本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Trusted Advisor
**重要**
終止支援通知:開發人員支援將於 2027 年 1 月 1 日終止。擁有開發人員支援的客戶可以繼續使用現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
支援結束通知:商業支援將於 2027 年 1 月 1 日終止。擁有 Business Support 的客戶可以繼續使用現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
終止支援通知:2027 年 1 月 1 日, AWS 將停止 Enterprise On-Ramp。在整個 2026 年,Enterprise On-Ramp 客戶將在續約期間或定期批次自動升級至 AWS Enterprise Support。客戶將在升級前一個月收到電子郵件通知。無需採取進一步動作。Enterprise Support 提供指定的 TAM 指派、15 分鐘的回應時間,並且可免費 AWS 安全事件應變 使用,而且最低 5,000 美元 (從 15,000 美元減少)。如需詳細資訊,請參閱[AWS 企業 支援 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/enterprise/)。
如需詳細資訊,請參閱[開發人員、商業和企業延遲結束支援](support-plans-eos.md)。
開發人員支援、商業支援和 Enterprise On-Ramp 仍可在 AWS GovCloud (US) 區域中使用。
Trusted Advisor 利用從為數十萬 AWS 客戶提供服務的最佳實務。 會 Trusted Advisor 檢查您的 AWS 環境,然後在有機會節省成本、改善系統可用性和效能,或協助填補安全漏洞時提出建議。
AWS Trusted Advisor 檢查可供具有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃的客戶使用。
如果您有基本或開發人員支援計劃,您可以使用 Trusted Advisor 主控台來存取服務限制類別中的所有檢查,以及安全性和容錯能力類別中選取的[檢查](trusted-advisor-check-reference.md)。基本和開發人員支援計劃不提供自動檢查更新。您必須手動重新整理 安全類別中的 Trusted Advisor 檢查。若要手動重新整理檢查,請執行下列動作:
如果您有基本支援計劃,您可以使用 Trusted Advisor 主控台存取服務限制類別中的所有檢查,以及安全性和容錯能力類別中選取的[檢查](trusted-advisor-check-reference.md)。基本和開發人員支援計劃不提供自動檢查更新。您必須手動重新整理 安全類別中的 Trusted Advisor 檢查。若要手動重新整理檢查,請執行下列動作:
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 選取您要**重新整理**之檢查上的重新整理按鈕。
如果您有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃,您可以使用 Trusted Advisor 主控台和 [AWS Trusted Advisor API](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor-api.html) 來存取所有 Trusted Advisor 檢查。您也可以使用 Amazon CloudWatch Events 來監控 Trusted Advisor 檢查的狀態。如需詳細資訊,請參閱[使用 Amazon EventBridge 監控 AWS Trusted Advisor 檢查結果](cloudwatch-events-ta.md)。
您可以在 Trusted Advisor 中存取 AWS 管理主控台。如需控制 Trusted Advisor 主控台存取的詳細資訊,請參閱 [管理對 的存取 AWS Trusted Advisor](security-trusted-advisor.md)。
如需詳細資訊,請參閱[Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)。
**Topics**
+ [
# 開始使用 Trusted Advisor 建議
](get-started-with-aws-trusted-advisor.md)
+ [
# 開始使用 Trusted Advisor API
](get-started-with-aws-trusted-advisor-api.md)
+ [
# 使用 Trusted Advisor 做為 Web 服務
](trustedadvisor.md)
+ [
# 的組織檢視 AWS Trusted Advisor
](organizational-view.md)
+ [
# 檢視由 提供的 AWS Trusted Advisor 檢查 AWS Config
](aws-config-integration-with-ta.md)
+ [
# 在 中檢視 AWS Security Hub CSPM 控制項 AWS Trusted Advisor
](security-hub-controls-with-trusted-advisor.md)
+ [
# 選擇加入 AWS Compute Optimizer Trusted Advisor 檢查
](compute-optimizer-with-trusted-advisor.md)
+ [
# 開始使用 AWS Trusted Advisor Priority
](trusted-advisor-priority.md)
+ [
# AWS Trusted Advisor 檢查參考
](trusted-advisor-check-reference.md)
+ [
# 變更 的日誌 AWS Trusted Advisor
](aws-trusted-advisor-change-log.md)
# 開始使用 Trusted Advisor 建議
**重要**
終止支援通知:開發人員支援將於 2027 年 1 月 1 日終止。擁有開發人員支援的客戶可以繼續使用現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
終止支援通知:商業支援將於 2027 年 1 月 1 日終止。擁有 Business Support 的客戶可以繼續使用現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
終止支援通知:2027 年 1 月 1 日, AWS 將停止 Enterprise On-Ramp。在整個 2026 年,Enterprise On-Ramp 客戶將在續約期間或定期批次自動升級至 AWS Enterprise Support。客戶將在升級前一個月收到電子郵件通知。無需採取進一步動作。Enterprise Support 提供指定的 TAM 指派、15 分鐘的回應時間,並且可免費 AWS 安全事件應變 使用,而且最低 5,000 美元 (從 15,000 美元減少)。如需詳細資訊,請參閱[AWS 企業 支援 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/enterprise/)。
如需詳細資訊,請參閱[開發人員、商業和企業延遲結束支援](support-plans-eos.md)。
開發人員支援、商業支援和 Enterprise On-Ramp 仍可在 AWS GovCloud (US) 區域中使用。
您可以使用 Trusted Advisor 主控台的建議 Trusted Advisor 頁面來檢閱 的檢查結果, AWS 帳戶 然後遵循建議的步驟來修正任何問題。例如, Trusted Advisor 可能會建議您刪除未使用的資源,以減少每月帳單金額,例如 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。
您也可以使用 AWS Trusted Advisor API 對 Trusted Advisor 檢查執行操作。如需詳細資訊,請參閱 [AWS Trusted Advisor API 參考](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/Welcome.html)
**Topics**
+ [
## 登入 Trusted Advisor 主控台
](#sign-in-the-trusted-advisor-console)
+ [
## 檢視檢查類別
](#view-check-categories)
+ [
## 檢視特定檢查
](#view-specific-checks)
+ [
## 篩選檢查
](#filter-check-results)
+ [
## 重新整理檢查結果
](#refresh-check-results)
+ [
## 下載檢查結果
](#download-check-results)
+ [
## 組織檢視
](#set-up-organizational-view)
+ [
## Preferences (偏好設定)
](#preferences-trusted-advisor-console)
## 登入 Trusted Advisor 主控台
您可以在 Trusted Advisor 主控台中檢視每個檢查的檢查和狀態。
**注意**
您必須具有 AWS Identity and Access Management (IAM) 許可才能存取 Trusted Advisor 主控台。如需詳細資訊,請參閱[管理對 的存取 AWS Trusted Advisor](security-trusted-advisor.md)。
**登入 Trusted Advisor 主控台**
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在 **Trusted Advisor Recommendations** 頁面上,檢視每種檢查類別的摘要:
+ **建議的動作 (紅色)** – Trusted Advisor 建議檢查的動作。例如,偵測 IAM 資源安全性問題的檢查可能會建議採取緊急步驟。
+ **Investigation recommended (建議進行調查) (黃色)** - Trusted Advisor 偵測到可能的檢查問題。例如,達到資源配額的檢查可能會建議刪除未使用資源的方法。
+ **含有已排除項目的檢查 (灰色)** – 檢查中含已排除項目 (例如您想要檢查忽略的資源) 的檢查數量。例如,這可能是您不希望檢查評估的 Amazon EC2 執行個體。
1. 在 **Trusted Advisor Recommendations** 頁面上,您可以執行下列操作:
+ 若要重新整理帳戶中的所有檢查,請選擇 **Refresh all checks (重新整理所有檢查)**。
+ 若要建立包含所有檢查結果的 .xls 檔案,請選擇 **Download all checks (下載所有檢查)**。
+ 在 **Checks Summary** (檢查摘要) 底下,選擇 **Security** (安全性) 等檢查類別並檢視結果。
+ 在 **Potential Monthly Savings** (每月可能節省金額) 底下,可以檢視能為您的帳戶節省多少金額,以及建議的成本最佳化檢查。
+ 在 **Recent changes (最近變更)** 底下,您可以檢視過去 30 天內的檢查狀態變更。選擇檢查名稱,檢視該檢查的最新結果,或選擇箭頭圖示檢視下一頁。
**Example : Trusted Advisor 建議**
下列範例顯示 AWS 帳戶的檢查結果的摘要。
![\[Trusted Advisor 主控台中包含檢查摘要 Trusted Advisor 的建議頁面。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/ta_recs_updated.png)
## 檢視檢查類別
您可以檢視下列檢查類別的檢查描述和結果:
+ **Cost Optimization** (成本最佳化) - 可能為您省錢的建議。這些檢查會強調未使用的資源和減少帳單金額的機會。
+ **Performance (效能)** - 可改善應用程式執行和回應速度的建議。
+ **安全性** – 安全設定的建議,可讓您 AWS 的解決方案更加安全。
+ **容錯**能力 – 有助於提高 AWS 解決方案彈性的建議。這些檢查會反白顯示備援不足與使用過度的資源。
+ **Service Limits** (服務配額) - 檢查您帳戶的使用情況,以及您的帳戶是否接近或超過 AWS 服務和資源的限額 (也稱為配額)。
+ **卓越營運** – 協助您有效和大規模操作 AWS 環境的建議。
**檢視檢查類別**
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在導覽窗格中選擇檢查類別。
1. 在類別頁面上,檢視每個檢查類別的摘要:
+ **建議的動作 (紅色)** – Trusted Advisor 建議檢查的動作。
+ **Investigation recommended (建議進行調查) (黃色)** - Trusted Advisor 偵測到可能的檢查問題。
+ **未偵測到問題 (綠色)** – Trusted Advisor 未偵測到檢查的問題。
+ **排除的項目 (灰色)** - 具有已排除項目的檢查數量,例如您想要檢查忽略的資源。
1. 針對每項檢查,選擇重新整理圖示 (![\[Circular arrow icon representing a refresh or reload action.\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/refresh.png))來重新整理此檢查。
1. 選擇下載圖示 (![\[Icon representing the action to upload or share content, showing an arrow pointing upwards.\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/download.png)) 來建立包含此檢查結果的 .xls 檔案。
**Example :成本最佳化類別**
下列範例顯示 10 個 (綠色) 檢查沒有任何問題。
![\[Trusted Advisor 主控台中的成本最佳化類別頁面,顯示每月可能節省的成本,以及需要動作、調查或未偵測到問題的檢查。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/ta_cost_opt_example.png)
## 檢視特定檢查
展開檢查,檢視完整檢查說明、受影響的資源、任何建議的步驟,以及更多資訊的連結。
**檢視特定檢查**
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在導覽窗格中選擇檢查類別。
1. 選擇檢查名稱,檢視說明及下列詳細資訊:
+ **Alert Criteria (提醒條件)** - 說明檢查狀態變更的臨界值。
+ **Recommended Action (建議動作)** - 說明此檢查的建議動作。
+ **Additional Resources (其他資源)** - 列出相關的 AWS 說明文件。
+ 列出您帳戶中受影響項目的表格。您可以在檢查結果中包含或排除這些項目。
1. (選用) 若要排除項目,使其不出現在檢查結果中,請執行下列動作:
1. 選取項目並選擇 **Exclude & Refresh (排除並重新整理)**。
1. 若要檢視所有排除項目,請選擇 **Excluded items (排除的項目)**。
1. (選用) 若要包含項目,讓檢查再次對其進行評估,請執行下列動作:
1. 選擇 **Excluded items (排除的項目)**,選取項目,然後選擇 **Include & Refresh (包含並重新整理)**。
1. 若要檢視所有包含的項目,請選擇 **Included items 包含的項目)**。
1. 選擇設定圖示 (![\[Circular icon with a gear symbol inside, representing settings or configuration.\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/settings.png))。在 **Preferences** (偏好設定) 對話方塊中,您可以指定要顯示的項目數或屬性,然後選擇 **Confirm** (確認)。
**Example :成本最佳化檢查**
下列**低使用率 Amazon EC2 執行個體**檢查會列出帳戶中受影響的執行個體。此檢查找出使用率低的 38 個 Amazon EC2 執行個體,並建議您停止或終止這些資源。
![\[Trusted Advisor 主控台中的低使用率 Amazon EC2 執行個體檢查。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/cost_opt_check_example2.png)
## 篩選檢查
在檢查類別頁面上,您可以指定要檢視的檢查結果。例如,您可以依偵測到帳戶中錯誤的檢查進行篩選,這樣就能先調查緊急問題。
如果您有評估帳戶中項目的檢查,例如 AWS 資源,您可以使用標籤篩選條件來僅顯示具有指定標籤的項目。
**篩選檢查**
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在導覽窗格或 **Trusted Advisor Recommendations** 頁面中,選擇檢查類別。
1. 對於 **Search by keyword** (依關鍵字搜尋),請輸入檢查名稱或描述中的關鍵字來篩選結果。
1. 為 **View (檢視)** 清單指定要檢視的檢查:
+ **All checks** (所有檢查) - 列出此類別的所有檢查。
+ **Action recommended (建議採取動作)** - 列出建議您採取動作的檢查。這些檢查會以紅色反白。
+ **Investigation recommended (建議進行調查)** - 列出建議您採取可能動作的檢查。這些檢查會以黃色反白。
+ **No problems detected (未偵測到問題)** - 列出沒有任何問題的檢查。這些檢查會以綠色反白。
+ **Checks with excluded items (含有已排除項目的檢查) ** - 列出您指定要從檢查結果中排除項目的檢查。
1. 如果您將標籤新增至 AWS 資源,例如 Amazon EC2 執行個體或 AWS CloudTrail 線索,您可以篩選結果,讓檢查僅顯示具有指定標籤的項目。
針對 **Filter by tag (依標籤篩選)**,輸入標籤索引鍵和值,然後選擇 **Apply filter (套用篩選條件)**。
1. 在檢查的表格中,檢查結果只會顯示具有指定索引鍵和值的項目。
1. 若要清除依標籤篩選的條件,請選擇 **Reset (重設)**。
### 相關資訊
如需標記 的詳細資訊 Trusted Advisor,請參閱下列主題:
+ [AWS 支援 啟用 的標記功能 Trusted Advisor](https://aws.amazon.com/about-aws/whats-new/2016/06/aws-support-enables-tagging-capabilities-for-trusted-advisor/)
+ 《AWS 一般參考》**中的[標記您的 AWS 資源](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)。
## 重新整理檢查結果
您可以重新整理檢查以取得帳戶的最新結果。如果您有開發人員或基本支援計劃,您可以登入 Trusted Advisor 主控台以重新整理檢查。如果您有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃, 會每週 Trusted Advisor 自動重新整理您帳戶中的檢查。
**重新整理 Trusted Advisor 檢查**
1. 導覽至位於 https://[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 的 AWS Trusted Advisor 主控台。
1. 在** Trusted Advisor 建議**或檢查類別頁面上,選擇**重新整理所有檢查**。
您也可以使用下列方式來重新整理特定檢查:
+ 選擇個別檢查的重新整理圖示 (![\[Circular arrow icon representing a refresh or reload action.\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/refresh.png))。
+ 使用 [RefreshTrustedAdvisorCheck](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_RefreshTrustedAdvisorCheck.html) API 作業。
**備註**
Trusted Advisor 每天自動重新整理一些檢查數次,例如**AWS Well-Architected可靠性檢查的高風險問題**。變更可能需要幾個小時才會出現在您的帳戶中。針對這些自動重新整理的檢查,您不能選擇重新整理圖示 (![\[Circular arrow icon representing a refresh or reload action.\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/refresh.png)) 來手動重新整理結果。
如果您 AWS Security Hub CSPM 為帳戶啟用 ,則無法使用 Trusted Advisor 主控台重新整理 Security Hub CSPM 控制項。如需詳細資訊,請參閱[重新整理 Security Hub CSPM 問題清單](security-hub-controls-with-trusted-advisor.md#refreshing-security-hub-findings)。
## 下載檢查結果
您可以下載檢查結果,以取得 Trusted Advisor 您帳戶中的 概觀。您可以下載所有檢查或特定檢查的結果。
**從 Trusted Advisor 建議下載檢查結果**
1. 導覽至位於 https://[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 的 AWS Trusted Advisor 主控台。
+ 若要下載所有檢查結果,請在 **Trusted Advisor Recommendations** 或檢查類別頁面中,選擇 **Download all checks** (下載所有檢查)。
+ 若要下載特定檢查的檢查結果,請選擇檢查名稱,然後選擇下載圖示 (![\[Icon representing the action to upload or share content, showing an arrow pointing upwards.\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/download.png))。
1. 儲存或開啟 .xls 檔案。此檔案包含來自 Trusted Advisor 主控台的相同摘要資訊,例如檢查名稱、描述、狀態、受影響的資源等。
## 組織檢視
您可以設定組織檢視功能,為 AWS 組織中的所有成員帳戶建立報告。如需詳細資訊,請參閱[的組織檢視 AWS Trusted Advisor](organizational-view.md)。
## Preferences (偏好設定)
您可以在**管理 Trusted Advisor** 頁面上[停用 Trusted Advisor](#disable-trusted-advisor)。
在 **Notifications** (通知) 頁面上,您可以為檢查摘要設定每週電子郵件訊息。請參閱 [設定通知偏好設定](#notification-preferences)。
在**組織**頁面上,您可以使用 啟用或停用受信任存取 AWS Organizations。這是 [的組織檢視 AWS Trusted Advisor](organizational-view.md) 功能和 [Trusted Advisor Priority](trusted-advisor-priority.md) 的必要項目。
### 設定通知偏好設定
指定誰可以接收每週 Trusted Advisor 電子郵件訊息,以取得檢查結果和語言。您每週會收到一封有關 Recommendations Trusted Advisor 檢查摘要的電子郵件通知。
建議電子郵件通知不包含 Trusted Advisor Priority Trusted Advisor 的結果。如需詳細資訊,請參閱[管理 Trusted Advisor 優先順序通知](trusted-advisor-priority.md#trusted-advisor-priority-notifications)。
**設定通知偏好設定**
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在導覽窗格中,在 **Preferences** (偏好設定) 之下,選擇 **Notifications** (通知)。
1. 針對 **Recommendations** (建議),選取要通知檢查結果的對象。您可以從 AWS 帳單與成本管理 主控台[的帳戶設定](https://console.aws.amazon.com/billing/home#/account)頁面新增和移除聯絡人。
1. 針對 **Language (語言)**,選擇電子郵件訊息的語言。
1. 選擇 **Save your preferences** (儲存喜好設定)。
### 設定組織檢視
如果您使用 設定帳戶 AWS Organizations,您可以為組織中的所有成員帳戶建立報告。如需詳細資訊,請參閱[的組織檢視 AWS Trusted Advisor](organizational-view.md)。
### 停用 Trusted Advisor
當您停用此服務時, Trusted Advisor 不會對您的帳戶執行任何檢查。嘗試存取 Trusted Advisor 主控台或使用 API 操作的任何人都會收到存取遭拒錯誤訊息。
**停用 Trusted Advisor**
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在導覽窗格的**偏好設定**下,選擇**管理 Trusted Advisor**。
1. 在 **Trusted Advisor** 下,關閉 **Enabled** (已啟用)。此動作 Trusted Advisor 會針對您帳戶中的所有檢查停用 。
1. 然後,您可以手動從帳戶中刪除 [AWSServiceRoleForTrustedAdvisor](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisor) 。如需詳細資訊,請參閱 [刪除 的服務連結角色 Trusted Advisor](using-service-linked-roles-ta.md#delete-service-linked-role-ta)。
### 相關資訊
如需 的詳細資訊 Trusted Advisor,請參閱下列主題:
+ [如何開始使用 Trusted Advisor?](https://aws.amazon.com/premiumsupport/knowledge-center/trusted-advisor-intro/)
+ [AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)
# 開始使用 Trusted Advisor API
**重要**
終止支援通知:開發人員支援將於 2027 年 1 月 1 日終止。擁有開發人員支援的客戶可以繼續使用其現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
支援結束通知:商業支援將於 2027 年 1 月 1 日終止。擁有 Business Support 的客戶可以繼續使用現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
終止支援通知:2027 年 1 月 1 日, AWS 將停止 Enterprise On-Ramp。在整個 2026 年,Enterprise On-Ramp 客戶將在合約續約期間或定期批次期間自動升級至 AWS Enterprise Support。客戶將在升級前一個月收到電子郵件通知。無需採取進一步動作。Enterprise Support 提供指定的 TAM 指派、15 分鐘的回應時間,並且可免費 AWS 安全事件應變 使用,而且最低 5,000 美元 (從 15,000 美元減少)。如需詳細資訊,請參閱[AWS 企業 支援 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/enterprise/)。
如需詳細資訊,請參閱[開發人員、商業和企業延遲結束支援](support-plans-eos.md)。
開發人員支援、商業支援和 Enterprise On-Ramp 仍可在 AWS GovCloud (US) 區域中使用。
AWS Trusted Advisor API 參考適用於需要 API 操作和資料類型詳細資訊的 Trusted Advisor 程式設計人員。此 API 可讓您存取您 帳戶或 AWS 組織內所有帳戶 Trusted Advisor 的建議。 Trusted Advisor API 使用 HTTP 方法,以 JSON 格式傳回結果。
**注意**
您必須擁有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃才能使用 Trusted Advisor API。
如果您從沒有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃的 帳戶呼叫 AWS Trusted Advisor API,則會收到拒絕存取例外狀況。如需變更支援計劃的詳細資訊,[請參閱 AWS 支援。](https://docs.aws.amazon.com/awssupport/latest/user/aws-support-plans.html)
您可以使用 AWS Trusted Advisor API 取得檢查清單及其說明、建議和資源以取得建議。您也可以更新建議的生命週期。若要管理建議,請使用下列 API 操作:
+ 使用 [ListChecks](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListChecks.html)、[ListRecommendations](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListRecommendations.html)、[GetRecommendation](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_GetRecommendation.html) 和 [ListRecommendationResources](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListRecommendationResources.html) API 操作來檢視建議以及對應的帳戶和資源。
+ 使用 [UpdateRecommendationLifecycle](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_UpdateRecommendationLifecycle.html) API 操作來更新由 Trusted Advisor Priority 管理的建議生命週期。
+ 使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 操作,從您的 Trusted Advisor 結果中包含或排除一或多個資源。
+ [ListOrganizationRecommendations](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListOrganizationRecommendations.html)、[GetOrganizationRecommendation](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_GetOrganizationRecommendation.html)、[ListOrganizationRecommendationResources](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListOrganizationRecommendationResources.html)、[ListOrganizationRecommendationAccounts](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListOrganizationRecommendationAccounts.html) 和 [UpdateOrganizationRecommendationLifecycle](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_UpdateOrganizationRecommendationLifecycle.html) API 呼叫僅支援由 Trusted Advisor Priority 管理的建議。這些建議也稱為優先建議。如果您已啟用 Trusted Advisor Priority,您可以從管理或委派的管理員帳戶檢視和管理優先建議。如果未啟用優先順序,則當您提出請求時,會收到存取遭拒的例外狀況。
如需詳細資訊,[請參閱 AWS 支援使用者指南 AWS Trusted Advisor 中的 。](https://docs.aws.amazon.com/awssupport/latest/user/aws-support-plans.html)
如需請求的身分驗證,[請參閱 Signature 第 4 版簽署程序。](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html)
# 使用 Trusted Advisor 做為 Web 服務
AWS 支援 服務可讓您撰寫與 互動的應用程式[AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)。本主題說明如何取得 Trusted Advisor 檢查清單、重新整理其中一個,然後從檢查取得詳細結果。這些任務以 Java 示範。如需其他語言支援的資訊,請參閱[適用於 Amazon Web Services 的工具](https://aws.amazon.com/tools/)。
**Topics**
+ [
## 取得可用 Trusted Advisor 檢查的清單
](#Get_TA_Checks)
+ [
## 重新整理可用 Trusted Advisor 檢查的清單
](#Request_TA_Data)
+ [
## 輪詢狀態變更的 Trusted Advisor 檢查
](#getcheckstatus)
+ [
## 請求 Trusted Advisor 檢查結果
](#requestcheck)
+ [
## 顯示 Trusted Advisor 檢查的詳細資訊
](#printdetails)
## 取得可用 Trusted Advisor 檢查的清單
下列 Java 程式碼片段會建立 支援 用戶端的執行個體,可用來呼叫所有 Trusted Advisor API 操作。接下來,程式碼會呼叫 [DescribeTrustedAdvisorChecks](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_DescribeTrustedAdvisorChecks.html) API 操作,以取得 Trusted Advisor 檢查及其對應`CheckId`值的清單。您可以使用這些資訊來建立使用者界面,讓使用者選擇他們要執行或重新整理的檢查。
```
private static AWSSupport createClient()
{
return AWSSupportClientBuilder.defaultClient();
}
// Get the List of Available Trusted Advisor Checks
public static void getTAChecks() {
// Possible language parameters: "en" (English), "ja" (Japanese), "fr" (French), "zh" (Chinese)
DescribeTrustedAdvisorChecksRequest request = new DescribeTrustedAdvisorChecksRequest().withLanguage("en");
DescribeTrustedAdvisorChecksResult result = createClient().describeTrustedAdvisorChecks(request);
for (TrustedAdvisorCheckDescription description : result.getChecks()) {
// Do something with check description.
System.out.println(description.getId());
System.out.println(description.getName());
}
}
```
## 重新整理可用 Trusted Advisor 檢查的清單
下列 Java 程式碼片段會建立 支援 用戶端的執行個體,供您用來重新整理 Trusted Advisor 資料。
```
// Refresh a Trusted Advisor Check
// Note: Some checks are refreshed automatically, and they cannot be refreshed by using this operation.
// Specifying the check ID of a check that is automatically refreshed causes an InvalidParameterValue error.
public static void refreshTACheck(final String checkId) {
RefreshTrustedAdvisorCheckRequest request = new RefreshTrustedAdvisorCheckRequest().withCheckId(checkId);
RefreshTrustedAdvisorCheckResult result = createClient().refreshTrustedAdvisorCheck(request);
System.out.println("CheckId: " + result.getStatus().getCheckId());
System.out.println("Milliseconds until refreshable: " + result.getStatus().getMillisUntilNextRefreshable());
System.out.println("Refresh Status: " + result.getStatus().getStatus());
}
```
## 輪詢狀態變更的 Trusted Advisor 檢查
在您提交執行 Trusted Advisor 檢查以產生最新狀態資料的請求之後,您可以使用 [DescribeTrustedAdvisorCheckRefreshStatuses](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_DescribeTrustedAdvisorCheckRefreshStatuses.html) API 操作來請求檢查執行的進度,以及新資料準備好進行檢查時。
以下 Java 程式碼片段會使用與 `CheckId` 變數對應的值,取得以下部分請求的檢查狀態。此外,程式碼會示範 Trusted Advisor 服務的多種其他用途:
1. 您可以透過周遊包含在 `DescribeTrustedAdvisorCheckRefreshStatusesResult` 執行個體中的物件,以呼叫 `getMillisUntilNextRefreshable`。您可以使用傳回的值測試您是否希望您的程式碼進行重新整理檢查。
1. 如果 `timeUntilRefreshable` 等於零,您可以請求重新整理檢查。
1. 您可以使用傳回的狀態,持續輪詢狀態變更;程式碼片段會將輪詢間隔設定為建議的 10 秒。如果狀態為 `enqueued` 或 `in_progress`,迴圈將傳回並請求另一個狀態。如果呼叫傳回 `successful`,迴圈將會終止。
1. 最後,程式碼會傳回 `DescribeTrustedAdvisorCheckResultResult` 資料類型的執行個體,您可以用它來周遊檢查所產生的資訊。
**附註:**使用單一重新整理請求,再輪詢請求的狀態。
```
// Retrieves TA refresh statuses. Multiple checkId's can be submitted.
public static List getTARefreshStatus(final String... checkIds) {
DescribeTrustedAdvisorCheckRefreshStatusesRequest request =
new DescribeTrustedAdvisorCheckRefreshStatusesRequest().withCheckIds(checkIds);
DescribeTrustedAdvisorCheckRefreshStatusesResult result =
createClient().describeTrustedAdvisorCheckRefreshStatuses(request);
return result.getStatuses();
}
// Retrieves a TA check status, and checks to see if it has finished processing.
public static boolean isTACheckStatusInTerminalState(final String checkId) {
// Since we only submitted one checkId to getTARefreshStatus, just retrieve the only element in the list.
TrustedAdvisorCheckRefreshStatus status = getTARefreshStatus(checkId).get(0);
// Valid statuses are:
// 1. "none", the check has never been refreshed before.
// 2. "enqueued", the check is waiting to be processed.
// 3. "processing", the check is in the midst of being processed.
// 4. "success", the check has succeeded and finished processing - refresh data is available.
// 5. "abandoned", the check has failed to process.
return status.getStatus().equals("abandoned") || status.getStatus().equals("success");
}
// Enqueues a Trusted Advisor check refresh. Periodically polls the check refresh status for completion.
public static TrustedAdvisorCheckResult getFreshTACheckResult(final String checkId) throws InterruptedException {
refreshTACheck(checkId);
while(!isTACheckStatusInTerminalState(checkId)) {
Thread.sleep(10000);
}
return getTACheckResult(checkId);
}
// Retrieves fresh TA check data whenever possible.
// Note: Some checks are refreshed automatically, and they cannot be refreshed by using this operation. This method
// is only functional for checks that can be refreshed using the RefreshTrustedAdvisorCheck operation.
public static void pollForTACheckResultChanges(final String checkId) throws InterruptedException {
String checkResultStatus = null;
do {
TrustedAdvisorCheckResult result = getFreshTACheckResult(checkId);
if (checkResultStatus != null && !checkResultStatus.equals(result.getStatus())) {
break;
}
checkResultStatus = result.getStatus();
// The rule refresh has completed, but due to throttling rules the checks may not be refreshed again
// for a short period of time.
// Since we only submitted one checkId to getTARefreshStatus, just retrieve the only element in the list.
TrustedAdvisorCheckRefreshStatus refreshStatus = getTARefreshStatus(checkId).get(0);
Thread.sleep(refreshStatus.getMillisUntilNextRefreshable());
} while(true);
// Signal that a TA check has changed check result status here.
}
```
## 請求 Trusted Advisor 檢查結果
選取您要取得詳細結果的檢查之後,請使用 [DescribeTrustedAdvisorCheckResult](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_DescribeTrustedAdvisorCheckResult.html) API 作業提交請求。
**提示**
Trusted Advisor 檢查的名稱和描述可能會有所變更。建議您在程式碼中指定檢查 ID,以唯一識別某項檢查。您可以使用 [DescribeTrustedAdvisorChecks](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_DescribeTrustedAdvisorChecks.html) API 作業取得檢查 ID。
以下 Java 程式碼片段使用 (以上述程式碼片段取得的) `result` 變數參考的 `DescribeTrustedAdvisorChecksResult` 執行個體。在您提交請求執行該程式碼片段之後,其並非透過使用者界面以互動方式定義檢查,而是由每次 `result.getChecks().get(0)` 呼叫中指定索引值 0,以提交請求執行清單中的第一項檢查。接著,程式碼定義 `DescribeTrustedAdvisorCheckResultRequest` 執行個體,它會傳送到呼叫 `checkResult` 的 `DescribeTrustedAdvisorCheckResultResult` 執行個體。您可以使用此資料類型的成員結構,以檢視檢查的結果。
```
// Request a Trusted Advisor Check Result
public static TrustedAdvisorCheckResult getTACheckResult(final String checkId) {
DescribeTrustedAdvisorCheckResultRequest request = new DescribeTrustedAdvisorCheckResultRequest()
// Possible language parameters: "en" (English), "ja" (Japanese), "fr" (French), "zh" (Chinese)
.withLanguage("en")
.withCheckId(checkId);
DescribeTrustedAdvisorCheckResultResult requestResult = createClient().describeTrustedAdvisorCheckResult(request);
return requestResult.getResult();
}
```
**注意:**請求 Trusted Advisor 檢查結果不會產生更新的結果資料。
## 顯示 Trusted Advisor 檢查的詳細資訊
下列 Java 程式碼片段會反覆運算上前一節傳回的`DescribeTrustedAdvisorCheckResultResult`執行個體,以取得由 Trusted Advisor 檢查標記的資源清單。
```
// Show ResourceIds for flagged resources.
for (TrustedAdvisorResourceDetail flaggedResource :
result1.getResult().getFlaggedResources())
{
System.out.println(
"The resource for this ResourceID has been flagged: " +
flaggedResource.getResourceId());
}
```
# 的組織檢視 AWS Trusted Advisor
**重要**
終止支援通知:開發人員支援將於 2027 年 1 月 1 日終止。擁有開發人員支援的客戶可以繼續使用其現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
支援結束通知:商業支援將於 2027 年 1 月 1 日終止。擁有 Business Support 的客戶可以繼續使用現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
終止支援通知:2027 年 1 月 1 日, AWS 將停止 Enterprise On-Ramp。在整個 2026 年,Enterprise On-Ramp 客戶將在合約續約期間或定期批次期間自動升級至 AWS Enterprise Support。客戶將在升級前一個月收到電子郵件通知。無需採取進一步動作。Enterprise Support 提供指定的 TAM 指派、15 分鐘的回應時間,並且可免費 AWS 安全事件應變 使用,而且最低 5,000 美元 (從 15,000 美元減少)。如需詳細資訊,請參閱[AWS 企業 支援 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/enterprise/)。
如需詳細資訊,請參閱[開發人員、商業和企業延遲結束支援](support-plans-eos.md)。
開發人員支援、商業支援和 Enterprise On-Ramp 仍可在 AWS GovCloud (US) 區域中使用。
組織檢視可讓您檢視 中所有帳戶的 Trusted Advisor 檢查[AWS Organizations](https://aws.amazon.com/organizations/)。啟用此功能後,您可以建立報告來彙總組織中所有成員帳戶的檢查結果。此報告中包括每個帳戶的檢查結果摘要,以及有關受影響資源的資訊。例如,您可以使用報告來識別組織中哪些帳戶使用 AWS Identity and Access Management (IAM) 搭配 IAM 使用檢查,或您是否有針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體的建議動作搭配 Amazon S3 儲存貯體許可檢查。
**Topics**
+ [
## 先決條件
](#prerequisites-organizational-view)
+ [
## 啟用組織檢視
](#enable-organizational-view)
+ [
## 重新整理 Trusted Advisor 檢查
](#refresh-trusted-advisor-checks)
+ [
## 建立組織檢視報告
](#create-organizational-view-reports)
+ [
## 檢視報告摘要
](#view-organizational-reports)
+ [
## 下載組織檢視報告
](#download-organizational-view-reports)
+ [
## 停用組織檢視
](#disable-organizational-view)
+ [
# 使用 IAM 政策允許存取組織檢視
](organizational-view-iam-policies.md)
+ [
# 使用其他 AWS 服務來檢視 Trusted Advisor 報告
](use-other-aws-services-with-trusted-advisor-reports.md)
## 先決條件
您必須符合下列要求才能啟用組織檢視:
+ 您的帳戶必須是 的成員[AWS Organizations](https://aws.amazon.com/organizations/)。
+ 您的組織必須啟用 Organizations 的所有功能。如需詳細資訊,請參閱 *AWS Organizations 使用者指南*中的[啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 組織中的管理帳戶必須擁有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃。您可以從 AWS 支援 中心或 支援計劃 頁面找到您的[支援計劃](https://console.aws.amazon.com/support/plans)。請參閱[比較 AWS 支援 計劃](https://aws.amazon.com/premiumsupport/plans/)。
+ 您必須以[管理帳戶](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) (或[擔任的等效角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)) 的使用者身分登入。無論您是以 IAM 使用者或 IAM 角色登入,都必須具備含有所需許可的政策。請參閱 [使用 IAM 政策允許存取組織檢視](organizational-view-iam-policies.md)。
## 啟用組織檢視
符合先決條件後,請依照下列步驟啟用組織檢視。啟用此功能後,會發生下列情況:
+ Trusted Advisor 在您的組織中啟用為*信任的服務*。如需詳細資訊,請參閱 *AWS Organizations 使用者指南*中的[透過其他 AWS 服務啟用信任的存取權](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。
+ `AWSServiceRoleForTrustedAdvisorReporting` 服務連結角色是為您組織中的管理帳戶建立的。此角色包含代表您呼叫 Organizations Trusted Advisor 所需的許可。這個服務連結角色已鎖定,無法手動刪除。如需詳細資訊,請參閱[使用 的服務連結角色 Trusted Advisor](using-service-linked-roles-ta.md)。
您可以從 Trusted Advisor 主控台啟用組織檢視。
**啟用組織檢視**
1. 在組織的管理帳戶中以管理員身分登入,並在 https://[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 開啟 AWS Trusted Advisor 主控台。
1. 在導覽窗格的 **Preferences** (偏好設定) 中,選擇 **Your organization** (您的組織)。
1. 在**啟用受信任存取 AWS Organizations**下,開啟**已啟用**。
**注意**
為管理帳户啟用組織檢視不會為所有成員帳户提供相同的檢查。例如,如果您的成員帳户都具有基本支援,那麼這些帳户的檢查將不會與您的管理帳户相同。 AWS 支援 計劃會決定哪些 Trusted Advisor 檢查可供 帳戶使用。
## 重新整理 Trusted Advisor 檢查
在您為組織建立報告之前,建議您重新整理 Trusted Advisor 檢查的狀態。您不需重新整理 Trusted Advisor 檢查就可以下載報告,但報告中可能不含最新資訊。
如果您有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃, 會每週 Trusted Advisor 自動重新整理您帳戶中的檢查。
**注意**
如果您的組織中有具有開發人員或基本支援計劃的帳戶,則這些帳戶的使用者必須登入 Trusted Advisor 主控台以重新整理檢查。您無法從組織的管理帳戶重新整理所有帳戶的檢查。
**重新整理 Trusted Advisor 檢查**
1. 導覽至位於 https://[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 的 AWS Trusted Advisor 主控台。
1. 在 **Trusted Advisor Recommendations** 頁面,選擇 **Refresh all checks** (重新整理所有檢查)。這會重新整理您的帳戶中的所有檢查。
您也可以使用下列方式來重新整理特定檢查:
+ 使用 [RefreshTrustedAdvisorCheck](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_RefreshTrustedAdvisorCheck.html) API 作業。
+ 選擇個別檢查的重新整理圖示 (![\[Circular arrow icon representing a refresh or reload action.\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/refresh.png))。
## 建立組織檢視報告
啟用組織檢視之後,您可以建立報告,以便檢視您組織的 Trusted Advisor 檢查結果。
最多可以建立 50 份報告。如果您建立超出此配額的報告, Trusted Advisor 會刪除最早的報告。刪除的報告無法復原。
**建立組織檢視報告**
1. 登入組織的管理帳戶,並前往 [https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 開啟 AWS Trusted Advisor 主控台。
1. 在導覽窗格中,選擇 **Organizational View (組織檢視)**。
1. 選擇 **Create report (建立報告)**。
1. 根據預設,報告會包含所有 AWS 區域、檢查類別、檢查和資源狀態。在 **Create report (建立報告)** 頁面上,您可以使用篩選條件選項來自訂報告。例如,您可以清除 **Region (區域)** 的 **All (全部)** 選項,然後指定要包含在報告中的個別區域。
1. 輸入報告的 **Name (名稱)**。
1. 針對 **Format (格式)**,選擇 **JSON** 或 **CSV**。
1. 對於**區域**,指定 AWS 區域 或選擇**全部**。
1. 針對 **Check category (檢查類別)**,選擇檢查類別或選擇 **All (全部)**。
1. 針對 **Checks (檢查)**,選擇該類別的特定檢查,或選擇 **All (全部)**。
**注意**
**Check category (檢查類別)** 篩選條件會覆寫 **Checks (檢查)** 篩選條件。例如,如果您選擇 **Security (安全性)** 類別,然後選擇特定的檢查名稱,您的報告會包含該類別的所有檢查結果。若只要針對特定檢查建立報告,**Check category (檢查類別)** 中請保留預設的 **All (全部)** 值,然後選擇您的檢查名稱。
1. 針對 **Resource status (資源狀態)**,選擇要篩選的狀態,例如 **Warning (警告)**,或選擇 **All (全部)**。
1. 針對 **AWS Organizations**,選取要包含在報告中的組織單位 OUs)。如需 OU 的詳細資訊,請參閱 *AWS Organizations 使用者指南*中的[管理組織單位](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html)。
1. 選擇 **Create report (建立報告)**。
**Example :建立報告篩選條件選項**
下列範例會為以下項目建立一份 JSON 報告:
+ 三個 AWS 區域
+ 所有 **Security (安全性)** 和 **Performance (效能)** 檢查
![\[螢幕擷取畫面呈現如何在 Trusted Advisor中建立組織檢視報告。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/organizational-view-create-report-filters.png)
在下列範例中,報告包含**支援團隊**組織單位和屬於組織的一個 AWS 帳戶。
![\[\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/organizational-units-reports-example.png)
**備註**
建立報告所需的時間,取決於組織中的帳戶數量和每個帳戶中的資源數量。
除非目前報告已執行六個小時以上,否則您無法一次建立多份報告。
如果頁面上未顯示報告,請重新整理頁面。
## 檢視報告摘要
報告準備就緒後,您可以從 Trusted Advisor 主控台檢視報告摘要。這可讓您快速檢視整個組織的檢查結果摘要。
**檢視報告摘要**
1. 登入組織的管理帳戶,並前往 [https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 開啟 AWS Trusted Advisor 主控台。
1. 在導覽窗格中,選擇 **Organizational View (組織檢視)**。
1. 選擇報告名稱。
1. 在 **Summary (摘要)** 頁面上,檢視每個類別的檢查狀態。您也可以選擇 **Download report (下載報告)**。
**Example :組織的報告摘要**
![\[範例報告摘要的螢幕擷取畫面 Trusted Advisor。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/organizational-view-summary-report-console-2.png)
## 下載組織檢視報告
報告準備就緒後,請從 Trusted Advisor 主控台下載報告。此報告是包含三個檔案的 .zip 檔:
+ `summary.json` - 包含每個檢查類別的檢查結果摘要。
+ `schema.json` - 包含報告中指定檢查的結構描述。
+ 資源檔案 (.json 或 .csv) - 包含組織中資源檢查狀態的詳細資訊。
**下載組織檢視報告**
1. 登入組織的管理帳戶,並前往 [https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 開啟 AWS Trusted Advisor 主控台。
1. 在導覽窗格中,選擇 **Organizational View (組織檢視)**。
**Organizational View (組織檢視)** 頁面會顯示可供下載的報告。
1. 選取報告,選擇 **Download report (下載報告)**,然後儲存檔案。您一次只能下載一份報告。
![\[要下載的範例報告螢幕擷取畫面 Trusted Advisor。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/organizational-view-summary-reports-2.png)
1. 解壓縮檔案。
1. 使用文字編輯器開啟 `.json` 檔案,或使用試算表應用程式開啟 `.csv` 檔案。
**注意**
如果報告大小為 5 MB 或更大,您可能會收到多個檔案。
**Example :summary.json 檔案**
`summary.json` 檔案會顯示組織中的帳戶數量,以及每個類別的檢查狀態。
Trusted Advisor 使用下列顏色代碼來檢查結果:
+ `Green` – Trusted Advisor 未偵測到檢查的問題。
+ `Yellow` – Trusted Advisor 偵測檢查的可能問題。
+ `Red` – Trusted Advisor 偵測錯誤並建議檢查的動作。
+ `Blue` – Trusted Advisor 無法判斷檢查的狀態。
在下列範例中,兩個檢查是 `Red`、一個是 `Green`,還有一個是 `Yellow`。
```
{
"numAccounts": 3,
"filtersApplied": {
"accountIds": ["123456789012","111122223333","111111111111"],
"checkIds": "All",
"categories": [
"security",
"performance"
],
"statuses": "All",
"regions": [
"us-west-1",
"us-west-2",
"us-east-1"
],
"organizationalUnitIds": [
"ou-xa9c-EXAMPLE1",
"ou-xa9c-EXAMPLE2"
]
},
"categoryStatusMap": {
"security": {
"statusMap": {
"ERROR": {
"name": "Red",
"count": 2
},
"OK": {
"name": "Green",
"count": 1
},
"WARN": {
"name": "Yellow",
"count": 1
}
},
"name": "Security"
}
},
"accountStatusMap": {
"123456789012": {
"security": {
"statusMap": {
"ERROR": {
"name": "Red",
"count": 2
},
"OK": {
"name": "Green",
"count": 1
},
"WARN": {
"name": "Yellow",
"count": 1
}
},
"name": "Security"
}
}
}
}
```
**Example :schema.json 檔案**
`schema.json` 檔案包含報告中檢查的結構描述。下列範例包含 IAM 密碼政策 (Yw2K9puPzl) 和 IAM 金鑰輪換 (DqdJqYeRm5) 檢查的 ID 和屬性。
```
{
"Yw2K9puPzl": [
"Password Policy",
"Uppercase",
"Lowercase",
"Number",
"Non-alphanumeric",
"Status",
"Reason"
],
"DqdJqYeRm5": [
"Status",
"IAM User",
"Access Key",
"Key Last Rotated",
"Reason"
],
...
}
```
**Example :resources.csv 檔案**
`resources.csv` 檔案包含組織中資源的相關資訊。此範例顯示幾個出現在報告中的資料欄,如下所示:
+ 受影響帳戶的帳戶 ID
+ Trusted Advisor 檢查 ID
+ 資源 ID
+ 報告的時間戳記
+ Trusted Advisor 檢查的完整名稱
+ Trusted Advisor 檢查類別
+ 上層組織單位 (OU) 或根的帳戶 ID
![\[CSV 資源報告範例的螢幕擷取畫面 Trusted Advisor。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/organizational-view-summary-report-csv.png)
如果資源層級存在檢查結果,則資源檔案只會包含項目。由於下列原因,您可能無法在報告中看到檢查:
+ 某些檢查 (例如**根帳戶上的 MFA**) 沒有資源且不會顯示在報告中。沒有資源的檢查會改為顯示在 `summary.json` 檔案中。
+ 有些檢查只會顯示 `Red` 或 `Yellow` 的資源。如果所有資源都是 `Green`,可能不會出現在您的報告中。
+ 如果未針對需要檢查的服務啟用帳戶,則該檢查可能不會出現在報告中。例如,如果您沒有在組織中使用 Amazon Elastic Compute Cloud 預留執行個體,報告中就不會顯示 Amazon EC2 Reserved Instance Lease Expiration 檢查。
+ 帳戶尚未重新整理檢查結果。當具有基本或開發人員支援計劃的使用者第一次登入 Trusted Advisor 主控台時,可能會發生這種情況。如果您有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃,註冊帳戶後最多可能需要一週的時間,使用者才能查看檢查結果。如需詳細資訊,請參閱[重新整理 Trusted Advisor 檢查](#refresh-trusted-advisor-checks)。
+ 如果只有組織的管理帳戶啟用檢查建議,則報告不會包含組織中其他帳戶的資源。
針對資源檔案,您可以使用一般軟體 (例如 Microsoft Excel) 來開啟 .csv 檔案格式。您可以使用 .csv 檔案來對組織內所有帳戶的所有檢查進行一次性分析。如果您想要搭配應用程式使用報告,可以將報告下載為 .json 檔案。
.json 檔案格式提供比 .csv 檔案格式更多的靈活性,適用於進階使用案例,例如多個資料集的彙總和進階分析。例如,您可以使用 SQL 界面搭配 AWS 服務,例如 Amazon Athena,對報告執行查詢。您也可以使用 Amazon Quick 建立儀表板並視覺化您的資料。如需詳細資訊,請參閱[使用其他 AWS 服務來檢視 Trusted Advisor 報告](use-other-aws-services-with-trusted-advisor-reports.md)。
## 停用組織檢視
依照此程序停用組織檢視。您必須登入組織的管理帳戶,或擔任具有必要許可的角色,才能停用此功能。您無法從組織中的其他帳戶停用此功能。
停用此功能後,會發生下列情況:
+ Trusted Advisor 會移除為 Organizations 中信任的服務。
+ 組織管理帳戶中的 `AWSServiceRoleForTrustedAdvisorReporting` 服務連結角色會解除鎖定。這表示您可以視需要手動刪除它。
+ 您無法建立、檢視或下載組織的報告。若要存取先前建立的報告,必須從 Trusted Advisor 主控台重新啟用組織檢視。請參閱 [啟用組織檢視](#enable-organizational-view)。
**停用 的組織檢視 Trusted Advisor**
1. 登入組織的管理帳戶,並前往 [https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 開啟 AWS Trusted Advisor 主控台。
1. 在導覽窗格中,選擇**偏好設定**。
1. 在 **Organizational View (組織檢視)** 底下,選擇 **Disable organizational view (停用組織檢視)**。
![\[如何停用 Trusted Advisor 組織檢視的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/disable-organizational-view.png)
停用組織檢視之後, Trusted Advisor 不會再彙總組織中其他 AWS 帳戶的檢查。不過,`AWSServiceRoleForTrustedAdvisorReporting`服務連結角色會保留在組織的管理帳戶中,直到您透過 IAM 主控台、IAM API 或 AWS Command Line Interface () 將其刪除為止AWS CLI。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
**注意**
您可以使用其他 AWS 服務來查詢和視覺化組織檢視報告的資料。如需詳細資訊,請參閱下列資源:
*AWS 管理與控管部落格*中的[透過 AWS Organizations大規模檢視 AWS Trusted Advisor 的建議](https://aws.amazon.com/blogs/mt/organizational-view-for-trusted-advisor/)
[使用其他 AWS 服務來檢視 Trusted Advisor 報告](use-other-aws-services-with-trusted-advisor-reports.md)
# 使用 IAM 政策允許存取組織檢視
您可以使用下列 AWS Identity and Access Management (IAM) 政策,允許帳戶中的使用者或角色存取 中的組織檢視 AWS Trusted Advisor。
**Example :**組織檢視的完整存取權限****
以下政策允許完整存取組織檢視功能。擁有這些許可的使用者可以執行下列動作:
+ 啟用和停用組織檢視
+ 建立、檢視及下載報告
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadStatement",
"Effect": "Allow",
"Action": [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:ListRoots",
"organizations:DescribeOrganization",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListAWSServiceAccessForOrganization",
"trustedadvisor:DescribeAccount",
"trustedadvisor:DescribeChecks",
"trustedadvisor:DescribeCheckSummaries",
"trustedadvisor:DescribeAccountAccess",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeReports",
"trustedadvisor:DescribeServiceMetadata",
"trustedadvisor:DescribeOrganizationAccounts",
"trustedadvisor:ListAccountsForParent",
"trustedadvisor:ListRoots",
"trustedadvisor:ListOrganizationalUnitsForParent"
],
"Resource": "*"
},
{
"Sid": "CreateReportStatement",
"Effect": "Allow",
"Action": [
"trustedadvisor:GenerateReport"
],
"Resource": "*"
},
{
"Sid": "ManageOrganizationalViewStatement",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess",
"trustedadvisor:SetOrganizationAccess"
],
"Resource": "*"
},
{
"Sid": "CreateServiceLinkedRoleStatement",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting"
}
]
}
```
**Example :組織檢視的讀取存取權**
下列政策允許對 的組織檢視進行唯讀存取 Trusted Advisor。具有這些許可的使用者只能檢視和下載現有的報告。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadStatement",
"Effect": "Allow",
"Action": [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:ListRoots",
"organizations:DescribeOrganization",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListAWSServiceAccessForOrganization",
"trustedadvisor:DescribeAccount",
"trustedadvisor:DescribeChecks",
"trustedadvisor:DescribeCheckSummaries",
"trustedadvisor:DescribeAccountAccess",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeReports",
"trustedadvisor:ListAccountsForParent",
"trustedadvisor:ListRoots",
"trustedadvisor:ListOrganizationalUnitsForParent"
],
"Resource": "*"
}
]
}
```
您也可以建立自己 IAM 政策。如需詳細資訊,請參閱 *IAM 使用者指南*中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.htmlorgs_integrate_services.html)。
**注意**
如果您在 AWS CloudTrail 帳戶中啟用 ,下列角色會出現在您的日誌項目中:
`AWSServiceRoleForTrustedAdvisorReporting` – Trusted Advisor 用來存取組織中帳戶的服務連結角色。
`AWSServiceRoleForTrustedAdvisor` – Trusted Advisor 用來存取組織中服務的服務連結角色。
如需服務連結角色的詳細資訊,請參閱[使用 的服務連結角色 Trusted Advisor](using-service-linked-roles-ta.md)。
# 使用其他 AWS 服務來檢視 Trusted Advisor 報告
遵循本教學課程,使用其他服務上傳和檢視您的資料 AWS 。在本主題中,您會建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體來存放您的報告,以及建立帳戶中資源的 CloudFormation 範本。然後,您可以使用 Amazon Athena 來分析或執行報告的查詢,或快速在儀表板中視覺化該資料。
如需將報告資料視覺化的資訊和範例,請參閱 *AWS 管理與控管部落格*中的[透過 AWS Organizations大規模檢視 AWS Trusted Advisor 的建議](https://aws.amazon.com/blogs/mt/organizational-view-for-trusted-advisor/)。
## 先決條件
開始本教學課程前,您必須符合下列要求:
+ 以具有管理員許可的 AWS Identity and Access Management (IAM) 使用者身分登入。
+ 使用美國東部 (維吉尼亞北部) AWS 區域 快速設定您的 AWS 服務和資源。
+ 建立快速帳戶。如需詳細資訊,請參閱《*Amazon* [Quick 使用者指南》中的快速資料分析入門](https://docs.aws.amazon.com/quicksight/latest/user/getting-started.html)。
## 將報告上傳到 Amazon S3
下載 `resources.json` 報告後,請將檔案上傳至 Amazon S3。您必須使用美國東部 (維吉尼亞北部) 區域中的儲存貯體。
**將報告上傳至 Amazon S3 儲存貯體**
1. 在 AWS 管理主控台 https://[https://console.aws.amazon.com/](https://console.aws.amazon.com/) 登入 。
1. 使用 **Region selector (區域選擇器)**,選擇美國東部 (維吉尼亞北部) 區域。
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 從儲存貯體清單中選擇一個 S3 儲存貯體,然後複製名稱。您會在接下來的程序中用到這個名稱。
1. 在 *bucket-name (儲存貯體名稱)* 頁面上,選擇 **Create folder (建立資料夾)**,輸入名稱 **folder1**,然後選擇 **Save (儲存)**。
1. 選擇 **folder1**。
1. 在 **folder1** 中,選擇 **Upload (上傳)**,然後選擇 `resources.json` 檔案。
1. 選擇 **Next (下一步)**,保留預設選項,然後選擇 **Upload (上傳)**。
**注意**
如果您將新報告上傳至此儲存貯體,請重新命名 `.json` 檔案,這樣就不會覆寫現有的報告。例如,您可以為每個檔案新增時間戳記,例如 `resources-timestamp.json`、`resources-timestamp2.json`,以此類推。
## 使用 建立您的 資源 AWS CloudFormation
將報告上傳到 Amazon S3 後,請將下列 YAML 範本上傳到 CloudFormation。此範本會告知為您的帳戶建立 CloudFormation 哪些資源,以便其他 服務可以使用 S3 儲存貯體中的報告資料。範本會建立 IAM AWS Lambda和 的資源 AWS Glue。
**使用 建立您的 資源 CloudFormation**
1. 下載 [trusted-advisor-reports-template.zip](samples/trusted-advisor-reports-template.zip) 檔案。
1. 解壓縮檔案。
1. 在文字編輯器中開啟範本檔案。
1. 對於 `BucketName` 和 `FolderName` 參數,將 `your-bucket-name-here` 和 `folder1` 的值取代為您帳戶中的儲存貯體名稱和資料夾名稱。
1. 儲存檔案。
1. 在 https://[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) 開啟 CloudFormation 主控台。
1. 如果您尚未執行此步驟,請在 **Region selector (區域選擇器)** 中選擇美國東部 (維吉尼亞北部) 區域。
1. 在導覽窗格中,選擇 **Stacks (堆疊)**。
1. 選擇 **Create stack (建立堆疊)**,再選擇 **With new resources (standard) (使用新資源 (標準))。**
1. 在 **Create stack (建立堆疊)** 頁面上的 **Specify Template (指定範本)** 底下,選擇 **Upload a template file (上傳範本檔案)**、然後選擇 **Choose file (選擇檔案)**。
1. 選擇 YAML 檔案,然後選擇 **Next (下一步)**。
1. 在 **Specify Details (指定詳細資訊)** 頁面上,輸入堆疊名稱 (例如 **Organizational-view-Trusted-Advisor-reports**),然後選擇 **Next (下一步)**。
1. 在 **Configure stack options (設定堆疊選項)** 頁面上,保留預設選項,然後選擇 **Next (下一步)**。
1. 在 **Review (檢閱) **Organizational-view-Trusted-Advisor-reports** ** 頁面上,檢視您的選項。在頁面底部,選取**我確認 CloudFormation 可能建立 IAM 資源**的核取方塊。
1. 選擇**建立堆疊**。
建立堆疊大約需要 5 分鐘。
1. 堆疊成功建立之後,會顯示 **Resources (資源)** 索引標籤,如以下範例所示。
![\[CloudFormation 為 Trusted Advisor 報告建立的範例資源螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/organizational-view-cloud-formation-resources.png)
## 在 Amazon Athena 中查詢資料
您擁有資源之後,就可以在 Athena 中檢視資料。使用 Athena 建立查詢並分析報告的結果,例如查詢組織中帳戶的特定檢查結果。
**備註**
使用美國東部 (維吉尼亞北部) 區域。
如果您是初次使用 Athena,您必須先指定查詢結果位置,才能對報告執行查詢。建議您為此位置指定不同的 S3 儲存貯體。如需詳細資訊,請參閱 *Amazon Athena 使用者指南*中的[指定查詢結果位置](https://docs.aws.amazon.com/athena/latest/ug/querying.html#query-results-specify-location)。
**在 Athena 中查詢資料**
1. 前往 [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home) 開啟 Athena 主控台。
1. 如果您尚未執行此步驟,請在 **Region selector (區域選擇器)** 中選擇美國東部 (維吉尼亞北部) 區域。
1. 選擇 **Saved Queries (已儲存的查詢)**,並在搜尋欄位中輸入 **Show sample**。
1. 選擇顯示的查詢,例如 **Show sample entries of TA report (顯示 TA 報告的範例項目)**。
![\[Athena 主控台中已儲存查詢範例的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/organizational-view-athena.png)
查詢看起來應該如下所示。
```
SELECT * FROM "athenatacfn"."folder1" limit 10
```
1. 選擇 **Run query** (執行查詢)。您的查詢結果會顯示。
**Example :Athena 查詢**
下列範例顯示報告中的 10 個範例項目。
![\[Athena 主控台中查詢範例的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/organizational-view-query-results.png)
如需詳細資訊,請參閱 *Amazon Athena 使用者指南*中的[使用 Amazon Athena 執行 SQL 查詢](https://docs.aws.amazon.com/athena/latest/ug/querying-athena-tables.html)。
## 在 Quick 中建立儀表板
您也可以設定快速,以便在儀表板中檢視資料,並將報告資訊視覺化。
**注意**
您必須使用美國東部 (維吉尼亞北部) 區域。
**在 Quick 中建立儀表板**
1. 導覽至快速主控台並登入[您的帳戶](https://us-east-1.quicksight.aws.amazon.com)。
1. 選擇 **New analysis (新增分析)**、**New dataset (新增資料集)**,然後選擇 **Athena**。
1. 在 **New Athena data source (新增 Athena 資料來源)** 對話方塊中,輸入資料來源名稱 (例如 **AthenaTA**),然後選擇 **Create data source (建立資料來源)**。
![\[Amazon Quick 主控台中新資料來源的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/organizational-view-athena-data-source.png)
1. 在 **Choose your table (選擇表格)** 對話方塊中,選擇 **athenatacfn** 表格,選擇 **folder1**,然後選擇 **Select (選取)**。
![\[在快速主控台中選擇 Athena 資料表的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/quicksight-choose-athena-table.png)
1. 在 **Finish data set creation (完成資料集建立)** 對話方塊中,選擇 **Directly query your data (直接查詢資料)**,然後選擇 **Visualize (視覺化)**。
![\[在快速主控台中建立資料集的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/quick-sight-visualize-data.png)
您現在可以在 Quick 中建立儀表板。如需詳細資訊,請參閱《*Amazon Quick 使用者指南*[》中的使用儀表板](https://docs.aws.amazon.com/quicksight/latest/user/working-with-dashboards.html)。
**Example :快速儀表板**
下列範例儀表板顯示 Trusted Advisor 檢查的相關資訊,例如下列項目:
+ 受影響的帳戶 ID
+ 區域摘要 AWS
+ 檢查類別
+ 檢查狀態
+ 每個帳戶的報告中項目數
![\[在 Amazon Quick 中視覺化報告資料的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/quick-sight-visualize-data-example-2.png)
**注意**
如果您在建立儀表板時發生許可錯誤,請確定 Quick 可以使用 Athena。如需詳細資訊,請參閱[《Amazon Quick 使用者指南》中的我無法連線至 Amazon Athena](https://docs.aws.amazon.com/quicksight/latest/user/troubleshoot-connect-athena.html)。 **
如需將報告資料視覺化的詳細資訊和範例,請參閱 *AWS 管理與控管部落格*中的[透過 AWS Organizations大規模檢視 AWS Trusted Advisor 的建議](https://aws.amazon.com/blogs/mt/organizational-view-for-trusted-advisor/)。
## 疑難排解
如果您在本教學課程中遇到問題,請參閱下列疑難排解秘訣。
### 我沒有在報告中看到最新的資料
當您建立報告時,組織檢視功能不會自動重新整理組織中的 Trusted Advisor 檢查。若要取得最新的檢查結果,請重新整理管理帳戶和組織中每個成員帳戶的檢查。如需詳細資訊,請參閱[重新整理 Trusted Advisor 檢查](organizational-view.md#refresh-trusted-advisor-checks)。
### 我的報告中有重複的欄
如果您的報告有重複的欄,Athena 主控台可能會在表格中顯示下列錯誤。
`HIVE_INVALID_METADATA: Hive metadata for table folder1 is invalid: Table descriptor contains duplicate columns`
例如,如果您在報告中新增已存在的欄,當您嘗試在 Athena 主控台中檢視報告資料時可能會造成問題。您可以按照下列步驟修正此問題。
#### 尋找重複的欄
您可以使用 AWS Glue 主控台來檢視結構描述,並快速識別報告中是否有重複的資料欄。
**尋找重複的欄**
1. 在 https://[https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/) 開啟 AWS Glue 主控台。
1. 如果您尚未執行此步驟,請在 **Region selector (區域選擇器)** 中選擇美國東部 (維吉尼亞北部) 區域。
1. 在導覽窗格中,選擇 **Tables** (資料表)。
1. 選擇資料夾名稱 (例如 ***folder1***),然後在 **Schema (結構描述)** 底下查看 **Column name (欄名稱)** 的值。
如果有欄重複,您必須將新報告上傳到 Amazon S3 儲存貯體。請參閱 [上傳新的報告](#upload-a-new-report) 一節。
#### 上傳新的報告
找到重複的欄後,建議您以新報告取代現有的報告。這可確保在本教學課程中建立的資源使用您組織的最新報告資料。
**上傳新的報告**
1. 如果您尚未重新整理組織中帳戶的 Trusted Advisor 檢查。請參閱 [重新整理 Trusted Advisor 檢查](organizational-view.md#refresh-trusted-advisor-checks)。
1. 在 Trusted Advisor 主控台中建立和下載另一個 JSON 報告。請參閱 [建立組織檢視報告](organizational-view.md#create-organizational-view-reports)。在本教學課程中您必須使用 JSON 檔案。
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 選擇您的 Amazon S3 儲存貯體,然後選擇 `folder1` 資料夾。
1. 選取上一個 `resources.json` 報告並選擇 **Delete (刪除)**。
1. 在 **Delete objects (刪除物件)** 頁面中的 **Permanently delete objects? (永久刪除物件?)** 中,輸入 **permanently delete**,然後選擇 **Delete objects (刪除物件)**。
1. 在您的 S3 儲存貯體中,選擇 **Upload (上傳)**,然後指定新報告。這個動作會自動更新您的 Athena 表格和 AWS Glue 爬蟲程式資源 (包含最新的報告資料)。重新整理資源可能需要幾分鐘的時間。
1. 在 Athena 主控台中輸入新的查詢。請參閱 [在 Amazon Athena 中查詢資料](#setting-up-athena)。
**注意**
如果您對於本教學課程仍有問題,您可以前往 [AWS 支援 Center](https://console.aws.amazon.com//support/home) 建立技術支援案例。
# 檢視由 提供的 AWS Trusted Advisor 檢查 AWS Config
**重要**
終止支援通知:開發人員支援將於 2027 年 1 月 1 日終止。擁有開發人員支援的客戶可以繼續使用其現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
支援結束通知:商業支援將於 2027 年 1 月 1 日終止。擁有 Business Support 的客戶可以繼續使用現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
終止支援通知:2027 年 1 月 1 日, AWS 將停止 Enterprise On-Ramp。在整個 2026 年,Enterprise On-Ramp 客戶將在合約續約期間或定期批次期間自動升級至 AWS Enterprise Support。客戶將在升級前一個月收到電子郵件通知。無需採取進一步動作。Enterprise Support 提供指定的 TAM 指派、15 分鐘的回應時間,並且可免費 AWS 安全事件應變 使用,而且最低 5,000 美元 (從 15,000 美元減少)。如需詳細資訊,請參閱[AWS 企業 支援 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/enterprise/)。
如需詳細資訊,請參閱[開發人員、商業和企業延遲結束支援](support-plans-eos.md)。
開發人員支援、商業支援和 Enterprise On-Ramp 仍可在 AWS GovCloud (US) 區域中使用。
AWS Config 是一項服務,可針對您所需的設定持續評估、稽核和評估您的資源組態。 AWS Config 提供 受管規則,這是預先定義的可自訂合規檢查, AWS Config 用於評估您的 AWS 資源是否符合常見的最佳實務。
AWS Config 主控台會引導您完成受管規則的組態和啟用。您也可以使用 AWS Command Line Interface (AWS CLI) 或 AWS Config API 傳遞定義受管規則組態的 JSON 程式碼。您可以自訂受管規則的行為,以符合您的需求。您可以自訂規則的參數,以定義資源必須具備哪些屬性才能符合規則。若要進一步了解啟用 AWS Config,請參閱 [AWS Config 開發人員指南](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。
AWS Config 受管規則支援所有類別的一組 Trusted Advisor 檢查。當您啟用特定受管規則時,會自動啟用對應的 Trusted Advisor 檢查。若要查看哪些 Trusted Advisor 檢查是由特定 AWS Config 受管規則提供支援,請參閱 [AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
AWS Config 支援的檢查可供具有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃的客戶使用。如果您啟用 , AWS Config 且您有其中一個 AWS 支援 計畫,則會自動看到由對應部署 AWS Config 的受管規則提供支援的建議。
**注意**
這些檢查的結果會根據 AWS Config 受管規則的變更觸發更新自動重新整理。不允許重新整理請求。目前,您無法從這些檢查中排除資源。
## 疑難排解
如果您在這項整合上遇到問題,請參閱以下故障診斷資訊。
**Contents**
+ [
### 我剛啟用 的記錄和管理規則 AWS Config,但我看不到對應的 Trusted Advisor 檢查。
](#ta-checks-not-appearing)
+ [
### 我部署了相同的 AWS Config 受管規則兩次,我將看到什麼 Trusted Advisor?
](#config-managed-rule-deployed-twice)
+ [
### 我已關閉 AWS Config AWS 區域中的 錄製。我將看到什麼 Trusted Advisor?
](#turned-off-config-recording)
### 我剛啟用 的記錄和管理規則 AWS Config,但我看不到對應的 Trusted Advisor 檢查。
在 AWS Config 規則產生評估結果之後,您會近乎即時 Trusted Advisor 地在 中看到結果。如果您對本功能有任何問題,請在 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)建立技術支援案例。
### 我部署了相同的 AWS Config 受管規則兩次,我將看到什麼 Trusted Advisor?
您可以在您安裝的每個受管規則的 Trusted Advisor 檢查結果中看到個別的項目。
### 我已關閉 AWS Config AWS 區域中的 錄製。我將看到什麼 Trusted Advisor?
如果您在 AWS Config AWS 區域中關閉 的資源記錄,則 Trusted Advisor 不會再接收該區域中對應受管規則和檢查的資料。根據記錄器保留政策,現有的受管規則結果會保留在 AWS Config 和 中, Trusted Advisor 直到 AWS Config 過期為止。如果您刪除受管規則,則 Trusted Advisor 檢查資料通常會近乎即時地刪除。
# 在 中檢視 AWS Security Hub CSPM 控制項 AWS Trusted Advisor
AWS Security Hub CSPM 為 啟用 之後 AWS 帳戶,您可以在 Trusted Advisor 主控台中檢視您的安全控制及其調查結果。您可以使用 Security Hub CSPM 控制項來識別您帳戶中的安全漏洞,方法與您可以使用 Trusted Advisor 檢查的方式相同。您可以檢視檢查的狀態、受影響的資源清單,然後遵循 Security Hub CSPM 建議來解決您的安全問題。您可以使用此功能,在一個方便的位置找到來自 Trusted Advisor 和 Security Hub CSPM 的安全建議。
**備註**
從中 Trusted Advisor,您可以檢視 AWS 基礎安全最佳實務安全標準中的控制項,但具有類別:復原 > 恢復能力的控制項*除外*。如需支援的控制項清單,請參閱《AWS Security Hub CSPM 使用者指南》**中的 [AWS 基礎安全最佳實務控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html)。
如需 Security Hub CSPM 類別的詳細資訊,請參閱[控制類別](https://docs.aws.amazon.com/securityhub/latest/userguide/control-categories.html)。
Trusted Advisor 截至 2024 年 9 月 26 日的加入 Security Hub CSPM 控制。2024 年 9 月 26 日之後發行的控制項尚未加入 Trusted Advisor。您可以在 [Security Hub CSPM 日誌](https://docs.aws.amazon.com/securityhub/latest/userguide/doc-history.html)中找到在該日期之後發行的控制項。
**Topics**
+ [
## 先決條件
](#prerequisites-security-hub)
+ [
## 檢視您的 Security Hub CSPM 調查結果
](#security-controls-trusted-advisor-console)
+ [
## 重新整理 Security Hub CSPM 問題清單
](#refreshing-security-hub-findings)
+ [
## 從 停用 Security Hub CSPM Trusted Advisor
](#disable-security-hub)
+ [
## 疑難排解
](#troubleshooting-security-hub-integration)
## 先決條件
您必須符合下列要求,才能啟用與 的 Security Hub CSPM 整合 Trusted Advisor:
+ 您必須擁有此功能的 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃。您可以在 [AWS 支援 中心](https://console.aws.amazon.com/support)或[支援計劃](https://console.aws.amazon.com/support/plans)頁面中找到您的支援計劃。如需詳細資訊,請參閱[比較 AWS 支援 計劃](https://aws.amazon.com/premiumsupport/plans/)。
+ 您必須 AWS Config 為 Security Hub CSPM 控制項 AWS 區域 所需的 在 中啟用資源記錄。如需詳細資訊,請參閱[啟用並設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。
+ 您必須啟用 Security Hub CSPM,然後選取**AWS 基礎安全最佳實務 1.0.0 版**安全標準。如果您尚未執行,請參閱《AWS Security Hub CSPM 使用者指南》**中的[設定 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。
**注意**
如果您已完成這些先決條件,您可以跳至 [檢視您的 Security Hub CSPM 調查結果](#security-controls-trusted-advisor-console)。
### 關於 AWS Organizations 帳戶
如果您已經完成了管理帳戶的先決條件,則系統會為組織中的所有成員帳戶自動啟用此整合。個別成員帳戶不需要聯絡 支援 即可啟用此功能。不過,如果組織中的成員帳戶想要查看其問題清單,則必須啟用 Security Hub CSPM Trusted Advisor。
如果您要停用特定成員帳戶的這項整合,請參閱 [停用 AWS Organizations 帳戶的此功能](#disabling-security-hub-for-organizations)。
## 檢視您的 Security Hub CSPM 調查結果
為您的帳戶啟用 Security Hub CSPM 後,Security Hub CSPM 調查結果最多可能需要 24 小時才會出現在主控台**的安全**頁面 Trusted Advisor 中。
**在 中檢視 Security Hub CSPM 問題清單 Trusted Advisor**
1. 導覽至 [Trusted Advisor 主控台](https://console.aws.amazon.com/trustedadvisor),然後選擇 **Security** (安全) 類別。
1. 在 **Search by keyword** (依關鍵字搜尋) 欄位中,請在欄位中輸入控制項的名稱或描述。
**提示**
對於**來源**,您可以選擇**AWS Security Hub CSPM**篩選 Security Hub CSPM 控制項。
1. 選擇 Security Hub CSPM 控制名稱以檢視下列資訊:
+ **描述** – 描述此控制項如何檢查您的帳戶是否存在安全漏洞。
+ **Source** (來源) – 檢查是否來自 AWS Trusted Advisor 或 AWS Security Hub CSPM。對於 Security Hub CSPM 控制項,您可以找到控制項 ID。
+ **Alert Criteria** (提醒條件) – 控制項的狀態。例如,如果 Security Hub CSPM 偵測到重要問題,狀態可能是**紅色:嚴重或高**。
+ **建議的動作 **– 使用 Security Hub CSPM 文件連結來尋找修正問題的建議步驟。
+ **Security Hub CSPM 資源** – 您可以在 Security Hub CSPM 偵測到問題的帳戶中找到資源。
**備註**
這些檢查的結果每天至少會自動重新整理一次,不允許重新整理請求。變更可能需要幾個小時才會顯示。您可以使用 Trusted Advisor 主控台,從自動重新整理的檢查中排除資源。您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API,從 Trusted Advisor Priority 建議資源以外的任何檢查中排除資源。
組織檢視功能支援此與 Security Hub CSPM 的整合。您可以檢視整個組織中 Security Hub CSPM 控制項的問題清單,然後建立和下載報告。如需詳細資訊,請參閱[的組織檢視 AWS Trusted Advisor](organizational-view.md)。
**Example 範例:IAM 使用者存取金鑰的 Security Hub CSPM 控制不應存在**
以下是 主控台中 Trusted Advisor Security Hub CSPM 控制項的範例調查結果。
![\[針對 IAM 根存取問題擷取 Security Hub CSPM 控制項的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/security-hub-control-example.png)
## 重新整理 Security Hub CSPM 問題清單
啟用安全標準後,Security Hub CSPM 最多可能需要兩個小時才能為您的資源建立問題清單。然後,該資料最多可能需要 24 小時才會出現在 Trusted Advisor 主控台中。如果您最近啟用**AWS 了基礎安全最佳實務 1.0.0 **版安全標準,請稍後再次檢查 Trusted Advisor 主控台。
**注意**
每個 Security Hub CSPM 控制項的重新整理排程都是*定期*或*觸發變更*。目前,您無法使用 Trusted Advisor 主控台或 AWS 支援 API 來重新整理 Security Hub CSPM 控制項。如需詳細資訊,請參閱[執行安全檢查的排程](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-schedule.html)。
這些檢查的結果每天至少會自動重新整理一次,不允許重新整理請求。變更可能需要幾個小時才會顯示。您可以使用 Trusted Advisor 主控台,從自動重新整理的檢查中排除資源。您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API,從 Trusted Advisor Priority 建議資源以外的任何檢查中排除資源。
## 從 停用 Security Hub CSPM Trusted Advisor
如果您不希望 Security Hub CSPM 資訊出現在 Trusted Advisor 主控台中,請遵循此程序。此程序只會停用與 的 Security Hub CSPM 整合 Trusted Advisor。它不會影響您使用 Security Hub CSPM 的組態。您可以繼續使用 Security Hub CSPM 主控台來檢視您的安全控制、資源和建議。
**停用 Security Hub CSPM 整合**
1. 聯絡 [AWS 支援](https://console.aws.amazon.com/support)並請求停用 Security Hub CSPM 整合 Trusted Advisor。
AWS 支援 停用此功能後,Security Hub CSPM 不會再將資料傳送至 Trusted Advisor。您的 Security Hub CSPM 資料將從中移除 Trusted Advisor。
1. 如果您要再次啟用此整合,請聯絡 [AWS 支援](https://console.aws.amazon.com/support)。
### 停用 AWS Organizations 帳戶的此功能
如果您已完成管理帳戶的先前程序,Security Hub CSPM 整合會自動從組織中的所有成員帳戶中移除。組織的個別成員帳戶無需分別聯絡 AWS 支援 。
如果您是組織中的成員帳戶,您可以聯絡 支援 ,僅從您的帳戶中移除此功能。
## 疑難排解
如果您在這項整合上遇到問題,請參閱以下故障診斷資訊。
**Contents**
+ [
### 我在 Trusted Advisor 主控台中看不到 Security Hub CSPM 問題清單
](#security-hub-findings-not-appearing)
+ [
### 我已 AWS Config 正確設定 Security Hub CSPM,但我的問題清單仍然遺失
](#findings-still-not-appearing-after-enabling)
+ [
### 我想要停用特定 Security Hub CSPM 控制項
](#missing-findings-for-some-checks)
+ [
### 我想要尋找排除的 Security Hub CSPM 資源
](#finding-excluded-security-hub-findings)
+ [
### 我想要為屬於 AWS 組織的成員帳戶啟用或停用此功能
](#troubleshooting-organizations)
+ [
### 我看到 Security Hub AWS 區域 CSPM 檢查的相同受影響資源有多個
](#multiple-regions-check-results)
+ [
### 我已關閉 Security Hub CSPM 或在 AWS Config 區域中
](#disable-security-hub-regions)
+ [
### 我的控制項會封存在 Security Hub CSPM 中,但我仍會在 中看到問題清單 Trusted Advisor
](#archived-resource-still-appears-trusted-advisor)
+ [
### 我仍然無法檢視我的 Security Hub CSPM 問題清單
](#security-hub-contact-support)
### 我在 Trusted Advisor 主控台中看不到 Security Hub CSPM 問題清單
驗證您是否已完成下列步驟:
+ 您有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃。
+ 您已 AWS Config 在與 Security Hub CSPM 相同的區域內啟用資源記錄。
+ 您已啟用 Security Hub CSPM,並選取**AWS 基礎安全最佳實務 1.0.0 版**安全標準。
+ 來自 Security Hub CSPM 的新控制項會在兩到四週 Trusted Advisor 內新增為檢查。參閱[注意事項](#best-effort-basis)。
如需更多資訊,請參閱[先決條件](#prerequisites-security-hub)。
### 我已 AWS Config 正確設定 Security Hub CSPM,但我的問題清單仍然遺失
Security Hub CSPM 最多可能需要兩個小時才能取得您資源的問題清單。然後,該資料最多可能需要 24 小時才會出現在 Trusted Advisor 主控台中。請稍後再次檢查 Trusted Advisor 主控台。
**備註**
除了具有**類別:復原 > 恢復能力**的控制項*之外*, 中 Trusted Advisor 只會顯示 AWS 基礎安全最佳實務安全標準中控制項的問題清單。
如果 Security Hub CSPM 或 Security Hub CSPM 無法使用服務問題,您的問題清單最多可能需要 24 小時才會出現 Trusted Advisor。請稍後再次檢查 Trusted Advisor 主控台。
### 我想要停用特定 Security Hub CSPM 控制項
Security Hub CSPM Trusted Advisor 會自動將您的資料傳送至 。如果您停用 Security Hub CSPM 控制項,或不再有該控制項的資源,您的問題清單就不會出現在 中 Trusted Advisor。
您可以登入 [Security Hub CSPM 主控台](https://console.aws.amazon.com/securityhub),並驗證您的控制項是否啟用或停用。
如果您停用 Security Hub CSPM 控制項或停用 AWS 基礎安全最佳實務安全標準的所有控制項,您的問題清單會在接下來的五天內封存。這個五天的封存期限僅為近似值,會盡力而為,但不一定保證實現。封存問題清單時,會從中移除問題清單 Trusted Advisor。
如需詳細資訊,請參閱下列主題:
+ [停用和啟用個別控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html)
+ [停用或啟用安全標準](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html)
### 我想要尋找排除的 Security Hub CSPM 資源
從 Trusted Advisor 主控台,您可以選擇 Security Hub CSPM 控制項名稱,然後選擇**排除項目**選項。此選項會顯示 Security Hub CSPM 中隱藏的所有資源。
如果資源的工作流程狀態設定為 `SUPPRESSED`,那麼該資源是 Trusted Advisor中的已排除項目。您無法從 Trusted Advisor 主控台隱藏 Security Hub CSPM 資源。若要這樣做,請使用 [Security Hub CSPM 主控台](https://console.aws.amazon.com/securityhub)。如需詳細資訊,請參閱[設定問題清單的工作流程狀態](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-workflow-status.html)。
### 我想要為屬於 AWS 組織的成員帳戶啟用或停用此功能
根據預設,成員帳戶從 AWS Organizations管理帳戶繼承該功能。如果管理帳戶已啟用該功能,則組織中的所有帳戶也將具有該功能。如果您有成員帳戶,並想要為您的帳戶進行特定的變更,您必須聯絡 [AWS 支援](https://console.aws.amazon.com/support)。
### 我看到 Security Hub AWS 區域 CSPM 檢查的相同受影響資源有多個
有些 AWS 服務 是全域的,並非特定於區域,例如 IAM 和 Amazon CloudFront。依預設,Amazon S3 儲存貯體等全域資源會顯示在美國東部 (維吉尼亞北部) 區域。
對於評估全域服務資源的 Security Hub CSPM 檢查,您可能會看到受影響資源的多個項目。例如,如果 `Hardware MFA should be enabled for the root user` 檢查識別到您的帳戶尚未啟用此功能,您會在相同資源的資料表中看到多個區域。
您可以設定 Security Hub CSPM, AWS Config 讓相同資源不會出現多個區域。如需詳細資訊,請參閱[您可能想要停用的AWS 基本最佳實務控制](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp-to-disable.html)。
### 我已關閉 Security Hub CSPM 或在 AWS Config 區域中
如果您在 中使用 停止資源記錄 AWS Config 或停用 Security Hub CSPM AWS 區域, Trusted Advisor 不會再接收該區域中任何控制項的資料。 會在 7-9 天內 Trusted Advisor 移除您的 Security Hub CSPM 問題清單。此時間框架為盡最大努力的結果,且不能保證。如需詳細資訊,請參閱[停用 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-disable.html)。
若要停用您帳戶的這項功能,請參閱[從 停用 Security Hub CSPM Trusted Advisor](#disable-security-hub)。
### 我的控制項會封存在 Security Hub CSPM 中,但我仍會在 中看到問題清單 Trusted Advisor
當問題清單`RecordState`的狀態變更為 `ARCHIVED` 時, 會從您的帳戶 Trusted Advisor 中刪除該 Security Hub CSPM 控制項的問題清單。在刪除問題清單之前,您可能會在 中看到問題清單 Trusted Advisor 長達 7-9 天。此時間框架為盡最大努力的結果,且不能保證。
### 我仍然無法檢視我的 Security Hub CSPM 問題清單
如果您對於本功能仍有問題,您可以前往 [AWS 支援 中心](https://console.aws.amazon.com//support/home)建立技術支援案例。
# 選擇加入 AWS Compute Optimizer Trusted Advisor 檢查
運算最佳化工具是一項可分析 AWS 資源組態和使用率指標的服務。此服務會報告您的資源是否正確設定,能夠實現效率和可靠性。此服務還會建議您可以實施提高工作負載效能的改善項目。使用 Compute Optimizer,您可以在 Trusted Advisor 檢查中檢視相同的建議。
您可以選擇 AWS 帳戶 只加入您的 ,或加入組織的所有成員帳戶 AWS Organizations。如需詳細資訊,請參閱*《AWS Compute Optimizer 使用者指南》*中的[「入門」](https://docs.aws.amazon.com/compute-optimizer/latest/ug/getting-started.html#account-opt-in)。
一旦選擇使用 Compute Optimizer 後,下列檢查會從您的 Lambda 函數和 Amazon EBS 磁碟區接收資料。最多可能需要 12 小時才會產生問題清單和最佳化建議。然後,最多可能需要 48 小時才能在 中檢視您的結果 Trusted Advisor ,以進行下列檢查:
[成本最佳化](cost-optimization-checks.md)
+ Amazon EBS 過度佈建的磁碟區
+ AWS Lambda 記憶體大小過度佈建的函數
[效能](performance-checks.md)
+ Amazon EBS 佈建不足的磁碟區
+ AWS Lambda 記憶體大小的佈建不足函數
**備註**
這些檢查的結果至少每天自動重新整理一次,不允許重新整理請求。變更可能需要幾個小時才會顯示。您可以使用 Trusted Advisor 主控台,從自動重新整理的檢查中排除資源。您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API,從 Trusted Advisor Priority 建議資源以外的任何檢查中排除資源。
Trusted Advisor 已經有未充分利用的 Amazon EBS 磁碟區和過度充分利用的 Amazon EBS 磁性磁碟區檢查。
使用 Compute Optimizer 選擇加入後,我們建議您改用新的 Amazon EBS 過度佈建磁碟區和 Amazon EBS 佈建不足磁碟區檢查。
## 相關資訊
如需詳細資訊,請參閱下列主題:
+ 在《*AWS Compute Optimizer 使用者指南*》中,[檢視 Amazon EBS 磁碟區建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-ebs-recommendations.html)
+ 在《*AWS Compute Optimizer 使用者指南*》中,[檢視 Lambda 函數建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-lambda-recommendations.html)
+ 在《*AWS Lambda 開發人員指南*》中,[設定 Lambda 函數記憶體](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-common.html#configuration-memory-console)
+ 《[Amazon EC2 使用者指南》中的請求修改 Amazon EBS 磁碟區](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requesting-ebs-volume-modifications.html) *Amazon EC2 *
# 開始使用 AWS Trusted Advisor Priority
Trusted Advisor Priority 可協助您保護和最佳化 AWS 帳戶 ,以遵循 AWS 最佳實務。透過 Trusted Advisor Priority, AWS 帳戶 您的團隊可以主動監控您的帳戶,並在發現機會時建立優先建議。
例如,您的 帳戶團隊可以識別 AWS 您的帳戶根使用者是否缺乏多重驗證 (MFA)。您的客戶團隊可以建立建議,讓您可以立即對檢查採取行動,例如 `MFA on Root Account`。建議會在 Trusted Advisor 主控台的 Trusted Advisor Priority 頁面上顯示為作用中的**優先建議**。接著您可以按照建議解決問題。
Trusted Advisor 優先順序建議來自這兩個來源:
+ AWS 服務 – AWS Security Hub CSPM Trusted Advisor、 和 AWS Well-Architected 等服務會自動建立建議。您的客戶團隊會與您分享這些建議,讓這些建議顯示在 Trusted Advisor Priority 中。
+ 您的客戶團隊 – 您的客戶團隊可以建立手動建議。
Trusted Advisor 優先順序可協助您專注於最重要的建議。您和您的客戶團隊可以監控建議生命週期,從您的客戶團隊分享建議,到您確認、解決或關閉建議。您可以使用 Trusted Advisor Priority 尋找組織中所有成員帳戶的建議。
**Topics**
+ [
## 先決條件
](#prerequisites-trusted-advisor-priority)
+ [
## 啟用 Trusted Advisor 優先順序
](#enable-trusted-advisor-priority)
+ [
## 檢視優先建議
](#viewing-priority-recommendations)
+ [
## 確認建議
](#acknowledge-recommendation)
+ [
## 關閉建議
](#dismiss-recommendation)
+ [
## 解決建議
](#resolving-recommendations)
+ [
## 重新開啟建議
](#reopen-recommendations)
+ [
## 下載建議詳細資訊
](#download-risk-details)
+ [
## 註冊委派的管理員
](#register-delegated-administrators)
+ [
## 取消註冊委派的管理員
](#deregister-delegated-administrators)
+ [
## 管理 Trusted Advisor 優先順序通知
](#trusted-advisor-priority-notifications)
+ [
## 停用 Trusted Advisor 優先順序
](#disable-trusted-advisor-priority)
## 先決條件
您必須符合下列需求,才能使用 Trusted Advisor Priority:
+ 您必須擁有 AWS Enterprise Support 或 AWS Unified Operations 計劃。
+ 您的帳戶必須是 AWS Organizations中啟用了所有功能的組織的一部分。如需詳細資訊,請參閱《*AWS Organizations 使用者指南*》中的[啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 您的組織必須已啟用 的受信任存取 Trusted Advisor。若要啟用受信任的存取權,請以管理帳戶登入。在 Trusted Advisor 主控台中開啟[您的組織](get-started-with-aws-trusted-advisor.md#preferences-trusted-advisor-console)頁面。
+ 您必須登入 AWS 您的帳戶,才能檢視帳戶的 Trusted Advisor 優先順序建議。
+ 您必須登入組織的管理帳戶或委派的管理員帳戶,才能檢視整個組織的彙總建議。如需如何註冊委派管理員帳戶的指示,請參閱 [註冊委派的管理員](#register-delegated-administrators)。
+ 您必須具有 AWS Identity and Access Management (IAM) 許可才能存取 Trusted Advisor Priority。如需如何控制 Trusted Advisor Priority 存取的資訊,請參閱 [管理對 的存取 AWS Trusted Advisor](security-trusted-advisor.md)和 [AWS 的 受管政策 AWS Trusted Advisor](aws-managed-policies-for-trusted-advisor.md)。
## 啟用 Trusted Advisor 優先順序
請洽詢您的客戶團隊來為您啟用此功能。您必須擁有 AWS Unified Operations 計劃,並且是組織的管理帳戶擁有者。如果主控台的 Trusted Advisor 優先順序頁面指出您需要信任的存取 AWS Organizations,請選擇**啟用信任的存取 AWS Organizations**。如需詳細資訊,請參閱 [先決條件](#prerequisites-trusted-advisor-priority) 一節。
## 檢視優先建議
在您的帳戶團隊為您啟用 Trusted Advisor Priority 之後,您可以檢視 AWS 帳戶的最新建議。
**若要檢視優先建議**
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在 **Trusted Advisor Priority** 頁面上,您可以檢視下列項目:
如果您使用的是 AWS Organizations 管理或委派管理員帳戶,請切換到**我的帳戶**索引標籤。
+ **需要採取行動** - 等待回應或進行中的建議數量。
+ **Overview** (概觀) - 下列資訊:
+ 過去 90 天內被關閉的建議
+ 過去 90 天內已解決的建議
+ 超過 30 天內沒有更新的建議
+ 解決建議的平均時間
1. 在**作用中**分頁上,**作用中的優先建議**會顯示您的客戶團隊為您優先處理的建議。**已關閉**標籤會顯示已解決或已關閉的建議。
1. 若要篩選結果,請使用下列選項:
+ **Recommendation** (建議) – 輸入關鍵字,按名稱搜尋。這可以是檢查名稱,或者是客戶團隊建立的自訂名稱。
+ **狀態** – 建議是處於等待回應、進行中、已關閉或已解決。
+ **Source** (來源) – 優先建議的來源。建議可以來自 AWS 服務、 AWS 帳戶 您的團隊或規劃的服務事件。
+ **Category** (類別) – 建議的類別,例如安全性或成本優化。
+ **Age** (時間) – 您的客戶團隊與您分享建議的時間。
1. 選擇建議以瞭解其詳細資訊、受影響的資源和建議行動。然後,您可以[確認](#acknowledge-recommendation)或[關閉](#dismiss-recommendation)建議。
**檢視 AWS 組織中所有帳戶的優先建議**
管理帳戶和 Trusted Advisor Priority 委派管理員都可以檢視整個組織彙總的建議。
**注意**
成員帳戶無法存取彙總建議。
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在 **Trusted Advisor Priority** 頁面上,確定您位於**我的組織**分頁上。
1. 若要檢視一個帳戶的建議,請在**從您的組織選取帳戶**下拉式清單中選取帳戶。或者,您也可以檢視所有帳戶的建議。
在**我的組織**分頁上,您可以檢視下列項目:
+ **需要採取行動:**組織間等待回應或進行中的建議數量。
+ **概觀:**顯示下列項目:
- 過去 90 天內關閉的建議。
- 過去 90 天內解決的建議。
- 超過 30 天內沒有更新的建議。
- 解決建議所需的平均時間。
1. 在**作用中**分頁下,**作用中的優先建議**區段會顯示您的客戶團隊為您優先處理的建議。**已關閉**標籤會顯示已解決或已關閉的建議。
若要篩選結果,請使用下列選項:
+ **Recommendation** (建議) – 輸入關鍵字,按名稱搜尋。這可以是檢查名稱,或者是客戶團隊建立的自訂名稱。
+ **狀態** – 建議是處於等待回應、進行中、已關閉或已解決。
+ **Source** (來源) – 優先建議的來源。建議可以來自 AWS 服務、 AWS 帳戶 您的團隊或規劃的服務事件。
+ **Category** (類別) – 建議的類別,例如安全性或成本優化。
+ **Age** (時間) – 您的客戶團隊與您分享建議的時間。
1. 選擇建議以瞭解其他詳細資訊、受影響的帳戶與資源,以及建議行動。然後,您可以[確認](#acknowledge-recommendation)或[關閉](#dismiss-recommendation)建議。
**Example : Trusted Advisor 優先順序建議**
下列範例會顯示正在等待回應的 15 個建議,以及在**需要採取行動**區段下進行中的 27 個建議。下圖顯示**作用中的優先建議**標籤中正在等待回應的兩個建議。
![\[Trusted Advisor Priority 主控台頁面上的建議摘要。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/ta-priority-recommendation-summary-4.png)
## 確認建議
在**作用中**標籤下,您可以進一步了解建議,然後決定是否要確認建議。
**若要確認建議**
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 如果您使用的是 AWS Organizations 管理或委派管理員帳戶,請切換到**我的帳戶**索引標籤。
1. 在 **Trusted Advisor Priority** 頁面的 **Active** (作用中) 索引標籤中,選擇建議名稱。
1. 在**詳細資訊**區段中,您可以檢閱解決建議的建議行動。
1. 在**受影響的資源**區段中,您可以檢閱受影響的資源並依*狀態*來篩選。
1. 選擇**確認**。
1. 在**確認建議**對話方塊中,選擇**確認**。
建議狀態會變更為 **In progress** (進行中)。進行中或待定的回應建議會顯示在 Trusted Advisor 優先順序頁面上的**作用中**索引標籤中。
1. 遵循建議的行動來解決建議。如需詳細資訊,請參閱[解決建議](#resolving-recommendations)。
**Example :來自 Trusted Advisor Priority 的手動建議**
以下影像顯示正在等待回應的**低利用率 EC2 執行個體**建議。
![\[在 Trusted Advisor Priority 主控台頁面上等待回應的建議。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/ta-priority-recommendation-example-3.png)
**確認 AWS 組織中所有帳戶的建議**
管理帳戶或 Trusted Advisor 委派管理員可以確認所有受影響帳戶的建議。
**注意**
成員帳戶無法存取彙總建議。
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在 **Trusted Advisor Priority** 頁面上,確定您位於**我的組織**分頁上。
1. 在**作用中**分頁中,選取建議名稱。
1. 選擇**確認**。
1. 在**確認建議**對話方塊中,選擇**確認**。
建議狀態會變更為 **In progress** (進行中)。
1. 遵循建議的行動來解決建議。如需詳細資訊,請參閱[解決建議](#resolving-recommendations)。
1. 若要檢視建議詳細資訊,請選擇建議名稱。
您可以在**詳細資訊**區段中檢閱下列有關建議的資訊:
+ 建議**概觀**以及涵蓋要完成之建議動作的**詳細資訊**區段。
**狀態摘要**,顯示所有受影響帳戶的建議。
+ 在**受影響的帳戶**區段中,您可以檢閱所有帳戶中受影響的資源。您可以按照**帳號**和**狀態**來篩選。
+ 在**受影響的資源**區段中,您可以檢閱所有帳戶中受影響的資源。您可以按照**帳號**和**狀態**來篩選。
**Example :來自 Trusted Advisor Priority 的手動建議**
以下影像顯示正在等待回應的**低利用率 Amazon EC2 執行個體**建議。一個受影響的帳戶已確認該建議。另一個帳號正在等待回應,建議狀態為**待定回應**。
![\[在 Trusted Advisor Priority 主控台頁面上等待回應的建議。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/ta-priority-recommendation-all-example.png)
## 關閉建議
您也可以關閉建議。這意味著您確認建議,但無法解決該建議。如果建議與您的帳戶無關,您可以關閉該建議。例如,如果您有 AWS 帳戶 打算刪除的測試,則不需要遵循建議的動作。
**若要關閉建議**
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 如果您使用的是 AWS Organizations 管理或委派管理員帳戶,請切換到**我的帳戶**索引標籤。
1. 在 **Trusted Advisor Priority** 頁面的 **Active** (作用中) 索引標籤中,選擇建議名稱。
1. 在建議詳細資訊頁面上,檢閱有關受影響資源的資訊。
1. 如果此建議不適用於您的帳戶,請選擇**關閉**。
1. 在**關閉建議**對話方塊中,選取您無法解決該建議的原因。
1. (選用) 輸入詳述您關閉建議之原因的備註。如果您選擇**其他**,則必須在**備註**區段中輸入說明。
1. 選擇**關閉**。建議狀態會變更為**已關閉**,並顯示在 Trusted Advisor Priority 頁面上的 **Closed** 索引標籤中。
**關閉 AWS 組織中所有帳戶的建議**
管理帳戶或 Trusted Advisor Priority 的委派管理員可以關閉其所有帳戶的建議。
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在 Trusted Advisor 優先順序頁面上,確定您在**我的組織**索引標籤上。
1. 在**作用中**分頁中,選取建議名稱。
1. 如果此建議不適用於您的帳戶,那麼請選擇**關閉**。
1. 在**關閉建議**對話方塊中,選取您無法解決該建議的原因。
1. (選用) 輸入詳述您關閉建議之原因的備註。如果您選擇**其他**,那麼就必須在**備註**區段中輸入說明。
1. 選擇**關閉**。建議狀態會變更為**已關閉**。建議會顯示在 Trusted Advisor Priority 頁面上的 **Closed** 索引標籤中。
**注意**
您可以選擇建議名稱,然後選擇**檢視備註**以尋找關閉的原因。如果您的客戶團隊為您關閉了建議,其電子郵件地址會顯示在備註旁邊。
Trusted Advisor Priority 也會通知您的客戶團隊您已關閉建議。
**Example :從 Trusted Advisor Priority 中關閉建議**
以下範例顯示如何關閉建議。
![\[具有下拉式清單的對話方塊,用於在 Trusted Advisor Priority 中關閉建議。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/ta-priority-recommendation-dismiss-1.png)
## 解決建議
您在確認建議並完成建議的行動後,即可解決該建議。
**提示**
解決建議後,您便無法重新開啟該建議。如果您想稍後重新檢視該建議,請參閱[關閉建議](#dismiss-recommendation)。
**若要解決建議**
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在 Trusted Advisor 優先順序頁面上,確定您在**我的組織**索引標籤上。
1. 在 **Trusted Advisor Priority** 頁面中,選擇建議,然後選擇 **Resolve** (解決)。
1. 在**解決建議**對話方塊中,選擇**解決**。已解決的建議會出現在 Trusted Advisor Priority 頁面上的 **Closed** 索引標籤下。 Trusted Advisor Priority 會通知您的客戶團隊您已解決建議。
**解決 AWS 組織中所有帳戶的建議**
管理帳戶或 Trusted Advisor Priority 委派管理員可以解決其所有帳戶的建議。
**注意**
成員帳戶無法存取彙總建議。
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 如果您使用的是 AWS Organizations 管理或委派管理員帳戶,請切換到**我的帳戶**索引標籤。
1. 在**作用中**分頁中,選取建議名稱。
1. 如果建議不適用於您的帳戶,請選擇**解決**。
1. 在**解決建議**對話方塊中,選擇**解決**。已解決的建議會出現在 Trusted Advisor Priority 頁面上的 **Closed** 索引標籤下。 Trusted Advisor Priority 會通知您的客戶團隊您已解決建議。
**Example :來自 Trusted Advisor Priority 的手動建議**
以下範例顯示已解決的**低利用率 Amazon EC2 執行個體**建議。
![\[Priority Trusted Advisor 主控台頁面上已解決的建議。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/ta-priority-recommendation-example3.png)
## 重新開啟建議
關閉建議後,您或您的客戶團隊可以重新開啟該建議。
**若要重新開啟建議**
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 如果您使用的是 AWS Organizations 管理或委派管理員帳戶,請切換到**我的帳戶**索引標籤。
1. 在 **Trusted Advisor Priority** 頁面中,選擇 **Closed** (已關閉) 標籤。
1. 在**已關閉的建議**中,選取**已關閉**的建議,然後選擇**重新開啟**。
1. 在**重新開啟建議**對話方塊中,說明重新開啟建議的原因。
1. 選擇 **Reopen** (重新開啟)。建議狀態會變更為 **In progress** (進行中) 並出現在 **Active** (作用中) 標籤中。
**提示**
您可以選擇建議名稱,然後選擇**檢視備註**以尋找重新開啟的原因。如果您的客戶團隊為您重新開啟建議,其名稱會顯示在備註旁。
1. 按照建議詳細資訊中的步驟。
**為您 AWS 組織中的所有帳戶重新開啟建議**
管理帳戶或 Trusted Advisor Priority 委派管理員可以為其所有帳戶重新開啟建議。
**注意**
成員帳戶無法存取彙總建議。
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在 Trusted Advisor 優先順序頁面上,確定您在**我的組織**索引標籤上。
1. 在**已關閉的建議**中,選取**已關閉**的建議,然後選擇**重新開啟**。
1. 在**重新開啟建議**對話方塊中,說明重新開啟建議的原因。
1. 選擇 **Reopen** (重新開啟)。建議狀態會變更為 **In progress** (進行中) 並出現在 **Active** (作用中) 標籤中。
**提示**
您可以選擇建議名稱,然後選擇**檢視備註**以尋找重新開啟的原因。如果您的客戶團隊為您重新開啟建議,其名稱會顯示在備註旁。
1. 按照建議詳細資訊中的步驟。
**Example :從 Trusted Advisor Priority 重新開啟建議**
以下範例顯示您要重新開啟的建議。
![\[重新開啟 Trusted Advisor Priority 中建議的對話方塊。\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/ta-priority-recommendation-reopen-2.png)
## 下載建議詳細資訊
您還可以從 Trusted Advisor 優先權中下載優先建議的結果。
**注意**
目前,一次只能下載一個建議。
**若要下載建議**
1. 在 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home) 登入 Trusted Advisor 主控台。
1. 在 **Trusted Advisor Priority** 頁面中,選取建議,然後選擇 **Download** (下載)。
1. 開啟檔案以檢視建議的詳細資訊。
## 註冊委派的管理員
您可以將屬於組織的成員帳戶新增為委派管理員。委派的管理員帳戶可以在 Trusted Advisor Priority 中檢閱、確認、解決、關閉和重新開啟建議。
註冊帳戶後,您必須授予委派管理員存取 Trusted Advisor Priority 所需的 AWS Identity and Access Management 許可。如需詳細資訊,請參閱[管理對 的存取 AWS Trusted Advisor](security-trusted-advisor.md)及[AWS 的 受管政策 AWS Trusted Advisor](aws-managed-policies-for-trusted-advisor.md)。
您可以註冊最多五個成員帳戶。只有管理帳戶可以為組織新增委派管理員。您必須登入組織的管理帳戶,才能註冊或取消註冊委派管理員。
**註冊 委派管理員**
1. 以管理帳戶身分登入 Trusted Advisor 主控台,網址為 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home)。
1. 在導覽窗格的 **Preferences** (偏好設定) 中,選擇 **Your organization** (您的組織)。
1. 在 **Delegated administrator** (委派的管理員) 下,選擇 **Register new account** (註冊新帳戶)。
1. 在對話方塊中,輸入成員帳戶 ID,然後選擇 **Register** (註冊)。
1. (選用) 若要取消註冊帳戶,請選取帳戶並選擇 **Deregister** (取消註冊)。在對話方塊中,再次選擇 **Deregister** (取消註冊)。
## 取消註冊委派的管理員
當您取消註冊成員帳戶時,該帳戶將不再擁有與管理帳戶相同的 Trusted Advisor Priority 存取權。不再委派管理員的帳戶不會收到來自 Trusted Advisor Priority 的電子郵件通知。
**取消註冊 的委派管理員**
1. 以管理帳戶身分登入 Trusted Advisor 主控台,網址為 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home)。
1. 在導覽窗格的 **Preferences** (偏好設定) 中,選擇 **Your organization** (您的組織)。
1. 在**委派管理員**下,選取帳戶,然後選擇**取消註冊**。
1. 在對話方塊中,選擇 **Deregister** (取消註冊)。
## 管理 Trusted Advisor 優先順序通知
Trusted Advisor Priority 透過電子郵件傳送通知。此電子郵件通知包含您的客戶團隊為您優先處理的建議摘要。您可以指定從 Trusted Advisor Priority 接收更新的頻率。
如果您將成員帳戶註冊為委派管理員,他們也可以設定其帳戶來接收 Trusted Advisor Priority 電子郵件通知。
Trusted Advisor 優先順序電子郵件通知不包含個別帳戶的檢查結果,並與每週 Trusted Advisor 建議通知分開。如需詳細資訊,請參閱[設定通知偏好設定](get-started-with-aws-trusted-advisor.md#notification-preferences)。
**注意**
只有管理帳戶或委派管理員可以設定 Trusted Advisor 優先順序電子郵件通知。
**管理 Trusted Advisor 優先順序通知**
1. 登入 Trusted Advisor 主控台,網址為 https://[https://console.aws.amazon.com/trustedadvisor/home](https://console.aws.amazon.com/trustedadvisor/home)。
1. 在導覽窗格中,在 **Preferences** (偏好設定) 之下,選擇 **Notifications** (通知)。
1. 在 ** Priority** 下,您可以選取下列選項。
1. **Daily** (每日) - 每天收到電子郵件通知。
1. **Weekly** (每週) - 每週收到一次電子郵件通知。
1. 選擇要接收的通知:
+ 優先建議摘要
+ 解決日期
1. 對於**收件人**,選取要接收電子郵件通知的其他聯絡人。您可以從 AWS 帳單與成本管理 主控台[的帳戶設定](https://console.aws.amazon.com/billing/home#/account)頁面新增和移除聯絡人。
1. 對於 **Language** (語言),選擇電子郵件通知的語言。
1. 選擇 **Save your preferences** (儲存喜好設定)。
**注意**
Trusted Advisor Priority 從noreply@notifications.trustedadvisor.us-west-2.amazonaws.com地址傳送電子郵件通知。您可能需要確認您的電子郵件用戶端不會將這些電子郵件識別為垃圾郵件。
## 停用 Trusted Advisor 優先順序
請聯絡您的客戶團隊,請他們為您停用此功能。停用此功能後,優先建議不會再出現在 Trusted Advisor 主控台中。
如果您停用 Trusted Advisor Priority,稍後再次啟用它,您仍然可以檢視帳戶團隊在停用 Trusted Advisor Priority 之前傳送的建議。
# AWS Trusted Advisor 檢查參考
**重要**
終止支援通知:開發人員支援將於 2027 年 1 月 1 日終止。擁有開發人員支援的客戶可以繼續使用其現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
支援結束通知:商業支援將於 2027 年 1 月 1 日終止。擁有 Business Support 的客戶可以繼續使用現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\$1。Business Support\$1 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\$1 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
終止支援通知:2027 年 1 月 1 日, AWS 將停止 Enterprise On-Ramp。在整個 2026 年,Enterprise On-Ramp 客戶將在合約續約期間或定期批次期間自動升級至 AWS Enterprise Support。客戶將在升級前一個月收到電子郵件通知。無需採取進一步動作。Enterprise Support 提供指定的 TAM 指派、15 分鐘的回應時間,並且可免費 AWS 安全事件應變 使用,而且最低 5,000 美元 (從 15,000 美元減少)。如需詳細資訊,請參閱[AWS 企業 支援 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/enterprise/)。
如需詳細資訊,請參閱[開發人員、商業和企業延遲結束支援](support-plans-eos.md)。
開發人員支援、商業支援和 Enterprise On-Ramp 仍可在 AWS GovCloud (US) 區域中使用。
您可以在下列參考中檢視所有 Trusted Advisor 檢查名稱、描述和 IDs。您也可登入 [Trusted Advisor](https://console.aws.amazon.com/trustedadvisor) 主控台,檢視有關檢查、建議的動作及狀態的詳細資訊。
如果您有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃,您也可以使用 [AWS Trusted Advisor API](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/Welcome.html) 和 AWS Command Line Interface (AWS CLI) 來存取您的檢查。如需詳細資訊,請參閱下列主題:
+ [開始使用 Trusted Advisor API](trustedadvisor.md)
+ [AWS Trusted Advisor API 參考](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/Welcome.html)
**注意**
如果您有基本支援或開發人員支援計劃,您可以使用 Trusted Advisor 主控台存取 [服務限制](service-limits.md)類別中的所有檢查,以及 安全性和容錯能力類別中的下列檢查:
[Amazon EBS 公有快照](security-checks.md#amazon-ebs-public-snapshots)
[Amazon RDS 公有快照](security-checks.md#amazon-rds-public-snapshots)
[Amazon S3 儲存貯體許可](security-checks.md#amazon-s3-bucket-permissions)
[根帳戶的 MFA](security-checks.md#mfa-root-account)
[安全群組-— 不受限制的特定連接埠](security-checks.md#security-groups-specific-ports-unrestricted)
[AWS STS 跨 的全域端點用量 AWS 區域](fault-tolerance-checks.md#sts-global-endpoint)
**Topics**
+ [
# 成本最佳化
](cost-optimization-checks.md)
+ [
# 效能
](performance-checks.md)
+ [
# 安全
](security-checks.md)
+ [
# 容錯能力
](fault-tolerance-checks.md)
+ [
# 服務限制
](service-limits.md)
+ [
# 營運卓越
](operational-excellence-checks.md)
# 成本最佳化
您可以針對成本最佳化類別使用下列檢查。
**Contents**
+ [
## AWS 帳戶 不屬於 AWS Organizations
](#account-not-part-of-organizations)
+ [
## 資料庫叢集儲存體的 Amazon Aurora 成本最佳化建議
](#aurora-cost-opt-db-cluster-storage)
+ [
## Amazon Comprehend 未充分利用的端點
](#amazon-comprehend-underutilized-endpoints)
+ [
## Amazon DynamoDB 預留容量購買建議
](#dynamodb-reserved-capacity-purchase-rec)
+ [
## 磁碟區的 Amazon EBS 成本最佳化建議
](#ebs-cost-opt-for-volumes)
+ [
## Amazon EBS 過度佈建的磁碟區
](#amazon-ebs-over-provisioned-volumes)
+ [
## Amazon EC2 Auto Scaling 群組的 Amazon EC2 成本最佳化建議
](#ec2-cost-opt-for-autoscaling)
+ [
## 執行個體的 Amazon EC2 成本最佳化建議
](#ec2-cost-opt-for-instances)
+ [
## Microsoft SQL 伺服器的 Amazon EC2 執行個體合併
](#ec2-instances-consolidation-sql-server)
+ [
## Microsoft SQL 伺服器過度佈建的 Amazon EC2 執行個體
](#ec2-instance-over-provisioned-microsoft-sql-server)
+ [
## Amazon EC2 執行個體已停止
](#ec2-instance-stopped-for-thirty-days)
+ [
## Amazon EC2 預留執行個體租用過期
](#amazon-ec2-reserved-instances-lease-expiration)
+ [
## Amazon EC2 預留執行個體最佳化
](#amazon-ec2-reserved-instances-optimization)
+ [
## 未設定生命週期政策的 Amazon ECR 儲存庫
](#amazon-ecr-repository-without-lifecycle-policy)
+ [
## Amazon ElastiCache 預留節點購買建議
](#elasticache-reserved-node-purchase-recommendations)
+ [
## AWS Fargate Amazon ECS 的成本最佳化建議
](#fargate-cost-opt-for-ecs)
+ [
## Amazon MemoryDB 預留節點購買建議
](#memorydb-reserved-node-purchase-recommendations)
+ [
## Amazon OpenSearch Service 預留執行個體購買建議
](#os-ri-purchase-recommendations)
+ [
## 資料庫執行個體的 Amazon RDS 成本最佳化建議
](#rds-cost-opt-for-db-instances)
+ [
## 資料庫執行個體儲存體的 Amazon RDS 成本最佳化建議
](#rds-cost-opt-for-db-instance-storage)
+ [
## Amazon RDS 閒置資料庫執行個體
](#amazon-rds-idle-dbs-instances)
+ [
## Amazon RDS 預留執行個體購買建議
](#rds-ri-purchase-recommendations)
+ [
## Amazon Redshift 預留節點購買建議
](#redshift-reserved-node-purchase-recommendations)
+ [
## Amazon Route 53 延遲資源記錄集
](#amazon-route-53-latency-resource-record-sets)
+ [
## 已設定 Amazon S3 儲存貯體生命週期政策
](#amazon-s3-bucket-lifecycle-policy-configured)
+ [
## Amazon S3 未完成分段上傳中止組態
](#s3-incomplete-multipart-upload-abort-config)
+ [
## 已啟用版本功能的 Amazon S3 儲存貯體 (未設定生命週期政策)
](#amazon-s3-version-enabled-buckets-no-lifecycle-policy)
+ [
## AWS Lambda 函數的成本最佳化建議
](#lambda-cost-opt-for-functions)
+ [
## AWS Lambda 具有過多逾時的 函數
](#aws-lambda-functions-excessive-timeouts)
+ [
## AWS Lambda 具有高錯誤率的 函數
](#aws-lambda-functions-with-high-error-rates)
+ [
## AWS Lambda 記憶體大小過度佈建的函數
](#aws-lambda-over-provisioned-functions-memory-size)
+ [
## AWS Savings Plans 的運算購買建議
](#savings-plans-purchase-recommendations-compute)
+ [
## Amazon SageMaker AI 的AWS Savings Plans 購買建議
](#savings-plans-purchase-recommendations-sagemaker)
+ [
## AWS Well-Architected 成本最佳化的高風險問題
](#well-architected-high-risk-issues-cost-optimization)
+ [
## 閒置負載平衡器
](#idle-load-balancers)
+ [
## 閒置 NAT 閘道
](#idle-nat-gateways)
+ [
## 非作用中 AWS Network Firewall
](#inactive-network-firewall)
+ [
## 非作用中 VPC 介面端點
](#inactive-vpc-interface-endpoints)
+ [
## 非作用中閘道Load Balancer端點
](#inactive-gateway-load-balancer)
+ [
## 非作用中 NAT 閘道
](#inactive-nat-gateways)
+ [
## 低使用率 Amazon EC2 執行個體
](#low-utilization-amazon-ec2-instances)
+ [
## 無關聯彈性 IP 地址
](#unassociated-elastic-ip-addresses)
+ [
## 未充分利用的 Amazon EBS 磁碟區
](#underutilized-amazon-ebs-volumes)
+ [
## 利用率過低的 Amazon Redshift 叢集
](#underutilized-amazon-redshift-clusters)
## AWS 帳戶 不屬於 AWS Organizations
**Description**
檢查 是否 AWS 帳戶 屬於適當管理帳戶 AWS Organizations 下的一部分。
AWS Organizations 是一種帳戶管理服務,可將多個 AWS 帳戶合併為集中管理的組織。這可讓您集中結構帳戶以進行帳單合併,並在工作負載於 AWS擴展時實作擁有權與安全政策。
您可以使用 AWS Config 規則的 **MasterAccountId** 參數來指定管理帳戶 ID。
如需詳細資訊,請參閱[什麼是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz127`
**來源**
`AWS Config Managed Rule: account-part-of-organizations`
**警示條件**
黃色:此 AWS 帳戶不屬於 AWS Organizations。
**建議的動作**
新增此 AWS 帳戶做為 的一部分 AWS Organizations。
如需詳細資訊,請參閱[教學課程:建立和設定組織。](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 資料庫叢集儲存體的 Amazon Aurora 成本最佳化建議
**Description**
檢查您的 Amazon Aurora 資料庫叢集儲存組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr17n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:Aurora 資料庫叢集儲存體具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 Aurora 和 RDS 資料庫建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-rds-recommendations.html)
+ [Amazon Aurora 的建議](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/monitoring-recommendations.html)
+ [Amazon Aurora 的設定](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon Comprehend 未充分利用的端點
**Description**
檢查端點的輸送量組態。此檢查會在端點未主動用於即時推論請求時提醒您。系統會將超過連續 15 天未使用的端點視為未充分利用。所有端點都會根據設定的輸送量以及端點處於作用中的時間長度計費。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Cm24dfsM12`
**警示條件**
黃色:端點處於作用中狀態,但在過去 15 天其未用於即時推論請求。
**建議的動作**
如果過去 15 天未使用過該端點,建議您使用 [Application Auto Scaling](https://docs.aws.amazon.com/comprehend/latest/dg/comprehend-autoscaling.html) 定義資源的擴展政策。
如果端點已有定義的擴展政策,而且端點在過去 30 天內未使用,請考慮刪除該端點並使用非同步推論。如需詳細資訊,請參閱 [Deleting an endpoint with Amazon Comprehend](https://docs.aws.amazon.com/comprehend/latest/dg/manage-endpoints-delete.html) (使用 Amazon Comprehend 刪除端點)。
**報告欄位**
+ 狀態
+ 區域
+ 端點 ARN
+ 已佈建的推論單元
+ AutoScaling 狀態
+ Reason
+ 上次更新時間
## Amazon DynamoDB 預留容量購買建議
**Description**
檢查您的 Amazon DynamoDB 使用模式,並透過預留容量購買提供潛在節省成本的建議。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr15n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有由 DynamoDB 的 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [DynamoDB 預留容量](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/reserved-capacity.html)
+ [存取保留建議](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [Amazon DynamoDB 預留容量](https://aws.amazon.com/dynamodb/reserved-capacity/)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## 磁碟區的 Amazon EBS 成本最佳化建議
**Description**
檢查您的 Amazon EBS 磁碟區組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr02n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:EBS 磁碟區具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 Amazon EBS 磁碟區建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-ebs-recommendations.html)
+ [EBS 磁碟區指標](https://docs.aws.amazon.com/compute-optimizer/latest/ug/ebs-metrics-analyzed.html)
+ [Amazon EBS 磁碟區類型](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-volume-types.html)
+ [請求 Amazon EBS 磁碟區修改](https://docs.aws.amazon.com/ebs/latest/userguide/requesting-ebs-volume-modifications.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon EBS 過度佈建的磁碟區
**Description**
這是舊版檢查。建議使用提供其他自訂建議的新檢查 (檢查 ID:[c1z7kmr02n](#ebs-cost-opt-for-volumes))。
檢查回顧期間在任何時間執行的 Amazon Elastic Block Store (Amazon EBS) 磁碟區。此檢查會提醒您注意工作負載 EBS 磁碟區過度佈建的情形。當您擁有過度佈建的磁碟區時,您需要為未使用的資源付費。雖然某些案例的本質可能會導致最佳化降低,但通常可以透過變更 EBS 磁碟區的組態來降低成本。預估每月節省成本是根據 EBS 磁碟區的目前使用率計算得出。如果磁碟區整個月都不存在,實際節省成本會有所不同。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`COr6dfpM03`
**警示條件**
黃色:回顧期間過度佈建的 EBS 磁碟區。若要判斷磁碟區是否過度佈建,我們會考慮所有預設 CloudWatch 指標 (包括 IOPS 和輸送量)。用於識別過度佈建 EBS 磁碟區的演算法遵循 AWS 最佳實務。找出新的模式時,該演算法會更新。
**建議的動作**
請考慮縮減低使用率磁碟區的大小。
如需詳細資訊,請參閱[選擇加入 AWS Compute Optimizer Trusted Advisor 檢查](compute-optimizer-with-trusted-advisor.md)。
**報告欄位**
+ 狀態
+ 區域
+ 磁碟區 ID
+ 磁碟區類型
+ 磁碟區大小 (GB)
+ 磁碟區基準 IOPS
+ 磁碟區高載 IOPS
+ 磁碟區高載輸送量
+ 建議的磁碟區類型
+ 建議的磁碟區大小 (GB)
+ 建議的磁碟區基準 IOPS
+ 建議的磁碟區高載 IOPS
+ 建議的磁碟區基準輸送量
+ 建議的磁碟區高載輸送量
+ 回顧期間 (天)
+ 成本節省機會 (%)
+ 預估每月節省成本
+ 預估每月節省成本貨幣
+ 上次更新時間
## Amazon EC2 Auto Scaling 群組的 Amazon EC2 成本最佳化建議
**Description**
檢查您的 Amazon EC2 Auto Scaling 群組組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr01n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:Amazon EC2 Auto Scaling 群組具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 Amazon EC2 Auto Scaling 磁碟區建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-asg-recommendations.html)
+ [Amazon EC2 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-groups.html)
+ [什麼是 Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## 執行個體的 Amazon EC2 成本最佳化建議
**Description**
檢查您的 Amazon EC2 執行個體組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr00n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:EC2 執行個體具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 EC2 執行個體建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-ec2-recommendations.html)
+ [EC2 執行個體指標](https://docs.aws.amazon.com/compute-optimizer/latest/ug/ec2-metrics-analyzed.html)
+ [Amazon EC2 執行個體類型變更](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Microsoft SQL 伺服器的 Amazon EC2 執行個體合併
**Description**
檢查過去 24 小時內執行 SQL 伺服器的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。如果您的執行個體少於 SQL 伺服器授權的最小數量,這項檢查會提醒您。依據《Microsoft SQL Server 授權指南》,即使一個執行個體只有 1 個或 2 個 vCPU,您仍需支付 4 個 vCPUs 授權。您可以合併較小的 SQL 伺服器執行個體,以協助降低成本。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Qsdfp3A4L2`
**警示條件**
黃色:使用 SQL Server 的執行個體擁有的 vCPU 是少於 4 個。
**建議的動作**
考慮將較小的 SQL Server 工作負載合併到至少具有四個 vCPUs執行個體。
**其他資源**
+ [將 Microsoft SQL Server 遷移至 AWS](https://aws.amazon.com/sql/)
+ [上的 Microsoft 授權 AWS](https://aws.amazon.com/windows/resources/licensing/)
+ [Microsoft SQL Server 授權指南](https://www.microsoft.com/en-us/sql-server/sql-server-2019-pricing)
**報告欄位**
+ 狀態
+ 區域
+ 執行個體 ID
+ 執行個體類型
+ vCPU
+ vCPU 數量下限
+ SQL Server 版本
+ 上次更新時間
## Microsoft SQL 伺服器過度佈建的 Amazon EC2 執行個體
**Description**
檢查過去 24 小時內執行 SQL 伺服器的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。SQL 伺服器資料庫對每個執行個體都有運算容量限制。具有 SQL 伺服器標準版的執行個體最多可以使用 48 個 vCPUs。具有 SQL 伺服器 Web 版的執行個體最多可以使用 32 個 vCPUs。此檢查會在執行個體超過此 vCPU 限制時發出提醒。
如果您的執行個體過度佈建,則您會支付全額價格卻無法感受到效能提升。您可以管理執行個體的數量和大小,以協助降低成本。
預估每月節省成本是根據相同的執行個體系列搭配 SQL Server 執行個體可以使用的 vCPUs 數量上限以及隨需定價計算得出。如果您使用預留執行個體 (RI) 或是如果執行個體一整天都沒有執行,則實際節省的成本將有所不同。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Qsdfp3A4L1`
**警示條件**
+ 紅色:使用 SQL Server Standard 版的執行個體擁有的 vCPU 數量超過 48 個。
+ 紅色:使用 SQL Server Web 版的執行個體擁有的 vCPU 數量超過 32 個。
**建議的動作**
如果是 SQL Server Standard 版,請考慮變更為使用具有 48 個 vCPU 的相同執行個體系列中的執行個體。如果是 SQL Server Web 版,請考慮變更為使用具有 32 個 vCPU 的相同執行個體系列中的執行個體。如果需要大量記憶體,請考慮變更為使用記憶體最佳化 R5 執行個體。如需詳細資訊,請參閱 [Best Practices for Deploying Microsoft SQL Server on Amazon EC2](https://docs.aws.amazon.com/prescriptive-guidance/latest/sql-server-ec2-best-practices/welcome.html) (《Amazon EC2 上部署 Microsoft SQL Server 的最佳實務》。
**其他資源**
+ [將 Microsoft SQL Server 遷移至 AWS](https://aws.amazon.com/sql)
+ 您可以使用 [Launch Wizard](https://aws.amazon.com/launchwizard) 來簡化您在 EC2 上的 SQL Server 部署。
**報告欄位**
+ 狀態
+ 區域
+ 執行個體 ID
+ 執行個體類型
+ vCPU
+ SQL Server 版本
+ vCPU 數量上限
+ 建議的執行個體類型
+ 預估每月節省成本
+ 上次更新時間
## Amazon EC2 執行個體已停止
**Description**
檢查是否有已停止超過 30 天的 Amazon EC2 執行個體。
您可以在 AWS Config 參數的 **AllowedDays** 中指定允許的天數值。
如需詳細資訊,請參閱[當我所有的執行個體終止時,為何會向我收取 Amazon EC2 的費用?](https://repost.aws/knowledge-center/ec2-billing-terminated)
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz150`
**來源**
`AWS Config Managed Rule: ec2-stopped-instance `
**警示條件**
+ 黃色:有 Amazon EC2 執行個體已停止超過允許的天數。
**建議的動作**
檢閱已停止 30 天以上的 Amazon EC2 執行個體。為避免產生不必要的成本,請終止任何不再需要的執行個體。
如需詳細資訊,請參閱[終止您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html)。
**其他資源**
+ [Amazon EC2 隨需定價](https://aws.amazon.com/ec2/pricing/on-demand/)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EC2 預留執行個體租用過期
**Description**
排定在未來 30 天內過期,或已在過去 30 天內過期的 Amazon EC2 預留執行個體檢查。
預留執行個體不會自動續約。您可以繼續使用保留所涵蓋的 Amazon EC2 執行個體而無須中斷,但需支付依隨需費率計費的費用。新的預留執行個體可以具有與過期參數相同的參數,也可以購買具有不同參數的預留執行個體。
預估每月節省成本是在使用相同執行個體類型的情況下,使用隨需和預留執行個體費率間的差異。
**檢查 ID**
`1e93e4c0b5`
**警示條件**
+ 黃色:預留執行個體的租賃將在 30 天後到期。
+ 黃色:預留執行個體的租賃已在 30 天前到期。
**建議的動作**
請考慮購買新的預留執行個體來取代即將到期的預留執行個體。如需詳細資訊,請參閱[如何購買預留執行個體](https://aws.amazon.com/ec2/purchasing-options/reserved-instances/buyer/)和[購買預留執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-concepts-buying.html)。
**其他資源**
+ [預留執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts-on-demand-reserved-instances.html)
+ [執行個體類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html)
**報告欄位**
+ 狀態
+ 區域
+ 執行個體類型
+ 平台
+ 執行個體計數
+ 目前每月成本
+ 預估每月節省成本
+ 到期日期
+ 預留執行個體 ID
+ Reason
## Amazon EC2 預留執行個體最佳化
**Description**
使用 的重要部分 AWS 包括平衡預留執行個體 (RI) 購買與隨需執行個體用量。此檢查提供建議,說明哪些 RI 有助於降低使用隨需執行個體所產生的成本。
我們會分析過去 30 天內的隨需用量,用於建立這些建議。接著我們將用量分類為符合資格的保留類別。我們會在產生的用量類別中模擬每個保留組合,藉此識別每種 RI 類別的建議購買數量。這個模擬和最佳化過程讓我們能最大限度地節省您的成本。此檢查涵蓋以標準預留執行個體為基礎的建議,並提供部分預付款選項。
此檢查不適用於合併帳單的連結帳戶。此檢查的建議僅適用於付款帳戶。
**檢查 ID**
`cX3c2R1chu`
**警示條件**
黃色:最佳化部分預付預留執行個體的使用有助於降低成本。
**建議的動作**
請參閱 [Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) 頁面以取得更詳細的自訂建議。此外,請參閱[購買指南](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html#ri-market-buying-guide)了解如何購買預留執行個體以及可用的選項。
**其他資源**
+ 您可以在[此處](https://aws.amazon.com/ec2/pricing/reserved-instances/)找到有關預留執行個體及其如何為您節省成本的資訊。
+ 如需有關此建議的詳細資訊,請參閱《 Trusted Advisor 常見問題》中的[預留執行個體最佳化檢查問題](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/faqs/#Reserved_Instance_Optimization_Check_Questions)。
**報告欄位**
+ 區域
+ 執行個體類型
+ 平台
+ 建議購買的預留執行個體數量
+ 預期的預留執行個體平均使用率
+ 依建議操作後預估可節省的成本 (每月)
+ 預付預留執行個體成本
+ 預估預留執行個體成本 (每月)
+ 依建議購買預留執行個體後的預估隨需成本 (每月)
+ 預估實現收支平衡的時間 (月)
+ 回顧期間 (天)
+ 期限 (年)
## 未設定生命週期政策的 Amazon ECR 儲存庫
**Description**
檢查私有 Amazon ECR 儲存庫是否至少設定了一個生命週期政策。生命週期政策可讓您定義一組規則,以自動清理舊的或未使用的容器映像。這可讓您控制映像的生命週期管理、讓 Amazon ECR 儲存庫更有條理,並有助於降低整體儲存成本。
如需詳細資訊,請參閱[生命週期政策](https://docs.aws.amazon.com/AmazonECR/latest/userguide/LifecyclePolicies.html)。
**檢查 ID**
`c18d2gz128`
**來源**
`AWS Config Managed Rule: ecr-private-lifecycle-policy-configured`
**警示條件**
黃色:Amazon ECR 私有儲存庫沒有任何已設定的生命週期政策。
**建議的動作**
請考慮為您的私有 Amazon ECR 儲存庫建立至少一個生命週期政策。
如需詳細資訊,請參閱[建立生命週期政策](https://docs.aws.amazon.com/AmazonECR/latest/userguide/lp_creation.html)。
**其他資源**
+ [生命週期政策](https://docs.aws.amazon.com/AmazonECR/latest/userguide/LifecyclePolicies.html)。
+ [建立生命週期政策](https://docs.aws.amazon.com/AmazonECR/latest/userguide/lp_creation.html)。
+ [生命週期政策範例](https://docs.aws.amazon.com/AmazonECR/latest/userguide/lifecycle_policy_examples.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon ElastiCache 預留節點購買建議
**Description**
檢查您的 Amazon ElastiCache 使用模式,以提供透過預留節點購買節省潛在成本的建議。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr13n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有 Cost Optimization Hub for Amazon ElastiCache 所識別的成本節省動作。
**建議的動作**
考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html) 如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [預留節點](https://docs.aws.amazon.com/AmazonElastiCache/latest/dg/CacheNodes.Reserved.html)
+ [存取保留建議](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [Amazon ElastiCache 預留節點](https://aws.amazon.com/elasticache/reserved-cache-nodes/)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## AWS Fargate Amazon ECS 的成本最佳化建議
**Description**
檢查您的 AWS Fargate 是否有 Amazon ECS 組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr06n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
上的黃色:Amazon ECS 服務 AWS Fargate 具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [在 Fargate 建議上檢視 Amazon ECS 服務](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-ecs-recommendations.html)
+ [Fargate 上 Amazon ECS 服務的指標](https://docs.aws.amazon.com/compute-optimizer/latest/ug/ecs-fargate-metrics-analyzed.html)
+ [AWS Fargate 適用於 Amazon ECS 的](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html#fargate-task-sizing)
+ [使用主控台更新 Amazon ECS 服務](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon MemoryDB 預留節點購買建議
**Description**
檢查您的 Amazon MemoryDB 使用模式,以提供透過預留節點購買節省潛在成本的建議。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr16n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有 Cost Optimization Hub for MemoryDB 所識別的成本節省動作。
**建議的動作**
考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [MemoryDB 預留節點](https://docs.aws.amazon.com/memorydb/latest/devguide/nodes.reservednodes.html)
+ [存取保留建議](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [使用預留節點](https://docs.aws.amazon.com/memorydb/latest/devguide/reserved-nodes-working-with.html)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon OpenSearch Service 預留執行個體購買建議
**Description**
檢查您的 Amazon OpenSearch Service 使用模式,以提供透過預留執行個體 (RI) 購買節省潛在成本的建議。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr14n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有 Cost Optimization Hub for Amazon OpenSearch Service 所識別的成本節省動作。
**建議的動作**
考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [Amazon OpenSearch Service 中的預留執行個體](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ri.html)
+ [存取保留建議](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [購買預留執行個體 (AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ri-cli.html)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## 資料庫執行個體的 Amazon RDS 成本最佳化建議
**Description**
檢查您的 Amazon RDS 資料庫執行個體組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr03n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:RDS 資料庫執行個體具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 RDS 資料庫建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-rds-recommendations.html.html)
+ [RDS 資料庫指標](https://docs.aws.amazon.com/compute-optimizer/latest/ug/rds-metrics-analyzed.html)
+ [資料庫執行個體類別](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.DBInstanceClass.html)
+ [修改 Amazon RDS 資料庫執行個體 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## 資料庫執行個體儲存體的 Amazon RDS 成本最佳化建議
**Description**
檢查您的 Amazon RDS 資料庫執行個體儲存組態和使用模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr04n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:RDS 資料庫儲存體具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 RDS 資料庫建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-rds-recommendations.html)
+ [Amazon RDS 資料庫執行個體儲存體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Storage.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon RDS 閒置資料庫執行個體
**Description**
這是舊版檢查。建議使用提供其他自訂建議的新檢查 (檢查 ID:[c1z7kmr03n](#rds-cost-opt-for-db-instances))。
針對任何疑似閒置的資料庫 (DB) 執行個體,檢查 Amazon Relational Database Service (Amazon RDS) 的組態。
如果資料庫執行個體長時間沒有連線,您可以刪除執行個體以降低成本。如果執行個體在過去 7 天內沒有連線,系統便會將資料庫執行個體視為閒置。如果執行個體上的資料需要持久性儲存,您可以使用成本較低的選項,例如拍攝和保留資料庫快照。手動建立的資料庫快照會保留到您刪除為止。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`Ti39halfu8`
**警示條件**
黃色:作用中資料庫執行個體在過去 7 天內未有連線。
**建議的動作**
請考慮建立閒置資料庫執行個體的快照,然後停止或刪除該資料庫執行個體。停止資料庫執行個體可免除其部分成本,但不會免除儲存成本。已停止的執行個體會在設定的保留期間內保留所有自動備份。與刪除執行個體並僅保留最終快照相比,停止資料庫執行個體通常會產生額外費用。請參閱[暫時停止 Amazon RDS 執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_StopInstance.html)和[刪除具有最終快照的資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_DeleteInstance.html)。
**其他資源**
[備份與恢復](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_CommonTasks.BackupRestore.html)
**報告欄位**
+ 區域
+ 資料庫執行個體名稱
+ Multi-AZ
+ 執行個體類型
+ 已佈建的儲存空間 (GB)
+ 自上次連線以來的天數
+ 預估每月節省成本 (隨需)
## Amazon RDS 預留執行個體購買建議
**Description**
檢查您的 Amazon RDS 使用模式,以提供透過預留執行個體 (RI) 購買節省潛在成本的建議。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr11n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:EBS 磁碟區具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [Amazon RDS 的預留資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithReservedDBInstances.html)
+ [存取保留建議](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [購買 Amazon RDS 的預留資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithReservedDBInstances.WorkingWith.html)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon Redshift 預留節點購買建議
**Description**
檢查您的 Amazon Redshift 使用模式,以提供透過預留節點購買節省潛在成本的建議。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr12n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有由 Cost Optimization Hub for Amazon Redshift 識別的成本節省動作。
**建議的動作**
請考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [預留節點](https://docs.aws.amazon.com/redshift/latest/mgmt/purchase-reserved-node-instance.html)
+ [存取保留建議](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [購買預留節點](https://docs.aws.amazon.com/redshift/latest/mgmt/purchase-reserved-node-offering-console.html)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon Route 53 延遲資源記錄集
**Description**
檢查是否有設定效率低下的 Amazon Route 53 延遲記錄集。
若要允許 Amazon Route 53 將查詢路由到網路延遲最低 AWS 區域 的 ,您應該為不同區域中的特定網域名稱 (例如 example.com) 建立延遲資源紀錄集。如果您只為網域名稱建立一個延遲資源記錄集,則所有查詢都會路由到一個區域,而且您需為以延遲為基礎的路由額外付費,而不會獲得好處。
AWS 服務建立的託管區域不會出現在您的檢查結果中。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`51fC20e7I2`
**警示條件**
黃色:特定網域名稱僅設定有一個延遲資源記錄集。
**建議的動作**
如果您在多個區域擁有資源,請務必為每個區域定義一個延遲資源記錄集。請參閱[以延遲為基礎的路由](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html#routing-policy-latency)。
如果您只有一個資源 AWS 區域,請考慮在多個資源中建立資源, AWS 區域 並為每個資源定義延遲資源紀錄集;請參閱[以延遲為基礎的路由](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html#routing-policy-latency)。
如果您不想使用多個 AWS 區域,您應該使用簡單的資源紀錄集。請參閱[使用資源記錄集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)。
**其他資源**
+ 《[Amazon Route 53 開發人員指南](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/)》
+ [Amazon Route 53 定價](https://aws.amazon.com/route53/pricing/)
**報告欄位**
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 資源記錄集類型
## 已設定 Amazon S3 儲存貯體生命週期政策
**Description**
檢查 Amazon S3 儲存貯體是否設定了生命週期政策。Amazon S3 生命週期政策可確保儲存貯體內的 Amazon S3 物件在其整個生命週期內以具成本效益的方式儲存。對於滿足資料保留和儲存的法規要求而言,這一點非常重要。政策組態是一組定義由 Amazon S3 服務套用至物件群組之動作的規則。生命週期政策可讓您自動將物件轉換為成本較低的儲存類別,或隨著這些物件效齡增加而予以刪除。例如,您可以在建立物件的 30 天後將物件轉換為 Amazon S3 Standard-IA 儲存體,或在 1 年後轉換為 Amazon Glacier。
您也可以定義物件到期時間,讓 Amazon S3 在一段時間後代表您刪除物件。
您可以使用 AWS Config 規則中的參數來調整檢查組態
如需詳細資訊,請參閱[管理儲存生命週期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz100`
**來源**
`AWS Config Managed Rule: s3-lifecycle-policy-check`
**警示條件**
黃色:Amazon S3 儲存貯體沒有已設定的生命週期政策。
**建議的動作**
確保您在 Amazon S3 儲存貯體中設定了生命週期政策。
如果您的組織未準備保留政策,請考慮使用 Amazon S3 Intelligent-Tiering 來最佳化成本。
如需如何定義 Amazon S3 生命週期政策的相關資訊,請參閱[在儲存貯體上設定生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)。
如需 Amazon S3 Intelligent-Tiering 的相關資訊,請參閱 [Amazon S3 Intelligent-Tiering 儲存類別](https://aws.amazon.com/s3/storage-classes/intelligent-tiering/)
**其他資源**
[設定儲存貯體的生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)
[S3 生命週期組態範例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/lifecycle-configuration-examples.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
## Amazon S3 未完成分段上傳中止組態
**Description**
檢查每個 Amazon S3 儲存貯體是否已設定生命週期規則,以中止在 7 天後未完成的分段上傳。建議使用生命週期規則來中止這些不完整的上傳,並刪除相關聯的儲存。
此檢查的結果每天會自動重新整理一次或多次,不允許重新整理請求。變更可能需要幾個小時才會顯示。變更可能需要幾個小時才會顯示。對於商業、Enterprise On-Ramp 或 Enterprise Support 客戶,您可以使用 `BatchUpdateRecommendationResourceExclusion` API 從 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1cj39rr6v`
**警示條件**
黃色:生命週期組態儲存貯體不包含生命週期規則,以中止在 7 天後未完成的所有分段上傳。
**建議的動作**
檢閱沒有生命週期規則的儲存貯體生命週期組態,該規則會清除所有未完成的分段上傳。24 小時後未完成的上傳不太可能完成。[按一下此處](https://docs.aws.amazon.com/AmazonS3/latest/userguide/lifecycle-configuration-examples.html#lc-expire-mpu)以遵循建立生命週期規則的指示。建議將此套用至儲存貯體中的所有物件。如果您需要將其他生命週期動作套用至儲存貯體中的所選物件,則可以有多個具有不同篩選條件的規則。如需詳細資訊,請檢查儲存鏡頭儀表板或呼叫 ListMultipartUpload API。
**其他資源**
[建立生命週期組態 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html#lifecycle-config-overview-how)
[探索和刪除不完整的分段上傳以降低 Amazon S3 成本](https://aws.amazon.com/blogs/aws-cloud-financial-management/discovering-and-deleting-incomplete-multipart-uploads-to-lower-amazon-s3-costs/)
[使用分段上傳上傳和複製物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html)
[生命週期組態元素](https://docs.aws.amazon.com/AmazonS3/latest/userguide/intro-lifecycle-rules.html)
[描述生命週期動作的元素](https://docs.aws.amazon.com/AmazonS3/latest/userguide/intro-lifecycle-rules.html#intro-lifecycle-rules-actions)
[中止分段上傳的生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/lifecycle-configuration-examples.html#lc-expire-mpu)
**報告欄位**
+ 狀態
+ 區域
+ 儲存貯體名稱
+ 儲存貯體 ARN
+ 刪除不完整 MPU 的生命週期規則
+ 啟動後的天數
+ 上次更新時間
## 已啟用版本功能的 Amazon S3 儲存貯體 (未設定生命週期政策)
**Description**
檢查已啟用版本功能的 Amazon S3 儲存貯體是否設定了生命週期政策。
如需詳細資訊,請參閱[管理儲存生命週期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。
您可以在 AWS Config 規則中使用 **bucketNames** 參數來指定要檢查的儲存貯體名稱。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz171`
**來源**
`AWS Config Managed Rule: s3-version-lifecycle-policy-check`
**警示條件**
黃色:已啟用版本功能的 Amazon S3 儲存貯體沒有已設定的生命週期政策。
**建議的動作**
為 Amazon S3 儲存貯體設定生命週期政策以管理您的物件,使其在整個生命週期之中能以更符合成本效益的方式儲存。
如需詳細資訊,請參閱[在儲存貯體上設定生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)。
**其他資源**
[管理儲存生命週期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)
[設定儲存貯體的生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Lambda 函數的成本最佳化建議
**Description**
檢查您的 AWS Lambda 組態和用量模式,以提供潛在成本節省的建議。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr05n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:Lambda 函數具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
請考慮實作建議。建議是*AWS Cost Management 《 使用者指南*》中[了解成本最佳化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建議類型之一。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用 中的詳細建議 AWS Compute Optimizer ,了解這些變更對成本和效能的潛在影響。
**其他資源**
+ [檢視 Lambda 函數建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-lambda-recommendations.html)
+ [Lambda 函數指標](https://docs.aws.amazon.com/compute-optimizer/latest/ug/lambda-metrics-analyzed.html)
+ [設定 AWS Lambda 函數](https://docs.aws.amazon.com/lambda/latest/dg/lambda-functions.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## AWS Lambda 具有過多逾時的 函數
**Description**
檢查是否有 Lambda 函數具有高逾時率而可能導致高成本。
Lambda 費用是根據您函數的執行時間和請求數量計費。函數逾時導致的錯誤可能會引發重試。重試函數會產生額外的請求和執行時間費用。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`L4dfs2Q3C3`
**警示條件**
黃色:過去 7 天內,有任何一天由於逾時導致超過 10% 的叫用以錯誤結束的函數。
**建議的動作**
檢查函數記錄和 X-Ray 追蹤,找出函數高持續時間的貢獻來源。在相關部分 (例如 API 呼叫或資料庫連線之前或之後) 在程式碼中實作記錄。預設情況下, AWS SDK 用戶端逾時可能比設定的函數持續時間更長。調整 API 和 SDK 連線用戶端,以便在函數逾時內重試或失敗。如果預期的持續時間長於設定的逾時,您可以增加函數的逾時設定時長。如需詳細資訊,請參閱[監控與疑難排解 Lambda 應用程式](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html)。
**其他資源**
+ [監控與疑難排解 Lambda 應用程式](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html)
+ [Lambda 函數重試逾時 SDK](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-retry-timeout-sdk/)
+ [AWS Lambda 搭配 使用 AWS X-Ray](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html)
+ [存取 的 Amazon CloudWatch logs AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-cloudwatchlogs.html)
+ [的錯誤處理器範例應用程式 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/samples-errorprocessor.html)
**報告欄位**
+ 狀態
+ 區域
+ 函數 ARN
+ 每日逾時率上限
+ 達到每日逾時率上限的日期
+ 平均每日逾時率
+ 函數逾時設定 (毫秒)
+ 每日損失的運算成本
+ 平均每日叫用次數
+ 當日叫用次數
+ 當日逾時率
+ 上次更新時間
## AWS Lambda 具有高錯誤率的 函數
**Description**
檢查是否有 Lambda 函數具有高錯誤率而可能導致成本較高。
Lambda 費用是根據您函數的請求數量和彙總執行時間計費。函數錯誤可能會導致重試,而產生額外費用。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`L4dfs2Q3C2`
**警示條件**
黃色:過去 7 天內,有任何一天有超過 10% 的叫用以錯誤結束的函數。
**建議的動作**
請考慮遵循下列指南,以減少錯誤。函數錯誤包含函式程式碼所傳回的錯誤,以及函式執行階段所傳回的錯誤。
為了協助您疑難排解 Lambda 錯誤,Lambda 會與 Amazon CloudWatch 和 等服務整合 AWS X-Ray。您可以組合使用日誌、指標、警示及 X-Ray 追蹤,快速偵測及識別您的函數程式碼、API 或其他支援您應用程式的資源中的問題。如需詳細資訊,請參閱[監控與疑難排解 Lambda 應用程式](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html)。
如需有關使用特定執行階段處理錯誤的詳細資訊,請參閱 [AWS Lambda中錯誤處理和自動重試](https://docs.aws.amazon.com/lambda/latest/dg/invocation-retries.html)。
如需其他疑難排解,請參閱[針對 Lambda 中的問題進行疑難排解](https://docs.aws.amazon.com/lambda/latest/dg/lambda-troubleshooting.html)。
您也可以從 AWS Lambda 合作夥伴提供的監控和可觀測性工具生態系統中進行選擇。如需詳細資訊,請參閱 [AWS Lambda 合作夥伴](https://aws.amazon.com/lambda/partners/?partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc)。
**其他資源**
+ [AWS Lambda中錯誤處理和自動重試](https://docs.aws.amazon.com/lambda/latest/dg/invocation-retries.html)
+ [監控與疑難排解 Lambda 應用程式](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html)
+ [Lambda 函數重試逾時 SDK](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-retry-timeout-sdk/)
+ [針對 Lambda 中的問題進行疑難排解](https://docs.aws.amazon.com/lambda/latest/dg/lambda-troubleshooting.html)
+ [API 叫用錯誤](https://docs.aws.amazon.com/lambda/latest/dg/API_Invoke.html#API_Invoke_Errors)
+ [的錯誤處理器範例應用程式 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/samples-errorprocessor.html)
**報告欄位**
+ 狀態
+ 區域
+ 函數 ARN
+ 每日錯誤率上限
+ 達到最大錯誤率的日期
+ 平均每日錯誤率
+ 每日損失的運算成本
+ 當日叫用次數
+ 當日錯誤率
+ \$1平均每日調用
+ 上次更新時間
## AWS Lambda 記憶體大小過度佈建的函數
**Description**
這是舊版檢查。建議使用提供其他自訂建議的新檢查 (檢查 ID:[c1z7kmr05n](#lambda-cost-opt-for-functions))。
檢查在回顧期間至少調用一次的 AWS Lambda 函數。此檢查會提醒您任何 Lambda 函數在記憶體大小過度佈建的情形。如果您的 Lambda 函數在記憶體大小過度佈建,則需要為未使用的資源付費。雖然某些案例的本質可能會導致使用率低,但通常可以透過變更 Lambda 函數的記憶體組態來降低成本。預估每月節省成本是根據 Lambda 函數的目前使用率計算得出。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`COr6dfpM05`
**警示條件**
黃色:在回顧期間記憶體大小過度佈建的 Lambda 函數。若要判斷 Lambda 函數是否過度佈建,我們會考慮該函數的所有預設 CloudWatch 指標。用於識別記憶體大小過度佈建的 Lambda 函數的演算法是依據 AWS 最佳實務。找出新的模式時,該演算法會更新。
**建議的動作**
請考慮縮減 Lambda 函數的記憶體大小。
如需詳細資訊,請參閱[選擇加入 AWS Compute Optimizer Trusted Advisor 檢查](compute-optimizer-with-trusted-advisor.md)。
**報告欄位**
+ 狀態
+ 區域
+ 函數名稱
+ 函數版本
+ 記憶體大小 (MB)
+ 建議的記憶體大小 (MB)
+ 回顧期間 (天)
+ 成本節省機會 (%)
+ 預估每月節省成本
+ 預估每月節省成本貨幣
+ 上次更新時間
## AWS Savings Plans 的運算購買建議
**Description**
檢查 Amazon EC2 的 AWS 運算用量模式 AWS Fargate,AWS Lambda 並提供 Savings Plans 購買建議。透過這些建議,您可以承諾每小時以美元為單位的一致用量,以換取折扣費率。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr09n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有由 Cost Optimization Hub 為運算資源識別的成本節省動作。
**建議的動作**
請考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [什麼是 Savings Plans?](https://docs.aws.amazon.com/savingsplans/latest/userguide/what-is-savings-plans.html)
+ [Savings Plans 類型](https://docs.aws.amazon.com/savingsplans/latest/userguide/plan-types.html)
+ [購買 Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-purchase.html)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## Amazon SageMaker AI 的AWS Savings Plans 購買建議
**Description**
檢查您的 Amazon SageMaker AI 使用情況,並提供 Savings Plans 購買建議。透過這些建議,您可以承諾每小時以美元為單位的一致用量,以換取折扣費率。
此檢查[會在付款人帳戶的付款人範圍和連結帳戶的連結範圍內](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)產生建議。
Trusted Advisor 僅顯示來自 的最建議動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7kmr08n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:帳戶具有由 Cost Optimization Hub for Amazon SageMaker AI 識別的成本節省動作。
**建議的動作**
請考慮[實作建議](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。如需實作這些建議的詳細資訊,請參閱 AWS 雲端財務管理 (CFM) [服務成本最佳化手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [什麼是 Savings Plans?](https://docs.aws.amazon.com/savingsplans/latest/userguide/what-is-savings-plans.html)
+ [Savings Plans 類型](https://docs.aws.amazon.com/savingsplans/latest/userguide/plan-types.html)
+ [購買 Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-purchase.html)
**報告欄位**
+ 狀態
+ 區域
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## AWS Well-Architected 成本最佳化的高風險問題
**Description**
檢查成本最佳化支柱中,工作負載是否有高風險問題 (HRI)。這項檢查是以您的 AWS-Well Architected 檢閱為基礎。您的檢查結果取決於您是否使用 AWS Well-Architected 完成工作負載評估。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Wxdfp4B1L1`
**警示條件**
+ 紅色:在 AWS Well-Architected 的成本最佳化支柱中發現至少一個作用中的高風險問題。
+ 綠色:在 AWS Well-Architected 的成本最佳化支柱中未偵測到作用中的高風險問題。
**建議的動作**
AWS Well-Architected 在工作負載評估期間偵測到高風險問題。解決這些問題,可能有機會降低風險和節省成本。登入 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具,檢閱答案並採取行動,解決待處理的問題。
**報告欄位**
+ 狀態
+ 區域
+ 工作負載 ARN
+ 工作負載名稱
+ 檢閱者姓名
+ 工作負載類型
+ 工作負載開始日期
+ 工作負載上次修改日期
+ 成本最佳化方面已識別的高風險問題數量
+ 成本最佳化方面已解決的高風險問題數量
+ 成本最佳化方面已回答的問題數量
+ 成本最佳化支柱中的問題總數
+ 上次更新時間
## 閒置負載平衡器
**Description**
檢查 Elastic Load Balancing 組態是否有閒置的負載平衡器。
任何已設定的負載平衡器都會累積費用。如果負載平衡器沒有相關聯的後端執行個體,或者網路流量受到嚴重限制,便無法有效使用負載平衡器。這項檢查目前只會檢查 ELB 服務中的 Classic Load Balancer 類型。不包括其他 ELB 類型 (Application Load Balancer、Network Load Balancer)。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`hjLMh88uM8`
**警示條件**
+ 黃色:負載平衡器沒有作用中的後端執行個體。
+ 黃色:負載平衡器沒有運作良好的後端執行個體。
+ 黃色:在過去 7 天內,負載平衡器每天的請求數量少於 100 個。
**建議的動作**
如果您的負載平衡器沒有作用中的後端執行個體,請考慮註冊執行個體或刪除您的負載平衡器。請參閱[向 Load Balancer 註冊 Amazon EC2 執行個體](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/US_DeReg_Reg_Instances.html#RegisteringInstances)或[刪除負載平衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-getting-started.html#delete-load-balancer)。
如果您的負載平衡器沒有運作良好的後端執行個體,請參閱[疑難排解 Elastic Load Balancing:運作狀態檢查組態](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ts-elb-healthcheck.html)。
如果您的負載平衡器請求數量較低,請考慮刪除負載平衡器。請參閱[刪除負載平衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-getting-started.html#delete-load-balancer)。
**其他資源**
+ [管理負載平衡器](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/UserScenarios.html)
+ [疑難排解彈性負載平衡](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-troubleshooting.html)
**報告欄位**
+ 區域
+ 負載平衡器名稱
+ Reason
+ 預估每月節省成本
## 閒置 NAT 閘道
**Description**
檢查您的 NAT 閘道組態和使用模式,以識別可能是成本最佳化候選項目的閒置或未充分利用 NAT 閘道。
對於每個資源, Trusted Advisor 只會顯示從中建議的最佳動作 AWS 成本最佳化中心。
若要使用此檢查,您必須選擇加入 [Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html) 和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
**檢查 ID**
`c1z7kmr18n`
**來源**
`AWS 成本最佳化中心`
**警示條件**
黃色:NAT 閘道具有 Cost Optimization Hub 識別的成本節省動作。
**建議的動作**
考慮實作建議來刪除閒置 NAT 閘道。如需實作此建議的詳細資訊,請參閱 AWS Cloud Financial Management [Service Cost Optimization 手冊](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他資源**
+ [檢視閒置資源建議](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-idle-recommendations.html)
+ [使用 NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-working-with.html)
+ [NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)
**報告欄位**
+ 狀態
+ 區域
+ Resource ID (資源 ID)
+ 建議的動作
+ 目前資源摘要
+ 建議資源摘要
+ 預估每月成本
+ 預估每月節省成本
+ 上次重新整理時間戳記
## 非作用中 AWS Network Firewall
**Description**
檢查您的 AWS Network Firewall 端點,並在 Network Firewall 顯示為非作用中時提醒您。
如果 Network Firewall 的所有端點在過去 30 天內都未處理任何資料,則會將其視為非作用中。Network Firewall 端點會產生每小時費用。此檢查會提醒 Network Firewall 過去 30 天內未處理任何資料。最佳實務是移除未使用的網路防火牆或更新您的架構。
**檢查 ID**
`c2vlfg0bfw`
**警示條件**
+ 黃色:Network Firewall 在過去 30 天內處理 0 個位元組。
+ 綠色:Network Firewall 在過去 30 天內處理超過 0 個位元組。
**建議的動作**
如果在過去 30 天內未使用 Network Firewall,請考慮刪除 Network Firewall。
如果 Transit Gateway 用於 VPC 間通訊,請考慮在集中式網路檢查架構中部署網路防火牆。這可以減少非作用中網路防火牆的每小時費用。
**其他資源**
[AWS Network Firewall 定價](https://aws.amazon.com/network-firewall/pricing/)
[使用 檢查部署模型 AWS Network Firewall](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/inspection-deployment-models-with-AWS-network-firewall-ra.pdf)
**報告欄位**
+ 狀態
+ 區域
+ Network Firewall Arn
+ VPC ID
+ 子網路
+ TotalBytesProcessed
+ 上次更新時間
## 非作用中 VPC 介面端點
**Description**
檢查您的 VPC 介面端點,並在端點似乎處於非作用中狀態時提醒您。如果 VPC 介面端點在過去 30 天內未處理任何資料,則會將其視為非作用中。VPC 介面端點有每小時費用和資料處理成本。此檢查會提醒您有關 VPC 介面端點,其中包含過去 30 天內處理 0 個資料。最佳實務是移除未使用的 VPC 介面端點或更新您的架構。
**檢查 ID**
`c2vlfg0jp6`
**警示條件**
+ 黃色:VPC 介面端點在過去 30 天內已處理 0 個位元組。
+ 綠色:VPC 介面端點在過去 30 天內已處理超過 0 個位元組
**建議的動作**
如果在過去 30 天內未使用 VPC 介面端點,請考慮刪除 VPC 介面端點。
如果 Transit Gateway 用於 VPC 間通訊,請考慮在集中式架構中部署 VPC 介面端點,以減少非作用中 VPC 介面端點的每小時費用。
**其他資源**
+ [AWS PrivateLink 定價](https://aws.amazon.com/privatelink/pricing/)
+ [集中存取 VPC 私有端點](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html)
**報告欄位**
+ 狀態
+ 區域
+ VPC 端點 ID
+ VPC ID
+ 子網路 ID
+ 服務名稱
+ TotalBytesProcessed
+ 上次更新時間
## 非作用中閘道Load Balancer端點
**Description**
檢查您的 Gateway Load Balancer 端點,並在它們似乎處於非作用中狀態時發出警告。如果 Gateway Load Balancer 端點在過去 30 天內未處理任何資料,則視為未充分利用。Gateway Load Balancer 端點有每小時費用和資料處理費用。此檢查會提醒您閘道Load Balancer端點,其中包含過去 30 天內處理 0 個資料。建議您移除未使用的 Gateway Load Balancer 端點,或更新您的架構。
**檢查 ID**
`c2vlfg0k35`
**警示條件**
+ 黃色:Gateway Load Balancer 端點在過去 30 天內處理 0 個位元組
+ 綠色:Gateway Load Balancer 端點在過去 30 天內處理超過 0 個位元組
**建議的動作**
如果閘道Load Balancer端點在過去 30 天內未使用,請考慮刪除 VPC 端點。
如果 Transit Gateway 用於 VPC 間通訊,請考慮在集中式網路檢查架構中部署 Gateway Load Balancer 端點,以減少非作用中 Gateway Load Balancer 端點的每小時費用。
**其他資源**
[AWS PrivateLink 定價](https://aws.amazon.com/vpc/pricing/)
[使用 AWS Gateway Load Balancer 和 的集中式檢查架構 AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway)
**報告欄位**
+ 狀態
+ 區域
+ VPC 端點 ID
+ VPC ID
+ 子網路 ID
+ 服務名稱
+ TotalBytesProcessed
+ 上次更新時間
## 非作用中 NAT 閘道
**Description**
檢查您的 NAT 閘道是否有非作用中閘道。如果過去 30 天內未處理任何資料 (0 位元組),NAT 閘道會被視為非作用中。NAT Gateway 會產生每小時費用和資料處理費用。
**檢查 ID**
`c2vlfg022t`
**警示條件**
+ 黃色:NAT 閘道在過去 30 天內處理了 0 個位元組
+ 綠色:NAT 閘道在過去 30 天內處理超過 0 個位元組
**建議的動作**
請考慮刪除過去 30 天內未使用,且在 VPC 外部網路存取不需要的任何 NAT 閘道。
如果 Transit Gateway 用於 VPC 間通訊,請考慮部署集中式 NAT Gateway 以輸出至網際網路架構。這可以降低非作用中 NAT 閘道的每小時成本。
**其他資源**
[NAT Gateway 定價](https://aws.amazon.com/vpc/pricing/)
[集中輸出至網際網路](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-egress-to-internet.html)
**報告欄位**
+ 狀態
+ 區域
+ NAT 閘道 ID
+ 子網路 ID
+ VPC ID
+ TotalBytesFromDest
+ TotalBytesFromSrc
+ TotalBytes
+ 上次更新時間
## 低使用率 Amazon EC2 執行個體
**Description**
這是舊版檢查。建議使用提供其他自訂建議的新檢查 (檢查 ID:[c1z7kmr00n](#ec2-cost-opt-for-instances))。
檢查過去 14 天內在任何時間執行的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。如果每日 CPU 使用率為 10% 或以下,且網路輸入/輸出為 5 MB 或以下至少 4 天,此檢查就會發出提醒。
執行中的執行個體會產生以小時計的使用費。雖然某些案例的本質可能會導致使用率低,但通常可以透過管理執行個體的數量和大小來降低成本。
預估每月節省成本是根據隨需執行個體的目前使用率以及執行個體可能利用率過低的預估天數計算得出。如果您使用預留執行個體或 Spot 執行個體,或是當執行個體一整天都沒有執行,實際節省的成本將有所不同。若要取得每日使用率資料,請下載此檢查的報告。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`Qch7DwouX1`
**警示條件**
黃色:在過去 14 天中,有執行個體至少 4 天每日平均 CPU 使用率為 10% 或更低,網路 I/O 量為 5 MB 或更少。
**建議的動作**
請考慮停止或終止使用率低的執行個體,或使用 Auto Scaling 來調整執行個體數量。如需詳細資訊,請參閱[停止和啟動執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html)、[終止您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html),以及 [Auto Scaling 是什麼?](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/WhatIsAutoScaling.html)
**其他資源**
+ [監控 Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-monitoring.html)
+ [執行個體中繼資料與使用者資料](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AESDG-chapter-instancedata.html)
+ 《[Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)》
+ 《[Auto Scaling 開發者指南](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/WhatIsAutoScaling.html)》
**報告欄位**
+ 區域/可用區域
+ 執行個體 ID
+ 執行個體名稱
+ 執行個體類型
+ 預估每月節省成本
+ 14 天 CPU 平均使用率
+ 14 天平均網路 I/O 量
+ 使用率低的天數
## 無關聯彈性 IP 地址
**Description**
檢查與執行中 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體無關聯的彈性 IP 地址 (EIP)。
EIP 是針對動態雲端運算設計的靜態 IP 地址。與傳統靜態 IP 地址不同,EIP 會透過將公有 IP 地址重新映射至帳戶中的另一個執行個體,藉此遮罩執行個體或可用區域的故障。針對與執行中的執行個體無關聯的 EIP,會收取名目費用。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`Z4AUBRNSmz`
**警示條件**
黃色:已分配的彈性 IP 地址 (EIP) 未與執行中的 Amazon EC2 執行個體建立關聯。
**建議的動作**
將 EIP 與執行中的作用中執行個體建立關聯,或釋出沒有關聯的 EIP。如需詳細資訊,請參閱[建立彈性 IP 地址與其他執行中的執行個體的關聯](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating-different)和[釋出彈性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing)。
**其他資源**
[彈性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html)
**報告欄位**
+ 區域
+ IP Address (IP 地址)
## 未充分利用的 Amazon EBS 磁碟區
**Description**
檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區組態,並在磁碟區利用率似乎過低時發出警告。
磁碟區建立時會開始計費。如果磁碟區在一段時間內維持未連接狀態或寫入活動非常少 (不包括開機磁碟區),表示該磁碟區利用率過低。建議您移除利用率過低的磁碟區以降低成本。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`DAvU99Dc4C`
**警示條件**
黃色:在過去 7 天內,磁碟區未連接或磁碟區每天的 IOPS 數量少於 1 個。
**建議的動作**
請考慮建立快照並刪除磁碟區以降低成本。如需詳細資訊,請參閱[建立 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html)和[刪除 Amazon EBS 磁碟區](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-deleting-volume.html)。
**其他資源**
+ [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)
+ [監控您的磁碟區狀態](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-volume-status.html)
**報告欄位**
+ 區域
+ 磁碟區 ID
+ 磁碟區名稱
+ 磁碟區類型
+ 磁碟區大小
+ 每月儲存成本
+ 快照 ID
+ 快照名稱
+ 快照存在時間
**注意**
如果您選擇加入您的帳戶 AWS Compute Optimizer,我們建議您改用 Amazon EBS 過度佈建磁碟區檢查。如需詳細資訊,請參閱[選擇加入 AWS Compute Optimizer Trusted Advisor 檢查](compute-optimizer-with-trusted-advisor.md)。
## 利用率過低的 Amazon Redshift 叢集
**Description**
檢查您的 Amazon Redshift 組態是否有似乎利用率過低的叢集。
如果 Amazon Redshift 叢集長時間沒有連線,或者使用的 CPU 量很低,您可以使用成本較低的選項,例如縮小叢集或關閉叢集並拍攝最終快照。即使刪除叢集,最終快照仍會保留。
**檢查 ID**
`G31sQ1E9U`
**警示條件**
+ 黃色:在過去 7 天內,執行中的叢集沒有連線。
+ 黃色:在過去 7 天內,執行中的叢集 99% 的時間叢集平均 CPU 使用率低於 5%。
**建議的動作**
請考慮關閉叢集並建立最終快照,或縮減叢集的大小。請參閱 [Shutting Down and Deleting Clusters](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html#rs-mgmt-shutdown-delete-cluster) (關閉及刪除叢集) 和 [Resizing a Cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html#cluster-resize-intro) (調整叢集大小)。
**其他資源**
《Amazon CloudWatch 使用者指南》[https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/)
**報告欄位**
+ 狀態
+ 區域
+ 叢集
+ 執行個體類型
+ Reason
+ 預估每月節省成本
# 效能
透過檢查服務配額 (先前稱為限額) 來改善服務的效能,如此一來您便可利用佈建的輸送量、監控利用率過高的執行個體,以及偵測任何未使用的資源。
您可以針對效能類別使用下列檢查。
**Contents**
+ [
## 為讀取工作負載佈建不足的 Amazon Aurora 資料庫叢集
](#amazon-aurora-db-cluster-under-provisioned)
+ [
## 未啟用 Amazon DynamoDB Auto Scaling
](#dynamodb-auto-scaling-not-enabled)
+ [
## 未啟用 Amazon EBS 最佳化
](#ebs-optimization-not-enabled)
+ [
## Amazon EBS 佈建 IOPS (SSD) 磁碟區連接組態
](#EBS-ProvisionedIOPSRule)
+ [
## Amazon EBS 佈建不足的磁碟區
](#amazon-ebs-under-provisioned-volumes)
+ [
## Amazon EC2 Auto Scaling 群組並未與啟動範本關聯
](#ec2-auto-scaling-no-launch-template)
+ [
## Amazon EC2 對 EBS 輸送量最佳化
](#ebs-throughput-optimization)
+ [
## EC2 虛擬化類型為半虛擬化
](#ec2-virtualization-type-is-paravirtual)
+ [
## Amazon ECS 記憶體硬性限制
](#ecs-memory-hard-limit)
+ [
## Amazon EFS 輸送量模式最佳化
](#amazon-efs-throughput-mode-optimization)
+ [
## Amazon RDS 自動清空參數已關閉
](#rds-autovacuum-off)
+ [
## Amazon RDS 資料庫叢集最多僅支援 64 TiB 磁碟區
](#rds-db-clusters-64-tib-volume)
+ [
## 叢集中具有異質執行個體類別的 Amazon RDS 資料庫執行個體
](#rds-db-instances-heterogeneous-class)
+ [
## 叢集中具有異質執行個體大小的 Amazon RDS 資料庫執行個體
](#rds-db-instances-heterogeneous-size)
+ [
## Amazon RDS 資料庫記憶體參數與預設不同
](#rds-db-memory-parameters-diverging)
+ [
## Amazon RDS enable\$1indexonlyscan 參數已關閉
](#rds-enable-indexonlyscan-parameter-off)
+ [
## Amazon RDS enable\$1indexscan 參數已關閉
](#rds-enable-indexscan-parameter-off)
+ [
## Amazon RDS general\$1logging 參數已開啟
](#rds-general-logging-on)
+ [
## 使用低於最佳值的 Amazon RDS InnoDB\$1Change\$1Buffering 參數
](#rds-innodb-parameter-less-than-optimal)
+ [
## Amazon RDS innodb\$1open\$1files 參數很低
](#rds-innodb-open-files-parameter-low)
+ [
## Amazon RDS innodb\$1stats\$1persistent 參數已關閉
](#rds-innodb-stats-persistent-parameter-off)
+ [
## 針對系統容量佈建不足的 Amazon RDS 執行個體
](#amazon-rds-under-provisioned-system-capacity)
+ [
## Amazon RDS 磁性磁碟區正在使用中
](#rds-magentic-volume-in-use)
+ [
## 未使用巨型頁面的 Amazon RDS 參數群組
](#rds--parameter-groups-no-huge-pages)
+ [
## Amazon RDS 查詢快取參數已開啟
](#rds-cache-parameter-on)
+ [
## 需要更新 Amazon RDS 資源執行個體類別
](#rds-resources-instance-class-update)
+ [
## 需要更新 Amazon RDS 資源主要版本
](#rds-resources-major-version-update)
+ [
## 使用包含授權下終止支援引擎版本的 Amazon RDS 資源
](#rds-resources-using-eos-engine)
+ [
## Amazon Route 53 別名資源記錄集
](#r53-record-sets-alias)
+ [
## AWS Lambda 記憶體大小的佈建不足函數
](#aws-lambda-under-provisioned-functions-memory-size)
+ [
## AWS Lambda 未設定並行限制的函數
](#lambda-functions-without-concurrency-limit)
+ [
## AWS Well-Architected 效能的高風險問題
](#well-architected-high-risk-issues-performance)
+ [
## CloudFront 備用網域名稱
](#cloudfront-domain-name-check)
+ [
## CloudFront 內容交付最佳化
](#cloudfront-content-delivery-optimization)
+ [
## CloudFront 標頭轉送和快取命中率
](#cloudfront-forwarded-headers)
+ [
## 高 CPU 使用率 Amazon EC2 執行個體
](#high-utilization-amazon-ec2-instances)
## 為讀取工作負載佈建不足的 Amazon Aurora 資料庫叢集
**Description**
檢查 Amazon Aurora 資料庫叢集是否具有支援讀取工作負載的資源。
**檢查 ID**
` c1qf5bt038`
**警示條件**
黃色:
增加資料庫讀取:資料庫負載很高,而且資料庫讀取的資料列比寫入或更新資料列多。
**建議的動作**
我們建議您調整查詢,以減少資料庫負載,或將讀取器資料庫執行個體新增至資料庫叢集,其執行個體類別和大小與叢集中的寫入器資料庫執行個體相同。目前的組態至少有一個資料庫執行個體,其資料庫負載持續很高,主要由讀取操作造成。將另一個資料庫執行個體新增至叢集,並將讀取工作負載導向資料庫叢集唯讀端點,以分配這些操作。
**其他資源**
Aurora 資料庫叢集有一個讀取器端點用於唯讀連線。此端點使用負載平衡來管理對資料庫叢集中資料庫負載貢獻最大的查詢。讀取器端點會將這些陳述式導向 Aurora 僅供讀取複本,並減少主要執行個體的負載。讀取器端點也會擴展容量,以使用叢集中的 Aurora 僅供讀取複本數目來處理並行 SELECT 查詢。
如需詳細資訊,請參閱[將 Aurora 複本新增至資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html)和管理 [Aurora 資料庫叢集的效能和擴展](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Performance.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 增加資料庫讀取 (計數)
+ 上次偵測期間
+ 上次更新時間
## 未啟用 Amazon DynamoDB Auto Scaling
**Description**
檢查您的 Amazon DynamoDB 資料表和全域次要索引是否已啟用自動擴展或隨需功能。
Amazon DynamoDB Auto Scaling 功能會使用 Application Auto Scaling 服務代您動態調整佈建的輸送容量,藉此回應實際流量模式。這可讓資料表或全域次要索引增加其佈建的讀取與寫入容量,不需調節就以處理突然增加的流量。當工作負載降低時,Application Auto Scaling 可降低輸送量,讓您無須為未使用的佈建容量付費。
您可以使用 AWS Config 規則中的參數來調整檢查組態。
如需詳細資訊,請參閱[使用 DynamoDB Auto Scaling 自動管理輸送容量](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz136`
**來源**
AWS Config 受管規則:dynamodb-autoscaling-enabled
**警示條件**
黃色:您的 DynamoDB 資料表和/或全域次要索引未啟用自動擴展。
**建議的動作**
除非您已經有機制可根據工作負載需求來自動擴展 DynamoDB 資料表和/或全域次要索引的佈建輸送量,否則請考慮為 Amazon DynamoDB 資料表啟用自動擴展功能。
如需詳細資訊,請參閱[AWS 管理主控台 搭配 DynamoDB Auto Scalp 使用](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html) 。
**其他資源**
[使用 DynamoDB Auto Scaling 功能自動管理輸送容量](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用 Amazon EBS 最佳化
**Description**
檢查 Amazon EC2 執行個體是否已啟用 Amazon EBS 最佳化。
Amazon EBS 最佳化執行個體使用最佳化組態堆疊,並為 Amazon EBS I/O 提供額外專用容量。此最佳化透過減少 Amazon EBS I/O 與執行個體的其他流量之間的爭用情況,為您的 Amazon EBS 磁碟區提供最佳效能。
如需詳細資訊,請參閱 [Amazon EBS 最佳化執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz142`
**來源**
AWS Config 受管規則:ebs-optimized-instance
**警示條件**
黃色:Amazon EBS 最佳化未於支援的 Amazon EC2 執行個體上啟用。
**建議的動作**
在支援的執行個體上開啟 Amazon EBS 最佳化。
如需詳細資訊,請參閱[啟動時啟用 EBS 最佳化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html#enable-ebs-optimization)。
**其他資源**
[Amazon EBS 最佳化執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EBS 佈建 IOPS (SSD) 磁碟區連接組態
**Description**
檢查是否有連接到可針對 Amazon EBS 最佳化的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體之佈建 IOPS (SSD) 磁碟區尚未針對 EBS 最佳化。
Amazon Elastic Block Store (Amazon EBS) 中的佈建 IOPS (SSD) 磁碟區,設計為只有在連接到針對 EBS 最佳化的執行個體時才能提供預期的效能。
**檢查 ID**
`PPkZrjsH2q`
**警示條件**
黃色:可以進行 EBS 最佳化的 Amazon EC2 執行個體具有連接的佈建 IOPS (SSD) 磁碟區,但是該執行個體並沒有進行 EBS 最佳化。
**建議的動作**
建立 EBS 最佳化的新執行個體、分離磁碟區,然後將磁碟區重新連接至新執行個體。如需詳細資訊,請參閱 [Amazon EBS 最佳化執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSOptimized.html)及[將 Amazon EBS 磁碟區連接到執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-attaching-volume.html)。
**其他資源**
+ [Amazon EBS 磁碟區類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumeTypes.html)
+ [Amazon EBS 磁碟區效能](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSPerformance.html)
**報告欄位**
+ 狀態
+ 區域/可用區域
+ 磁碟區 ID
+ 磁碟區名稱
+ 磁碟區連接
+ 執行個體 ID
+ 執行個體類型
+ EBS 優化
## Amazon EBS 佈建不足的磁碟區
**Description**
檢查回顧期間在任何時間執行的 Amazon Elastic Block Store (Amazon EBS) 磁碟區。此檢查會提醒您注意工作負載 EBS 磁碟區佈建不足的情形。穩定的高使用率可能表示最佳化、穩定的效能,但也可能表示應用程式的資源不足。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`COr6dfpM04`
**警示條件**
黃色:回顧期間佈建不足的 EBS 磁碟區。若要判斷磁碟區是否佈建不足,我們會考慮所有預設 CloudWatch 指標 (包括 IOPS 和輸送量)。用於識別佈建不足 EBS 磁碟區的演算法遵循 AWS 最佳實務。找出新的模式時,該演算法會更新。
**建議的動作**
考慮提升高使用率磁碟區的大小。
如需詳細資訊,請參閱[選擇加入 AWS Compute Optimizer Trusted Advisor 檢查](compute-optimizer-with-trusted-advisor.md)。
**報告欄位**
+ 狀態
+ 區域
+ 磁碟區 ID
+ 磁碟區類型
+ 磁碟區大小 (GB)
+ 磁碟區基準 IOPS
+ 磁碟區高載 IOPS
+ 磁碟區高載輸送量
+ 建議的磁碟區類型
+ 建議的磁碟區大小 (GB)
+ 建議的磁碟區基準 IOPS
+ 建議的磁碟區高載 IOPS
+ 建議的磁碟區基準輸送量
+ 建議的磁碟區高載輸送量
+ 回顧期間 (天)
+ 效能風險
+ 上次更新時間
## Amazon EC2 Auto Scaling 群組並未與啟動範本關聯
**Description**
檢查 Amazon EC2 Auto Scaling 群組是否從 Amazon EC2 啟動範本建立。
使用啟動範本來建立您的 Amazon EC2 Auto Scaling 群組,以確保存取最新的 Auto Scaling 群組功能和改進項目。例如,版本控制和多個執行個體類型。
如需詳細資訊,請參閱[啟動範本](https://docs.aws.amazon.com/autoscaling/ec2/userguide/launch-templates.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz102`
**來源**
AWS Config 受管規則:autoscaling-launch-template
**警示條件**
黃色:Amazon EC2 Auto Scaling 群組並未與有效的啟動範本關聯。
**建議的動作**
使用 Amazon EC2 啟動範本來建立 Amazon EC2 Auto Scaling 群組。
如需詳細資訊,請參閱[建立 Auto Scaling 群組的啟動範本](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html)。
**其他資源**
+ [啟動範本](https://docs.aws.amazon.com/autoscaling/ec2/userguide/launch-templates.html)
+ [建立啟動範本](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-launch-template.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EC2 對 EBS 輸送量最佳化
**Description**
檢查是否有 Amazon EBS 磁碟區的效能可能受到所連接 Amazon EC2 執行個體的最大輸送量容量影響。
若要最佳化效能,應確保 Amazon EC2 執行個體的最大輸送量大於連接 EBS 磁碟區的彙總輸送量上限。此檢查會計算每個針對 EBS 最佳化的執行個體前一天每五分鐘期間的 EBS 磁碟區總輸送量 (以國際標準時間 (UTC) 為基礎),並在超過一半期間的用量超過 EC2 執行個體最大輸送量的 95% 時發出提醒。
**檢查 ID**
`Bh2xRR2FGH`
**警示條件**
黃色:在前一天 (UTC),連接至 EC2 執行個體的 EBS 磁碟區彙總輸送量 (MB/s),在 50% 以上的時間內超過執行個體與 EBS 磁碟區之間發佈輸送量的 95%。
**建議的動作**
比較 Amazon EBS 磁碟區的最大輸送量 (請參閱 [Amazon EBS 磁碟區類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumeTypes.html)) 與磁碟區所連接 Amazon EC2 執行個體的最大輸送量。請參閱[支援 EBS 最佳化的執行個體類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSOptimized.html#ebs-optimization-support)。
請考慮將磁碟區連接到支援對 Amazon EBS 更高輸送量的執行個體,以獲得最佳效能。
**其他資源**
+ [Amazon EBS 磁碟區類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumeTypes.html)
+ [Amazon EBS 最佳化的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSOptimized.html)
+ [監控您的磁碟區狀態](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-volume-status.html)
+ [將 Amazon EBS 磁碟區連接至執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-attaching-volume.html)
+ [將 Amazon EBS 磁碟區與執行個體分離](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-detaching-volume.html)
+ [刪除 Amazon EBS 磁碟區](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-deleting-volume.html)
**報告欄位**
+ 狀態
+ 區域
+ 執行個體 ID
+ 執行個體類型
+ 時間接近最大值
## EC2 虛擬化類型為半虛擬化
**Description**
檢查 Amazon EC2 執行個體的虛擬化類型是否為半虛擬化。
最佳實務是盡可能使用硬體虛擬機器 (HVM) 執行個體而非半虛擬執行個體。這是因為 HVM 虛擬化中的增強以及 HVM AMI 之 PV 驅動程式的可用性,消除了 PV 和 HVM 訪客之間以往存在的效能差距。請務必注意,目前這一代的執行個體類型不支援 PV AMI。因此,選擇 HVM 執行個體類型可提供最佳效能以及與現代硬體的相容性。
如需詳細資訊,請參閱 [Linux AMI 虛擬化類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz148`
**來源**
AWS Config 受管規則:ec2-paravirtual-instance-check
**警示條件**
黃色:Amazon EC2 執行個體的虛擬化類型為半虛擬化。
**建議的動作**
為您的 Amazon EC2 執行個體使用 HVM 虛擬化,並使用相容的執行個體類型。
如需有關選擇適當虛擬化類型的資訊,請參閱[變更執行個體類型的相容性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/resize-limitations.html)。
**其他資源**
[變更執行個體類型的相容性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/resize-limitations.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon ECS 記憶體硬性限制
**Description**
檢查 Amazon ECS 任務定義是否為其容器定義設定了記憶體限制。為任務中所有容器預訂的記憶體總量必須低於任務記憶體值。
如需詳細資訊,請參閱[容器定義](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definitions)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz176`
**來源**
AWS Config 受管規則:ecs-task-definition-memory-hard-limit
**警示條件**
黃色:未設定 Amazon ECS 記憶體硬性限制。
**建議的動作**
為您的 Amazon ECS 任務配置記憶體以避免記憶體不足。如果您的容器嘗試使用超過指定的記憶體,則會終止容器。
如需詳細資訊,請參閱[如何將記憶體分配給 Amazon ECS 中的任務?](https://repost.aws/knowledge-center/allocate-ecs-memory-tasks)。
**其他資源**
[叢集保留](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch-metrics.html#cluster_reservation)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EFS 輸送量模式最佳化
**Description**
檢查 Amazon EFS 檔案系統目前是否設定為使用爆量輸送量模式。Amazon EFS 爆量輸送量針對超過基準輸送量 (每 GiB 50 KiB/s) 的效能使用「額度」。點數耗盡後,效能會調節至基準輸送量,這可能會導致使用者速度變慢、應用程式失敗和逾時。若要進一步了解爆量模式,請參閱《*Amazon EFS 使用者指南*》中的[輸送量模式](https://docs.aws.amazon.com/efs/latest/ug/performance.html#throughput-modes)
**檢查 ID**
`c1dfprch02`
**警示條件**
+ 黃色:檔案系統正在使用爆量輸送量模式。
**建議的動作**
如果您的爆量輸送量額度偏低或耗盡,請考慮切換到佈建或彈性輸送量模式,為您的使用者和應用程式提供所需的輸送量。使用佈建輸送量,您可以設定工作負載所需的輸送量,並支付為檔案系統啟用的輸送量。如果您不確定輸送量需求,可以使用彈性輸送量模式,其中輸送量隨工作負載彈性擴展,而且您只需按傳輸的總資料量來支付使用量。您可以隨時更新檔案系統組態,以在輸送量模式之間切換。若要進一步了解輸送量定價,請參閱 [Amazon EFS 定價](https://aws.amazon.com/efs/pricing/)。您也可以使用 預估成本[AWS 定價計算工具](https://calculator.aws/#/createCalculator/EFS)。
**其他資源**
+ [爆量輸送量](https://docs.aws.amazon.com/efs/latest/ug/performance.html#bursting)
+ [Amazon EFS 定價](https://aws.amazon.com/efs/pricing/)
+ [AWS 定價計算工具](https://calculator.aws/#/createCalculator/EFS)
**報告欄位**
+ 狀態
+ 區域
+ EFS 檔案系統 ID
+ 輸送量模式
+ 上次更新時間
## Amazon RDS 自動清空參數已關閉
**Description**
資料庫執行個體的自動清空參數已關閉。關閉自動清空功能會增加資料表和索引膨脹並影響效能。
建議您在資料庫參數群組中開啟自動清空。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt025`
**警示條件**
黃色:資料庫參數群組已關閉自動清空。
**建議的動作**
在您的資料庫參數群組中開啟自動清空參數。
**其他資源**
PostgreSQL 資料庫需要定期維護,稱為清空。PostgreSQL 中的自動清空會自動執行 **VACCUUM** 和 **ANALYZE** 命令。此程序會收集資料表統計資料,並刪除無效資料列。關閉自動清空時,資料表、索引膨脹、過時統計資料的增加會影響資料庫效能。
如需詳細資訊,請參閱[了解 Amazon RDS for PostgreSQL 環境中的自動清空](https://aws.amazon.com/blogs/database/understanding-autovacuum-in-amazon-rds-for-postgresql-environments/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS 資料庫叢集最多僅支援 64 TiB 磁碟區
**Description**
您的資料庫叢集支援最多 64 TiB 的磁碟區。最新的引擎版本支援高達 128 TiB 的磁碟區。建議您將資料庫叢集的引擎版本升級至最新版本,以支援高達 128 TiB 的磁碟區。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt017`
**警示條件**
黃色:資料庫叢集僅支援高達 64 TiB 的磁碟區。
**建議的動作**
升級資料庫叢集的引擎版本,以支援高達 128 TiB 的磁碟區。
**其他資源**
當您在單一 Amazon Aurora 資料庫叢集上擴展應用程式時,如果儲存限制為 128 TiB,則可能無法達到限制。增加的儲存限制有助於避免刪除資料或在多個執行個體之間分割資料庫。
如需詳細資訊,請參閱 [Amazon Aurora 大小限制](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/CHAP_Limits.html#RDS_Limits.FileSize.Aurora)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 引擎版本目前
+ 建議值
+ 上次更新時間
## 叢集中具有異質執行個體類別的 Amazon RDS 資料庫執行個體
**Description**
建議您在您的資料庫叢集中,對所有資料庫執行個體皆使用相同的資料庫執行個體類別和大小。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt009`
**警示條件**
紅色:資料庫叢集具有具有異質執行個體類別的資料庫執行個體。
**建議的動作**
在您的資料庫叢集中,對所有資料庫執行個體皆使用相同的資料庫執行個體類別和大小。
**其他資源**
當資料庫叢集中的資料庫執行個體使用不同的資料庫執行個體類別或大小時,資料庫執行個體的工作負載可能會有不平衡。在容錯移轉期間,其中一個讀取器資料庫執行個體會變更為寫入器資料庫執行個體。如果資料庫執行個體使用相同的資料庫執行個體類別和大小,則可以平衡資料庫叢集中資料庫執行個體的工作負載。
如需詳細資訊,請參閱 [Aurora 複本](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Replication.html#Aurora.Replication.Replicas)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## 叢集中具有異質執行個體大小的 Amazon RDS 資料庫執行個體
**Description**
建議您在您的資料庫叢集中,對所有資料庫執行個體皆使用相同的資料庫執行個體類別和大小。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt008`
**警示條件**
紅色:資料庫叢集具有具有異質執行個體大小的資料庫執行個體。
**建議的動作**
在您的資料庫叢集中,對所有資料庫執行個體皆使用相同的資料庫執行個體類別和大小。
**其他資源**
當資料庫叢集中的資料庫執行個體使用不同的資料庫執行個體類別或大小時,資料庫執行個體的工作負載可能會有不平衡。在容錯移轉期間,其中一個讀取器資料庫執行個體會變更為寫入器資料庫執行個體。如果資料庫執行個體使用相同的資料庫執行個體類別和大小,則可以平衡資料庫叢集中資料庫執行個體的工作負載。
如需詳細資訊,請參閱 [Aurora 複本](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Replication.html#Aurora.Replication.Replicas)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS 資料庫記憶體參數與預設不同
**Description**
資料庫執行個體的記憶體參數與預設值明顯不同。這些設定可能會影響效能並導致錯誤。
建議您在資料庫參數群組中,將資料庫執行個體的自訂記憶體參數重設為其預設值。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt020`
**警示條件**
黃色:資料庫參數群組的記憶體參數與預設值有很大差異。
**建議的動作**
將記憶體參數重設為其預設值。
**其他資源**
如需詳細資訊,請參閱[設定 Amazon RDS for MySQL 參數的最佳實務,第一部分:效能相關參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS enable\$1indexonlyscan 參數已關閉
**Description**
僅索引掃描計畫類型關閉時,查詢規劃器或最佳化工具皆無法使用該功能。
建議您將 **enable\$1indexonlyscan** 參數值設定為 1。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt028`
**警示條件**
黃色:資料庫參數群組已關閉 **enable\$1indexonlyscan** 參數。
**建議的動作**
將 **enable\$1indexonlyscan** 參數設定為 1。
**其他資源**
當您關閉 **enable\$1indexonlyscan** 參數時,它會防止查詢規劃器選取最佳執行計畫。查詢規劃器使用不同的計劃類型,例如索引掃描,可增加查詢成本和執行時間。索引只會掃描計劃類型擷取資料,而不會存取資料表資料。
如需詳細資訊,請參閱 PostgreSQL 文件網站上的 [enable\$1indexonlyscan (布林值)](https://www.postgresql.org/docs/current/runtime-config-query.html#GUC-ENABLE-INDEXONLYSCAN)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS enable\$1indexscan 參數已關閉
**Description**
索引掃描計畫類型關閉時,查詢規劃器或最佳化工具皆無法使用該功能。
建議您將 **enable\$1indexscan** 參數值設定為 1。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt029`
**警示條件**
黃色:資料庫參數群組已關閉 **enable\$1indexscan** 參數。
**建議的動作**
將 **enable\$1indexscan** 參數設定為 1。
**其他資源**
當您關閉 **enable\$1indexscan** 參數時,它會防止查詢規劃器選取最佳執行計畫。查詢規劃器使用不同的計劃類型,例如索引掃描,可增加查詢成本和執行時間。
如需詳細資訊,請參閱 PostgreSQL 文件網站上的 [enable\$1indexscan (布林值)](https://www.postgresql.org/docs/current/runtime-config-query.html#GUC-ENABLE-INDEXSCAN)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS general\$1logging 參數已開啟
**Description**
您的資料庫執行個體已開啟一般記錄功能。此設定在針對資料庫問題進行疑難排解時非常有用。不過,開啟一般記錄功能會增加 I/O 操作和配置儲存空間量,進而導致爭用和效能降低。
檢查您的要求是否有一般記錄用量。我們建議您將 **general\$1logging** 參數值設定為 **0**。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt037`
**警示條件**
黃色:資料庫參數群組已開啟 **general\$1logging**。
**建議的動作**
檢查您的要求是否有一般記錄用量。如果不是強制性的,建議您將 **general\$1logging** 參數值設定為 **0**。
**其他資源**
當 general**\$1logging** 參數值為 1 時,會開啟一般查詢日誌。一般查詢日誌包含資料庫伺服器操作的記錄。當用戶端連線或中斷連線,且日誌包含從用戶端接收的每個 SQL 陳述式時,伺服器會將資訊寫入此日誌。當您懷疑用戶端發生錯誤,並且想要尋找用戶端傳送至資料庫伺服器的資訊時,一般查詢日誌非常有用。
如需詳細資訊,請參閱 [RDS for MySQL 資料庫日誌概觀](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MySQL.LogFileSize.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## 使用低於最佳值的 Amazon RDS InnoDB\$1Change\$1Buffering 參數
**Description**
變更緩衝可讓 MySQL 資料庫執行個體延遲一些寫入,這是維持次要索引的必要項目。此功能在磁碟緩慢的環境中非常有用。變更緩衝組態稍微改善了資料庫效能,但在升級期間導致損毀復原和長關機時間延遲。
建議您將 **innodb\$1change\$1buffering** 參數的值設定為 **NONE**。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt021`
**警示條件**
黃色:資料庫參數群組的 **innodb\$1change\$1buffering** 參數設定為低最佳值。
**建議的動作**
將資料庫參數群組中的 **innodb\$1change\$1buffering** 參數值設定為 **NONE**。
**其他資源**
如需詳細資訊,請參閱[設定 Amazon RDS for MySQL 參數的最佳實務,第一部分:效能相關參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS innodb\$1open\$1files 參數很低
**Description**
innodb\$1open\$1files 參數控制 InnoDB 一次可以開啟的檔案數量。InnoDB 會在 mysqld 執行時,開啟所有日誌和系統資料表空間檔案。
針對 InnoDB 一次能開啟的最大檔案數量,您的資料庫執行個體設定值很低。我們建議您將 innodb\$1open\$1files 參數設定為最小值 65。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt033`
**警示條件**
黃色:資料庫參數群組的 InnoDB 開啟檔案設定設定錯誤。
**建議的動作**
將 innodb\$1open\$1files 參數設定為最小值 65。
**其他資源**
innodb\$1open\$1files 參數控制 InnoDB 一次可以開啟的檔案數量。InnoDB 會保持開啟所有日誌檔案和系統資料表空間檔案。如果使用file-per-table儲存模型,InnoDB 也需要開啟幾個 .ibd 檔案。當 innodb\$1open\$1files 設定低時,會影響資料庫效能,伺服器可能無法啟動。
如需詳細資訊,請參閱 MySql 文件網站上的 [InnoDB 啟動選項和系統變數 - innodb\$1open\$1files](https://dev.mysql.com/doc/refman/5.7/en/innodb-parameters.html#sysvar_innodb_open_files)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS innodb\$1stats\$1persistent 參數已關閉
**Description**
您的資料庫執行個體未設定將 InnoDB 統計資料保留於磁碟。未儲存統計資料時,會在每次執行個體重新啟動和存取資料表時重新計算統計資料。這會導致查詢執行計畫的變化。您可以在資料表層級修改此全域參數的值。
建議您將 **innodb\$1stats\$1persistent** 參數值設定為 **ON**。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt032`
**警示條件**
黃色:資料庫參數群組具有未保留到磁碟的最佳化工具統計資料。
**建議的動作**
將 **innodb\$1stats\$1persistent** 參數值設定為 **ON**。
**其他資源**
如果 **innodb\$1stats\$1persistent** 參數設定為 **ON**,則最佳化工具統計資料會在執行個體重新啟動時保留。這可改善執行計畫穩定性和一致的查詢效能。您可以在建立或修改資料表時,使用 **STATS\$1PERSISTENT** 子句來修改資料表層級的全域統計資料持久性。
如需詳細資訊,請參閱[設定 Amazon RDS for MySQL 參數的最佳實務,第一部分:效能相關參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## 針對系統容量佈建不足的 Amazon RDS 執行個體
**Description**
檢查 Amazon RDS 執行個體或 Amazon Aurora 資料庫執行個體是否具有操作所需的系統容量。
**檢查 ID**
` c1qf5bt039`
**警示條件**
黃色:
Out-of-memory終止:當資料庫主機上的程序因作業系統層級的記憶體減少而停止時,記憶體不足 (OOM) 會終止計數器增加。
過度交換:os.memory.swap.in 和 os.memory.swap.out 指標值很高。
**建議的動作**
我們建議您調整查詢以使用較少的記憶體,或使用配置較高記憶體的資料庫執行個體類型。當執行個體的記憶體不足時,這會影響資料庫效能。
**其他資源**
偵測到Out-of-memory刪除:當主機上執行的程序需要超過作業系統實際可用的記憶體時,Linux 核心會叫用記憶體不足 (OOM) Killer。在此情況下,OOM Killer 會檢閱所有執行中的程序,並停止一或多個程序,以釋出系統記憶體並保持系統執行。
偵測到交換:當資料庫主機上的記憶體不足時,作業系統會將最少使用的頁面傳送至交換空間中的磁碟。此卸載程序會影響資料庫效能。
如需詳細資訊,請參閱 [Amazon RDS 執行個體類型](https://aws.amazon.com/rds/instance-types/)和[擴展yourAmazon RDS 執行個體](https://aws.amazon.com/blogs/database/scaling-your-amazon-rds-instance-vertically-and-horizontally/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ Out-of-memory終止 (計數)
+ 過度交換 (計數)
+ 上次偵測期間
+ 上次更新時間
## Amazon RDS 磁性磁碟區正在使用中
**Description**
您的資料庫執行個體正在使用磁帶儲存。多數資料庫執行個體不建議使用磁帶儲存。選擇不同的儲存類型:一般用途 (SSD) 或佈建 IOPS。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt000`
**警示條件**
黃色:Amazon RDS 資源正在使用磁性儲存。
**建議的動作**
選擇不同的儲存類型:一般用途 (SSD) 或佈建 IOPS。
**其他資源**
磁性儲存是較舊的儲存類型。一般用途 (SSD) 或佈建 IOPS 是新儲存需求的建議儲存類型。這些儲存類型可提供更高且一致的效能,並改善儲存大小選項。
如需詳細資訊,請參閱[上一代磁碟區](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volume-types.html#vol-type-prev)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## 未使用巨型頁面的 Amazon RDS 參數群組
**Description**
大型頁面可以提高資料庫可擴展性,但您的資料庫執行個體未使用大型頁面。建議您在資料庫執行個體的資料庫參數群組中,將 **use\$1large\$1pages** 參數值設定為 **ONLY**。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt024`
**警示條件**
黃色:資料庫參數群組不使用大型頁面。
**建議的動作**
在您的資料庫參數群組中,將 **use\$1large\$1pages** 參數值設定為 **ONLY**。
**其他資源**
如需詳細資訊,請參閱[開啟 RDS for Oracle 執行個體的 HugePages](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Oracle.Concepts.HugePages.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS 查詢快取參數已開啟
**Description**
當變更需要清除查詢快取時,您的資料庫執行個體會顯示為停滯。大部分工作負載並不會受益於查詢快取。MySQL 8.0 版已移除查詢快取。建議您將 query\$1cache\$1type 參數設定為 0。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt022`
**警示條件**
黃色:資料庫參數群組已開啟查詢快取。
**建議的動作**
將資料庫參數群組中的 query\$1cache\$1type 參數值設定為 0。
**其他資源**
如需詳細資訊,請參閱[設定 Amazon RDS for MySQL 參數的最佳實務,第一部分:效能相關參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## 需要更新 Amazon RDS 資源執行個體類別
**Description**
您的資料庫正在執行上一代資料庫執行個體類別。我們已將上一代的資料庫執行個體類別取代為具有更佳成本、效能或兩者的資料庫執行個體類別。建議您使用較新一代的資料庫執行個體類別來執行資料庫執行個體。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt015`
**警示條件**
紅色:資料庫執行個體正在使用終止支援資料庫執行個體類別。
**建議的動作**
升級至最新的資料庫執行個體類別。
**其他資源**
如需詳細資訊,請參閱[資料庫執行個體類別的支援資料庫引擎](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.DBInstanceClass.html#Concepts.DBInstanceClass.Support)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 資料庫執行個體類別
+ 建議值
+ 引擎名稱
+ 上次更新時間
## 需要更新 Amazon RDS 資源主要版本
**Description**
不支援具有資料庫引擎目前主要版本的資料庫。建議您升級至包含新功能和增強功能的最新主要版本。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt014`
**警示條件**
紅色:RDS 資源正在使用終止支援主要版本。
**建議的動作**
升級至資料庫引擎的最新主要版本。
**其他資源**
Amazon RDS 會為支援的資料庫引擎發行新版本,以最新版本維護您的資料庫。新發行的版本可能包括錯誤修正、安全性增強功能,以及資料庫引擎的其他改善。您可以使用藍/綠部署,將資料庫執行個體升級所需的停機時間降至最低。
如需詳細資訊,請參閱下列資源:
+ [升級資料庫執行個體引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html)
+ [Amazon Aurora 更新](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Updates.html)
+ [使用 Amazon RDS 藍/綠部署進行資料庫更新](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/blue-green-deployments.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 引擎目前版本
+ 建議值
+ 上次更新時間
## 使用包含授權下終止支援引擎版本的 Amazon RDS 資源
**Description**
建議您將主要版本升級至 Amazon RDS 支援的最新引擎版本,以繼續目前的授權支援。目前授權不支援資料庫的引擎版本。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt016`
**警示條件**
紅色:Amazon RDS 資源在包含授權的模型下使用終止支援引擎版本。
**建議的動作**
建議您將資料庫升級至 Amazon RDS 中支援的最新版本,以繼續使用授權模型。
**其他資源**
如需詳細資訊,請參閱 [Oracle 主要版本升級](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Major.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 引擎版本目前
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon Route 53 別名資源記錄集
**Description**
檢查是否有資源記錄集可變更為別名資源記錄集,以改善效能並節省成本。
別名資源紀錄集會將 DNS 查詢路由至 AWS 資源 (例如 Elastic Load Balancing 負載平衡器或 Amazon S3 儲存貯體) 或其他 Route 53 資源紀錄集。當您使用別名資源紀錄集時,Route 53 會免費將您的 DNS 查詢路由至 AWS 資源。
AWS 服務建立的託管區域不會出現在您的檢查結果中。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`B913Ef6fb4`
**警示條件**
+ 黃色:資源記錄集是 Amazon S3 網站的 CNAME。
+ 黃色:資源記錄集是 Amazon CloudFront 分佈的 CNAME。
+ 黃色:資源記錄集是 Elastic Load Balancing 負載平衡器的 CNAME。
**建議的動作**
以別名資源記錄集取代列出的 CNAME 資源記錄集;請參閱[選擇別名或非別名資源記錄集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingAliasRRSets.html)。
您也需要根據 AWS 資源,將記錄類型從 CNAME 變更為 A 或 AAAA。請參閱[您在建立或編輯 Amazon Route 53 資源記錄集時指定的值](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-values.html)。
**其他資源**
[將查詢路由至 AWS 資源](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-aws-resources.html)
**報告欄位**
+ 狀態
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 資源記錄集類型
+ 資源記錄集識別碼
+ 別名目標
## AWS Lambda 記憶體大小的佈建不足函數
**Description**
檢查在回顧期間至少調用一次的 AWS Lambda 函數。此檢查會提醒您任何 Lambda 函數在記憶體大小佈建不足的情形。當您的 Lambda 函數在記憶體大小佈建不足時,這些函數會需要更長的時間才能完成。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`COr6dfpM06`
**警示條件**
黃色:在回顧期間記憶體大小佈建不足的 Lambda 函數。若要判斷 Lambda 函數是否佈建不足,我們會考慮該函數的所有預設 CloudWatch 指標。用於識別記憶體大小佈建不足 Lambda 函數的演算法遵循 AWS 最佳實務。找出新的模式時,該演算法會更新。
**建議的動作**
請考慮增加 Lambda 函數的記憶體大小。
如需詳細資訊,請參閱[選擇加入 AWS Compute Optimizer Trusted Advisor 檢查](compute-optimizer-with-trusted-advisor.md)。
**報告欄位**
+ 狀態
+ 區域
+ 函數名稱
+ 函數版本
+ 記憶體大小 (MB)
+ 建議的記憶體大小 (MB)
+ 回顧期間 (天)
+ 效能風險
+ 上次更新時間
## AWS Lambda 未設定並行限制的函數
**Description**
檢查 AWS Lambda 函數是否已設定函數層級並行執行限制。
並行是 AWS Lambda 函數可同時處理的傳輸中請求數量。Lambda 會針對每個並行請求佈建個別的執行環境執行個體。
您可以使用規則中的 AWS Config **concurrencyLimitLow** 和 **ConcurrencyLimitHigh** 參數來指定預留並行下限和上限。
如需詳細資訊,請參閱 [Lambda 函數擴展](https://docs.aws.amazon.com/lambda/latest/dg/lambda-concurrency.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz181`
**來源**
AWS Config 受管規則:lambda-concurrency-check
**警示條件**
黃色:Lambda 函數並未設定並行限制。
**建議的動作**
請確定您的 Lambda 函數已設定並行功能。Lambda 函數的並行限制有助於確保您的函數可靠且可預測地處理請求。並行限制減少了因流量突然激增而導致功能不堪負荷的風險。
如需詳細資訊,請參閱[設定預留並行](https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html)。
**其他資源**
+ [Lambda 函數擴展](https://docs.aws.amazon.com/lambda/latest/dg/lambda-concurrency.html)
+ [設定預留並行](https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Well-Architected 效能的高風險問題
**Description**
檢查效能支柱中,工作負載是否有高風險問題 (HRI)。這項檢查是以您的 AWS-Well Architected 檢閱為基礎。您的檢查結果取決於您是否使用 AWS Well-Architected 完成工作負載評估。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Wxdfp4B1L2`
**警示條件**
+ 紅色:在 AWS Well-Architected 的效能支柱中發現至少一個作用中的高風險問題。
+ 綠色:在 AWS Well-Architected 的效能支柱中未偵測到作用中的高風險問題。
**建議的動作**
AWS Well-Architected 在工作負載評估期間偵測到高風險問題。解決這些問題,可能有機會降低風險和節省成本。登入 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具,檢閱答案並採取行動,解決待處理的問題。
**報告欄位**
+ 狀態
+ 區域
+ 工作負載 ARN
+ 工作負載名稱
+ 檢閱者姓名
+ 工作負載類型
+ 工作負載開始日期
+ 工作負載上次修改日期
+ 效能方面已識別的高風險問題數量
+ 效能方面已解決的高風險問題數量
+ 效能方面已回答的問題數量
+ 效能支柱中的問題總數
+ 上次更新時間
## CloudFront 備用網域名稱
**Description**
此檢查適用於傳統 Amazon CloudFront 分佈。
檢查 DNS 是否已在使用備用網域名稱 (CNAMEs) 的傳統 Amazon CloudFront 分佈中正確設定。
如果 CloudFront 分佈包含備用網域名稱,網域的 DNS 組態必須將 DNS 查詢路由至該分佈。
這項檢查假設 Amazon Route 53 DNS 和 Amazon CloudFront 分佈設定於相同的 AWS 帳戶。因此,由於這個 AWS 帳戶之外的 DNS 設定,提醒清單可能包含原本會如預期般運作的資源。
**檢查 ID**
`N420c450f2`
**警示條件**
+ 黃色:CloudFront 分佈包含備用網域名稱,但是 DNS 組態未正確設定為 CNAME 記錄或 Amazon Route 53 別名資源記錄。
+ 黃色:CloudFront 分佈包含備用網域名稱,但是因為有太多重新導向, Trusted Advisor 無法評估 DNS 組態。
+ 黃色:CloudFront 分佈包含備用網域名稱,但是由於某些其他原因 (很可能是因為逾時), Trusted Advisor 無法評估 DNS 組態。
**建議的動作**
更新 DNS 組態,以將 DNS 查詢路由到 CloudFront 分佈;請參閱[使用備用網域名稱 (CNAME)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html)。
如果您要將 Amazon Route 53 作為 DNS 服務,請參閱[使用您的網域名稱將流量路由到 Amazon CloudFront Web 分佈](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-cloudfront-distribution.html)。如果檢查已逾時,請嘗試重新整理檢查。
**其他資源**
《[Amazon CloudFront 開發人員指南](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/)》
**報告欄位**
+ 狀態
+ 分佈 ID
+ 分佈網域名稱
+ 備用網域名稱
+ Reason
## CloudFront 內容交付最佳化
**Description**
使用 Amazon CloudFront 全域內容交付服務,檢查是否可以加速從 Amazon Simple Storage Service (Amazon S3) 儲存貯體傳輸資料的案例。 AWS
將 CloudFront 設定為交付內容時,對內容發出的請求會自動路由到離快取內容的最近節點。此路由能以最佳的效能將內容交付給您的使用者。與儲存在儲存貯體中的資料相比,若傳出的資料比率高,表示您可受益於使用 Amazon CloudFront 來交付資料。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`796d6f3D83`
**警示條件**
+ 黃色:在檢查前 30 天內,透過 GET 請求從儲存貯體傳輸至使用者的資料量,至少是儲存在儲存貯體中平均資料量的 25 倍。
+ 紅色:在檢查前 30 天內,透過 GET 請求從儲存貯體傳輸給使用者的資料量至少為 10 TB,至少是儲存在儲存貯體中平均資料量的 25 倍。
**建議的動作**
考慮使用 CloudFront 取得更好的效能。請參閱 [Amazon CloudFront 產品詳細資訊](https://aws.amazon.com/cloudfront/details)。
如果每月傳輸的資料超過 10 TB,請參閱 [Amazon CloudFront 定價](https://aws.amazon.com/cloudfront/pricing)探索可能實現的成本節省。
**其他資源**
+ 《[Amazon CloudFront 開發人員指南](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/)》
+ [AWS 案例研究:PBS](https://aws.amazon.com/solutions/case-studies/pbs/)
**報告欄位**
+ 狀態
+ 區域
+ 儲存貯體名稱
+ S3 儲存體 (GB)
+ 資料傳出 (GB)
+ 傳輸與儲存的比率
## CloudFront 標頭轉送和快取命中率
**Description**
此檢查適用於傳統 Amazon CloudFront 分佈。
檢查 CloudFront 目前從用戶端接收並轉送至原始伺服器的 HTTP 請求標頭。
某些標頭 (例如日期或使用者代理程式) 會大幅降低快取命中率 (從 CloudFront 邊緣快取提供的請求比例)。這會增加原始伺服器的負載並降低效能,因為 CloudFront 必須將更多的請求轉送到原始伺服器。
**檢查 ID**
`N415c450f2`
**警示條件**
黃色:CloudFront 轉送至原始伺服器的一個或多個請求標頭可能會大幅降低快取命中率。
**建議的動作**
考慮使用請求標頭的好處是否足夠抵消對快取命中率的負面影響。如果無論標頭值是什麼,原始伺服器都會傳回相同物件,建議您不要將 CloudFront 設定為將該標頭轉送到原始伺服器。如需詳細資訊,請參閱[將 CloudFront 設定為根據請求標頭快取物件](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/header-caching.html)。
**其他資源**
+ [增加 CloudFront 邊緣快取提供的請求比例](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html#cache-hit-ratio-request-headers)
+ [CloudFront 快取統計資料報告](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-statistics.html)
+ [HTTP 請求標頭和 CloudFront 行為](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-headers-behavior)
**報告欄位**
+ 分佈 ID
+ 分佈網域名稱
+ 快取行為路徑模式
+ 標頭
## 高 CPU 使用率 Amazon EC2 執行個體
**Description**
檢查過去 14 天內在任何時間執行的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。如果四天或以上天數的每日 CPU 使用率超過 90%,則會傳送提醒。
穩定的高使用率可能表示最佳化、穩定的效能。不過也可能表示應用程式的資源不足。若要取得每日 CPU 使用率資料,請下載此檢查的報告。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`ZRxQlPsb6c`
**警示條件**
黃色:在過去 14 天中,至少有 4 天執行個體每日平均 CPU 使用率超過 90%。
**建議的動作**
請考慮新增更多執行個體。如需有關根據需求調整執行個體數量的詳細資訊,請參閱 [Auto Scaling 是什麼?](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/WhatIsAutoScaling.html)
**其他資源**
+ [監控 Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-monitoring.html)
+ [執行個體中繼資料與使用者資料](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AESDG-chapter-instancedata.html)
+ 《[Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/)》
+ 《[Amazon EC2 Auto Scaling 使用者指南](https://docs.aws.amazon.com/autoscaling/latest/userguide/)》
**報告欄位**
+ 區域/可用區域
+ 執行個體 ID
+ 執行個體類型
+ 執行個體名稱
+ 14 天平均 CPU 使用率
+ CPU 使用率超過 90% 的天數
# 安全
您可以針對安全類別使用下列檢查。
**注意**
如果您為 啟用 Security Hub CSPM AWS 帳戶,您可以在 Trusted Advisor 主控台中檢視問題清單。如需相關資訊,請參閱[在 中檢視 AWS Security Hub CSPM 控制項 AWS Trusted Advisor](security-hub-controls-with-trusted-advisor.md)。
您可以檢視 AWS 基礎安全最佳實務安全標準中的所有控制項,但具有**類別:復原 > 恢復能力**的控制項*除外*。如需支援的控制項清單,請參閱《AWS Security Hub CSPM 使用者指南》**中的 [AWS 基礎安全最佳實務控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html)。
**Contents**
+ [
## Application Load Balancer 安全群組
](#alb-security-group)
+ [
## Amazon CloudWatch 日誌群組保留期間
](#cloudwatch-log-group-retention-less-than-365)
+ [
## Microsoft SQL 伺服器終止支援的 Amazon EC2 執行個體
](#ec2-instances-with-sql-server-end-of-support)
+ [
## Microsoft Windows Server 終止支援的 Amazon EC2 執行個體
](#ec2-instances-with-windows-server-end-of-support)
+ [
## 具有 Ubuntu LTS 終止標準支援的 Amazon EC2 執行個體
](#amazon-ec2-instances-ubuntu-lts-end-of-standard-support)
+ [
## 未使用data-in-transit加密的 Amazon EFS 用戶端
](#amazon-efs-clients-not-using-data-in-transit-encryption)
+ [
## Amazon EBS 公有快照
](#amazon-ebs-public-snapshots)
+ [
## Amazon RDS Aurora 儲存加密已關閉
](#amazon-rds-aurora-storage-encryption-off)
+ [
## 需要 Amazon RDS 引擎次要版本升級
](#amazon-rds-engine-minor-version-upgrade-required)
+ [
## Amazon RDS 公有快照
](#amazon-rds-public-snapshots)
+ [
## Amazon RDS 安全群組存取風險
](#amazon-rds-security-group-access-risk)
+ [
## Amazon RDS 儲存加密已關閉
](#amazon-rds-storage-encryption-off)
+ [
## Amazon Route 53 不符合指向 S3 儲存貯體的 CNAME 記錄
](#amazon-route-53-mismatching-cname-records-s3-buckets)
+ [
## Amazon Route 53 MX 資源記錄集和寄件者政策架構
](#amazon-route-53-mx-resorc-resource-record-sets-sender-policy-framework)
+ [
## Amazon S3 儲存貯體許可
](#amazon-s3-bucket-permissions)
+ [
## 已停用具有 DNS 解析的 Amazon VPC 對等互連
](#amazon-vpc-peering-connections-no-dns-resolution)
+ [
## Application Load Balancer 目標群組加密的通訊協定
](#application-load-balancer-target-groups)
+ [
## AWS Backup 無資源型政策的保存庫,以防止刪除復原點
](#backup-vault-without-resource-based-policy-prevent-delete)
+ [
## AWS CloudTrail 管理事件記錄
](#aws-cloudtrail-man-events-log)
+ [
## AWS Lambda 使用已棄用執行時間的函數
](#aws-lambda-functions-deprecated-runtimes)
+ [
## AWS Well-Architected 安全性的高風險問題
](#well-architected-high-risk-issues-security)
+ [
## IAM 憑證存放區中的 CloudFront 自訂 SSL 憑證
](#cloudfront-custom-ssl-certificates-iam-certificate-store)
+ [
## 原始伺服器上的 CloudFront SSL 憑證
](#cloudfront-ssl-certificate-origin-server)
+ [
## ELB 接聽程式安全性
](#elb-listener-security)
+ [
## Classic Load Balancer 安全群組
](#elb-security-groups)
+ [
## 存取金鑰已暴露
](#exposed-access-keys)
+ [
## IAM 存取金鑰輪換
](#iam-access-key-rotation)
+ [
## IAM Access Analyzer 外部存取
](#iam-access-analyzer-external-access)
+ [
## IAM 密碼政策
](#iam-password-policy)
+ [
## IAM SAML 2.0 身分提供者
](#iam-saml-identity-provider)
+ [
## 根帳戶的 MFA
](#mfa-root-account)
+ [
## 根使用者存取金鑰
](#root-user-access-key)
+ [
## 安全群組-— 不受限制的特定連接埠
](#security-groups-specific-ports-unrestricted)
+ [
## 安全群組 - 不受限制的存取
](#security-groups-unrestricted-access)
## Application Load Balancer 安全群組
**Description**
檢查連接到 Application Load Balancer 及其 Amazon EC2 目標的安全群組。Application Load Balancer 安全群組應僅允許在接聽程式中設定的傳入連接埠。在目標從負載平衡器接收流量的相同連接埠中,目標的安全群組不應接受來自網際網路的直接連線。
如果安全群組允許存取未針對負載平衡器設定的連接埠,或允許直接存取目標,則資料遺失或惡意攻擊的風險會增加。
此檢查不包括下列群組:
+ 與 IP 地址或 EC2 執行個體無關的目標群組。
+ IPv6 流量的安全群組規則。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`8604e947f2`
**警示條件**
+ 紅色:目標具有公有 IP 和安全群組,允許目標控制連接埠上來自任何地方的傳入連線 (0.0.0.0/0)。
+ 紅色:目標具有公有 IP 和安全群組,允許來自任何地方 (0.0.0.0/0) 流量連接埠上的傳入連線。
+ 紅色:Application Load Balancer 已啟用身分驗證,目標允許來自任何地方 (0.0.0.0/0) 流量連接埠上的傳入連線。
+ 黃色:目標的安全群組允許來自任何地方 (0.0.0.0/0) 流量連接埠上的傳入連線。
+ 黃色:目標的安全群組允許目標控制連接埠上來自任何地方的傳入連線 (0.0.0.0/0)。
+ 黃色:Application Load Balancer 安全群組允許沒有對應接聽程式的連接埠上的傳入連線。
+ 黃色:目標的安全群組允許來自未連接到 Application Load Balancer 之安全群組的目標控制連接埠上的傳入連線。
+ 綠色:Application Load Balancer 安全群組僅允許連接埠上與接聽程式相符的傳入連線。
**建議的動作**
為了提高安全性,請確定您的安全群組只允許必要的流量流程:
+ Application Load Balancer 的安全群組應僅允許對其接聽程式中設定的相同連接埠進行傳入連線。
+ 使用負載平衡器和目標的專屬安全群組。
+ 目標安全群組應僅允許流量連接埠中來自與其相關聯的負載平衡器 (s) 的連線。
+ 目標安全群組應僅允許目標控制連接埠中的連線來自與其相關聯的負載平衡器 (s)。
**其他資源**
+ [使用安全群組控制 AWS 資源的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Application Load Balancer 的安全群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)
**報告欄位**
+ 狀態
+ 區域
+ 目標群組
+ ALB 名稱
+ ALB SG ID
+ 目標 SG ID
+ 啟用身分驗證
+ 上次更新時間
## Amazon CloudWatch 日誌群組保留期間
**Description**
檢查 Amazon CloudWatch 日誌群組保留期間是否設定為 365 天或其他指定的天數。
根據預設,日誌將無限期保留且永遠不會過期。不過,您可以調整每個日誌群組的保留原則,以符合特定期間的產業法規或法律要求。
您可以使用 AWS Config 規則中的 **LogGroupNames** 和 **MinRetentionTime** 參數來指定最短保留時間和日誌群組名稱。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz186`
**來源**
`AWS Config Managed Rule: cw-loggroup-retention-period-check`
**警示條件**
黃色:Amazon CloudWatch 日誌群組的保留期間少於所需的最短天數。
**建議的動作**
為儲存在 Amazon CloudWatch Logs 中的日誌資料設定超過 365 天的保留期間,以符合法規遵循要求。
如需詳細資訊,請參閱[更改在 CloudWatch Logs 中的日誌資料保留期](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)。
**其他資源**
[更改 CloudWatch 日誌保留](https://docs.aws.amazon.com/managedservices/latest/userguide/log-customize-retention.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Microsoft SQL 伺服器終止支援的 Amazon EC2 執行個體
**Description**
檢查過去 24 小時內用於執行 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 SQL 伺服器版本。這項檢查會在版本接近或已達到終止支援時發出提醒。每個 SQL 伺服器版本都提供 10 年的支援,包括 5 年的主流支援和 5 年的延長支援。終止支援後,SQL 伺服器版本將不會收到定期的安全更新。使用不支援的 SQL 伺服器版本執行應用程式可能會帶來安全或法規遵循風險。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Qsdfp3A4L3`
**警示條件**
+ 紅色:EC2 執行個體具有已終止支援的 SQL Server 版本。
+ 黃色:EC2 執行個體具有即將在 12 個月終止支援的 SQL Server 版本。
**建議的動作**
若要將 SQL Server 工作負載現代化,請考慮將其重構到 AWS 雲端 原生資料庫,如 Amazon Aurora。如需詳細資訊,請參閱[使用 現代化 Windows 工作負載 AWS](https://aws.amazon.com/windows/modernization/)。
若要移至全受管資料庫,請考慮將其平台轉換為 Amazon Relational Database Service (Amazon RDS)。如需詳細資訊,請參閱 [Amazon RDS for SQL Server](https://aws.amazon.com/rds/sqlserver/)。
若要在 Amazon EC2 上升級您的 SQL Server,請考慮使用自動化 Runbook 簡化您的升級。如需詳細資訊,請參閱 [AWS Systems Manager 文件](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awsec2-CloneInstanceAndUpgradeSQLServer.html)。
如果您無法在 Amazon EC2 上升級 SQL Server,請考慮使用 Windows Server 的終止支援遷移計劃 (EMP)。如需詳細資訊,請參閱 [EMP 網站](https://aws.amazon.com/emp-windows-server/)。
**其他資源**
+ [使用 準備好 SQL Server 終止支援 AWS](https://aws.amazon.com/sql/sql2008-eos/)
+ [將 Microsoft SQL Server 遷移至 AWS](https://aws.amazon.com/sql)
**報告欄位**
+ 狀態
+ 區域
+ 執行個體 ID
+ SQL Server 版本
+ 支援週期
+ 終止支援
+ 上次更新時間
## Microsoft Windows Server 終止支援的 Amazon EC2 執行個體
**Description**
如果您的 Microsoft Windows Server 版本接近或已終止支援,此檢查會提醒您。每個 Windows Server 版本都提供 10 年的支援,包括 5 年的主流支援和 5 年的延伸支援。支援結束後,Windows Server 版本不會定期收到安全性更新。使用不支援的 Windows Server 版本執行應用程式可能會帶來安全或合規風險。
此檢查會根據用來啟動 EC2 執行個體的 AMI 產生結果。目前的執行個體作業系統可能與其啟動 AMI 不同。例如,如果您從 Windows Server 2016 AMI 啟動執行個體,並稍後升級至 Windows Server 2019,則啟動 AMI 不會變更。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Qsdfp3A4L4`
**警示條件**
+ 紅色:EC2 執行個體會在終止支援的 Windows Server 版本 (Windows Server 2003、2003 R2、2008 和 2008 R2) 上執行。
+ 黃色:EC2 執行個體會在不到 18 個月 (Windows Server 2012 和 2012 R2) 內終止支援的 Windows Server 版本上執行。
**建議的動作**
若要現代化 Windows Server 工作負載,請考慮[使用現代化 Windows 工作負載 AWS](https://aws.amazon.com/windows/modernization/)上可用的各種選項。
若要升級您的 Windows Server 工作負載,以便在更新版本的 Windows Server 上執行,您可以使用自動化 Runbook。如需詳細資訊,請參閱 [AWS Systems Manager 文件](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/os-inplaceupgrade.html)。
請完成下列步驟:
+ 升級 Windows Server 版本
+ 硬停止並在升級時啟動
+ 如果使用 EC2Config,請遷移至 EC2Launch
**報告欄位**
+ 狀態
+ 區域
+ 執行個體 ID
+ Windows Server 版本
+ 支援週期
+ 終止支援
+ 上次更新時間
## 具有 Ubuntu LTS 終止標準支援的 Amazon EC2 執行個體
**Description**
此檢查會在版本接近或已達到標準支援結束時提醒您。請務必採取動作 – 遷移至下一個 LTS 或升級至 Ubuntu Pro。支援結束後,您的 18.04 LTS 機器將不會收到任何安全性更新。透過 Ubuntu Pro 訂閱,您的 Ubuntu 18.04 LTS 部署可以接收擴充安全維護 (ESM),直到 2028 年為止。保持未修補的安全漏洞會將您的系統開放給駭客,以及重大違規的可能性。
此檢查的結果至少每天自動重新整理一次,不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch15`
**警示條件**
紅色:Amazon EC2 執行個體的 Ubuntu 版本已達到標準支援結束 (Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS 和 18.04.6 LTS)。
黃色:Amazon EC2 執行個體的 Ubuntu 版本將在不到 6 個月內達到標準支援結束 (Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、 LTS、20.04.5 LTS 和 20.04.6 LTS)。
綠色:所有 Amazon EC2 執行個體都合規。
**建議的動作**
若要將 Ubuntu 18.04 LTS 執行個體升級至支援的 LTS 版本,請遵循[本文](https://ubuntu.com/server/docs/upgrade-introduction)所述的步驟。若要將 Ubuntu 18.04 LTS 執行個體升級至 [Ubuntu Pro](https://aws.amazon.com/about-aws/whats-new/2023/04/amazon-ec2-ubuntu-pro-subscription-model/),請造訪 AWS License Manager 主控台並遵循[AWS License Manager 使用者指南](https://docs.aws.amazon.com/license-manager/latest/userguide/license-conversion.html)中所述的步驟。您也可以參考 [Ubuntu 部落格](https://discourse.ubuntu.com/t/how-to-upgrade-ubuntu-lts-to-ubuntu-pro-on-aws-using-aws-license-manager/35449),其中顯示將 Ubuntu 執行個體升級至 Ubuntu Pro 的逐步示範。
**其他資源**
如需定價的相關資訊,請聯絡 [支援](https://aws.amazon.com/support)。
**報告欄位**
+ 狀態
+ 區域
+ Ubuntu Lts 版本
+ 預期的支援結束日期
+ 執行個體 ID
+ 支援週期
+ 上次更新時間
## 未使用data-in-transit加密的 Amazon EFS 用戶端
**Description**
檢查 Amazon EFS 檔案系統是否使用data-in-transit加密進行掛載。 AWS 建議客戶對所有資料流程使用data-in-transit資料加密,以防止資料意外暴露或未經授權的存取。Amazon EFS 建議用戶端使用 Amazon EFS 掛載協助程式來使用 TLS v1.2 加密傳輸中的資料。
**檢查 ID**
` c1dfpnchv1`
**警示條件**
黃色:Amazon EFS 檔案系統的一或多個 NFS 用戶端未使用提供data-in-transit加密的建議掛載設定。
綠色:Amazon EFS 檔案系統的所有 NFS 用戶端都使用提供data-in-transit加密的建議掛載設定。
**建議的動作**
若要利用 Amazon EFS data-in-transit加密功能,建議您使用 Amazon EFS 掛載協助程式和建議的掛載設定來重新掛載檔案系統。
根據預設,某些 Linux 發行版本不包含支援 TLS 功能的 stunnel 版本。如果您使用的是不支援的 Linux 發行版本 (請參閱《*Amazon Elastic File System 使用者指南*》中的[支援的發行](https://docs.aws.amazon.com/efs/latest/ug/using-amazon-efs-utils.html#efs-utils-supported-distros)版本),則最佳實務是在使用建議的掛載設定重新掛載之前進行升級。
**其他資源**
+ [加密傳輸中的資料](https://docs.aws.amazon.com/efs/latest/ug/encryption-in-transit.html)
**報告欄位**
+ 狀態
+ 區域
+ EFS 檔案系統 ID
+ 具有未加密連線的 AZs
+ 上次更新時間
## Amazon EBS 公有快照
**Description**
檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區快照的許可設定,並在任何快照可公開存取時提醒您。
當您公開快照時,可以讓所有 AWS 帳戶 和 使用者存取快照上的所有資料。若要僅與特定使用者或帳戶共用快照,請將快照標記為私有。然後,指定您要與其共用快照資料的使用者或帳戶。請注意,如果您已在「封鎖所有共用」模式中啟用封鎖公開存取,則您的公有快照將無法公開存取,也不會出現在此檢查的結果中。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會出現。
**檢查 ID**
`ePs02jT06w`
**警示條件**
紅色:EBS 磁碟區快照可公開存取。
**建議的動作**
除非您確定要與所有 AWS 帳戶 和使用者共用快照中的所有資料,否則請修改許可:將快照標記為私有,然後指定您要授予許可的帳戶。如需詳細資訊,請參閱[共用 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)。使用 EBS 快照的封鎖公開存取來控制允許公開存取您的資料的設定。此檢查無法從 Trusted Advisor 主控台的檢視中排除。
若要直接修改快照的許可,請在 AWS Systems Manager 主控台中使用 Runbook。如需詳細資訊,請參閱[https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyebssnapshotpermission.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyebssnapshotpermission.html)。
**其他資源**
[Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html)
**報告欄位**
+ 狀態
+ 區域
+ 磁碟區 ID
+ 快照 ID
+ Description
## Amazon RDS Aurora 儲存加密已關閉
**Description**
Amazon RDS 使用您管理的金鑰,支援所有資料庫引擎的靜態加密 AWS Key Management Service。在具有 Amazon RDS 加密的作用中資料庫執行個體上,儲存體中存放的靜態資料會加密,類似於自動備份、僅供讀取複本和快照。
如果在建立 Aurora 資料庫叢集時未開啟加密,則必須將解密的快照還原至加密的資料庫叢集。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt005`
**警示條件**
紅色:Amazon RDS Aurora 資源未啟用加密。
**建議的動作**
為您的資料庫叢集開啟靜態資料加密。
**其他資源**
您可以在建立資料庫執行個體時開啟加密,或使用解決方法在作用中資料庫執行個體上開啟加密。您無法將解密的資料庫叢集修改為加密的資料庫叢集。不過,您可以將解密的快照還原至加密的資料庫叢集。從解密的快照還原時,您必須指定 AWS KMS 金鑰。
如需詳細資訊,請參閱[加密 Amazon Aurora 資源](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)。
**報告欄位**
+ 狀態
+ 區域
+ 解析
+ 引擎名稱
+ 上次更新時間
## 需要 Amazon RDS 引擎次要版本升級
**Description**
您的資料庫資源未執行最新的次要資料庫引擎版本。最新的次要版本包含最新的安全性修正和其他改進。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt003`
**警示條件**
黃色:Amazon RDS 資源未執行最新的次要資料庫引擎版本。
**建議的動作**
升級至最新的引擎版本。
**其他資源**
我們建議您使用最新的資料庫引擎次要版本來維護資料庫,因為此版本包含最新的安全性和功能修正。資料庫引擎次要版本升級僅包含與資料庫引擎相同主要版本之較早次要版本回溯相容的變更。
如需詳細資訊,請參閱[升級資料庫執行個體引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html)。
**報告欄位**
+ 狀態
+ 區域
+ 解析
+ 引擎名稱
+ 引擎版本目前
+ 建議值
+ 上次更新時間
## Amazon RDS 公有快照
**Description**
檢查 Amazon Relational Database Service (Amazon RDS) 資料庫快照的許可設定,並在任何快照標示為公有時發出提醒。
當您公開快照時,可以讓所有 AWS 帳戶 和 使用者存取快照上的所有資料。如果您只想與特定使用者或帳戶共用快照,請將快照標示為私有。然後指定您要共用快照資料的使用者或帳戶。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會出現。
**檢查 ID**
`rSs93HQwa1`
**警示條件**
紅色:Amazon RDS 快照標記為公有。
**建議的動作**
除非您確定要與所有 AWS 帳戶 和使用者共用快照中的所有資料,否則請修改許可:將快照標記為私有,然後指定您要授予許可的帳戶。如需詳細資訊,請參閱[共用資料庫快照或資料庫叢集快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html)。此檢查無法從 Trusted Advisor 主控台的檢視中排除。
若要直接修改快照的許可,您可以在 AWS Systems Manager 主控台中使用 Runbook。如需詳細資訊,請參閱[https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyrdssnapshotpermission.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyrdssnapshotpermission.html)。
**其他資源**
[備份與還原 Amazon RDS 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_CommonTasks.BackupRestore.html)
**報告欄位**
+ 狀態
+ 區域
+ 資料庫執行個體或叢集 ID
+ 快照 ID
## Amazon RDS 安全群組存取風險
**Description**
檢查 Amazon Relational Database Service (Amazon RDS) 的安全群組組態,並在安全群組規則授予過度寬鬆的資料庫許可存取權時發出警告。建議的安全群組規則組態是僅允許從特定的 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組或特定 IP 地址存取。
此檢查只會評估連接到toAmazon [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 外部執行之 Amazon RDS 執行個體的安全群組。
**檢查 ID**
`nNauJisYIT`
**警示條件**
+ 黃色:資料庫安全群組規則參考的 Amazon EC2 安全群組會授予對下列其中一個連接埠的全域存取權:20、21、22、1433、1434、3306、3389、4333、5432、5500。
+ 紅色:資料庫安全群組規則會授予全域存取權 (CIDR 規則尾碼為 /0)。
+ 綠色:資料庫安全群組不包含允許規則。
**建議的動作**
EC2-Classic 在 2022 年 8 月 15 日淘汰。建議您將 Amazon RDS 執行個體移至 VPC,並使用 Amazon EC2 安全群組。如需將資料庫執行個體移至 VPC 的詳細資訊,請參閱[將不在 VPC 中的資料庫執行個體移至 VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.Non-VPC2VPC.html)。
如果您無法將 Amazon RDS 執行個體遷移至 VPC,請檢閱您的安全群組規則,並限制對授權 IP 地址或 IP 範圍的存取。若要編輯安全群組,請使用 [AuthorizeDBSecurityGroupIngress](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AuthorizeDBSecurityGroupIngress.html) API 或 AWS 管理主控台。如需詳細資訊,請參閱[使用資料庫安全群組](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithSecurityGroups.html)。
**其他資源**
+ [Amazon RDS 安全群組](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html)
+ [無類別網域間路由](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [TCP 和 UDP 連接埠號碼清單](https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)
**報告欄位**
+ 狀態
+ 區域
+ RDS 安全群組名稱
+ 輸入規則
+ Reason
## Amazon RDS 儲存加密已關閉
**Description**
Amazon RDS 使用您管理的金鑰,支援所有資料庫引擎的靜態加密 AWS Key Management Service。在具有 Amazon RDS 加密的作用中資料庫執行個體上,儲存體中存放的靜態資料會加密,類似於自動備份、僅供讀取複本和快照。
如果在建立資料庫執行個體時未開啟加密,則必須先還原解密快照的加密複本,才能開啟加密。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt006`
**警示條件**
紅色:Amazon RDS 資源未啟用加密。
**建議的動作**
為您的資料庫執行個體開啟靜態資料加密。
**其他資源**
您只能在建立資料庫執行個體時加密資料庫執行個體。若要加密現有的作用中資料庫執行個體:
**建立原始資料庫執行個體的加密複本**
1. 建立資料庫執行個體的快照。
1. 建立步驟 1 中建立之快照的加密副本。
1. 從加密快照還原資料庫執行個體。
如需詳細資訊,請參閱下列資源:
+ [加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [複製資料庫快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CopySnapshot.html)
**報告欄位**
+ 狀態
+ 區域
+ 解析
+ 引擎名稱
+ 上次更新時間
## Amazon Route 53 不符合指向 S3 儲存貯體的 CNAME 記錄
**Description**
檢查 CNAME 記錄指向 Amazon S3 儲存貯體主機名稱的 Amazon Route 53 託管區域,並在 CNAME 與您的 S3 儲存貯體名稱不相符時發出警示。
**檢查 ID**
`c1ng44jvbm`
**警示條件**
紅色:Amazon Route 53 託管區域具有指向不相符 S3 儲存貯體主機名稱的 CNAME 記錄。
綠色:在您的 Amazon Route 53 託管區域中找不到不相符的 CNAME 記錄。
**建議的動作**
將 CNAME 記錄指向 S3 儲存貯體主機名稱時,您必須確定您設定的任何 CNAME 或別名記錄都有相符的儲存貯體。透過這樣做,您可以避免 CNAME 記錄被欺騙的風險。您也可以防止任何未經授權的 AWS 使用者使用您的網域託管故障或惡意的 Web 內容。
若要避免將 CNAME 記錄直接指向 S3 儲存貯體主機名稱,請考慮使用原始存取控制 (OAC) 透過 Amazon CloudFront 存取 S3 儲存貯體 Web 資產。
如需將 CNAME 與 Amazon S3 儲存貯體主機名稱建立關聯的詳細資訊,請參閱[使用 CNAME 記錄自訂 Amazon S3 URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingCustomURLs)。
**其他資源**
+ [如何將主機名稱與 Amazon S3 儲存貯體建立關聯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingCustomURLsHowTo)
+ [使用 CloudFront 限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)
**報告欄位**
+ 狀態
+ 託管區域 ID
+ 託管區域 ARN
+ 比對 CNAME 記錄
+ 不相符的 CNAME 記錄
+ 上次更新時間
## Amazon Route 53 MX 資源記錄集和寄件者政策架構
**Description**
對於每個 MX 記錄, 會檢查包含有效 SPF 值的相關聯 TXT 記錄。TXT 記錄值必須以「v=spf1」開頭。網際網路工程任務小組 (IETF) 已棄用 SPF 記錄類型。使用 Route 53 時,最佳實務是使用 TXT 記錄而非 SPF 記錄。當 MX 記錄至少有一個具有有效 SPF 值的相關聯 TXT 記錄時, 會將此檢查 Trusted Advisor 報告為綠色。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`c9D319e7sG`
**警示條件**
+ 綠色:MX 資源記錄集具有包含有效 SPF 值的 TXT 資源記錄。
+ 黃色:MX 資源記錄集具有 TXT 或 SPF 資源記錄,其中包含有效的 SPF 值。
+ 紅色:MX 資源記錄集沒有包含有效 SPF 值的 TXT 或 SPF 資源記錄。
**建議的動作**
針對每個 MX 資源記錄集,建立包含有效 SPF 值的 TXT 或 SPF 資源記錄集。如需詳細資訊,請參閱 [Sender Policy Framework: SPF Record Syntax](http://www.open-spf.org/SPF_Record_Syntax) (寄件者政策架構:SPF 記錄語法) 和 [Creating Resource Record Sets By Using the Amazon Route 53 Console](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/RRSchanges_console.html) (使用 Amazon Route 53 主控台來建立資源記錄集)。
**其他資源**
+ [MX 記錄類型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#MXFormat)
+ [SPF 記錄類型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#SPFFormat)
+ [re:Post 指引](https://repost.aws/knowledge-center/route53-spf-record)
+ [RFC 7208](https://tools.ietf.org/html/rfc7208#section-14.1)
**報告欄位**
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 狀態
## Amazon S3 儲存貯體許可
**Description**
檢查 Amazon Simple Storage Service (Amazon S3) 中具有開放存取許可或允許存取任何已驗證 AWS 使用者的儲存貯體。
此檢查會檢查明確的儲存貯體許可,以及可能會覆寫這些許可的儲存貯體政策。建議不要將 Amazon S3 儲存貯體的 List 存取權授予所有使用者。這些許可有可能導致非預期的使用者以高頻率列出儲存貯體中的物件,進而造成費用高於預期。授予上傳和刪除存取權給所有人的許可,可能會導致儲存貯體中出現安全漏洞。
**檢查 ID**
`Pfx0RwqBli`
**警示條件**
+ 紅色:儲存貯體 ACL 允許**所有人**的清單存取或上傳/刪除存取,或未啟用**任何已驗證 AWS 的使用者**和**封鎖公開存取**設定。
+ 紅色:儲存貯體政策允許公開存取,而且未啟用**封鎖公開存取**設定。
+ Red: Trusted Advisor 沒有檢查政策的許可,或者由於其他原因無法評估政策。
+ 黃色:儲存貯體政策允許公有存取,但**限制公有儲存貯體**設定已開啟,且僅限該帳戶的授權使用者存取。
+ 黃色:儲存貯體合規,但未啟用完整的**封鎖公開存取**保護。
+ 綠色:儲存貯體符合規範,並已啟用完整的**封鎖公開存取**保護。
啟用封鎖公開存取**忽略公有 ACL 時,不會評估公有 ACLs** 授予。
**建議的動作**
如果儲存貯體授予開放式存取權,請確定是否真的需要開放式存取權。例如,若要託管靜態網站,您可以使用 Amazon CloudFront 來提供 Amazon S3 上託管的內容。請參閱《[Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 Amazon CloudFront 可能的話,請更新儲存貯體許可,以限制擁有者或特定使用者的存取權。使用 Amazon S3 封鎖公開存取,控制允許公開存取資料的設定。設定[設定儲存貯體及物件存取許可](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/set-permissions.html)。
**其他資源**
[管理對您 Amazon S3 資源的存取許可](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
[設定 Amazon S3 儲存貯體的封鎖公開存取設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)
**報告欄位**
+ 狀態
+ 區域名稱
+ 區域 API 參數
+ 儲存貯體名稱
+ ACL 允許 List 存取權
+ ACL 允許 Upload 和 Delete 存取權
+ 政策允許存取權
## 已停用具有 DNS 解析的 Amazon VPC 對等互連
**Description**
檢查您的 VPC 對等互連是否同時為接受者和請求者 VPC 開啟 DNS 解析。
VPC 對等互連的 DNS 解析可在從 VPC 查詢時,將公用 DNS 主機名稱解析為私有 IPv4 地址。這允許使用 DNS 名稱在對等 VPC 中的資源之間進行通訊。VPC 對等互連中的 DNS 解析可讓應用程式開發和管理變得更簡單、更不容易出錯,並確保資源一律會透過 VPC 對等互連進行私密通訊。
您可以使用 AWS Config 規則中的 **vpcIds** 參數來指定 VPC IDs。
如需詳細資訊,請參閱[啟用 VPC 對等互連的 DNS 解析](https://docs.aws.amazon.com/vpc/latest/peering/modify-peering-connections.html#vpc-peering-dns)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz124`
**來源**
`AWS Config Managed Rule: vpc-peering-dns-resolution-check`
**警示條件**
黃色:VPC 對等互連中的接受者和請求者 VPC 皆未啟用 DNS 解析。
**建議的動作**
開啟 VPC 對等互連的 DNS 解析。
**其他資源**
+ [修改 VPC 對等互連連線選項](https://docs.aws.amazon.com/vpc/latest/peering/modify-peering-connections.html#vpc-peering-dns)
+ [VPC 中的 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Application Load Balancer 目標群組加密的通訊協定
**Description**
檢查 Application Load Balancer (ALB) 目標群組正在使用 HTTPS 通訊協定來加密傳輸中執行個體或 IP 後端目標類型的通訊。ALB 和後端目標之間的 HTTPS 請求有助於維護傳輸中資料的資料機密性。
**檢查 ID**
`c2vlfg0p1w`
**警示條件**
+ 黃色:使用 HTTP 的 Application Load Balancer 目標群組。
+ 綠色:使用 HTTPS 的 Application Load Balancer 目標群組。
**建議的動作**
設定後端目標類型的執行個體或 IP 以支援 HTTPS 存取,並將目標群組變更為使用 HTTPS 通訊協定來加密 ALB 與後端目標類型的執行個體或 IP 之間的通訊。
**其他資源**
[強制執行傳輸中的加密](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html)
[Application Load Balancer 目標類型](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-type)
[Application Load Balancer 路由組態](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-group-routing-configuration)
[Elastic Load Balancing 中的資料保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/data-protection.html)
**報告欄位**
+ 狀態
+ 區域
+ ALB Arn
+ ALB 名稱
+ ALB VPC ID
+ 目標群組 Arn
+ 目標群組名稱
+ 目標群組通訊協定
+ 上次更新時間
## AWS Backup 無資源型政策的保存庫,以防止刪除復原點
**Description**
檢查 AWS Backup 保存庫是否具有連接的資源型政策,以防止復原點刪除。
資源型政策可防止意外刪除復原點,讓您以最低權限對備份資料強制執行存取控制。
您可以指定您不希望規則在規則的 **principalArnList** 參數中檢查的 AWS Config AWS Identity and Access Management ARNs。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz152`
**來源**
`AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled`
**警示條件**
黃色:有保存 AWS Backup 庫沒有資源型政策以防止刪除復原點。
**建議的動作**
為您的保存 AWS Backup 庫建立資源型政策,以防止意外刪除復原點。
此政策必須包含具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle,以及 backup:PutBackupVaultAccessPolicy 許可的「拒絕」陳述式。
如需詳細資訊,請參閱[設定備份文件庫的存取政策](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CloudTrail 管理事件記錄
**Description**
檢查您對 的使用 AWS CloudTrail。CloudTrail 可讓您更清楚了解 中的活動 AWS 帳戶。它透過記錄帳戶上 API AWS 呼叫的相關資訊來執行此操作。例如,您可以使用這些日誌來判斷特定使用者在指定時段內採取的動作,或是哪些使用者在指定時段內對特定資源採取了動作。
由於 CloudTrail 會將日誌檔案交付至 Amazon Simple Storage Service (Amazon S3) 儲存貯體,因此 CloudTrail 必須擁有儲存貯體的寫入許可。如果線索套用到所有 AWS 區域 (建立新線索時的預設值),則線索會在 Trusted Advisor 報告中出現多次。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c25hn9x03v`
**警示條件**
+ 紅色:不會為 建立線索 AWS 區域,也不會為任何線索啟用記錄。
+ 黃色:CloudTrail 已啟用,但所有線索都會報告日誌交付錯誤。
+ 綠色:CloudTrail 已啟用,不會報告日誌交付錯誤。
**建議的動作**
若要從主控台建立追蹤並開始記錄,請開啟 [AWS CloudTrail 主控台](https://console.aws.amazon.com/cloudtrail/home)。
若要開始記錄,請參閱[停止和開始追蹤記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create_trail_using_cli.html#stopstartclil)。
如果您收到日誌交付錯誤,請確定儲存貯體存在,且必要政策已連接至儲存貯體。請參閱 [Amazon S3 儲存貯體政策](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create_trail_bucket_policy.html)。
**其他資源**
+ [AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)
+ [支援的區域](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_supported_regions.html)
+ [支援的服務](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_supported_services.html)
+ [為組織建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
**報告欄位**
+ 狀態
+ 區域
+ 已啟用記錄
+ 已回報交付錯誤
+ 上次更新時間
## AWS Lambda 使用已棄用執行時間的函數
**Description**
檢查其 \$1LATEST 版本設定為使用即將棄用或已棄用之執行時間的 Lambda 函數。已棄用的執行時間不符合安全性更新或技術支援的資格
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
已發佈的 Lambda 函數版本是不可變的,這表示可以叫用它們,但無法更新它們。只能更新 Lambda 函數的 `$LATEST` 版本。如需詳細資訊,請參閱 [Lambda 函數版本](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html)。
**檢查 ID**
`L4dfs2Q4C5`
**警示條件**
+ 紅色:函數的 \$1LATEST 版本設定為使用已棄用的執行時間。
+ 黃色:函數的 \$1LATEST 版本正在即將棄用的執行時間上執行。函數會在執行時間棄用日期前至少 180 天包含。
**建議的動作**
如果您有函數正在接近棄用的執行階段上執行,您應該準備將這些函數遷移至受支援的執行階段。如需詳細資訊,請參閱[執行階段支援政策](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html)。
建議您刪除已不再使用的先前函數版本。
**其他資源**
[Lambda 執行階段](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html)
**報告欄位**
+ 狀態
+ 區域
+ 函數 ARN
+ 執行時期
+ 距離棄用的天數
+ 取代日期
+ 平均每日叫用次數
+ 上次更新時間
## AWS Well-Architected 安全性的高風險問題
**Description**
檢查安全性支柱中,工作負載是否有高風險問題 (HRI)。這項檢查是以您的 AWS-Well Architected 檢閱為基礎。您的檢查結果取決於您是否使用 AWS Well-Architected 完成工作負載評估。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Wxdfp4B1L3`
**警示條件**
+ 紅色:在 AWS Well-Architected 的安全支柱中至少發現一個作用中的高風險問題。
+ 綠色:在 AWS Well-Architected 的安全支柱中未偵測到作用中的高風險問題。
**建議的動作**
AWS Well-Architected 在工作負載評估期間偵測到高風險問題。解決這些問題,可能有機會降低風險和節省成本。登入 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具,檢閱答案並採取行動,解決待處理的問題。
**報告欄位**
+ 狀態
+ 區域
+ 工作負載 ARN
+ 工作負載名稱
+ 檢閱者姓名
+ 工作負載類型
+ 工作負載開始日期
+ 工作負載上次修改日期
+ 安全性方面已識別的高風險問題數量
+ 安全性方面已解決的高風險問題數量
+ 安全性方面的問題數量
+ 安全性支柱中的問題總數
+ 上次更新時間
## IAM 憑證存放區中的 CloudFront 自訂 SSL 憑證
**Description**
此檢查適用於傳統 Amazon CloudFront 分佈。
檢查 IAM 憑證存放區中的 SSL 憑證是否有 CloudFront 備用網域名稱。這項檢查會在憑證過期、即將過期、使用過期的加密或未正確設定分佈時發出提醒。
當備用網域名稱的自訂憑證到期時,顯示 CloudFront 內容的瀏覽器可能會出現有關您網站安全性的警告訊息。使用 SHA-1 雜湊演算法加密的憑證已由大多數 Web 瀏覽器取代,例如 Chrome 和 Firefox。
憑證包含的網域名稱,必須與原始網域名稱或檢視者請求之主機標頭中的網域名稱相符。如果不相符,CloudFront 會傳回 HTTP 狀態代碼 502 (錯誤閘道) 給使用者。如需詳細資訊,請參閱[使用備用網域名稱與 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS)。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`N425c450f2`
**警示條件**
+ 紅色:自訂 SSL 憑證已過期。
+ 黃色:自訂 SSL 憑證會在接下來的七天內到期。
+ 黃色:自訂 SSL 憑證使用 SHA-1 雜湊演算法加密。
+ 黃色:分佈中的一個或多個備用網域名稱沒有出現在自訂 SSL 憑證的 Common Name (通用名稱) 欄位或 Subject Alternative Names (主體備用名稱) 欄位中。
**建議的動作**
建議您使用 AWS Certificate Manager 來佈建、管理和部署伺服器憑證。使用 ACM,您可以請求新的憑證,或將現有的 ACM 或外部憑證部署至 AWS 資源。ACM 提供的憑證是免費的,並且可以自動續約。如需有關使用 ACM 的詳細資訊,請參閱《 使用者指南》[AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)。若要驗證 AWS 區域 ACM 支援,請參閱 中的[AWS Certificate Manager 端點](https://docs.aws.amazon.com/general/latest/gr/acm.html)和配額 AWS 一般參考。
續約過期的憑證或即將過期的憑證。如需續約憑證的詳細資訊,請參閱在 IAM 中[管理伺服器憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)。
以使用 SHA-256 雜湊演算法加密的憑證,取代使用 SHA-1 雜湊演算法加密的憑證。
以 Common Name (通用名稱) 欄位或 Subject Alternative Names (主體備用網域名稱) 欄位中有適用值的憑證來取代該憑證。
**其他資源**
[使用 HTTPS 連線存取物件](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html)
[匯入憑證](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)
[AWS Certificate Manager 使用者指南](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)
**報告欄位**
+ 狀態
+ 分佈 ID
+ 分佈網域名稱
+ 憑證名稱
+ Reason
## 原始伺服器上的 CloudFront SSL 憑證
**Description**
檢查原始伺服器是否有已過期、即將過期、遺失或使用過期加密的 SSL 憑證。如果憑證出現上述任一問題,CloudFront 會以 HTTP 狀態代碼 502 (錯誤閘道) 回應您的內容請求。
Chrome 和 Firefox 等 Web 瀏覽器已棄用使用 SHA-1 雜湊演算法加密的憑證。根據您與 CloudFront 分佈相關聯的 SSL 憑證數量,此檢查可能會向您的 Web 託管供應商的帳單新增每月幾分錢,例如, AWS 如果您使用 Amazon EC2 或 Elastic Load Balancing 作為 CloudFront 分佈的原始伺服器。此檢查不會驗證您的原始伺服器憑證鏈結或憑證授權單位。您可以在 CloudFront 組態中檢查這些事項。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`N430c450f2`
**警示條件**
+ 紅色:您原始伺服器上的 SSL 憑證已過期或遺失。
+ 黃色:您原始伺服器上的 SSL 憑證會在三十天後到期。
+ 黃色:您原始伺服器上的 SSL 憑證使用 SHA-1 雜湊演算法加密。
+ 黃色:找不到您原始伺服器上的 SSL 憑證。連線可能因為逾時或其他 HTTPS 連線問題而失敗。
**建議的動作**
如果您原始伺服器上的憑證已過期或即將到期,請更新憑證。
如果憑證不存在,則新增憑證。
以使用 SHA-256 雜湊演算法加密的憑證,取代使用 SHA-1 雜湊演算法加密的憑證。
**其他資源**
[使用備用網域名稱和 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS)
**報告欄位**
+ 狀態
+ 分佈 ID
+ 分佈網域名稱
+ Origin
+ Reason
## ELB 接聽程式安全性
**Description**
檢查具有未使用建議安全組態進行加密通訊之接聽程式的傳統負載平衡器。 AWS 建議您使用安全通訊協定 (HTTPS 或 SSL)、up-to-date安全政策,以及安全的密碼和通訊協定。當您為前端連線 (用戶端至負載平衡器) 使用安全通訊協定時,請求會在用戶端和負載平衡器之間加密。這會建立更安全的環境。Elastic Load Balancing 提供預先定義的安全政策,其加密和通訊協定符合 AWS 安全最佳實務。預先定義政策的新版本會隨著新組態開放使用而發佈。
**檢查 ID**
`a2sEc6ILx`
**警示條件**
+ 紅色:負載平衡器沒有使用安全通訊協定 (HTTPS) 設定的接聽程式。
+ 黃色:負載平衡器 HTTPS 接聽程式設定了包含弱密碼的安全政策。
+ 黃色:未使用建議的安全政策設定負載平衡器 HTTPS 接聽程式。
+ 綠色:負載平衡器至少有一個 HTTPS 接聽程式,且所有 HTTPS 接聽程式都設定了建議的政策。
**建議的動作**
如果到負載平衡器的流量必須是安全的,請使用 HTTPS 或 SSL 通訊協定進行前端連線。
將負載平衡器升級至最新版本的預先定義 SSL 安全政策。
僅使用建議的密碼和通訊協定。
如需詳細資訊,請參閱 [Elastic Load Balancing 的接聽程式組態](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-listener-config.html)。
**其他資源**
+ [接聽程式組態快速參考](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/using-elb-listenerconfig-quickref.html)
+ [更新負載平衡器的 SSL 溝通組態](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ssl-config-update.html)
+ [Elastic Load Balancing 的 SSL 溝通組態](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html)
+ [SSL 安全政策表](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-security-policy-table.html)
**報告欄位**
+ 狀態
+ 區域
+ 負載平衡器名稱
+ 負載平衡器連接埠
+ Reason
## Classic Load Balancer 安全群組
**Description**
檢查是否有使用安全群組設定的負載平衡器,允許存取未為負載平衡器設定的連接埠。
如果安全群組允許存取未針對負載平衡器設定的連接埠,資料遺失或遭受惡意攻擊的風險就會增加。
**檢查 ID**
`xSqX82fQu`
**警示條件**
+ 黃色:與負載平衡器相關聯的 Amazon VPC 安全群組的傳入規則,允許存取未在負載平衡器的接聽程式組態中定義的連接埠。
+ 綠色:與負載平衡器相關聯的 Amazon VPC 安全群組傳入規則不允許存取負載平衡器接聽程式組態中未定義的連接埠。
**建議的動作**
設定安全群組規則,將存取權設定為僅限僅負載平衡器接聽程式組態中定義的連接埠和通訊協定可以使用,以及支援 Path MTU 探索的 ICMP 通訊協定可以使用。請參閱 [Classic Load Balancer 的接聽程式](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-listener-config.html)和[在 VPC 中負載平衡器的安全群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-security-groups)。
如果遺失安全群組,請將新的安全群組套用至負載平衡器。建立安全群組規則,將存取權設定為僅限僅負載平衡器接聽程式組態中定義的連接埠和通訊協定可以使用。請參閱[在 VPC 中負載平衡器的安全群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-security-groups)。
**其他資源**
+ [Elastic Load Balancing User Guide](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/) (《Elastic Load Balancing 使用者指南》)
+ [遷移 Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/migrate-classic-load-balancer.html)
+ [設定 Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-configure-load-balancer.html)
**報告欄位**
+ 狀態
+ 區域
+ 負載平衡器名稱
+ 安全群組 ID
+ Reason
## 存取金鑰已暴露
**Description**
檢查常用的程式碼存放庫是否有已遭暴露的存取金鑰,以及可能因為存取金鑰遭入侵而造成的不正常的 Amazon Elastic Compute Cloud (Amazon EC2) 用量。
存取金鑰由存取金鑰 ID 和對應的私密存取金鑰組成。遭暴露的存取金鑰會對您的帳戶和其他使用者構成安全風險,可能會導致未經授權的活動或濫用而產生過多費用,以及違反 [AWS 客戶協議](https://aws.amazon.com/agreement)。
如果您的存取金鑰已遭暴露,請立即採取行動來保護您的帳戶。為了保護您的帳戶免於產生過多費用, AWS 會暫時限制您建立某些 AWS 資源的能力。這無法確保您的帳戶安全。只能限制部分您可能需支付費用的未經授權使用。
此檢查並不保證能識別遭暴露的存取金鑰或遭入侵的 EC2 執行個體。您最終必須負責存取金鑰 AWS 和資源的安全。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
如果顯示存取金鑰的截止日期, AWS 帳戶 如果在該日期之前未停止未經授權的使用, AWS 可能會暫停您的 。如果您認為警示有誤,[請聯絡 AWS 支援](https://console.aws.amazon.com/support/home?#/case/create?issueType=customer-service&serviceCode=customer-account&categoryCode=security)。
中顯示的資訊 Trusted Advisor 可能不會反映您帳戶的最新狀態。在帳戶上所有公開的存取金鑰都解決之前,不會將公開的存取金鑰標記為已解決。此資料同步最多可能需要一週的時間。
**檢查 ID**
`12Fnkpl8Y5`
**警示條件**
+ 紅色:可能已洩露 – AWS 已識別已在網際網路上公開且可能已洩露 (已使用) 的存取金鑰 ID 和對應的私密存取金鑰。
+ 紅色:已公開 – AWS 已識別已在網際網路上公開的存取金鑰 ID 和對應的私密存取金鑰。
+ 紅色:可疑 – 異常的 Amazon EC2 使用情況表示存取金鑰可能已遭到入侵,但尚未被識別為已在網際網路上公開。
**建議的動作**
儘快刪除受影響的存取金鑰。如果金鑰與 IAM 使用者相關聯,請參閱[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingCredentials.html)。
檢查您的帳戶是否有未經授權的使用。登入 [AWS 管理主控台](https://console.aws.amazon.com/) 並檢查每個服務控制台是否存在可疑資源。請特別注意正在執行中的 Amazon EC2 執行個體、Spot 執行個體請求、存取金鑰和 IAM 使用者。您還可以在[帳單和成本管理主控台](https://console.aws.amazon.com/billing/home#/)上檢查整體使用情況。
**其他資源**
+ [管理 AWS 存取金鑰的最佳實務](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html)
+ [AWS 安全稽核準則](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
**報告欄位**
+ 存取金鑰 ID
+ 使用者名稱 (IAM 或根)
+ 詐騙類型
+ 案例 ID
+ 更新時間
+ Location
+ 截止日期
+ 用量 (美元/日)
## IAM 存取金鑰輪換
**Description**
檢查是否有作用中 IAM 存取金鑰過去 90 天內未輪換。
若定期輪換存取金鑰,可以減少在您不知情的情況下使用遭入侵的金鑰來存取資源的機會。就這項檢查的目的而言,上次輪換日期和時間指的是建立存取金鑰或上次啟用的時間。存取金鑰編號和日期來自最新 IAM 憑證報告中的 `access_key_1_last_rotated` 和 `access_key_2_last_rotated` 資訊。
由於憑證報告的重新產生頻率受到限制,因此重新整理此檢查可能不會反映最近的變更。如需詳細資訊,請參閱[取得 AWS 帳戶帳戶的憑證報告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)。
若要建立和輪換存取金鑰,使用者必須擁有相應的許可。如需詳細資訊,請參閱[允許使用者管理自己的密碼、存取金鑰和 SSH 金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_delegate-permissions_examples.html#creds-policies-credentials)。
**檢查 ID**
`DqdJqYeRm5`
**警示條件**
+ 綠色:存取金鑰處於作用中狀態,並在過去的 90 天內輪換過。
+ 黃色:存取金鑰處於作用中狀態,並在過去 2 年內輪換過,但輪換時間已超過 90 天。
+ 紅色:存取金鑰處於作用中狀態,但在過去 2 年內沒有輪換過。
**建議的動作**
定期輪換存取金鑰。請參閱[輪換存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)和[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
**其他資源**
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [如何輪換 IAM 使用者的存取金鑰](https://aws.amazon.com/blogs/security/how-to-rotate-access-keys-for-iam-users/)
**報告欄位**
+ 狀態
+ IAM 使用者
+ 存取金鑰
+ 上次輪換的金鑰
+ Reason
## IAM Access Analyzer 外部存取
**Description**
檢查帳戶層級的 IAM Access Analyzer 外部存取權是否存在。
IAM Access Analyzer 外部存取分析器可協助識別您帳戶中與外部實體共用的資源。分析器接著會建立包含調查結果的集中式儀表板。在 IAM 主控台中啟用新的分析器之後,安全團隊就可以根據過多許可排定要檢閱哪些帳戶的優先順序。外部存取分析器會建立資源的公有和跨帳戶存取調查結果,並且免費提供。
**檢查 ID**
`07602fcad6`
**警示條件**
+ 紅色:未在帳戶層級啟用分析器外部存取權。
+ 綠色:分析器外部存取權會在帳戶層級啟用。
**建議的動作**
每個帳戶的外部存取分析器建立可協助安全團隊根據過多許可排定要檢閱哪些帳戶的優先順序。如需詳細資訊,請參閱[問題 AWS Identity and Access Management Access Analyzer 清單入門](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)。
此外,最佳實務是使用未使用的存取分析器,這是一種付費功能,可簡化檢查未使用的存取,以引導您取得最低權限。如需詳細資訊,請參閱[識別授予 IAM 使用者和角色的未使用存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-unused-access-analysis)。
**其他資源**
+ [使用 AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification)
+ [IAM Access Analyzer 更新:尋找未使用的存取權、在部署之前檢查政策 ](https://aws.amazon.com/blogs/aws/iam-access-analyzer-updates-find-unused-access-check-policies-before-deployment)
**報告欄位**
+ 狀態
+ 區域
+ 帳戶外部存取分析器 Arn
+ Organization External Access Analyzer Arns
+ 上次更新時間
## IAM 密碼政策
**Description**
檢查帳戶的密碼策略,並在密碼政策未啟用或密碼內容要求未啟用時發出警告。
密碼內容要求可藉由強制建立高強度使用者密碼,提高您 AWS 環境的整體安全性。建立或變更密碼政策時,對立即為新的使用者強制執行該項變更,但不會要求現有使用者變更密碼。
**檢查 ID**
`Yw2K9puPzl`
**警示條件**
+ 綠色:啟用密碼政策並啟用建議的內容需求。
+ 黃色:已啟用密碼政策,但至少有一項內容要求未啟用。
**建議的動作**
如果未啟用某些內容要求,請考慮啟用它們。如果未啟用密碼政策,請建立並設定一個密碼政策。請參閱[設定 IAM 使用者的帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingPasswordPolicies.html)。
若要存取 AWS 管理主控台,IAM 使用者需要密碼。作為最佳實務, AWS 強烈建議您不要建立 IAM 使用者,而是使用聯合。聯合允許使用者使用其現有的公司登入資料來登入 AWS 管理主控台。使用 IAM Identity Center 建立或聯合使用者,然後在 帳戶中擔任 IAM 角色。
若要進一步了解身分提供者和聯合身分,請參閱《IAM 使用者指南》中的[身分提供者和聯合身分](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html)。若要進一步了解 IAM Identity Center,請參閱 [IAM Identity Center 使用者指南](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
**其他資源**
[管理密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/Credentials-ManagingPasswords.html)
**報告欄位**
+ 密碼政策
+ 大寫
+ 小寫
+ Number
+ 非英數字元
## IAM SAML 2.0 身分提供者
**Description**
檢查 是否 AWS 帳戶 設定為透過支援 SAML 2.0 的身分提供者 (IdP) 存取。當您集中身分並在[外部身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)或 中設定使用者時,請務必遵循最佳實務[AWS IAM Identity Center](https://aws.amazon.com/single-sign-on/)。
**檢查 ID**
`c2vlfg0p86`
**警示條件**
+ 黃色:此帳戶未設定為透過支援 SAML 2.0 的身分提供者 (IdP) 存取。
+ 綠色:此帳戶設定為透過支援 SAML 2.0 的身分提供者 (IdP) 存取。
**建議的動作**
為 啟用 IAM Identity Center AWS 帳戶。如需詳細資訊,請參閱[EnablingIAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。開啟 IAM Identity Center 之後,您可以執行常見的任務,例如建立許可集並指派 Identity Center 群組的存取權。如需詳細資訊,請參閱[常見任務](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。
這是在 IAM Identity Center 中管理人類使用者的最佳實務。但是,您可以使用 IAM 為小型部署的人類使用者短期啟用聯合身分使用者存取。如需詳細資訊,請參閱 [SAML 2.0 聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html)。
**其他資源**
[什麼是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
[什麼是 IsIAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html)
**報告欄位**
+ 狀態
+ AWS 帳戶 ID
+ 上次更新時間
## 根帳戶的 MFA
**Description**
檢查帳戶的根使用者憑證,並在未啟用多重驗證 (MFA) 時發出警告。
為了提高安全性,我們建議您使用 MFA 來保護您的帳戶,這需要使用者在與 AWS 管理主控台 和相關聯的網站互動時,從其 MFA 硬體或虛擬裝置輸入唯一的驗證碼。
對於您的 AWS Organizations 管理帳戶, 存取 時 AWS 需要根使用者的多重驗證 (MFA) AWS 管理主控台。
對於您的 AWS Organizations 成員帳戶,我們建議您使用 集中管理根登入資料 AWS Identity and Access Management。成員帳戶根使用者憑證可以集中刪除,無需管理根使用者憑證上的 MFA。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[成員帳戶的最佳實務](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)。
**檢查 ID**
`7DAFEmoDos`
**警示條件**
+ 紅色:根帳戶上未啟用 MFA。
+ 綠色:不存在根使用者登入資料 (根密碼),或為帳戶啟用 MFA。
**建議的動作**
**如果這是 中的成員帳戶 AWS Organizations:**登入您的管理帳戶,在 IAM 中啟用根存取管理功能,並從此成員帳戶移除您的根使用者憑證。請參閱[集中成員帳戶的根存取權](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-enable-root-access.html)。
**如果這是 中的獨立或管理帳戶 AWS Organizations:**登入您的根帳戶並啟用 MFA 裝置。如需詳細資訊,請參閱在 IAM 中[檢查 MFA 狀態](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_checking-status.html)和多重要素驗證 [AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
**其他資源**
+ [集中管理成員帳戶的根存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)
+ [AWS IAM 中的多重要素驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [AWS 帳戶 根使用者的多重要素驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)
## 根使用者存取金鑰
**Description**
檢查根使用者存取金鑰是否存在。強烈建議您不要為根使用者建立存取金鑰對。由於[只有少數任務需要根使用者,](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)而且您通常不常執行這些任務,因此最佳實務是登入 AWS 管理主控台 以執行根使用者任務。建立存取金鑰之前,請檢閱[長期存取金鑰的替代方案](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html#sec-alternatives-to-long-term-access-keys)。
**檢查 ID**
`c2vlfg0f4h`
**警示條件**
+ 紅色:根使用者存取金鑰存在
+ 綠色:根使用者存取金鑰不存在
**建議的動作**
刪除根使用者的存取金鑰 (s)。請參閱[刪除根使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user_manage_delete-key.html)。此任務必須由根使用者執行。您無法以 IAM 使用者或角色的身分執行這些步驟。
**其他資源**
+ [需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)
+ [重設遺失或忘記的根使用者密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)
報告欄位
+ 狀態
+ 帳戶 ID
+ 上次更新時間
## 安全群組-— 不受限制的特定連接埠
**Description**
檢查安全群組的規則是否允許對特定連接埠進行無限制存取 (0.0.0.0/0)。
不受限制的存取會增加惡意活動的機會 (駭客攻擊、阻斷服務攻擊、資料遺失)。風險最高的連接埠會標示為紅色,而風險較低的連接埠會標示為黃色。標示為綠色的連接埠通常由需要不受限制存取的應用程式 (例如 HTTP 和 SMTP) 使用。
如果您刻意以這種方式設定安全群組,建議您使用其他安全措施來保護基礎設施 (例如 IP 表)。
此檢查只會評估您為 IPv4 地址建立的安全群組及其傳入規則。建立 AWS Directory Service 的安全群組會標記為紅色或黃色,但不會構成安全風險,而且可以排除。如需詳細資訊,請參閱 [Trusted Advisor 常見問答集](https://aws.amazon.com/premiumsupport/faqs/#AWS_Trusted_Advisor)。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`HCP4007jGY`
**警示條件**
+ 綠色:安全群組可在連接埠 80、25、443 或 465 上提供不受限制的存取。
+ 紅色:安全群組連接到資源,並提供連接埠 20、21、22、1433、1434、3306、3389、4333、5432 或 5500 的無限制存取。
+ 黃色:安全群組提供對任何其他連接埠的無限制存取。
+ 黃色:安全群組未連接到任何資源,並提供不受限制的存取。
**建議的動作**
將存取權設定為僅限需要存取權的 IP 地址使用。若要將存取權設定為僅限特定 IP 地址使用,請將尾碼設定為 /32 (例如 192.0.2.10/32)。建立更嚴格的規則之後,請務必刪除過於寬鬆的規則。
檢閱和刪除未使用的安全群組。您可以使用 AWS Firewall Manager 跨 大規模集中設定和管理安全群組 AWS 帳戶。如需詳細資訊,請參閱 [AWS Firewall Manager 文件](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)。
考慮使用 Systems Manager Sessions Manager for SSH (連接埠 22) 和 RDP (連接埠 3389) 存取 EC2 執行個體。使用工作階段管理員,您可以存取 EC2 執行個體,而無需在安全群組中啟用連接埠 22 和 3389。
**其他資源**
+ [Amazon EC2 安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
[TCP 和 UDP 連接埠號碼清單](http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)
+ [無類別網域間路由](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [使用工作階段管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with.html)
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
**報告欄位**
+ 狀態
+ 區域
+ 安全群組名稱
+ 安全群組 ID
+ 通訊協定
+ 從連接埠
+ 到連接埠
+ 關聯
## 安全群組 - 不受限制的存取
**Description**
檢查安全群組的規則是否允許不受限制存取資源。
不受限制的存取會增加惡意活動的機會 (駭客攻擊、阻斷服務攻擊、資料遺失)。
此檢查只會評估您建立的安全群組及其 IPv4 地址的傳入規則。建立的安全群組會 AWS Directory Service 標記為紅色或黃色,但不會構成安全風險,而且可以排除。如需詳細資訊,請參閱 [Trusted Advisor 常見問答集](https://aws.amazon.com/premiumsupport/faqs/#AWS_Trusted_Advisor)。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`1iG5NDGVre`
**警示條件**
+ 綠色:安全群組規則具有連接埠 25、80 或 443 的 /0 尾碼的來源 IP 地址。
+ 黃色:安全群組規則具有 /0 尾碼的來源 IP 地址,用於 25、80 或 443 以外的連接埠,且安全群組會連接到資源。
+ 紅色:安全群組規則具有 /0 尾碼的來源 IP 地址,用於 25、80 或 443 以外的連接埠,且安全群組未連接到資源。
**建議的動作**
將存取權設定為僅限需要存取權的 IP 地址使用。若要將存取權設定為僅限特定 IP 地址使用,請將尾碼設定為 /32 (例如 192.0.2.10/32)。建立更嚴格的規則之後,請務必刪除過於寬鬆的規則。
檢閱和刪除未使用的安全群組。您可以使用 AWS Firewall Manager 跨 大規模集中設定和管理安全群組 AWS 帳戶。如需詳細資訊,請參閱 [AWS Firewall Manager 文件](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)。
考慮使用 Systems Manager Sessions Manager for SSH (連接埠 22) 和 RDP (連接埠 3389) 存取 EC2 執行個體。使用工作階段管理員,您可以存取 EC2 執行個體,而無需在安全群組中啟用連接埠 22 和 3389。
**其他資源**
+ [Amazon EC2 安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [無類別網域間路由](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [使用工作階段管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with.html)
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
**報告欄位**
+ 狀態
+ 區域
+ 安全群組名稱
+ 安全群組 ID
+ 通訊協定
+ 從連接埠
+ 到連接埠
+ IP 範圍
+ 關聯
# 容錯能力
您可以針對容錯能力類別使用下列檢查。
**Contents**
+ [
## ALB 多可用區域
](#alb-multi-az)
+ [
## 未啟用 Amazon Aurora MySQL 叢集回溯功能
](#amazon-aurora-mysql-cluster-backtracking-not-enabled)
+ [
## Amazon Aurora 資料庫執行個體存取性
](#amazon-aurora-db-instance-accessibility)
+ [
## Amazon CloudFront 原始伺服器容錯移轉
](#amazon-cloudfront-origin-failover)
+ [
## Amazon Comprehend 端點存取風險
](#amazon-comprehend-endpoint-access-risk)
+ [
## Amazon DocumentDB 單一 AZ 叢集
](#amazon-documentdb-single-az-clusters)
+ [
## Amazon DynamoDB 時間點復原
](#amazon-dynamodb-table-point-in-time-recovery)
+ [
## Amazon DynamoDB 資料表並未包含在備份計畫中
](#amazon-dynamodb-table-not-in-backup-plan)
+ [
## AWS Backup 計劃中不包含 Amazon EBS
](#amazon-ebs-not-in-backup-plan)
+ [
## Amazon EBS 快照
](#amazon-ebs-snapshots)
+ [
## Amazon EC2 Auto Scaling 未啟用 ELB 運作狀態檢查
](#amazon-ec2-auto-scaling-group-no-elb-health-check)
+ [
## Amazon EC2 Auto Scaling 群組已啟用了容量重新平衡
](#amazon-ec2-auto-scaling-group-capacity-rebalance-enabled)
+ [
## Amazon EC2 Auto Scaling 未部署在多個 AZ 中,或不符合最少 AZ 數量
](#amazon-ec2-auto-scaling-group-multiple-az)
+ [
## Amazon EC2 可用區域平衡
](#amazon-ec2-availability-zone-balance)
+ [
## Amazon EC2 詳細監控未啟用
](#amazon-ec2-detailed-monitoring-not-enabled)
+ [
## Amazon ECS AWS Logs 驅動程式處於封鎖模式
](#amazon-ecs-awslogs-driver-blockingmode)
+ [
## Amazon ECS 服務使用單一 AZ
](#amazon-ecs-service-single-az)
+ [
## Amazon ECS Multi-AZ 放置策略
](#amazon-ecs-multi-az-placement-strategy)
+ [
## Amazon EFS 無掛載目標備援
](#amazon-efs-no-mount-target-redundancy)
+ [
## Amazon EFS 不在 AWS Backup 計劃中
](#amazon-efs-not-in-backup-plan)
+ [
## Amazon ElastiCache Multi-AZ 叢集
](#amazon-elasticache-multi-az-clusters)
+ [
## ElastiCache (Redis OSS) 叢集自動備份
](#amazon-elasticache-redis-clusters-auto-backup)
+ [
## Amazon MemoryDB Multi-AZ 叢集
](#amazon-memorydb-multi-az-clusters)
+ [
## Amazon MSK 代理程式託管過多分割區
](#amazon-msk-brokers-hosting-too-many-partitions)
+ [
## Amazon MSK 叢集異地同步備份
](#amazon-msk-cluster-multi-az)
+ [
## 具有少於三個資料節點的 Amazon OpenSearch Service 網域
](#amazon-opensearch-service-domains-less-than-three-nodes)
+ [
## Amazon RDS 備份
](#amazon-rds-backups)
+ [
## Amazon RDS 持續備份未啟用
](#amazon-rds-cont-backups)
+ [
## Amazon RDS 資料庫叢集有一個資料庫執行個體
](#amazon-rds-db-clusters-one-db-instance)
+ [
## 具有相同可用區域中所有執行個體的 Amazon RDS 資料庫叢集
](#amazon-rds-db-clusters-same-az)
+ [
## 具有相同可用區域中所有讀取器執行個體的 Amazon RDS 資料庫叢集
](#amazon-rds-reader-instances-same-az)
+ [
## 未啟用 Amazon RDS 資料庫執行個體增強型監控
](#amazon-rds-db-instance-enhanced-monitoring-not-enabled)
+ [
## Amazon RDS 資料庫執行個體已關閉儲存體自動調整規模
](#amazon-rds-db-instance-storage-autoscaling-off)
+ [
## 未使用異地同步備份部署的 Amazon RDS 資料庫執行個體
](#amazon-rds-db-instances-not-using-multi)
+ [
## Amazon RDS DiskQueueDepth
](#Amazon-RDS-DiskQueueDepth)
+ [
## Amazon RDS FreeStorageSpace
](#Amazon-RDS-FreeStorageSpace)
+ [
## Amazon RDS log\$1output 參數設定為資料表
](#amazon-rds-log-parameter-set-to-table)
+ [
## Amazon RDS innodb\$1default\$1row\$1format 參數設定不安全
](#rds-innodb-default-row-format-unsafe)
+ [
## Amazon RDS innodb\$1flush\$1log\$1at\$1trx\$1commit 參數不是 1
](#rds-innodb-flush-log-at-trx-parameter-off)
+ [
## Amazon RDS max\$1user\$1connections 參數過低
](#rds-max-user-connections-parameter-low)
+ [
## Amazon RDS Multi-AZ
](#amazon-rds-multi-az)
+ [
## Amazon RDS 不在 AWS Backup 計劃中
](#amazon-rds-not-in-backup-plan)
+ [
## Amazon RDS 僅供讀取複本以可寫入模式開啟
](#rds-read-replicas-writable)
+ [
## Amazon RDS 資源自動備份已關閉
](#amazon-rds-auto-backup-off)
+ [
## Amazon RDS sync\$1binlog 參數已關閉
](#rds-sync-binlog-parameter-off)
+ [
## RDS 資料庫叢集未啟用 Multi-AZ 複寫
](#rds-db-cluster-multi-zone-replication-not-enabled)
+ [
## 未啟用 RDS Multi-AZ 備用執行個體
](#rds-multi-az-standby-instance)
+ [
## Amazon RDS ReplicaLag
](#Amazon-RDS-ReplicaLag)
+ [
## Amazon RDS synchronous\$1commit 參數已關閉
](#rds-synchronous-commit-parameter-off)
+ [
## Amazon Redshift 叢集自動快照
](#amazon-redshift-cluster-automated-snapshots)
+ [
## Amazon Route 53 已刪除運作狀態檢查
](#amazon-route-53-deleted-health-checks)
+ [
## Amazon Route 53 容錯移轉資源記錄集
](#amazon-route-53-failover-resource-record-sets)
+ [
## Amazon Route 53 高 TTL 資源記錄集
](#amazon-route-53-high-ttl-resource-record-sets)
+ [
## Amazon Route 53 名稱伺服器委派
](#amazon-route-53-name-server-delegations)
+ [
## Amazon Route 53 Resolver 端點可用區域備援
](#amazon-route53-resolver-endpoint-availability-zone-redundancy)
+ [
## 未啟用 Amazon S3 儲存貯體複寫
](#amazon-s3-bucket-replication-not-enabled)
+ [
## Amazon S3 Bucket Versioning
](#amazon-s3-bucket-versioning)
+ [
## 應用程式、網路及閘道負載平衡器未跨多個可用區域
](#application-network-load-balancers-not-span-multi-az)
+ [
## Auto Scaling 在子網路中的可用 IP
](#auto-scaling-available-ips-in-subnets)
+ [
## Auto Scaling 群組運作狀態檢查
](#auto-scaling-group-health-check)
+ [
## Auto Scaling 群組資源
](#auto-scaling-group-resources)
+ [
## AWS CloudHSM 在單一 AZ 中執行 HSM 執行個體的 叢集
](#aws-cloudhsm-clusters-running-hsm-instances-in-a-single-az)
+ [
## Direct Connect 位置彈性
](#amazon-direct-connect-location-resiliency)
+ [
## AWS Lambda 未設定無效字母佇列的 函數
](#aws-lambda-functions-without-dlq)
+ [
## AWS Lambda 失敗時事件目的地
](#AWS-Lambda-On-Failure-Event-Destinations)
+ [
## AWS Lambda 無異地同步備份備援的已啟用 VPC 的函數
](#aws-lambda-vpc-enabled-functions-without-multi-az-redundancy)
+ [
## AWS Outposts 單一機架部署
](#aws-outposts-single-rack-deployment)
+ [
## AWS Resilience Hub 應用程式元件檢查
](#amazon-resilience-hub-application-component-check)
+ [
## AWS Resilience Hub 已違反政策
](#aws-resilience-hub-policy-breached)
+ [
## AWS Resilience Hub 彈性分數
](#aws-resilience-hub-resilience-scores)
+ [
## AWS Resilience Hub 評估存留期
](#aws-resilience-hub-assessment-age)
+ [
## AWS Site-to-Site VPN 至少有一個通道處於 DOWN 狀態
](#aws-site-to-site-vpn-tunnel-in-down-status)
+ [
## AWS STS 跨 的全域端點用量 AWS 區域
](#sts-global-endpoint)
+ [
## AWS Well-Architected 可靠性的高風險問題
](#well-architected-high-risk-issues-reliability)
+ [
## Classic Load Balancer 未設定多個 AZ
](#classic-load-balancewr-no-multi-azs)
+ [
## CLB 連線耗盡
](#elb-connection-draining)
+ [
## ELB 目標不平衡
](#elb-target-imbalance)
+ [
## GWLB - 端點可用區域獨立性
](#gwlb-endpoint-az-independence)
+ [
## 負載平衡器最佳化
](#load-balancer-optimization)
+ [
## NAT Gateway AZ 獨立性
](#nat-gateway-az-independence)
+ [
## Network Firewall 端點 AZ 獨立性
](#network-firewall-endpoint-az-independence)
+ [
## Network Firewall 多可用區域
](#network-firewall-multi-az)
+ [
## 跨負載平衡的 Network Load Balancer
](#network-load-balancers-cross-load-balancing)
+ [
## NLB - 私有子網路中的面向網際網路的資源
](#nlb-internet-facing-resources-private-subnet)
+ [
## NLB 多可用區域
](#nlb-multi-az)
+ [
## AWS 區域 Incident Manager 複寫集中的 數目
](#number-of-aws-regions-in-an-incident-manager-replication-set)
+ [
## 單一 AZ 應用程式檢查
](#single-az-application-check)
+ [
## 多個 AZs 中的 VPC 介面端點網路介面
](#vpc-interface-endpoint-network-interface-multi-az)
+ [
## VPN 通道備援
](#vpn-tunnel-redundancy)
+ [
## ActiveMQ 可用區域備援
](#activemq-availability-zone-redundancy)
+ [
## RabbitMQ 可用區域備援
](#rabbitmq-availability-zone-redundancy)
## ALB 多可用區域
**Description**
檢查您的 Application Load Balancer 是否設定為使用多個可用區域 (AZ)。AZ 是明顯與其他區域中的故障隔絕開來的地點。在相同區域的多個 AZs 中設定負載平衡器,以協助改善工作負載可用性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch08`
**警示條件**
黃色:ALB 位於單一 AZ 中。
綠色:ALB 有兩個或多個 AZs。
**建議的動作**
請確定您的負載平衡器已設定至少兩個可用區域。
如需詳細資訊,請參閱《[Application Load Balancer 的可用區域](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-subnets.html)》。
**其他資源**
如需詳細資訊,請參閱下列 文件:
+ [Elastic Load Balancing 的運作方式](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#AZ-Region)
+ [區域、可用區域和本地區域](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html)
**報告欄位**
+ 狀態
+ 區域
+ ALB 名稱
+ ALB 規則
+ ALB ARN
+ AZ 數量
+ 上次更新時間
## 未啟用 Amazon Aurora MySQL 叢集回溯功能
**Description**
檢查 Amazon Aurora MySQL 叢集是否已啟用回溯功能。
Amazon Aurora MySQL 叢集回溯是一項功能,可讓您將 Aurora 資料庫叢集還原到先前的時間點,而無需建立新叢集。它可讓您將資料庫復原到保留期間內的特定時間點,而無需從快照還原。
您可以在 AWS Config 規則的 **BacktrackWindowInHours** 參數中調整恢復時段 (小時)。
如需詳細資訊,請參閱[恢復 Aurora 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz131`
**來源**
`AWS Config Managed Rule: aurora-mysql-backtracking-enabled`
**警示條件**
黃色:未啟用 Amazon Aurora MySQL 叢集回溯功能。
**建議的動作**
開啟 Amazon Aurora MySQL 叢集的回溯功能。
如需詳細資訊,請參閱[恢復 Aurora 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)。
**其他資源**
[回溯 Aurora 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon Aurora 資料庫執行個體存取性
**Description**
檢查是否有 Amazon Aurora 資料庫叢集同時具備私有執行個體和公有執行個體。
如果主要資料庫執行個體失敗,可將複本提升為主要執行個體。如果該複本是私有的,則只具公有存取權的使用者在容錯移轉後將無法再連線至資料庫。建議叢集中的所有資料庫執行個體都具有相同的存取性。
**檢查 ID**
`xuy7H1avtl`
**警示條件**
黃色:Aurora 資料庫叢集中的執行個體具有不同的可存取性 (混合公有和私有)。
**建議的動作**
修改資料庫叢集中執行個體的 `Publicly Accessible` 設定,使其全部為公有或私有。如需詳細資訊,請參閱[修改執行 MySQL 資料庫引擎的資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ModifyInstance.MySQL.html)中關於 MySQL 執行個體的指示。
**其他資源**
[Aurora 資料庫叢集的容錯能力](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Aurora.Managing.html#Aurora.Managing.FaultTolerance)
**報告欄位**
+ 狀態
+ 區域
+ 叢集
+ 公有資料庫執行個體
+ 私有資料庫執行個體
+ Reason
## Amazon CloudFront 原始伺服器容錯移轉
**Description**
檢查原始伺服器群組是否已針對在 Amazon CloudFront 中包含兩個原始伺服器的分佈進行設定。
如需詳細資訊,請參閱[使用 CloudFront 原始伺服器容錯移轉最佳化高可用性](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz112`
**來源**
`AWS Config Managed Rule: cloudfront-origin-failover-enabled`
**警示條件**
黃色:未啟用 Amazon CloudFront 原始伺服器容錯移轉。
**建議的動作**
請確定您開啟 CloudFront 分佈的原始伺服器容錯移轉功能,以協助確保內容交付給最終使用者的高可用性。當您開啟此功能時,如果主要原始伺服器無法使用,流量會自動路由到備份原始伺服器。如此能讓潛在的停機時間降至最低,並確保內容的持續可用性。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon Comprehend 端點存取風險
**Description**
檢查使用客戶受管金鑰加密基礎模型之端點的 AWS Key Management Service (AWS KMS) 金鑰許可。如果客戶管理的金鑰已停用、或金鑰政策已變更而改變了 Amazon Comprehend 允許的權限,則端點可用性可能會受到影響。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Cm24dfsM13`
**警示條件**
紅色:如果客戶管理金鑰已停用,或金鑰政策已變更,從而改變了對 Amazon Comprehend 的存取權限。
**建議的動作**
如果客戶管理金鑰已停用,建議您啟用金鑰。如需詳細資訊,請參閱[啟用金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。如果金鑰政策已變更,而您想要繼續使用端點,建議您更新 AWS KMS 金鑰政策。如需詳細資訊,請參閱[變更金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。
**其他資源**
[AWS KMS 許可](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html)
**報告欄位**
+ 狀態
+ 區域
+ 端點 ARN
+ 模型 ARN
+ KMS KeyId
+ 上次更新時間
## Amazon DocumentDB 單一 AZ 叢集
**Description**
檢查是否有 Amazon DocumentDB 叢集設定為單一可用區。
在單一可用區架構中執行 Amazon DocumentDB 工作負載不足以處理高度關鍵的工作負載,從元件故障中復原最多可能需要 10 分鐘。客戶應該在其他可用區域中部署複本執行個體,以確保維護期間的可用性、執行個體故障、元件故障或可用區域故障。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c15vnddn2x`
**警示條件**
黃色:Amazon DocumentDB 叢集的執行個體位於少於三個可用區域。
綠色:Amazon DocumentDB 叢集在三個可用區域中具有執行個體。
**建議的動作**
如果您的應用程式需要高可用性,請修改資料庫執行個體,以使用複本執行個體啟用異地同步備份。請參閱 [Amazon DocumentDB 高可用性和複寫](https://docs.aws.amazon.com/documentdb/latest/developerguide/replication.html)
**其他資源**
[了解 Amazon DocumentDB 叢集容錯能力](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-fault-tolerance.html)
[區域與可用區域](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html)
**報告欄位**
+ 狀態
+ 區域
+ 可用區域
+ DB Cluster Identifier (資料庫叢集識別符)
+ 資料庫叢集 ARN
+ 上次更新時間
## Amazon DynamoDB 時間點復原
**Description**
檢查是否為 Amazon DynamoDB 資料表啟用了時間點復原。
時間點復原有助於保護您的 DynamoDB 資料表免遭意外寫入或刪除操作。有了時間點復原,就無需為建立、維護或排程隨需備份而煩惱。時間點復原可將該資料表還原到過去 35 天內的任何時間點。DynamoDB 維護您資料表的增量備份。
如需詳細資訊,請參閱 [DynamoDB 的時間點復原](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz138`
**來源**
`AWS Config Managed Rule: dynamodb-pitr-enabled`
**警示條件**
黃色:DynamoDB 資料表未啟用時間點復原。
**建議的動作**
在 Amazon DynamoDB 中開啟時間點復原來持續備份您的資料表資料。
如需詳細資訊,請參閱[時間點復原:運作方式](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery_Howitworks.html)。
**其他資源**
[DynamoDB 的時間點復原](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon DynamoDB 資料表並未包含在備份計畫中
**Description**
檢查 Amazon DynamoDB 資料表是否為 AWS Backup 計劃的一部分。
AWS Backup 為 DynamoDB 資料表提供增量備份,以擷取自上次備份以來所做的變更。在 AWS Backup 計劃中包含 DynamoDB 資料表有助於保護您的資料免於意外資料遺失情況,並自動化備份程序。這可以為 DynamoDB 資料表提供可靠且可擴展的備份解決方案,協助確保您寶貴的資料獲得妥善保護,並可視需要進行復原。
如需詳細資訊,請參閱[使用 建立 DynamoDB 資料表的備份 AWS Backup](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/CreateBackupAWS.html)
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz107`
**來源**
`AWS Config Managed Rule: dynamodb-in-backup-plan`
**警示條件**
黃色:Amazon DynamoDB 資料表不包含在 AWS Backup 計劃中。
**建議的動作**
確保您的 Amazon DynamoDB 資料表是 AWS Backup 計劃的一部分。
**其他資源**
[排程備份](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/CreateBackupAWS.html#CreateBackupAWS_scheduled)
[什麼是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
[使用 AWS Backup 主控台建立備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-console)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Backup 計劃中不包含 Amazon EBS
**Description**
檢查備份計劃中是否存在 Amazon EBS 磁碟區 AWS Backup。
在 AWS Backup 計劃中包含 Amazon EBS 磁碟區,以自動定期備份存放在這些磁碟區上的資料。如此可保護您不受資料遺失的影響,讓資料管理更加輕鬆,並可在需要時進行資料復原。備份計畫有助於確保您的資料安全,並且能夠滿足應用程式和服務的復原時間和點目標 (RT/RPO)。
如需詳細資訊,請參閱[建立備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz106`
**來源**
`AWS Config Managed Rule: ebs-in-backup-plan`
**警示條件**
黃色:Amazon EBS 磁碟區不包含在 AWS Backup 計劃中。
**建議的動作**
請確定您的 Amazon EBS 磁碟區是 AWS Backup 計劃的一部分。
**其他資源**
[使用 AWS Backup 主控台建立備份計劃](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-console)
[什麼是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
[開始使用 3:建立排程備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-scheduled-backup.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EBS 快照
**Description**
檢查 Amazon EBS 磁碟區的快照存留期 (可用或使用中)。即使複寫 Amazon EBS 磁碟區,也會發生故障。快照會保留到 Amazon S3,以提供持久的儲存和point-in-time復原。
**檢查 ID**
`H7IgTzjTYb`
**警示條件**
+ 黃色:最新的磁碟區快照已存在 7 到 30 天。
+ 紅色:最新的磁碟區快照已存在超過 30 天。
+ 紅色:磁碟區沒有快照。
**建議的動作**
每週或每月建立磁碟區快照。如需詳細資訊,請參閱[建立 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html)。
若要自動建立 EBS 快照,您可以考慮使用 [AWS Backup](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/new-ebs-volume-backups.html#aws-backup-volume)或 [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/new-ebs-volume-backups.html#amazon-dlm)。
**其他資源**
[Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)
[Amazon EBS 快照](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html)
[AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
[Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-lifecycle.html)
**報告欄位**
+ 狀態
+ 區域
+ 磁碟區 ID
+ 磁碟區名稱
+ 快照 ID
+ 快照名稱
+ 快照存在時間
+ 磁碟區連接
+ Reason
## Amazon EC2 Auto Scaling 未啟用 ELB 運作狀態檢查
**Description**
檢查與 Classic Load Balancer 關聯的 Amazon EC2 Auto Scaling 群組是否使用 Elastic Load Balancing 運作狀態檢查。Auto Scaling 群組的預設運作狀態檢查只會檢查 Amazon EC2 狀態。如果執行個體未通過這些運作狀態檢查,則會標記為運作狀態不佳並予以終止。Amazon EC2 Auto Scaling 會啟動全新替代執行個體。Elastic Load Balancing 運作狀態檢查會定期監控 Amazon EC2 執行個體,以偵測和終止運作狀態不良的執行個體,然後啟動新的執行個體。
如需詳細資訊,請參閱[新增 Elastic Load Balancing 運作狀態檢查](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz104`
**來源**
`AWS Config Managed Rule: autoscaling-group-elb-healthcheck-required`
**警示條件**
黃色:附加至 Classic Load Balancer 的 Amazon EC2 Auto Scaling 群組未啟用 Elastic Load Balancing 運作狀態檢查。
**建議的動作**
確保與 Classic Load Balancer 關聯的 Auto Scaling 群組使用 Elastic Load Balancing 運作狀態檢查。
Elastic Load Balancing 運作狀態檢查報告負載平衡器是否運作狀態良好且可用於處理請求。如此可確保應用程式的高可用性。
如需詳細資訊,請參閱[將 Elastic Load Balancing 運作狀態檢查新增至 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EC2 Auto Scaling 群組已啟用了容量重新平衡
**Description**
檢查是否為使用多個執行個體類型的 Amazon EC2 Auto Scaling 群組啟用了容量重新平衡。
透過容量重新平衡設定 Amazon EC2 Auto Scaling 群組,有助於確保 Amazon EC2 執行個體均勻分佈在可用區域,無論執行個體類型和購買選項為何。它會使用與群組關聯的目標追蹤政策,例如 CPU 使用率或網路流量。
如需詳細資訊,請參閱[具備多個執行個體類型及購買選項的 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html#as-mixed-instance-types.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`AWS Config c18d2gz103`
**來源**
AWS Config 受管規則:autoscaling-capacity-rebalancing
**警示條件**
黃色:未啟用 Amazon EC2 Auto Scaling 群組容量重新平衡。
**建議的動作**
確保已為使用多個執行個體類型的 Amazon EC2 Auto Scaling 群組啟用了容量重新平衡。
如需詳細資訊,請參閱[啟用容量重新平衡 (主控台)](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-capacity-rebalancing.html#enable-capacity-rebalancing-console.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EC2 Auto Scaling 未部署在多個 AZ 中,或不符合最少 AZ 數量
**Description**
檢查 Amazon EC2 Auto Scaling 群組是否部署在多個可用區域之中,或是否部署在指定的可用區域的最小數量之中。在多個可用區域中部署 Amazon EC2 執行個體以確保高可用性。
您可以使用 AWS Config 規則中的 **minAvailibilityZones** 參數來調整可用區域數量下限。
如需詳細資訊,請參閱[具備多個執行個體類型及購買選項的 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html)。
**檢查 ID**
`c18d2gz101`
**來源**
`AWS Config Managed Rule: autoscaling-multiple-az`
**警示條件**
紅色:Amazon EC2 Auto Scaling 群組並未設定多個 AZ,或不符合指定的 AZ 的最小數量。
**建議的動作**
請確定您的 Amazon EC2 Auto Scaling 群組已設定多個 AZ。在多個可用區域中部署 Amazon EC2 執行個體以確保高可用性。
**其他資源**
[使用啟動範本建立 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html)
[使用啟動組態建立 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-configuration.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon EC2 可用區域平衡
**Description**
檢查 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體在一個區域中可用區域之間的分配。
可用區域為不同位置,可以隔離其他可用區域的故障。這為同一區域中其他可用區域提供實惠、低延遲的網路連線能力。藉由在同一區域的多個可用區域中啟動執行個體,您可以保護應用程式免於發生單點故障情形。
**檢查 ID**
`wuy7G1zxql`
**警示條件**
+ 黃色:該區域在多個區域中有執行個體,但分佈不均衡 (已使用的可用區域中的最大執行個體數量與最少執行個體數量之間的差異大於 20%)。
+ 紅色:該區域只在單一可用區域內有執行個體。
**建議的動作**
在多個可用區域內均衡分佈 Amazon EC2 執行個體。您可以手動啟動執行個體來執行此操作或使用 Auto Scaling 來自動執行此操作。如需詳細資訊,請參閱[啟動您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html)和[平衡您的 Auto Scaling 群組負載](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/US_SetUpASLBApp.html)。
**其他資源**
+ 《[Amazon EC2 Auto Scaling 使用者指南](https://docs.aws.amazon.com/autoscaling/ec2/userguide/)》
+ [Amazon EC2 執行個體的置放群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/placement-groups.html)
+ [Amazon EC2 執行個體類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html)
**報告欄位**
+ 狀態
+ 區域
+ 區域 a 執行個體
+ 區域 b 執行個體
+ 區域 c 執行個體
+ 區域 e 執行個體
+ 區域 f 執行個體
+ Reason
## Amazon EC2 詳細監控未啟用
**Description**
檢查您的 Amazon EC2 執行個體是否啟用詳細監控。
Amazon EC2 詳細監控提供時間間隔更小的指標,發佈間隔為一分鐘,而 Amazon EC2 基本監控的發怖間隔為五分鐘。啟用 Amazon EC2 的詳細監控,可幫助您更完善管理 Amazon EC2 資源,以便您可以更快地尋找趨勢並採取行動。
如需詳細資訊,請參閱[基本監控和詳細監控](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-metrics-basic-detailed.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`AWS Config c18d2gz144`
**來源**
AWS Config 受管規則:ec2-instance-detailed-monitoring-enabled
**警示條件**
黃色:Amazon EC2 執行個體未啟用詳細監控功能。
**建議的動作**
開啟 Amazon EC2 執行個體的詳細監控功能,增加 Amazon EC2 指標資料發布到 Amazon CloudWatch 的頻率 (從 5 分鐘增加到 1 分鐘間隔)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon ECS AWS Logs 驅動程式處於封鎖模式
**Description**
檢查在封鎖模式下使用 AWS Logs 記錄驅動程式設定的 Amazon ECS 任務定義。在封鎖模式中設定的驅動程式會危及系統的可用性。
此檢查不會考慮帳戶層級的驅動程式組態設定。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dvkm4z6b`
**警示條件**
黃色:awslogs 驅動程式記錄組態參數模式設定為封鎖。
綠色:Amazon ECS 任務定義未使用 awslogs 驅動程式,或 awslogs 驅動程式設定為非封鎖模式。
**建議的動作**
若要降低可用性風險,請考慮將任務定義 AWS Logs 驅動程式組態從封鎖變更為非封鎖。使用非封鎖模式時,您必須設定 max-buffer-size 參數的值。如需組態參數的詳細資訊和指引,請參閱 [AWS Logs 容器日誌驅動程式中的使用非封鎖模式防止日誌遺失](https://aws.amazon.com/blogs/containers/preventing-log-loss-with-non-blocking-mode-in-the-awslogs-container-log-driver/)。
**其他資源**
[使用 AWS 日誌日誌驅動程式](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html)
[選擇容器記錄選項以避免背壓](https://aws.amazon.com/blogs/containers/choosing-container-logging-options-to-avoid-backpressure/)
[在 AWS Logs 容器日誌驅動程式中使用非封鎖模式防止日誌遺失](https://aws.amazon.com/blogs/containers/preventing-log-loss-with-non-blocking-mode-in-the-awslogs-container-log-driver/)
**報告欄位**
+ 狀態
+ 區域
+ 任務定義 ARN
+ 容器定義名稱
+ 上次更新時間
## Amazon ECS 服務使用單一 AZ
**Description**
檢查您的服務組態是否使用單一可用區域 (AZ)。
AZ 是明顯與其他區域中的故障隔絕開來的地點。這種做法可以支援位於相同 AWS 區域內可用區域之間不昂貴、低延遲的網路連線能力。藉由在同一區域的多個 AZ 中啟動執行個體,您可以保護應用程式免於發生單點故障情形。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7dfpz01`
**警示條件**
+ 黃色:Amazon ECS 服務正在單一 AZ 中執行所有任務。
+ 綠色:Amazon ECS 服務至少正在兩個不同的 AZ 中執行任務。
**建議的動作**
在不同的 AZ 中為服務至少再建立一個任務。
**其他資源**
[ Amazon ECS 容量和可用性](https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/capacity-availability.html)
**報告欄位**
+ 狀態
+ 區域
+ ECS 叢集名稱/ECS 服務名稱
+ 可用區域的數量
+ 上次更新時間
## Amazon ECS Multi-AZ 放置策略
**Description**
檢查您的 Amazon ECS 服務是否使用以可用區域 (AZ) 為基礎的分散置放策略。此策略會將任務分配到相同 中的可用區域 AWS 區域 ,並有助於保護您的應用程式免於單點故障。
對於作為 Amazon ECS 服務一部分來執行的任務,分散會是預設任務置放策略。
此檢查還會驗證分散是否為已啟用置放策略清單中的第一個策略或唯一策略。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1z7dfpz02`
**警示條件**
+ 黃色:依可用區域分散已停用,或不是 Amazon ECS 服務已啟用置放策略清單中的第一個策略。
+ 綠色:依可用區域分散是 Amazon ECS 服務已啟用置放策略清單中的第一個策略,或是唯一啟用的置放策略。
**建議的動作**
啟用分散任務置放策略,以便於多個 AZ 之間分佈任務。確認依可用區域分散是所有已啟用任務置放策略的第一個策略,或是唯一使用的策略。如果您選擇管理 AZ 置放,則可以在另一個 AZ 中使用鏡像服務來減輕這些風險。
**其他資源**
[Amazon ECS 任務置放策略](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
**報告欄位**
+ 狀態
+ 區域
+ ECS 叢集名稱/ECS 服務名稱
+ 正確啟用並套用分散任務置放策略
+ 上次更新時間
## Amazon EFS 無掛載目標備援
**Description**
檢查 Amazon EFS 檔案系統的掛載目標是否於多個可用區域中存在。
可用區域是明顯與其他區域中的故障隔絕開來的地點。透過在 AWS 區域內的多個不同地理位置的可用區域中建立掛載目標,您可以為 Amazon EFS 檔案系統達到最高等級的可用性和耐久性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch01`
**警示條件**
+ 黃色:檔案系統在單一可用區域中建立了 1 個掛載目標。
綠色:檔案系統在多個可用區域中建立了 2 或多個掛載目標。
**建議的動作**
對於使用 One Zone 儲存類別的 EFS 檔案系統,建議您透過將備份還原至新檔案系統的方式來建立使用 Standard 儲存類別的新檔案系統。然後在多個可用區域中建立掛載目標。
對於使用標準儲存類別的 EFS 檔案系統,我們建議您在多個可用區域中建立掛載目標。
**其他資源**
+ [使用 Amazon EFS 主控台管理掛載目標](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html)
+ [Amazon EFS 配額和限制](https://docs.aws.amazon.com/efs/latest/ug/limits.html)
**報告欄位**
+ 狀態
+ 區域
+ EFS 檔案系統 ID
+ 掛載目標的數量
+ AZ 數量
+ 上次更新時間
## Amazon EFS 不在 AWS Backup 計劃中
**Description**
檢查 Amazon EFS 檔案系統是否包含在備份計劃中 AWS Backup。
AWS Backup 是一種統一的備份服務,旨在簡化備份的建立、遷移、還原和刪除,同時改善報告和稽核。
如需詳細資訊,請參閱[備份您的 Amazon EFS 檔案系統](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html)。
**檢查 ID**
`c18d2gz117`
**來源**
`AWS Config Managed Rule: EFS_IN_BACKUP_PLAN`
**警示條件**
紅色:Amazon EFS 檔案系統不包含在 AWS Backup 計劃中。
**建議的動作**
請確定您的 Amazon EFS 檔案系統包含在 AWS Backup 計畫中,以防止意外資料遺失或資料損毀。
**其他資源**
[備份 Amazon EFS 檔案系統](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html)
[使用 Amazon EFS 備份和還原 AWS Backup](https://aws.amazon.com/getting-started/hands-on/amazon-efs-backup-and-restore-using-aws-backup/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon ElastiCache Multi-AZ 叢集
**Description**
檢查是否有 ElastiCache 叢集部署在單一可用區域 (AZ) 中。如果 Multi-AZ 在叢集中處於非作用中狀態,則此檢查會提醒您。
在多可用區進行部署,可以非同步方式複寫至不同可用區域中的唯讀複本,從而增強 ElastiCache 叢集可用性。進行計畫的叢集維護或主節點無法使用時,ElastiCache 會自動將複本提升為主節點。此容錯移轉允許繼續執行叢集寫入操作,而且不需要管理員介入。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`ECHdfsQ402`
**警示條件**
+ 綠色:Multi-AZ 在叢集中處於作用中狀態。
+ 黃色:Multi-AZ 在叢集中處於非作用中狀態。
**建議的動作**
在與主碎片不同的可用區域中,為每個碎片至少建立一個複本。
**其他資源**
如需詳細資訊,請參閱[使用異地同步備份將 ElastiCache (Redis OSS) 中的停機時間降至最低](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/AutoFailover.html)。
**報告欄位**
+ 狀態
+ 區域
+ 叢集名稱
+ 上次更新時間
## ElastiCache (Redis OSS) 叢集自動備份
**Description**
檢查 Amazon ElastiCache (Redis OSS) 叢集是否已開啟自動備份,以及快照保留期是否超過指定的 或 15 天預設限制。啟用自動備份時,ElastiCache 每天都會建立叢集備份。
您可以使用 AWS Config 規則的 **snapshotRetentionPeriod** 參數來指定所需的快照保留限制。
如需詳細資訊,請參閱 [ ElastiCache (Redis OSS) 的備份和還原](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz178`
**來源**
`AWS Config Managed Rule: elasticache-redis-cluster-automatic-backup-check`
**警示條件**
紅色:Amazon ElastiCache (Redis OSS) 叢集未開啟自動備份,或快照保留期低於限制。
**建議的動作**
確定 Amazon ElastiCache (Redis OSS) 叢集已開啟自動備份,且快照保留期超過指定的 或 15 天預設限制。自動備份可協助防止資料遺失。如果發生失敗,您可以建立新的叢集,從最新的備份還原您的資料。
如需詳細資訊,請參閱 [ ElastiCache (Redis OSS) 的備份和還原](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups.html)。
**其他資源**
如需詳細資訊,請參閱[排程自動備份](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html)。
**報告欄位**
+ 狀態
+ 區域
+ 叢集名稱
+ 上次更新時間
## Amazon MemoryDB Multi-AZ 叢集
**Description**
檢查是否有 MemoryDB 叢集部署在單一可用區域 (AZ) 中。如果 Multi-AZ 在叢集中處於非作用中狀態,則此檢查會提醒您。
在多可用區進行部署,可以非同步方式複寫至不同可用區域中的唯讀複本,從而增強 MemoryDB 叢集可用性。進行計畫的叢集維護或主節點無法使用時,MemoryDB 會自動將複本提升為主節點。此容錯移轉允許繼續執行叢集寫入操作,而且不需要管理員介入。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`MDBdfsQ401`
**警示條件**
+ 綠色:Multi-AZ 在叢集中處於作用中狀態。
+ 黃色:Multi-AZ 在叢集中處於非作用中狀態。
**建議的動作**
在與主碎片不同的可用區域中,為每個碎片至少建立一個複本。
**其他資源**
如需詳細資訊,請參閱在 [Minimizing downtime in MemoryDB with Multi-AZ](https://docs.aws.amazon.com/memorydb/latest/devguide/autofailover.html) (使用 Multi-AZ 將 MemoryDB 中的停機時間降至最低)。
**報告欄位**
+ 狀態
+ 區域
+ 叢集名稱
+ 上次更新時間
## Amazon MSK 代理程式託管過多分割區
**Description**
檢查 Managed Streaming for Kafka (MSK) 叢集的代理程式沒有超過指派的建議分割區數量。
**檢查 ID**
`Cmsvnj8vf1`
**警示條件**
+ 紅色:您的 MSK 代理程式已超過建議最大分割區限制的 100%
+ 黃色:您的 MSK 已達到建議最大分割區限制的 80%
**建議的動作**
依照 MSK [建議的最佳實務](https://docs.aws.amazon.com/msk/latest/developerguide/bestpractices.html)來擴展 MSK 叢集或刪除任何未使用的分割區。
**其他資源**
+ [調整您叢集的大小](https://aws.amazon.com/blogs/big-data/best-practices-for-right-sizing-your-apache-kafka-clusters-to-optimize-performance-and-cost/)
**報告欄位**
+ 狀態
+ 區域
+ 叢集 ARN
+ 中介裝置 ID
+ 分割區計數
## Amazon MSK 叢集異地同步備份
**Description**
檢查 Amazon MSK 佈建叢集的可用區域 (AZs) 數量。Amazon MSK 叢集由數個中介裝置組成,可一起運作並分配資料和負載。生產可能會在 2-AZ 叢集的維護或代理程式問題期間中斷。
**檢查 ID**
`90046ff5b5`
**警示條件**
+ 黃色:Amazon MSK 叢集只會在兩個AZs佈建代理程式
+ 綠色:Amazon MSK 叢集是透過三個或多個可用AZs代理程式佈建
**建議的動作**
若要提高叢集的可用性,您可以在 3 個AZs設定中建立另一個叢集。然後將現有叢集遷移至您建立的新叢集。您可以使用 Amazon MSK 複寫進行此遷移。
**其他資源**
[Amazon MSK 高可用性](https://docs.aws.amazon.com/msk/latest/developerguide/bestpractices.html#ensure-high-availability)
[Amazon MSK 遷移](https://docs.aws.amazon.com/msk/latest/developerguide/migration.html)
**報告欄位**
+ 狀態
+ 區域
+ MSK 叢集 ARN
+ AZ 數量
+ 上次更新時間
## 具有少於三個資料節點的 Amazon OpenSearch Service 網域
**Description**
檢查 Amazon OpenSearch Service 網域是否已設定至少三個資料節點,且 ZoneAwarenessEnabled 為真。啟用 ZoneAwarenessEnabled 之後,Amazon OpenSearch Service 可確保在不同的可用區域中配置每個主要碎片及其對應複本。
如需詳細資訊,請參閱[在 Amazon OpenSearch Service 中設定多可用區域網域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-multiaz.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz183`
**來源**
`AWS Config Managed Rule: opensearch-data-node-fault-tolerance`
**警示條件**
黃色:Amazon OpenSearch Service 網域設定的資料節點少於三個。
**建議的動作**
請確定已設定具有至少三個資料節點的 Amazon OpenSearch Service 網域。設定多可用區域網域,透過在同一區域內的三個可用區域中分配節點和複寫資料,以增強 Amazon OpenSearch Service 叢集的可用性。如此可避免在發生節點和資料中心 (AZ) 故障的情況下造成資料遺失,且將停機時間降到最低。
如需詳細資訊,請參閱[藉由在三個可用區域之中部署來提高 Amazon OpenSearch Service 的可用性](https://aws.amazon.com/blogs/big-data/increase-availability-for-amazon-opensearch-service-by-deploying-in-three-availability-zones/)。
**其他資源**
+ [藉由在三個可用區域之中部署來提高 Amazon OpenSearch Service 的可用性](https://aws.amazon.com/blogs/big-data/increase-availability-for-amazon-opensearch-service-by-deploying-in-three-availability-zones/)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon RDS 備份
**Description**
檢查 Amazon RDS 資料庫執行個體的自動備份。
備份功能預設為啟用,保留期間為一天。備份可降低意外遺失資料的風險,且可用於進行 point-in-time 恢復。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`opQPADkZvH`
**警示條件**
紅色:資料庫執行個體的備份保留期間設為 0 天。
**建議的動作**
根據應用程式的需求,將自動化資料庫執行個體備份的保留期間設為 1 到 35 天。請參閱[使用自動備份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)。
**其他資源**
[Amazon RDS 入門](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.html)
**報告欄位**
+ 狀態
+ 區域/可用區域
+ 資料庫執行個體
+ VPC ID
+ Backup Retention Period (備份保留期間)
## Amazon RDS 持續備份未啟用
**Description**
檢查 Amazon RDS 執行個體是否已啟用使用 Amazon RDS 或 的自動備份 AWS Backup。持續備份可降低意外資料遺失的風險,並允許point-in-time復原。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`44fde09ab5`
**警示條件**
+ 紅色:執行個體未在 Amazon RDS 中啟用自動備份或連續備份 AWS Backup。
+ 紅色:低於 5.6 的 MySQL 版本不支援自動或連續備份。若要提供彈性,請先升級資料庫版本,然後啟用自動或持續備份。
+ 綠色:執行個體已在 Amazon RDS 中啟用自動備份。
+ 綠色:執行個體已在 中啟用連續備份 AWS Backup。
**建議的動作**
確定 Amazon RDS 執行個體已設定自動備份,方法是在 Amazon RDS 中設定大於 0 的保留期間,或使用 建立連續備份計劃 AWS Backup。
**其他資源**
+ [Amazon RDS 入門](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.html)
+ [管理自動備份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ManagingAutomatedBackups.html)
+ [備份簡介](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)
+ [持續備份和point-in-time(PITR)](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)
+ [AWS Backup 功能可用性](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html)
**報告欄位**
+ 狀態
+ 區域
+ DB Instance Identifier (資料庫執行個體識別符)
+ 資料庫執行個體 ARN
+ 部署類型
+ 備份類型
+ Reason
+ 上次更新時間
## Amazon RDS 資料庫叢集有一個資料庫執行個體
**Description**
將至少另一個資料庫執行個體新增至資料庫叢集,以改善可用性和效能。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt011`
**警示條件**
黃色:資料庫叢集只有一個資料庫執行個體。
**建議的動作**
將讀取器資料庫執行個體新增至資料庫叢集。
**其他資源**
在目前的組態中,讀取和寫入操作都會使用一個資料庫執行個體。您可以新增另一個資料庫執行個體,以允許讀取重新分佈和容錯移轉選項。
如需詳細資訊,請參閱 [Amazon Aurora 的高可用性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 資料庫執行個體類別
+ 上次更新時間
## 具有相同可用區域中所有執行個體的 Amazon RDS 資料庫叢集
**Description**
資料庫叢集目前位於單一可用區域。使用多個可用區域來改善可用性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt007`
**警示條件**
黃色:資料庫叢集在相同的可用區域中具有所有執行個體。
**建議的動作**
將資料庫執行個體新增至資料庫叢集中的多個可用區域。
**其他資源**
建議您將資料庫執行個體新增至資料庫叢集中的多個可用區域。將資料庫執行個體新增至多個可用區域可改善資料庫叢集的可用性。
如需詳細資訊,請參閱 [Amazon Aurora 的高可用性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 上次更新時間
## 具有相同可用區域中所有讀取器執行個體的 Amazon RDS 資料庫叢集
**Description**
在您的資料庫叢集之中,所有讀取器執行個體都位於相同的可用區域。建議您將讀取器執行個體分散到資料庫叢集中的多個可用區域。
分佈會增加資料庫的可用性,並透過減少用戶端和資料庫之間的網路延遲來改善回應時間。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt018`
**警示條件**
紅色:資料庫叢集在相同的可用區域中具有讀取器執行個體。
**建議的動作**
將讀取器執行個體分散到多個可用區域。
**其他資源**
可用區域 (AZs) 是彼此不同的位置,可在每個 AWS 區域內發生中斷時提供隔離。建議您將資料庫叢集中的主要執行個體和讀取器執行個體分配到多個可用區域中,以提升資料庫叢集的可用性。您可以在建立叢集時 AWS 管理主控台 AWS CLI,使用 或 Amazon RDS API 建立多可用區域叢集。您可以透過新增讀取器執行個體並指定不同的可用區域,將現有 Aurora 叢集修改為多可用區叢集。
如需詳細資訊,請參閱 [Amazon Aurora 的高可用性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 上次更新時間
## 未啟用 Amazon RDS 資料庫執行個體增強型監控
**Description**
檢查是否已啟用 Amazon RDS 資料庫執行個體增強型監控。
Amazon RDS 增強型監控會即時提供執行資料庫執行個體在其上執行之作業系統 (OS) 的指標。您可以在 Amazon RDS 主控台上檢視 Amazon RDS 資料庫執行個體的所有系統指標和處理資訊。此外,您還可以自訂儀表板。透過增強型監控,您幾乎可以即時掌握 Amazon RDS 執行個體操作狀態,讓您更快回應操作問題。
您可以使用 AWS Config 規則的 **monitoringInterval** 參數來指定所需的監控間隔。
如需詳細資訊,請參閱[增強型監視概觀](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.overview.html)和[增強型監控中的 OS 指標](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring-Available-OS-Metrics.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz158`
**來源**
`AWS Config Managed Rule: rds-enhanced-monitoring-enabled`
**警示條件**
黃色:您的 Amazon RDS 資料庫執行個體未啟用增強型監控,或未設定所需的時間間隔。
**建議的動作**
為 Amazon RDS 資料庫執行個體啟用增強型監控功能,藉此改善 Amazon RDS 執行個體操作狀態的可見性。
如需詳細資訊,請參閱[使用增強型監控來監控 OS 指標](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)。
**其他資源**
[增強型監控中的作業系統指標](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring-Available-OS-Metrics.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon RDS 資料庫執行個體已關閉儲存體自動調整規模
**Description**
資料庫執行個體未開啟 Amazon RDS 儲存體自動調整規模。當資料庫工作負載增加時,RDS Storage Autoscaling 會在零停機時間的情況下自動擴展儲存容量。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt013`
**警示條件**
紅色:資料庫執行個體未開啟儲存體自動調整規模。
**建議的動作**
開啟具有指定最大儲存閾值的 Amazon RDS 儲存體自動調整規模。
**其他資源**
當資料庫工作負載增加時,Amazon RDS 儲存體自動擴展會自動擴展儲存容量,且不會停機。儲存體自動擴展會監控儲存體用量,並在用量接近佈建儲存體容量時自動擴展容量。您可以指定 Amazon RDS 可配置給資料庫執行個體的儲存體上限。儲存體自動擴展無需額外費用。您只需為配置給資料庫執行個體的 Amazon RDS 資源付費。建議您開啟 Amazon RDS 儲存體自動調整規模。
如需詳細資訊,請參閱[使用 Amazon RDS 儲存體自動調整規模自動管理容量](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PIOPS.StorageTypes.html#USER_PIOPS.Autoscaling)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## 未使用異地同步備份部署的 Amazon RDS 資料庫執行個體
**Description**
建議您使用多可用區域部署。多可用區域部署可增強資料庫執行個體的可用性和耐久性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt019`
**警示條件**
黃色:資料庫執行個體未使用異地同步備份部署。
**建議的動作**
為受影響的資料庫執行個體設定異地同步備份。
**其他資源**
在 Amazon RDS 異地同步備份部署中,Amazon RDS 會自動建立主要資料庫執行個體,並將資料複寫至不同可用區域中的執行個體。偵測到故障時,Amazon RDS 會自動容錯移轉至待命執行個體,無需手動介入。
如需詳細資訊,請參閱[ 定價](https://aws.amazon.com/rds/features/multi-az/#Pricing)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 引擎名稱
+ 上次更新時間
## Amazon RDS DiskQueueDepth
**Description**
檢查 CloudWatch 指標 DiskQueueDepth 是否顯示 RDS 執行個體資料庫儲存區的佇列寫入次數已增加到應建議進行作業調查的程度。
**檢查 ID**
`Cmsvnj8db3`
**警示條件**
+ 紅色:DiskQueueDepth CloudWatch 指標已超過 10
+ 黃色:DiskQueueDepth CloudWatch 指標大於 5,但小於或等於 10
+ 綠色:DiskQueueDepth CloudWatch 指標小於或等於 5
**建議的動作**
請考慮移至支援讀取/寫入特性的執行個體和儲存磁碟區。
**報告欄位**
+ 狀態
+ 區域
+ 資料庫執行個體 ARN
+ DiskQueueDepth 指標
## Amazon RDS FreeStorageSpace
**Description**
檢查 RDS 資料庫執行個體的 FreeStorageSpace CloudWatch 指標是否已低於操作上合理的閾值。
**檢查 ID**
`Cmsvnj8db2`
**警示條件**
+ 紅色:FreeStorageSpace 少於總容量的 10%
+ 黃色:FreeStorageSpace 介於總容量的 10% 到 20% 之間
+ 綠色:FreeStorageSpace 超過總容量的 20%
**建議的動作**
使用 Amazon RDS 管理主控台、Amazon RDS API 或 AWS 命令列界面,擴展可用儲存空間不足之 RDS 資料庫執行個體的儲存空間。
**報告欄位**
+ 狀態
+ 區域
+ 資料庫執行個體 ARN
+ FreeStorageSpace 指標 (MB)
+ 資料庫執行個體分配的儲存空間 (MB)
+ 資料庫執行個體儲存空間用量百分比
## Amazon RDS log\$1output 參數設定為資料表
**Description**
當 **log\$1output** 設為 **TABLE** 時,使用的儲存空間會比 **log\$1output** 設為 **FILE** 時多。我們建議您將 參數設定為 **FILE**,以避免達到儲存體大小限制。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt023`
**警示條件**
黃色:資料庫參數群組的 **log\$1output** 參數設定為 **TABLE**。
**建議的動作**
將 **log\$1output** 參數值設定為資料庫參數群組中的 **FILE**。
**其他資源**
如需詳細資訊,請參閱 [MySQL 資料庫日誌檔案](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.MySQL.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS innodb\$1default\$1row\$1format 參數設定不安全
**Description**
您的資料庫執行個體遇到已知問題:當索引超過 767 個位元組時,在 MySQL 版本低於 8.0.26 且 **row\$1format** 設為 **COMPACT** 或 **REDUNDANT** 的資料表無法存取且無法復原。
建議您將 **innodb\$1default\$1row\$1format** 參數值設定為 **DYNAMIC**。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt036`
**警示條件**
紅色:資料庫參數群組的 **innodb\$1default\$1row\$1format** 參數設定不安全。
**建議的動作**
將 **innodb\$1default\$1row\$1format** 參數設定為 **DYNAMIC**。
**其他資源**
當資料表的 MySQL 版本低於 8.0.26,且 **row\$1format** 設定為 **COMPACT** 或 **REDUNDANT** 時,不會強制執行建立索引鍵前綴小於 767 個位元組的索引。資料庫重新啟動後,就無法存取或復原這些資料表。
如需詳細資訊,請參閱 [ MySQL 文件網站上的 MySQL 8.0.26 (2021-07-20 中的變更、一般可用性)n](https://dev.mysql.com/doc/relnotes/mysql/8.0/en/news-8-0-26.html#mysqld-8-0-26-bug%60)。 MySQL
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS innodb\$1flush\$1log\$1at\$1trx\$1commit 參數不是 1
**Description**
資料庫執行個體的 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 參數值不是安全值。此參數控制提交操作至磁碟的持續性。
我們建議您將 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 參數設定為 1。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt030`
**警示條件**
黃色:資料庫參數群組的 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 設定為 1 以外的 。
**建議的動作**
將 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 參數值設定為 1
**其他資源**
當日誌緩衝區儲存到耐用的儲存體時,資料庫交易是耐用的。不過,儲存到磁碟會影響效能。根據 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 參數的值設定,日誌寫入和儲存至磁碟的行為可能會有所不同。
+ 當參數值為 1 時,日誌會在每個遞交的交易之後寫入並儲存到磁碟。
+ 當參數值為 0 時,日誌會寫入並儲存到磁碟,每秒一次。
+ 當參數值為 2 時,日誌會在每個交易遞交後寫入,並每秒儲存至磁碟一次。資料會從 InnoDB 記憶體緩衝區移至也位於記憶體中的作業系統快取。
當參數值不是 1 時,InnoDB 無法保證 ACID 屬性。資料庫當機時,最後一秒最近的交易可能會遺失。
如需詳細資訊,請參閱[設定 Amazon RDS for MySQL 參數的最佳實務,第一部分:效能相關參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS max\$1user\$1connections 參數過低
**Description**
針對每個資料庫帳戶能同時連線的數量上限,您的資料庫執行個體設定值很低。
我們建議將 **max\$1user\$1connections** 參數設定為大於 **5** 的數字。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt034`
**警示條件**
黃色:資料庫參數群組的 **max\$1user\$1connections** 設定錯誤。
**建議的動作**
將 **max\$1user\$1connections** 參數的值增加到大於 **5** 的數字。
**其他資源**
**max\$1user\$1connections** 設定可控制 MySQL 使用者帳戶允許的同時連線數目上限。達到此連線限制會導致 Amazon RDS 執行個體管理操作失敗,例如備份、修補和參數變更。
如需詳細資訊,請參閱 MySQL 文件網站上的[設定帳戶資源限制](https://dev.mysql.com/doc/refman/8.0/en/user-resources.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS Multi-AZ
**Description**
檢查是否有資料庫執行個體部署在單一可用區域 (AZ) 中。
Multi-AZ 部署會同步複寫至不同可用區域中的備用執行個體,以增強資料庫的可用性。在規劃的資料庫維護期間,或在資料庫執行個體或可用區域故障期間,Amazon RDS 會自動容錯移轉到備用執行個體。此容錯移轉可讓資料庫作業快速恢復,無需系統管理介入。由於 Amazon RDS 不支援適用於 Microsoft SQL 伺服器的 Multi-AZ 部署,因此這項檢查不會對 SQL 伺服器執行個體進行檢查。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`f2iK5R6Dep`
**警示條件**
黃色:資料庫執行個體部署在單一可用區域。
**建議的動作**
如果您的應用程式需要高可用性,請修改資料庫執行個體以啟用 Multi-AZ 部署。請參閱[高可用性 (Multi-AZ)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html)。
**其他資源**
[區域與可用區域](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html)
**報告欄位**
+ 狀態
+ 區域/可用區域
+ 資料庫執行個體
+ VPC ID
+ Multi-AZ
## Amazon RDS 不在 AWS Backup 計劃中
**Description**
檢查您的 Amazon RDS 資料庫執行個體是否包含在 AWS Backup的備份計畫中。
AWS Backup 是一種全受管備份服務,可讓您輕鬆地集中和自動化跨 AWS 服務備份資料。
在備份計畫中包含 Amazon RDS 資料庫執行個體對於監管法規遵循義務、災難復原、資料保護的業務政策和業務持續性目標而言非常重要。
如需詳細資訊,請參閱[什麼是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz159`
**來源**
`AWS Config Managed Rule: rds-in-backup-plan`
**警示條件**
黃色:Amazon RDS 資料庫執行個體不包含在 的備份計畫中 AWS Backup。
**建議的動作**
將 Amazon RDS 資料庫執行個體納入備份計畫中 AWS Backup。
如需詳細資訊,請參閱[使用 AWS Backup 進行 Amazon RDS 備份和還原](https://aws.amazon.com/getting-started/hands-on/amazon-rds-backup-restore-using-aws-backup/)。
**其他資源**
[指派資源至備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon RDS 僅供讀取複本以可寫入模式開啟
**Description**
您的資料庫執行個體具有可寫入模式的僅供讀取複本,允許從用戶端進行更新。
建議您將 **read\$1only** 參數設定為 **TrueIfReplica**,讓僅供讀取複本不處於可寫入模式。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt035`
**警示條件**
黃色:資料庫參數群組會開啟僅供讀取複本的可寫入模式。
**建議的動作**
將 **read\$1only** 參數值設定為 **TrueIfReplica**。
**其他資源**
**read\$1only** 參數控制從用戶端到資料庫執行個體的寫入許可。此參數的預設值為 **TrueIfReplica**。對於複本執行個體,**TrueIfReplica** 會將**唯讀**值設定為 ON (1),並停用用戶端的任何寫入活動。對於主要/寫入器執行個體,**TrueIfReplica** 會將值設定為 OFF (0),並啟用執行個體用戶端的寫入活動。以可寫入模式開啟僅供讀取複本時,此執行個體中存放的資料可能會與主要執行個體不同,這會導致複寫錯誤。
如需詳細資訊,請參閱 MySQL 文件網站上的[設定 Amazon RDS for MySQL 參數的最佳實務,第 2 部分:與複寫相關的參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-2-parameters-related-to-replication/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon RDS 資源自動備份已關閉
**Description**
資料庫資源上已停用自動備份。自動備份可進行資料庫執行個體的時間點復原。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt001`
**警示條件**
紅色:Amazon RDS 資源未開啟自動備份
**建議的動作**
開啟保留期間最長為 14 天的自動備份。
**其他資源**
自動化備份可讓您的資料庫執行個體point-in-time復原。我們建議您開啟自動備份。當您開啟資料庫執行個體的自動備份時,Amazon RDS 會在您偏好的備份時段內每天自動執行資料的完整備份。備份會在資料庫執行個體有更新時擷取交易日誌。您可以取得備份儲存體,最高可達資料庫執行個體的儲存體大小,無需額外費用。
如需詳細資訊,請參閱下列資源:
+ [啟用自動備份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling)
+ [解密 Amazon RDS 備份儲存成本](https://aws.amazon.com/blogs/database/demystifying-amazon-rds-backup-storage-costs/)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS sync\$1binlog 參數已關閉
**Description**
在資料庫執行個體中確認交易遞交之前,系統不會強制執行二進位日誌到磁碟的同步處理。
我們建議您將 **sync\$1binlog** 參數值設定為 **1**。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt031`
**警示條件**
黃色:資料庫參數群組的同步二進位記錄已關閉。
**建議的動作**
將 **sync\$1binlog** 參數設定為 **1**。
**其他資源**
**sync\$1binlog** 參數控制 MySQL 如何將二進位日誌推送至磁碟。當此參數的值設定為 **1** 時,它會在遞交交易之前開啟對磁碟的二進位日誌同步。當此參數的值設定為 **0** 時,它會關閉與磁碟的二進位日誌同步。一般而言,MySQL 伺服器依賴作業系統將二進位日誌推送到與其他檔案定期類似的磁碟。設定為 **0** 的 **sync\$1binlog** 參數值可以增強效能。不過,在電源故障或作業系統當機期間,伺服器會遺失所有未同步至二進位日誌的遞交交易。
如需詳細資訊,請參閱[設定 Amazon RDS for MySQL 參數的最佳實務,第 2 部分:與複寫相關的參數](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-2-parameters-related-to-replication/)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## RDS 資料庫叢集未啟用 Multi-AZ 複寫
**Description**
檢查您的 Amazon RDS 資料庫叢集是否已啟用 Multi-AZ 複寫。
Multi-AZ 資料庫叢集在三個不同的可用區域中有一個寫入器資料庫執行個體和兩個讀取器資料庫。Multi-AZ 資料庫叢集相較於 Multi-AZ 部署,可提供高可用性、增加讀取工作負載的容量以及更低的延遲。
如需詳細資訊,請參閱[建立 Multi-AZ 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/create-multi-az-db-cluster.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz161`
**來源**
`AWS Config Managed Rule: rds-cluster-multi-az-enabled`
**警示條件**
黃色:您的 Amazon RDS 資料庫叢集未設定 Multi-AZ 複寫
**建議的動作**
在建立 Amazon RDS 資料庫叢集時,開啟 Multi-AZ 資料庫叢集部署。
如需詳細資訊,請參閱[建立 Multi-AZ 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/create-multi-az-db-cluster.html)。
**其他資源**
[Multi-AZ 資料庫叢集部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/multi-az-db-clusters-concepts.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用 RDS Multi-AZ 備用執行個體
**Description**
檢查 Amazon RDS 資料庫執行個體是否已設定 Multi-AZ 備用複本。
Amazon RDS Multi-AZ 會將資料複寫到不同可用區域中的備用複本,為資料庫執行個體提供高可用區域和耐用性。如此可提供自動容錯移轉、改善效能並增強資料耐久性。在 Multi-AZ 資料庫執行個體部署中,Amazon RDS 會自動佈建,並在不同的可用區域中維持同步待命複本。主要資料庫執行個體會跨可用區域,同步複寫到待命複本,提供資料備援並且降低系統備份時的延遲遽增發生等功能。執行具有高可用性的資料庫執行個體,可在規劃好的系統維護期間增強可用性。它還有助於在資料庫執行個體失敗和可用區域中斷時保護資料庫。
如需詳細資訊,請參閱 [Multi-AZ 資料庫執行個體部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz156`
**來源**
`AWS Config Managed Rule: rds-multi-az-support`
**警示條件**
黃色:Amazon RDS 資料庫執行個體未設定 Multi-AZ 複本。
**建議的動作**
在建立 Amazon RDS 資料庫執行個體時,開啟 Multi-AZ 部署。
此檢查無法從 Trusted Advisor 主控台的檢視中排除。
**其他資源**
[Multi-AZ 資料庫執行個體部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon RDS ReplicaLag
**Description**
檢查 RDS 資料庫執行個體的 ReplicaLag CloudWatch 指標是否在過去一週內超過操作上合理的閾值。
ReplicaLag 指標會測量僅供讀取複本落後主要執行個體的秒數。當對僅供讀取複本進行的非同步更新無法跟上主要資料庫執行個體上發生的更新時,就會發生複寫延遲。在主要執行個體發生故障的情況下,若 ReplicaLag 超過操作上合理的閾值,則僅供讀取複本可能會遺失資料。
**檢查 ID**
`Cmsvnj8db1`
**警示條件**
+ 紅色:ReplicaLag 指標在一週內超過 60 秒至少一次。
+ 黃色:ReplicaLag 指標在一週內超過 10 秒至少一次。
+ 綠色:ReplicaLag 少於 10 秒。
**建議的動作**
有數個可能的原因使 ReplicaLag 增加到操作上安全的層級以外。例如,這可能是因為最近從舊版備份取代/啟動的複本執行個體,以及這些複本需要大量時間才能「catch-up」主要資料庫執行個體和即時交易所導致。隨著 catch-up 的發生,此 ReplicaLag 可能會隨著時間的推移而減少。另一個範例可能是:主要資料庫執行個體上能夠達到的交易速度,高於複寫處理或複本基礎結構能趕上的速度。由於複寫無法跟上主要資料庫效能的速度,此 ReplicaLag 可能會隨著時間的推移而增加。最後,工作負載可能會在天/月/等的不同期間爆量,導致 ReplicaLag 偶爾落後。您的團隊應調查哪些可能的根本原因造成了資料庫的高 ReplicaLag,並且可能要變更資料庫執行個體類型或該工作負載的其他特性,藉此確保複本上的資料連續性符合您的需求。
**其他資源**
+ [使用 Amazon RDS for PostgreSQL 的僅供讀取複本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PostgreSQL.Replication.ReadReplicas.html)
+ [在 Amazon RDS 中使用 MySQL 複寫](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_MySQL.Replication.html)
+ [使用 MySQL 僅供讀取複本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_MySQL.Replication.ReadReplicas.html)
**報告欄位**
+ 狀態
+ 區域
+ 資料庫執行個體 ARN
+ ReplicaLag 指標
## Amazon RDS synchronous\$1commit 參數已關閉
**Description**
當 **synchronous\$1commit** 參數關閉時,資料可能會在資料庫當機時遺失。資料庫的耐久性存在風險。
建議您開啟 **synchronous\$1commit** 參數。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt026`
**警示條件**
紅色:資料庫參數群組已關閉 **synchronous\$1commit** 參數。
**建議的動作**
在資料庫參數群組中開啟 **synchronous\$1commit** 參數。
**其他資源**
**synchronous\$1commit** 參數會定義在資料庫伺服器傳送成功通知給用戶端之前完成預先寫入記錄 (WAL) 程序。此遞交稱為非同步遞交,因為用戶端會在 WAL 將交易儲存在磁碟之前確認遞交。如果 **synchronous\$1commit** 參數已關閉,則交易可能會遺失、資料庫執行個體耐久性可能會受到影響,而資料可能會在資料庫當機時遺失。
如需詳細資訊,請參閱 [MySQL 資料庫日誌檔案](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.MySQL.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數名稱
+ 建議值
+ 上次更新時間
## Amazon Redshift 叢集自動快照
**Description**
檢查您的 Amazon Redshift 叢集是否已啟用自動化快照。
Amazon Redshift 會自動取得增量快照,以追蹤自上一個自動快照以來對叢集的變更。自動快照會保留所有需要的資料以從快照還原叢集。若要停用自動快照,請將保留期間設定為 zero (零)。您無法停用 RA3 節點類型的自動快照。
您可以使用 AWS Config 規則的 **MinRetentionPeriod** 和 **MaxRetentionPeriod** 參數來指定所需的最短和最長保留期間。
[Amazon Redshift 快照和備份](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html)
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz135`
**來源**
`AWS Config Managed Rule: redshift-backup-enabled`
**警示條件**
紅色:Amazon Redshift 並未在所需的保留期間內設定自動快照。
**建議的動作**
確定您的 Amazon Redshift 叢集已啟用自動化快照。
如需詳細資訊,請參閱[使用主控台管理快照](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-snapshots-console.html)。
**其他資源**
[Amazon Redshift 快照和備份](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html)
如需詳細資訊,請參閱[使用備份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon Route 53 已刪除運作狀態檢查
**Description**
檢查是否有資源記錄集與已刪除的運作狀態檢查相關聯。
Route 53 不會阻止您刪除與一或多個資源記錄集相關聯的運作狀態檢查。如果您刪除運作狀態檢查而沒有更新相關聯的資源記錄集,DNS 備援組態的 DNS 查詢路由將無法如預期運作。
AWS 服務建立的託管區域不會出現在您的檢查結果中。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`Cb877eB72b`
**警示條件**
黃色:資源記錄集與已刪除的運作狀態檢查相關聯。
**建議的動作**
建立新的運作狀態檢查,並將其與資源記錄集建立關聯。請參閱[建立、更新和刪除運作狀態檢查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)和[將運作狀態檢查新增到資源記錄集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-adding-to-rrsets.html)。
**其他資源**
+ [Amazon Route 53 運作狀態檢查和 DNS 備援](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)
+ [簡單 Amazon Route 53 組態中運作狀態檢查的運作方式](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-simple-configs.html)
**報告欄位**
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 資源記錄集類型
+ 資源記錄集識別碼
## Amazon Route 53 容錯移轉資源記錄集
**Description**
檢查是否有 Amazon Route 53 容錯移轉資源記錄集設定錯誤。
Amazon Route 53 運作狀態檢查判斷主要資源運作狀況不良時,Amazon Route 53 會以次要備份資源記錄集回應查詢。您必須建立正確設定的主要和次要資源記錄集,容錯移轉才能運作。
AWS 服務建立的託管區域不會出現在您的檢查結果中。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`b73EEdD790`
**警示條件**
+ 黃色:主要容錯移轉資源記錄集沒有對應的次要資源記錄集。
+ 黃色:次要容錯移轉資源記錄集沒有對應的主要資源記錄集。
+ 黃色:具有相同名稱的主要與次要資源記錄集與相同的運作狀態檢查相關聯。
**建議的動作**
如果遺失容錯移轉資源集,請建立對應的資源記錄集。請參閱[建立容錯移轉資源記錄集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/creating-failover-rrsets.html)。
如果您的資源記錄集與相同的運作狀態檢查相關聯,請為每個記錄集建立個別的運作狀態檢查。請參閱[建立、更新和刪除運作狀態檢查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)。
**其他資源**
[Amazon Route 53 運作狀態檢查和 DNS 備援](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)
**報告欄位**
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 資源記錄集類型
+ Reason
## Amazon Route 53 高 TTL 資源記錄集
**Description**
檢查是否有資源記錄集可受益於較小的存留時間 (TTL) 值。
TTL 是 DNS 解析器快取資源記錄集的秒數。當您指定長 TTL 時,DNS 解析程式需要更長的時間來請求更新的 DNS 記錄,這可能會導致重新路由流量不必要的延遲 (例如,當 DNS 容錯移轉偵測到並回應其中一個端點的故障時)。此檢查只會查看具有容錯移轉政策的記錄,或者如果有相關聯的運作狀態檢查。
AWS 服務建立的託管區域不會出現在您的檢查結果中。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`C056F80cR3`
**警示條件**
+ 黃色:路由政策為容錯移轉的資源記錄集的 TTL 大於 60 秒。
+ 綠色:資源記錄沒有容錯移轉政策,或具有 TTL 小於 60 的容錯移轉政策。
**建議的動作**
針對列出的資源記錄集,輸入 60 秒的 TTL 值。如需詳細資訊,請參閱[使用資源記錄集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)。
**其他資源**
[Amazon Route 53 運作狀態檢查和 DNS 備援](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)
**報告欄位**
+ 狀態
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 資源記錄集類型
+ 資源記錄集 ID
+ TTL
## Amazon Route 53 名稱伺服器委派
**Description**
檢查您的網域註冊商或 DNS 針對哪個 Amazon Route 53 託管區域沒有使用正確的 Route 53 名稱伺服器。
建立託管區域時,Route 53 會指派一組四個名稱伺服器。這些伺服器的名稱包括 ns-*\$1\$1\$1*.awsdns-*\$1\$1*.com、.net、.org 和 .co.uk,其中 *\$1\$1\$1* 和 *\$1\$1* 通常代表不同的數字。您必須先更新註冊商的名稱伺服器組態,移除註冊商指派的名稱伺服器,Route 53 才能路由您網域的 DNS 查詢。接下來,您必須在 Route 53 委派集中新增全部四個名稱伺服器。為了提供最高的可用性,您必須新增全部四個 Route 53 名稱伺服器。
AWS 服務建立的託管區域不會出現在您的檢查結果中。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`cF171Db240`
**警示條件**
黃色:託管區域中您網域的註冊商未使用委派集中全部四個 Route 53 名稱伺服器。
**建議的動作**
使用您的註冊商或網域目前的 DNS 服務新增或更新名稱伺服器記錄,以包含 Route 53 委派集中的全部四個名稱伺服器。若要尋找這些值,請參閱[取得託管區域的名稱伺服器](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/GetInfoAboutHostedZone.html)。如需有關新增或更新名稱伺服器記錄的詳細資訊,請參閱[建立和遷移網域與子網域至 Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/creating-migrating.html)。
**其他資源**
[使用託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/AboutHZWorkingWith.html)
**報告欄位**
+ 託管區域名稱
+ 託管區域 ID
+ 已使用的委派名稱伺服器數量
## Amazon Route 53 Resolver 端點可用區域備援
**Description**
檢查您的服務組態是否具有在至少兩個可用區域 (AZ) 中指定的 IP 地址以供備援之用。AZ 是明顯與其他區域中的故障隔絕開來的地點。藉由在同一區域的多個 AZ 中指定 IP 地址,您可以保護應用程式免於發生單點故障情形。
**檢查 ID**
`Chrv231ch1`
**警示條件**
+ 黃色:IP 地址僅在一個 AZ 中指定
+ 綠色:至少在兩個 AZ 中指定了 IP 地址
**建議的動作**
在至少兩個可用區域中指定 IP 地址以進行備援。
**其他資源**
+ 如果您需要多個始終可用的彈性網路介面端點,建議您至少建立一個超過所需的網路介面,以確保有額外的容量可用於處理可能的流量激增。額外的網路介面也可確保維護或升級等維修作業期間的可用性。
+ [Resolver 端點的高可用性](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-high-availability.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源 ARN
+ AZ 數量
## 未啟用 Amazon S3 儲存貯體複寫
**Description**
檢查您的跨區域複寫、相同區域複寫或兩者是否均已啟用 Amazon S3 儲存貯體複寫規則。
複寫是在相同或不同 AWS 區域中跨儲存貯體自動非同步複製物件。複寫會將來源儲存貯體中新建立的物件和物件更新複製至目的地儲存貯體。使用 Amazon S3 儲存貯體複寫來協助改善應用程式和資料儲存的彈性與法規遵循。
如需詳細資訊,請參閱[複製物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz119`
**來源**
`AWS Config Managed Rule: s3-bucket-replication-enabled`
**警示條件**
黃色:跨區域複寫、相同區域複寫或兩者皆未啟用 Amazon S3 儲存貯體複寫規則。
**建議的動作**
開啟 Amazon S3 儲存貯體複寫規則來改善應用程式和資料儲存的彈性與法規遵循。
如需詳細資訊,請參閱[檢視備份工作和復原點](https://docs.aws.amazon.com/aws-backup/latest/devguide/view-protected-resources.html)及[設定複寫](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-how-setup.html)。
**其他資源**
[逐步解說:設定複寫的範例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-example-walkthroughs.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon S3 Bucket Versioning
**Description**
檢查是否有 Amazon Simple Storage Service 儲存貯體未啟用或已暫停版本控制功能。
啟用版本控制功能時,您可以輕鬆復原失誤的使用者動作和應用程式故障。版本控制功能可用來保留、擷取和恢復儲存貯體中所存放任何物件的任何版本。透過自動將物件封存至 Glacier 儲存類別,您可以使用生命週期規則來管理物件的所有版本及其相關成本。您也可以設定規則,在指定的期間過後移除物件的版本。您也可以針對儲存貯體的任何物件刪除或組態變更,要求使用多重要素驗證 (MFA)。
啟用版本控制功能後無法停用。但是可以暫停此功能,防止建立物件的新版本。使用版本控制功能可能會增加 Simple Storage Service (Amazon S3) 的成本,因為您需為同一個物件支付多個版本的儲存費用。
**檢查 ID**
`R365s2Qddf`
**警示條件**
+ 綠色:啟用儲存貯體中的版本控制。
+ 黃色:未啟用儲存貯體的版本控制。
+ 黃色:已暫停儲存貯體的版本控制。
+ 黃色: Trusted Advisor 無法存取 來驗證版本控制。
**建議的動作**
在大多數儲存貯體上啟用儲存貯體版本控制,防止意外刪除或覆寫。請參閱[使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)和[以程式設計方式啟用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/manage-versioning-examples.html)。
如果已暫停儲存貯體版本控制,請考慮重新啟用版本控制。如需有關使用暫停版本控制之儲存貯體中的物件的詳細資訊,請參閱[管理暫停版本控制之儲存貯體中的物件](https://docs.aws.amazon.com/AmazonS3/latest/dev/VersionSuspendedBehavior.html)。
啟用或暫停版本控制後,您可以定義生命週期組態規則,將某些物件版本標記為過期,或永久移除不需要的物件版本。如需詳細資訊,請參閱[物件生命週期管理](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lifecycle-mgmt.html)。
變更儲存貯體的版本控制狀態或刪除物件版本時,MFA Delete 需要進行額外的驗證。這會要求使用者輸入憑證和經批准的驗證裝置提供的代碼。如需詳細資訊,請參閱 [MFA Delete](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html#MultiFactorAuthenticationDelete)。
**其他資源**
[使用儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/UG/BucketOperations.html)
**報告欄位**
+ 狀態
+ 區域
+ 儲存貯體名稱
+ 版本控制
+ MFA Delete 已啟用
## 應用程式、網路及閘道負載平衡器未跨多個可用區域
**Description**
檢查您的負載平衡器 (應用程式、網路和閘道負載平衡器) 是否設定了跨多個可用區域的子網路。
您可以在 AWS Config 規則的 **minAvailabilityZones** 參數中指定所需的最小可用區域。
如需詳細資訊,請參閱 [Application Load Balancer 的可用區域](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-subnets.html)、[可用區域 - Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones),以及[建立 Gateway Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/create-load-balancer.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz169`
**來源**
`AWS Config Managed Rule: elbv2-multiple-az`
**警示條件**
黃色:在少於兩個可用區域中設定子網路的應用程式、網路或閘道負載平衡器。
**建議的動作**
使用跨多個可用區域的子網路來設定您的應用程式、網路和閘道負載平衡器。
**其他資源**
[Application Load Balancer 的可用區域](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-subnets.html)
[可用區域 (Elastic Load Balancing)](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)
[建立 Gateway Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/create-load-balancer.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Auto Scaling 在子網路中的可用 IP
**Description**
檢查目標子網路中是否仍有足夠的可用 IP。當 Auto Scaling 群組達到其大小上限且需要啟動其他執行個體時,有足夠的 IP 可供使用會很有幫助。
**檢查 ID**
`Cjxm268ch1`
**警示條件**
+ 紅色:ASG 可建立的執行個體和 IP 地址數量上限超過所設定之子網路中剩餘的 IP 地址數量。
+ 綠色:有足夠的 IP 地址可供 ASG 中的剩餘擴展使用。
**建議的動作**
增加可用 IP 地址的數量
**報告欄位**
+ 狀態
+ 區域
+ 資源 ARN
+ 可建立的執行個體上限
+ 可用執行個體的數量
## Auto Scaling 群組運作狀態檢查
**Description**
檢查 Auto Scaling 群組的運作狀態檢查組態。
如果 Auto Scaling 群組使用 Elastic Load Balancing,建議的組態是啟用 Elastic Load Balancing 運作狀態檢查。如果沒有使用 Elastic Load Balancing 運作狀態檢查,則 Auto Scaling 只能在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的運作狀態良好的情況下執行作業。Auto Scaling 不會對執行個體上執行的應用程式執行作業。
**檢查 ID**
`CLOG40CDO8`
**警示條件**
+ 黃色:Auto Scaling 群組具有相關聯的負載平衡器,但未啟用 Elastic Load Balancing 運作狀態檢查。
+ 黃色:Auto Scaling 群組不具有相關聯的負載平衡器,但已啟用 Elastic Load Balancing 運作狀態檢查。
**建議的動作**
如果 Auto Scaling 群組具有相關的負載平衡器,但未啟用 Elastic Load Balancing 運作狀態檢查,請參閱[將 Elastic Load Balancing 運作狀態檢查新增至您的 Auto Scaling 群組](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/as-add-elb-healthcheck.html)。
如果已啟用 Elastic Load Balancing 運作狀態檢查,但 Auto Scaling 群組沒有相關聯的負載平衡器,請參閱[設定自動擴展和負載平衡應用程式](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/as-register-lbs-with-asg.html)。
**其他資源**
《[Amazon EC2 Auto Scaling 使用者指南](https://docs.aws.amazon.com/autoscaling/ec2/userguide/)》
**報告欄位**
+ 狀態
+ 區域
+ Auto Scaling 群組名稱
+ 關聯的負載平衡器
+ 運作狀態檢查
## Auto Scaling 群組資源
**Description**
檢查與啟動組態、啟動範本和 Auto Scaling 群組相關聯的資源可用性。
若 Auto Scaling 群組指向無法使用的資源,便無法啟動新的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。如果正確設定,Auto Scaling 可讓 Amazon EC2 執行個體的數量在需求尖峰期間順暢增加,並在需求低落期間自動減少。Auto Scaling 群組和指向不可用資源的啟動組態/啟動範本不會如預期般運作。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`8CNsSllI5v`
**警示條件**
+ 紅色:Auto Scaling 群組與已刪除的負載平衡器相關聯。
+ 紅色:啟動組態與已刪除的 Amazon Machine Image (AMI) 相關聯。
+ 紅色:啟動範本與已刪除的 Amazon Machine Image (AMI) 相關聯。
**建議的動作**
如果已刪除負載平衡器,請建立新的負載平衡器或目標群組,然後將其與 Auto Scaling 群組建立關聯。 或建立不含負載平衡器的新 Auto Scaling 群組。如需有關建立帶新負載平衡器的新 Auto Scaling 群組的詳細資訊,請參閱[設定自動擴展和負載平衡應用程式](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/as-register-lbs-with-asg.html)。如需有關建立不帶負載平衡器的新 Auto Scaling 群組的詳細資訊,請參閱 [Auto Scaling 入門 (使用主控台)](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/USBasicSetup-Console.html) 中的「建立 Auto Scaling 群組」。
如果已刪除 AMI,請使用有效的 AMI 建立新的啟動組態或啟動範本版本,並將其與 Auto Scaling 群組建立關聯。如需有關如何建立新的啟動組態的資訊,請參閱《*Amazon EC2 Auto Scaling 使用者指南*》中的[建立啟動組態](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-config.html)。如需有關如何建立啟動範本的資訊,請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的為 Auto Scaling 群組建立啟動範本](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html)。 *Amazon EC2 Auto Scaling *
基於安全考量,檢查結果不包含使用啟動範本中的 AWS Systems Manager 參數參考的任何資源。
如果您的啟動範本包含包含 Amazon Machine Image (AMI) ID 的 AWS Systems Manager 參數,請檢閱啟動範本,以確保參數參考有效的 AMI ID,或在 AWS Systems Manager 參數存放區中進行適當的變更。如需詳細資訊,請參閱《*Amazon EC2 Auto Scaling 使用者指南*》中的[使用 AWS Systems Manager 參數而非 AMI IDs](https://docs.aws.amazon.com/autoscaling/ec2/userguide/using-systems-manager-parameters.html)。
**其他資源**
+ [Auto Scaling 疑難排解:Amazon EC2 AMI](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/ts-as-ami.html)
+ [Auto Scaling 疑難排解:負載平衡器組態](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/ts-as-loadbalancer.html)
+ 《[Amazon EC2 Auto Scaling 使用者指南](https://docs.aws.amazon.com/autoscaling/latest/userguide/)》
+ [使用 AWS Systems Manager 參數而非 AMI IDs](https://docs.aws.amazon.com/autoscaling/ec2/userguide/using-systems-manager-parameters.html)
**報告欄位**
+ 狀態
+ 區域
+ Auto Scaling 群組名稱
+ 啟動類型
+ 資源類型
+ 資源名稱
## AWS CloudHSM 在單一 AZ 中執行 HSM 執行個體的 叢集
**Description**
檢查在單一可用區域 (AZ) 中執行的 HSM 執行個體的叢集。如果您的叢集存在沒有最新備份的風險,則此檢查會提醒您。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`hc0dfs7601`
**警示條件**
+ 黃色:CloudHSM 叢集正在執行單一可用區域中的所有 HSM 執行個體超過 1 小時。
+ 綠色:CloudHSM 叢集正在執行至少兩個不同的可用區域中的所有 HSM 執行個體。
**建議的動作**
在不同的可用區域中為叢集至少再建立一個執行個體。
**其他資源**
[的最佳實務 AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/best-practices.html)
**報告欄位**
+ 狀態
+ 區域
+ 叢集 ID
+ HSM 執行個體的數量
+ 上次更新時間
## Direct Connect 位置彈性
**Description**
檢查 Direct Connect 用於將內部部署連接到每個 Direct Connect 閘道或虛擬私有閘道的 彈性。
如果有任何 Direct Connect 閘道或虛擬私有閘道未設定跨至少兩個不同 Direct Connect 位置的虛擬介面,則此檢查會提醒您。缺乏位置彈性可能會導致維護期間意外停機、光纖切斷、裝置故障或完整的位置故障。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
Direct Connect 使用 Direct Connect 閘道透過 Transit Gateway 實作。
**檢查 ID**
`c1dfpnchv2`
**警示條件**
紅色:Direct Connect 閘道或虛擬私有閘道是在單一 Direct Connect 裝置上設定一或多個虛擬介面。
黃色:Direct Connect 閘道或虛擬私有閘道在單一 Direct Connect 位置中透過跨多個 Direct Connect 裝置的虛擬介面進行設定。
綠色:Direct Connect 閘道或虛擬私有閘道是透過跨兩個或多個不同 Direct Connect 位置的虛擬介面進行設定。
**建議的動作**
若要建置 Direct Connect 位置彈性,您可以設定 Direct Connect 閘道或虛擬私有閘道,以連線到至少兩個不同的 Direct Connect 位置。如需詳細資訊,請參閱[Direct Connect 彈性建議](https://aws.amazon.com/directconnect/resiliency-recommendation/)。
**其他資源**
[Direct Connect 彈性建議](https://aws.amazon.com/directconnect/resiliency-recommendation/)
[Direct Connect 容錯移轉測試](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_failover.html)
**報告欄位**
+ 狀態
+ 區域
+ 上次更新時間
+ 彈性狀態
+ Location
+ 連線 ID
+ 閘道 ID
## AWS Lambda 未設定無效字母佇列的 函數
**Description**
檢查 AWS Lambda 函數是否已設定無效字母佇列。
無效字母佇列是 的一項功能 AWS Lambda ,可讓您擷取和分析失敗的事件,提供相應地處理這些事件的方法。您的程式碼可能會引發例外狀況、逾時或記憶體不足,導致 Lambda 函數的非同步執行失敗。無效字母佇列會儲存來自失敗調用的訊息,提供一種方式來處理訊息並疑難排解這些故障情況。
您可以在 AWS Config 規則中使用 **dlqArns** 參數來指定要檢查的無效字母佇列資源。
如需詳細資訊,請參閱[無效字母佇列](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html#invocation-dlq)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz182`
**來源**
`AWS Config Managed Rule: lambda-dlq-check`
**警示條件**
黃色: AWS Lambda 函數未設定無效字母佇列。
**建議的動作**
請確定您的 AWS Lambda 函數已設定無效字母佇列,以控制所有失敗的非同步呼叫的訊息處理。
如需詳細資訊,請參閱[無效字母佇列](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html#invocation-dlq)。
**其他資源**
+ [採用 AWS Lambda 無效字母佇列的強大無伺服器應用程式設計](https://aws.amazon.com/blogs/compute/robust-serverless-application-design-with-aws-lambda-dlq/)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Lambda 失敗時事件目的地
**Description**
檢查帳戶中的 Lambda 函數是否已針對非同步調用設定「失敗時」事件目的地或無效字母佇列 (DLQ),以便將失敗調用的記錄路由至目的地以供進一步調查或處理。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch05`
**警示條件**
+ 黃色:函數沒有任何已設定的「失敗時」事件目的地或 DLQ。
**建議的動作**
請為 Lambda 函數設定「失敗時」事件目的地或 DLQ,以便將失敗的調用及其他詳細資訊傳送至其中一個可用的目的地 AWS 服務,以供進一步偵錯或處理。
**其他資源**
+ [非同步調用](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html)
+ [AWS Lambda 失敗時事件目的地](https://aws.amazon.com/blogs/compute/introducing-aws-lambda-destinations/)
**報告欄位**
+ 狀態
+ 區域
+ 具有已標記之版本的函數。
+ 當天非同步請求下降百分比
+ 當天非同步請求
+ 平均每日非同步請求下降百分比
+ 平均每日非同步請求
+ 上次更新時間
## AWS Lambda 無異地同步備份備援的已啟用 VPC 的函數
**Description**
檢查在單一可用區域中易受服務中斷影響的已啟用 VPC Lambda 函數 \$1LATEST 版本。最佳實務是,已啟用 VPC 的函數會連接到多個可用區域,以獲得高可用性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`L4dfs2Q4C6`
**警示條件**
黃色:已啟用 VPC 的 Lambda 函數的 \$1LATEST 版本會連接到單一可用區域中的子網路。
**建議的動作**
設定函數對 VPC 的存取權時,請選擇多個可用區域內的子網以確保高可用性。
**其他資源**
+ [設定 Lambda 函式以存取 VPC 中的資源](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html)
+ [中的彈性 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/security-resilience.html)
**報告欄位**
+ 狀態
+ 區域
+ 函數 ARN
+ VPC ID
+ 平均每日叫用次數
+ 上次更新時間
## AWS Outposts 單一機架部署
**Description**
檢查 Outposts 機架平衡。這會評估客戶 Outposts 執行個體是否部署在多個 Outposts 機架或單一 Outpost 機架。單一 Outposts 機架會為涉及單一機架 (例如環境故障) 的問題建立單一故障點。這些案例可以透過在多個機架之間部署前哨來緩解。
**檢查 ID**
`c243hjzrhn`
**警示條件**
+ 黃色:您的 Outpost 部署在單一機架上
+ 綠色:您的 Outpost 會部署在多個機架。
**建議的動作**
如果您正在執行生產工作負載 AWS Outposts,則最佳實務是使用下列彈性架構。單一 AWS Outposts 機架會建立單一失敗點。考慮將第二個 AWS Outposts 機架新增至該位置,其容量足以容納容錯移轉事件,然後將工作負載分散到各個機架。
**其他資源**
[失敗模式 4:機架或資料中心](https://docs.aws.amazon.com/whitepapers/latest/aws-outposts-high-availability-design/thinking-in-terms-of-failure-modes.html#failure-mode-4-racks-or-data-centers)
**報告欄位**
+ 狀態
+ 資源 ARN
+ AZ
+ 機架數量
+ 上次更新時間
## AWS Resilience Hub 應用程式元件檢查
**Description**
檢查應用程式中的應用程式元件 (AppComponent) 是否無法復原。如果 AppComponent 在中斷事件的情況下未復原,您可能會遇到未知的資料遺失和系統停機時間。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會出現。
**檢查 ID**
`RH23stmM04`
**警示條件**
紅色:AppComponent 無法復原。
**建議的動作**
若要確保您的 AppComponent 可復原,請檢閱並實作彈性建議,然後執行新的評估。如需檢閱彈性建議的詳細資訊,請參閱其他資源。
**其他資源**
[檢閱彈性建議](https://docs.aws.amazon.com/resilience-hub/latest/userguide/resil-recs.html)
[AWS Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
[AWS Resilience Hub 使用者指南](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
**報告欄位**
+ 狀態
+ 區域
+ Application Name (應用程式名稱)
+ AppComponent 名稱
+ 上次更新時間
## AWS Resilience Hub 已違反政策
**Description**
檢查 Resilience Hub 是否存在不符合政策定義的復原時間點目標 (RTO) 和復原點目標 (RPO) 的應用程式。如果您的應用程式不符合您為 Resilience Hub 中的應用程式設定的 RTO 和 RPO 目標,則檢查會提醒您。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`RH23stmM02`
**警示條件**
+ 綠色:應用程式具有政策並符合 RTO 和 RPO 目標。
+ 黃色:應用程式尚未進行評定。
+ 紅色:應用程式具有政策,但不符合 RTO 和 RPO 目標。
**建議的動作**
登入 Resilience Hub 主控台並檢閱建議,讓您的應用程式符合 RTO 和 RPO 目標。
**其他資源**
[Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
**報告欄位**
+ 狀態
+ 區域
+ Application Name (應用程式名稱)
+ 上次更新時間
## AWS Resilience Hub 彈性分數
**Description**
檢查您是否已在 Resilience Hub 中對應用程式執行評估。如果您的彈性分數低於特定值,則此檢查會提醒您。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`RH23stmM01`
**警示條件**
+ 綠色:您的應用程式的彈性分數為 70 或更高。
+ 黃色:您的應用程式的彈性分數為 40 至 69。
+ 黃色:應用程式尚未進行評定。
+ 紅色:您的應用程式的彈性分數低於 40。
**建議的動作**
登入 Resilience Hub 主控台並為您的應用程式執行評估。檢閱建議以提高彈性分數。
**其他資源**
[Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
**報告欄位**
+ 狀態
+ 區域
+ Application Name (應用程式名稱)
+ 應用程式彈性分數
+ 上次更新時間
## AWS Resilience Hub 評估存留期
**Description**
檢查自上次執行應用程式評估之後經過多少時間。如果您在指定天數內未執行應用程式評估,此檢查會提醒您。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`RH23stmM03`
**警示條件**
+ 綠色:您的應用程式評估曾在過去 30 天內執行。
+ 黃色:過去 30 天未執行您的應用程式評估。
**建議的動作**
登入 Resilience Hub 主控台並為您的應用程式執行評估。
**其他資源**
[Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
**報告欄位**
+ 狀態
+ 區域
+ Application Name (應用程式名稱)
+ 上次評估執行後的天數
+ 上次評估執行時間
+ 上次更新時間
## AWS Site-to-Site VPN 至少有一個通道處於 DOWN 狀態
**Description**
檢查每個 AWS Site-to-Site VPN作用中的通道數量。
VPN 應該隨時設有兩個通道。如此一來可在 AWS 端點的服務中斷時或進行預定的裝置維護期間提供備援功能。對於某些硬體,一次只會有一個通道處於作用中狀態。如果某個 VPN 沒有作用中通道,仍需支付該 VPN 的費用。
如需詳細資訊,請參閱[什麼是 AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz123`
**來源**
`AWS Config Managed Rule: vpc-vpn-2-tunnels-up`
**警示條件**
黃色:Site-to-Site VPN 至少有一個通道為 DOWN。
**建議的動作**
確保為 VPN 連線設定了兩個通道。而且,如果您的硬體支援它,那麼請確保兩個通道均處於作用中狀態。如果您不再需要 VPN 連線,那麼請予以刪除以免產生費用。
如需詳細資訊,請參閱[您的客戶閘道裝置](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)和 [AWS 知識中心](https://repost.aws/knowledge-center#AWS_Virtual_Private_Network)所提供的內容。
**其他資源**
+ [AWS Site-to-Site VPN 使用者指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [將虛擬私有閘道新增到您的 VPC](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-target-gateway)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS STS 跨 的全域端點用量 AWS 區域
**Description**
當 AWS 工作負載對美國東部 (維吉尼亞北部) 區域的 STS 全球端點進行跨區域呼叫時,此檢查會識別彈性風險。如果對美國東部 (維吉尼亞北部) STS 端點的連線受到影響,對美國東部 (維吉尼亞北部) 的 STS 全球端點提出跨區域請求的 AWS 工作負載可能會受到負面影響。
在 2025 年 4 月,針對預設 AWS 區域 啟用的所有 AWS, AWS 增強了全域端點,以在與工作負載相同的區域中自動提供 STS 全域端點呼叫。不過,有些工作負載,例如在選擇加入區域中執行的工作負載,或是未使用 Amazon DNS 伺服器的工作負載,並不會受益於此增強功能中提供的降低延遲和[故障隔離](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html)。對於這些工作負載,STS 全域端點請求會在美國東部 (維吉尼亞北部) 區域提供,對您的應用程式構成彈性風險,並增加 STS 請求的延遲。
此檢查的結果每天會自動重新整理數次,每次都涵蓋過去 15 天。不允許重新整理請求。因此,變更最多可能需要 15 天才會出現在 Trusted Advisor 檢查結果中。
對於 Business、Enterprise On-Ramp 或 Enterprise Support 客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c15m0mgld3`
**警示條件**
紅色:工作負載正在對美國東部 (維吉尼亞北部) 區域中 AWS STS 的全域端點進行跨區域呼叫。
**建議的動作**
為了改善工作負載的彈性和效能,建議您從 STS 全域端點遷移至 STS 區域端點。透過使用區域端點,您可以在與工作負載 AWS STS 相同的區域中使用 。
以下是對美國東部 AWS Identity and Access Management (維吉尼亞北部) 區域中 AWS STS 的全球端點進行跨區域呼叫的 (IAM) 委託人清單。透過遵循部落格文章中的步驟[如何使用區域 AWS STS 端點](https://aws.amazon.com/blogs/security/how-to-use-regional-aws-sts-endpoints/),您可以重新設定工作負載以使用區域 STS 端點。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/fault-tolerance-checks.html)
**其他資源**
+ [在 AWS STS 中管理 AWS 區域](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html)
+ [AWS STS 區域端點](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sts-regionalized-endpoints.html)
**報告欄位**
+ 狀態
+ 委託人 Arn
+ Action
+ 委託人類型
+ 來源區域
+ 上次更新時間
## AWS Well-Architected 可靠性的高風險問題
**Description**
檢查可靠性支柱中,工作負載是否有高風險問題 (HRI)。這項檢查是以您的 AWS-Well Architected 檢閱為基礎。您的檢查結果取決於您是否使用 AWS Well-Architected 完成工作負載評估。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Wxdfp4B1L4`
**警示條件**
+ 紅色:在 AWS Well-Architected 的可靠性支柱中發現至少一個作用中的高風險問題。
+ 綠色:在 AWS Well-Architected 的可靠性支柱中未偵測到作用中的高風險問題。
**建議的動作**
AWS Well-Architected 在工作負載評估期間偵測到高風險問題。解決這些問題,可能有機會降低風險和節省成本。登入 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具,檢閱答案並採取行動,解決待處理的問題。
**報告欄位**
+ 狀態
+ 區域
+ 工作負載 ARN
+ 工作負載名稱
+ 檢閱者姓名
+ 工作負載類型
+ 工作負載開始日期
+ 工作負載上次修改日期
+ 可靠性方面已識別的高風險問題數量
+ 可靠性方面已解決的高風險問題數量
+ 可靠性方面已回答的問題數量
+ 可靠性支柱中的問題總數
+ 上次更新時間
## Classic Load Balancer 未設定多個 AZ
**Description**
檢查 Classic Load Balancer 是否跨越多個可用區域 (AZ)。
負載平衡器會將傳入的應用程式流量分散到多個可用區域中的多個 Amazon EC2 執行個體。根據預設,負載平衡器橫跨您為負載平衡器啟用的可用區域平均分派流量。如果一個可用區域發生中斷情形,負載平衡器節點會自動將請求轉送到一或多個可用區域中運作狀態良好的已註冊執行個體。
您可以使用 AWS Config 規則中的 **minAvailabilityZones** 參數來調整可用區域數量下限
如需詳細資訊,請參閱[什麼是 Classic Load Balancer?](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz154`
**來源**
`AWS Config Managed Rule: clb-multiple-az`
**警示條件**
黃色:Classic Load Balancer 未設定 Multi-AZ,或不符合指定的 AZ 的最小數量。
**建議的動作**
請確定您的 Classic Load Balancer 已設定多個可用區域。將負載平衡器跨越多個 AZ,以確保您的應用程式具有高可用性。
如需詳細資訊,請參閱[教學課程:建立 Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-getting-started.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## CLB 連線耗盡
**Description**
檢查未啟用連線耗盡的 Classic 負載平衡器。
未啟用連線耗盡,且您從 Classic 負載平衡器取消註冊 Amazon EC2 執行個體時,Classic 負載平衡器會停止將流量路由至該執行個體,並關閉連線。啟用連線耗盡時,Classic 負載平衡器會停止傳送新請求至已取消註冊的執行個體,但保持連線開啟狀態,以提供作用中的請求。
**檢查 ID**
`7qGXsKIUw`
**警示條件**
+ 黃色:Classic 負載平衡器未啟用連線耗盡。
+ 綠色:傳統負載平衡器已啟用連線耗盡。
**建議的動作**
啟用 Classic 負載平衡器的連線耗盡。如需詳細資訊,請參閱 [Connection Draining](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/TerminologyandKeyConcepts.html#conn-drain) (連接耗盡) 和 [Enable or Disable Connection Draining for Your Load Balancer](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/config-conn-drain.html) (為您的負載平衡器啟用或停用連接耗盡功能)。
**其他資源**
[彈性負載平衡概念](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/TerminologyandKeyConcepts.html)
**報告欄位**
+ 狀態
+ 區域
+ 負載平衡器名稱
+ Reason
## ELB 目標不平衡
**Description**
檢查 Application Load Balancer (ALB)、Network Load Balancer (NLB) 和 Gateway Load Balancer (GWLB) 在可用區域 (AZs) 之間的目標分佈。
此檢查不包括下列項目:
+ 使用單一可用區域 (AZ) 設定的負載平衡器。
+ 負載平衡器,其中填入最多和最少 AZs 的目標數量差異等於或小於 1。
+ 具有 IP 型目標的目標群組,其中 AvailabilityZone 屬性設定為 'all'。
**檢查 ID**
`b92b83d667`
**警示條件**
+ 紅色:單一 AZ 代表負載平衡器容量的 66% 以上。
+ 黃色:單一 AZ 代表負載平衡器容量的 50% 以上。
+ 綠色:沒有 AZs 代表負載平衡器容量的 50% 以上。
**建議的動作**
為了提高彈性,請確保您的目標群組在 AZs 中有相同數量的目標。
**其他資源**
[Application Load Balancer 的目標群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html)
[向 Application Load Balancer 目標群組註冊目標](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-register-targets.html)
**報告欄位**
+ 狀態
+ 區域
+ 負載平衡器名稱
+ Load Balancer類型
+ 目標群組 ARN (arn)
+ 跨 AZs 的已註冊目標差異
+ 上次更新時間
## GWLB - 端點可用區域獨立性
**Description**
檢查您的 Gateway Load Balancer (GWLB) 端點是否設定為來自另一個可用區域 (AZ) 的路由目的地。
Gateway Load Balancer 端點會將網路流量轉送至 Gateway Load Balancer 後方的防火牆設備進行檢查。每個 Gateway Load Balancer 端點都在指定的 AZ 中運作,並且僅在該 AZ 中以備援建置。因此,特定 AZ 中的任何資源都必須在相同的 AZ 中使用 Gateway Load Balancer 端點。這可確保 Gateway Load Balancer 端點或其 AZ 的任何潛在中斷不會影響您在其他 AZ 中的資源。
**檢查 ID**
`528d6f5ee7`
**警示條件**
+ 黃色:來自某個 AZ 中子網路的流量正透過不同 AZ 中的 Gateway Load Balancer 端點路由。
+ 綠色:來自某個 AZ 中子網路的流量正在透過相同 AZ 中的 Gateway Load Balancer 端點路由。
**建議的動作**
檢查子網路的 AZ,並設定其路由表,以透過相同 AZ 中的 Gateway Load Balancer 端點路由流量。
如果 AZ 中沒有 Gateway Load Balancer 端點,請建立新的端點,然後路由子網路流量。
如果您在不同 AZs 中的子網路之間有相同的路由表,則將此路由表與位於與 Gateway Load Balancer 端點相同 AZ 中的子網路保持關聯。對於其他 AZ 中的子網路,您可以接著將個別路由表與此 AZ 中 Gateway Load Balancer 端點的路由建立關聯。
最佳實務是為 Amazon VPC 中的架構變更選擇維護時段。
**其他資源**
+ [可用區域獨立性](https://docs.aws.amazon.com/whitepapers/latest/advanced-multi-az-resilience-patterns/availability-zone-independence.html)
+ [設定 Gateway Load Balancer 端點的路由](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-load-balancer-endpoints.html#configure-routing-gateway-load-balancer-endpoint)
+ [AWS Well-Architected Tool - 使用隔板架構來限制影響範圍](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_use_bulkhead.html)
**報告欄位**
+ 狀態
+ 區域
+ 跨 AZ 子網路 ID 清單
+ Gateway Load Balancer 端點 ID
+ Gateway Load Balancer 端點子網路 ID
+ VPC 端點子網路可用區域
+ 上次更新時間
## 負載平衡器最佳化
**Description**
檢查您的負載平衡器組態。
為了協助在使用 Elastic Load Balancing 時提高 Amazon Elastic Compute Cloud (Amazon EC2) 的容錯能力,建議在一個區域的多個可用區域中執行相同數量的執行個體。設定完畢的負載平衡器會產生費用,因此這也是一項成本最佳化檢查。
**檢查 ID**
`iqdCTZKCUp`
**警示條件**
+ 黃色:單一可用區域啟用了負載平衡器。
+ 黃色:沒有作用中執行個體的可用區域啟用了負載平衡器。
+ 黃色:向負載平衡器註冊的 Amazon EC2 執行個體在可用區域間分佈不均衡。(已使用的可用區域中的最大執行個體數量與最少執行個體數量之間的差異大於 1,而差異超過最大執行個體數量的 20% 以上。)
**建議的動作**
請確保您的負載平衡器指向至少兩個可用區域內作用中和運作狀態良好的執行個體。如需詳細資訊,請參閱[新增可用區域](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/enable-disable-az.html#US_AddLBAvailabilityZone)。
如果您的負載平衡器是設定用於沒有運作狀態良好執行個體的可用區域,或是可用區域間中的執行個體的分佈不均衡,請判斷是否這些可用區域都是需要的。請省略任何不必要的可用區域,並確保在剩餘的可用區域之間均衡分配執行個體。如需更多詳細資訊,請參閱[移除可用區域](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/enable-disable-az.html#US_ShrinkLBApp04)。
**其他資源**
+ [可用區域和區域](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/TerminologyandKeyConcepts.html#AZ-Region)
+ [管理負載平衡器](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/UserScenarios.html)
+ [Elastic Load Balancing 評估的最佳實務](https://aws.amazon.com/articles/1636185810492479)
**報告欄位**
+ 狀態
+ 區域
+ 負載平衡器名稱
+ 區域數量
+ 區域 a 執行個體
+ 區域 b 執行個體
+ 區域 c 執行個體
+ 區域 d 執行個體
+ 區域 e 執行個體
+ 區域 f 執行個體
+ Reason
## NAT Gateway AZ 獨立性
**Description**
檢查您的 NAT Gateway 是否設定為可用區域 (AZ) 獨立性。
NAT Gateway 可讓私有子網路中的資源使用 NAT Gateway 的 IP 地址安全地連線至子網路外部的服務,並捨棄任何來路不明的傳入流量。每個 NAT Gateway 皆在指定的可用區域 (AZ) 內運作,並且僅在該 AZ 中以備援建置。因此,您在特定 AZ 中的資源應該使用相同 AZ 中的 NAT Gateway,如此在 NAT Gateway 或其 AZ 發生任何潛在中斷的情況下,就不會影響其他 AZ 中的資源。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfptbg10`
**警示條件**
+ 紅色:來自某個 AZ 中子網路的流量會透過其他 AZ 中的 NATGW 來路由。
+ 綠色:來自某個 AZ 中子網路的流量會透過相同 AZ 中的 NATGW 來路由。
**建議的動作**
請檢查子網路的 AZ,並透過相同 AZ 中的 NAT Gateway 路由傳送流量。
如果 AZ 中沒有 NATGW,請建立一個,然後透過它來路由子網路流量。
如果您在不同 AZ 的子網路之間有相同的路由表關聯,請將此路由表保持與 NAT Gateway 位於相同 AZ 中的子網路的關聯,而對於另一個 AZ 中的子網路,請將個別路由表與至此其他 AZ 中 NAT Gateway 的路由建立關聯。
我們建議您為 Amazon VPC 中的架構變更選擇維護時段。
**其他資源**
+ [如何建立 NAT Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)
+ [如何設定 NAT Gateway 使用案例的路由](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-scenarios.html)
**報告欄位**
+ 狀態
+ 區域
+ NAT 可用區域
+ NAT ID
+ 子網路可用區域
+ 子網路 ID
+ 路由表 ID
+ NAT ARN
+ 上次更新時間
## Network Firewall 端點 AZ 獨立性
**Description**
檢查您的 AWS Network Firewall 端點是否設定為來自另一個可用區域 (AZ) 的路由目的地。
Network Firewall 端點會將網路流量轉送至 Network Firewall 進行檢查。每個 Network Firewall 端點都在指定的 AZ 中運作,並且僅在該 AZ 中以備援建置。您在特定 AZ 中的資源應該在相同的 AZ 中使用 Network Firewall 端點。這可確保 Network Firewall 端點或其 AZ 的任何潛在中斷不會影響您在其他 AZ 中的資源。源自不同可用區域進行流量檢查的網路流量會產生跨可用區域資料傳輸費用。最佳實務是確保特定 AZ 中的所有資源都使用相同 AZ 中的網路防火牆,以避免跨 AZ 資料費用。
**檢查 ID**
`7040ea389a`
**警示條件**
+ 黃色:來自某個 AZ 中子網路的流量正透過不同 AZ 中的 Network Firewall 端點路由。
+ 綠色:來自某個 AZ 中子網路的流量正在透過相同 AZ 中的網路防火牆端點路由。
**建議的動作**
檢查子網路的 AZ,並透過相同 AZ 中的 Network Firewall 端點路由流量。
如果 AZ 中沒有 Network Firewall 端點,請建立新的 Network Firewall,並透過它路由子網路流量。
如果相同路由表在不同 AZs 中的多個子網路之間建立關聯,則將此路由表與位於與 Network Firewall 端點相同 AZ 中的子網路保持關聯。對於其他 AZs 中的子網路,請將個別路由表與該 AZ 中 Network Firewall 端點的路由建立關聯。
最佳實務是為 Amazon VPC 中的架構變更選擇維護時段。
**其他資源**
[相同 內的資料傳輸 AWS 區域](https://aws.amazon.com/ec2/pricing/on-demand/)
[了解資料傳輸費用](https://docs.aws.amazon.com/cur/latest/userguide/cur-data-transfers-charges.html)
[可用區域獨立性](https://docs.aws.amazon.com/whitepapers/latest/advanced-multi-az-resilience-patterns/availability-zone-independence.html)
[實作防火牆的高階步驟](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-high-level-steps.html)
[建立防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-creating.html)
[AWS Well-Architected Tool - 使用隔板架構來限制影響範圍](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_use_bulkhead.html)
**報告欄位**
+ 狀態
+ 區域
+ 網路防火牆端點 ID
+ Network Firewall Arn
+ Network Firewall 端點子網路
+ 網路防火牆端點可用區域
+ 跨 AZ 子網路清單
+ 上次更新時間
## Network Firewall 多可用區域
**Description**
檢查您的網路防火牆是否設定為針對防火牆端點使用多個可用區域 (AZ)。
AZ 是隔離其他區域中故障的不同位置。如果 Network Firewall 端點只部署在 1 個 AZ 中,則可能是單一故障點,並使用 Network Firewall 進行流量檢查,從其他 AZs 損害工作負載。最佳實務是在相同區域中的多個 AZs 中設定網路防火牆,以改善工作負載可用性。
**檢查 ID**
`c2vlfg0gqd`
**警示條件**
+ 黃色:網路防火牆端點部署在 1 個可用區域。
+ 綠色:網路防火牆端點部署在至少兩個 AZs 中。
**建議的動作**
請確定您的 Network Firewall 已針對生產工作負載設定至少兩個 AZs。
**其他資源**
[的 VPC 子網路組態AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-subnets)
[建立防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-creating.html)
[可用區域](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)
[AWS Well-Architected Tool - 將工作負載部署到多個位置](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_multiaz_region_system.html)
[共用服務 VPC 中的設備](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-appliance-scenario.html#transit-gateway-appliance-overview)
**報告欄位**
+ 狀態
+ 區域
+ Network Firewall Arn
+ VPC ID
+ Network Firewall 子網路
+ Network Firewall 子網路 AZs
+ 上次更新時間
## 跨負載平衡的 Network Load Balancer
**Description**
檢查跨區域負載平衡是否已在 Network Load Balancer 上啟用。
跨區域負載平衡有助於在不同可用區域中的執行個體之間維持連入流量的均勻分佈。這樣可防止負載平衡器將所有流量路由到相同可用區域中的執行個體,這可能會導致流量分佈不均和潛在的超載問題。在單一可用區域故障的情況下,此功能也會自動將流量路由到其他可用區域中運作狀態良好的執行個體,有助於提升應用程式的可靠性。
如需詳細資訊,請參閱[跨區域負載平衡](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz105`
**來源**
`AWS Config Managed Rule: nlb-cross-zone-load-balancing-enabled`
**警示條件**
+ 黃色:Network Load Balancer 未啟用跨區域負載平衡。
**建議的動作**
確保跨區域負載平衡是否已在 Network Load Balancer 上啟用。
**其他資源**
[跨區域負載平衡 (Network Load Balancer)](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## NLB - 私有子網路中的面向網際網路的資源
**Description**
檢查面向網際網路的 Network Load Balancer (NLB) 是否使用私有子網路設定。必須在公有子網路中設定面向網際網路的 Network Load Balancer (NLB),才能接收流量。公有子網路定義為具有網際網路[閘道](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)直接路由的子網路。如果子網路設定為私有,則可用區域 (AZ) 不會接收流量,這可能會導致可用性問題。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfpnchv4`
**警示條件**
紅色:NLB 已設定一或多個私有子網路
綠色:未為面向網際網路的 NLB 設定私有子網路
**建議的動作**
確認在面向網際網路的負載平衡器中設定的子網路是公有的。公有子網路定義為具有網際網路[閘道](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)直接路由的子網路。使用下列其中一個選項:
+ 建立新的負載平衡器,並選取具有網際網路閘道直接路由的不同子網路。
+ 將目前連接至負載平衡器的子網路從私有變更為公有。若要這樣做,請變更其路由表並[關聯網際網路閘道](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#associate-route-table-gateway)。
**其他資源**
+ [設定負載平衡器和接聽程式](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer)
+ [適用於 VPC 的子網路](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html)
+ [將閘道與路由表建立關聯](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#associate-route-table-gateway)
**報告欄位**
+ 狀態
+ 區域
+ NLB Arn
+ NLB 名稱
+ 子網路 ID
+ NLB 結構描述
+ 子網路類型
+ 上次更新時間
## NLB 多可用區域
**Description**
檢查您的 Network Load Balancer 是否設定為使用多個可用區域 (AZ)。AZ 是明顯與其他區域中的故障隔絕開來的地點。在相同區域的多個 AZs 中設定負載平衡器,以協助改善工作負載可用性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch09`
**警示條件**
黃色:NLB 位於單一 AZ 中。
綠色:NLB 有兩個或多個可用AZs。
**建議的動作**
請確定您的負載平衡器已設定至少兩個可用區域。
**其他資源**
如需詳細資訊,請參閱下列 文件:
+ [可用區域](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)
+ [AWS Well-Architected - 將工作負載部署到多個位置](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_multiaz_region_system.html)
+ [區域與可用區域](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)
**報告欄位**
+ 狀態
+ 區域
+ AZ 數量
+ NLB ARN
+ NLB 名稱
+ 上次更新時間
## AWS 區域 Incident Manager 複寫集中的 數目
**Description**
檢查 Incident Manager 複寫集的組態是否使用多個組態 AWS 區域 來支援區域容錯移轉和回應。對於 CloudWatch 警示或 EventBridge 事件建立的事件,Invent Manager 會在 AWS 區域 與警示或事件規則相同的 中建立事件。如果該區域暫時無法使用 Incident Manager,則系統會嘗試在複製集的另一個區域中建立事件。如果複製集僅包含一個區域,則系統無法在 Incident Manager 無法使用時建立事件記錄。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`cIdfp1js9r`
**警示條件**
+ 綠色:複寫集包含超過一個的區域。
+ 黃色:複本集包含一個區域。
**建議的動作**
至少新增一個區域至複寫集。
**其他資源**
如需詳細資訊,請參閱[跨區域事件管理](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-cross-account-cross-region.html#incident-manager-cross-region.html)。
**報告欄位**
+ 狀態
+ 多區域
+ 複寫集
+ 上次更新時間
## 單一 AZ 應用程式檢查
**Description**
檢查網路模式是否透過單一可用區域 (AZ) 路由您的輸出網路流量。
AZ 是明顯與其他區域中的任何影響隔絕開來的地點。透過將您的服務分散到多個 AZ,您可以限制 AZ 故障的衝擊半徑。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfptbg11`
**警示條件**
+ 黃色:根據觀察到的輸出網路模式,您的應用程式僅能部署在一個 AZ 中。如果這是真的,而且您的應用程式預期高可用性,建議您佈建應用程式資源並實作網路流程來運用多個可用區域。
**建議的動作**
如果您的應用程式需要高可用性,請考慮實作多可用區域架構來獲得更高的可用性。
**報告欄位**
+ 狀態
+ 區域
+ VPC ID
+ 上次更新時間
## 多個 AZs 中的 VPC 介面端點網路介面
**Description**
檢查您的 AWS PrivateLink VPC 介面端點是否設定為使用多個可用區域 (AZ)。AZ 是明顯與其他區域中的故障隔絕開來的地點。這支援相同 AWS 區域中 AZs 之間的低成本、低延遲網路連線。當您建立介面端點時,請選取多個AZs子網路,以協助保護您的應用程式免於單點故障。
此檢查目前僅包含界面端點。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch10`
**警示條件**
黃色:VPC 端點位於單一 AZ 中。
綠色:VPC 端點至少位於兩個 AZs中。
**建議的動作**
請確定您的 VPC 介面端點已設定至少兩個可用區域。
**其他資源**
如需詳細資訊,請參閱下列 文件:
+ [AWS 服務 使用界面 VPC 端點存取](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)
+ [端點網路界面的私有 IP 地址](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/creating-highly-available-endpoint-services.html#private-ip-address-of-the-endpoint-network-interface)
+ [AWS PrivateLink 概念](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)
+ [區域與可用區域](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)
**報告欄位**
+ 狀態
+ 區域
+ VPC 端點 ID
+ 是多可用區域
+ 上次更新時間
## VPN 通道備援
**Description**
檢查每個Site-to-Site VPNs 作用中的通道數量。
VPN 應該隨時設有兩個通道。如此一來可在 AWS 端點的服務中斷時或進行預定的裝置維護期間提供備援功能。對於某些硬體,一次只會有一個通道處於作用中狀態。如果某個 VPN 沒有作用中通道,仍需支付該 VPN 的費用。如需詳細資訊,請參閱 [AWS Site-to-Site VPN 使用者指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)。
**檢查 ID**
`S45wrEXrLz`
**警示條件**
+ 黃色:VPN 有一個作用中的通道 (這對於某些硬體而言是正常的)。
+ 黃色:VPN 沒有作用中的通道。
**建議的動作**
請確保已為您的 VPN 連線設定兩個通道,並且兩個通道都在作用中 (如果您的硬體支援這種情形)。您可以刪除不再需要的 VPN 連線以避免產生費用。如需詳細資訊,請參閱[您的客戶閘道裝置](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)或刪除[Site-to-Site連接](https://docs.aws.amazon.com/vpn/latest/s2svpn/delete-vpn.html)。
**其他資源**
+ [AWS Site-to-Site VPN 使用者指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [建立目標閘道](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-target-gateway)
**報告欄位**
+ 狀態
+ 區域
+ VPN ID
+ VPC
+ 虛擬私有閘道
+ 客戶閘道
+ 作用中通道
+ Reason
## ActiveMQ 可用區域備援
**Description**
檢查 Amazon MQ for ActiveMQ 代理程式是否已為多個可用區域中的作用中/待命的代理程式設定高可用性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1t3k8mqv1`
**警示條件**
+ 黃色:Amazon MQ for ActiveMQ 代理程式是在單一可用區域中設定。
綠色:Amazon MQ for ActiveMQ 代理程式是在至少兩個可用區域中設定。
**建議的動作**
建立具有作用中/待命部署模式的新代理程式。
**其他資源**
+ [建立 ActiveMQ 中介裝置](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-activemq.html)
**報告欄位**
+ 狀態
+ 區域
+ ActiveMQ 代理程式 ID
+ 中介裝置引擎類型
+ 部署模式
+ 上次更新時間
## RabbitMQ 可用區域備援
**Description**
檢查 Amazon MQ for RabbitMQ 代理程式是否已為多個可用區域中的叢集執行個體設定高可用性。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1t3k8mqv2`
**警示條件**
+ 黃色:Amazon MQ for RabbitMQ 代理程式是在單一可用區域中設定。
綠色:Amazon MQ for RabbitMQ 代理程式是在多個可用區域中設定。
**建議的動作**
建立具有叢集部署模式的新代理程式。
**其他資源**
+ [建立 RabbitMQ 代理程式](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html)
**報告欄位**
+ 狀態
+ 區域
+ RabbitMQ 代理程式 ID
+ 中介裝置引擎類型
+ 部署模式
+ 上次更新時間
# 服務限制
請參閱下列適用於服務配額 (也稱為配額) 類別的檢查。
此類別中的所有檢查都有以下描述:
**警示條件**
+ 黃色:已達到上限的 80%。
+ 紅色:已達到上限的 100%。
+ 藍色: Trusted Advisor 無法擷取一或多個 中的使用率或限制 AWS 區域。
**建議的動作**
如果您預期超過服務限額,請直接在 [Service Quotas](https://console.aws.amazon.com/servicequotas) 主控台請求提高限額。如果 Service Quotas 尚未支援您的服務,您可以在支援[中心開啟支援](https://console.aws.amazon.com/support/home?region=us-east-1#/case/create?issueType=service-limit-increase&type=service_limit_increase)案例。
**報告欄位**
+ 狀態
+ 服務
+ 區域
+ 限額
+ 目前用量
**注意**
這些值是以快照為基礎,因此您目前的用量可能會有所不同。配額和用量資料最多可能需要 24 小時才會反映任何變更。若最近剛提高配額,您可能會暫時看到用量超過配額的情形。
**Contents**
+ [
## Auto Scaling 群組
](#auto-scaling-groups)
+ [
## Auto Scaling 啟動組態
](#auto-scaling-launch-configurations)
+ [
## CloudFormation 堆疊
](#cloudformation-stacks)
+ [
## DynamoDB 讀取容量
](#dynamo-db-read-capacity)
+ [
## DynamoDB 寫入容量
](#dynamo-db-write-capacity)
+ [
## EBS 作用中快照
](#ebs-active-snapshots)
+ [
## EBS 冷 HDD (sc1) 磁碟區儲存
](#ebs-cold-hdd-sc1-volume-storage)
+ [
## EBS 一般用途 SSD (gp2) 磁碟區儲存
](#ebs-general-purpose-ssd-gp2-volume-storage)
+ [
## EBS 一般用途 SSD (gp3) 磁碟區儲存
](#ebs-general-purpose-ssd-gp3-volume-storage)
+ [
## EBS 磁帶 (標準) 磁碟區儲存
](#ebs-magnetic-standard-volume-storage)
+ [
## EBS 佈建 IOPS SSD (io1) 磁碟區彙總 IOPS
](#ebs-provisioned-iops-ssd-volume-aggregate-iops)
+ [
## EBS 佈建 IOPS SSD (io1) 磁碟區儲存
](#ebs-provisioned-iops-ssd-io1-volume-storage)
+ [
## EBS 佈建 IOPS SSD (io2) 磁碟區儲存
](#ebs-provisioned-iops-ssd-io2-volume-storage)
+ [
## EBS 輸送量最佳化 HDD (st1) 磁碟區儲存
](#ebs-throughput-optimized-hdd-st1-volume-storage)
+ [
## EC2 隨需執行個體
](#ec2-on-demand-instances)
+ [
## EC2 預留執行個體租用
](#ec2-reserved-instance-leases)
+ [
## EC2-Classic 彈性 IP 地址
](#ec2-elastic-ip-addresses)
+ [
## EC2-VPC 彈性 IP 地址
](#ec2-vpc-elastic-ip-address)
+ [
## ELB Application Load Balancer
](#elb-application-load-balancers)
+ [
## ELB Classic Load Balancer
](#elb-classic-load-balancers)
+ [
## ELB Network Load Balancer
](#elb-network-load-balancers)
+ [
## IAM 群組
](#iam-group)
+ [
## IAM 執行個體描述檔
](#iam-instance-profiles)
+ [
## IAM 政策
](#iam-policies)
+ [
## IAM 角色
](#iam-roles)
+ [
## IAM 伺服器憑證
](#iam-server-certificates)
+ [
## IAM 使用者
](#iam-users)
+ [
## 每個區域的 Kinesis 碎片
](#kinesis-shards-per-region)
+ [
## Lambda 程式碼儲存用量
](#Lambda-Code-Storage-Usage)
+ [
## RDS 叢集參數群組
](#rds-cluster-parameter-groups)
+ [
## RDS 叢集角色
](#rds-cluster-roles)
+ [
## RDS 叢集
](#rds-clusters)
+ [
## RDS 資料庫執行個體
](#rds-db-instances)
+ [
## RDS 資料庫手動快照
](#rds-db-manual-snapshots)
+ [
## RDS 資料庫參數群組
](#rds-db-parameter-groups)
+ [
## RDS 資料庫安全群組
](#rds-db-security-groups)
+ [
## RDS 事件訂閱
](#rds-event-subscriptions)
+ [
## 每個安全群組的 RDS 驗證上限
](#rds-max-auths-per-security-group)
+ [
## RDS 選項群組
](#rds-option-groups)
+ [
## 每個主資料的 RDS 僅供讀取複本
](#rds-read-replicas-per-master)
+ [
## RDS 預留執行個體
](#rds-reserved-instances)
+ [
## RDS 子網路群組
](#rds-subnet-groups)
+ [
## 每個子網路群組的 RDS 子網路
](#rds-subnets-per-subnet-group)
+ [
## RDS 總儲存配額
](#rds-total-storage-quota)
+ [
## Route 53 託管區域
](#route-53-hosted-zones)
+ [
## Route 53 運作狀態檢查上限
](#route-53-max-health-checks)
+ [
## Route 53 可重複使用的委派集
](#route-53-reusable-delegation-sets)
+ [
## Route 53 流量政策
](#route-53-traffic-policies)
+ [
## Route 53 流量政策執行個體
](#route-53-traffic-policy-instances)
+ [
## SES 每日傳送份額
](#ses-daily-sending-quota)
+ [
## VPC
](#vpc-quota-check)
+ [
## VPC 網際網路閘道
](#vpc-internet-gateways)
## Auto Scaling 群組
**Description**
檢查是否有用量超過 Auto Scaling 群組配額的 80%。
**檢查 ID**
`fW7HH0l7J9`
**其他資源**
[Auto Scaling 配額](https://docs.aws.amazon.com/autoscaling/latest/userguide/as-account-limits.html)
## Auto Scaling 啟動組態
**Description**
檢查是否有用量超過 Auto Scaling 啟動組態配額的 80%。
**檢查 ID**
`aW7HH0l7J9`
**其他資源**
[Auto Scaling 配額](https://docs.aws.amazon.com/autoscaling/latest/userguide/as-account-limits.html)
## CloudFormation 堆疊
**Description**
檢查是否有用量超過 CloudFormation 堆疊配額的 80%。
**檢查 ID**
`gW7HH0l7J9`
**其他資源**
[CloudFormation 配額](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html)
## DynamoDB 讀取容量
**Description**
檢查是否有用量超過 DynamoDB 為每個 AWS 帳戶所佈建讀取輸送量限額的 80%。
**檢查 ID**
`6gtQddfEw6`
**其他資源**
[DynamoDB 配額](https://docs.aws.amazon.com//general/latest/gr/ddb.html)
## DynamoDB 寫入容量
**Description**
檢查是否有用量超過 DynamoDB 為每個 AWS 帳戶所佈建寫入輸送量限額的 80%。
**檢查 ID**
`c5ftjdfkMr`
**其他資源**
[DynamoDB 配額](https://docs.aws.amazon.com//general/latest/gr/ddb.html)
## EBS 作用中快照
**Description**
檢查是否有用量超過 EBS 作用中快照配額的 80%。
**檢查 ID**
`eI7KK0l7J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 冷 HDD (sc1) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 冷 HDD (sc1) 磁碟區儲存配額的 80%。
**檢查 ID**
`gH5CC0e3J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 一般用途 SSD (gp2) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 一般用途 SSD (gp2) 磁碟區儲存配額的 80%。
**檢查 ID**
`dH7RR0l6J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 一般用途 SSD (gp3) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 一般用途 SSD (gp3) 磁碟區儲存配額的 80%。
**檢查 ID**
`dH7RR0l6J3`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 磁帶 (標準) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 磁帶 (標準) 磁碟區儲存配額的 80%。
**檢查 ID**
`cG7HH0l7J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 佈建 IOPS SSD (io1) 磁碟區彙總 IOPS
**Description**
檢查是否有用量超過 EBS 佈建 IOPS SSD (io1) 磁碟區彙總 IOPS 配額的 80%。
**檢查 ID**
`tV7YY0l7J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 佈建 IOPS SSD (io1) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 佈建 IOPS SSD (io1) 磁碟區儲存配額的 80%。
**檢查 ID**
`gI7MM0l7J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 佈建 IOPS SSD (io2) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 佈建 IOPS SSD (io2) 磁碟區儲存配額的 80%。
**檢查 ID**
`gI7MM0l7J2`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 輸送量最佳化 HDD (st1) 磁碟區儲存
**Description**
檢查是否有用量超過 EBS 輸送量最佳化 HDD (st1) 磁碟區儲存配額的 80%。
**檢查 ID**
`wH7DD0l3J9`
**其他資源**
[Amazon EBS 限額](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EC2 隨需執行個體
**Description**
檢查是否有用量超過 EC2 隨需執行個體配額的 80%。
**檢查 ID**
`0Xc6LMYG8P`
**其他資源**
[Amazon EC2 配額](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
## EC2 預留執行個體租用
**Description**
檢查是否有用量超過 EC2 預留執行個體租用配額的 80%。
**檢查 ID**
`iH7PP0l7J9`
**其他資源**
[Amazon EC2 配額](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
## EC2-Classic 彈性 IP 地址
**Description**
檢查是否有用量超過 EC2-Classic 彈性 IP 地址配額的 80%。
**檢查 ID**
`aW9HH0l8J6`
**其他資源**
[Amazon EC2 配額](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
## EC2-VPC 彈性 IP 地址
**Description**
檢查是否有用量超過 EC2-VPC 彈性 IP 地址配額的 80%。
**檢查 ID**
`lN7RR0l7J9`
**其他資源**
[VPC 彈性 IP 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-eips)
## ELB Application Load Balancer
**Description**
檢查是否有用量超過 ELB Application Load Balancer 配額的 80%。
**檢查 ID**
`EM8b3yLRTr`
**其他資源**
[Elastic Load Balancing 配額](https://docs.aws.amazon.com/general/latest/gr/elb.html)
## ELB Classic Load Balancer
**Description**
檢查是否有用量超過 ELB Classic Load Balancer 配額的 80%。
**檢查 ID**
`iK7OO0l7J9`
**其他資源**
[Elastic Load Balancing 配額](https://docs.aws.amazon.com/general/latest/gr/elb.html)
## ELB Network Load Balancer
**Description**
檢查是否有用量超過 ELB Network Load Balancer 配額的 80%。
**檢查 ID**
`8wIqYSt25K`
**其他資源**
[Elastic Load Balancing 配額](https://docs.aws.amazon.com/general/latest/gr/elb.html)
## IAM 群組
**Description**
檢查是否有用量超過 IAM 群組配額的 80%。
**檢查 ID**
`sU7XX0l7J9`
**其他資源**
[IAM 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 執行個體描述檔
**Description**
檢查是否有用量超過 IAM 執行個體描述檔配額的 80%。
**檢查 ID**
`nO7SS0l7J9`
**其他資源**
[IAM 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 政策
**Description**
檢查是否有用量超過 IAM 政策配額的 80%。
**檢查 ID**
`pR7UU0l7J9`
**其他資源**
[IAM 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 角色
**Description**
檢查是否有用量超過 IAM 角色配額的 80%。
**檢查 ID**
`oQ7TT0l7J9`
**其他資源**
[IAM 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 伺服器憑證
**Description**
檢查是否有用量超過 IAM 伺服器憑證配額的 80%。
**檢查 ID**
`rT7WW0l7J9`
**其他資源**
[IAM 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 使用者
**Description**
檢查是否有用量超過 IAM 使用者配額的 80%。
**檢查 ID**
`qS7VV0l7J9`
**其他資源**
[IAM 配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## 每個區域的 Kinesis 碎片
**Description**
檢查是否有用量超過每個區域 Kinesis 碎片配額的 80%。
**檢查 ID**
`bW7HH0l7J9`
**其他資源**
[Kinesis 配額](https://docs.aws.amazon.com/streams/latest/dev/service-sizes-and-limits.html)
## Lambda 程式碼儲存用量
**Description**
檢查是否有程式碼用量超過帳戶限制的 80%。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch07`
**警示條件**
+ 黃色:已達到上限的 80%。
**建議的動作**
請找出未使用的 Lambda 函數或版本然後移除它們,藉此釋出您在該區域帳戶的程式碼儲存空間。如果您需要額外的儲存空間,請在支援中心裡建立支援案例。如果您預期超過服務限額,請直接在 Service Quotas 主控台請求提高限額。如果 Service Quotas 尚未支援您的服務,您可以在支援中心開啟支援案例。
**其他資源**
+ [Lambda 程式碼儲存用量](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html)
**報告欄位**
+ 狀態
+ 區域
+ 此資源的合格函數 ARN。
+ 函數代碼儲存用量(以 MB 為單位),計算到小數點後 2 位。
+ 函數中版本的數量
+ 上次更新時間
## RDS 叢集參數群組
**Description**
檢查是否有用量超過 RDS 叢集參數群組配額的 80%。
**檢查 ID**
`jtlIMO3qZM`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 叢集角色
**Description**
檢查是否有用量超過 RDS 叢集角色配額的 80%。
**檢查 ID**
`7fuccf1Mx7`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 叢集
**Description**
檢查是否有用量超過 RDS 叢集配額的 80%。
**檢查 ID**
`gjqMBn6pjz`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 資料庫執行個體
**Description**
檢查是否有用量超過 RDS 資料庫執行個體配額的 80%。
**檢查 ID**
`XG0aXHpIEt`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 資料庫手動快照
**Description**
檢查是否有用量超過 RDS 資料庫手動快照配額的 80%。
**檢查 ID**
`dV84wpqRUs`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 資料庫參數群組
**Description**
檢查是否有用量超過 RDS 資料庫參數群組配額的 80%。
**檢查 ID**
`jEECYg2YVU`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 資料庫安全群組
**Description**
檢查是否有用量超過 RDS 資料庫安全群組配額的 80%。
**檢查 ID**
`gfZAn3W7wl`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 事件訂閱
**Description**
檢查是否有用量超過 RDS 事件訂閱配額的 80%。
**檢查 ID**
`keAhfbH5yb`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## 每個安全群組的 RDS 驗證上限
**Description**
檢查是否有用量超過每個安全群組 RDS 驗證上限配額的 80%。
**檢查 ID**
`dBkuNCvqn5`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 選項群組
**Description**
檢查是否有用量超過 RDS 選項群組配額的 80%。
**檢查 ID**
`3Njm0DJQO9`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## 每個主資料的 RDS 僅供讀取複本
**Description**
檢查是否有用量超過每個主資料 RDS 僅供讀取複本配額的 80%。
**檢查 ID**
`pYW8UkYz2w`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 預留執行個體
**Description**
檢查是否有用量超過 RDS 預留執行個體配額的 80%。
**檢查 ID**
`UUDvOa5r34`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 子網路群組
**Description**
檢查是否有用量超過 RDS 子網路群組配額的 80%。
**檢查 ID**
`dYWBaXaaMM`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## 每個子網路群組的 RDS 子網路
**Description**
檢查是否有用量超過每個子網路群組 RDS 子網路配額的 80%。
**檢查 ID**
`jEhCtdJKOY`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 總儲存配額
**Description**
檢查是否有用量超過 RDS 總儲存配額的 80%。
**檢查 ID**
`P1jhKWEmLa`
**其他資源**
[Amazon RDS 配額](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## Route 53 託管區域
**Description**
檢查是否有用量超過每個帳戶 Route 53 託管區域配額的 80%。
**檢查 ID**
`dx3xfcdfMr`
**其他資源**
[Route 53 配額](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## Route 53 運作狀態檢查上限
**Description**
檢查是否有用量超過每個帳戶 Route 53 運作狀態檢查配額的 80%。
**檢查 ID**
`ru4xfcdfMr`
**其他資源**
[Route 53 配額](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## Route 53 可重複使用的委派集
**Description**
檢查是否有用量超過每個帳戶 Route 53 可重複使用委派集配額的 80%。
**檢查 ID**
`ty3xfcdfMr`
**其他資源**
[Route 53 配額](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## Route 53 流量政策
**Description**
檢查是否有用量超過每個帳戶 Route 53 流量政策配額的 80%。
**檢查 ID**
`dx3xfbjfMr`
**其他資源**
[Route 53 配額](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## Route 53 流量政策執行個體
**Description**
檢查是否有用量超過每個帳戶 Route 53 流量政策執行個體配額的 80%。
**檢查 ID**
`dx8afcdfMr`
**其他資源**
[Route 53 配額](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## SES 每日傳送份額
**Description**
檢查是否有用量超過 Amazon SES 每日傳送份額的 80%。
**檢查 ID**
`hJ7NN0l7J9`
**其他資源**
[Amazon SES 配額](https://docs.aws.amazon.com/ses/latest/dg/quotas.html)
## VPC
**Description**
檢查是否有用量超過 VPC 配額的 80%。
**檢查 ID**
`jL7PP0l7J9`
**其他資源**
[VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)
## VPC 網際網路閘道
**Description**
檢查是否有用量超過 VPC 網際網路閘道配額的 80%。
**檢查 ID**
`kM7QQ0l7J9`
**其他資源**
[VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)
# 營運卓越
您可以針對營運卓越類別使用下列檢查。
**Contents**
+ [
## Amazon API Gateway 未記錄執行日誌
](#api-gw-execution-logging-enabled)
+ [
## 未啟用 X-Ray 追蹤的 Amazon API Gateway REST API
](#api-gw-xray-enabled)
+ [
## 已設定 Amazon CloudFront 存取日誌
](#cloudfront-access-log-configured)
+ [
## 已停用 Amazon CloudWatch 警示動作
](#cloudwatch-alarm-action-disabled)
+ [
## 非 管理的 Amazon EC2 執行個體 AWS Systems Manager
](#ec2-instance-managed-ssm)
+ [
## 已停用具有標籤不變性的 Amazon ECR 儲存庫
](#ecr-private-tag-immutability-enabled)
+ [
## 已停用具有 Container Insights 的 Amazon ECS 叢集
](#ecs-container-insights-enabled)
+ [
## 未啟用 Amazon ECS 任務日誌記錄
](#ecs-task-definition-log-configuration)
+ [
## Amazon OpenSearch Service 日誌記錄 CloudWatch 未設定
](#opensearch-logs-to-cloudwatch)
+ [
## 叢集中具有異質參數群組的 Amazon RDS 資料庫執行個體
](#rds-db-instances-heterogeneous-parameter-groups)
+ [
## Amazon RDS 增強型監控已關閉
](#rds-enhanced-monitoring-off)
+ [
## Amazon RDS Performance Insights 已關閉
](#rds-performance-insights-off)
+ [
## Amazon RDS track\$1counts 參數已關閉
](#rds-track-counts-parameters-off)
+ [
## Amazon Redshift 叢集稽核日誌記錄
](#redshift-audit-logging-enabled)
+ [
## 已啟用 Amazon S3 存取日誌
](#Amazon-S3-Server-Access-Logs-Enabled)
+ [
## Amazon S3 未啟用事件通知
](#s3-event-notification-enabled)
+ [
## Amazon SNS 主題未記錄訊息傳遞狀態
](#sns-topics-not-logging-message-delivery-status)
+ [
## Amazon VPC (不含流程日誌)
](#vpc-flow-logs-enabled)
+ [
## 未啟用存取日誌的 Application Load Balancer 和 Classic Load Balancer
](#elb-logging-enabled)
+ [
## CloudFormation 堆疊通知
](#cloudformation-stack-notification)
+ [
## AWS CloudTrail S3 儲存貯體中物件的資料事件記錄
](#cloudtrail-s3-dataevents-enabled)
+ [
## AWS CodeBuild 專案記錄
](#codebuild-project-logging-enabled)
+ [
## AWS CodeDeploy 啟用自動轉返和監控
](#codedeploy-auto-rollback-monitor-enabled)
+ [
## AWS CodeDeploy Lambda 正在使用all-at-once部署組態
](#codedeploy-lambda-allatonce-traffic-shift-disabled)
+ [
## AWS Elastic Beanstalk 未設定增強型運作狀態報告
](#elastic-beanstalk-enhanced-health-reporting-not-enabled)
+ [
## AWS Elastic Beanstalk 已停用受管平台更新
](#elastic-beanstalk-managed-updates-enabled)
+ [
## AWS Fargate 平台版本不是最新的
](#ecs-fargate-latest-platform-version)
+ [
## AWS Systems Manager 處於不合規狀態的狀態管理員關聯
](#ec2-managedinstance-association-compliance-status-check)
+ [
## 未使用 Amazon CloudWatch Logs 設定 CloudTrail 線索
](#cloudtrail-cloudwatch-logs-enabled)
+ [
## 未針對負載平衡器啟用 Elastic Load Balancing 刪除保護
](#elb-deletion-protection-enabled)
+ [
## RDS 資料庫叢集刪除保護檢查
](#rds-db-cluster-deletion-protection)
+ [
## RDS 資料庫執行個體自動微幅版本升級檢查
](#rds-automatic-minor-version-upgrade-enabled)
## Amazon API Gateway 未記錄執行日誌
**Description**
檢查 Amazon API Gateway 是否已在所需的日誌記錄層級開啟了 CloudWatch Logs。
在 Amazon API Gateway 中為 REST API 方法或 WebSocket API 路由開啟 CloudWatch 日誌記錄功能,為您的 API 所收到的請求收集 CloudWatch Logs 中的執行日誌。執行日誌中包含的資訊有助於找出及疑難排解與 API 相關的問題。
您可以在 AWS Config 規則的 **loggingLevel** 參數中指定記錄層級 (ERROR、INFO) ID。
如需有關 Amazon API Gateway 中的 CloudWatch 記錄的更多資訊,請參閱 REST API 或 WebSocket API 文件。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz125`
**來源**
`AWS Config Managed Rule: api-gw-execution-logging-enabled`
**警示條件**
黃色:Amazon API Gateway 的所需日誌記錄層級未針對執行日誌集合啟用 CloudWatch 日誌記錄設定。
**建議的動作**
使用適當的日誌記錄層級 (ERROR, INFO),為您的 Amazon API Gateway [REST API](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) 或 [WebSocket API](https://docs.aws.amazon.com/apigateway/latest/developerguide/websocket-api-logging.html) 開啟執行日誌的 CloudWatch 日誌記錄功能。
如需詳細資訊,請參閱[建立流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log)。
**其他資源**
+ [在 API Gateway 中設定 REST API 的 CloudWatch 記錄功能](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)
+ [設定 WebSocket API 的記錄功能](https://docs.aws.amazon.com/apigateway/latest/developerguide/websocket-api-logging.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用 X-Ray 追蹤的 Amazon API Gateway REST API
**Description**
檢查 Amazon API Gateway REST APIs是否已開啟 AWS X-Ray 追蹤。
開啟 REST API 的 X-Ray 追蹤功能,允許 API Gateway 使用追蹤資訊來取樣 API 調用請求。這可讓您利用 AWS X-Ray 來追蹤和分析透過 API Gateway REST APIs傳送到下游服務的請求。
如需詳細資訊,請參閱[使用 X-Ray 追蹤使用者的 REST API 請求](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-xray.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz126`
**來源**
`AWS Config Managed Rule: api-gw-xray-enabled`
**警示條件**
黃色:未開啟 API Gateway REST API 的 X-Ray 追蹤。
**建議的動作**
開啟 API Gateway REST API 的 X-Ray 追蹤。
如需詳細資訊,請參閱[AWS X-Ray 使用 API Gateway REST APIs設定](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-enabling-xray.html) 。
**其他資源**
+ [使用 X-Ray 追蹤使用者對 REST API 的請求](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-xray.html)
+ [什麼是 AWS X-Ray?](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已設定 Amazon CloudFront 存取日誌
**Description**
檢查 Amazon CloudFront 分佈是否設定為從 Amazon S3 伺服器存取日誌擷取資訊。Amazon S3 伺服器存取日誌包含有關 CloudFront 收到的每個使用者請求的詳細資訊。
您可以使用 AWS Config 規則中的 Amazon S3 **S3BucketName** 儲存貯體的名稱來存放伺服器存取日誌。
如需詳細資訊,請參閱[設定和使用標準日誌 (存取日誌)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz110`
**來源**
`AWS Config Managed Rule: cloudfront-accesslogs-enabled`
**警示條件**
黃色:未啟用 Amazon CloudFront 存取日誌記錄
**建議的動作**
請務必開啟 CloudFront 存取日誌記錄,以擷取有關 CloudFront 收到的每個使用者請求的詳細資訊。
您可以在建立或更新分佈時開啟標準日誌。
如需詳細資訊,請參閱[在建立或更新分佈時您指定的值](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html)。
**其他資源**
+ [您在建立或更新分佈時指定的值](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html)
+ [設定和使用標準日誌 (存取日誌)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已停用 Amazon CloudWatch 警示動作
**Description**
檢查您的 Amazon CloudWatch 警示動作是否處於停用狀態。
您可以使用 AWS CLI 來啟用或停用警示中的動作功能。或者,您可以使用 AWS SDK 以程式設計方式停用或啟用動作功能。警示動作功能關閉時,CloudWatch 不會在任何狀態下 (OK、INSUFFICIENT\$1DATA、ALARM) 執行任何已定義的動作。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz109`
**來源**
`AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check`
**警示條件**
黃色:未啟用 Amazon CloudWatch 警示動作。在任何警示狀態下均不會執行任何動作。
**建議的動作**
除非您有正當理由停用警示 (例如用於測試目的),否則請在 CloudWatch 警示中啟用動作。
如果不再需要 CloudWatch 警示,請將其刪除以避免產生不必要的成本。
如需詳細資訊,請參閱《 AWS CLI 命令參考》中的 [enable-alarm-actions](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/enable-alarm-actions.html) 和《適用於 Go 的 AWS SDK API 參考》中的 [func (\$1CloudWatch) EnableAlarmActions](https://docs.aws.amazon.com/sdk-for-go/api/service/cloudwatch/#CloudWatch.EnableAlarmActions)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 非 管理的 Amazon EC2 執行個體 AWS Systems Manager
**Description**
檢查您帳戶中的 Amazon EC2 執行個體是否由 管理 AWS Systems Manager。
Systems Manager 可協助您瞭解和控制 Amazon EC2 執行個體和 OS 組態的目前狀態。有了 Systems Manager,您可以收集有關執行個體機群的軟體組態和庫存資訊,包含安裝在執行個體上的軟體。這可讓您追蹤詳細的系統組態、OS 修補程式等級、應用程式組態,以及有關部署的其他詳細資訊。
如需詳細資訊,請參閱[設定 EC2 執行個體的 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz145`
**來源**
`AWS Config Managed Rule: ec2-instance-managed-by-systems-manager`
**警示條件**
黃色:Amazon EC2 執行個體不是由 Systems Manager 管理。
**建議的動作**
設定 Amazon EC2 執行個體,使其由 Systems Manager 所管理。
此檢查無法從 Trusted Advisor 主控台的檢視中排除。
如需詳細資訊,請參閱[為何我的 EC2 執行個體未顯示為受管節點,或在 Systems Manager 中顯示「連線中斷」狀態?](https://repost.aws/knowledge-center/systems-manager-ec2-instance-not-appear)。
**其他資源**
[設定 EC2 執行個體的 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已停用具有標籤不變性的 Amazon ECR 儲存庫
**Description**
檢查私有 Amazon ECR 儲存庫是否已開啟映像標籤不變性。
開啟私有 Amazon ECR 儲存庫的映像標籤不變性,以防止映像標籤遭覆寫。這可讓您依賴描述性標籤作為追蹤和唯一識別映像的可靠機制。例如,倘若開啟了映像標籤不變性,則使用者便能可靠地使用映像標籤,將已部署的映像版本與產生此類映像的建置版本建立關聯。
如需詳細資訊,請參閱[映像標籤可變性](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-tag-mutability.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz129`
**來源**
`AWS Config Managed Rule: ecr-private-tag-immutability-enabled`
**警示條件**
黃色:Amazon ECR 私有儲存庫未開啟標籤不變性。
**建議的動作**
開啟 Amazon ECR 私有儲存庫的映像標籤不變性。
如需詳細資訊,請參閱[映像標籤可變性](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-tag-mutability.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已停用具有 Container Insights 的 Amazon ECS 叢集
**Description**
檢查您的 Amazon ECS 叢集是否已開啟 Amazon CloudWatch Container Insights。
CloudWatch Container Insights 會從您的容器化應用程式和微型服務收集、彙總及總結指標和日誌。指標包含 CPU、記憶體、磁碟和網路這類資源的使用率。
如需詳細資訊,請參閱 [Amazon ECS CloudWatch Container Insights](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch-container-insights.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz173`
**來源**
`AWS Config Managed Rule: ecs-container-insights-enabled`
**警示條件**
黃色:Amazon ECS 叢集未啟用容器洞見。
**建議的動作**
開啟 Amazon ECS 叢集上的 CloudWatch Container Insights。
如需詳細資訊,請參閱[使用 Container Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContainerInsights.html)。
**其他資源**
[Amazon ECS CloudWatch Container Insights](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch-container-insights.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用 Amazon ECS 任務日誌記錄
**Description**
檢查日誌組態是否已在作用中的 Amazon ECS 任務定義上設定。
檢查 Amazon ECS 任務定義中的日誌組態可確保容器產生的日誌已正確設定和儲存。如此有助於更快找出問題並進行疑難排解、最佳化效能,以及遵守法規遵循要求。
在預設情況下,擷取的日誌會顯示您在本機執行容器時,通常會在互動式終端機中看見的命令輸出。此 awslog 驅動程式會將這些日誌從 Docker 傳遞至 Amazon CloudWatch Logs。
如需詳細資訊,請參閱[使用 awslogs 日誌驅動程式](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz175`
**來源**
`AWS Config Managed Rule: ecs-task-definition-log-configuration`
**警示條件**
黃色:Amazon ECS 任務定義沒有日誌記錄組態。
**建議的動作**
請考慮在容器定義中指定日誌驅動程式組態,以將日誌資訊傳送至 CloudWatch Logs 或其他日誌記錄驅動程式。
如需詳細資訊,請參閱 [LogConfiguration](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_LogConfiguration.html)。
**其他資源**
請考慮在容器定義中指定日誌驅動程式組態,以將日誌資訊傳送至 CloudWatch Logs 或其他日誌記錄驅動程式。
如需詳細資訊,請參閱[任務定義範例](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/example_task_definitions.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon OpenSearch Service 日誌記錄 CloudWatch 未設定
**Description**
檢查 Amazon OpenSearch Service 網域是否設定為將日誌傳送至 Amazon CloudWatch Logs。
監控日誌對於維護 OpenSearch Service 的可靠性、供應性和效能十分重要。
搜尋慢速日誌、索引慢速日誌和錯誤日誌對於疑難排解工作負載的效能和穩定性問題非常有用。必須啟用這些日誌才能擷取資料。
您可以使用 AWS Config 規則中的 **logTypes** 參數來指定要篩選的日誌類型 (錯誤、搜尋、索引)。
如需詳細資訊,請參閱[監控 Amazon OpenSearch Service 網域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/monitoring.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz184`
**來源**
`AWS Config Managed Rule: opensearch-logs-to-cloudwatch`
**警示條件**
黃色:Amazon OpenSearch Service 沒有使用 Amazon CloudWatch Logs 的日誌記錄組態
**建議的動作**
設定 OpenSearch Service 網域以將日誌發布至 CloudWatch Logs。
如需詳細資訊,請參閱[啟用日誌發布 (主控台)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console)。
**其他資源**
+ [使用 Amazon CloudWatch 監控 OpenSearch Service 叢集指標](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-cloudwatchmetrics.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 叢集中具有異質參數群組的 Amazon RDS 資料庫執行個體
**Description**
建議資料庫叢集中的所有資料庫執行個體都使用相同的資料庫參數群組。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt010`
**警示條件**
黃色:資料庫叢集具有具有異質參數群組的資料庫執行個體。
**建議的動作**
將資料庫執行個體與資料庫叢集中寫入器執行個體相關聯的資料庫參數群組建立關聯。
**其他資源**
當資料庫叢集中的資料庫執行個體使用不同的資料庫參數群組時,資料庫叢集中的資料庫執行個體之間可能會發生容錯移轉或相容性問題的不一致行為。
如需詳細資訊,請參閱[使用參數群組](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithParamGroups.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS 增強型監控已關閉
**Description**
您的資料庫資源未開啟增強型監控。增強型監控針對監控及疑難排解,提供即時的作業系統指標。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt004`
**警示條件**
黃色:Amazon RDS 資源未開啟增強型監控。
**建議的動作**
開啟增強型監控。
**其他資源**
Amazon RDS 的增強型監控可針對資料庫執行個體的運作狀態提供額外的可見性。建議您開啟增強型監控。當資料庫執行個體的增強型監控選項開啟時,它會收集重要的作業系統指標和程序資訊。
如需詳細資訊,請參閱[使用增強型監控來監控 OS 指標](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS Performance Insights 已關閉
**Description**
Amazon RDS Performance Insights 會監控資料庫執行個體負載,以協助您分析和解決資料庫效能問題。建議您開啟 Performance Insights。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt012`
**警示條件**
黃色:Amazon RDS 資源未開啟績效詳情。
**建議的動作**
開啟績效詳情。
**其他資源**
Performance Insights 使用輕量型資料收集方法,不會影響您應用程式的效能。Performance Insights 可協助您快速評估資料庫負載。
如需詳細資訊,請參閱[在 Amazon RDS 上使用 Performance Insights 監控資料庫負載](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PerfInsights.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS track\$1counts 參數已關閉
**Description**
當 **track\$1counts** 參數關閉時,資料庫不會收集資料庫活動統計資料。自動清空功能需要這些統計資料才能正常運作。
我們建議您將 **track\$1counts** 參數設定為 1
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt027`
**警示條件**
黃色:資料庫參數群組的 **track\$1counts** 參數已關閉。
**建議的動作**
將 **track\$1counts** 參數設定為 1
**其他資源**
當 **track\$1counts** 參數關閉時,會停用資料庫活動統計資料的收集。自動清空協助程式需要收集的統計資料,才能識別自動清空和自動分析的資料表。
如需詳細資訊,請參閱 [ PostgreSQL 文件網站上的 PostgreSQL 執行期統計資料](https://www.postgresql.org/docs/current/runtime-config-statistics.html#GUC-TRACK-COUNTS)。 PostgreSQL
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數值
+ 建議值
+ 上次更新時間
## Amazon Redshift 叢集稽核日誌記錄
**Description**
檢查您的 Amazon Redshift 叢集是否已開啟資料庫稽核日誌記錄。Amazon Redshift 會記錄您資料庫中連線和使用者活動的相關資訊。
您可以在 AWS Config 規則的 **bucketNames** 參數中指定要比對的所需記錄 Amazon S3 儲存貯體名稱。
如需詳細資訊,請參閱[資料庫稽核日誌記錄](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz134`
**來源**
`AWS Config Managed Rule: redshift-audit-logging-enabled`
**警示條件**
黃色:Amazon Redshift 叢集已停用資料庫稽核日誌記錄
**建議的動作**
開啟 Amazon Redshift 叢集的日誌記錄和監控功能。
如需詳細資訊,請參閱[使用主控台來設定稽核](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html)。
**其他資源**
[在 Amazon Redshift 中記錄和監控](https://docs.aws.amazon.com/redshift/latest/mgmt/security-incident-response.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已啟用 Amazon S3 存取日誌
**Description**
檢查 Amazon Simple Storage Service 儲存貯體的記錄組態。
啟用伺服器存取記錄會將詳細的每小時存取日誌傳送至指定的 Amazon S3 儲存貯體。存取日誌包含請求詳細資訊,包括類型、指定的資源和處理時間/日期。記錄預設為關閉。客戶應啟用存取記錄,以執行安全稽核或分析使用者行為和使用模式。
記錄最初啟動時,會自動驗證組態。不過未來的修改可能會導致記錄失敗。請注意,目前此檢查不會檢查 Amazon S3 儲存貯體寫入許可。
**檢查 ID**
`c1fd6b96l4`
**警示條件**
+ 黃色:儲存貯體未啟用伺服器存取記錄。
+ 黃色:目標儲存貯體許可不包含根帳戶,因此 Trusted Advisor 無法檢查它。
+ 紅色:目標儲存貯體不存在。
+ 紅色:目標儲存貯體和來源儲存貯體擁有者不同。
+ 綠色:儲存貯體已啟用伺服器存取記錄、目標存在,以及寫入目標的許可存在
**建議的動作**
啟用所有相關 Amazon S3 儲存貯體的伺服器存取記錄。伺服器存取日誌提供稽核線索,可用來了解儲存貯體存取模式並調查可疑活動。在所有適用儲存貯體上啟用記錄功能,可改善 Amazon S3 環境中存取事件的可見性。請參閱[使用主控台啟用記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)和[以程式設計方式啟用記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。
如果目標儲存貯體許可不包含根帳戶,且您想要 Trusted Advisor 來檢查記錄狀態,請將根帳戶新增為承授者。請參閱[編輯儲存貯體許可](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-iam.html)。
如果目標儲存貯體不存在,請選取現有儲存貯體作為目標儲存貯體,或建立新儲存貯體然後加以選取。請參閱[管理儲存貯體記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)。
如果目標和來源儲存貯體的擁有者不同,請將目標儲存貯體變更為與來源儲存貯體有相同擁有者的儲存貯體。請參閱[管理儲存貯體記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)。
**其他資源**
[使用儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html)
[Server access logging (伺服器存取記錄日誌)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)
[伺服器存取日誌格式](https://docs.aws.amazon.com/AmazonS3/latest/userguide/LogFormat.html)
[刪除日誌檔案](https://docs.aws.amazon.com/AmazonS3/latest/userguide/deleting-log-files-lifecycle.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源 ARN
+ 儲存貯體名稱
+ 目標名稱
+ 目標已存在
+ 相同擁有者
+ 已啟用寫入
+ Reason
+ 上次更新時間
## Amazon S3 未啟用事件通知
**Description**
檢查 Amazon S3 事件通知是否已啟用或正確設定為所需的一或多個目的地類型。
Amazon S3 事件通知功能可在 S3 儲存貯體中發生特定事件時傳送通知。Amazon S3 可以將通知訊息傳送至 Amazon SQS 佇列、Amazon SNS 主題和 AWS Lambda 函數。
您可以使用 AWS Config 規則的 **destinationArn** 和 **eventTypes** 參數來指定所需的目的地和事件類型。
如需詳細資訊,請參閱 [Amazon S3 事件通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventNotifications.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz163`
**來源**
`AWS Config Managed Rule: s3-event-notifications-enabled`
**警示條件**
黃色:Amazon S3 未啟用事件通知,或未設定所需的目的地或類型。
**建議的動作**
設定物件和儲存貯體事件的 Amazon S3 事件通知。
如需詳細資訊,請參閱[使用 Amazon S3 主控台啟用和設定事件通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon SNS 主題未記錄訊息傳遞狀態
**Description**
檢查 Amazon SNS 主題是否已開啟訊息傳遞狀態日誌記錄。
設定 Amazon SNS 主題來記錄訊息傳遞狀態,以協助提供更好的操作洞察。例如,訊息傳遞日誌記錄會驗證訊息是否已傳遞至特定 Amazon SNS 端點。此外,它還有助於識別從端點傳送的回應。
如需詳細資訊,請參閱 [Amazon SNS 訊息傳遞狀態](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz121`
**來源**
`AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled`
**警示條件**
黃色:Amazon SNS 主題未開啟訊息傳遞狀態日誌記錄。
**建議的動作**
開啟 SNS 主題的訊息傳遞狀態日誌記錄。
如需詳細資訊,請參閱[使用 AWS 管理主控台設定傳遞狀態日誌記錄](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html#topics-attrib)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon VPC (不含流程日誌)
**Description**
檢查系統是否已為 VPC 建立 Amazon Virtual Private Cloud Flow Logs。
您可以使用 AWS Config 規則中的 **trafficType** 參數來指定流量類型。
如需詳細資訊,請參閱[使用 VPC 流量日誌記錄 IP 流量](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz122`
**來源**
`AWS Config Managed Rule: vpc-flow-logs-enabled`
**警示條件**
黃色:VPC 沒有 Amazon VPC 流程日誌。
**建議的動作**
為每個 VPC 建立 VPC 流程日誌。
如需詳細資訊,請參閱[建立流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用存取日誌的 Application Load Balancer 和 Classic Load Balancer
**Description**
檢查 Application Load Balancer 和 Classic Load Balancer 是否已啟用存取日誌。
Elastic Load Balancing 提供存取日誌,可針對傳送到負載平衡器的請求,擷取其詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。您可以使用這些存取日誌來分析流量模式和排除問題。
存取日誌是 Elastic Load Balancing 的選用功能,預設為停用。對負載平衡器啟動存取日誌之後,Elastic Load Balancing 會擷取日誌並存放在您指定的 Amazon S3 儲存貯體中。
您可以在 AWS Config 規則中使用 s3BucketNames 參數來指定要檢查的存取日誌 Amazon S3 儲存貯體。 **s3BucketNames**
如需詳細資訊,請參閱 [Application Load Balancer 的存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html)或 [Classic Load Balancer 的存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz167`
**來源**
`AWS Config Managed Rule: elb-logging-enabled`
**警示條件**
黃色:Application Load Balancer 或 Classic Load Balancer 未啟用存取日誌功能。
**建議的動作**
啟用 Application Load Balancer 和 Classic Load Balancer 的存取日誌。
如需詳細資訊,請參閱[啟用 Application Load Balancer 的存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html)或[啟用 Classic Load Balancer 的存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-access-logs.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## CloudFormation 堆疊通知
**Description**
檢查您的所有 CloudFormation 堆疊是否使用 Amazon SNS 在事件發生時接收通知。
您可以將此檢查設定為使用 AWS Config 規則中的參數來尋找特定的 Amazon SNS 主題 ARNs。
如需詳細資訊,請參閱[設定 CloudFormation堆疊選項](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz111`
**來源**
`AWS Config Managed Rule: cloudformation-stack-notification-check`
**警示條件**
黃色: CloudFormation 堆疊的 Amazon SNS 事件通知未開啟。
**建議的動作**
請確定您的 CloudFormation 堆疊使用 Amazon SNS 在事件發生時接收通知。
監控堆疊事件可協助您快速回應可能改變您 AWS 環境的未經授權動作。
**其他資源**
[當我的 AWS CloudFormation 堆疊進入 ROLLBACK\$1IN\$1PROGRESS 狀態時,我會如何收到電子郵件警示?](https://repost.aws/knowledge-center/cloudformation-rollback-email)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CloudTrail S3 儲存貯體中物件的資料事件記錄
**Description**
檢查至少一個 AWS CloudTrail 線索是否記錄所有 Amazon S3 儲存貯體的 Amazon S3 資料事件。
如需詳細資訊,請參閱[使用 AWS CloudTrail記錄 Amazon S3 API 呼叫](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz166`
**來源**
`AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled`
**警示條件**
未設定 Amazon S3 儲存貯體的黃色事件 AWS CloudTrail 記錄
**建議的動作**
為 Amazon S3 儲存貯體和物件啟用 CloudTrail 事件日誌記錄,以追蹤目標儲存貯體存取權的請求。
如需詳細資訊,請參閱[啟用 S3 儲存貯體和物件的 CloudTrail 事件日誌記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CodeBuild 專案記錄
**Description**
檢查 AWS CodeBuild 專案環境是否使用記錄。日誌記錄選項可以是 Amazon CloudWatch Logs 中的日誌,或指定的 Amazon S3 儲存貯體內建日誌,或兩者皆是。在 CodeBuild 專案中啟用日誌記錄可提供數項好處,例如偵錯和稽核。
您可以使用 AWS Config 規則中的 s3BucketNames 或 CloudWatch 參數,指定用於存放日誌的 Amazon S3 儲存貯體或 CloudWatch Logs 群組名稱。 **s3BucketNames** **cloudWatchGroupNames**
如需詳細資訊,請參閱 [ 監控 AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/monitoring-builds.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz113`
**來源**
`AWS Config Managed Rule: codebuild-project-logging-enabled`
**警示條件**
未啟用黃色: AWS CodeBuild 專案記錄。
**建議的動作**
請確定您的 AWS CodeBuild 專案中已開啟記錄。此檢查無法從 AWS Trusted Advisor 主控台的檢視中排除。
如需詳細資訊,請參閱在 [中記錄和監控 AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/logging-monitoring.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CodeDeploy 啟用自動轉返和監控
**Description**
檢查部署群組是否設定了自動部署復原和附加了警示的部署監視。如果部署期間出現問題,系統會自動回復,而您的應用程式則會保持在穩定狀態
如需詳細資訊,請參閱[使用 CodeDeploy 重新部署和復原部署](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployments-rollback-and-redeploy.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz114`
**來源**
`AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled`
**警示條件**
黃色: AWS CodeDeploy 自動部署復原和部署監控未啟用。
**建議的動作**
設定部署群組,或設定部署在部署失敗或到達您指定的監控閾值時自動轉返。
設定警示以在部署程序期間監控各種指標,例如 CPU 使用率、記憶體用量或網路流量。如果這些指標有任何一個超過特定臨界值,就會觸發警示,且部署會停止或回復。
如需為部署群組設定自動回復和設定警示的相關資訊,請參閱[設定部署群組的進階選項](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployment-groups-configure-advanced-options.html)。
**其他資源**
[什麼是 CodeDeploy?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CodeDeploy Lambda 正在使用all-at-once部署組態
**Description**
檢查 AWS Lambda 運算平台的 AWS CodeDeploy 部署群組是否使用all-at-once部署組態。
為了降低 CodeDeploy 中 Lambda 函數部署失敗的風險,最佳實務是使用初期測試或線性部署組態而非預設選項,其中所有流量都會立即從原始 Lambda 函數轉移到更新的函數。
如需詳細資訊,請參閱 [Lambda 函數版本](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html)和[部署組態](https://docs.aws.amazon.com/codedeploy/latest/userguide/primary-components.html#primary-components-deployment-configuration)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz115`
**來源**
`AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled`
**警示條件**
黃色: AWS CodeDeploy Lambda 部署使用all-at-once部署組態,將所有流量一次轉移到更新的 Lambda 函數。
**建議的動作**
針對 Lambda 運算平台使用 CodeDeploy 部署群組的初期測試或線性部署組態。
**其他資源**
[Deployment configuration (部署組態)](https://docs.aws.amazon.com/codedeploy/latest/userguide/primary-components.html#primary-components-deployment-configuration)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Elastic Beanstalk 未設定增強型運作狀態報告
**Description**
檢查 AWS Elastic Beanstalk 環境是否已設定用於增強型運作狀態報告。
Elastic Beanstalk 增強型運作狀態報告提供詳細的效能指標,例如 CPU 使用率、記憶體使用率、網路流量和基礎結構運作狀態資訊,例如執行個體數量和負載平衡器狀態。
如需詳細資訊,請參閱[增強型運作狀態報告與監控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz108`
**來源**
`AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled`
**警示條件**
黃色:Elastic Beanstalk 環境未針對增強型運作狀態報告設定
**建議的動作**
請確定 Elastic Beanstalk 環境已針對增強型運作狀態報告設定。
如需詳細資訊,請參閱[使用 Elastic Beanstalk 主控台啟用增強型運作狀態報告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console)。
**其他資源**
+ [啟用 Elastic Beanstalk 增強型運作狀態報告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html)
+ [增強型運作狀態報告與監控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Elastic Beanstalk 已停用受管平台更新
**Description**
檢查是否已啟用 Elastic Beanstalk 環境和組態範本中的受管平台更新。
AWS Elastic Beanstalk 會定期發行平台更新,以提供修正、軟體更新和新功能。有了受管平台更新,Elastic Beanstalk 可以針對新的修補程式和微幅平台版本自動執行平台更新。
您可以在 AWS Config 規則的 **UpdateLevel** 參數中指定所需的更新層級。
如需詳細資訊,請參閱[更新 Elastic Beanstalk 環境的平台版本](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.platform.upgrade.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz177`
**來源**
`AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled`
**警示條件**
完全未設定黃色: AWS Elastic Beanstalk 受管平台更新,包括次要或修補程式層級。
**建議的動作**
在您的 Elastic Beanstalk 環境中啟用受管平台更新,或在微幅或更新層級予以設定。
如需詳細資訊,請參閱[受管平台更新](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html)。
**其他資源**
+ [啟用 Elastic Beanstalk 增強型運作狀態報告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html)
+ [增強型運作狀態報告與監控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Fargate 平台版本不是最新的
**Description**
檢查 Amazon ECS 是否正在執行最新的 AWS Fargate之平台版本。Fargate 平台版本表示 Fargate 任務基礎結構的特定執行期環境。此為核心與容器執行期版本的結合。全新平台版本會隨著執行期環境的演進而發布。例如,是否有核心或作業系統更新、全新功能、錯誤修正或安全性更新。
如需詳細資訊,請參閱 [Fargate 任務維護](https://docs.aws.amazon.com/AmazonECS/latest/userguide/task-maintenance.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz174`
**來源**
`AWS Config Managed Rule: ecs-fargate-latest-platform-version`
**警示條件**
黃色:Amazon ECS 並未於最新版本的 Fargate 平台上執行。
**建議的動作**
更新至最新版 Fargate 平台版本。
如需詳細資訊,請參閱 [Fargate 任務維護](https://docs.aws.amazon.com/AmazonECS/latest/userguide/task-maintenance.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Systems Manager 處於不合規狀態的狀態管理員關聯
**Description**
在執行個體上執行 AWS Systems Manager 關聯之後,檢查關聯合規的狀態是 COMPLIANT 還是 NON\$1COMPLIANT。
State Manager 是一種安全且可擴展的組態管理服務 AWS Systems Manager,可將受管節點和其他 AWS 資源維持在您定義的狀態的程序自動化。狀態管理員關聯是您指派給 AWS 資源的組態。組態會定義您要在資源上維護的狀態,因此可協助您達成目標,例如避免 Amazon EC2 執行個體之間的組態漂移。
如需詳細資訊,請參閱 [AWS Systems Manager 狀態管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz147`
**來源**
`AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check`
**警示條件**
黃色: AWS Systems Manager 關聯合規的狀態為 NON\$1COMPLIANT。
**建議的動作**
驗證「狀態管理員」關聯的狀態,然後採取任何必要的行動讓狀態返回 COMPLIANT。
如需詳細資訊,請參閱[關於狀態管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-about.html)。
**其他資源**
[AWS Systems Manager State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未使用 Amazon CloudWatch Logs 設定 CloudTrail 線索
**Description**
檢查 AWS CloudTrail 線索是否設定為將日誌傳送至 CloudWatch Logs。
使用 CloudWatch Logs 監控 CloudTrail 日誌檔案,以便在重大事件於 AWS CloudTrail中擷取時觸發自動回應。
如需詳細資訊,請參閱[使用 CloudWatch Logs 監控 CloudTrail 日誌檔](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz164`
**來源**
`AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled`
**警示條件**
黃色: AWS CloudTrail 未設定 CloudWatch Logs 整合。
**建議的動作**
設定 CloudTrail 線索將日誌事件傳送至 CloudWatch Logs。
如需詳細資訊,請參閱[建立 CloudTrail 事件的 CloudWatch 警示:範例](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未針對負載平衡器啟用 Elastic Load Balancing 刪除保護
**Description**
檢查負載平衡器是否已開啟刪除保護。
Elastic Load Balancing 支援 Application Load Balancer、Network Load Balancer 和 Gateway Load Balancer 的刪除保護。啟用刪除保護以避免您的負載平衡器遭意外刪除。當您建立負載平衡器時,預設會關閉刪除保護。如果您的負載平衡器是生產環境的一部分,請考慮啟用刪除保護。
存取日誌是 Elastic Load Balancing 的選用功能,預設為停用。對負載平衡器啟動存取日誌之後,Elastic Load Balancing 會擷取日誌並存放在您指定的 Amazon S3 儲存貯體中。
如需詳細資訊,請參閱 [Application Load Balancer 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection)、[Network Load Balancer 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection),或 [Gateway Load Balancers 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz168`
**來源**
`AWS Config Managed Rule: elb-deletion-protection-enabled`
**警示條件**
黃色:未啟用負載平衡器的刪除保護。
**建議的動作**
開啟 Application Load Balancer、Network Load Balancer 和 Gateway Load Balancer 的刪除保護。
如需詳細資訊,請參閱 [Application Load Balancer 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection)、[Network Load Balancer 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection),或 [Gateway Load Balancers 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## RDS 資料庫叢集刪除保護檢查
**Description**
檢查 Amazon RDS 資料庫叢集是否已啟用刪除保護。
當叢集設定了刪除保護時,任何使用者皆無法刪除資料庫。
刪除保護適用於所有 AWS 區域中的 Amazon Aurora 和 RDS for MySQL、RDS for MariaDB、RDS for Oracle、RDS for PostgreSQL 和 RDS for SQL Server 資料庫執行個體。
如需詳細資訊,請參閱 [Aurora 叢集的刪除保護](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DeleteCluster.html#USER_DeletionProtection)。
**檢查 ID**
`c18d2gz160`
**來源**
`AWS Config Managed Rule: rds-cluster-deletion-protection-enabled`
**警示條件**
黃色:您有未啟用刪除保護的 Amazon RDS 資料庫叢集。
**建議的動作**
在您建立 Amazon RDS 資料庫叢集時開啟刪除保護。
您可以僅刪除未啟用刪除保護的叢集。啟用刪除保護功能可增加額外的保護層,並避免因意外或非意外刪除資料庫執行個體而導致資料遺失。刪除保護還有助於滿足法規遵循要求,確保業務連續性。
如需詳細資訊,請參閱 [Aurora 叢集的刪除保護](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DeleteCluster.html#USER_DeletionProtection)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**其他資源**
[Aurora 叢集的刪除保護](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DeleteCluster.html#USER_DeletionProtection)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## RDS 資料庫執行個體自動微幅版本升級檢查
**Description**
檢查 Amazon RDS 資料庫執行個體是否已設定自動微幅版本升級。
為 Amazon RDS 執行個體開啟自動微幅版本升級,以確保資料庫始終執行最新的安全且穩定的版本。微幅升級提供安全性更新、錯誤修正、效能改善,並維持與現有應用程式的相容性。
如需詳細資訊,請參閱[升級資料庫執行個體引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html#USER_UpgradeDBInstance.Upgrading.AutoMinorVersionUpgrades.)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz155`
**來源**
`AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled`
**警示條件**
黃色:RDS 資料庫執行個體未開啟自動微幅版本升級。
**建議的動作**
在建立 Amazon RDS 資料庫執行個體時,開啟自動微幅版本升級。
當您開啟微幅版本升級時,若資料庫版本執行的資料庫引擎微幅版本低於[手動升級引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html#USER_UpgradeDBInstance.Upgrading.AutoMinorVersionUpgrades),則資料庫版本會自動升級。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
# 變更 的日誌 AWS Trusted Advisor
如需 Trusted Advisor 檢查的最新變更,請參閱下列主題。
**注意**
如果您使用 Trusted Advisor 主控台或 AWS 支援 API,取代的檢查將不會出現在檢查結果中。如果您使用已棄用的檢查,例如在 AWS 支援 API 操作或程式碼中指定檢查 ID,則會收到 API 呼叫錯誤。移除這些檢查以避免錯誤。
如需可用檢查的詳細資訊,請參閱「[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)」。
| 變更日期 | 檢查名稱 | 變更描述 |
| --- | --- | --- |
| 2026 年 2 月 19 日 | 新的[閒置 NAT 閘道](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-nat-gateways) | 新增檢查,以識別可能是成本最佳化候選項目的閒置或未充分利用 NAT 閘道。 |
| 2026 年 1 月 9 日 | 已棄用 5 成本最佳化 Trusted Advisor 檢查 | 下列檢查已棄用: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-trusted-advisor-change-log.html) |
| 2025 年 12 月 18 日 | 已更新 [Amazon S3 儲存貯體版本控制](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) | 新增了新的**提醒條件**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-trusted-advisor-change-log.html) |
| 2025 年 12 月 17 日 | 已更新 [Amazon S3 儲存貯體許可](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) | 已更新**提醒條件**區段。 |
| 2025 年 11 月 21 日 | 已更新 [Application Load Balancer 安全群組](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#alb-security-group) | 更新 Application Load Balancer 安全群組提醒和建議。 |
| 2025 年 11 月 17 日 | [AWS STS 跨 AWS 區域 檢查描述更新全域端點用量](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#sts-global-endpoint) | 更新了跨 AWS 區域 檢查描述的 AWS STS 全域端點用量,以釐清何時重新整理檢查結果。 |
| 2025 年 10 月 15 日 | 已更新多個檢查描述 | 已將備註新增至多個檢查描述,以指出檢查會報告由條件標記的所有資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。 |
| 2025 年 10 月 10 日 | 已更新檢查參考 | 更新檢查參考以顯示所有可用的檢查。 |
| 2025 年 9 月 11 日 | [L4dfs2Q4C5:使用已棄用執行時間的 AWS Lambda 函數](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#aws-lambda-functions-deprecated-runtimes) | 更新**黃色**提醒條件,指出包含至少 180 個內取代的執行時間。 |
| 2025 年 8 月 19 日 | [Pfx0RwqBli:Amazon S3 儲存貯體許可](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) | 警示條件已更新: *Trusted Advisor 沒有檢查政策或 ACL 的許可,或者政策或 ACL 無法評估,因為其他原因*從**黃色**變更為**紅色**。 |
| 2025 年 7 月 22 日 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-trusted-advisor-change-log.html) | 這些檢查已棄用。 |
| 2025 年 7 月 3 日 | [Pfx0RwqBli:Amazon S3 儲存貯體許可](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) | **警示條件**已更新,以反映所有黃色和紅色條件。 |
| 2025 年 7 月 3 日 | [c1dfprch15:具有 Ubuntu LTS 結束標準支援的 Amazon EC2 執行個體](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ec2-instances-ubuntu-lts-end-of-standard-support) | 更新備註,指出此檢查至少每天重新整理一次。 |
| 2025 年 7 月 2 日 | [c1dvkm4z6b:Amazon ECS AWSLogs 驅動程式處於封鎖模式](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ecs-awslogs-driver-blockingmode) | Amazon ECS 將 awslogs 驅動程式記錄組態參數模式的預設設定從 `blocking`變更為 `non-blocking`。已更新黃色狀態描述,以反映此變更。 |
| 2025 年 7 月 2 日 | [7DAFEmoDos:根帳戶的 MFA](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#mfa-root-account) | 新增資訊,指出可以集中刪除成員帳戶根使用者憑證,無需管理根使用者憑證上的 MFA。 |
| 2025 年 6 月 9 日 | [c1z7kmr17n:Amazon Aurora 資料庫叢集儲存的成本最佳化建議](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aurora-cost-opt-db-cluster-storage) | 新檢查 |
| 2025 年 6 月 9 日 | [c15m0mgld3: AWS STS 全域端點跨 AWS 區域](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#sts-global-endpoint) | 更新的檢查:此檢查現在適用於所有 AWS 支援 計劃。 |
| 2025 年 6 月 2 日 | [c15m0mgld3: AWS STS 全域端點跨 AWS 區域](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#sts-global-endpoint) | 新檢查 |
| 2025 年 5 月 30 日 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-trusted-advisor-change-log.html) | 新的成本最佳化中樞檢查 |
| 2025 年 4 月 30 日 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-trusted-advisor-change-log.html) | 新增備註,指出此檢查適用於傳統 Amazon CloudFront 分佈。 |
| 2025 年 4 月 30 日 | [N415c450f2:CloudFront 標頭轉送和快取命中率](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#cloudfront-forwarded-headers) | 新增備註,指出此檢查適用於傳統 Amazon CloudFront 分佈。 |
| 2025 年 4 月 2 日 | c1dfprch02:Amazon EFS 輸送量模式最佳化 | 此檢查的描述已變更。如需詳細資訊,請參閱[使用 Microsoft Windows Server 終止支援的 Amazon EC2 執行個體](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#ec2-instances-with-windows-server-end-of-support)。 |
| 2025 年 4 月 2 日 | Qsdfp3A4L4:具有 Microsoft Windows Server 終止支援的 Amazon EC2 執行個體 | 此檢查的描述已變更。如需詳細資訊,請參閱 [Amazon EFS 輸送量模式最佳化](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#amazon-efs-throughput-mode-optimization)。 |
## 較舊的更新
下列 AWS Security Hub CSPM 檢查已棄用:
| 檢查名稱 | 檢查 ID |
| --- | --- |
| S3.10 - 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態 | `Hs4Ma3G211` |
| S3.11 - S3 一般用途儲存貯體應啟用事件通知 | `Hs4Ma3G212` |
| CodeBuild.5 - CodeBuild 專案環境不應啟用特權模式 | `Hs4Ma3G218` |
| CloudFormation.1 - CloudFormation 堆疊應與 Amazon Simple Notification Service (SNS) 整合 | `Hs4Ma3G245` |
| SNS.2 - 應針對傳送至主題的通知訊息啟用傳遞狀態記錄 | `Hs4Ma3G263` |
| Athena.1 - Athena 工作群組應靜態加密 | `Hs4Ma3G294` |
## 新檢查:Amazon RDS 持續備份未啟用
Trusted Advisor 已於 2024 年 12 月 23 日新增下列檢查。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| Amazon RDS 持續備份未啟用 | 容錯能力 | `44fde09ab5` |
檢查 Amazon RDS 執行個體是否已啟用使用 Amazon RDS 或 的自動備份 AWS Backup。持續備份可降低意外資料遺失的風險,並允許point-in-time復原。
如需詳細資訊,請參閱[Amazon RDS 持續備份未啟用](fault-tolerance-checks.md#amazon-rds-cont-backups)。
## 新檢查: AWS CloudTrail 管理事件記錄
Trusted Advisor 已於 2024 年 12 月 23 日新增下列檢查。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| AWS CloudTrail 管理事件記錄 | 安全 | `c25hn9x03v` |
檢查您對 的使用 AWS CloudTrail。
如需詳細資訊,請參閱[AWS CloudTrail 管理事件記錄](security-checks.md#aws-cloudtrail-man-events-log)。
## 更新 Auto Scaling 群組資源檢查
Trusted Advisor 已於 2024 年 12 月 23 日更新下列檢查。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| Auto Scaling 群組資源 | 容錯能力 | `8CNsSllI5v` |
此檢查的說明已更新,以包含啟動組態和啟動範本。
`Red: A launch template is associated with a deleted Amazon Machine Image (AMI).` 已新增新的提醒條件。
如需詳細資訊,請參閱[Auto Scaling 群組資源](fault-tolerance-checks.md#auto-scaling-group-resources)。
## 更新 IAM Access Analyzer 外部存取檢查
Trusted Advisor 已於 2024 年 12 月 23 日更新下列檢查。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| IAM Access Analyzer 外部存取 | 安全 | `07602fcad6` |
此檢查的描述已更新,表示其分析帳戶層級的 IAM 存取權。如需詳細資訊,請參閱[IAM Access Analyzer 外部存取](security-checks.md#iam-access-analyzer-external-access)。
## 新增 1 個新檢查
Trusted Advisor 已於 2024 年 11 月 22 日新增 1 個新檢查:
+ 8604e947f2 - [Application Load Balancer 安全群組](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#alb-security-group)
## 已更新 3 項檢查
Trusted Advisor 已於 2024 年 11 月 7 日更新 3 項檢查:
+ b92b83d667 - [ELB 目標不平衡](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-target-imbalance)
+ 8CNsSllI5v - [Auto Scaling 群組資源](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#auto-scaling-group-resources)
+ wuy7G1zxql - [Amazon EC2 可用區域平衡](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-availability-zone-balance)
## 新增 4 個檢查
Trusted Advisor 已於 2024 年 10 月 11 日新增 4 項新檢查:
+ 07602fcad6 - IAM Access Analyzer - 外部存取
+ 528d6f5ee7 - GWLB - 端點可用區域
+ c2vlfg0jp6 - 非作用中 VPC 介面端點
+ c2vlfg0k35 - 非作用中閘道Load Balancer端點
## 已更新 3 項檢查
Trusted Advisor 已於 2024 年 10 月 2 日更新 3 項檢查:
+ 檢查 ID 7040ea389a 從成本最佳化支柱移至容錯支柱
+ 已更新檢查 ID 7DAFEmoDos
+ 已更新檢查 ID Cmsvnj8db2
## 新增 9 個新檢查
Trusted Advisor 已於 2024 年 8 月 23 日新增 9 項新檢查:
+ c2vlfg0p86 - 【IAM】 - SAML 2.0 身分提供者
+ 7040ea389a - 網路防火牆端點跨可用區域資料傳輸
+ c2vlfg0bfw - 低使用率網路防火牆
+ c2vlfg0gqd - 網路防火牆異地同步備份
+ c2vlfg0p1w - Application Load Balancer 目標群組加密通訊協定
+ c2vlfg022t - 【NAT Gateway】 - 未充分利用的資源
+ c243hjzrhn - AWS Outposts 單一機架部署
+ b92b83d667 - ELB 目標不平衡
+ 90046ff5b5 - MSK 可用性僅限於兩個區域
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 已更新 1 個安全檢查並新增 1 個安全檢查
Trusted Advisor 已於 2024 年 8 月 22 日更新 1 項卓越營運檢查:
+ c1fd6b96l4
Trusted Advisor 已於 2024 年 8 月 22 日新增 1 次安全檢查:
+ c2vlfg0f4h
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 已更新 6 個安全檢查
Trusted Advisor 已於 2024 年 8 月 20 日更新 6 項安全檢查:
+ nNauJisYIT
+ c9D319e7sG
+ a2sEc6ILx
+ HCP4007jGY
+ 1iG5NDGVre
+ Yw2K9puPzl
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 已更新 1 個容錯能力檢查
Trusted Advisor 已於 2024 年 8 月 12 日更新 1 個容錯能力檢查和 1 個安全性:
+ VPN 通道備援
+ 需要 Amazon RDS 引擎次要版本升級
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 已更新 9 項檢查
Trusted Advisor 已於 2024 年 7 月 21 日更新 9 項檢查:
+ 7qGXsKIUw
+ ZRxQlPsb6c
+ N425c450f2
+ 7DAFEmoDos
+ Pfx0RwqBli
+ H7IgTzjTYb
+ C056F80cR3
+ Yw2K9puPzl
+ xSqX82fQu
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 已移除 5 個檢查並新增 1 個檢查
Trusted Advisor 已於 2024 年 5 月 15 日廢除 3 次容錯檢查、1 次 Perfomance 檢查和 1 次安全性檢查:
+ IAM 使用情形
+ ELB 跨區域負載平衡
+ 利用率過高的 Amazon EBS 磁帶磁碟區
+ 大量 EC2 安全群組規則套用至執行個體
+ EC2 安全群組中有大量規則
Trusted Advisor 已於 2024 年 5 月 15 日新增 1 個新的安全檢查:
+ 已啟用 Amazon S3 伺服器存取日誌
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 已移除容錯能力檢查
Trusted Advisor 已於 2024 年 4 月 25 日廢除 3 故障容錯能力檢查:
+ Direct Connect 連線備援
+ Direct Connect 位置備援
+ Direct Connect 虛擬介面備援
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 新的容錯能力檢查
Trusted Advisor 已於 2024 年 2 月 29 日新增 1 個容錯能力檢查:
+ NLB - 私有子網路中的面向網際網路的資源
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 更新容錯能力和安全檢查
Trusted Advisor 在 2024 年 3 月 28 日新增了 1 個新的容錯能力檢查,並修訂了 1 個現有的容錯能力和 1 個安全檢查:
+ 新增 AWS Resilience Hub 的應用程式元件檢查
+ 更新啟用 AWS Lambda VPC 的函數,無需多可用區域備援
+ 使用已取代的執行時間更新 AWS Lambda 函數
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 新的容錯能力檢查
Trusted Advisor 已於 2024 年 1 月 31 日新增 1 個容錯能力檢查:
+ Direct Connect 位置彈性
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 更新容錯能力檢查
Trusted Advisor 已於 2024 年 1 月 8 日修訂 1 容錯能力檢查:
+ Amazon RDS innodb\$1flush\$1log\$1at\$1trx\$1commit 參數不是 1
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 已更新安全性檢查
Trusted Advisor 已於 2023 年 12 月 21 日修訂 1 安全檢查:
+ AWS Lambda 使用已棄用執行時間的函數
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 新的安全性和效能檢查
Trusted Advisor 已於 2023 年 12 月 20 日新增 2 項新的安全檢查和 2 項新的效能檢查:
+ 未使用data-in-transit加密的 Amazon EFS 用戶端
+ 為讀取工作負載佈建不足的 Amazon Aurora 資料庫叢集
+ 針對系統容量佈建不足的 Amazon RDS 執行個體
+ 具有 Ubuntu LTS 終止標準支援的 Amazon EC2 執行個體
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 新的安全檢查
Trusted Advisor 在 2023 年 12 月 15 日新增了 1 個新的安全檢查:
+ Amazon Route 53 與指向 S3 儲存貯體的 CNAME 記錄不相符
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 新的容錯能力和成本最佳化檢查
Trusted Advisor 已於 2023 年 12 月 7 日新增 2 項新的容錯能力檢查和 1 項新的成本最佳化檢查:
+ Amazon DocumentDB 單一可用區域叢集
+ Amazon S3 不完整的分段上傳中止組態
+ Amazon ECS AWS Logs 驅動程式處於封鎖模式
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 新的容錯能力檢查
Trusted Advisor 在 2023 年 11 月 17 日新增 3 個新的容錯能力檢查:
+ ALB 多可用區域
+ NLB 多可用區域
+ 多個 AZs 中的 VPC 介面端點網路介面
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## Amazon RDS 的新檢查
Trusted Advisor 已於 2023 年 11 月 15 日新增 37 項 Amazon RDS 檢查。
如需更多資訊,請參閱[AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
## 新的 AWS Trusted Advisor API
AWS Trusted Advisor 推出新的 APIs,可讓您以程式設計方式存取 Trusted Advisor 最佳實務檢查、建議和優先建議。 Trusted Advisor APIs 可讓您以程式設計方式與您偏好的操作工具整合 Trusted Advisor ,以大規模自動化和最佳化工作負載。新 APIs 可供 Business、Enterprise On-Ramp 或 Enterprise Support 客戶使用,可讓您存取 帳戶或付款人帳戶內所有連結帳戶 Trusted Advisor 的建議。具有管理或委派管理員帳戶存取權的企業支援客戶,可以另外以程式設計方式擷取整個組織的優先建議。
新的 Trusted Advisor APIs 將取代先前透過 AWS 支援 API (SAPI) 提供的 3 個功能。SAPI 將繼續提供案例和其他支援資訊。
Trusted Advisor APIs通常在美國東部 (俄亥俄)、美國東部 (維吉尼亞北部)、美國西部 (奧勒岡)、亞太區域 (首爾)、亞太區域 (雪梨) 和歐洲 (愛爾蘭) 區域提供。
若要進一步了解,請造訪 [AWS Trusted Advisor API 頁面](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor-api.html)。
## Trusted Advisor 檢查移除
Trusted Advisor 已於 2023 年 11 月 9 日移除下列檢查。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| EBS 磁碟區應連接至 EC2 執行個體 | 安全 | `Hs4Ma3G119` |
| S3 儲存貯體應該啟用伺服器端加密 | 安全 | `Hs4Ma3G167` |
| CloudFront 分佈應該啟用原始存取身分 | 安全 | `Hs4Ma3G195` |
## 將 AWS Config 檢查整合到 Trusted Advisor
Trusted Advisor AWS Config 已於 2023 年 10 月 30 日新增 64 項由 提供技術支援的新檢查。
如需更多資訊,請參閱[檢視由 提供的 AWS Trusted Advisor 檢查 AWS Config](aws-config-integration-with-ta.md)。
## 新的容錯能力檢查
Trusted Advisor 已於 2023 年 10 月 12 日新增下列檢查。
+ Amazon RDS ReplicaLag
+ Amazon RDS FreeStorageSpace
+ Amazon RDS DiskQueueDepth
+ Amazon Route 53 Resolver 端點可用區域備援
+ Auto Scaling 在子網路中的可用 IP
+ Amazon MSK 代理程式託管過多分割區
如需詳細資訊,請參閱 [容錯能力](fault-tolerance-checks.md) 類別。
## 全新服務限制檢查
Trusted Advisor 已於 2023 年 8 月 17 日新增下列檢查。
+ Lambda 程式碼儲存用量
如需詳細資訊,請參閱 [服務限制](service-limits.md) 類別。
## 新的容錯能力檢查
Trusted Advisor 已於 2023 年 8 月 3 日新增下列檢查。
+ AWS Lambda 失敗時事件目的地
如需詳細資訊,請參閱 [容錯能力](fault-tolerance-checks.md) 類別。
## 全新容錯能力和效能檢查
Trusted Advisor 已於 2023 年 6 月 1 日新增下列檢查。
+ Amazon EFS 無掛載目標備援
+ Amazon EFS 輸送量模式最佳化
+ ActiveMQ 可用區域備援
+ RabbitMQ 可用區域備援
如需詳細資訊,請參閱 [容錯能力](fault-tolerance-checks.md) 類別和 [效能](performance-checks.md) 類別。
## 新的容錯能力檢查
Trusted Advisor 已於 2023 年 5 月 16 日新增下列檢查。
+ NAT Gateway AZ 獨立性
+ 單一 AZ 應用程式檢查
如需詳細資訊,請參閱 [容錯能力](fault-tolerance-checks.md) 類別。
## 新的容錯能力檢查
Trusted Advisor 已於 2023 年 4 月 27 日新增下列檢查。
+ AWS 區域 Incident Manager 複寫集中的 數目
+ AWS Resilience Hub 評估存留期
如需詳細資訊,請參閱 [容錯能力](fault-tolerance-checks.md) 類別。
## Amazon ECS 容錯檢查的區域擴展
Trusted Advisor 已於 2023 年 4 月 27 日將下列檢查擴展至其他區域。Amazon ECS 的 Trusted Advisor 檢查現在可在 Amazon ECS 正式推出的所有區域中使用。
+ Amazon ECS 服務使用單一 AZ
+ Amazon ECS Multi-AZ 放置策略
區域拓展至非洲 (開普敦)、亞太區域 (香港)、亞太區域 (海德拉巴)、亞太區域 (雅加達)、亞太區域 (墨爾本)、歐洲 (米蘭)、歐洲 (西班牙)、歐洲 (蘇黎世)、中東 (巴林)、中東 (阿拉伯聯合大公國)。
## 新的容錯能力檢查
Trusted Advisor 已於 2023 年 3 月 30 日新增下列檢查。
+ Amazon ECS 服務使用單一 AZ
+ Amazon ECS Multi-AZ 放置策略
如需詳細資訊,請參閱 [容錯能力](fault-tolerance-checks.md) 類別。
## 新的容錯能力檢查
Trusted Advisor 已於 2022 年 12 月 15 日新增下列檢查。
+ AWS CloudHSM 在單一 AZ 中執行 HSM 執行個體的 叢集
+ Amazon ElastiCache Multi-AZ 叢集
+ Amazon MemoryDB Multi-AZ 叢集
若要在 中接收 Trusted Advisor 您 AWS CloudHSM、ElastiCache 和 MemoryDB 叢集的結果,您必須在可用區域中擁有叢集。如需詳細資訊,請參閱下列 文件:
+ [AWS CloudHSM 使用者指南](https://docs.aws.amazon.com/cloudhsm/latest/userguide/)
+ [Amazon MemoryDB 開發人員指南](https://docs.aws.amazon.com/memorydb/latest/devguide)
Trusted Advisor 已於 2022 年 12 月 15 日更新下列檢查資訊。
+ AWS Resilience Hub 違反政策 – 應用程式名稱已更新為應用程式名稱
+ AWS Resilience Hub 彈性分數 – 應用程式名稱和應用程式彈性分數已更新為應用程式名稱和應用程式彈性分數
如需詳細資訊,請參閱 [容錯能力](fault-tolerance-checks.md) 類別。
## 與 Trusted Advisor 整合的更新 AWS Security Hub CSPM
Trusted Advisor 已於 2022 年 11 月 17 日進行下列更新。
如果您停用 Security Hub CSPM 或 AWS Config 的 AWS 區域, Trusted Advisor 現在會在 7-9 AWS 區域 天內移除該 的控制問題清單。先前,從 移除 Security Hub CSPM 資料的時間範圍 Trusted Advisor 為 90 天。
如需詳細資訊,請參閱 [疑難排解](security-hub-controls-with-trusted-advisor.md#troubleshooting-security-hub-integration) 中的下列章節:
+ [我已關閉 Security Hub CSPM 或在 AWS Config 區域中](security-hub-controls-with-trusted-advisor.md#disable-security-hub-regions)
+ [我的控制項會封存在 Security Hub CSPM 中,但我仍會在 中看到問題清單 Trusted Advisor](security-hub-controls-with-trusted-advisor.md#archived-resource-still-appears-trusted-advisor)
## 新的容錯能力檢查 AWS Resilience Hub
Trusted Advisor 已於 2022 年 11 月 17 日新增下列檢查。
+ AWS Resilience Hub 已違反政策
+ AWS Resilience Hub 彈性分數
您可以使用這些檢查來檢視應用程式的最新彈性政策狀態和彈性分數。Resilience Hub 可讓您在一個集中的位置,定義、追蹤和管理應用程式的彈性和可用性。
若要在 中接收 Trusted Advisor Resilience Hub 應用程式的結果,您必須部署 AWS 應用程式,並使用 Resilience Hub 追蹤應用程式的彈性狀態。如需詳細資訊,請參閱[「AWS Resilience Hub 使用者指南」](https://docs.aws.amazon.com/resilience-hub/latest/userguide)。
若要在 中接收 Trusted Advisor ElastiCache 和 MemoryDB 叢集的結果,您必須在可用區域中擁有叢集。如需詳細資訊,請參閱下列 文件:
[Amazon MemoryDB 開發人員指南](https://docs.aws.amazon.com/memorydb/latest/devguide)
如需詳細資訊,請參閱 [容錯能力](fault-tolerance-checks.md) 類別。
## 更新至 Trusted Advisor 主控台
Trusted Advisor 已於 2022 年 11 月 16 日新增下列變更。
主控台中的 Trusted Advisor 儀表板現在是 Trusted Advisor 建議。 Trusted Advisor Recommendations 頁面仍會顯示檢查結果和您的 AWS 帳戶每種類別的可用檢查。
此名稱變更只會更新 Trusted Advisor 主控台。您可以照常繼續使用 Trusted Advisor 主控台和 支援 API 中的 Trusted Advisor 操作。
如需詳細資訊,請參閱[開始使用 Trusted Advisor 建議](get-started-with-aws-trusted-advisor.md)。
## Amazon EC2 的新檢查
Trusted Advisor 已於 2022 年 9 月 1 日新增下列檢查。
+ Microsoft Windows Server 終止支援的 Amazon EC2 執行個體
如需詳細資訊,請參閱 [安全](security-checks.md) 類別。
## 已將 Security Hub CSPM 檢查新增至 Trusted Advisor
截至 2022 年 6 月 23 日, Trusted Advisor 僅支援截至 2022 年 4 月 7 日的 Security Hub CSPM 控制項。此版本支援 AWS 基礎安全最佳實務安全標準中的所有控制項,但類別:復原 > 恢復能力中的控制項除外。如需詳細資訊,請參閱[在 中檢視 AWS Security Hub CSPM 控制項 AWS Trusted Advisor](security-hub-controls-with-trusted-advisor.md)。
如需支援的控制項清單,請參閱《AWS Security Hub CSPM 使用者指南》**中的 [AWS 基礎安全最佳實務控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html)。
## 新增來自 的檢查 AWS Compute Optimizer
Trusted Advisor 已於 2022 年 5 月 4 日新增下列檢查。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| Amazon EBS 過度佈建的磁碟區 | 成本最佳化 | `COr6dfpM03` |
| Amazon EBS 佈建不足的磁碟區 | 效能 | `COr6dfpM04` |
| AWS Lambda 記憶體大小過度佈建的函數 | 成本最佳化 | `COr6dfpM05` |
| AWS Lambda 記憶體大小的佈建不足函數 | 效能 | `COr6dfpM06` |
您必須選擇加入 AWS 帳戶 Compute Optimizer,這些檢查才能從您的 Lambda 和 Amazon EBS 資源接收資料。如需詳細資訊,請參閱[選擇加入 AWS Compute Optimizer Trusted Advisor 檢查](compute-optimizer-with-trusted-advisor.md)。
## 存取金鑰已暴露的檢查更新
Trusted Advisor 已於 2022 年 4 月 25 日更新下列檢查。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| 存取金鑰已暴露 | 安全 | `12Fnkpl8Y5` |
Trusted Advisor 現在會自動為您重新整理此檢查。此檢查無法從 Trusted Advisor 主控台或 AWS 支援 API 手動重新整理。如果您的應用程式或程式碼針對您的 重新整理此檢查 AWS 帳戶,建議您將其更新為不再重新整理此檢查。否則,您將收到 `InvalidParameterValue` 錯誤。
在此更新之前排除的任何存取金鑰將不再受到排除,並將顯示為受影響的資源。您無法從檢查結果中排除存取金鑰。如需詳細資訊,請參閱[存取金鑰已暴露](security-checks.md#exposed-access-keys)。
**注意**
如果您在 2022 年 4 月 25 日 AWS 帳戶 之後建立 ,即使未公開的存取金鑰,公開存取金鑰的檢查結果也會一開始顯示灰色圖示 (![\[Circular icon with a sad face emoticon, representing negative feedback or dissatisfaction.\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/gray.png))。這表示 Trusted Advisor 尚未識別出檢查有任何變更。
如果 Trusted Advisor 識別有風險的資源,狀態會變更為動作建議的圖示 (![\[Red circle with white X inside, indicating an error or cancellation symbol.\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/red.png))。修正或刪除資源後,檢查結果會顯示核取記號圖示 (![\[Green checkmark icon indicating success or approval.\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/green.png))。
## 已更新 的檢查 AWS Direct Connect
Trusted Advisor 已於 2022 年 3 月 29 日更新下列檢查。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| AWS Direct Connect 連線備援 | 容錯能力 | `0t121N1Ty3` |
| AWS Direct Connect 位置備援 | 容錯能力 | `8M012Ph3U5` |
| AWS Direct Connect 虛擬介面備援 | 容錯能力 | `4g3Nt5M1Th` |
+ **Region (區域)** 欄的值現在顯示 AWS 區域 程式碼而非全名。例如,美國東部 (維吉尼亞北部) 中的資源現在將有 `us-east-1` 值。
+ **Time Stamp (時間戳記)** 欄的值現在會以 RFC 3339 格式顯示,例如 `2022-03-30T01:02:27.000Z`。
+ 未偵測到任何問題的資源現在將顯示在檢查資料表中。這些資源的旁邊將有一個核取記號圖示 (![\[Green checkmark icon indicating success or approval.\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/green.png))。
先前,只有 Trusted Advisor 建議調查的資源會出現在 資料表中。這些資源的旁邊有一個警告圖示 (![\[Warning triangle symbol with an exclamation mark inside.\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/images/warning.png))。
## AWS Security Hub CSPM 新增到 AWS Trusted Advisor 主控台的控制項
AWS Trusted Advisor 已於 2022 年 1 月 18 日將 111 Security Hub CSPM 控制項新增至**安全**類別。
您可以從 AWS 基礎安全最佳實務安全標準檢視 Security Hub CSPM 控制項的問題清單。此整合不包括具有**類別:復原 > 彈性**的控制項。
如需使用此功能的詳細資訊,請參閱「[在 中檢視 AWS Security Hub CSPM 控制項 AWS Trusted Advisor](security-hub-controls-with-trusted-advisor.md)」。
## Amazon EC2 和 AWS Well-Architected 的新檢查
Trusted Advisor 已於 2021 年 12 月 20 日新增下列檢查。
+ Microsoft SQL 伺服器的 Amazon EC2 執行個體合併
+ Microsoft SQL 伺服器過度佈建的 Amazon EC2 執行個體
+ Microsoft SQL 伺服器終止支援的 Amazon EC2 執行個體
+ AWS Well-Architected 成本最佳化的高風險問題
+ AWS Well-Architected 效能的高風險問題
+ AWS Well-Architected 安全性的高風險問題
+ AWS Well-Architected 可靠性的高風險問題
如需詳細資訊,請參閱 [AWS Trusted Advisor 檢查參考](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)。
## 更新 Amazon OpenSearch Service 的檢查名稱
Trusted Advisor 已於 2021 年 9 月 8 日更新Amazon OpenSearch Service Reserved Instance Optimization檢查的名稱。
檢查建議、類別和 ID 相同。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| Amazon OpenSearch Service 預留執行個體優化 | 成本最佳化 | `7ujm6yhn5t` |
**注意**
如果您將 Trusted Advisor 用於 Amazon CloudWatch 指標,則此檢查的指標名稱也會更新。如需詳細資訊,請參閱[建立 Amazon CloudWatch 警示以監控 AWS Trusted Advisor 指標](cloudwatch-metrics-ta.md)。
## 新增適用於 Amazon Elastic Block Store 磁碟區儲存的檢查
Trusted Advisor 已於 2021 年 6 月 8 日新增下列檢查。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| EBS 一般用途 SSD (gp3) 磁碟區儲存 | 服務限額 | `dH7RR0l6J3` |
| EBS 佈建 IOPS SSD (io2) 磁碟區儲存 | 服務限制 | `gI7MM0l7J2` |
## 新增 的檢查 AWS Lambda
Trusted Advisor 已於 2021 年 3 月 8 日新增下列檢查。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| AWS Lambda 逾時過多的函數 | 成本最佳化 | `L4dfs2Q3C3` |
| AWS Lambda 錯誤率較高的函數 | 成本最佳化 | `L4dfs2Q3C2` |
| AWS Lambda 使用已棄用執行時間的函數 | 安全 | `L4dfs2Q4C5` |
| AWS Lambda 無異地同步備份備援的已啟用 VPC 的函數 | 容錯能力 | `L4dfs2Q4C6` |
如需如何將這些檢查與 Lambda 搭配使用的詳細資訊,請參閱《 *AWS Lambda 開發人員指南*》中的[檢視建議的範例 AWS Trusted Advisor 工作流程](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-servicemap.html#monitoring-ta-example)。
## Trusted Advisor 檢查移除
Trusted Advisor AWS GovCloud (US) Region 已於 2021 年 3 月 8 日移除 的下列檢查。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| EC2 彈性 IP 地址 | 服務限制 | `aW9HH0l8J6` |
## 更新適用於 Amazon Elastic Block Store 的檢查
Trusted Advisor 已於 2021 年 3 月 5 日將下列檢查的 Amazon EBS 磁碟區單位從 gibibyte (GiB) 更新為 tebibyte (TiB)。
**注意**
如果您將 Trusted Advisor 用於 Amazon CloudWatch 指標,這五個檢查的指標名稱也會更新。如需詳細資訊,請參閱[建立 Amazon CloudWatch 警示以監控 AWS Trusted Advisor 指標](cloudwatch-metrics-ta.md)。
| 檢查名稱 | 檢查類別 | 檢查 ID | ServiceLimit 的更新版 CloudWatch 指標 |
| --- | --- | --- | --- |
| EBS 冷 HDD (sc1) 磁碟區儲存 | 服務限制 | `gH5CC0e3J9` | 冷 HDD (sc1) 磁碟區儲存 (TiB) |
| EBS 一般用途 SSD (gp2) 磁碟區儲存 | 服務限制 | `dH7RR0l6J9` | 一般用途 SSD (gp2) 磁碟區儲存 (TiB) |
| EBS 磁帶 (標準) 磁碟區儲存 | 服務限制 | `cG7HH0l7J9` | 磁帶 (標準) 磁碟區儲存 (TiB) |
| EBS 佈建 IOPS SSD (io1) 磁碟區儲存 | 服務限制 | `gI7MM0l7J9` | 佈建 IOPS (SSD) 儲存 (TiB) |
| EBS 輸送量最佳化 HDD (st1) 磁碟區儲存 | 服務限制 | `wH7DD0l3J9` | 輸送量最佳化 HDD (st1) 磁碟區儲存 (TiB) |
## Trusted Advisor 檢查移除
**注意**
Trusted Advisor 已於 2020 年 11 月 18 日移除下列檢查。
****
| 2020 年 11 月 18 日已移除檢查 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| 適用於 EC2 Windows 執行個體的 EC2Config 服務 | 容錯能力 | `V77iOLlBqz` |
| 適用於 EC2 Windows 執行個體的 ENA 驅動程式版本 | 容錯能力 | `TyfdMXG69d` |
| 適用於 EC2 Windows 執行個體的 NVMe 驅動程式版本 | 容錯能力 | `yHAGQJV9K5` |
| 適用於 EC2 Windows 執行個體的 PV 驅動程式版本 | 容錯能力 | `Wnwm9Il5bG` |
| EBS 作用中磁碟區 | 服務限制 | `fH7LL0l7J9` |
Amazon Elastic Block Store 不再針對您可以佈建的磁碟區數量限制配額。
您可以監控 Amazon EC2 執行個體,並使用 [AWS Systems Manager Distributor](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html) 或其他第三方工具,或撰寫您自己的指令碼來傳回 Windows Management Instrumentation (WMI) 的驅動程式資訊。
## Trusted Advisor 檢查移除
Trusted Advisor 已於 2020 年 2 月 18 日移除下列檢查。
| 檢查名稱 | 檢查類別 | 檢查 ID |
| --- | --- | --- |
| 服務配額 | 效能 | `eW7HH0l7J9` |