立的安全群組及其傳入規則。建立 AWS Directory Service 的安全群組會標記為紅色或黃色,但不會構成安全風險,而且可以排除。如需詳細資訊,請參閱 [Trusted Advisor 常見問答集](https://aws.amazon.com/premiumsupport/faqs/#AWS_Trusted_Advisor)。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`HCP4007jGY`
**警示條件**
+ 綠色:安全群組可在連接埠 80、25、443 或 465 上提供不受限制的存取。
+ 紅色:安全群組連接到資源,並提供連接埠 20、21、22、1433、1434、3306、3389、4333、5432 或 5500 的無限制存取。
+ 黃色:安全群組提供對任何其他連接埠的無限制存取。
+ 黃色:安全群組未連接到任何資源,並提供不受限制的存取。
**建議的動作**
將存取權設定為僅限需要存取權的 IP 地址使用。若要將存取權設定為僅限特定 IP 地址使用,請將尾碼設定為 /32 (例如 192.0.2.10/32)。建立更嚴格的規則之後,請務必刪除過於寬鬆的規則。
檢閱和刪除未使用的安全群組。您可以使用 AWS Firewall Manager 跨 大規模集中設定和管理安全群組 AWS 帳戶。如需詳細資訊,請參閱 [AWS Firewall Manager 文件](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)。
考慮使用 Systems Manager Sessions Manager for SSH (連接埠 22) 和 RDP (連接埠 3389) 存取 EC2 執行個體。使用工作階段管理員,您可以存取 EC2 執行個體,而無需在安全群組中啟用連接埠 22 和 3389。
**其他資源**
+ [Amazon EC2 安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
[TCP 和 UDP 連接埠號碼清單](http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)
+ [無類別網域間路由](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [使用工作階段管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with.html)
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
**報告欄位**
+ 狀態
+ 區域
+ 安全群組名稱
+ 安全群組 ID
+ 通訊協定
+ 從連接埠
+ 到連接埠
+ 關聯
## 安全群組 - 不受限制的存取
**Description**
檢查安全群組的規則是否允許不受限制存取資源。
不受限制的存取會增加惡意活動的機會 (駭客攻擊、阻斷服務攻擊、資料遺失)。
此檢查只會評估您建立的安全群組及其 IPv4 地址的傳入規則。建立的安全群組會 AWS Directory Service 標記為紅色或黃色,但不會構成安全風險,而且可以排除。如需詳細資訊,請參閱 [Trusted Advisor 常見問答集](https://aws.amazon.com/premiumsupport/faqs/#AWS_Trusted_Advisor)。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`1iG5NDGVre`
**警示條件**
+ 綠色:安全群組規則具有連接埠 25、80 或 443 的 /0 尾碼的來源 IP 地址。
+ 黃色:安全群組規則具有 /0 尾碼的來源 IP 地址,用於 25、80 或 443 以外的連接埠,且安全群組會連接到資源。
+ 紅色:安全群組規則具有 /0 尾碼的來源 IP 地址,用於 25、80 或 443 以外的連接埠,且安全群組未連接到資源。
**建議的動作**
將存取權設定為僅限需要存取權的 IP 地址使用。若要將存取權設定為僅限特定 IP 地址使用,請將尾碼設定為 /32 (例如 192.0.2.10/32)。建立更嚴格的規則之後,請務必刪除過於寬鬆的規則。
檢閱和刪除未使用的安全群組。您可以使用 AWS Firewall Manager 跨 大規模集中設定和管理安全群組 AWS 帳戶。如需詳細資訊,請參閱 [AWS Firewall Manager 文件](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)。
考慮使用 Systems Manager Sessions Manager for SSH (連接埠 22) 和 RDP (連接埠 3389) 存取 EC2 執行個體。使用工作階段管理員,您可以存取 EC2 執行個體,而無需在安全群組中啟用連接埠 22 和 3389。
**其他資源**
+ [Amazon EC2 安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [無類別網域間路由](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [使用工作階段管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with.html)
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
**報告欄位**
+ 狀態
+ 區域
+ 安全群組名稱
+ 安全群組 ID
+ 通訊協定
+ 從連接埠
+ 到連接埠
+ IP 範圍
+ 關聯
# 容錯能力
您可以針對容錯能力類別使用下列檢查。
**Contents**
+ [ALB 多可用區域](#alb-multi-az)
+ [未啟用 Amazon Aurora MySQL 叢集回溯功能](#amazon-aurora-mysql-cluster-backtracking-not-enabled)
+ [Amazon Aurora 資料庫執行個體存取性](#amazon-aurora-db-instance-accessibility)
+ [Amazon CloudFront 原始伺服器容錯移轉](#amazon-cloudfront-origin-failover)
+ [Amazon Comprehend 端點存取風險](#amazon-comprehend-endpoint-access-risk)
+ [Amazon DocumentDB 單一 AZ 叢集](#amazon-documentdb-single-az-clusters)
+ [Amazon DynamoDB 時間點復原](#amazon-dynamodb-table-point-in-time-recovery)
+ [Amazon DynamoDB 資料表並未包含在備份計畫中](#amazon-dynamodb-table-not-in-backup-plan)
+ [AWS Backup 計劃中不包含 Amazon EBS](#amazon-ebs-not-in-backup-plan)
+ [Amazon EBS 快照](#amazon-ebs-snapshots)
+ [Amazon EC2 Auto Scaling 未啟用 ELB 運作狀態檢查](#amazon-ec2-auto-scaling-group-no-elb-health-check)
+ [Amazon EC2 Auto Scaling 群組已啟用了容量重新平衡](#amazon-ec2-auto-scaling-group-capacity-rebalance-enabled)
+ [Amazon EC2 Auto Scaling 未部署在多個 AZ 中,或不符合最少 AZ 數量](#amazon-ec2-auto-scaling-group-multiple-az)
+ [Amazon EC2 可用區域平衡](#amazon-ec2-availability-zone-balance)
+ [Amazon EC2 詳細監控未啟用](#amazon-ec2-detailed-monitoring-not-enabled)
+ [Amazon ECS AWS Logs 驅動程式處於封鎖模式](#amazon-ecs-awslogs-driver-blockingmode)
+ [Amazon ECS 服務使用單一 AZ](#amazon-ecs-service-single-az)
+ [Amazon ECS Multi-AZ 放置策略](#amazon-ecs-multi-az-placement-strategy)
+ [Amazon EFS 無掛載目標備援](#amazon-efs-no-mount-target-redundancy)
+ [Amazon EFS 不在 AWS Backup 計劃中](#amazon-efs-not-in-backup-plan)
+ [Amazon ElastiCache Multi-AZ 叢集](#amazon-elasticache-multi-az-clusters)
+ [ElastiCache (Redis OSS) 叢集自動備份](#amazon-elasticache-redis-clusters-auto-backup)
+ [Amazon MemoryDB Multi-AZ 叢集](#amazon-memorydb-multi-az-clusters)
+ [Amazon MSK 代理程式託管過多分割區](#amazon-msk-brokers-hosting-too-many-partitions)
+ [Amazon MSK 叢集異地同步備份](#amazon-msk-cluster-multi-az)
+ [具有少於三個資料節點的 Amazon OpenSearch Service 網域](#amazon-opensearch-service-domains-less-than-three-nodes)
+ [Amazon RDS 備份](#amazon-rds-backups)
+ [Amazon RDS 持續備份未啟用](#amazon-rds-cont-backups)
+ [Amazon RDS 資料庫叢集有一個資料庫執行個體](#amazon-rds-db-clusters-one-db-instance)
+ [具有相同可用區域中所有執行個體的 Amazon RDS 資料庫叢集](#amazon-rds-db-clusters-same-az)
+ [具有相同可用區域中所有讀取器執行個體的 Amazon RDS 資料庫叢集](#amazon-rds-reader-instances-same-az)
+ [未啟用 Amazon RDS 資料庫執行個體增強型監控](#amazon-rds-db-instance-enhanced-monitoring-not-enabled)
+ [Amazon RDS 資料庫執行個體已關閉儲存體自動調整規模](#amazon-rds-db-instance-storage-autoscaling-off)
+ [未使用異地同步備份部署的 Amazon RDS 資料庫執行個體](#amazon-rds-db-instances-not-using-multi)
+ [Amazon RDS DiskQueueDepth](#Amazon-RDS-DiskQueueDepth)
+ [Amazon RDS FreeStorageSpace](#Amazon-RDS-FreeStorageSpace)
+ [Amazon RDS log\$1output 參數設定為資料表](#amazon-rds-log-parameter-set-to-table)
+ [Amazon RDS innodb\$1default\$1row\$1format 參數設定不安全](#rds-innodb-default-row-format-unsafe)
+ [Amazon RDS innodb\$1flush\$1log\$1at\$1trx\$1commit 參數不是 1](#rds-innodb-flush-log-at-trx-parameter-off)
+ [Amazon RDS max\$1user\$1connections 參數過低](#rds-max-user-connections-parameter-low)
+ [Amazon RDS Multi-AZ](#amazon-rds-multi-az)
+ [Amazon RDS 不在 AWS Backup 計劃中](#amazon-rds-not-in-backup-plan)
+ [Amazon RDS 僅供讀取複本以可寫入模式開啟](#rds-read-replicas-writable)
+ [Amazon RDS 資源自動備份已關閉](#amazon-rds-auto-backup-off)
+ [Amazon RDS sync\$1binlog 參數已關閉](#rds-sync-binlog-parameter-off)
+ [RDS 資料庫叢集未啟用 Multi-AZ 複寫](#rds-db-cluster-multi-zone-replication-not-enabled)
+ [未啟用 RDS Multi-AZ 備用執行個體](#rds-multi-az-standby-instance)
+ [Amazon RDS ReplicaLag](#Amazon-RDS-ReplicaLag)
+ [Amazon RDS synchronous\$1commit 參數已關閉](#rds-synchronous-commit-parameter-off)
+ [Amazon Redshift 叢集自動快照](#amazon-redshift-cluster-automated-snapshots)
+ [Amazon Route 53 已刪除運作狀態檢查](#amazon-route-53-deleted-health-checks)
+ [Amazon Route 53 容錯移轉資源記錄集](#amazon-route-53-failover-resource-record-sets)
+ [Amazon Route 53 高 TTL 資源記錄集](#amazon-route-53-high-ttl-resource-record-sets)
+ [Amazon Route 53 名稱伺服器委派](#amazon-route-53-name-server-delegations)
+ [Amazon Route 53 Resolver 端點可用區域備援](#amazon-route53-resolver-endpoint-availability-zone-redundancy)
+ [未啟用 Amazon S3 儲存貯體複寫](#amazon-s3-bucket-replication-not-enabled)
+ [Amazon S3 Bucket Versioning](#amazon-s3-bucket-versioning)
+ [應用程式、網路及閘道負載平衡器未跨多個可用區域](#application-network-load-balancers-not-span-multi-az)
+ [Auto Scaling 在子網路中的可用 IP](#auto-scaling-available-ips-in-subnets)
+ [Auto Scaling 群組運作狀態檢查](#auto-scaling-group-health-check)
+ [Auto Scaling 群組資源](#auto-scaling-group-resources)
+ [AWS CloudHSM 在單一 AZ 中執行 HSM 執行個體的 叢集](#aws-cloudhsm-clusters-running-hsm-instances-in-a-single-az)
+ [Direct Connect 位置彈性](#amazon-direct-connect-location-resiliency)
+ [AWS Lambda 未設定無效字母佇列的 函數](#aws-lambda-functions-without-dlq)
+ [AWS Lambda 失敗時事件目的地](#AWS-Lambda-On-Failure-Event-Destinations)
+ [AWS Lambda 無異地同步備份備援的已啟用 VPC 的函數](#aws-lambda-vpc-enabled-functions-without-multi-az-redundancy)
+ [AWS Outposts 單一機架部署](#aws-outposts-single-rack-deployment)
+ [AWS Resilience Hub 應用程式元件檢查](#amazon-resilience-hub-application-component-check)
+ [AWS Resilience Hub 已違反政策](#aws-resilience-hub-policy-breached)
+ [AWS Resilience Hub 彈性分數](#aws-resilience-hub-resilience-scores)
+ [AWS Resilience Hub 評估存留期](#aws-resilience-hub-assessment-age)
+ [AWS Site-to-Site VPN 至少有一個通道處於 DOWN 狀態](#aws-site-to-site-vpn-tunnel-in-down-status)
+ [AWS STS 跨 的全域端點用量 AWS 區域](#sts-global-endpoint)
+ [AWS Well-Architected 可靠性的高風險問題](#well-architected-high-risk-issues-reliability)
+ [Classic Load Balancer 未設定多個 AZ](#classic-load-balancewr-no-multi-azs)
+ [CLB 連線耗盡](#elb-connection-draining)
+ [ELB 目標不平衡](#elb-target-imbalance)
+ [GWLB - 端點可用區域獨立性](#gwlb-endpoint-az-independence)
+ [負載平衡器最佳化](#load-balancer-optimization)
+ [NAT Gateway AZ 獨立性](#nat-gateway-az-independence)
+ [Network Firewall 端點 AZ 獨立性](#network-firewall-endpoint-az-independence)
+ [Network Firewall 多可用區域](#network-firewall-multi-az)
+ [跨負載平衡的 Network Load Balancer](#network-load-balancers-cross-load-balancing)
+ [NLB - 私有子網路中的面向網際網路的資源](#nlb-internet-facing-resources-private-subnet)
+ [NLB 多可用區域](#nlb-multi-az)
+ [AWS 區域 Incident Manager 複寫集中的 數目](#number-of-aws-regions-in-an-incident-manager-replication-set)
+ [單一 AZ 應用程式檢查](#single-az-application-check)
+ [多個 AZs 中的 VPC 介面端點網路介面](#vpc-interface-endpoint-network-interface-multi-az)
+ [VPN 通道備援](#vpn-tunnel-redundancy)
+ [ActiveMQ 可用區域備援](#activemq-availability-zone-redundancy)
+ [RabbitMQ 可用區域備援](#rabbitmq-availability-zone-redundancy)
## ALB 多可用區域
**Description**
檢查您的 Application Load Balancer 是否設定為使用多個可用區域 (AZ)。AZ 是明顯與其他區域中的故障隔絕開來的地點。在相同區域的多個 AZs 中設定負載平衡器,以協助改善工作負載可用性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch08`
**警示條件**
黃色:ALB 位於單一 AZ 中。
綠色:ALB 有兩個或多個 AZs。
**建議的動作**
請確定您的負載平衡器已設定至少兩個可用區域。
如需詳細資訊,請參閱《[Application Load Balancer 的可用區域](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-subnets.html)》。
**其他資源**
如需詳細資訊,請參閱下列 文件:
+ [Elastic Load Balancing 的運作方式](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#AZ-Region)
+ [區域、可用區域和本地區域](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html)
**報告欄位**
+ 狀態
+ 區域
+ ALB 名稱
+ ALB 規則
+ ALB ARN
+ AZ 數量
+ 上次更新時間
## 未啟用 Amazon Aurora MySQL 叢集回溯功能
**Description**
檢查 Amazon Aurora MySQL 叢集是否已啟用回溯功能。
Amazon Aurora MySQL 叢集回溯是一項功能,可讓您將 Aurora 資料庫叢集還原到先前的時間點,而無需建立新叢集。它可讓您將資料庫復原到保留期間內的特定時間點,而無需從快照還原。
您可以在 AWS Config 規則的 **BacktrackWindowInHours** 參數中調整恢復時段 (小時)。
如需詳細資訊,請參閱[恢復 Aurora 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz131`
**來源**
`AWS Config Managed Rule: aurora-mysql-backtracking-enabled`
**警示條件**
黃色:未啟用 Amazon Aurora MySQL 叢集回溯功能。
**建議的動作**
開啟 Amazon Aurora MySQL 叢集的回溯功能。
如需詳細資訊,請參閱[恢復 Aurora 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)。
**其他資源**
[回溯 Aurora 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon Aurora 資料庫執行個體存取性
**Description**
檢查是否有 Amazon Aurora 資料庫叢集同時具備私有執行個體和公有執行個體。
如果主要資料庫執行個體失敗,可將複本提升為主要執行個體。如果該複本是私有的,則只具公有存取權的使用者在容錯移轉後將無法再連線至資料庫。建議叢集中的所有資料庫執行個體都具有相同的存取性。
**檢查 ID**
`xuy7H1avtl`
**警示條件**
黃色:Aurora 資料庫叢集中的執行個體具有不同的可存取性 (混合公有和私有)。
**建議的動作**
修改資料庫叢集中執行個體的 `Publicly Accessible` 設定,使其全部為公有或私有。如需詳細資訊,請參閱[修改執行 MySQL 資料庫引擎的資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ModifyInstance.MySQL.html)中關於 MySQL 執行個體的指示。
**其他資源**
[Aurora 資料庫叢集的容錯能力](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Aurora.Managing.html#Aurora.Managing.FaultTolerance)
**報告欄位**
+ 狀態
+ 區域
+ 叢集
+ 公有資料庫執行個體
+ 私有資料庫執行個體
+ Reason
## Amazon CloudFront 原始伺服器容錯移轉
**Description**
檢查原始伺服器群組是否已針對在 Amazon CloudFront 中包含兩個原始伺服器的分佈進行設定。
如需詳細資訊,請參閱[使用 CloudFront 原始伺服器容錯移轉最佳化高可用性](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz112`
**來源**
`AWS Config Managed Rule: cloudfront-origin-failover-enabled`
**警示條件**
黃色:未啟用 Amazon CloudFront 原始伺服器容錯移轉。
**建議的動作**
請確定您開啟 CloudFront 分佈的原始伺服器容錯移轉功能,以協助確保內容交付給最終使用者的高可用性。當您開啟此功能時,如果主要原始伺服器無法使用,流量會自動路由到備份原始伺服器。如此能讓潛在的停機時間降至最低,並確保內容的持續可用性。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon Comprehend 端點存取風險
**Description**
檢查使用客戶受管金鑰加密基礎模型之端點的 AWS Key Management Service (AWS KMS) 金鑰許可。如果客戶管理的金鑰已停用、或金鑰政策已變更而改變了 Amazon Comprehend 允許的權限,則端點可用性可能會受到影響。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Cm24dfsM13`
**警示條件**
紅色:如果客戶管理金鑰已停用,或金鑰政策已變更,從而改變了對 Amazon Comprehend 的存取權限。
**建議的動作**
如果客戶管理金鑰已停用,建議您啟用金鑰。如需詳細資訊,請參閱[啟用金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。如果金鑰政策已變更,而您想要繼續使用端點,建議您更新 AWS KMS 金鑰政策。如需詳細資訊,請參閱[變更金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。
**其他資源**
[AWS KMS 許可](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html)
**報告欄位**
+ 狀態
+ 區域
+ 端點 ARN
+ 模型 ARN
+ KMS KeyId
+ 上次更新時間
## Amazon DocumentDB 單一 AZ 叢集
**Description**
檢查是否有 Amazon DocumentDB 叢集設定為單一可用區。
在單一可用區架構中執行 Amazon DocumentDB 工作負載不足以處理高度關鍵的工作負載,從元件故障中復原最多可能需要 10 分鐘。客戶應該在其他可用區域中部署複本執行個體,以確保維護期間的可用性、執行個體故障、元件故障或可用區域故障。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c15vnddn2x`
**警示條件**
黃色:Amazon DocumentDB 叢集的執行個體位於少於三個可用區域。
綠色:Amazon DocumentDB 叢集在三個可用區域中具有執行個體。
**建議的動作**
如果您的應用程式需要高可用性,請修改資料庫執行個體,以使用複本執行個體啟用異地同步備份。請參閱 [Amazon DocumentDB 高可用性和複寫](https://docs.aws.amazon.com/documentdb/latest/developerguide/replication.html)
**其他資源**
[了解 Amazon DocumentDB 叢集容錯能力](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-fault-tolerance.html)
[區域與可用區域](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html)
**報告欄位**
+ 狀態
+ 區域
+ 可用區域
+ DB Cluster Identifier (資料庫叢集識別符)
+ 資料庫叢集 ARN
+ 上次更新時間
## Amazon DynamoDB 時間點復原
**Description**
檢查是否為 Amazon DynamoDB 資料表啟用了時間點復原。
時間點復原有助於保護您的 DynamoDB 資料表免遭意外寫入或刪除操作。有了時間點復原,就無需為建立、維護或排程隨需備份而煩惱。時間點復原可將該資料表還原到過去 35 天內的任何時間點。DynamoDB 維護您資料表的增量備份。
如需詳細資訊,請參閱 [DynamoDB 的時間點復原](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz138`
**來源**
`AWS Config Managed Rule: dynamodb-pitr-enabled`
**警示條件**
黃色:DynamoDB 資料表未啟用時間點復原。
**建議的動作**
在 Amazon DynamoDB 中開啟時間點復原來持續備份您的資料表資料。
如需詳細資訊,請參閱[時間點復原:運作方式](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery_Howitworks.html)。
**其他資源**
[DynamoDB 的時間點復原](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon DynamoDB 資料表並未包含在備份計畫中
**Description**
檢查 Amazon DynamoDB 資料表是否為 AWS Backup 計劃的一部分。
AWS Backup 為 DynamoDB 資料表提供增量備份,以擷取自上次備份以來所做的變更。在 AWS Backup 計劃中包含 DynamoDB 資料表有助於保護您的資料免於意外資料遺失情況,並自動化備份程序。這可以為 DynamoDB 資料表提供可靠且可擴展的備份解決方案,協助確保您寶貴的資料獲得妥善保護,並可視需要進行復原。
如需詳細資訊,請參閱[使用 建立 DynamoDB 資料表的備份 AWS Backup](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/CreateBackupAWS.html)
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz107`
**來源**
`AWS Config Managed Rule: dynamodb-in-backup-plan`
**警示條件**
黃色:Amazon DynamoDB 資料表不包含在 AWS Backup 計劃中。
**建議的動作**
確保您的 Amazon DynamoDB 資料表是 AWS Backup 計劃的一部分。
**其他資源**
[排程備份](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/CreateBackupAWS.html#CreateBackupAWS_scheduled)
[什麼是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
[使用 AWS Backup 主控台建立備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-console)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Backup 計劃中不包含 Amazon EBS
**Description**
檢查備份計劃中是否存在 Amazon EBS 磁碟區 AWS Backup。
在 AWS Backup 計劃中包含 Amazon EBS 磁碟區,以自動定期備份存放在這些磁碟區上的資料。如此可保護您不受資料遺失的影響,讓資料管理更加輕鬆,並可在需要時進行資料復原。備份計畫有助於確保您的資料安全,並且能夠滿足應用程式和服務的復原時間和點目標 (RT/RPO)。
如需詳細資訊,請參閱[建立備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz106`
**來源**
`AWS Config Managed Rule: ebs-in-backup-plan`
**警示條件**
黃色:Amazon EBS 磁碟區不包含在 AWS Backup 計劃中。
**建議的動作**
請確定您的 Amazon EBS 磁碟區是 AWS Backup 計劃的一部分。
**其他資源**
[使用 AWS Backup 主控台建立備份計劃](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-console)
[什麼是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
[開始使用 3:建立排程備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-scheduled-backup.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EBS 快照
**Description**
檢查 Amazon EBS 磁碟區的快照存留期 (可用或使用中)。即使複寫 Amazon EBS 磁碟區,也會發生故障。快照會保留到 Amazon S3,以提供持久的儲存和point-in-time復原。
**檢查 ID**
`H7IgTzjTYb`
**警示條件**
+ 黃色:最新的磁碟區快照已存在 7 到 30 天。
+ 紅色:最新的磁碟區快照已存在超過 30 天。
+ 紅色:磁碟區沒有快照。
**建議的動作**
每週或每月建立磁碟區快照。如需詳細資訊,請參閱[建立 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html)。
若要自動建立 EBS 快照,您可以考慮使用 [AWS Backup](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/new-ebs-volume-backups.html#aws-backup-volume)或 [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/new-ebs-volume-backups.html#amazon-dlm)。
**其他資源**
[Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)
[Amazon EBS 快照](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html)
[AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
[Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-lifecycle.html)
**報告欄位**
+ 狀態
+ 區域
+ 磁碟區 ID
+ 磁碟區名稱
+ 快照 ID
+ 快照名稱
+ 快照存在時間
+ 磁碟區連接
+ Reason
## Amazon EC2 Auto Scaling 未啟用 ELB 運作狀態檢查
**Description**
檢查與 Classic Load Balancer 關聯的 Amazon EC2 Auto Scaling 群組是否使用 Elastic Load Balancing 運作狀態檢查。Auto Scaling 群組的預設運作狀態檢查只會檢查 Amazon EC2 狀態。如果執行個體未通過這些運作狀態檢查,則會標記為運作狀態不佳並予以終止。Amazon EC2 Auto Scaling 會啟動全新替代執行個體。Elastic Load Balancing 運作狀態檢查會定期監控 Amazon EC2 執行個體,以偵測和終止運作狀態不良的執行個體,然後啟動新的執行個體。
如需詳細資訊,請參閱[新增 Elastic Load Balancing 運作狀態檢查](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz104`
**來源**
`AWS Config Managed Rule: autoscaling-group-elb-healthcheck-required`
**警示條件**
黃色:附加至 Classic Load Balancer 的 Amazon EC2 Auto Scaling 群組未啟用 Elastic Load Balancing 運作狀態檢查。
**建議的動作**
確保與 Classic Load Balancer 關聯的 Auto Scaling 群組使用 Elastic Load Balancing 運作狀態檢查。
Elastic Load Balancing 運作狀態檢查報告負載平衡器是否運作狀態良好且可用於處理請求。如此可確保應用程式的高可用性。
如需詳細資訊,請參閱[將 Elastic Load Balancing 運作狀態檢查新增至 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EC2 Auto Scaling 群組已啟用了容量重新平衡
**Description**
檢查是否為使用多個執行個體類型的 Amazon EC2 Auto Scaling 群組啟用了容量重新平衡。
透過容量重新平衡設定 Amazon EC2 Auto Scaling 群組,有助於確保 Amazon EC2 執行個體均勻分佈在可用區域,無論執行個體類型和購買選項為何。它會使用與群組關聯的目標追蹤政策,例如 CPU 使用率或網路流量。
如需詳細資訊,請參閱[具備多個執行個體類型及購買選項的 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html#as-mixed-instance-types.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`AWS Config c18d2gz103`
**來源**
AWS Config 受管規則:autoscaling-capacity-rebalancing
**警示條件**
黃色:未啟用 Amazon EC2 Auto Scaling 群組容量重新平衡。
**建議的動作**
確保已為使用多個執行個體類型的 Amazon EC2 Auto Scaling 群組啟用了容量重新平衡。
如需詳細資訊,請參閱[啟用容量重新平衡 (主控台)](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-capacity-rebalancing.html#enable-capacity-rebalancing-console.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EC2 Auto Scaling 未部署在多個 AZ 中,或不符合最少 AZ 數量
**Description**
檢查 Amazon EC2 Auto Scaling 群組是否部署在多個可用區域之中,或是否部署在指定的可用區域的最小數量之中。在多個可用區域中部署 Amazon EC2 執行個體以確保高可用性。
您可以使用 AWS Config 規則中的 **minAvailibilityZones** 參數來調整可用區域數量下限。
如需詳細資訊,請參閱[具備多個執行個體類型及購買選項的 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html)。
**檢查 ID**
`c18d2gz101`
**來源**
`AWS Config Managed Rule: autoscaling-multiple-az`
**警示條件**
紅色:Amazon EC2 Auto Scaling 群組並未設定多個 AZ,或不符合指定的 AZ 的最小數量。
**建議的動作**
請確定您的 Amazon EC2 Auto Scaling 群組已設定多個 AZ。在多個可用區域中部署 Amazon EC2 執行個體以確保高可用性。
**其他資源**
[使用啟動範本建立 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html)
[使用啟動組態建立 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-configuration.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EC2 可用區域平衡
**Description**
檢查 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體在一個區域中可用區域之間的分配。
可用區域為不同位置,可以隔離其他可用區域的故障。這為同一區域中其他可用區域提供實惠、低延遲的網路連線能力。藉由在同一區域的多個可用區域中啟動執行個體,您可以保護應用程式免於發生單點故障情形。
**檢查 ID**
`wuy7G1zxql`
**警示條件**
+ 黃色:該區域在多個區域中有執行個體,但分佈不均衡 (已使用的可用區域中的最大執行個體數量與最少執行個體數量之間的差異大於 20%)。
+ 紅色:該區域只在單一可用區域內有執行個體。
**建議的動作**
在多個可用區域內均衡分佈 Amazon EC2 執行個體。您可以手動啟動執行個體來執行此操作或使用 Auto Scaling 來自動執行此操作。如需詳細資訊,請參閱[啟動您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html)和[平衡您的 Auto Scaling 群組負載](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/US_SetUpASLBApp.html)。
**其他資源**
+ 《[Amazon EC2 Auto Scaling 使用者指南](https://docs.aws.amazon.com/autoscaling/ec2/userguide/)》
+ [Amazon EC2 執行個體的置放群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/placement-groups.html)
+ [Amazon EC2 執行個體類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html)
**報告欄位**
+ 狀態
+ 區域
+ 區域 a 執行個體
+ 區域 b 執行個體
+ 區域 c 執行個體
+ 區域 e 執行個體
+ 區域 f 執行個體
+ Reason
## Amazon EC2 詳細監控未啟用
**Description**
檢查您的 Amazon EC2 執行個體是否啟用詳細監控。
Amazon EC2 詳細監控提供時間間隔更小的指標,發佈間隔為一分鐘,而 Amazon EC2 基本監控的發怖間隔為五分鐘。啟用 Amazon EC2 的詳細監控,可幫助您更完善管理 Amazon EC2 資源,以便您可以更快地尋找趨勢並採取行動。
如需詳細資訊,請參閱[基本監控和詳細監控](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-metrics-basic-detailed.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`AWS Config c18d2gz144`
**來源**
AWS Config 受管規則:ec2-instance-detailed-monitoring-enabled
**警示條件**
黃色:Amazon EC2 執行個體未啟用詳細監控功能。
**建議的動作**
開啟 Amazon EC2 執行個體的詳細監控功能,增加 Amazon EC2 指標資料發布到 Amazon CloudWatch 的頻率 (從 5 分鐘增加到 1 分鐘間隔)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon ECS AWS Logs 驅動程式處於封鎖模式
**Description**
檢查在封鎖模式下使用 AWS Logs 記錄驅動程式設定的 Amazon ECS 任務定義。在封鎖模式中設定的驅動程式會危及系統的可用性。
此檢查不會考慮帳戶層級的驅動程式組態設定。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dvkm4z6b`
**警示條件**
黃色:awslogs 驅動程式記錄組態參數模式設定為封鎖。
綠色:Amazon ECS 任務定義未使用 awslogs 驅動程式,或 awslogs 驅動程式設定為非封鎖模式。
**建議的動作**
若要降低可用性風險,請考慮將任務定義 AWS Logs 驅動程式組態從封鎖變更為非封鎖。使用非封鎖模式時,您必須設定 max-buffer-size 參數的值。如需組態參數的詳細資訊和指引,請參閱 [AWS Logs 容器日誌驅動程式中的使用非封鎖模式防止日誌遺失](https://aws.amazon.com/blogs/containers/preventing-log-loss-with-non-blocking-mode-in-the-awslogs-container-log-driver/)。
**其他資源**
[使用 AWS 日誌日誌驅動程式](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html)
[選擇容器記錄選項以避免背壓](https://aws.amazon.com/blogs/containers/choosing-container-logging-options-to-avoid-backpressure/)
[在 AWS Logs 容器日誌驅動程式中使用非封鎖模式防止日誌遺失](https://aws.amazon.com/blogs/containers/preventing-log-loss-with-non-blocking-mode-in-the-awslogs-container-log-driver/)
**報告欄位**
+ 狀態
+ 區域
+ 任務定義 ARN
+ 容器定義名稱
+ 上次更新時間
## Amazon ECS 服務使用單一 AZ
**Description**
檢查您的服務組態是否使用單一可用區域 (AZ)。
AZ 是明顯與其他區域中的故障隔絕開來的地點。這種做法可以支援位於相同 AWS 區域內可用區域之間不昂貴、低延遲的網路連線能力。藉由在同一區域的多個 AZ 中啟動執行個體,您可以保護應用程式免於發生單點故障情形。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7dfpz01`
**警示條件**
+ 黃色:Amazon ECS 服務正在單一 AZ 中執行所有任務。
+ 綠色:Amazon ECS 服務至少正在兩個不同的 AZ 中執行任務。
**建議的動作**
在不同的 AZ 中為服務至少再建立一個任務。
**其他資源**
[ Amazon ECS 容量和可用性](https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/capacity-availability.html)
**報告欄位**
+ 狀態
+ 區域
+ ECS 叢集名稱/ECS 服務名稱
+ 可用區域的數量
+ 上次更新時間
## Amazon ECS Multi-AZ 放置策略
**Description**
檢查您的 Amazon ECS 服務是否使用以可用區域 (AZ) 為基礎的分散置放策略。此策略會將任務分配到相同 中的可用區域 AWS 區域 ,並有助於保護您的應用程式免於單點故障。
對於作為 Amazon ECS 服務一部分來執行的任務,分散會是預設任務置放策略。
此檢查還會驗證分散是否為已啟用置放策略清單中的第一個策略或唯一策略。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7dfpz02`
**警示條件**
+ 黃色:依可用區域分散已停用,或不是 Amazon ECS 服務已啟用置放策略清單中的第一個策略。
+ 綠色:依可用區域分散是 Amazon ECS 服務已啟用置放策略清單中的第一個策略,或是唯一啟用的置放策略。
**建議的動作**
啟用分散任務置放策略,以便於多個 AZ 之間分佈任務。確認依可用區域分散是所有已啟用任務置放策略的第一個策略,或是唯一使用的策略。如果您選擇管理 AZ 置放,則可以在另一個 AZ 中使用鏡像服務來減輕這些風險。
**其他資源**
[Amazon ECS 任務置放策略](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
**報告欄位**
+ 狀態
+ 區域
+ ECS 叢集名稱/ECS 服務名稱
+ 正確啟用並套用分散任務置放策略
+ 上次更新時間
## Amazon EFS 無掛載目標備援
**Description**
檢查 Amazon EFS 檔案系統的掛載目標是否於多個可用區域中存在。
可用區域是明顯與其他區域中的故障隔絕開來的地點。透過在 AWS 區域內的多個不同地理位置的可用區域中建立掛載目標,您可以為 Amazon EFS 檔案系統達到最高等級的可用性和耐久性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch01`
**警示條件**
+ 黃色:檔案系統在單一可用區域中建立了 1 個掛載目標。
綠色:檔案系統在多個可用區域中建立了 2 或多個掛載目標。
**建議的動作**
對於使用 One Zone 儲存類別的 EFS 檔案系統,建議您透過將備份還原至新檔案系統的方式來建立使用 Standard 儲存類別的新檔案系統。然後在多個可用區域中建立掛載目標。
對於使用標準儲存類別的 EFS 檔案系統,我們建議您在多個可用區域中建立掛載目標。
**其他資源**
+ [使用 Amazon EFS 主控台管理掛載目標](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html)
+ [Amazon EFS 配額和限制](https://docs.aws.amazon.com/efs/latest/ug/limits.html)
**報告欄位**
+ 狀態
+ 區域
+ EFS 檔案系統 ID
+ 掛載目標的數量
+ AZ 數量
+ 上次更新時間
## Amazon EFS 不在 AWS Backup 計劃中
**Description**
檢查 Amazon EFS 檔案系統是否包含在備份計劃中 AWS Backup。
AWS Backup 是一種統一的備份服務,旨在簡化備份的建立、遷移、還原和刪除,同時改善報告和稽核。
如需詳細資訊,請參閱[備份您的 Amazon EFS 檔案系統](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html)。
**檢查 ID**
`c18d2gz117`
**來源**
`AWS Config Managed Rule: EFS_IN_BACKUP_PLAN`
**警示條件**
紅色:Amazon EFS 檔案系統不包含在 AWS Backup 計劃中。
**建議的動作**
請確定您的 Amazon EFS 檔案系統包含在 AWS Backup 計畫中,以防止意外資料遺失或資料損毀。
**其他資源**
[備份 Amazon EFS 檔案系統](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html)
[使用 Amazon EFS 備份和還原 AWS Backup](https://aws.amazon.com/getting-started/hands-on/amazon-efs-backup-and-restore-using-aws-backup/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon ElastiCache Multi-AZ 叢集
**Description**
檢查是否有 ElastiCache 叢集部署在單一可用區域 (AZ) 中。如果 Multi-AZ 在叢集中處於非作用中狀態,則此檢查會提醒您。
在多可用區進行部署,可以非同步方式複寫至不同可用區域中的唯讀複本,從而增強 ElastiCache 叢集可用性。進行計畫的叢集維護或主節點無法使用時,ElastiCache 會自動將複本提升為主節點。此容錯移轉允許繼續執行叢集寫入操作,而且不需要管理員介入。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`ECHdfsQ402`
**警示條件**
+ 綠色:Multi-AZ 在叢集中處於作用中狀態。
+ 黃色:Multi-AZ 在叢集中處於非作用中狀態。
**建議的動作**
在與主碎片不同的可用區域中,為每個碎片至少建立一個複本。
**其他資源**
如需詳細資訊,請參閱[使用異地同步備份將 ElastiCache (Redis OSS) 中的停機時間降至最低](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/AutoFailover.html)。
**報告欄位**
+ 狀態
+ 區域
+ 叢集名稱
+ 上次更新時間
## ElastiCache (Redis OSS) 叢集自動備份
**Description**
檢查 Amazon ElastiCache (Redis OSS) 叢集是否已開啟自動備份,以及快照保留期是否超過指定的 或 15 天預設限制。啟用自動備份時,ElastiCache 每天都會建立叢集備份。
您可以使用 AWS Config 規則的 **snapshotRetentionPeriod** 參數來指定所需的快照保留限制。
如需詳細資訊,請參閱 [ ElastiCache (Redis OSS) 的備份和還原](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz178`
**來源**
`AWS Config Managed Rule: elasticache-redis-cluster-automatic-backup-check`
**警示條件**
紅色:Amazon ElastiCache (Redis OSS) 叢集未開啟自動備份,或快照保留期低於限制。
**建議的動作**
確定 Amazon ElastiCache (Redis OSS) 叢集已開啟自動備份,且快照保留期超過指定的 或 15 天預設限制。自動備份可協助防止資料遺失。如果發生失敗,您可以建立新的叢集,從最新的備份還原您的資料。
如需詳細資訊,請參閱 [ ElastiCache (Redis OSS) 的備份和還原](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups.html)。
**其他資源**
如需詳細資訊,請參閱[排程自動備份](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html)。
**報告欄位**
+ 狀態
+ 區域
+ 叢集名稱
+ 上次更新時間
## Amazon MemoryDB Multi-AZ 叢集
**Description**
檢查是否有 MemoryDB 叢集部署在單一可用區域 (AZ) 中。如果 Multi-AZ 在叢集中處於非作用中狀態,則此檢查會提醒您。
在多可用區進行部署,可以非同步方式複寫至不同可用區域中的唯讀複本,從而增強 MemoryDB 叢集可用性。進行計畫的叢集維護或主節點無法使用時,MemoryDB 會自動將複本提升為主節點。此容錯移轉允許繼續執行叢集寫入操作,而且不需要管理員介入。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`MDBdfsQ401`
**警示條件**
+ 綠色:Multi-AZ 在叢集中處於作用中狀態。
+ 黃色:Multi-AZ 在叢集中處於非作用中狀態。
**建議的動作**
在與主碎片不同的可用區域中,為每個碎片至少建立一個複本。
**其他資源**
如需詳細資訊,請參閱在 [Minimizing downtime in MemoryDB with Multi-AZ](https://docs.aws.amazon.com/memorydb/latest/devguide/autofailover.html) (使用 Multi-AZ 將 MemoryDB 中的停機時間降至最低)。
**報告欄位**
+ 狀態
+ 區域
+ 叢集名稱
+ 上次更新時間
## Amazon MSK 代理程式託管過多分割區
**Description**
檢查 Managed Streaming for Kafka (MSK) 叢集的代理程式沒有超過指派的建議分割區數量。
**檢查 ID**
`Cmsvnj8vf1`
**警示條件**
+ 紅色:您的 MSK 代理程式已超過建議最大分割區限制的 100%
+ 黃色:您的 MSK 已達到建議最大分割區限制的 80%
**建議的動作**
依照 MSK [建議的最佳實務](https://docs.aws.amazon.com/msk/latest/developerguide/bestpractices.html)來擴展 MSK 叢集或刪除任何未使用的分割區。
**其他資源**
+ [調整您叢集的大小](https://aws.amazon.com/blogs/big-data/best-practices-for-right-sizing-your-apache-kafka-clusters-to-optimize-performance-and-cost/)
**報告欄位**
+ 狀態
+ 區域
+ 叢集 ARN
+ 中介裝置 ID
+ 分割區計數
## Amazon MSK 叢集異地同步備份
**Description**
檢查 Amazon MSK 佈建叢集的可用區域 (AZs) 數量。Amazon MSK 叢集由數個中介裝置組成,可一起運作並分配資料和負載。生產可能會在 2-AZ 叢集的維護或代理程式問題期間中斷。
**檢查 ID**
`90046ff5b5`
**警示條件**
+ 黃色:Amazon MSK 叢集只會在兩個AZs佈建代理程式
+ 綠色:Amazon MSK 叢集是透過三個或多個可用AZs代理程式佈建
**建議的動作**
若要提高叢集的可用性,您可以在 3 個AZs設定中建立另一個叢集。然後將現有叢集遷移至您建立的新叢集。您可以使用 Amazon MSK 複寫進行此遷移。
**其他資源**
[Amazon MSK 高可用性](https://docs.aws.amazon.com/msk/latest/developerguide/bestpractices.html#ensure-high-availability)
[Amazon MSK 遷移](https://docs.aws.amazon.com/msk/latest/developerguide/migration.html)
**報告欄位**
+ 狀態
+ 區域
+ MSK 叢集 ARN
+ AZ 數量
+ 上次更新時間
## 具有少於三個資料節點的 Amazon OpenSearch Service 網域
**Description**
檢查 Amazon OpenSearch Service 網域是否已設定至少三個資料節點,且 ZoneAwarenessEnabled 為真。啟用 ZoneAwarenessEnabled 之後,Amazon OpenSearch Service 可確保在不同的可用區域中配置每個主要碎片及其對應複本。
如需詳細資訊,請參閱[在 Amazon OpenSearch Service 中設定多可用區域網域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-multiaz.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz183`
**來源**
`AWS Config Managed Rule: opensearch-data-node-fault-tolerance`
**警示條件**
黃色:Amazon OpenSearch Service 網域設定的資料節點少於三個。
**建議的動作**
請確定已設定具有至少三個資料節點的 Amazon OpenSearch Service 網域。設定多可用區域網域,透過在同一區域內的三個可用區域中分配節點和複寫資料,以增強 Amazon OpenSearch Service 叢集的可用性。如此可避免在發生節點和資料中心 (AZ) 故障的情況下造成資料遺失,且將停機時間降到最低。
如需詳細資訊,請參閱[藉由在三個可用區域之中部署來提高 Amazon OpenSearch Service 的可用性](https://aws.amazon.com/blogs/big-data/increase-availability-for-amazon-opensearch-service-by-deploying-in-three-availability-zones/)。
**其他資源**
+ [藉由在三個可用區域之中部署來提高 Amazon OpenSearch Service 的可用性](https://aws.amazon.com/blogs/big-data/increase-availability-for-amazon-opensearch-service-by-deploying-in-three-availability-zones/)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon RDS 備份
**Description**
檢查 Amazon RDS 資料庫執行個體的自動備份。
備份功能預設為啟用,保留期間為一天。備份可降低意外遺失資料的風險,且可用於進行 point-in-time 恢復。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`opQPADkZvH`
**警示條件**
紅色:資料庫執行個體的備份保留期間設為 0 天。
**建議的動作**
根據應用程式的需求,將自動化資料庫執行個體備份的保留期間設為 1 到 35 天。請參閱[使用自動備份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)。
**其他資源**
[Amazon RDS 入門](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.html)
**報告欄位**
+ 狀態
+ 區域/可用區域
+ 資料庫執行個體
+ VPC ID
+ Backup Retention Period (備份保留期間)
## Amazon RDS 持續備份未啟用
**Description**
檢查 Amazon RDS 執行個體是否已啟用使用 Amazon RDS 或 的自動備份 AWS Backup。持續備份可降低意外資料遺失的風險,並允許point-in-time復原。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`44fde09ab5`
**警示條件**
+ 紅色:執行個體未在 Amazon RDS 中啟用自動備份或連續備份 AWS Backup。
+ 紅色:低於 5.6 的 MySQL 版本不支援自動或連續備份。若要提供彈性,請先升級資料庫版本,然後啟用自動或持續備份。
+ 綠色:執行個體已在 Amazon RDS 中啟用自動備份。
+ 綠色:執行個體已在 中啟用連續備份 AWS Backup。
**建議的動作**
確定 Amazon RDS 執行個體已設定自動備份,方法是在 Amazon RDS 中設定大於 0 的保留期間,或使用 建立連續備份計劃 AWS Backup。
**其他資源**
+ [Amazon RDS 入門](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.html)
+ [管理自動備份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ManagingAutomatedBackups.html)
+ [備份簡介](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)
+ [持續備份和point-in-time(PITR)](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)
+ [AWS Backup 功能可用性](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html)
**報告欄位**
+ 狀態
+ 區域
+ DB Instance Identifier (資料庫執行個體識別符)
+ 資料庫執行個體 ARN
+ 部署類型
+ 備份類型
+ Reason
+ 上次更新時間
## Amazon RDS 資料庫叢集有一個資料庫執行個體
**Description**
將至少另一個資料庫執行個體新增至資料庫叢集,以改善可用性和效能。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt011`
**警示條件**
黃色:資料庫叢集只有一個資料庫執行個體。
**建議的動作**
將讀取器資料庫執行個體新增至資料庫叢集。
**其他資源**
在目前的組態中,讀取和寫入操作都會使用一個資料庫執行個體。您可以新增另一個資料庫執行個體,以允許讀取重新分佈和容錯移轉選項。
如需詳細資訊,請參閱 [Amazon Aurora 的高可用性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 資料庫執行個體類別
+ 上次更新時間
## 具有相同可用區域中所有執行個體的 Amazon RDS 資料庫叢集
**Description**
資料庫叢集目前位於單一可用區域。使用多個可用區域來改善可用性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt007`
**警示條件**
黃色:資料庫叢集在相同的可用區域中具有所有執行個體。
**建議的動作**
將資料庫執行個體新增至資料庫叢集中的多個可用區域。
**其他資源**
建議您將資料庫執行個體新增至資料庫叢集中的多個可用區域。將資料庫執行個體新增至多個可用區域可改善資料庫叢集的可用性。
如需詳細資訊,請參閱 [Amazon Aurora 的高可用性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 上次更新時間
## 具有相同可用區域中所有讀取器執行個體的 Amazon RDS 資料庫叢集
**Description**
在您的資料庫叢集之中,所有讀取器執行個體都位於相同的可用區域。建議您將讀取器執行個體分散到資料庫叢集中的多個可用區域。
分佈會增加資料庫的可用性,並透過減少用戶端和資料庫之間的網路延遲來改善回應時間。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt018`
**警示條件**
紅色:資料庫叢集在相同的可用區域中具有讀取器執行個體。
**建議的動作**
將讀取器執行個體分散到多個可用區域。
**其他資源**
可用區域 (AZs) 是彼此不同的位置,可在每個 AWS 區域內發生中斷時提供隔離。建議您將資料庫叢集中的主要執行個體和讀取器執行個體分配到多個可用區域中,以提升資料庫叢集的可用性。您可以在建立叢集時 AWS 管理主控台 AWS CLI,使用 或 Amazon RDS API 建立多可用區域叢集。您可以透過新增讀取器執行個體並指定不同的可用區域,將現有 Aurora 叢集修改為多可用區叢集。
如需詳細資訊,請參閱 [Amazon Aurora 的高可用性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 上次更新時間
## 未啟用 Amazon RDS 資料庫執行個體增強型監控
**Description**
檢查是否已啟用 Amazon RDS 資料庫執行個體增強型監控。
Amazon RDS 增強型監控會即時提供執行資料庫執行個體在其上執行之作業系統 (OS) 的指標。您可以在 Amazon RDS 主控台上檢視 Amazon RDS 資料庫執行個體的所有系統指標和處理資訊。此外,您還可以自訂儀表板。透過增強型監控,您幾乎可以即時掌握 Amazon RDS 執行個體操作狀態,讓您更快回應操作問題。
您可以使用 AWS Config 規則的 **monitoringInterval** 參數來指定所需的監控間隔。
如需詳細資訊,請參閱[增強型監視概觀](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.overview.html)和[增強型監控中的 OS 指標](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring-Available-OS-Metrics.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz158`
**來源**
`AWS Config Managed Rule: rds-enhanced-monitoring-enabled`
**警示條件**
黃色:您的 Amazon RDS 資料庫執行個體未啟用增強型監控,或未設定所需的時間間隔。
**建議的動作**
為 Amazon RDS 資料庫執行個體啟用增強型監控功能,藉此改善 Amazon RDS 執行個體操作狀態的可見性。
如需詳細資訊,請參閱[使用增強型監控來監控 OS 指標](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)。
**其他資源**
[增強型監控中的作業系統指標](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring-Available-OS-Metrics.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon RDS 資料庫執行個體已關閉儲存體自動調整規模
**Description**
資料庫執行個體未開啟 Amazon RDS 儲存體自動調整規模。當資料庫工作負載增加時,RDS Storage Autoscaling 會在零停機時間的情況下自動擴展儲存容量。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt013`
**警示條件**
紅色:資料庫執行個體未開啟儲存體自動調整規模。
**建議的動作**
開啟具有指定最大儲存閾值的 Amazon RDS 儲存體自動調整規模。
**其他資源**
當資料庫工作負載增加時,Amazon RDS 儲存體自動擴展會自動擴展儲存容量,且不會停機。儲存體自動擴展會監控儲存體用量,並在用量接近佈建儲存體容量時自動擴展容量。您可以指定 Amazon RDS 可配置給資料庫執行個體的儲存體上限。儲存體自動擴展無需額外費用。您只需為配置給資料庫執行個體的 Amazon RDS 資源付費。建議您開啟 Amazon RDS 儲存體自動調整規模。
如需詳細資訊,請參閱[使用 Amazon RDS 儲存體自動調整規模自動管理容量](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PIOPS.StorageTypes.html#USER_PIOPS.Autoscaling)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## 未使用異地同步備份部署的 Amazon RDS 資料庫執行個體
**Description**
建議您使用多可用區域部署。多可用區域部署可增強資料庫執行個體的可用性和耐久性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt019`
**警示條件**
黃色:資料庫執行個體未使用異地同步備份部署。
**建議的動作**
為受影響的資料庫執行個體設定異地同步備份。
**其他資源**
在 Amazon RDS 異地同步備份部署中,Amazon RDS 會自動建立主要資料庫執行個體,並將資料複寫至不同可用區域中的執行個體。偵測到故障時,Amazon RDS 會自動容錯移轉至待命執行個體,無需手動介入。
如需詳細資訊,請參閱[ 定價](https://aws.amazon.com/rds/features/multi-az/#Pricing)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 上次更新時間
## Amazon RDS DiskQueueDepth
**Description**
檢查 CloudWatch 指標 DiskQueueDepth 是否顯示 RDS 執行個體資料庫儲存區的佇列寫入次數已增加到應建議進行作業調查的程度。
**檢查 ID**
`Cmsvnj8db3`
**警示條件**
+ 紅色:DiskQueueDepth CloudWatch 指標已超過 10
+ 黃色:DiskQueueDepth CloudWatch 指標大於 5,但小於或等於 10
+ 綠色:DiskQueueDepth CloudWatch 指標小於或等於 5
**建議的動作**
請考慮移至支援讀取/寫入特性的執行個體和儲存磁碟區。
**報告欄位**
+ 狀態
+ 區域
+ 資料庫執行個體 ARN
+ DiskQueueDepth 指標
## Amazon RDS FreeStorageSpace
**Description**
檢查 RDS 資料庫執行個體的 FreeStorageSpace CloudWatch 指標是否已低於操作上合理的閾值。
**檢查 ID**
`Cmsvnj8db2`
**警示條件**
+ 紅色:FreeStorageSpace 少於總容量的 10%
+ 黃色:FreeStorageSpace 介於總容量的 10% 到 20% 之間
+ 綠色:FreeStorageSpace 超過總容量的 20%
**建議的動作**
使用 Amazon RDS 管理主控台、Amazon RDS API 或 AWS 命令列界面,擴展可用儲存空間不足之 RDS 資料庫執行個體的儲存空間。
**報告欄位**
+ 狀態
+ 區域
+ 資料庫執行個體 ARN
+ FreeStorageSpace 指標 (MB)
+ 資料庫執行個體分配的儲存空間 (MB)
+ 資料庫執行個體儲存空間用量百分比
## Amazon RDS log\$1output 參數設定為資料表
**Description**
當 **log\$1output** 設為 **TABLE** 時,使用的儲存空間會比 **log\$1output** 設為 **FILE** 時多。我們建議您將 參數設定為 **FILE**,以避免達到儲存體大小限制。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt023`
**警示條件**
黃色:資料庫參數群組的 **log\$1output** 參數設定為 **TABLE**。
**建議的動作**
將 **log\$1output** 參數值設定為資料庫參數群組中的 **FILE**。
**其他資源**
如需詳細資訊,請參閱 [MySQL 資料庫日誌檔案](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.MySQL.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS innodb\$1default\$1row\$1format 參數設定不安全
**Description**
您的資料庫執行個體遇到已知問題:當索引超過 767 個位元組時,在 MySQL 版本低於 8.0.26 且 **row\$1format** 設為 **COMPACT** 或 **REDUNDANT** 的資料表無法存取且無法復原。
建議您將 **innodb\$1default\$1row\$1format** 參數值設定為 **DYNAMIC**。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt036`
**警示條件**
紅色:資料庫參數群組的 **innodb\$1default\$1row\$1format** 參數設定不安全。
**建議的動作**
將 **innodb\$1default\$1row\$1format** 參數設定為 **DYNAMIC**。
**其他資源**
當資料表的 MySQL 版本低於 8.0.26,且 **row\$1format** 設定為 **COMPACT** 或 **REDUNDANT** 時,不會強制執行建立索引鍵前綴小於 767 個位元組的索引。資料庫重新啟動後,就無法存取或復原這些資料表。
如需詳細資訊,請參閱 [ MySQL 文件網站上的 MySQL 8.0.26 (2021-07-20 中的變更、一般可用性)n](https://dev.mysql.com/doc/relnotes/mysql/8.0/en/news-8-0-26.html#mysqld-8-0-26-bug%60)。 MySQL
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS innodb\$1flush\$1log\$1at\$1trx\$1commit 參數不是 1
**Description**
資料庫執行個體的 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 參數值不是安全值。此參數控制提交操作至磁碟的持續性。
我們建議您將 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 參數設定為 1。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt030`
**警示條件**
黃色:資料庫參數群組的 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 設定為 1 以外的 。
**建議的動作**
將 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 參數值設定為 1
**其他資源**
當日誌緩衝區儲存到耐用的儲存體時,資料庫交易是耐用的。不過,儲存到磁碟會影響效能。根據 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 參數的值設定,日誌寫入和儲存至磁碟的行為可能會有所不同。
+ 當參數值為 1 時,日誌會在每個遞交的交易之後寫入並儲存到磁碟。
+ 當參數值為 0 時,日誌會寫入並儲存到磁碟,每秒一次。
+ 當參數值為 2 時,日誌會在每個交易遞交後寫入,並每秒儲存至磁碟一次。資料會從 InnoDB 記憶體緩衝區移至也位於記憶體中的作業系統快取。
當參數值不是 1 時,InnoDB 無法保證 ACID 屬性。資料庫當機時,最後一秒最近的交易可能會遺失。
如需詳細資訊,請參閱[設定 Amazon RDS for MySQL 參數的最佳實務,第一部分:效能相關參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS max\$1user\$1connections 參數過低
**Description**
針對每個資料庫帳戶能同時連線的數量上限,您的資料庫執行個體設定值很低。
我們建議將 **max\$1user\$1connections** 參數設定為大於 **5** 的數字。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt034`
**警示條件**
黃色:資料庫參數群組的 **max\$1user\$1connections** 設定錯誤。
**建議的動作**
將 **max\$1user\$1connections** 參數的值增加到大於 **5** 的數字。
**其他資源**
**max\$1user\$1connections** 設定可控制 MySQL 使用者帳戶允許的同時連線數目上限。達到此連線限制會導致 Amazon RDS 執行個體管理操作失敗,例如備份、修補和參數變更。
如需詳細資訊,請參閱 MySQL 文件網站上的[設定帳戶資源限制](https://dev.mysql.com/doc/refman/8.0/en/user-resources.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS Multi-AZ
**Description**
檢查是否有資料庫執行個體部署在單一可用區域 (AZ) 中。
Multi-AZ 部署會同步複寫至不同可用區域中的備用執行個體,以增強資料庫的可用性。在規劃的資料庫維護期間,或在資料庫執行個體或可用區域故障期間,Amazon RDS 會自動容錯移轉到備用執行個體。此容錯移轉可讓資料庫作業快速恢復,無需系統管理介入。由於 Amazon RDS 不支援適用於 Microsoft SQL 伺服器的 Multi-AZ 部署,因此這項檢查不會對 SQL 伺服器執行個體進行檢查。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`f2iK5R6Dep`
**警示條件**
黃色:資料庫執行個體部署在單一可用區域。
**建議的動作**
如果您的應用程式需要高可用性,請修改資料庫執行個體以啟用 Multi-AZ 部署。請參閱[高可用性 (Multi-AZ)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html)。
**其他資源**
[區域與可用區域](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html)
**報告欄位**
+ 狀態
+ 區域/可用區域
+ 資料庫執行個體
+ VPC ID
+ Multi-AZ
## Amazon RDS 不在 AWS Backup 計劃中
**Description**
檢查您的 Amazon RDS 資料庫執行個體是否包含在 AWS Backup的備份計畫中。
AWS Backup 是一種全受管備份服務,可讓您輕鬆地集中和自動化跨 AWS 服務備份資料。
在備份計畫中包含 Amazon RDS 資料庫執行個體對於監管法規遵循義務、災難復原、資料保護的業務政策和業務持續性目標而言非常重要。
如需詳細資訊,請參閱[什麼是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz159`
**來源**
`AWS Config Managed Rule: rds-in-backup-plan`
**警示條件**
黃色:Amazon RDS 資料庫執行個體不包含在 的備份計畫中 AWS Backup。
**建議的動作**
將 Amazon RDS 資料庫執行個體納入備份計畫中 AWS Backup。
如需詳細資訊,請參閱[使用 AWS Backup 進行 Amazon RDS 備份和還原](https://aws.amazon.com/getting-started/hands-on/amazon-rds-backup-restore-using-aws-backup/)。
**其他資源**
[指派資源至備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon RDS 僅供讀取複本以可寫入模式開啟
**Description**
您的資料庫執行個體具有可寫入模式的僅供讀取複本,允許從用戶端進行更新。
建議您將 **read\$1only** 參數設定為 **TrueIfReplica**,讓僅供讀取複本不處於可寫入模式。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt035`
**警示條件**
黃色:資料庫參數群組會開啟僅供讀取複本的可寫入模式。
**建議的動作**
將 **read\$1only** 參數值設定為 **TrueIfReplica**。
**其他資源**
**read\$1only** 參數控制從用戶端到資料庫執行個體的寫入許可。此參數的預設值為 **TrueIfReplica**。對於複本執行個體,**TrueIfReplica** 會將**唯讀**值設定為 ON (1),並停用用戶端的任何寫入活動。對於主要/寫入器執行個體,**TrueIfReplica** 會將值設定為 OFF (0),並啟用執行個體用戶端的寫入活動。以可寫入模式開啟僅供讀取複本時,此執行個體中存放的資料可能會與主要執行個體不同,這會導致複寫錯誤。
如需詳細資訊,請參閱 MySQL 文件網站上的[設定 Amazon RDS for MySQL 參數的最佳實務,第 2 部分:與複寫相關的參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-2-parameters-related-to-replication/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS 資源自動備份已關閉
**Description**
資料庫資源上已停用自動備份。自動備份可進行資料庫執行個體的時間點復原。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt001`
**警示條件**
紅色:Amazon RDS 資源未開啟自動備份
**建議的動作**
開啟保留期間最長為 14 天的自動備份。
**其他資源**
自動化備份可讓您的資料庫執行個體point-in-time復原。我們建議您開啟自動備份。當您開啟資料庫執行個體的自動備份時,Amazon RDS 會在您偏好的備份時段內每天自動執行資料的完整備份。備份會在資料庫執行個體有更新時擷取交易日誌。您可以取得備份儲存體,最高可達資料庫執行個體的儲存體大小,無需額外費用。
如需詳細資訊,請參閱下列資源:
+ [啟用自動備份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling)
+ [解密 Amazon RDS 備份儲存成本](https://aws.amazon.com/blogs/database/demystifying-amazon-rds-backup-storage-costs/)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS sync\$1binlog 參數已關閉
**Description**
在資料庫執行個體中確認交易遞交之前,系統不會強制執行二進位日誌到磁碟的同步處理。
我們建議您將 **sync\$1binlog** 參數值設定為 **1**。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt031`
**警示條件**
黃色:資料庫參數群組的同步二進位記錄已關閉。
**建議的動作**
將 **sync\$1binlog** 參數設定為 **1**。
**其他資源**
**sync\$1binlog** 參數控制 MySQL 如何將二進位日誌推送至磁碟。當此參數的值設定為 **1** 時,它會在遞交交易之前開啟對磁碟的二進位日誌同步。當此參數的值設定為 **0** 時,它會關閉與磁碟的二進位日誌同步。一般而言,MySQL 伺服器依賴作業系統將二進位日誌推送到與其他檔案定期類似的磁碟。設定為 **0** 的 **sync\$1binlog** 參數值可以增強效能。不過,在電源故障或作業系統當機期間,伺服器會遺失所有未同步至二進位日誌的遞交交易。
如需詳細資訊,請參閱[設定 Amazon RDS for MySQL 參數的最佳實務,第 2 部分:與複寫相關的參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-2-parameters-related-to-replication/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## RDS 資料庫叢集未啟用 Multi-AZ 複寫
**Description**
檢查您的 Amazon RDS 資料庫叢集是否已啟用 Multi-AZ 複寫。
Multi-AZ 資料庫叢集在三個不同的可用區域中有一個寫入器資料庫執行個體和兩個讀取器資料庫。Multi-AZ 資料庫叢集相較於 Multi-AZ 部署,可提供高可用性、增加讀取工作負載的容量以及更低的延遲。
如需詳細資訊,請參閱[建立 Multi-AZ 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/create-multi-az-db-cluster.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz161`
**來源**
`AWS Config Managed Rule: rds-cluster-multi-az-enabled`
**警示條件**
黃色:您的 Amazon RDS 資料庫叢集未設定 Multi-AZ 複寫
**建議的動作**
在建立 Amazon RDS 資料庫叢集時,開啟 Multi-AZ 資料庫叢集部署。
如需詳細資訊,請參閱[建立 Multi-AZ 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/create-multi-az-db-cluster.html)。
**其他資源**
[Multi-AZ 資料庫叢集部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/multi-az-db-clusters-concepts.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用 RDS Multi-AZ 備用執行個體
**Description**
檢查 Amazon RDS 資料庫執行個體是否已設定 Multi-AZ 備用複本。
Amazon RDS Multi-AZ 會將資料複寫到不同可用區域中的備用複本,為資料庫執行個體提供高可用區域和耐用性。如此可提供自動容錯移轉、改善效能並增強資料耐久性。在 Multi-AZ 資料庫執行個體部署中,Amazon RDS 會自動佈建,並在不同的可用區域中維持同步待命複本。主要資料庫執行個體會跨可用區域,同步複寫到待命複本,提供資料備援並且降低系統備份時的延遲遽增發生等功能。執行具有高可用性的資料庫執行個體,可在規劃好的系統維護期間增強可用性。它還有助於在資料庫執行個體失敗和可用區域中斷時保護資料庫。
如需詳細資訊,請參閱 [Multi-AZ 資料庫執行個體部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz156`
**來源**
`AWS Config Managed Rule: rds-multi-az-support`
**警示條件**
黃色:Amazon RDS 資料庫執行個體未設定 Multi-AZ 複本。
**建議的動作**
在建立 Amazon RDS 資料庫執行個體時,開啟 Multi-AZ 部署。
此檢查無法從 Trusted Advisor 主控台的檢視中排除。
**其他資源**
[Multi-AZ 資料庫執行個體部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon RDS ReplicaLag
**Description**
檢查 RDS 資料庫執行個體的 ReplicaLag CloudWatch 指標是否在過去一週內超過操作上合理的閾值。
ReplicaLag 指標會測量僅供讀取複本落後主要執行個體的秒數。當對僅供讀取複本進行的非同步更新無法跟上主要資料庫執行個體上發生的更新時,就會發生複寫延遲。在主要執行個體發生故障的情況下,若 ReplicaLag 超過操作上合理的閾值,則僅供讀取複本可能會遺失資料。
**檢查 ID**
`Cmsvnj8db1`
**警示條件**
+ 紅色:ReplicaLag 指標在一週內超過 60 秒至少一次。
+ 黃色:ReplicaLag 指標在一週內超過 10 秒至少一次。
+ 綠色:ReplicaLag 少於 10 秒。
**建議的動作**
有數個可能的原因使 ReplicaLag 增加到操作上安全的層級以外。例如,這可能是因為最近從舊版備份取代/啟動的複本執行個體,以及這些複本需要大量時間才能「catch-up」主要資料庫執行個體和即時交易所導致。隨著 catch-up 的發生,此 ReplicaLag 可能會隨著時間的推移而減少。另一個範例可能是:主要資料庫執行個體上能夠達到的交易速度,高於複寫處理或複本基礎結構能趕上的速度。由於複寫無法跟上主要資料庫效能的速度,此 ReplicaLag 可能會隨著時間的推移而增加。最後,工作負載可能會在天/月/等的不同期間爆量,導致 ReplicaLag 偶爾落後。您的團隊應調查哪些可能的根本原因造成了資料庫的高 ReplicaLag,並且可能要變更資料庫執行個體類型或該工作負載的其他特性,藉此確保複本上的資料連續性符合您的需求。
**其他資源**
+ [使用 Amazon RDS for PostgreSQL 的僅供讀取複本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PostgreSQL.Replication.ReadReplicas.html)
+ [在 Amazon RDS 中使用 MySQL 複寫](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_MySQL.Replication.html)
+ [使用 MySQL 僅供讀取複本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_MySQL.Replication.ReadReplicas.html)
**報告欄位**
+ 狀態
+ 區域
+ 資料庫執行個體 ARN
+ ReplicaLag 指標
## Amazon RDS synchronous\$1commit 參數已關閉
**Description**
當 **synchronous\$1commit** 參數關閉時,資料可能會在資料庫當機時遺失。資料庫的耐久性存在風險。
建議您開啟 **synchronous\$1commit** 參數。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt026`
**警示條件**
紅色:資料庫參數群組已關閉 **synchronous\$1commit** 參數。
**建議的動作**
在資料庫參數群組中開啟 **synchronous\$1commit** 參數。
**其他資源**
**synchronous\$1commit** 參數會定義在資料庫伺服器傳送成功通知給用戶端之前完成預先寫入記錄 (WAL) 程序。此遞交稱為非同步遞交,因為用戶端會在 WAL 將交易儲存在磁碟之前確認遞交。如果 **synchronous\$1commit** 參數已關閉,則交易可能會遺失、資料庫執行個體耐久性可能會受到影響,而資料可能會在資料庫當機時遺失。
如需詳細資訊,請參閱 [MySQL 資料庫日誌檔案](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.MySQL.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon Redshift 叢集自動快照
**Description**
檢查您的 Amazon Redshift 叢集是否已啟用自動化快照。
Amazon Redshift 會自動取得增量快照,以追蹤自上一個自動快照以來對叢集的變更。自動快照會保留所有需要的資料以從快照還原叢集。若要停用自動快照,請將保留期間設定為 zero (零)。您無法停用 RA3 節點類型的自動快照。
您可以使用 AWS Config 規則的 **MinRetentionPeriod** 和 **MaxRetentionPeriod** 參數來指定所需的最短和最長保留期間。
[Amazon Redshift 快照和備份](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html)
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz135`
**來源**
`AWS Config Managed Rule: redshift-backup-enabled`
**警示條件**
紅色:Amazon Redshift 並未在所需的保留期間內設定自動快照。
**建議的動作**
確定您的 Amazon Redshift 叢集已啟用自動化快照。
如需詳細資訊,請參閱[使用主控台管理快照](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-snapshots-console.html)。
**其他資源**
[Amazon Redshift 快照和備份](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html)
如需詳細資訊,請參閱[使用備份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon Route 53 已刪除運作狀態檢查
**Description**
檢查是否有資源記錄集與已刪除的運作狀態檢查相關聯。
Route 53 不會阻止您刪除與一或多個資源記錄集相關聯的運作狀態檢查。如果您刪除運作狀態檢查而沒有更新相關聯的資源記錄集,DNS 備援組態的 DNS 查詢路由將無法如預期運作。
AWS 服務建立的託管區域不會出現在您的檢查結果中。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`Cb877eB72b`
**警示條件**
黃色:資源記錄集與已刪除的運作狀態檢查相關聯。
**建議的動作**
建立新的運作狀態檢查,並將其與資源記錄集建立關聯。請參閱[建立、更新和刪除運作狀態檢查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)和[將運作狀態檢查新增到資源記錄集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-adding-to-rrsets.html)。
**其他資源**
+ [Amazon Route 53 運作狀態檢查和 DNS 備援](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)
+ [簡單 Amazon Route 53 組態中運作狀態檢查的運作方式](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-simple-configs.html)
**報告欄位**
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 資源記錄集類型
+ 資源記錄集識別碼
## Amazon Route 53 容錯移轉資源記錄集
**Description**
檢查是否有 Amazon Route 53 容錯移轉資源記錄集設定錯誤。
Amazon Route 53 運作狀態檢查判斷主要資源運作狀況不良時,Amazon Route 53 會以次要備份資源記錄集回應查詢。您必須建立正確設定的主要和次要資源記錄集,容錯移轉才能運作。
AWS 服務建立的託管區域不會出現在您的檢查結果中。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`b73EEdD790`
**警示條件**
+ 黃色:主要容錯移轉資源記錄集沒有對應的次要資源記錄集。
+ 黃色:次要容錯移轉資源記錄集沒有對應的主要資源記錄集。
+ 黃色:具有相同名稱的主要與次要資源記錄集與相同的運作狀態檢查相關聯。
**建議的動作**
如果遺失容錯移轉資源集,請建立對應的資源記錄集。請參閱[建立容錯移轉資源記錄集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/creating-failover-rrsets.html)。
如果您的資源記錄集與相同的運作狀態檢查相關聯,請為每個記錄集建立個別的運作狀態檢查。請參閱[建立、更新和刪除運作狀態檢查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)。
**其他資源**
[Amazon Route 53 運作狀態檢查和 DNS 備援](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)
**報告欄位**
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 資源記錄集類型
+ Reason
## Amazon Route 53 高 TTL 資源記錄集
**Description**
檢查是否有資源記錄集可受益於較小的存留時間 (TTL) 值。
TTL 是 DNS 解析器快取資源記錄集的秒數。當您指定長 TTL 時,DNS 解析程式需要更長的時間來請求更新的 DNS 記錄,這可能會導致重新路由流量不必要的延遲 (例如,當 DNS 容錯移轉偵測到並回應其中一個端點的故障時)。此檢查只會查看具有容錯移轉政策的記錄,或者如果有相關聯的運作狀態檢查。
AWS 服務建立的託管區域不會出現在您的檢查結果中。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`C056F80cR3`
**警示條件**
+ 黃色:路由政策為容錯移轉的資源記錄集的 TTL 大於 60 秒。
+ 綠色:資源記錄沒有容錯移轉政策,或具有 TTL 小於 60 的容錯移轉政策。
**建議的動作**
針對列出的資源記錄集,輸入 60 秒的 TTL 值。如需詳細資訊,請參閱[使用資源記錄集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)。
**其他資源**
[Amazon Route 53 運作狀態檢查和 DNS 備援](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)
**報告欄位**
+ 狀態
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 資源記錄集類型
+ 資源記錄集 ID
+ TTL
## Amazon Route 53 名稱伺服器委派
**Description**
檢查您的網域註冊商或 DNS 針對哪個 Amazon Route 53 託管區域沒有使用正確的 Route 53 名稱伺服器。
建立託管區域時,Route 53 會指派一組四個名稱伺服器。這些伺服器的名稱包括 ns-*\$1\$1\$1*.awsdns-*\$1\$1*.com、.net、.org 和 .co.uk,其中 *\$1\$1\$1* 和 *\$1\$1* 通常代表不同的數字。您必須先更新註冊商的名稱伺服器組態,移除註冊商指派的名稱伺服器,Route 53 才能路由您網域的 DNS 查詢。接下來,您必須在 Route 53 委派集中新增全部四個名稱伺服器。為了提供最高的可用性,您必須新增全部四個 Route 53 名稱伺服器。
AWS 服務建立的託管區域不會出現在您的檢查結果中。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`cF171Db240`
**警示條件**
黃色:託管區域中您網域的註冊商未使用委派集中全部四個 Route 53 名稱伺服器。
**建議的動作**
使用您的註冊商或網域目前的 DNS 服務新增或更新名稱伺服器記錄,以包含 Route 53 委派集中的全部四個名稱伺服器。若要尋找這些值,請參閱[取得託管區域的名稱伺服器](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/GetInfoAboutHostedZone.html)。如需有關新增或更新名稱伺服器記錄的詳細資訊,請參閱[建立和遷移網域與子網域至 Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/creating-migrating.html)。
**其他資源**
[使用託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/AboutHZWorkingWith.html)
**報告欄位**
+ 託管區域名稱
+ 託管區域 ID
+ 已使用的委派名稱伺服器數量
## Amazon Route 53 Resolver 端點可用區域備援
**Description**
檢查您的服務組態是否具有在至少兩個可用區域 (AZ) 中指定的 IP 地址以供備援之用。AZ 是明顯與其他區域中的故障隔絕開來的地點。藉由在同一區域的多個 AZ 中指定 IP 地址,您可以保護應用程式免於發生單點故障情形。
**檢查 ID**
`Chrv231ch1`
**警示條件**
+ 黃色:IP 地址僅在一個 AZ 中指定
+ 綠色:至少在兩個 AZ 中指定了 IP 地址
**建議的動作**
在至少兩個可用區域中指定 IP 地址以進行備援。
**其他資源**
+ 如果您需要多個始終可用的彈性網路介面端點,建議您至少建立一個超過所需的網路介面,以確保有額外的容量可用於處理可能的流量激增。額外的網路介面也可確保維護或升級等維修作業期間的可用性。
+ [Resolver 端點的高可用性](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-high-availability.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源 ARN
+ AZ 數量
## 未啟用 Amazon S3 儲存貯體複寫
**Description**
檢查您的跨區域複寫、相同區域複寫或兩者是否均已啟用 Amazon S3 儲存貯體複寫規則。
複寫是在相同或不同 AWS 區域中跨儲存貯體自動非同步複製物件。複寫會將來源儲存貯體中新建立的物件和物件更新複製至目的地儲存貯體。使用 Amazon S3 儲存貯體複寫來協助改善應用程式和資料儲存的彈性與法規遵循。
如需詳細資訊,請參閱[複製物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz119`
**來源**
`AWS Config Managed Rule: s3-bucket-replication-enabled`
**警示條件**
黃色:跨區域複寫、相同區域複寫或兩者皆未啟用 Amazon S3 儲存貯體複寫規則。
**建議的動作**
開啟 Amazon S3 儲存貯體複寫規則來改善應用程式和資料儲存的彈性與法規遵循。
如需詳細資訊,請參閱[檢視備份工作和復原點](https://docs.aws.amazon.com/aws-backup/latest/devguide/view-protected-resources.html)及[設定複寫](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-how-setup.html)。
**其他資源**
[逐步解說:設定複寫的範例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-example-walkthroughs.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon S3 Bucket Versioning
**Description**
檢查是否有 Amazon Simple Storage Service 儲存貯體未啟用或已暫停版本控制功能。
啟用版本控制功能時,您可以輕鬆復原失誤的使用者動作和應用程式故障。版本控制功能可用來保留、擷取和恢復儲存貯體中所存放任何物件的任何版本。透過自動將物件封存至 Glacier 儲存類別,您可以使用生命週期規則來管理物件的所有版本及其相關成本。您也可以設定規則,在指定的期間過後移除物件的版本。您也可以針對儲存貯體的任何物件刪除或組態變更,要求使用多重要素驗證 (MFA)。
啟用版本控制功能後無法停用。但是可以暫停此功能,防止建立物件的新版本。使用版本控制功能可能會增加 Simple Storage Service (Amazon S3) 的成本,因為您需為同一個物件支付多個版本的儲存費用。
**檢查 ID**
`R365s2Qddf`
**警示條件**
+ 綠色:啟用儲存貯體中的版本控制。
+ 黃色:未啟用儲存貯體的版本控制。
+ 黃色:已暫停儲存貯體的版本控制。
+ 黃色: Trusted Advisor 無法存取 來驗證版本控制。
**建議的動作**
在大多數儲存貯體上啟用儲存貯體版本控制,防止意外刪除或覆寫。請參閱[使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)和[以程式設計方式啟用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/manage-versioning-examples.html)。
如果已暫停儲存貯體版本控制,請考慮重新啟用版本控制。如需有關使用暫停版本控制之儲存貯體中的物件的詳細資訊,請參閱[管理暫停版本控制之儲存貯體中的物件](https://docs.aws.amazon.com/AmazonS3/latest/dev/VersionSuspendedBehavior.html)。
啟用或暫停版本控制後,您可以定義生命週期組態規則,將某些物件版本標記為過期,或永久移除不需要的物件版本。如需詳細資訊,請參閱[物件生命週期管理](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lifecycle-mgmt.html)。
變更儲存貯體的版本控制狀態或刪除物件版本時,MFA Delete 需要進行額外的驗證。這會要求使用者輸入憑證和經批准的驗證裝置提供的代碼。如需詳細資訊,請參閱 [MFA Delete](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html#MultiFactorAuthenticationDelete)。
**其他資源**
[使用儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/UG/BucketOperations.html)
**報告欄位**
+ 狀態
+ 區域
+ 儲存貯體名稱
+ 版本控制
+ MFA Delete 已啟用
## 應用程式、網路及閘道負載平衡器未跨多個可用區域
**Description**
檢查您的負載平衡器 (應用程式、網路和閘道負載平衡器) 是否設定了跨多個可用區域的子網路。
您可以在 AWS Config 規則的 **minAvailabilityZones** 參數中指定所需的最小可用區域。
如需詳細資訊,請參閱 [Application Load Balancer 的可用區域](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-subnets.html)、[可用區域 - Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones),以及[建立 Gateway Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/create-load-balancer.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz169`
**來源**
`AWS Config Managed Rule: elbv2-multiple-az`
**警示條件**
黃色:在少於兩個可用區域中設定子網路的應用程式、網路或閘道負載平衡器。
**建議的動作**
使用跨多個可用區域的子網路來設定您的應用程式、網路和閘道負載平衡器。
**其他資源**
[Application Load Balancer 的可用區域](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-subnets.html)
[可用區域 (Elastic Load Balancing)](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)
[建立 Gateway Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/create-load-balancer.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Auto Scaling 在子網路中的可用 IP
**Description**
檢查目標子網路中是否仍有足夠的可用 IP。當 Auto Scaling 群組達到其大小上限且需要啟動其他執行個體時,有足夠的 IP 可供使用會很有幫助。
**檢查 ID**
`Cjxm268ch1`
**警示條件**
+ 紅色:ASG 可建立的執行個體和 IP 地址數量上限超過所設定之子網路中剩餘的 IP 地址數量。
+ 綠色:有足夠的 IP 地址可供 ASG 中的剩餘擴展使用。
**建議的動作**
增加可用 IP 地址的數量
**報告欄位**
+ 狀態
+ 區域
+ 資源 ARN
+ 可建立的執行個體上限
+ 可用執行個體的數量
## Auto Scaling 群組運作狀態檢查
**Description**
檢查 Auto Scaling 群組的運作狀態檢查組態。
如果 Auto Scaling 群組使用 Elastic Load Balancing,建議的組態是啟用 Elastic Load Balancing 運作狀態檢查。如果沒有使用 Elastic Load Balancing 運作狀態檢查,則 Auto Scaling 只能在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的運作狀態良好的情況下執行作業。Auto Scaling 不會對執行個體上執行的應用程式執行作業。
**檢查 ID**
`CLOG40CDO8`
**警示條件**
+ 黃色:Auto Scaling 群組具有相關聯的負載平衡器,但未啟用 Elastic Load Balancing 運作狀態檢查。
+ 黃色:Auto Scaling 群組不具有相關聯的負載平衡器,但已啟用 Elastic Load Balancing 運作狀態檢查。
**建議的動作**
如果 Auto Scaling 群組具有相關的負載平衡器,但未啟用 Elastic Load Balancing 運作狀態檢查,請參閱[將 Elastic Load Balancing 運作狀態檢查新增至您的 Auto Scaling 群組](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/as-add-elb-healthcheck.html)。
如果已啟用 Elastic Load Balancing 運作狀態檢查,但 Auto Scaling 群組沒有相關聯的負載平衡器,請參閱[設定自動擴展和負載平衡應用程式](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/as-register-lbs-with-asg.html)。
**其他資源**
《[Amazon EC2 Auto Scaling 使用者指南](https://docs.aws.amazon.com/autoscaling/ec2/userguide/)》
**報告欄位**
+ 狀態
+ 區域
+ Auto Scaling 群組名稱
+ 關聯的負載平衡器
+ 運作狀態檢查
## Auto Scaling 群組資源
**Description**
檢查與啟動組態、啟動範本和 Auto Scaling 群組相關聯的資源可用性。
若 Auto Scaling 群組指向無法使用的資源,便無法啟動新的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。如果正確設定,Auto Scaling 可讓 Amazon EC2 執行個體的數量在需求尖峰期間順暢增加,並在需求低落期間自動減少。Auto Scaling 群組和指向不可用資源的啟動組態/啟動範本不會如預期般運作。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`8CNsSllI5v`
**警示條件**
+ 紅色:Auto Scaling 群組與已刪除的負載平衡器相關聯。
+ 紅色:啟動組態與已刪除的 Amazon Machine Image (AMI) 相關聯。
+ 紅色:啟動範本與已刪除的 Amazon Machine Image (AMI) 相關聯。
**建議的動作**
如果已刪除負載平衡器,請建立新的負載平衡器或目標群組,然後將其與 Auto Scaling 群組建立關聯。 或建立不含負載平衡器的新 Auto Scaling 群組。如需有關建立帶新負載平衡器的新 Auto Scaling 群組的詳細資訊,請參閱[設定自動擴展和負載平衡應用程式](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/as-register-lbs-with-asg.html)。如需有關建立不帶負載平衡器的新 Auto Scaling 群組的詳細資訊,請參閱 [Auto Scaling 入門 (使用主控台)](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/USBasicSetup-Console.html) 中的「建立 Auto Scaling 群組」。
如果已刪除 AMI,請使用有效的 AMI 建立新的啟動組態或啟動範本版本,並將其與 Auto Scaling 群組建立關聯。如需有關如何建立新的啟動組態的資訊,請參閱《*Amazon EC2 Auto Scaling 使用者指南*》中的[建立啟動組態](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-config.html)。如需有關如何建立啟動範本的資訊,請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的為 Auto Scaling 群組建立啟動範本](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html)。 *Amazon EC2 Auto Scaling *
基於安全考量,檢查結果不包含使用啟動範本中的 AWS Systems Manager 參數參考的任何資源。
如果您的啟動範本包含包含 Amazon Machine Image (AMI) ID 的 AWS Systems Manager 參數,請檢閱啟動範本,以確保參數參考有效的 AMI ID,或在 AWS Systems Manager 參數存放區中進行適當的變更。如需詳細資訊,請參閱《*Amazon EC2 Auto Scaling 使用者指南*》中的[使用 AWS Systems Manager 參數而非 AMI IDs](https://docs.aws.amazon.com/autoscaling/ec2/userguide/using-systems-manager-parameters.html)。
**其他資源**
+ [Auto Scaling 疑難排解:Amazon EC2 AMI](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/ts-as-ami.html)
+ [Auto Scaling 疑難排解:負載平衡器組態](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/ts-as-loadbalancer.html)
+ 《[Amazon EC2 Auto Scaling 使用者指南](https://docs.aws.amazon.com/autoscaling/latest/userguide/)》
+ [使用 AWS Systems Manager 參數而非 AMI IDs](https://docs.aws.amazon.com/autoscaling/ec2/userguide/using-systems-manager-parameters.html)
**報告欄位**
+ 狀態
+ 區域
+ Auto Scaling 群組名稱
+ 啟動類型
+ 資源類型
+ 資源名稱
## AWS CloudHSM 在單一 AZ 中執行 HSM 執行個體的 叢集
**Description**
檢查在單一可用區域 (AZ) 中執行的 HSM 執行個體的叢集。如果您的叢集存在沒有最新備份的風險,則此檢查會提醒您。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`hc0dfs7601`
**警示條件**
+ 黃色:CloudHSM 叢集正在執行單一可用區域中的所有 HSM 執行個體超過 1 小時。
+ 綠色:CloudHSM 叢集正在執行至少兩個不同的可用區域中的所有 HSM 執行個體。
**建議的動作**
在不同的可用區域中為叢集至少再建立一個執行個體。
**其他資源**
[的最佳實務 AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/best-practices.html)
**報告欄位**
+ 狀態
+ 區域
+ 叢集 ID
+ HSM 執行個體的數量
+ 上次更新時間
## Direct Connect 位置彈性
**Description**
檢查 Direct Connect 用於將內部部署連接到每個 Direct Connect 閘道或虛擬私有閘道的 彈性。
如果有任何 Direct Connect 閘道或虛擬私有閘道未設定跨至少兩個不同 Direct Connect 位置的虛擬介面,則此檢查會提醒您。缺乏位置彈性可能會導致維護期間意外停機、光纖切斷、裝置故障或完整的位置故障。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
Direct Connect 使用 Direct Connect 閘道透過 Transit Gateway 實作。
**檢查 ID**
`c1dfpnchv2`
**警示條件**
紅色:Direct Connect 閘道或虛擬私有閘道是在單一 Direct Connect 裝置上設定一或多個虛擬介面。
黃色:Direct Connect 閘道或虛擬私有閘道在單一 Direct Connect 位置中透過跨多個 Direct Connect 裝置的虛擬介面進行設定。
綠色:Direct Connect 閘道或虛擬私有閘道是透過跨兩個或多個不同 Direct Connect 位置的虛擬介面進行設定。
**建議的動作**
若要建置 Direct Connect 位置彈性,您可以設定 Direct Connect 閘道或虛擬私有閘道,以連線到至少兩個不同的 Direct Connect 位置。如需詳細資訊,請參閱[Direct Connect 彈性建議](https://aws.amazon.com/directconnect/resiliency-recommendation/)。
**其他資源**
[Direct Connect 彈性建議](https://aws.amazon.com/directconnect/resiliency-recommendation/)
[Direct Connect 容錯移轉測試](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_failover.html)
**報告欄位**
+ 狀態
+ 區域
+ 上次更新時間
+ 彈性狀態
+ Location
+ 連線 ID
+ 閘道 ID
## AWS Lambda 未設定無效字母佇列的 函數
**Description**
檢查 AWS Lambda 函數是否已設定無效字母佇列。
無效字母佇列是 的一項功能 AWS Lambda ,可讓您擷取和分析失敗的事件,提供相應地處理這些事件的方法。您的程式碼可能會引發例外狀況、逾時或記憶體不足,導致 Lambda 函數的非同步執行失敗。無效字母佇列會儲存來自失敗調用的訊息,提供一種方式來處理訊息並疑難排解這些故障情況。
您可以在 AWS Config 規則中使用 **dlqArns** 參數來指定要檢查的無效字母佇列資源。
如需詳細資訊,請參閱[無效字母佇列](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html#invocation-dlq)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz182`
**來源**
`AWS Config Managed Rule: lambda-dlq-check`
**警示條件**
黃色: AWS Lambda 函數未設定無效字母佇列。
**建議的動作**
請確定您的 AWS Lambda 函數已設定無效字母佇列,以控制所有失敗的非同步呼叫的訊息處理。
如需詳細資訊,請參閱[無效字母佇列](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html#invocation-dlq)。
**其他資源**
+ [採用 AWS Lambda 無效字母佇列的強大無伺服器應用程式設計](https://aws.amazon.com/blogs/compute/robust-serverless-application-design-with-aws-lambda-dlq/)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Lambda 失敗時事件目的地
**Description**
檢查帳戶中的 Lambda 函數是否已針對非同步調用設定「失敗時」事件目的地或無效字母佇列 (DLQ),以便將失敗調用的記錄路由至目的地以供進一步調查或處理。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch05`
**警示條件**
+ 黃色:函數沒有任何已設定的「失敗時」事件目的地或 DLQ。
**建議的動作**
請為 Lambda 函數設定「失敗時」事件目的地或 DLQ,以便將失敗的調用及其他詳細資訊傳送至其中一個可用的目的地 AWS 服務,以供進一步偵錯或處理。
**其他資源**
+ [非同步調用](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html)
+ [AWS Lambda 失敗時事件目的地](https://aws.amazon.com/blogs/compute/introducing-aws-lambda-destinations/)
**報告欄位**
+ 狀態
+ 區域
+ 具有已標記之版本的函數。
+ 當天非同步請求下降百分比
+ 當天非同步請求
+ 平均每日非同步請求下降百分比
+ 平均每日非同步請求
+ 上次更新時間
## AWS Lambda 無異地同步備份備援的已啟用 VPC 的函數
**Description**
檢查在單一可用區域中易受服務中斷影響的已啟用 VPC Lambda 函數 \$1LATEST 版本。最佳實務是,已啟用 VPC 的函數會連接到多個可用區域,以獲得高可用性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`L4dfs2Q4C6`
**警示條件**
黃色:已啟用 VPC 的 Lambda 函數的 \$1LATEST 版本會連接到單一可用區域中的子網路。
**建議的動作**
設定函數對 VPC 的存取權時,請選擇多個可用區域內的子網以確保高可用性。
**其他資源**
+ [設定 Lambda 函式以存取 VPC 中的資源](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html)
+ [中的彈性 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/security-resilience.html)
**報告欄位**
+ 狀態
+ 區域
+ 函數 ARN
+ VPC ID
+ 平均每日叫用次數
+ 上次更新時間
## AWS Outposts 單一機架部署
**Description**
檢查 Outposts 機架平衡。這會評估客戶 Outposts 執行個體是否部署在多個 Outposts 機架或單一 Outpost 機架。單一 Outposts 機架會為涉及單一機架 (例如環境故障) 的問題建立單一故障點。這些案例可以透過在多個機架之間部署前哨來緩解。
**檢查 ID**
`c243hjzrhn`
**警示條件**
+ 黃色:您的 Outpost 部署在單一機架上
+ 綠色:您的 Outpost 會部署在多個機架。
**建議的動作**
如果您正在執行生產工作負載 AWS Outposts,則最佳實務是使用下列彈性架構。單一 AWS Outposts 機架會建立單一失敗點。考慮將第二個 AWS Outposts 機架新增至該位置,其容量足以容納容錯移轉事件,然後將工作負載分散到各個機架。
**其他資源**
[失敗模式 4:機架或資料中心](https://docs.aws.amazon.com/whitepapers/latest/aws-outposts-high-availability-design/thinking-in-terms-of-failure-modes.html#failure-mode-4-racks-or-data-centers)
**報告欄位**
+ 狀態
+ 資源 ARN
+ AZ
+ 機架數量
+ 上次更新時間
## AWS Resilience Hub 應用程式元件檢查
**Description**
檢查應用程式中的應用程式元件 (AppComponent) 是否無法復原。如果 AppComponent 在中斷事件的情況下未復原,您可能會遇到未知的資料遺失和系統停機時間。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會出現。
**檢查 ID**
`RH23stmM04`
**警示條件**
紅色:AppComponent 無法復原。
**建議的動作**
若要確保您的 AppComponent 可復原,請檢閱並實作彈性建議,然後執行新的評估。如需檢閱彈性建議的詳細資訊,請參閱其他資源。
**其他資源**
[檢閱彈性建議](https://docs.aws.amazon.com/resilience-hub/latest/userguide/resil-recs.html)
[AWS Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
[AWS Resilience Hub 使用者指南](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
**報告欄位**
+ 狀態
+ 區域
+ Application Name (應用程式名稱)
+ AppComponent 名稱
+ 上次更新時間
## AWS Resilience Hub 已違反政策
**Description**
檢查 Resilience Hub 是否存在不符合政策定義的復原時間點目標 (RTO) 和復原點目標 (RPO) 的應用程式。如果您的應用程式不符合您為 Resilience Hub 中的應用程式設定的 RTO 和 RPO 目標,則檢查會提醒您。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`RH23stmM02`
**警示條件**
+ 綠色:應用程式具有政策並符合 RTO 和 RPO 目標。
+ 黃色:應用程式尚未進行評定。
+ 紅色:應用程式具有政策,但不符合 RTO 和 RPO 目標。
**建議的動作**
登入 Resilience Hub 主控台並檢閱建議,讓您的應用程式符合 RTO 和 RPO 目標。
**其他資源**
[Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
**報告欄位**
+ 狀態
+ 區域
+ Application Name (應用程式名稱)
+ 上次更新時間
## AWS Resilience Hub 彈性分數
**Description**
檢查您是否已在 Resilience Hub 中對應用程式執行評估。如果您的彈性分數低於特定值,則此檢查會提醒您。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`RH23stmM01`
**警示條件**
+ 綠色:您的應用程式的彈性分數為 70 或更高。
+ 黃色:您的應用程式的彈性分數為 40 至 69。
+ 黃色:應用程式尚未進行評定。
+ 紅色:您的應用程式的彈性分數低於 40。
**建議的動作**
登入 Resilience Hub 主控台並為您的應用程式執行評估。檢閱建議以提高彈性分數。
**其他資源**
[Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
**報告欄位**
+ 狀態
+ 區域
+ Application Name (應用程式名稱)
+ 應用程式彈性分數
+ 上次更新時間
## AWS Resilience Hub 評估存留期
**Description**
檢查自上次執行應用程式評估之後經過多少時間。如果您在指定天數內未執行應用程式評估,此檢查會提醒您。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`RH23stmM03`
**警示條件**
+ 綠色:您的應用程式評估曾在過去 30 天內執行。
+ 黃色:過去 30 天未執行您的應用程式評估。
**建議的動作**
登入 Resilience Hub 主控台並為您的應用程式執行評估。
**其他資源**
[Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
**報告欄位**
+ 狀態
+ 區域
+ Application Name (應用程式名稱)
+ 上次評估執行後的天數
+ 上次評估執行時間
+ 上次更新時間
## AWS Site-to-Site VPN 至少有一個通道處於 DOWN 狀態
**Description**
檢查每個 AWS Site-to-Site VPN作用中的通道數量。
VPN 應該隨時設有兩個通道。如此一來可在 AWS 端點的服務中斷時或進行預定的裝置維護期間提供備援功能。對於某些硬體,一次只會有一個通道處於作用中狀態。如果某個 VPN 沒有作用中通道,仍需支付該 VPN 的費用。
如需詳細資訊,請參閱[什麼是 AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz123`
**來源**
`AWS Config Managed Rule: vpc-vpn-2-tunnels-up`
**警示條件**
黃色:Site-to-Site VPN 至少有一個通道為 DOWN。
**建議的動作**
確保為 VPN 連線設定了兩個通道。而且,如果您的硬體支援它,那麼請確保兩個通道均處於作用中狀態。如果您不再需要 VPN 連線,那麼請予以刪除以免產生費用。
如需詳細資訊,請參閱[您的客戶閘道裝置](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)和 [AWS 知識中心](https://repost.aws/knowledge-center#AWS_Virtual_Private_Network)所提供的內容。
**其他資源**
+ [AWS Site-to-Site VPN 使用者指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [將虛擬私有閘道新增到您的 VPC](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-target-gateway)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS STS 跨 的全域端點用量 AWS 區域
**Description**
當 AWS 工作負載對美國東部 (維吉尼亞北部) 區域的 STS 全球端點進行跨區域呼叫時,此檢查會識別彈性風險。如果對美國東部 (維吉尼亞北部) STS 端點的連線受到影響,對美國東部 (維吉尼亞北部) 的 STS 全球端點提出跨區域請求的 AWS 工作負載可能會受到負面影響。
在 2025 年 4 月,針對預設 AWS 區域 啟用的所有 AWS, AWS 增強了全域端點,以在與工作負載相同的區域中自動提供 STS 全域端點呼叫。不過,有些工作負載,例如在選擇加入區域中執行的工作負載,或是未使用 Amazon DNS 伺服器的工作負載,並不會受益於此增強功能中提供的降低延遲和[故障隔離](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html)。對於這些工作負載,STS 全域端點請求會在美國東部 (維吉尼亞北部) 區域提供,對您的應用程式構成彈性風險,並增加 STS 請求的延遲。
此檢查的結果每天會自動重新整理數次,每次都涵蓋過去 15 天。不允許重新整理請求。因此,變更最多可能需要 15 天才會出現在 Trusted Advisor 檢查結果中。
對於 Business、Enterprise On-Ramp 或 Enterprise Support 客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c15m0mgld3`
**警示條件**
紅色:工作負載正在對美國東部 (維吉尼亞北部) 區域中 AWS STS 的全域端點進行跨區域呼叫。
**建議的動作**
為了改善工作負載的彈性和效能,建議您從 STS 全域端點遷移至 STS 區域端點。透過使用區域端點,您可以在與工作負載 AWS STS 相同的區域中使用 。
以下是對美國東部 AWS Identity and Access Management (維吉尼亞北部) 區域中 AWS STS 的全球端點進行跨區域呼叫的 (IAM) 委託人清單。透過遵循部落格文章中的步驟[如何使用區域 AWS STS 端點](https://aws.amazon.com/blogs/security/how-to-use-regional-aws-sts-endpoints/),您可以重新設定工作負載以使用區域 STS 端點。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/fault-tolerance-checks.html)
**其他資源**
+ [在 AWS STS 中管理 AWS 區域](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html)
+ [AWS STS 區域端點](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sts-regionalized-endpoints.html)
**報告欄位**
+ 狀態
+ 委託人 Arn
+ Action
+ 委託人類型
+ 來源區域
+ 上次更新時間
## AWS Well-Architected 可靠性的高風險問題
**Description**
檢查可靠性支柱中,工作負載是否有高風險問題 (HRI)。這項檢查是以您的 AWS-Well Architected 檢閱為基礎。您的檢查結果取決於您是否使用 AWS Well-Architected 完成工作負載評估。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Wxdfp4B1L4`
**警示條件**
+ 紅色:在 AWS Well-Architected 的可靠性支柱中發現至少一個作用中的高風險問題。
+ 綠色:在 AWS Well-Architected 的可靠性支柱中未偵測到作用中的高風險問題。
**建議的動作**
AWS Well-Architected 在工作負載評估期間偵測到高風險問題。解決這些問題,可能有機會降低風險和節省成本。登入 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具,檢閱答案並採取行動,解決待處理的問題。
**報告欄位**
+ 狀態
+ 區域
+ 工作負載 ARN
+ 工作負載名稱
+ 檢閱者姓名
+ 工作負載類型
+ 工作負載開始日期
+ 工作負載上次修改日期
+ 可靠性方面已識別的高風險問題數量
+ 可靠性方面已解決的高風險問題數量
+ 可靠性方面已回答的問題數量
+ 可靠性支柱中的問題總數
+ 上次更新時間
## Classic Load Balancer 未設定多個 AZ
**Description**
檢查 Classic Load Balancer 是否跨越多個可用區域 (AZ)。
負載平衡器會將傳入的應用程式流量分散到多個可用區域中的多個 Amazon EC2 執行個體。根據預設,負載平衡器橫跨您為負載平衡器啟用的可用區域平均分派流量。如果一個可用區域發生中斷情形,負載平衡器節點會自動將請求轉送到一或多個可用區域中運作狀態良好的已註冊執行個體。
您可以使用 AWS Config 規則中的 **minAvailabilityZones** 參數來調整可用區域數量下限
如需詳細資訊,請參閱[什麼是 Classic Load Balancer?](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz154`
**來源**
`AWS Config Managed Rule: clb-multiple-az`
**警示條件**
黃色:Classic Load Balancer 未設定 Multi-AZ,或不符合指定的 AZ 的最小數量。
**建議的動作**
請確定您的 Classic Load Balancer 已設定多個可用區域。將負載平衡器跨越多個 AZ,以確保您的應用程式具有高可用性。
如需詳細資訊,請參閱[教學課程:建立 Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-getting-started.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## CLB 連線耗盡
**Description**
檢查未啟用連線耗盡的 Classic 負載平衡器。
未啟用連線耗盡,且您從 Classic 負載平衡器取消註冊 Amazon EC2 執行個體時,Classic 負載平衡器會停止將流量路由至該執行個體,並關閉連線。啟用連線耗盡時,Classic 負載平衡器會停止傳送新請求至已取消註冊的執行個體,但保持連線開啟狀態,以提供作用中的請求。
**檢查 ID**
`7qGXsKIUw`
**警示條件**
+ 黃色:Classic 負載平衡器未啟用連線耗盡。
+ 綠色:傳統負載平衡器已啟用連線耗盡。
**建議的動作**
啟用 Classic 負載平衡器的連線耗盡。如需詳細資訊,請參閱 [Connection Draining](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/TerminologyandKeyConcepts.html#conn-drain) (連接耗盡) 和 [Enable or Disable Connection Draining for Your Load Balancer](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/config-conn-drain.html) (為您的負載平衡器啟用或停用連接耗盡功能)。
**其他資源**
[彈性負載平衡概念](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/TerminologyandKeyConcepts.html)
**報告欄位**
+ 狀態
+ 區域
+ 負載平衡器名稱
+ Reason
## ELB 目標不平衡
**Description**
檢查 Application Load Balancer (ALB)、Network Load Balancer (NLB) 和 Gateway Load Balancer (GWLB) 在可用區域 (AZs) 之間的目標分佈。
此檢查不包括下列項目:
+ 使用單一可用區域 (AZ) 設定的負載平衡器。
+ 負載平衡器,其中填入最多和最少 AZs 的目標數量差異等於或小於 1。
+ 具有 IP 型目標的目標群組,其中 AvailabilityZone 屬性設定為 'all'。
**檢查 ID**
`b92b83d667`
**警示條件**
+ 紅色:單一 AZ 代表負載平衡器容量的 66% 以上。
+ 黃色:單一 AZ 代表負載平衡器容量的 50% 以上。
+ 綠色:沒有 AZs 代表負載平衡器容量的 50% 以上。
**建議的動作**
為了提高彈性,請確保您的目標群組在 AZs 中有相同數量的目標。
**其他資源**
[Application Load Balancer 的目標群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html)
[向 Application Load Balancer 目標群組註冊目標](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-register-targets.html)
**報告欄位**
+ 狀態
+ 區域
+ 負載平衡器名稱
+ Load Balancer類型
+ 目標群組 ARN (arn)
+ 跨 AZs 的已註冊目標差異
+ 上次更新時間
## GWLB - 端點可用區域獨立性
**Description**
檢查您的 Gateway Load Balancer (GWLB) 端點是否設定為來自另一個可用區域 (AZ) 的路由目的地。
Gateway Load Balancer 端點會將網路流量轉送至 Gateway Load Balancer 後方的防火牆設備進行檢查。每個 Gateway Load Balancer 端點都在指定的 AZ 中運作,並且僅在該 AZ 中以備援建置。因此,特定 AZ 中的任何資源都必須在相同的 AZ 中使用 Gateway Load Balancer 端點。這可確保 Gateway Load Balancer 端點或其 AZ 的任何潛在中斷不會影響您在其他 AZ 中的資源。
**檢查 ID**
`528d6f5ee7`
**警示條件**
+ 黃色:來自某個 AZ 中子網路的流量正透過不同 AZ 中的 Gateway Load Balancer 端點路由。
+ 綠色:來自某個 AZ 中子網路的流量正在透過相同 AZ 中的 Gateway Load Balancer 端點路由。
**建議的動作**
檢查子網路的 AZ,並設定其路由表,以透過相同 AZ 中的 Gateway Load Balancer 端點路由流量。
如果 AZ 中沒有 Gateway Load Balancer 端點,請建立新的端點,然後路由子網路流量。
如果您在不同 AZs 中的子網路之間有相同的路由表,則將此路由表與位於與 Gateway Load Balancer 端點相同 AZ 中的子網路保持關聯。對於其他 AZ 中的子網路,您可以接著將個別路由表與此 AZ 中 Gateway Load Balancer 端點的路由建立關聯。
最佳實務是為 Amazon VPC 中的架構變更選擇維護時段。
**其他資源**
+ [可用區域獨立性](https://docs.aws.amazon.com/whitepapers/latest/advanced-multi-az-resilience-patterns/availability-zone-independence.html)
+ [設定 Gateway Load Balancer 端點的路由](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-load-balancer-endpoints.html#configure-routing-gateway-load-balancer-endpoint)
+ [AWS Well-Architected Tool - 使用隔板架構來限制影響範圍](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_use_bulkhead.html)
**報告欄位**
+ 狀態
+ 區域
+ 跨 AZ 子網路 ID 清單
+ Gateway Load Balancer 端點 ID
+ Gateway Load Balancer 端點子網路 ID
+ VPC 端點子網路可用區域
+ 上次更新時間
## 負載平衡器最佳化
**Description**
檢查您的負載平衡器組態。
為了協助在使用 Elastic Load Balancing 時提高 Amazon Elastic Compute Cloud (Amazon EC2) 的容錯能力,建議在一個區域的多個可用區域中執行相同數量的執行個體。設定完畢的負載平衡器會產生費用,因此這也是一項成本最佳化檢查。
**檢查 ID**
`iqdCTZKCUp`
**警示條件**
+ 黃色:單一可用區域啟用了負載平衡器。
+ 黃色:沒有作用中執行個體的可用區域啟用了負載平衡器。
+ 黃色:向負載平衡器註冊的 Amazon EC2 執行個體在可用區域間分佈不均衡。(已使用的可用區域中的最大執行個體數量與最少執行個體數量之間的差異大於 1,而差異超過最大執行個體數量的 20% 以上。)
**建議的動作**
請確保您的負載平衡器指向至少兩個可用區域內作用中和運作狀態良好的執行個體。如需詳細資訊,請參閱[新增可用區域](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/enable-disable-az.html#US_AddLBAvailabilityZone)。
如果您的負載平衡器是設定用於沒有運作狀態良好執行個體的可用區域,或是可用區域間中的執行個體的分佈不均衡,請判斷是否這些可用區域都是需要的。請省略任何不必要的可用區域,並確保在剩餘的可用區域之間均衡分配執行個體。如需更多詳細資訊,請參閱[移除可用區域](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/enable-disable-az.html#US_ShrinkLBApp04)。
**其他資源**
+ [可用區域和區域](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/TerminologyandKeyConcepts.html#AZ-Region)
+ [管理負載平衡器](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/UserScenarios.html)
+ [Elastic Load Balancing 評估的最佳實務](https://aws.amazon.com/articles/1636185810492479)
**報告欄位**
+ 狀態
+ 區域
+ 負載平衡器名稱
+ 區域數量
+ 區域 a 執行個體
+ 區域 b 執行個體
+ 區域 c 執行個體
+ 區域 d 執行個體
+ 區域 e 執行個體
+ 區域 f 執行個體
+ Reason
## NAT Gateway AZ 獨立性
**Description**
檢查您的 NAT Gateway 是否設定為可用區域 (AZ) 獨立性。
NAT Gateway 可讓私有子網路中的資源使用 NAT Gateway 的 IP 地址安全地連線至子網路外部的服務,並捨棄任何來路不明的傳入流量。每個 NAT Gateway 皆在指定的可用區域 (AZ) 內運作,並且僅在該 AZ 中以備援建置。因此,您在特定 AZ 中的資源應該使用相同 AZ 中的 NAT Gateway,如此在 NAT Gateway 或其 AZ 發生任何潛在中斷的情況下,就不會影響其他 AZ 中的資源。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfptbg10`
**警示條件**
+ 紅色:來自某個 AZ 中子網路的流量會透過其他 AZ 中的 NATGW 來路由。
+ 綠色:來自某個 AZ 中子網路的流量會透過相同 AZ 中的 NATGW 來路由。
**建議的動作**
請檢查子網路的 AZ,並透過相同 AZ 中的 NAT Gateway 路由傳送流量。
如果 AZ 中沒有 NATGW,請建立一個,然後透過它來路由子網路流量。
如果您在不同 AZ 的子網路之間有相同的路由表關聯,請將此路由表保持與 NAT Gateway 位於相同 AZ 中的子網路的關聯,而對於另一個 AZ 中的子網路,請將個別路由表與至此其他 AZ 中 NAT Gateway 的路由建立關聯。
我們建議您為 Amazon VPC 中的架構變更選擇維護時段。
**其他資源**
+ [如何建立 NAT Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)
+ [如何設定 NAT Gateway 使用案例的路由](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-scenarios.html)
**報告欄位**
+ 狀態
+ 區域
+ NAT 可用區域
+ NAT ID
+ 子網路可用區域
+ 子網路 ID
+ 路由表 ID
+ NAT ARN
+ 上次更新時間
## Network Firewall 端點 AZ 獨立性
**Description**
檢查您的 AWS Network Firewall 端點是否設定為來自另一個可用區域 (AZ) 的路由目的地。
Network Firewall 端點會將網路流量轉送至 Network Firewall 進行檢查。每個 Network Firewall 端點都在指定的 AZ 中運作,並且僅在該 AZ 中以備援建置。您在特定 AZ 中的資源應該在相同的 AZ 中使用 Network Firewall 端點。這可確保 Network Firewall 端點或其 AZ 的任何潛在中斷不會影響您在其他 AZ 中的資源。源自不同可用區域進行流量檢查的網路流量會產生跨可用區域資料傳輸費用。最佳實務是確保特定 AZ 中的所有資源都使用相同 AZ 中的網路防火牆,以避免跨 AZ 資料費用。
**檢查 ID**
`7040ea389a`
**警示條件**
+ 黃色:來自某個 AZ 中子網路的流量正透過不同 AZ 中的 Network Firewall 端點路由。
+ 綠色:來自某個 AZ 中子網路的流量正在透過相同 AZ 中的網路防火牆端點路由。
**建議的動作**
檢查子網路的 AZ,並透過相同 AZ 中的 Network Firewall 端點路由流量。
如果 AZ 中沒有 Network Firewall 端點,請建立新的 Network Firewall,並透過它路由子網路流量。
如果相同路由表在不同 AZs 中的多個子網路之間建立關聯,則將此路由表與位於與 Network Firewall 端點相同 AZ 中的子網路保持關聯。對於其他 AZs 中的子網路,請將個別路由表與該 AZ 中 Network Firewall 端點的路由建立關聯。
最佳實務是為 Amazon VPC 中的架構變更選擇維護時段。
**其他資源**
[相同 內的資料傳輸 AWS 區域](https://aws.amazon.com/ec2/pricing/on-demand/)
[了解資料傳輸費用](https://docs.aws.amazon.com/cur/latest/userguide/cur-data-transfers-charges.html)
[可用區域獨立性](https://docs.aws.amazon.com/whitepapers/latest/advanced-multi-az-resilience-patterns/availability-zone-independence.html)
[實作防火牆的高階步驟](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-high-level-steps.html)
[建立防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-creating.html)
[AWS Well-Architected Tool - 使用隔板架構來限制影響範圍](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_use_bulkhead.html)
**報告欄位**
+ 狀態
+ 區域
+ 網路防火牆端點 ID
+ Network Firewall Arn
+ Network Firewall 端點子網路
+ 網路防火牆端點可用區域
+ 跨 AZ 子網路清單
+ 上次更新時間
## Network Firewall 多可用區域
**Description**
檢查您的網路防火牆是否設定為針對防火牆端點使用多個可用區域 (AZ)。
AZ 是隔離其他區域中故障的不同位置。如果 Network Firewall 端點只部署在 1 個 AZ 中,則可能是單一故障點,並使用 Network Firewall 進行流量檢查,從其他 AZs 損害工作負載。最佳實務是在相同區域中的多個 AZs 中設定網路防火牆,以改善工作負載可用性。
**檢查 ID**
`c2vlfg0gqd`
**警示條件**
+ 黃色:網路防火牆端點部署在 1 個可用區域。
+ 綠色:網路防火牆端點部署在至少兩個 AZs 中。
**建議的動作**
請確定您的 Network Firewall 已針對生產工作負載設定至少兩個 AZs。
**其他資源**
[的 VPC 子網路組態AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-subnets)
[建立防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-creating.html)
[可用區域](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)
[AWS Well-Architected Tool - 將工作負載部署到多個位置](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_multiaz_region_system.html)
[共用服務 VPC 中的設備](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-appliance-scenario.html#transit-gateway-appliance-overview)
**報告欄位**
+ 狀態
+ 區域
+ Network Firewall Arn
+ VPC ID
+ Network Firewall 子網路
+ Network Firewall 子網路 AZs
+ 上次更新時間
## 跨負載平衡的 Network Load Balancer
**Description**
檢查跨區域負載平衡是否已在 Network Load Balancer 上啟用。
跨區域負載平衡有助於在不同可用區域中的執行個體之間維持連入流量的均勻分佈。這樣可防止負載平衡器將所有流量路由到相同可用區域中的執行個體,這可能會導致流量分佈不均和潛在的超載問題。在單一可用區域故障的情況下,此功能也會自動將流量路由到其他可用區域中運作狀態良好的執行個體,有助於提升應用程式的可靠性。
如需詳細資訊,請參閱[跨區域負載平衡](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz105`
**來源**
`AWS Config Managed Rule: nlb-cross-zone-load-balancing-enabled`
**警示條件**
+ 黃色:Network Load Balancer 未啟用跨區域負載平衡。
**建議的動作**
確保跨區域負載平衡是否已在 Network Load Balancer 上啟用。
**其他資源**
[跨區域負載平衡 (Network Load Balancer)](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## NLB - 私有子網路中的面向網際網路的資源
**Description**
檢查面向網際網路的 Network Load Balancer (NLB) 是否使用私有子網路設定。必須在公有子網路中設定面向網際網路的 Network Load Balancer (NLB),才能接收流量。公有子網路定義為具有網際網路[閘道](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)直接路由的子網路。如果子網路設定為私有,則可用區域 (AZ) 不會接收流量,這可能會導致可用性問題。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfpnchv4`
**警示條件**
紅色:NLB 已設定一或多個私有子網路
綠色:未為面向網際網路的 NLB 設定私有子網路
**建議的動作**
確認在面向網際網路的負載平衡器中設定的子網路是公有的。公有子網路定義為具有網際網路[閘道](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)直接路由的子網路。使用下列其中一個選項:
+ 建立新的負載平衡器,並選取具有網際網路閘道直接路由的不同子網路。
+ 將目前連接至負載平衡器的子網路從私有變更為公有。若要這樣做,請變更其路由表並[關聯網際網路閘道](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#associate-route-table-gateway)。
**其他資源**
+ [設定負載平衡器和接聽程式](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer)
+ [適用於 VPC 的子網路](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html)
+ [將閘道與路由表建立關聯](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#associate-route-table-gateway)
**報告欄位**
+ 狀態
+ 區域
+ NLB Arn
+ NLB 名稱
+ 子網路 ID
+ NLB 結構描述
+ 子網路類型
+ 上次更新時間
## NLB 多可用區域
**Description**
檢查您的 Network Load Balancer 是否設定為使用多個可用區域 (AZ)。AZ 是明顯與其他區域中的故障隔絕開來的地點。在相同區域的多個 AZs 中設定負載平衡器,以協助改善工作負載可用性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch09`
**警示條件**
黃色:NLB 位於單一 AZ 中。
綠色:NLB 有兩個或多個可用AZs。
**建議的動作**
請確定您的負載平衡器已設定至少兩個可用區域。
**其他資源**
如需詳細資訊,請參閱下列 文件:
+ [可用區域](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)
+ [AWS Well-Architected - 將工作負載部署到多個位置](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_multiaz_region_system.html)
+ [區域與可用區域](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)
**報告欄位**
+ 狀態
+ 區域
+ AZ 數量
+ NLB ARN
+ NLB 名稱
+ 上次更新時間
## AWS 區域 Incident Manager 複寫集中的 數目
**Description**
檢查 Incident Manager 複寫集的組態是否使用多個組態 AWS 區域 來支援區域容錯移轉和回應。對於 CloudWatch 警示或 EventBridge 事件建立的事件,Invent Manager 會在 AWS 區域 與警示或事件規則相同的 中建立事件。如果該區域暫時無法使用 Incident Manager,則系統會嘗試在複製集的另一個區域中建立事件。如果複製集僅包含一個區域,則系統無法在 Incident Manager 無法使用時建立事件記錄。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`cIdfp1js9r`
**警示條件**
+ 綠色:複寫集包含超過一個的區域。
+ 黃色:複本集包含一個區域。
**建議的動作**
至少新增一個區域至複寫集。
**其他資源**
如需詳細資訊,請參閱[跨區域事件管理](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-cross-account-cross-region.html#incident-manager-cross-region.html)。
**報告欄位**
+ 狀態
+ 多區域
+ 複寫集
+ 上次更新時間
## 單一 AZ 應用程式檢查
**Description**
檢查網路模式是否透過單一可用區域 (AZ) 路由您的輸出網路流量。
AZ 是明顯與其他區域中的任何影響隔絕開來的地點。透過將您的服務分散到多個 AZ,您可以限制 AZ 故障的衝擊半徑。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfptbg11`
**警示條件**
+ 黃色:根據觀察到的輸出網路模式,您的應用程式僅能部署在一個 AZ 中。如果這是真的,而且您的應用程式預期高可用性,建議您佈建應用程式資源並實作網路流程來運用多個可用區域。
**建議的動作**
如果您的應用程式需要高可用性,請考慮實作多可用區域架構來獲得更高的可用性。
**報告欄位**
+ 狀態
+ 區域
+ VPC ID
+ 上次更新時間
## 多個 AZs 中的 VPC 介面端點網路介面
**Description**
檢查您的 AWS PrivateLink VPC 介面端點是否設定為使用多個可用區域 (AZ)。AZ 是明顯與其他區域中的故障隔絕開來的地點。這支援相同 AWS 區域中 AZs 之間的低成本、低延遲網路連線。當您建立介面端點時,請選取多個AZs子網路,以協助保護您的應用程式免於單點故障。
此檢查目前僅包含界面端點。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch10`
**警示條件**
黃色:VPC 端點位於單一 AZ 中。
綠色:VPC 端點至少位於兩個 AZs中。
**建議的動作**
請確定您的 VPC 介面端點已設定至少兩個可用區域。
**其他資源**
如需詳細資訊,請參閱下列 文件:
+ [AWS 服務 使用界面 VPC 端點存取](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)
+ [端點網路界面的私有 IP 地址](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/creating-highly-available-endpoint-services.html#private-ip-address-of-the-endpoint-network-interface)
+ [AWS PrivateLink 概念](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)
+ [區域與可用區域](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)
**報告欄位**
+ 狀態
+ 區域
+ VPC 端點 ID
+ 是多可用區域
+ 上次更新時間
## VPN 通道備援
**Description**
檢查每個Site-to-Site VPNs 作用中的通道數量。
VPN 應該隨時設有兩個通道。如此一來可在 AWS 端點的服務中斷時或進行預定的裝置維護期間提供備援功能。對於某些硬體,一次只會有一個通道處於作用中狀態。如果某個 VPN 沒有作用中通道,仍需支付該 VPN 的費用。如需詳細資訊,請參閱 [AWS Site-to-Site VPN 使用者指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)。
**檢查 ID**
`S45wrEXrLz`
**警示條件**
+ 黃色:VPN 有一個作用中的通道 (這對於某些硬體而言是正常的)。
+ 黃色:VPN 沒有作用中的通道。
**建議的動作**
請確保已為您的 VPN 連線設定兩個通道,並且兩個通道都在作用中 (如果您的硬體支援這種情形)。您可以刪除不再需要的 VPN 連線以避免產生費用。如需詳細資訊,請參閱[您的客戶閘道裝置](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)或刪除[Site-to-Site連接](https://docs.aws.amazon.com/vpn/latest/s2svpn/delete-vpn.html)。
**其他資源**
+ [AWS Site-to-Site VPN 使用者指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [建立目標閘道](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-target-gateway)
**報告欄位**
+ 狀態
+ 區域
+ VPN ID
+ VPC
+ 虛擬私有閘道
+ 客戶閘道
+ 作用中通道
+ Reason
## ActiveMQ 可用區域備援
**Description**
檢查 Amazon MQ for ActiveMQ 代理程式是否已為多個可用區域中的作用中/待命的代理程式設定高可用性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1t3k8mqv1`
**警示條件**
+ 黃色:Amazon MQ for ActiveMQ 代理程式是在單一可用區域中設定。
綠色:Amazon MQ for ActiveMQ 代理程式是在至少兩個可用區域中設定。
**建議的動作**
建立具有作用中/待命部署模式的新代理程式。
**其他資源**
+ [建立 ActiveMQ 中介裝置](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-activemq.html)
**報告欄位**
+ 狀態
+ 區域
+ ActiveMQ 代理程式 ID
+ 中介裝置引擎類型
+ 部署模式
+ 上次更新時間
## RabbitMQ 可用區域備援
**Description**
檢查 Amazon MQ for RabbitMQ 代理程式是否已為多個可用區域中的叢集執行個體設定高可用性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1t3k8mqv2`
**警示條件**
+ 黃色:Amazon MQ for RabbitMQ 代理程式是在單一可用區域中設定。
綠色:Amazon MQ for RabbitMQ 代理程式是在多個可用區域中設定。
**建議的動作**
建立具有叢集部署模式的新代理程式。
**其他資源**
+ [建立 RabbitMQ 代理程式](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html)
**報告欄位**
+ 狀態
+ 區域
+ RabbitMQ 代理程式 ID
+ 中介裝置引擎類型
+ 部署模式
+ 上次更新時間
# 服務限制
請參閱下列適用於服務配額 (也稱為配額) 類別的檢查。
此類別中的所有檢查都有以下描述:
**警示條件**
+ 黃色:已達到上限的 80%。
+ 紅色:已達到上限的 100%。
+ 藍色: Trusted Advisor 無法擷取一或多個 中的使用率或限制 AWS 區域。
**建議的動作**
如果您預期超過服務限額,請直接在 [Service Quotas](https://console.aws.amazon.com/servicequotas) 主控台請求提高限額。如果 Service Quotas 尚未支援您的服務,您可以在支援[中心開啟支援](https://console.aws.amazon.com/support/home?region=us-east-1#/case/create?issueType=service-limit-increase&type=service_limit_increase)案例。
**報告欄位**
+ 狀態
+ 服務
+ 區域
+ 限額
+ 目前用量
**注意**
這些值是以快照為基礎,因此您目前的用量可能會有所不同。配額和用量資料最多可能需要 24 小時才會反映任何變更。若最近剛提高配額,您可能會暫時看到用量超過配額的情形。
**Contents**
+ [Auto Scaling 群組](#auto-scaling-groups)
+ [Auto Scaling 啟動組態](#auto-scaling-launch-configurations)
+ [CloudFormation 堆疊](#cloudformation-stacks)
+ [DynamoDB 讀取容量](#dynamo-db-read-capacity)
+ [DynamoDB 寫入容量](#dynamo-db-write-capacity)
+ [EBS 作用中快照](#ebs-active-snapshots)
+ [EBS 冷 HDD (sc1) 磁碟區儲存](#ebs-cold-hdd-sc1-volume-storage)
+ [EBS 一般用途 SSD (gp2) 磁碟區儲存](#ebs-general-purpose-ssd-gp2-volume-storage)
+ [EBS 一般用途 SSD (gp3) 磁碟區儲存](#ebs-general-purpose-ssd-gp3-volume-storage)
+ [EBS 磁帶 (標準) 磁碟區儲存](#ebs-magnetic-standard-volume-storage)
+ [EBS 佈建 IOPS SSD (io1) 磁碟區彙總 IOPS](#ebs-provisioned-iops-ssd-volume-aggregate-iops)
+ [EBS 佈建 IOPS SSD (io1) 磁碟區儲存](#ebs-provisioned-iops-ssd-io1-volume-storage)
+ [EBS 佈建 IOPS SSD (io2) 磁碟區儲存](#ebs-provisioned-iops-ssd-io2-volume-storage)
+ [EBS 輸送量最佳化 HDD (st1) 磁碟區儲存](#ebs-throughput-optimized-hdd-st1-volume-storage)
+ [EC2 隨需執行個體](#ec2-on-demand-instances)
+ [EC2 預留執行個體租用](#ec2-reserved-instance-leases)
+ [EC2-Classic 彈性 IP 地址](#ec2-elastic-ip-addresses)
+ [EC2-VPC 彈性 IP 地址](#ec2-vpc-elastic-ip-address)
+ [ELB Application Load Balancer](#elb-application-load-balancers)
+ [ELB Classic Load Balancer](#elb-classic-load-balancers)
+ [ELB Network Load Balancer](#elb-network-load-balancers)
+ [IAM 群組](#iam-group)
+ [IAM 執行個體描述檔](#iam-instance-profiles)
+ [IAM 政策](#iam-policies)
+ [IAM 角色](#iam-roles)
+ [IAM 伺服器憑證](#iam-server-certificates)
+ [IAM 使用者](#iam-users)
+ [每個區域的 Kinesis 碎片](#kinesis-shards-per-region)
+ [Lambda 程式碼儲存用量](#Lambda-Code-Storage-Usage)
+ [RDS 叢集參數群組](#rds-cluster-parameter-groups)
+ [RDS 叢集角色](#rds-cluster-roles)
+ [RDS 叢集](#rds-clusters)
+ [RDS 資料庫執行個體](#rds-db-instances)
+ [RDS 資料庫手動快照](#rds-db-manual-snapshots)
+ [RDS 資料庫參數群組](#rds-db-parameter-groups)
+ [RDS 資料庫安全群組](#rds-db-security-groups)
+ [RDS 事件訂閱](#rds-event-subscriptions)
+ [每個安全群組的 RDS 驗證上限](#rds-max-auths-per-security-group)
+ [RDS 選項群組](#rds-option-groups)
+ [每個主資料的 RDS 僅供讀取複本](#rds-read-replicas-per-master)
+ [RDS 預留執行個體](#rds-reserved-instances)
+ [RDS 子網路群組](#rds-subnet-groups)
+ [每個子網路群組的 RDS 子網路](#rds-subnets-per-subnet-group)
+ [RDS 總儲存配額](#rds-total-storage-quota)
+ [Route 53 託管區域](#route-53-hosted-zones)
+ [Route 53 運作狀態檢查上限](#route-53-max-health-checks)
+ [Route 53 可重複使用的委派集](#route-53-reusable-delegation-sets)
+ [Route 53 流量政策](#route-53-traffic-policies)
+ [Route 53 流量政策執行個體](#route-53-traffic-policy-instances)
+ [SES 每日傳送份額](#ses-daily-sending-quota)
+ [VPC](#vpc-quota-check)
+ [VPC 網際網路閘道](#vpc-internet-gateways)
## Auto Scaling 群組
**Description**
檢查是否有用量超過 Auto Scaling 群組配額的 80%。
**檢查 ID**
`fW7HH0l7J9`
**其他資源**
[Auto Scaling 配額](https://docs.aws.amazon.com/autoscaling/latest/userguide/as-account-limits.html)
## Auto Scaling 啟動組態
**Description**
檢查是否有用量超過 Auto Scaling 啟動組態配額的 80%。
**檢查 ID**
`aW7HH0l7J9`
**其他資源**
[Auto Scaling 配額](https://docs.aws.amazon.com/autoscaling/latest/userguide/as-account-limits.html)
## CloudFormation 堆疊
**Description**
檢查是否有用量超過 CloudFormation 堆疊配額的 80%。
**檢查 ID**
`gW7HH0l7J9`
**其他資源**
[CloudFormation 配額](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html)
## DynamoDB 讀取容量
**Description**
檢查是否有用量超過 DynamoDB 為每個 AWS 帳戶所佈建讀取輸送量限額的 80%。
**檢查 ID**
`6gtQddfEw6`
**其他資源**
[DynamoDB 配額](https://docs.aws.amazon.com//general/latest/gr/ddb.html)
## DynamoDB 寫入容量
**Description**
檢查是否有用量超過 DynamoDB 為每個 AWS 帳戶所佈建寫入輸送量限額的 80%。
**檢查 ID**
`c5ftjdfkMr`
**其他資源**
[DynamoDB 配額](https://docs.aws.amazon.com//general/latest/gr/ddb.html)
## EBS 作用中快照
**Description**
檢查是否有用量超過 EBS 作用中快照配額的 80%。
**檢查 ID**
`eI7KK0l7J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 冷 HDD (sc1) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 冷 HDD (sc1) 磁碟區儲存配額的 80%。
**檢查 ID**
`gH5CC0e3J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 一般用途 SSD (gp2) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 一般用途 SSD (gp2) 磁碟區儲存配額的 80%。
**檢查 ID**
`dH7RR0l6J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 一般用途 SSD (gp3) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 一般用途 SSD (gp3) 磁碟區儲存配額的 80%。
**檢查 ID**
`dH7RR0l6J3`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 磁帶 (標準) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 磁帶 (標準) 磁碟區儲存配額的 80%。
**檢查 ID**
`cG7HH0l7J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 佈建 IOPS SSD (io1) 磁碟區彙總 IOPS
**Description**
檢查是否有用量超過 EBS 佈建 IOPS SSD (io1) 磁碟區彙總 IOPS 配額的 80%。
**檢查 ID**
`tV7YY0l7J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 佈建 IOPS SSD (io1) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 佈建 IOPS SSD (io1) 磁碟區儲存配額的 80%。
**檢查 ID**
`gI7MM0l7J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 佈建 IOPS SSD (io2) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 佈建 IOPS SSD (io2) 磁碟區儲存配額的 80%。
**檢查 ID**
`gI7MM0l7J2`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 輸送量最佳化 HDD (st1) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 輸送量最佳化 HDD (st1) 磁碟區儲存配額的 80%。
**檢查 ID**
`wH7DD0l3J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EC2 隨需執行個體
**Description**
檢查是否有用量超過 EC2 隨需執行個體配額的 80%。
**檢查 ID**
`0Xc6LMYG8P`
**其他資源**
[Amazon EC2 配額](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
## EC2 預留執行個體租用
**Description**
檢查是否有用量超過 EC2 預留執行個體租用配額的 80%。
**檢查 ID**
`iH7PP0l7J9`
**其他資源**
[Amazon EC2 配額](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
## EC2-Classic 彈性 IP 地址
**Description**
檢查是否有用量超過 EC2-Classic 彈性 IP 地址配額的 80%。
**檢查 ID**
`aW9HH0l8J6`
**其他資源**
[Amazon EC2 配額](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
## EC2-VPC 彈性 IP 地址
**Description**
檢查是否有用量超過 EC2-VPC 彈性 IP 地址配額的 80%。
**檢查 ID**
`lN7RR0l7J9`
**其他資源**
[VPC 彈性 IP 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-eips)
## ELB Application Load Balancer
**Description**
檢查是否有用量超過 ELB Application Load Balancer 配額的 80%。
**檢查 ID**
`EM8b3yLRTr`
**其他資源**
[Elastic Load Balancing 配額](https://docs.aws.amazon.com/general/latest/gr/elb.html)
## ELB Classic Load Balancer
**Description**
檢查是否有用量超過 ELB Classic Load Balancer 配額的 80%。
**檢查 ID**
`iK7OO0l7J9`
**其他資源**
[Elastic Load Balancing 配額](https://docs.aws.amazon.com/general/latest/gr/elb.html)
## ELB Network Load Balancer
**Description**
檢查是否有用量超過 ELB Network Load Balancer 配額的 80%。
**檢查 ID**
`8wIqYSt25K`
**其他資源**
[Elastic Load Balancing 配額](https://docs.aws.amazon.com/general/latest/gr/elb.html)
## IAM 群組
**Description**
檢查是否有用量超過 IAM 群組配額的 80%。
**檢查 ID**
`sU7XX0l7J9`
**其他資源**
[IAM 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 執行個體描述檔
**Description**
檢查是否有用量超過 IAM 執行個體描述檔配額的 80%。
**檢查 ID**
`nO7SS0l7J9`
**其他資源**
[IAM 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 政策
**Description**
檢查是否有用量超過 IAM 政策配額的 80%。
**檢查 ID**
`pR7UU0l7J9`
**其他資源**
[IAM 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 角色
**Description**
檢查是否有用量超過 IAM 角色配額的 80%。
**檢查 ID**
`oQ7TT0l7J9`
**其他資源**
[IAM 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 伺服器憑證
**Description**
檢查是否有用量超過 IAM 伺服器憑證配額的 80%。
**檢查 ID**
`rT7WW0l7J9`
**其他資源**
[IAM 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 使用者
**Description**
檢查是否有用量超過 IAM 使用者配額的 80%。
**檢查 ID**
`qS7VV0l7J9`
**其他資源**
[IAM 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## 每個區域的 Kinesis 碎片
**Description**
檢查是否有用量超過每個區域 Kinesis 碎片配額的 80%。
**檢查 ID**
`bW7HH0l7J9`
**其他資源**
[Kinesis 配額](https://docs.aws.amazon.com/streams/latest/dev/service-sizes-and-limits.html)
## Lambda 程式碼儲存用量
**Description**
檢查是否有程式碼用量超過帳戶限制的 80%。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch07`
**警示條件**
+ 黃色:已達到上限的 80%。
**建議的動作**
請找出未使用的 Lambda 函數或版本然後移除它們,藉此釋出您在該區域帳戶的程式碼儲存空間。如果您需要額外的儲存空間,請在支援中心裡建立支援案例。如果您預期超過服務限額,請直接在 Service Quotas 主控台請求提高限額。如果 Service Quotas 尚未支援您的服務,您可以在支援中心開啟支援案例。
**其他資源**
+ [Lambda 程式碼儲存用量](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html)
**報告欄位**
+ 狀態
+ 區域
+ 此資源的合格函數 ARN。
+ 函數代碼儲存用量(以 MB 為單位),計算到小數點後 2 位。
+ 函數中版本的數量
+ 上次更新時間
## RDS 叢集參數群組
**Description**
檢查是否有用量超過 RDS 叢集參數群組配額的 80%。
**檢查 ID**
`jtlIMO3qZM`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 叢集角色
**Description**
檢查是否有用量超過 RDS 叢集角色配額的 80%。
**檢查 ID**
`7fuccf1Mx7`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 叢集
**Description**
檢查是否有用量超過 RDS 叢集配額的 80%。
**檢查 ID**
`gjqMBn6pjz`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 資料庫執行個體
**Description**
檢查是否有用量超過 RDS 資料庫執行個體配額的 80%。
**檢查 ID**
`XG0aXHpIEt`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 資料庫手動快照
**Description**
檢查是否有用量超過 RDS 資料庫手動快照配額的 80%。
**檢查 ID**
`dV84wpqRUs`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 資料庫參數群組
**Description**
檢查是否有用量超過 RDS 資料庫參數群組配額的 80%。
**檢查 ID**
`jEECYg2YVU`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 資料庫安全群組
**Description**
檢查是否有用量超過 RDS 資料庫安全群組配額的 80%。
**檢查 ID**
`gfZAn3W7wl`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 事件訂閱
**Description**
檢查是否有用量超過 RDS 事件訂閱配額的 80%。
**檢查 ID**
`keAhfbH5yb`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## 每個安全群組的 RDS 驗證上限
**Description**
檢查是否有用量超過每個安全群組 RDS 驗證上限配額的 80%。
**檢查 ID**
`dBkuNCvqn5`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 選項群組
**Description**
檢查是否有用量超過 RDS 選項群組配額的 80%。
**檢查 ID**
`3Njm0DJQO9`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## 每個主資料的 RDS 僅供讀取複本
**Description**
檢查是否有用量超過每個主資料 RDS 僅供讀取複本配額的 80%。
**檢查 ID**
`pYW8UkYz2w`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 預留執行個體
**Description**
檢查是否有用量超過 RDS 預留執行個體配額的 80%。
**檢查 ID**
`UUDvOa5r34`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 子網路群組
**Description**
檢查是否有用量超過 RDS 子網路群組配額的 80%。
**檢查 ID**
`dYWBaXaaMM`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## 每個子網路群組的 RDS 子網路
**Description**
檢查是否有用量超過每個子網路群組 RDS 子網路配額的 80%。
**檢查 ID**
`jEhCtdJKOY`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 總儲存配額
**Description**
檢查是否有用量超過 RDS 總儲存配額的 80%。
**檢查 ID**
`P1jhKWEmLa`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## Route 53 託管區域
**Description**
檢查是否有用量超過每個帳戶 Route 53 託管區域配額的 80%。
**檢查 ID**
`dx3xfcdfMr`
**其他資源**
[Route 53 配額](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## Route 53 運作狀態檢查上限
**Description**
檢查是否有用量超過每個帳戶 Route 53 運作狀態檢查配額的 80%。
**檢查 ID**
`ru4xfcdfMr`
**其他資源**
[Route 53 配額](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## Route 53 可重複使用的委派集
**Description**
檢查是否有用量超過每個帳戶 Route 53 可重複使用委派集配額的 80%。
**檢查 ID**
`ty3xfcdfMr`
**其他資源**
[Route 53 配額](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## Route 53 流量政策
**Description**
檢查是否有用量超過每個帳戶 Route 53 流量政策配額的 80%。
**檢查 ID**
`dx3xfbjfMr`
**其他資源**
[Route 53 配額](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## Route 53 流量政策執行個體
**Description**
檢查是否有用量超過每個帳戶 Route 53 流量政策執行個體配額的 80%。
**檢查 ID**
`dx8afcdfMr`
**其他資源**
[Route 53 配額](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## SES 每日傳送份額
**Description**
檢查是否有用量超過 Amazon SES 每日傳送份額的 80%。
**檢查 ID**
`hJ7NN0l7J9`
**其他資源**
[Amazon SES 配額](https://docs.aws.amazon.com/ses/latest/dg/quotas.html)
## VPC
**Description**
檢查是否有用量超過 VPC 配額的 80%。
**檢查 ID**
`jL7PP0l7J9`
**其他資源**
[VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)
## VPC 網際網路閘道
**Description**
檢查是否有用量超過 VPC 網際網路閘道配額的 80%。
**檢查 ID**
`kM7QQ0l7J9`
**其他資源**
[VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)
# 營運卓越
您可以針對營運卓越類別使用下列檢查。
**Contents**
+ [Amazon API Gateway 未記錄執行日誌](#api-gw-execution-logging-enabled)
+ [未啟用 X-Ray 追蹤的 Amazon API Gateway REST API](#api-gw-xray-enabled)
+ [已設定 Amazon CloudFront 存取日誌](#cloudfront-access-log-configured)
+ [已停用 Amazon CloudWatch 警示動作](#cloudwatch-alarm-action-disabled)
+ [非 管理的 Amazon EC2 執行個體 AWS Systems Manager](#ec2-instance-managed-ssm)
+ [已停用具有標籤不變性的 Amazon ECR 儲存庫](#ecr-private-tag-immutability-enabled)
+ [已停用具有 Container Insights 的 Amazon ECS 叢集](#ecs-container-insights-enabled)
+ [未啟用 Amazon ECS 任務日誌記錄](#ecs-task-definition-log-configuration)
+ [Amazon OpenSearch Service 日誌記錄 CloudWatch 未設定](#opensearch-logs-to-cloudwatch)
+ [叢集中具有異質參數群組的 Amazon RDS 資料庫執行個體](#rds-db-instances-heterogeneous-parameter-groups)
+ [Amazon RDS 增強型監控已關閉](#rds-enhanced-monitoring-off)
+ [Amazon RDS Performance Insights 已關閉](#rds-performance-insights-off)
+ [Amazon RDS track\$1counts 參數已關閉](#rds-track-counts-parameters-off)
+ [Amazon Redshift 叢集稽核日誌記錄](#redshift-audit-logging-enabled)
+ [已啟用 Amazon S3 存取日誌](#Amazon-S3-Server-Access-Logs-Enabled)
+ [Amazon S3 未啟用事件通知](#s3-event-notification-enabled)
+ [Amazon SNS 主題未記錄訊息傳遞狀態](#sns-topics-not-logging-message-delivery-status)
+ [Amazon VPC (不含流程日誌)](#vpc-flow-logs-enabled)
+ [未啟用存取日誌的 Application Load Balancer 和 Classic Load Balancer](#elb-logging-enabled)
+ [CloudFormation 堆疊通知](#cloudformation-stack-notification)
+ [AWS CloudTrail S3 儲存貯體中物件的資料事件記錄](#cloudtrail-s3-dataevents-enabled)
+ [AWS CodeBuild 專案記錄](#codebuild-project-logging-enabled)
+ [AWS CodeDeploy 啟用自動轉返和監控](#codedeploy-auto-rollback-monitor-enabled)
+ [AWS CodeDeploy Lambda 正在使用all-at-once部署組態](#codedeploy-lambda-allatonce-traffic-shift-disabled)
+ [AWS Elastic Beanstalk 未設定增強型運作狀態報告](#elastic-beanstalk-enhanced-health-reporting-not-enabled)
+ [AWS Elastic Beanstalk 已停用受管平台更新](#elastic-beanstalk-managed-updates-enabled)
+ [AWS Fargate 平台版本不是最新的](#ecs-fargate-latest-platform-version)
+ [AWS Systems Manager 處於不合規狀態的狀態管理員關聯](#ec2-managedinstance-association-compliance-status-check)
+ [未使用 Amazon CloudWatch Logs 設定 CloudTrail 線索](#cloudtrail-cloudwatch-logs-enabled)
+ [未針對負載平衡器啟用 Elastic Load Balancing 刪除保護](#elb-deletion-protection-enabled)
+ [RDS 資料庫叢集刪除保護檢查](#rds-db-cluster-deletion-protection)
+ [RDS 資料庫執行個體自動微幅版本升級檢查](#rds-automatic-minor-version-upgrade-enabled)
## Amazon API Gateway 未記錄執行日誌
**Description**
檢查 Amazon API Gateway 是否已在所需的日誌記錄層級開啟了 CloudWatch Logs。
在 Amazon API Gateway 中為 REST API 方法或 WebSocket API 路由開啟 CloudWatch 日誌記錄功能,為您的 API 所收到的請求收集 CloudWatch Logs 中的執行日誌。執行日誌中包含的資訊有助於找出及疑難排解與 API 相關的問題。
您可以在 AWS Config 規則的 **loggingLevel** 參數中指定記錄層級 (ERROR、INFO) ID。
如需有關 Amazon API Gateway 中的 CloudWatch 記錄的更多資訊,請參閱 REST API 或 WebSocket API 文件。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz125`
**來源**
`AWS Config Managed Rule: api-gw-execution-logging-enabled`
**警示條件**
黃色:Amazon API Gateway 的所需日誌記錄層級未針對執行日誌集合啟用 CloudWatch 日誌記錄設定。
**建議的動作**
使用適當的日誌記錄層級 (ERROR, INFO),為您的 Amazon API Gateway [REST API](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) 或 [WebSocket API](https://docs.aws.amazon.com/apigateway/latest/developerguide/websocket-api-logging.html) 開啟執行日誌的 CloudWatch 日誌記錄功能。
如需詳細資訊,請參閱[建立流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log)。
**其他資源**
+ [在 API Gateway 中設定 REST API 的 CloudWatch 記錄功能](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)
+ [設定 WebSocket API 的記錄功能](https://docs.aws.amazon.com/apigateway/latest/developerguide/websocket-api-logging.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用 X-Ray 追蹤的 Amazon API Gateway REST API
**Description**
檢查 Amazon API Gateway REST APIs是否已開啟 AWS X-Ray 追蹤。
開啟 REST API 的 X-Ray 追蹤功能,允許 API Gateway 使用追蹤資訊來取樣 API 調用請求。這可讓您利用 AWS X-Ray 來追蹤和分析透過 API Gateway REST APIs傳送到下游服務的請求。
如需詳細資訊,請參閱[使用 X-Ray 追蹤使用者的 REST API 請求](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-xray.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz126`
**來源**
`AWS Config Managed Rule: api-gw-xray-enabled`
**警示條件**
黃色:未開啟 API Gateway REST API 的 X-Ray 追蹤。
**建議的動作**
開啟 API Gateway REST API 的 X-Ray 追蹤。
如需詳細資訊,請參閱[AWS X-Ray 使用 API Gateway REST APIs設定](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-enabling-xray.html) 。
**其他資源**
+ [使用 X-Ray 追蹤使用者對 REST API 的請求](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-xray.html)
+ [什麼是 AWS X-Ray?](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已設定 Amazon CloudFront 存取日誌
**Description**
檢查 Amazon CloudFront 分佈是否設定為從 Amazon S3 伺服器存取日誌擷取資訊。Amazon S3 伺服器存取日誌包含有關 CloudFront 收到的每個使用者請求的詳細資訊。
您可以使用 AWS Config 規則中的 Amazon S3 **S3BucketName** 儲存貯體的名稱來存放伺服器存取日誌。
如需詳細資訊,請參閱[設定和使用標準日誌 (存取日誌)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz110`
**來源**
`AWS Config Managed Rule: cloudfront-accesslogs-enabled`
**警示條件**
黃色:未啟用 Amazon CloudFront 存取日誌記錄
**建議的動作**
請務必開啟 CloudFront 存取日誌記錄,以擷取有關 CloudFront 收到的每個使用者請求的詳細資訊。
您可以在建立或更新分佈時開啟標準日誌。
如需詳細資訊,請參閱[在建立或更新分佈時您指定的值](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html)。
**其他資源**
+ [您在建立或更新分佈時指定的值](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html)
+ [設定和使用標準日誌 (存取日誌)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已停用 Amazon CloudWatch 警示動作
**Description**
檢查您的 Amazon CloudWatch 警示動作是否處於停用狀態。
您可以使用 AWS CLI 來啟用或停用警示中的動作功能。或者,您可以使用 AWS SDK 以程式設計方式停用或啟用動作功能。警示動作功能關閉時,CloudWatch 不會在任何狀態下 (OK、INSUFFICIENT\$1DATA、ALARM) 執行任何已定義的動作。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz109`
**來源**
`AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check`
**警示條件**
黃色:未啟用 Amazon CloudWatch 警示動作。在任何警示狀態下均不會執行任何動作。
**建議的動作**
除非您有正當理由停用警示 (例如用於測試目的),否則請在 CloudWatch 警示中啟用動作。
如果不再需要 CloudWatch 警示,請將其刪除以避免產生不必要的成本。
如需詳細資訊,請參閱《 AWS CLI 命令參考》中的 [enable-alarm-actions](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/enable-alarm-actions.html) 和《適用於 Go 的 AWS SDK API 參考》中的 [func (\$1CloudWatch) EnableAlarmActions](https://docs.aws.amazon.com/sdk-for-go/api/service/cloudwatch/#CloudWatch.EnableAlarmActions)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 非 管理的 Amazon EC2 執行個體 AWS Systems Manager
**Description**
檢查您帳戶中的 Amazon EC2 執行個體是否由 管理 AWS Systems Manager。
Systems Manager 可協助您瞭解和控制 Amazon EC2 執行個體和 OS 組態的目前狀態。有了 Systems Manager,您可以收集有關執行個體機群的軟體組態和庫存資訊,包含安裝在執行個體上的軟體。這可讓您追蹤詳細的系統組態、OS 修補程式等級、應用程式組態,以及有關部署的其他詳細資訊。
如需詳細資訊,請參閱[設定 EC2 執行個體的 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz145`
**來源**
`AWS Config Managed Rule: ec2-instance-managed-by-systems-manager`
**警示條件**
黃色:Amazon EC2 執行個體不是由 Systems Manager 管理。
**建議的動作**
設定 Amazon EC2 執行個體,使其由 Systems Manager 所管理。
此檢查無法從 Trusted Advisor 主控台的檢視中排除。
如需詳細資訊,請參閱[為何我的 EC2 執行個體未顯示為受管節點,或在 Systems Manager 中顯示「連線中斷」狀態?](https://repost.aws/knowledge-center/systems-manager-ec2-instance-not-appear)。
**其他資源**
[設定 EC2 執行個體的 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已停用具有標籤不變性的 Amazon ECR 儲存庫
**Description**
檢查私有 Amazon ECR 儲存庫是否已開啟映像標籤不變性。
開啟私有 Amazon ECR 儲存庫的映像標籤不變性,以防止映像標籤遭覆寫。這可讓您依賴描述性標籤作為追蹤和唯一識別映像的可靠機制。例如,倘若開啟了映像標籤不變性,則使用者便能可靠地使用映像標籤,將已部署的映像版本與產生此類映像的建置版本建立關聯。
如需詳細資訊,請參閱[映像標籤可變性](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-tag-mutability.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz129`
**來源**
`AWS Config Managed Rule: ecr-private-tag-immutability-enabled`
**警示條件**
黃色:Amazon ECR 私有儲存庫未開啟標籤不變性。
**建議的動作**
開啟 Amazon ECR 私有儲存庫的映像標籤不變性。
如需詳細資訊,請參閱[映像標籤可變性](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-tag-mutability.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已停用具有 Container Insights 的 Amazon ECS 叢集
**Description**
檢查您的 Amazon ECS 叢集是否已開啟 Amazon CloudWatch Container Insights。
CloudWatch Container Insights 會從您的容器化應用程式和微型服務收集、彙總及總結指標和日誌。指標包含 CPU、記憶體、磁碟和網路這類資源的使用率。
如需詳細資訊,請參閱 [Amazon ECS CloudWatch Container Insights](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch-container-insights.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz173`
**來源**
`AWS Config Managed Rule: ecs-container-insights-enabled`
**警示條件**
黃色:Amazon ECS 叢集未啟用容器洞見。
**建議的動作**
開啟 Amazon ECS 叢集上的 CloudWatch Container Insights。
如需詳細資訊,請參閱[使用 Container Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContainerInsights.html)。
**其他資源**
[Amazon ECS CloudWatch Container Insights](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch-container-insights.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用 Amazon ECS 任務日誌記錄
**Description**
檢查日誌組態是否已在作用中的 Amazon ECS 任務定義上設定。
檢查 Amazon ECS 任務定義中的日誌組態可確保容器產生的日誌已正確設定和儲存。如此有助於更快找出問題並進行疑難排解、最佳化效能,以及遵守法規遵循要求。
在預設情況下,擷取的日誌會顯示您在本機執行容器時,通常會在互動式終端機中看見的命令輸出。此 awslog 驅動程式會將這些日誌從 Docker 傳遞至 Amazon CloudWatch Logs。
如需詳細資訊,請參閱[使用 awslogs 日誌驅動程式](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz175`
**來源**
`AWS Config Managed Rule: ecs-task-definition-log-configuration`
**警示條件**
黃色:Amazon ECS 任務定義沒有日誌記錄組態。
**建議的動作**
請考慮在容器定義中指定日誌驅動程式組態,以將日誌資訊傳送至 CloudWatch Logs 或其他日誌記錄驅動程式。
如需詳細資訊,請參閱 [LogConfiguration](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_LogConfiguration.html)。
**其他資源**
請考慮在容器定義中指定日誌驅動程式組態,以將日誌資訊傳送至 CloudWatch Logs 或其他日誌記錄驅動程式。
如需詳細資訊,請參閱[任務定義範例](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/example_task_definitions.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon OpenSearch Service 日誌記錄 CloudWatch 未設定
**Description**
檢查 Amazon OpenSearch Service 網域是否設定為將日誌傳送至 Amazon CloudWatch Logs。
監控日誌對於維護 OpenSearch Service 的可靠性、供應性和效能十分重要。
搜尋慢速日誌、索引慢速日誌和錯誤日誌對於疑難排解工作負載的效能和穩定性問題非常有用。必須啟用這些日誌才能擷取資料。
您可以使用 AWS Config 規則中的 **logTypes** 參數來指定要篩選的日誌類型 (錯誤、搜尋、索引)。
如需詳細資訊,請參閱[監控 Amazon OpenSearch Service 網域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/monitoring.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz184`
**來源**
`AWS Config Managed Rule: opensearch-logs-to-cloudwatch`
**警示條件**
黃色:Amazon OpenSearch Service 沒有使用 Amazon CloudWatch Logs 的日誌記錄組態
**建議的動作**
設定 OpenSearch Service 網域以將日誌發布至 CloudWatch Logs。
如需詳細資訊,請參閱[啟用日誌發布 (主控台)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console)。
**其他資源**
+ [使用 Amazon CloudWatch 監控 OpenSearch Service 叢集指標](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-cloudwatchmetrics.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 叢集中具有異質參數群組的 Amazon RDS 資料庫執行個體
**Description**
建議資料庫叢集中的所有資料庫執行個體都使用相同的資料庫參數群組。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt010`
**警示條件**
黃色:資料庫叢集具有具有異質參數群組的資料庫執行個體。
**建議的動作**
將資料庫執行個體與資料庫叢集中寫入器執行個體相關聯的資料庫參數群組建立關聯。
**其他資源**
當資料庫叢集中的資料庫執行個體使用不同的資料庫參數群組時,資料庫叢集中的資料庫執行個體之間可能會發生容錯移轉或相容性問題的不一致行為。
如需詳細資訊,請參閱[使用參數群組](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithParamGroups.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS 增強型監控已關閉
**Description**
您的資料庫資源未開啟增強型監控。增強型監控針對監控及疑難排解,提供即時的作業系統指標。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt004`
**警示條件**
黃色:Amazon RDS 資源未開啟增強型監控。
**建議的動作**
開啟增強型監控。
**其他資源**
Amazon RDS 的增強型監控可針對資料庫執行個體的運作狀態提供額外的可見性。建議您開啟增強型監控。當資料庫執行個體的增強型監控選項開啟時,它會收集重要的作業系統指標和程序資訊。
如需詳細資訊,請參閱[使用增強型監控來監控 OS 指標](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS Performance Insights 已關閉
**Description**
Amazon RDS Performance Insights 會監控資料庫執行個體負載,以協助您分析和解決資料庫效能問題。建議您開啟 Performance Insights。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt012`
**警示條件**
黃色:Amazon RDS 資源未開啟績效詳情。
**建議的動作**
開啟績效詳情。
**其他資源**
Performance Insights 使用輕量型資料收集方法,不會影響您應用程式的效能。Performance Insights 可協助您快速評估資料庫負載。
如需詳細資訊,請參閱[在 Amazon RDS 上使用 Performance Insights 監控資料庫負載](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PerfInsights.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS track\$1counts 參數已關閉
**Description**
當 **track\$1counts** 參數關閉時,資料庫不會收集資料庫活動統計資料。自動清空功能需要這些統計資料才能正常運作。
我們建議您將 **track\$1counts** 參數設定為 1
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt027`
**警示條件**
黃色:資料庫參數群組的 **track\$1counts** 參數已關閉。
**建議的動作**
將 **track\$1counts** 參數設定為 1
**其他資源**
當 **track\$1counts** 參數關閉時,會停用資料庫活動統計資料的收集。自動清空協助程式需要收集的統計資料,才能識別自動清空和自動分析的資料表。
如需詳細資訊,請參閱 [ PostgreSQL 文件網站上的 PostgreSQL 執行期統計資料](https://www.postgresql.org/docs/current/runtime-config-statistics.html#GUC-TRACK-COUNTS)。 PostgreSQL
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數值
+ 建議值
+ 上次更新時間
## Amazon Redshift 叢集稽核日誌記錄
**Description**
檢查您的 Amazon Redshift 叢集是否已開啟資料庫稽核日誌記錄。Amazon Redshift 會記錄您資料庫中連線和使用者活動的相關資訊。
您可以在 AWS Config 規則的 **bucketNames** 參數中指定要比對的所需記錄 Amazon S3 儲存貯體名稱。
如需詳細資訊,請參閱[資料庫稽核日誌記錄](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz134`
**來源**
`AWS Config Managed Rule: redshift-audit-logging-enabled`
**警示條件**
黃色:Amazon Redshift 叢集已停用資料庫稽核日誌記錄
**建議的動作**
開啟 Amazon Redshift 叢集的日誌記錄和監控功能。
如需詳細資訊,請參閱[使用主控台來設定稽核](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html)。
**其他資源**
[在 Amazon Redshift 中記錄和監控](https://docs.aws.amazon.com/redshift/latest/mgmt/security-incident-response.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已啟用 Amazon S3 存取日誌
**Description**
檢查 Amazon Simple Storage Service 儲存貯體的記錄組態。
啟用伺服器存取記錄會將詳細的每小時存取日誌傳送至指定的 Amazon S3 儲存貯體。存取日誌包含請求詳細資訊,包括類型、指定的資源和處理時間/日期。記錄預設為關閉。客戶應啟用存取記錄,以執行安全稽核或分析使用者行為和使用模式。
記錄最初啟動時,會自動驗證組態。不過未來的修改可能會導致記錄失敗。請注意,目前此檢查不會檢查 Amazon S3 儲存貯體寫入許可。
**檢查 ID**
`c1fd6b96l4`
**警示條件**
+ 黃色:儲存貯體未啟用伺服器存取記錄。
+ 黃色:目標儲存貯體許可不包含根帳戶,因此 Trusted Advisor 無法檢查它。
+ 紅色:目標儲存貯體不存在。
+ 紅色:目標儲存貯體和來源儲存貯體擁有者不同。
+ 綠色:儲存貯體已啟用伺服器存取記錄、目標存在,以及寫入目標的許可存在
**建議的動作**
啟用所有相關 Amazon S3 儲存貯體的伺服器存取記錄。伺服器存取日誌提供稽核線索,可用來了解儲存貯體存取模式並調查可疑活動。在所有適用儲存貯體上啟用記錄功能,可改善 Amazon S3 環境中存取事件的可見性。請參閱[使用主控台啟用記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)和[以程式設計方式啟用記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。
如果目標儲存貯體許可不包含根帳戶,且您想要 Trusted Advisor 來檢查記錄狀態,請將根帳戶新增為承授者。請參閱[編輯儲存貯體許可](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-iam.html)。
如果目標儲存貯體不存在,請選取現有儲存貯體作為目標儲存貯體,或建立新儲存貯體然後加以選取。請參閱[管理儲存貯體記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)。
如果目標和來源儲存貯體的擁有者不同,請將目標儲存貯體變更為與來源儲存貯體有相同擁有者的儲存貯體。請參閱[管理儲存貯體記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)。
**其他資源**
[使用儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html)
[Server access logging (伺服器存取記錄日誌)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)
[伺服器存取日誌格式](https://docs.aws.amazon.com/AmazonS3/latest/userguide/LogFormat.html)
[刪除日誌檔案](https://docs.aws.amazon.com/AmazonS3/latest/userguide/deleting-log-files-lifecycle.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源 ARN
+ 儲存貯體名稱
+ 目標名稱
+ 目標已存在
+ 相同擁有者
+ 已啟用寫入
+ Reason
+ 上次更新時間
## Amazon S3 未啟用事件通知
**Description**
檢查 Amazon S3 事件通知是否已啟用或正確設定為所需的一或多個目的地類型。
Amazon S3 事件通知功能可在 S3 儲存貯體中發生特定事件時傳送通知。Amazon S3 可以將通知訊息傳送至 Amazon SQS 佇列、Amazon SNS 主題和 AWS Lambda 函數。
您可以使用 AWS Config 規則的 **destinationArn** 和 **eventTypes** 參數來指定所需的目的地和事件類型。
如需詳細資訊,請參閱 [Amazon S3 事件通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventNotifications.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz163`
**來源**
`AWS Config Managed Rule: s3-event-notifications-enabled`
**警示條件**
黃色:Amazon S3 未啟用事件通知,或未設定所需的目的地或類型。
**建議的動作**
設定物件和儲存貯體事件的 Amazon S3 事件通知。
如需詳細資訊,請參閱[使用 Amazon S3 主控台啟用和設定事件通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon SNS 主題未記錄訊息傳遞狀態
**Description**
檢查 Amazon SNS 主題是否已開啟訊息傳遞狀態日誌記錄。
設定 Amazon SNS 主題來記錄訊息傳遞狀態,以協助提供更好的操作洞察。例如,訊息傳遞日誌記錄會驗證訊息是否已傳遞至特定 Amazon SNS 端點。此外,它還有助於識別從端點傳送的回應。
如需詳細資訊,請參閱 [Amazon SNS 訊息傳遞狀態](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz121`
**來源**
`AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled`
**警示條件**
黃色:Amazon SNS 主題未開啟訊息傳遞狀態日誌記錄。
**建議的動作**
開啟 SNS 主題的訊息傳遞狀態日誌記錄。
如需詳細資訊,請參閱[使用 AWS 管理主控台設定傳遞狀態日誌記錄](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html#topics-attrib)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon VPC (不含流程日誌)
**Description**
檢查系統是否已為 VPC 建立 Amazon Virtual Private Cloud Flow Logs。
您可以使用 AWS Config 規則中的 **trafficType** 參數來指定流量類型。
如需詳細資訊,請參閱[使用 VPC 流量日誌記錄 IP 流量](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz122`
**來源**
`AWS Config Managed Rule: vpc-flow-logs-enabled`
**警示條件**
黃色:VPC 沒有 Amazon VPC 流程日誌。
**建議的動作**
為每個 VPC 建立 VPC 流程日誌。
如需詳細資訊,請參閱[建立流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用存取日誌的 Application Load Balancer 和 Classic Load Balancer
**Description**
檢查 Application Load Balancer 和 Classic Load Balancer 是否已啟用存取日誌。
Elastic Load Balancing 提供存取日誌,可針對傳送到負載平衡器的請求,擷取其詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。您可以使用這些存取日誌來分析流量模式和排除問題。
存取日誌是 Elastic Load Balancing 的選用功能,預設為停用。對負載平衡器啟動存取日誌之後,Elastic Load Balancing 會擷取日誌並存放在您指定的 Amazon S3 儲存貯體中。
您可以在 AWS Config 規則中使用 s3BucketNames 參數來指定要檢查的存取日誌 Amazon S3 儲存貯體。 **s3BucketNames**
如需詳細資訊,請參閱 [Application Load Balancer 的存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html)或 [Classic Load Balancer 的存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz167`
**來源**
`AWS Config Managed Rule: elb-logging-enabled`
**警示條件**
黃色:Application Load Balancer 或 Classic Load Balancer 未啟用存取日誌功能。
**建議的動作**
啟用 Application Load Balancer 和 Classic Load Balancer 的存取日誌。
如需詳細資訊,請參閱[啟用 Application Load Balancer 的存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html)或[啟用 Classic Load Balancer 的存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-access-logs.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## CloudFormation 堆疊通知
**Description**
檢查您的所有 CloudFormation 堆疊是否使用 Amazon SNS 在事件發生時接收通知。
您可以將此檢查設定為使用 AWS Config 規則中的參數來尋找特定的 Amazon SNS 主題 ARNs。
如需詳細資訊,請參閱[設定 CloudFormation堆疊選項](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz111`
**來源**
`AWS Config Managed Rule: cloudformation-stack-notification-check`
**警示條件**
黃色: CloudFormation 堆疊的 Amazon SNS 事件通知未開啟。
**建議的動作**
請確定您的 CloudFormation 堆疊使用 Amazon SNS 在事件發生時接收通知。
監控堆疊事件可協助您快速回應可能改變您 AWS 環境的未經授權動作。
**其他資源**
[當我的 AWS CloudFormation 堆疊進入 ROLLBACK\$1IN\$1PROGRESS 狀態時,我會如何收到電子郵件警示?](https://repost.aws/knowledge-center/cloudformation-rollback-email)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CloudTrail S3 儲存貯體中物件的資料事件記錄
**Description**
檢查至少一個 AWS CloudTrail 線索是否記錄所有 Amazon S3 儲存貯體的 Amazon S3 資料事件。
如需詳細資訊,請參閱[使用 AWS CloudTrail記錄 Amazon S3 API 呼叫](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz166`
**來源**
`AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled`
**警示條件**
未設定 Amazon S3 儲存貯體的黃色事件 AWS CloudTrail 記錄
**建議的動作**
為 Amazon S3 儲存貯體和物件啟用 CloudTrail 事件日誌記錄,以追蹤目標儲存貯體存取權的請求。
如需詳細資訊,請參閱[啟用 S3 儲存貯體和物件的 CloudTrail 事件日誌記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CodeBuild 專案記錄
**Description**
檢查 AWS CodeBuild 專案環境是否使用記錄。日誌記錄選項可以是 Amazon CloudWatch Logs 中的日誌,或指定的 Amazon S3 儲存貯體內建日誌,或兩者皆是。在 CodeBuild 專案中啟用日誌記錄可提供數項好處,例如偵錯和稽核。
您可以使用 AWS Config 規則中的 s3BucketNames 或 CloudWatch 參數,指定用於存放日誌的 Amazon S3 儲存貯體或 CloudWatch Logs 群組名稱。 **s3BucketNames** **cloudWatchGroupNames**
如需詳細資訊,請參閱 [ 監控 AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/monitoring-builds.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz113`
**來源**
`AWS Config Managed Rule: codebuild-project-logging-enabled`
**警示條件**
未啟用黃色: AWS CodeBuild 專案記錄。
**建議的動作**
請確定您的 AWS CodeBuild 專案中已開啟記錄。此檢查無法從 AWS Trusted Advisor 主控台的檢視中排除。
如需詳細資訊,請參閱在 [中記錄和監控 AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/logging-monitoring.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CodeDeploy 啟用自動轉返和監控
**Description**
檢查部署群組是否設定了自動部署復原和附加了警示的部署監視。如果部署期間出現問題,系統會自動回復,而您的應用程式則會保持在穩定狀態
如需詳細資訊,請參閱[使用 CodeDeploy 重新部署和復原部署](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployments-rollback-and-redeploy.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz114`
**來源**
`AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled`
**警示條件**
黃色: AWS CodeDeploy 自動部署復原和部署監控未啟用。
**建議的動作**
設定部署群組,或設定部署在部署失敗或到達您指定的監控閾值時自動轉返。
設定警示以在部署程序期間監控各種指標,例如 CPU 使用率、記憶體用量或網路流量。如果這些指標有任何一個超過特定臨界值,就會觸發警示,且部署會停止或回復。
如需為部署群組設定自動回復和設定警示的相關資訊,請參閱[設定部署群組的進階選項](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployment-groups-configure-advanced-options.html)。
**其他資源**
[什麼是 CodeDeploy?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CodeDeploy Lambda 正在使用all-at-once部署組態
**Description**
檢查 AWS Lambda 運算平台的 AWS CodeDeploy 部署群組是否使用all-at-once部署組態。
為了降低 CodeDeploy 中 Lambda 函數部署失敗的風險,最佳實務是使用初期測試或線性部署組態而非預設選項,其中所有流量都會立即從原始 Lambda 函數轉移到更新的函數。
如需詳細資訊,請參閱 [Lambda 函數版本](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html)和[部署組態](https://docs.aws.amazon.com/codedeploy/latest/userguide/primary-components.html#primary-components-deployment-configuration)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz115`
**來源**
`AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled`
**警示條件**
黃色: AWS CodeDeploy Lambda 部署使用all-at-once部署組態,將所有流量一次轉移到更新的 Lambda 函數。
**建議的動作**
針對 Lambda 運算平台使用 CodeDeploy 部署群組的初期測試或線性部署組態。
**其他資源**
[Deployment configuration (部署組態)](https://docs.aws.amazon.com/codedeploy/latest/userguide/primary-components.html#primary-components-deployment-configuration)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Elastic Beanstalk 未設定增強型運作狀態報告
**Description**
檢查 AWS Elastic Beanstalk 環境是否已設定用於增強型運作狀態報告。
Elastic Beanstalk 增強型運作狀態報告提供詳細的效能指標,例如 CPU 使用率、記憶體使用率、網路流量和基礎結構運作狀態資訊,例如執行個體數量和負載平衡器狀態。
如需詳細資訊,請參閱[增強型運作狀態報告與監控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz108`
**來源**
`AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled`
**警示條件**
黃色:Elastic Beanstalk 環境未針對增強型運作狀態報告設定
**建議的動作**
請確定 Elastic Beanstalk 環境已針對增強型運作狀態報告設定。
如需詳細資訊,請參閱[使用 Elastic Beanstalk 主控台啟用增強型運作狀態報告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console)。
**其他資源**
+ [啟用 Elastic Beanstalk 增強型運作狀態報告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html)
+ [增強型運作狀態報告與監控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Elastic Beanstalk 已停用受管平台更新
**Description**
檢查是否已啟用 Elastic Beanstalk 環境和組態範本中的受管平台更新。
AWS Elastic Beanstalk 會定期發行平台更新,以提供修正、軟體更新和新功能。有了受管平台更新,Elastic Beanstalk 可以針對新的修補程式和微幅平台版本自動執行平台更新。
您可以在 AWS Config 規則的 **UpdateLevel** 參數中指定所需的更新層級。
如需詳細資訊,請參閱[更新 Elastic Beanstalk 環境的平台版本](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.platform.upgrade.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz177`
**來源**
`AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled`
**警示條件**
完全未設定黃色: AWS Elastic Beanstalk 受管平台更新,包括次要或修補程式層級。
**建議的動作**
在您的 Elastic Beanstalk 環境中啟用受管平台更新,或在微幅或更新層級予以設定。
如需詳細資訊,請參閱[受管平台更新](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html)。
**其他資源**
+ [啟用 Elastic Beanstalk 增強型運作狀態報告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html)
+ [增強型運作狀態報告與監控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Fargate 平台版本不是最新的
**Description**
檢查 Amazon ECS 是否正在執行最新的 AWS Fargate之平台版本。Fargate 平台版本表示 Fargate 任務基礎結構的特定執行期環境。此為核心與容器執行期版本的結合。全新平台版本會隨著執行期環境的演進而發布。例如,是否有核心或作業系統更新、全新功能、錯誤修正或安全性更新。
如需詳細資訊,請參閱 [Fargate 任務維護](https://docs.aws.amazon.com/AmazonECS/latest/userguide/task-maintenance.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz174`
**來源**
`AWS Config Managed Rule: ecs-fargate-latest-platform-version`
**警示條件**
黃色:Amazon ECS 並未於最新版本的 Fargate 平台上執行。
**建議的動作**
更新至最新版 Fargate 平台版本。
如需詳細資訊,請參閱 [Fargate 任務維護](https://docs.aws.amazon.com/AmazonECS/latest/userguide/task-maintenance.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Systems Manager 處於不合規狀態的狀態管理員關聯
**Description**
在執行個體上執行 AWS Systems Manager 關聯之後,檢查關聯合規的狀態是 COMPLIANT 還是 NON\$1COMPLIANT。
State Manager 是一種安全且可擴展的組態管理服務 AWS Systems Manager,可將受管節點和其他 AWS 資源維持在您定義的狀態的程序自動化。狀態管理員關聯是您指派給 AWS 資源的組態。組態會定義您要在資源上維護的狀態,因此可協助您達成目標,例如避免 Amazon EC2 執行個體之間的組態漂移。
如需詳細資訊,請參閱 [AWS Systems Manager 狀態管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz147`
**來源**
`AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check`
**警示條件**
黃色: AWS Systems Manager 關聯合規的狀態為 NON\$1COMPLIANT。
**建議的動作**
驗證「狀態管理員」關聯的狀態,然後採取任何必要的行動讓狀態返回 COMPLIANT。
如需詳細資訊,請參閱[關於狀態管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-about.html)。
**其他資源**
[AWS Systems Manager State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未使用 Amazon CloudWatch Logs 設定 CloudTrail 線索
**Description**
檢查 AWS CloudTrail 線索是否設定為將日誌傳送至 CloudWatch Logs。
使用 CloudWatch Logs 監控 CloudTrail 日誌檔案,以便在重大事件於 AWS CloudTrail中擷取時觸發自動回應。
如需詳細資訊,請參閱[使用 CloudWatch Logs 監控 CloudTrail 日誌檔](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz164`
**來源**
`AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled`
**警示條件**
黃色: AWS CloudTrail 未設定 CloudWatch Logs 整合。
**建議的動作**
設定 CloudTrail 線索將日誌事件傳送至 CloudWatch Logs。
如需詳細資訊,請參閱[建立 CloudTrail 事件的 CloudWatch 警示:範例](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未針對負載平衡器啟用 Elastic Load Balancing 刪除保護
**Description**
檢查負載平衡器是否已開啟刪除保護。
Elastic Load Balancing 支援 Application Load Balancer、Network Load Balancer 和 Gateway Load Balancer 的刪除保護。啟用刪除保護以避免您的負載平衡器遭意外刪除。當您建立負載平衡器時,預設會關閉刪除保護。如果您的負載平衡器是生產環境的一部分,請考慮啟用刪除保護。
存取日誌是 Elastic Load Balancing 的選用功能,預設為停用。對負載平衡器啟動存取日誌之後,Elastic Load Balancing 會擷取日誌並存放在您指定的 Amazon S3 儲存貯體中。
如需詳細資訊,請參閱 [Application Load Balancer 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection)、[Network Load Balancer 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection),或 [Gateway Load Balancers 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz168`
**來源**
`AWS Config Managed Rule: elb-deletion-protection-enabled`
**警示條件**
黃色:未啟用負載平衡器的刪除保護。
**建議的動作**
開啟 Application Load Balancer、Network Load Balancer 和 Gateway Load Balancer 的刪除保護。
如需詳細資訊,請參閱 [Application Load Balancer 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection)、[Network Load Balancer 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection),或 [Gateway Load Balancers 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## RDS 資料庫叢集刪除保護檢查
**Description**
檢查 Amazon RDS 資料庫叢集是否已啟用刪除保護。
當叢集設定了刪除保護時,任何使用者皆無法刪除資料庫。
刪除保護適用於所有 AWS 區域中的 Amazon Aurora 和 RDS for MySQL、RDS for MariaDB、RDS for Oracle、RDS for PostgreSQL 和 RDS for SQL Server 資料庫執行個體。
如需詳細資訊,請參閱 [Aurora 叢集的刪除保護](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DeleteCluster.html#USER_DeletionProtection)。
**檢查 ID**
`c18d2gz160`
**來源**
`AWS Config Managed Rule: rds-cluster-deletion-protection-enabled`
**警示條件**
黃色:您有未啟用刪除保護的 Amazon RDS 資料庫叢集。
**建議的動作**
在您建立 Amazon RDS 資料庫叢集時開啟刪除保護。
您可以僅刪除未啟用刪除保護的叢集。啟用刪除保護功能可增加額外的保護層,並避免因意外或非意外刪除資料庫執行個體而導致資料遺失。刪除保護還有助於滿足法規遵循要求,確保業務連續性。
如需詳細資訊,請參閱 [Aurora 叢集的刪除保護](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DeleteCluster.html#USER_DeletionProtection)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**其他資源**
[Aurora 叢集的刪除保護](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DeleteCluster.html#USER_DeletionProtection)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## RDS 資料庫執行個體自動微幅版本升級檢查
**Description**
檢查 Amazon RDS 資料庫執行個體是否已設定自動微幅版本升級。
為 Amazon RDS 執行個體開啟自動微幅版本升級,以確保資料庫始終執行最新的安全且穩定的版本。微幅升級提供安全性更新、錯誤修正、效能改善,並維持與現有應用程式的相容性。
如需詳細資訊,請參閱[升級資料庫執行個體引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html#USER_UpgradeDBInstance.Upgrading.AutoMinorVersionUpgrades.)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz155`
**來源**
`AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled`
**警示條件**
黃色:RDS 資料庫執行個體未開啟自動微幅版本升級。
**建議的動作**
在建立 Amazon RDS 資料庫執行個體時,開啟自動微幅版本升級。
當您開啟微幅版本升級時,若資料庫版本執行的資料庫引擎微幅版本低於[手動升級引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html#USER_UpgradeDBInstance.Upgrading.AutoMinorVersionUpgrades),則資料庫版本會自動升級。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間