": {
...
}
}
```
+ **ResourceType**:此金鑰必須是下列其中一個支援的字串。此 JSON 物件中的組態只會與指定的 AWS 資源類型相關聯。支援的資源類型:
```
AWS::EC2::Instance
AWS::EC2::Instance::Disk
AWS::RDS::DBInstance
AWS::RDS::DBCluster
AWS::Elasticsearch::Domain
AWS::OpenSearch::Domain
AWS::Redshift::Cluster
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::ElasticLoadBalancingV2::LoadBalancer::TargetGroup
AWS::ElasticLoadBalancing::LoadBalancer
AWS::FSx::FileSystem::ONTAP
AWS::FSx::FileSystem::ONTAP::Volume
AWS::FSx::FileSystem::Windows
AWS::EFS::FileSystem
AWS::EC2::NatGateway
AWS::EC2::VPNConnection
```
+ **ConfigurationID**:此金鑰在設定檔中必須是唯一的,並唯一命名下列組態區塊。如果相同 **ResourceType** 區塊中的兩個組態區塊具有相同的 **ConfigurationID**,則設定檔中顯示的最新組態區塊會生效。如果您在自訂設定檔中指定與預設設定檔中指定的**ConfigurationID**,則自訂設定檔中定義的組態區塊會生效。
+ **已啟用**:(選用, default=true) 指定組態區塊是否生效。將此設定為 false 以停用組態區塊。停用的組態區塊的行為就好像在設定檔中不存在一樣。
+ **標籤**:指定此警示定義套用的標籤。具有此標籤索引鍵和值的任何資源 (適當資源類型) 都會使用指定的定義建立 CloudWatch 警示。此欄位是具有下列欄位的 JSON 物件:
+ **金鑰**:要比對之標籤的金鑰。請注意,如果您使用 Resource Tagger 將標籤套用至資源,則標籤的金鑰一律會以**ams:rt:** 開頭。
+ **值**:要比對的標籤值。
+ **AlarmDefinition**:定義要建立的警示。這是 JSON 物件,其欄位會依原狀傳遞至 CloudWatch `PutMetricAlarm` API 呼叫 (虛擬參數除外;如需詳細資訊,請參閱 [加速組態設定檔:虛擬參數替換](acc-mem-config-doc-sub.md))。如需哪些欄位是必要欄位的詳細資訊,請參閱 [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html) 文件。
或
**CompositeAlarmDefinition**:定義要建立的複合警示。當您建立複合警示時,您可以指定警示的規則表達式,該規則表達式會將您建立的其他警示的警示狀態納入考量。這是 JSON 物件,其欄位會依原狀傳遞至 `CloudWatchPutCompositeAlarm`。僅在符合規則的所有條件時,複合警示才會進入 ALARM 狀態。複合警示規則表達式中指定的警示可以包括指標警示和其他複合警示。如需有關需要哪些欄位的資訊,請參閱 [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html) 文件。
這兩個選項都提供下列欄位:
+ **AlarmName**:指定您要為資源建立的警示名稱。此欄位具有與 [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html) 文件指定的所有相同規則;不過,由於警示名稱在區域中必須是唯一的,因此警示管理員有一項額外要求:您必須在警示名稱中指定唯一識別符虛擬參數 (否則,警示管理員會將資源的唯一識別符附加到警示名稱的前面)。例如,對於 **AWS::EC2::Instance** 資源類型,您必須在警示名稱`${EC2::InstanceId}`中指定 ,或在警示名稱的開頭隱含新增它。如需識別符清單,請參閱 [加速組態設定檔:虛擬參數替換](acc-mem-config-doc-sub.md)。
所有其他欄位如 [PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html) 或 [PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html) 文件中所指定。
+ **AlarmRule**:指定要評估哪些其他警示來判斷此複合警示的狀態。對於您參考的每個警示,它們必須存在於 CloudWatch 中,或在帳戶中的警示管理員組態設定檔中指定。
**重要**
您可以在 Alarm Manager 組態文件中指定 **AlarmDefinition** 或 **CompositeAlarmDefinition**,但兩者無法同時使用。
在下列範例中,系統會在兩個指定的指標警示超過閾值時建立警示:
```
{
"AWS::EC2::Instance": {
"LinuxResourceAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"CompositeAlarmDefinition": {
"AlarmName": "${EC2::InstanceId} Resource Usage High",
"AlarmDescription": "Alarm when a linux EC2 instance is using too much CPU and too much Disk",
"AlarmRule": "ALARM(\"${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}\") AND ALARM(\"${EC2::InstanceId}: CPU Too High\")"
}
}
}
}
```
**重要**
當警示管理員因為組態中斷而無法建立或刪除警示時,它會將通知傳送至 **Direct-Customer-Alerts** SNS 主題。此警示稱為 **AlarmDependencyError**。
強烈建議您已確認訂閱此 SNS 主題。若要接收發佈至[主題](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)的訊息,您必須訂閱 [主題的端點](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html#sns-endpoints)。如需詳細資訊,請參閱[步驟 1:建立主題](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#step-create-queue)。
**注意**
建立異常偵測警示時,警示管理員會自動為指定的指標建立所需的異常偵測模型。刪除異常偵測警示時,警示管理員不會刪除相關聯的異常偵測模型。
[Amazon CloudWatch 會限制您在指定區域中可以擁有的異常偵測模型數量](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) AWS 。如果您超過模型配額,警示管理員不會建立新的異常偵測警示。您必須刪除未使用的模型,或與您的 AMS 合作夥伴合作以請求提高限制。
許多 AMS Accelerate 提供的基準警示定義會將 SNS 主題 **MMS-Topic** 列為目標。這是用於 AMS Accelerate 監控服務,也是您的警示通知到達 AMS Accelerate 的傳輸機制。請勿將 **MMS-Topic** 指定為基準中所提供之警示 (以及相同警示的覆寫) 以外的任何警示的目標,因為服務會忽略未知的警示。這**不會**導致 AMS Accelerate 對您的自訂警示採取行動。
# 加速組態設定檔:虛擬參數替換
在任一組態設定檔中,您可以指定替代的虛擬參數,如下所示:
+ 全域 - 設定檔中的任何位置:
+ \$1\$1AWS::AccountId\$1:以 AWS 您的帳戶 ID 取代
+ \$1\$1AWS::Partition\$1:以資源所在的分割區取代 AWS 區域 (對於大多數區域為「aws」);如需詳細資訊,請參閱 [ARN 參考](https://docs.amazonaws.cn/en_us/general/latest/gr/aws-arns-and-namespaces.html)中的分割區項目。
+ \$1\$1AWS::Region\$1: 取代為資源部署所在區域的區域名稱 (例如 us-east-1)
+ 在 **AWS::EC2::Instance** 資源類型區塊中:
+ \$1\$1EC2::InstanceId\$1: (**識別符**) 已由 Amazon EC2 執行個體的執行個體 ID 取代。
+ \$1\$1EC2::InstanceName\$1: 已由 Amazon EC2 執行個體的名稱取代。
+ 在 **AWS::EC2::Instance::Disk** 資源類型區塊中:
+ \$1\$1EC2::InstanceId\$1: (**識別符**) 以 Amazon EC2 執行個體的執行個體 ID 取代。
+ \$1\$1EC2::InstanceName\$1:以 Amazon EC2 執行個體的名稱取代。
+ \$1\$1EC2::Disk::Device\$1: (**識別符**) 以磁碟的名稱取代。(僅限 Linux,適用於 [CloudWatch Agent ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)管理的執行個體)。
+ \$1\$1EC2::Disk::FSType\$1: (**識別符**) 以磁碟的檔案系統類型取代。(僅限 Linux,適用於 [ CloudWatchAgent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) 管理的執行個體)。
+ \$1\$1EC2::Disk::Path\$1: (**識別符**) 由磁碟路徑取代。在 Linux 上,這是磁碟的掛載點 (例如 /),而在 Windows 中,這是磁碟機標籤 (例如 c:/ ) (僅適用於由 [CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) 管理的執行個體)。
+ \$1\$1EC2::Disk::UUID\$1: (**識別符**) 由唯一識別磁碟的產生 UUID 取代,這必須在警示名稱中指定為 AWS::EC2::Instance::Disk 資源類型下的警示,每個磁碟區都會建立一個警示。指定 \$1\$1EC2::Disk::UUID\$1 將維持警示名稱的唯一性。
+ 在 **AWS::EKS::Cluster** 資源類型區塊中:
+ \$1\$1EKS::ClusterName\$1: (**識別符**) 已由 EKS 叢集的名稱取代。
+ 在 **AWS::OpenSearch::Domain** 資源類型區塊中:
+ \$1\$1OpenSearch::DomainName\$1: (**識別符**) 被您的 EKS 網域名稱取代。
+ 在 **AWS::ElasticLoadBalancing::LoadBalancer** 資源類型區塊中:
+ \$1\$1ElasticLoadBalancing::LoadBalancer::Name\$1: (**識別符**) 已由 V1 Load Balancer 的名稱取代。
+ 在 **AWS::ElasticLoadBalancingV2::LoadBalancer** 資源類型區塊中:
+ \$1\$1ElasticLoadBalancingV2::LoadBalancer::Arn\$1: (**識別符**) 已由 V2 Load Balancer 的 ARN 取代。
+ \$1\$1ElasticLoadBalancingV2::LoadBalancer::Name\$1: (**識別符**) 已由 V2 Load Balancer 的名稱取代。
+ \$1\$1ElasticLoadBalancingV2::LoadBalancer::FullName\$1: (**識別符**) 已由 V2 Load Balancer 的完整名稱取代。
+ 在 **AWS::ElasticLoadBalancingV2::LoadBalancer::TargetGroup** 資源類型區塊中:
+ \$1\$1ElasticLoadBalancingV2::TargetGroup:FullName\$1: (**識別符**) 已由 V2 Load Balancer 的目標群組名稱取代。
+ \$1\$1ElasticLoadBalancingV2::TargetGroup::UUID\$1: (**識別符**),由 V2 Load Balancer 產生的 UUID 取代。
+ 在 **AWS::EC2::NatGateway** 資源類型區塊中:
+ \$1\$1NatGateway::NatGatewayId\$1: (**識別符**) 已由 NAT Gateway ID 取代。
+ 在 **AWS::RDS::DBInstance** 資源類型區塊中:
+ \$1\$1RDS::DBInstanceIdentifier\$1: (**識別符**) 已由 RDS 資料庫執行個體識別符取代。
+ 在 **AWS::RDS::DBCluster** 資源類型區塊中:
+ \$1\$1RDS::DBClusterIdentifier\$1: (**識別符**) 已由 RDS 資料庫叢集識別符取代。
+ 在 **AWS::Redshift::Cluster** 資源類型區塊中:
+ \$1\$1Redshift::ClusterIdentifier\$1: (**Identifier**) 已由 Redshift 叢集識別符取代。
+ 在 **AWS::Synthetics::Canary** 資源類型區塊中:
+ \$1\$1Synthetics::CanaryName\$1: (**識別符**) 已由 CloudWatch Synthetics Canary 的名稱取代。
+ 在 **AWS::EC2::VPNConnection** 資源類型區塊中:
+ \$1\$1AWS::EC2::VpnConnectionId\$1: (**識別符**) 已由您的 VPN ID 取代。
+ 在 **AWS::EFS::FileSystem** 資源類型區塊中:
+ \$1\$1EFS::FileSystemId\$1: (**識別符**) 以 EFS 檔案系統的檔案系統 ID 取代。
+ 在 **AWS::FSx::FileSystem::ONTAP** 資源類型區塊中:
+ \$1\$1FSx::FileSystemId\$1: (**識別符**) 以 FSX 檔案系統的檔案系統 ID 取代。
+ \$1\$1FSx::FileSystem::Throughput\$1:以 FSX 檔案系統的輸送量取代。
+ \$1\$1FSx::FileSystem::Iops\$1:取代為 FSX 檔案系統的 IOPS。
+ 在 **AWS::FSx::FileSystem::ONTAP::Volume** 資源類型區塊中:
+ \$1\$1FSx::FileSystemId\$1: (**識別符**) 以 FSX 檔案系統的檔案系統 ID 取代。
+ \$1\$1FSx::ONTAP::VolumeId\$1: (**識別符**) 以磁碟區 ID 取代。
+ 在 **AWS::FSx::FileSystem::Windows** 資源類型區塊中:
+ \$1\$1FSx::FileSystemId\$1: (**識別符**) 以 FSX 檔案系統的檔案系統 ID 取代。
+ \$1\$1FSx::FileSystem::Throughput\$1:以 FSX 檔案系統的輸送量取代。
**注意**
除非您在警示名稱中指定該識別符,否則所有標記有**識別符**的參數都會做為已建立警示名稱的字首。
# 加速警示組態範例
在下列範例中,系統會為每個連接至相符 Linux 執行個體的磁碟建立警示。
```
{
"AWS::EC2::Instance::Disk": {
"LinuxDiskAlarm": {
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "disk_used_percent",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "device",
"Value": "${EC2::Disk::Device}"
},
{
"Name": "fstype",
"Value": "${EC2::Disk::FSType}"
},
{
"Name": "path",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
在下列範例中,系統會為每個連接至相符 Windows 執行個體的磁碟建立警示。
```
{
"AWS::EC2::Instance::Disk": {
"WindowsDiskAlarm": {
"Tag": {
"Key": "ams:rt:mywindowsinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "LogicalDisk % Free Space",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "objectname",
"Value": "LogicalDisk"
},
{
"Name": "instance",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
# 檢視您的 Accelerate Alarm Manager 組態
**AMSManagedAlarms** 和 **CustomerManagedAlarms** 都可以在 AppConfig with [GetConfiguration](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_GetConfiguration.html) 中檢閱。
以下是 `GetConfiguration`呼叫的範例:
```
aws appconfig get-configuration --application AMSAlarmManager --environment AMSInfrastructure --configuration AMSManagedAlarms --client-id
any-string outfile.json
```
+ **應用程式**:這是 AppConfig 提供功能的邏輯單位;對於警示管理員,這是 `AMSAlarmManager`
+ **環境**:這是 AMSInfrastructure 環境
+ **組態**:若要檢視 AMS Accelerate 基準警示,值為 `AMSManagedAlarms`;若要檢視客戶警示定義,組態為 `CustomerManagedAlarms`
+ **用戶端 ID**:這是唯一的應用程式執行個體識別符,可以是任何字串
+ 您可以在指定的輸出檔案中檢視警示定義,在此案例中為 `outfile.json`
您可以在 AMSInfrastructureenvironment 中檢視過去的部署,以查看部署至您帳戶的組態版本。
# 變更加速警示組態
若要新增或更新新的警示定義,您可以部署組態文件 [使用 CloudFormation 來部署加速組態變更](acc-mem-deploy-change-cfn.md),或叫用 [CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html) API。
這是 Linux 命令列命令,可在 base64 中產生參數值,這是 AppConfig CLI 命令預期的值。如需詳細資訊,請參閱 AWS CLI 文件 [Binary/Blob (二進位大型物件)](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob)。
舉例來說:
```
aws appconfig create-hosted-configuration-version --application-id application-id --configuration-profile-id configuration-profile-id --content base64-string
--content-type application/json
```
+ **應用程式 ID:**應用程式 AMS AlarmManager 的 ID;您可以透過 [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html) API 呼叫找到此資訊。
+ **組態設定檔 ID**:CustomerManagedAlarms 組態的 ID;您可以透過 [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html) API 呼叫找到此資訊。
+ **內容**:要建立內容的 Base64 字串,方法是在 base64 中建立文件並對其進行編碼:cat alarm-v2.json \$1 base64 (請參閱 [Binary/Blob (二進位大型物件)](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob))。
**內容類型**:MIME 類型,`application/json`因為警示定義是以 JSON 撰寫。
**重要**
將對 [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html) 和 [StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html) API 動作的存取限制在瞭解將新組態部署至目標的責任和後果的受信任使用者。
若要進一步了解如何使用 AWS AppConfig 功能來建立和部署組態,請參閱[使用 AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html)。
# 修改加速警示預設組態
雖然您無法修改預設組態設定檔,但您可以在自訂設定檔中使用與預設組態區塊相同的 **ConfigurationID** 來指定組態區塊,以提供預設值的覆寫。如果您這樣做,整個組態區塊會覆寫要套用標記組態的預設組態區塊。
例如,請考慮下列預設組態設定檔:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 5,
...
}
}
}
}
```
若要將此警示的閾值變更為 10,**您必須提供整個警示定義**,而不只是要變更的部分。例如,您可以提供下列自訂設定檔:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 10,
...
}
}
}
}
```
**重要**
請記得在進行組態變更之後部署組態變更。在 SSM AppConfig 中,您必須在建立組態後部署新版本。
# 部署加速警示組態變更
完成自訂後,您需要使用 AppConfig 或 部署它 CloudFormation。
**Topics**
+ [使用 AppConfig 部署加速警示組態變更](acc-mem-deploy-change-appconfig.md)
+ [使用 CloudFormation 來部署加速組態變更](acc-mem-deploy-change-cfn.md)
# 使用 AppConfig 部署加速警示組態變更
自訂完成後,請使用 AppConfig 透過 [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html) 部署您的變更。
```
aws appconfig start-deployment --application-id application_id
--environment-id environment_id Vdeployment-strategy-id
deployment_strategy_id --configuration-profile-id configuration_profile_id --configuration-version 1
```
+ **應用程式 ID**:應用程式 的 ID`AMSAlarmManager`,您可以使用 [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html) API 呼叫找到它。
+ **環境 ID**:您可以使用 [ListEnvironments](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListEnvironments.html) API 呼叫找到此 ID。
+ **部署策略 ID**:您可以使用 [ListDeploymentStrategies](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListDeploymentStrategies.html) API 呼叫找到此選項。
+ **組態設定檔 ID**: 的 ID`CustomerManagedAlarms`;您可以使用 [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html) API 呼叫找到此 ID。
+ **組態版本**:要部署的組態設定檔版本。
**重要**
警示管理員會套用組態設定檔中指定的警示定義。使用 AWS 管理主控台 或 CloudWatch CLI/SDK 對 CloudWatch 警示所做的任何手動修改都會自動還原,因此請確定您的變更是透過 Alarm Manager 定義。若要了解警示管理員建立哪些警示,您可以尋找值為 的`ams:alarm-manager:managed`標籤`true`。
將 [StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html) 和 [ StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html) API 動作的存取權限制為信任的使用者,這些使用者了解將新組態部署到目標的責任和後果。
若要進一步了解如何使用 AWS AppConfig 功能來建立和部署組態,請參閱 [AWS AppConfig 文件。](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html)
# 使用 CloudFormation 來部署加速組態變更
如果您想要使用 部署`CustomerManagedAlarms`組態設定檔 CloudFormation,您可以使用下列 CloudFormation 範本。將您想要的 JSON 組態放在 `AMSAlarmManagerConfigurationVersion.Content` 欄位中。
當您在 CloudFormation 堆疊或堆疊集中部署範本時,如果您未遵循組態所需的 JSON 格式,`AMSResourceTaggerDeployment`資源的部署將會失敗。[加速組態設定檔:監控](acc-mem-config-doc-format.md) 如需預期格式的詳細資訊,請參閱 。
如需將這些範本部署為 CloudFormation 堆疊或堆疊集的說明,請參閱下列相關的 AWS CloudFormation 文件:
+ [在 AWS CloudFormation 主控台上建立堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
+ [使用 AWS CLI 建立堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-cli-creating-stack.html)
+ [建立堆疊集](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)
**注意**
如果您使用其中一個範本部署組態版本,然後刪除 CloudFormation 堆疊/堆疊集,則範本組態版本會保留為目前部署的版本,而且不會進行任何額外的部署。如果您想要還原為預設組態,您將需要手動部署空白組態 (即僅 \$1\$1),或將堆疊更新為空白組態,而不是刪除堆疊。
**JSON**
```
{
"Description": "Custom configuration for the AMS Alarm Manager.",
"Resources": {
"AMSAlarmManagerConfigurationVersion": {
"Type": "AWS::AppConfig::HostedConfigurationVersion",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"Content": "{}",
"ContentType": "application/json"
}
},
"AMSAlarmManagerDeployment": {
"Type": "AWS::AppConfig::Deployment",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"ConfigurationVersion": {
"Ref": "AMSAlarmManagerConfigurationVersion"
},
"DeploymentStrategyId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-Deployment-StrategyID"
},
"EnvironmentId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-EnvironmentId"
}
}
}
}
}
```
**YAML**
```
Description: Custom configuration for the AMS Alarm Manager.
Resources:
AMSAlarmManagerConfigurationVersion:
Type: AWS::AppConfig::HostedConfigurationVersion
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
Content: |
{
}
ContentType: application/json
AMSAlarmManagerDeployment:
Type: AWS::AppConfig::Deployment
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
ConfigurationVersion:
!Ref AMSAlarmManagerConfigurationVersion
DeploymentStrategyId:
!ImportValue AMS-Alarm-Manager-Configuration-Deployment-StrategyID
EnvironmentId:
!ImportValue AMS-Alarm-Manager-Configuration-EnvironmentId
```
# 轉返 加速警示變更
您可以指定先前的組態設定檔版本並執行 [ StartDeployment,透過相同的部署機制轉返警示定義。](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)
# 保留加速警示
刪除 AMS 監控的資源時,警示管理員為這些資源建立的任何警示都會由警示管理員自動刪除。如果您需要保留特定警示以進行稽核、合規或歷史用途,請使用警示管理員保留標記功能。
若要即使在刪除警示受監控的資源之後仍保留警示,請將 `"ams:alarm-manager:retain" `標籤新增至警示的自訂組態,如下列範例所示。
```
{
"AWS::EC2::Instance": {
"AMSCpuAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: CPU Too High",
"AlarmDescription": "AMS Baseline Alarm for EC2 CPUUtilization",
[...]
"Tags": [
{
"Key": "ams:alarm-manager:retain",
"Value": "true"
}
]
}
}
}
}
```
使用 `"ams:alarm-manager:retain"`標籤設定的警示,在受監控的資源終止時,警示管理員不會自動刪除。保留的警示會無限期保留在 CloudWatch 中,直到您使用 CloudWatch 手動將其移除為止。
# 停用預設加速警示組態
AMS Accelerate 會根據基準警示,在您的帳戶中提供預設組態設定檔。不過,您可以透過覆寫任何警示定義來停用此預設組態。您可以透過覆寫自訂組態設定檔中規則的 **ConfigurationID**,並使用 false 值指定啟用的欄位,來停用預設組態規則。
例如,如果預設組態設定檔中存在下列組態:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
...
}
}
}
```
您可以在自訂組態設定檔中包含下列項目,以停用此標記規則:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": false
}
}
}
```
若要進行這些變更,必須使用 JSON 設定檔文件呼叫 [CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html) API (請參閱 [變更加速警示組態](acc-mem-change-am.md)),隨後必須部署 (請參閱 [部署加速警示組態變更](acc-mem-deploy-change.md))。請注意,當您建立新的組態版本時,您還必須在 JSON 設定檔文件中包含任何先前建立的自訂警示。
**重要**
當 AMS Accelerate 更新預設組態設定檔時,不會針對您設定的自訂警示進行校正,因此當您在自訂組態設定檔中覆寫預設警示時,請檢閱預設警示的變更。
# 為 Accelerate 建立其他 CloudWatch 警示
您可以使用 Amazon EC2 執行個體的自訂 CloudWatch 指標和警示,為 AMS Accelerate 建立額外的 CloudWatch 警示。
產生您的應用程式監控指令碼和自訂指標。如需範例指令碼的詳細資訊和存取權,請參閱[監控 Amazon EC2 Linux 執行個體的記憶體和磁碟指標](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mon-scripts.html)。
Linux Amazon EC2 執行個體的 CloudWatch 監控指令碼示範如何產生和使用自訂 CloudWatch 指標。這些範例 Perl 指令碼包含功能完整的範例,可報告 Linux 執行個體的記憶體、交換和磁碟空間使用率指標。
**重要**
AMS Accelerate 不會監控您建立的 CloudWatch 警示。
# 檢視 Alarm Manager for Accelerate 監控的資源數量
警示管理員每小時將指標傳送至 `AMS/AlarmManager` 命名空間中的 Amazon CloudWatch。只會針對 Alarm Manager 支援的資源類型發出指標。
| 指標名稱 | 維度 | 描述 |
| --- | --- | --- |
| ResourceCount | 元件、ResourceType | 在此區域中部署的資源數量 (指定資源類型的)。 單位:計數 |
| ResourcesMissingManagedAlarms | 元件、ResourceType | 需要受管警示但 Alarm Manager 尚未套用警示的資源數量 (指定資源類型的)。 單位:計數 |
| UnmanagedResources | 元件、ResourceType | 未由 Alarm Manager 套用任何受管警示的資源 (指定資源類型的) 數量。一般而言,這些資源不符合任何 Alarm Manager 組態區塊,或明確地從組態區塊中排除。 單位:計數 |
| MatchingResourceCount | 元件、ResourceType、ConfigClauseName | (指定資源類型的) 符合 Alarm Manager 組態區塊的資源數量。若要讓資源符合組態區塊,必須啟用該區塊,且資源必須在組態區塊中指定相同的標籤。 單位:計數 |
這些指標也可以在 **AMS-Alarm-Manager-Reporting-Dashboard** 中以圖形形式檢視。若要查看儀表板,請從 AWS CloudWatch 管理主控台選取 **AMS-Alarm-Manager-Reporting-Dashboard**。根據預設,此儀表板中的圖形會顯示過去 12 小時期間的資料。
AMS Accelerate 會將 CloudWatch 警示部署到您的 帳戶,以偵測未受管資源數量的顯著增加,例如 AMS Alarm Manager 從管理中排除的資源。AMS Operations 將調查超過以下三個未受管資源的增加:相同類型的三個資源,或相同類型的所有資源增加 50%。如果變更似乎不是刻意的,AMS Operations 可能會與您聯絡以檢閱變更。
# AMS 自動修復提醒
驗證後,AWS Managed Services (AMS) 會根據本節所述的特定條件和程序,自動修復特定提醒。
| 提醒名稱 | 描述 | 閾值 | 動作 |
| --- | --- | --- | --- |
| 狀態檢查失敗 | 可能的硬體故障或執行個體的故障狀態。 | 系統在過去 15 分鐘內至少偵測到一次失敗狀態。 | AMS 自動修復會先驗證執行個體是否可存取。如果無法存取執行個體,則會停止並重新啟動執行個體。停止和啟動可讓執行個體遷移至新的基礎硬體。如需詳細資訊,請參閱下列「EC2 狀態檢查失敗修復自動化」一節。 |
| AMSLinuxDiskUsage | 當 EC2 執行個體上 1 個掛載點 (磁碟區上的指定空間) 的磁碟用量填滿時觸發。 | 閾值在過去 30 分鐘超過定義的值 6 次。 | AMS 自動修復會先刪除暫存檔案。如果這無法釋放足夠的磁碟空間,它會擴展磁碟區,以防止在磁碟區已滿時停機。 |
| AMSWindowsDiskUsage | 當 EC2 執行個體上 1 個掛載點 (磁碟區上的指定空間) 的磁碟用量填滿時。 | 閾值在過去 30 分鐘內超過定義的值 6 次。 | AMS 自動修復會先刪除暫存檔案。如果這無法釋放足夠的磁碟空間,它會擴展磁碟區,以防止在磁碟區已滿時停機。 |
| RDS-EVENT-0089 | 資料庫執行個體已消耗超過其分配儲存容量的 90%。 | 儲存空間配置超過 90%。 | AMS 自動修復會先驗證資料庫是否處於可修改且可用或完整儲存狀態。然後,它會嘗試透過 CloudFormation 變更集增加配置的儲存、IOPS 和儲存輸送量。如果偵測到堆疊偏離,則會回到 RDS API 以防止停機時間。 將下列標籤新增至 RDS 資料庫執行個體,即可選擇退出此功能: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0007 | 資料庫執行個體的配置儲存體已用盡。若要解決此問題,請配置額外的儲存空間。 | 儲存空間是 100% 配置。 | AMS 自動修復會先驗證資料庫是否處於可修改且可用或完整儲存狀態。然後,它會嘗試透過 CloudFormation 變更集增加配置的儲存、IOPS 和儲存輸送量。如果偵測到堆疊偏離,則會回到 RDS API 以防止停機時間。 將下列標籤新增至 RDS 資料庫執行個體,即可選擇退出此功能: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0224 | 請求的配置儲存達到或超過設定的最大儲存閾值。 | 資料庫執行個體的最大儲存閾值已用盡,或大於或等於請求的已配置儲存。 | AMS 自動修復會先驗證請求的 RDS 儲存量是否超過最大儲存閾值。如果確認,AMS 會嘗試使用 CloudFormation 變更集將最大儲存閾值提高 30%,如果資源未透過 CloudFormation 佈建,則請直接 RDS API。 將下列標籤新增至 RDS 資料庫執行個體,即可選擇退出此功能: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-Storage-Capacity | 少於 1GB 會保留在資料庫執行個體的配置儲存體中。 | 已配置 99% 的儲存空間。 | AMS 自動修復會先驗證資料庫是否處於可修改且可用或完整儲存狀態。然後,它會嘗試透過 CloudFormation 變更集增加配置的儲存、IOPS 和儲存輸送量。如果偵測到堆疊偏離,則會回到 RDS API 以防止停機時間。 將下列標籤新增至 RDS 資料庫執行個體,即可選擇退出此功能: `"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
## EC2 狀態檢查失敗:修復自動化備註
AMS 自動修復如何與 EC2 狀態檢查失敗問題搭配使用:
+ 如果您的 Amazon EC2 執行個體無法連線,執行個體必須停止並再次啟動,才能遷移至新的硬體並復原。
+ 如果問題的根目錄在作業系統中 (缺少 fstab 中的裝置、核心損毀等),自動化將無法復原您的執行個體。
+ 如果您的執行個體屬於 Auto Scaling 群組,自動化不會採取任何動作,AutoScalingGroup 擴展動作會取代執行個體。
+ 如果您的執行個體已啟用 EC2 Auto Recovery,則修復不會採取動作。
## EC2 磁碟區用量修復自動化
AWS Managed Services (AMS) 自動修復如何處理 EC2 磁碟區用量問題:
+ 自動化會先驗證是否需要磁碟區擴展,以及是否可以執行。如果認為擴展是適當的,自動化可以增加磁碟區容量。此自動化程序會平衡成長需求與受控制的有限擴展。
+ 在擴展磁碟區之前,自動化會在執行個體上執行清除任務 (Windows:磁碟清理程式、Linux:Logrotate \$1 Simple Service Manager 代理程式日誌移除),以嘗試釋放空間。
**注意**
清理任務不會在 EC2 "T" 系列執行個體上執行,因為它們依賴 CPU 點數來持續運作。
+ 在 Linux 上,自動化僅支援擴展類型為 EXT2, EXT3, EXT4和 XFS 的檔案系統。
+ 在 Windows 上,自動化僅支援新技術檔案系統 (NTFS) 和彈性檔案系統 (ReFS)。
+ 自動化不會擴展屬於邏輯磁碟區管理員 (LVM) 或 RAID 陣列一部分的磁碟區。
+ 自動化不會擴展*執行個體存放*區磁碟區。
+ 如果受影響的磁碟區已大於 2 TiB,則自動化不會採取動作。
+ 透過自動化的擴展限制為每週最多三次,系統生命週期內總計五次。
+ 如果先前的擴展在過去六小時內發生,自動化不會擴展磁碟區。
當這些規則阻止自動化採取動作時,AMS 會透過傳出服務請求與您聯絡,以決定要採取的下一個動作。
## Amazon RDS 低儲存體事件修復自動化
AWS Managed Services (AMS) 自動修復如何與 Amazon RDS 低儲存體事件問題搭配使用:
+ 在嘗試擴展 Amazon RDS 執行個體儲存體之前,自動化會執行多項檢查,以確保 Amazon RDS 執行個體處於可修改且可用,或儲存已滿的狀態。
+ 在偵測到 CloudFormation 堆疊偏離之處,修復會透過 Amazon RDS API 進行。
+ 修復動作不會在下列情況下執行:
+ Amazon RDS 執行個體狀態不是「可用」或「完整儲存」。
+ Amazon RDS 執行個體儲存體目前無法修改 (例如在過去六小時內修改儲存體時)。
+ Amazon RDS 執行個體已啟用自動擴展儲存。
+ Amazon RDS 執行個體不是 CloudFormation 堆疊中的資源。
+ 修補限制為每六小時一次擴展,且在滾動十四天內不超過三次擴展。
+ 當這些案例發生時,AMS 會透過傳出事件與您聯絡,以判斷下一個動作。
# 在 AMS 中使用 Amazon EventBridge 受管規則
AMS Accelerate 使用 Amazon EventBridge 受管規則。受管規則是直接連結至 AMS 的唯一規則類型。這些規則符合傳入的事件,並將其傳送至目標進行處理。受管規則由 AMS 預先定義,並包含服務管理客戶帳戶所需的事件模式,除非另有定義,否則只有擁有的服務才能利用這些受管規則。
AMS Accelerate 受管規則會連結到`events.managedservices.amazonaws.com`服務主體。這些受管規則是透過[`AWSServiceRoleForManagedServices_Events`服務連結角色](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/using-service-linked-roles.html#slr-evb-rule)進行管理。若要刪除這些規則,客戶需要特別確認。如需詳細資訊,請參閱[刪除 AMS 的受管規則](#delete-managed-rules)。
如需規則的詳細資訊,請參閱《*Amazon EventBridge 使用者指南*》中的[規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)。
## AMS 部署的 Amazon EventBridge 受管規則
**Amazon EventBridge 受管規則**
| 規則名稱 | 描述 | 定義 |
| --- | --- | --- |
| AmsAccessRolesRule | 此規則會接聽特定 AMS Accelerate 角色和政策中的修改。 |
{
"source": ["aws.iam"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventName": [
"DeleteRole",
"DeletePolicy",
"CreatePolicyVersion",
"AttachRolePolicy",
"DetachRolePolicy"
],
"requestParameters": {
"$or": [
{
"roleName": [
"ams-access-admin",
"ams-access-admin-operations",
"ams-access-operations",
"ams-access-read-only",
"ams-access-security-analyst",
"ams-access-security-analyst-read-only"
]
},
{
"policyArn": [
"arn:*:iam::*:policy/ams-access-allow-pass-role",
"arn:*:iam::*:policy/ams-access-deny-cloudshell-policy",
"arn:*:iam::*:policy/ams-access-deny-operations-policy",
"arn:*:iam::*:policy/ams-access-deny-update-iam-policy",
"arn:*:iam::*:policy/ams-access-ssr-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-read-only-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-extended-policy",
"arn:*:iam::*:policy/ams-access-admin-policy",
"arn:*:iam::*:policy/ams-access-admin-operations-policy"
]
},
]
},
},
}
|
| AMSCoreRule | 此規則會將 AWS Config 和 Amazon CloudWatch 事件轉送至 AMS Config 修復和 AMS 監控服務。 AWS Config 事件會建立和 resolve AWS Systems Manager OpsItems。Amazon CloudWatch 事件會監控 CloudWatch 警示。 |
{
{
"source": ["aws.config", "aws.cloudwatch"],
"detail-type": ["Config Rules Compliance Change", "CloudWatch Alarm State Change"],
}
}
|
## 建立 AMS 的受管規則
您不需要手動建立 Amazon EventBridge 受管規則。當您在 AWS 管理主控台 AWS CLI、 或 AWS API 中加入 AMS 時,AMS 會為您建立它們。
## 編輯 AMS 的受管規則
AMS 不允許您編輯受管規則。AMS 會預先定義每個受管規則的名稱和事件模式。
## 刪除 AMS 的受管規則
您不需要手動刪除 受管規則。當您從 AWS 管理主控台、 AWS CLI或 AWS API 的 AMS 離職時,AMS 會為您清除資源,並刪除 AMS 擁有的所有受管規則。
如果 AMS 在離職期間無法移除受管規則,您也可以使用 Amazon EventBridge 主控台、 AWS CLI 或 AWS API 手動刪除受管規則。若要這樣做,您必須先從 AMS 離職,並強制刪除受管規則。
# AMS 中的信任修復程式
Trusted Remediator 是一種 AWS Managed Services 解決方案,可自動修復 [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)和 [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)建議。當 Trusted Advisor 和 Compute Optimizer 指出降低成本、改善系統可用性、最佳化效能或填補安全漏洞的機會時,信任的修復程式會建立建議 AWS 帳戶。透過 Trusted Remediator,您可以透過使用已建立最佳實務的安全標準化方式,處理這些安全性、效能、成本最佳化、容錯能力和服務限制建議。Trusted Remediator 可讓您設定修復解決方案,並依照您建立的排程自動執行,簡化修復程序。這種簡化方法可以一致、有效率地解決問題,無需手動介入。
## 信任的修復程式主要優點
以下是信任的修復程式的主要優點:
+ **改善安全性、效能和成本最佳化:**信任的補救措施可協助您增強帳戶的整體安全狀態、最佳化資源使用率,以及降低營運成本。
+ **自助式設定和組態:**您可以設定信任的修復程式,以符合您的需求和偏好設定。
+ **自動化 Trusted Advisor 檢查和 AWS Compute Optimizer 建議修復:**設定之後,信任的修復程式會自動執行所選檢查的修復動作。此自動化不需要手動介入。
+ **最佳實務實作:**修補動作是以已建立的最佳實務為基礎,因此問題會以標準化且有效的方式解決。
+ **排程執行:**您可以選擇與day-to-day操作工作流程一致的修復排程。
Trusted Remediator 可讓您主動解決 AWS 環境中已識別的問題,協助您遵守最佳實務,並維護安全、高效能且符合成本效益的雲端基礎設施。
## 可信任修復程式的運作方式
以下是信任修復程式工作流程的圖例:
![\[Trusted Remediator 工作流程的圖例。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/trusted-remediator-workflow.png)
Trusted Remediator 會評估 的 Trusted Advisor 和 Compute Optimizer 建議, AWS 帳戶 並在 OpsCenter 中建立 AWS Systems Manager OpsItems。 [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html) OpsCenter 然後,您可以使用信任的修復程式自動化文件自動或手動修復 OpsItems。以下是每種修復類型的詳細資訊:
+ **自動化修復:**信任的修復程式會執行自動化文件並監控執行。自動化文件完成後,信任的修復程式會解析 Opsitem。
+ **手動修復:**信任的修復程式會建立 OpsItem 供您檢閱。檢閱後,您會啟動自動化文件。
修復日誌存放在 Amazon S3 儲存貯體中。您可以使用 S3 儲存貯體中的資料來建置自訂 QuickSight 儀表板以進行報告。AMS 也為信任的修復程式提供隨需報告。若要接收這些報告,請聯絡您的 CSDM。如需詳細資訊,請參閱[信任的修復程式報告](trusted-remediator-reports.md)。
## Trusted Remediator 的關鍵術語
以下是在 AMS 中使用受信任修復程式時,有助於了解的術語:
+ **AWS Trusted Advisor 和 AWS Compute Optimizer:** AWS和 Trusted Advisor Compute Optimizer 提供的雲端最佳化服務會 AWS 檢查您的環境,並根據以下六個類別的最佳實務提供建議:
+ 成本最佳化
+ 效能
+ 安全性
+ 容錯能力
+ 卓越營運
+ 服務限制
如需詳細資訊,請參閱[AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html)及[AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/)。
+ **信任的修復程式:**適用於[Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)檢查和[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)建議的 AMS 修復解決方案。Trusted Remediator 可協助您使用已知的最佳實務安全地修復 Trusted Advisor 檢查和 Compute Optimizer 建議,以改善安全性、效能並降低成本。可信任的修復程式易於設定。您設定一次,信任的修復程式會根據您偏好的排程 (每日或每週) 執行修復。
+ **AWS Systems Manager SSM 文件:**JSON 或 YAML 檔案,定義對 AWS 資源 AWS Systems Manager 執行的動作。SSM 文件可做為宣告性規格,以自動化跨多個 AWS 資源和執行個體的操作任務。
+ **AWS Systems Manager OpsCenter OpsItem:**一種雲端操作問題管理資源,可協助您追蹤和解決環境中 AWS 的操作問題。OpsItems 為跨 和資源的操作資料和問題提供集中式檢視 AWS 服務 和管理系統。每個 OpsItem 都代表一個操作問題,例如潛在的安全風險、效能問題或操作事件。
+ **組態:**組態是一組儲存在 中的屬性[AWS AppConfig,即 的功能 AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/appconfig.html)。中的信任修復程式應用程式 AWS AppConfig 有助於在帳戶層級設定修復。您可以使用 AWS AppConfig 主控台或 API 來編輯組態。
+ **執行模式:**執行模式是一種組態屬性,可決定如何針對每個 Trusted Advisor 檢查結果執行修復。支援四種執行模式:**自動化**、**手動**、**條件式**、**非作用中**。
+ **資源覆寫:**此功能使用資源標籤覆寫特定資源的組態。
+ **修復項目日誌:**信任的修復程式修復 S3 日誌儲存貯體中的日誌檔案。修復項目日誌會在修復 OpsItems 建立時建立。此日誌檔案包含手動執行修復 OpsItems 和自動執行修復 OpsItems。使用此日誌檔案來追蹤所有修復項目。
+ **自動化修復執行日誌:**信任的修復器修復 S3 日誌儲存貯體中的日誌檔案。自動執行 SSM 文件時,會建立自動修復執行日誌。此日誌包含自動執行修復 OpsItems 的 SSM 執行詳細資訊。使用此日誌檔案來追蹤自動化修復。
# 在 AMS 中開始使用信任的修復程式
可信任的修復程式可在 AMS 中使用,無需額外費用。Trusted Remediator 支援單一帳戶和多帳戶組態。
## 加入信任的修復程式
若要將您的 AMS 帳戶加入信任的修復程式,請傳送電子郵件給 Cloud Architects 或 Cloud Service Delivery Manager (CSDMs)。在電子郵件中,包含以下資訊:
+ **AWS 帳戶:**12 位數的帳戶識別號碼。您想要加入信任的修復程式的所有帳戶必須屬於同一個 Accelerate 客戶。
+ **委派管理員帳戶:**用於單一或多個帳戶的 Trusted Advisor 和 Compute Optimizer 檢查組態的帳戶。
+ **成員帳戶:**這些是連結至委派管理員帳戶的帳戶。這些帳戶會從委派的管理員帳戶繼承組態。您可以有一個成員帳戶或多個成員帳戶。
**注意**
成員帳戶會從委派的管理員帳戶繼承組態。如果您需要特定帳戶的不同組態,請使用您偏好的組態加入多個委派管理員帳戶。在加入之前,請與您的 Cloud Architects 規劃帳戶結構和組態。
+ **AWS 區域:** AWS 區域 資源所在的 。如需 的清單 AWS 區域,請參閱[AWS 服務 依區域](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
+ **修補排程和時間:**您偏好的修補排程 (每日或每週)。Trusted Remediator 會收集 Trusted Advisor 檢查並在排程時間啟動修復。例如,您可以設定每週週日凌晨 1:00 的修復排程,澳洲東部標準時間。
+ **通知電子郵件:**信任的修復程式會使用通知電子郵件,在有修復時每天通知您。通知電子郵件主旨是「可信修復摘要」,內容提供過去 24 小時內執行的可信任修復的資訊。
**注意**
每次排定的修補後,請檢閱您的應用程式和資源。如需其他支援,請聯絡 AMS。
在您向 CA 或 CSDM 提交包含必要詳細資訊的加入請求之後,AMS 會將您的帳戶加入信任的修復程式。Trusted Remediator 使用 AWS AppConfig的功能 AWS Systems Manager來定義 Trusted Advisor 檢查的組態。這些組態是一組存放在其中的屬性 AWS AppConfig。為了防止您的 資源產生未經授權的費用,所有支援的 Trusted Advisor 檢查都會在帳戶加入信任的修復程式時設定為**非作用中**。加入後,您可以使用 AWS AppConfig 主控台或 API 來管理組態。這些組態可協助您自動修復特定 Trusted Advisor 檢查,或評估和手動修復剩餘的檢查。這些組態可高度自訂,可讓您為每個 Trusted Advisor 檢查套用組態。如需詳細資訊,請參閱[在信任的修復程式中設定 Trusted Advisor 檢查修復](tr-configure-remediations.md)。
## 選擇要修復的檢查和建議
根據預設,修復執行模式對於組態中的所有 Trusted Advisor 檢查和 Compute Optimizer 建議都是**非作用中**的。這可防止未經授權的修復並保護資源。AMS 提供精選的 SSM 自動化文件,用於 Trusted Advisor 檢查修復。
若要選取您想要使用信任的修復程式修復的檢查,請完成下列步驟:
1. 檢閱支援的 [Trusted Advisor 和 [Compute Optimizer 建議](tr-supported-recommendations-co.md)清單或相關聯的 SSM 自動化文件名稱](tr-supported-checks.md),以決定您要使用信任的修復程式修復哪些檢查和建議。
1. 更新您的組態,以開啟所選 Trusted Advisor 檢查的修復。如需如何選取檢查的說明,請參閱 [在信任的修復程式中設定 Trusted Advisor 檢查修復](tr-configure-remediations.md)。
## 在信任的修復程式中追蹤您的修復
在您更新帳戶層級組態之後,信任的修復程式會為每個修復建立 OpsItems。Trusted Remediator 會執行 SSM 文件,以根據您的修復排程自動修復 OpsItems。如需如何從 Systems Manager OpsCenter 主控台檢視所有修復 OpsItems 的說明,請參閱 [在信任的修復程式中追蹤修復](tr-remediation.md#tr-remediation-track)。 OpsCenter
## 在信任的修復程式中執行手動修復
您可以手動修復 Trusted Advisor 檢查。當您啟動手動修復時,信任的修復程式會建立手動執行 OpsItem。您必須檢閱並啟動 SSM 自動化文件,才能修復 OpsItems。如需詳細資訊,請參閱[在信任的修復程式中執行手動修復](tr-remediation.md#tr-remediation-run)。
# 受信任修復程式支援的 Compute Optimizer 建議
下表列出支援的 Compute Optimizer 建議、SSM 自動化文件、預先設定的參數,以及自動化文件的預期結果。在啟用 SSM 自動化文件進行檢查修復之前,請檢閱預期成果,以協助您根據您的業務需求了解可能的風險。
對於您要啟用修復的支援檢查,請確定每個 Compute Optimizer 檢查的對應組態規則都存在。如需詳細資訊,請參閱[選擇 AWS Compute Optimizer 接受 Trusted Advisor 檢查](https://docs.aws.amazon.com/awssupport/latest/user/compute-optimizer-with-trusted-advisor.html)。
| 最佳化選項 | SSM 文件名稱和預期結果 | 支援的預先設定參數和限制條件 |
| --- | --- | --- |
| 精簡化 |
| [Amazon EC2 執行個體建議](https://aws.amazon.com/compute-optimizer/faqs/#topic-4) | **AWSManagedServices-TrustedRemediatorResizeInstanceByComputeOptimizerRecommendation** 根據 Compute Optimizer 建議更新 Amazon EC2 執行個體類型。如果選項存在,則會選擇最佳選項,同時維護相同的平台參數 (架構、Hypervisor、網路介面、虛擬化類型等)。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Amazon EBS 磁碟區建議](https://aws.amazon.com/compute-optimizer/faqs/#topic-6) | **AWSManagedServices-ModifyEBSVolume** Amazon EBS 磁碟區會根據 Compute Optimizer 建議進行修改。修改可能包括磁碟區類型、大小、IOPS、磁碟區產生 (gp2、gp3 等)。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Lambda 函數建議](https://aws.amazon.com/compute-optimizer/faqs/#topic-7) | **AWSManagedServices-TrustedRemediatorOptimizeLambdaMemory** AWS Lambda 根據 Compute Optimizer 建議最佳化 函數記憶體。 | **RecommendedMemorySize **:如果與建議選項不同,則為自訂記憶體大小。 無限制條件 |
| 閒置資源 |
| [閒置 Amazon EBS 磁碟區](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-DeleteUnusedEBSVolume** 未連接的 Amazon EBS 磁碟區將被刪除。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [閒置 Amazon EC2 執行個體](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopEC2Instance** 閒置的 Amazon EC2 執行個體將會停止。 | **ForceStopWithInstanceStore**:若要使用執行個體存放區強制停止執行個體,請將 設為 'True'。若要不強制停止,請將 設定為 'False'。預設值 'False' 可防止執行個體停止。 無限制條件 |
| [閒置 Amazon RDS 執行個體](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopIdleRDSInstance** 停止閒置的 Amazon RDS 執行個體。支援的引擎包括:MariaDB、Microsoft SQL Server、MySQL、Oracle、PostgreSQL。本文件不適用於 Aurora MySQL 和 Aurora PostgreSQL。執行個體最多會停止 7 天,並自動重新啟動。 | 不允許預先設定的參數。 無限制條件 |
# Trusted Advisor Trusted Remediator 支援的檢查
下表列出支援的 Trusted Advisor 檢查、SSM 自動化文件、預先設定的參數,以及自動化文件的預期結果。在啟用 SSM 自動化文件進行檢查修復之前,請檢閱預期成果,以協助您根據您的業務需求了解可能的風險。
請確定您要啟用修復之支援檢查的每個 Trusted Advisor 檢查都有對應的組態規則。如需詳細資訊,請參閱[檢視支援的 AWS Trusted Advisor 檢查 AWS Config](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html)。如果檢查有對應的 AWS Security Hub CSPM 控制項,請確定 Security Hub 控制項已啟用。如需詳細資訊,請參閱在 [Security Hub 中啟用控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html)。如需管理預先設定參數的資訊,請參閱[在信任的修復程式中設定 Trusted Advisor 檢查修復](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html)。
## Trusted Advisor Trusted Remediator 支援的成本最佳化檢查
| 檢查 ID 和名稱 | SSM 文件名稱和預期結果 | 支援的預先設定參數和限制條件 |
| --- | --- | --- |
| [Z4AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses) 無關聯彈性 IP 地址 | **AWSManagedServices-TrustedRemediatorReleaseElasticIP** 釋出與任何資源無關的彈性 IP 地址。 | 不允許預先設定的參數。 無限制條件 |
| [c18d2gz150](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days) - Amazon EC2 執行個體已停止 | **AWSManagedServices-TerminateEC2InstanceStoppedForPeriodOfTime** - Amazon EC2 執行個體已停止幾天。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 無限制條件 |
| [c18d2gz128 ](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy) 未設定生命週期政策的 Amazon ECR 儲存庫 | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy** 如果生命週期政策尚未存在,請為指定的儲存庫建立生命週期政策。 | **ImageAgeLimit:**Amazon ECR 儲存庫中「任何」映像的最大存留期限制,以天 (1-365) 為單位。 無限制條件 |
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes) 利用率過低的 Amazon EBS 磁碟區 | **AWSManagedServices-DeleteUnusedEBSVolume** 如果過去 7 天內未連接磁碟區,則刪除未充分利用的 Amazon EBS 磁碟區。預設會建立 Amazon EBS 快照。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 無限制條件 |
| [hjLMh88uM8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers) 閒置負載平衡器 | **AWSManagedServices-DeleteIdleClassicLoadBalancer** 如果閒置的 Classic Load Balancer 未使用且未註冊任何執行個體,則會將其刪除。 | **IdleLoadBalancerDays:**Classic Load Balancer 在考慮閒置之前有 0 個請求連線的天數。預設值為七天。 如果啟用自動執行,如果沒有作用中的後端執行個體,自動化會刪除閒置的 Classic Load Balancer。對於具有作用中後端執行個體但沒有運作狀態良好的後端執行個體的所有閒置 Classic Load Balancer,不會使用自動修復,並會建立用於手動修復OpsItems。 |
| [Ti39halfu8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances) Amazon RDS 閒置資料庫執行個體 | **AWSManagedServices-StopIdleRDSInstance** 過去七天處於閒置狀態的 Amazon RDS 資料庫執行個體會停止。 | 不允許預先設定的參數。 無限制條件 |
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size) AWS Lambda 記憶體大小過度佈建的函數 | **AWSManagedServices-ResizeLambdaMemory** AWS Lambda 函數的記憶體大小會調整為 提供的建議記憶體大小 Trusted Advisor。 | **RecommendedMemorySize:**Lambda 函數的建議記憶體配置。值範圍介於 128 到 10240 之間。 如果在自動化執行之前修改 Lambda 函數大小,則此自動化可能會以 建議的值覆寫設定 Trusted Advisor。 |
| [Qch7DwouX1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Amazon EC2 執行個體低使用率 | **AWSManagedServices-StopEC2Instance** (自動和手動執行模式的預設 SSM 文件)。 低使用率的 Amazon EC2 執行個體會停止。 | **ForceStopWithInstanceStore:**設定為 `true` 以使用執行個體存放區強制停止執行個體。否則,請設定為 `false`。的預設值`false`可防止執行個體停止。有效值為 true 或 false (區分大小寫)。 無限制條件 |
| [Qch7DwouX1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Amazon EC2 執行個體低使用率 | **AWSManagedServices-ResizeInstanceByOneLevel** Amazon EC2 執行個體的大小會由相同執行個體系列類型的一個執行個體類型縮減。執行個體會在調整大小操作期間停止和啟動,並在 SSM 文件執行完成後回到初始狀態。此自動化不支援調整 Auto Scaling 群組中的執行個體大小。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 無限制條件 |
| [Qch7DwouX1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) Amazon EC2 執行個體低使用率 | **AWSManagedServices-TerminateInstance** 如果不屬於 Auto Scaling 群組,且未啟用終止保護,則會終止低使用率的 Amazon EC2 執行個體。預設會建立 AMI。 | **CreateAMIBeforeTermination:**將此選項設定為 `true`或 `false`,以在終止 EC2 執行個體之前建立執行個體 AMI 做為備份。預設值為 `true`。有效值為 `true`和 `false`(區分大小寫)。 無限制條件 |
| [G31sQ1E9U](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters) 利用率過低的 Amazon Redshift 叢集 | **AWSManagedServices-PauseRedshiftCluster** Amazon Redshift 叢集已暫停。 | 不允許預先設定的參數。 無限制條件 |
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config) Amazon S3 不完整的分段上傳中止組態 | **AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload** Amazon S3 儲存貯體已設定生命週期規則,以中止在特定天後仍未完成的分段上傳。 | **DaysAfterInitiation:**Amazon S3 停止未完成分段上傳的天數。預設值設定為 7 天。 無限制條件 |
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances) 執行個體的 Amazon EC2 成本最佳化建議 | 使用 Amazon EC2 執行個體建議和來自 的閒置 Amazon EC2 執行個體[受信任修復程式支援的 Compute Optimizer 建議](tr-supported-recommendations-co.md)。 | 不允許預先設定的參數。 無限制條件 |
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes) 磁碟區的 Amazon EBS 成本最佳化建議 | 使用 Amazon EBS 磁碟區建議和來自 的閒置 Amazon EBS 磁碟區[受信任修復程式支援的 Compute Optimizer 建議](tr-supported-recommendations-co.md)。 | 不允許預先設定的參數。 無限制條件 |
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) 資料庫執行個體的 Amazon RDS 成本最佳化建議 | 從 使用閒置 Amazon RDS 執行個體[受信任修復程式支援的 Compute Optimizer 建議](tr-supported-recommendations-co.md)。 | 不允許預先設定的參數。 無限制條件 |
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) AWS Lambda 函數的成本最佳化建議 | 使用來自 的 Lambda 函數建議[受信任修復程式支援的 Compute Optimizer 建議](tr-supported-recommendations-co.md)。 | 不允許預先設定的參數。 無限制條件 |
## Trusted Advisor Trusted Remediator 支援的安全檢查
| 檢查 ID 和名稱 | SSM 文件名稱和預期結果 | 支援的預先設定參數和限制條件 |
| --- | --- | --- |
| [12Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys) 存取金鑰已暴露 | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey** 公開的 IAM 存取金鑰已停用。 | 不允許預先設定的參數。 使用公開的 IAM 存取金鑰設定的應用程式無法驗證。 |
| Hs4Ma3G127 - 應啟用 API Gateway REST 和 WebSocket API 執行記錄 對應的 AWS Security Hub CSPM 檢查:[APIGateway.1](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1) | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** 執行記錄會在 API 階段上啟用。 | **LogLevel:**記錄層級以啟用執行記錄, `ERROR` - 僅針對錯誤啟用記錄。 `INFO`- 為所有事件啟用記錄。 您必須授予 API Gateway 許可,以讀取和寫入您帳戶的日誌至 CloudWatch,以啟用執行日誌,請參閱在 [API Gateway 中設定 REST APIs 的 CloudWatch 日誌](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)記錄以取得詳細資訊。 |
| Hs4Ma3G129 - API Gateway REST API 階段應該已啟用 AWS X-Ray 追蹤 對應的 AWS Security Hub CSPM 檢查:[APIGateway.3](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3) | **AWSManagedServices-EnableApiGateWayXRayTracing** 在 API 階段上啟用 X-Ray 追蹤。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G202 - API Gateway REST API 快取資料應靜態加密 對應的 AWS Security Hub CSPM 檢查:[APIGateway.5](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5) | **AWSManagedServices-EnableAPIGatewayCacheEncryption** 如果 API Gateway REST API 階段已啟用快取,請啟用 API Gateway REST API 快取資料的靜態加密。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G177 - 對應的 AWS Security Hub CSPM 檢查 - 與負載平衡器相關聯的自動擴展群組應使用負載平衡器運作狀態檢查 [AutoScaling.1](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck** Auto Scaling 群組已啟用 Elastic Load Balancing 運作狀態檢查。 | **HealthCheckGracePeriod:**Auto Scaling 在檢查已開始服務的 Amazon Elastic Compute Cloud 執行個體的運作狀態之前等待的時間,以秒為單位。 如果連接到 Auto Elastic Load Balancing 群組的任何 Elastic Load Balancing 負載平衡器回報運作狀態不佳,開啟 Elastic Load Balancing 運作狀態檢查可能會導致取代執行中的執行個體。 Auto Scaling 如需詳細資訊,請參閱[將 Elastic Load Balancing 負載平衡器連接至 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html) |
| Hs4Ma3G245 - CloudFormation 堆疊應與 Amazon Simple Notification Service 整合 對應的 AWS Security Hub CSPM 檢查:[CloudFormation.1](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1) | **AWSManagedServices-EnableCFNStackNotification** 將 CloudFormation 堆疊與 Amazon SNS 主題建立關聯以進行通知。 | **NotificationARNs:**要與所選 CloudFormation 堆疊建立關聯的 Amazon SNS 主題 ARNs。 若要啟用自動修復,必須提供`NotificationARNs`預先設定的參數。 |
| Hs4Ma3G210 - CloudFront 分佈應該已啟用記錄 對應的 AWS Security Hub CSPM 檢查:[CloudFront.2](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5) | **AWSManagedServices-EnableCloudFrontDistributionLogging** Amazon CloudFront 分佈已啟用記錄功能。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 若要啟用自動修復,必須提供下列預先設定的參數: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 如需此修復限制,請參閱[如何開啟 CloudFront 分佈的記錄功能?](https://repost.aws/knowledge-center/cloudfront-logging-requests) |
| Hs4Ma3G109 - 應啟用 CloudTrail 日誌檔案驗證 對應的 AWS Security Hub CSPM 檢查:[CloudTrail.4](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4) | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation** 啟用 CloudTrail 追蹤日誌驗證。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G108 - CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合 對應的 AWS Security Hub CSPM 檢查:[CloudTrail.5](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5) | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch** AWS CloudTrail 已與 CloudWatch Logs 整合。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 若要啟用自動修復,必須提供下列預先設定的參數: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G217 - CodeBuild 專案環境應具有記錄 AWS 組態 對應的 AWS Security Hub CSPM 檢查:[CodeBuild.4](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4) | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig** 啟用 CodeBuild 專案的記錄。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G306 - Neptune 資料庫叢集應該啟用刪除保護 對應的 AWS Security Hub CSPM 檢查:[DocumentDB.3](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot** 從 Amazon DocumentDB 手動叢集快照移除公有存取權。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G308 - Amazon DocumentDB 叢集應該啟用刪除保護 對應的 AWS Security Hub CSPM 檢查:[DocumentDB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection** 啟用 Amazon DocumentDB 叢集的刪除保護。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G323 - DynamoDB 資料表應該啟用刪除保護 對應的 AWS Security Hub CSPM 檢查:[DynamoDB.6](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection** 啟用非 AMS DynamoDB 資料表的刪除保護。 | 不允許預先設定的參數。 無限制條件 |
| [ePs02jT06w](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots) - Amazon EBS 公有快照 | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot** Amazon EBS 快照的公開存取已停用。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G118 - VPC 預設安全群組不應允許傳入或傳出流量 對應的 AWS Security Hub CSPM 檢查:[EC2.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG** 預設安全群組中的所有輸入和輸出規則都會移除。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G117 - 連接的 EBS 磁碟區應該靜態加密 對應的 AWS Security Hub CSPM 檢查:[EC2.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) | **AWSManagedServices-EncryptInstanceVolume** 執行個體上連接的 Amazon EBS 磁碟區已加密。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 作為修復的一部分,執行個體會重新啟動,如果 `DeleteStaleNonEncryptedSnapshotBackups` 設定為 `false` ,則復原可以協助還原。 |
| Hs4Ma3G120 - 在指定時段後應移除已停止的 EC2 執行個體 對應的 AWS Security Hub CSPM 檢查:[EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateInstance** (自動和手動執行模式的預設 SSM 文件) Amazon EC2 執行個體已停止 30 天。 | **CreateAMIBeforeTermination:**。若要在終止 EC2 執行個體之前建立執行個體 AMI 做為備份,請選擇 `true`。若要在終止之前不建立備份,請選擇 `false`。預設值為 `true`。 無限制條件 |
| Hs4Ma3G120 - 在指定時段後應移除已停止的 EC2 執行個體 對應的 AWS Security Hub CSPM 檢查:[EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateEC2InstanceStoppedForPeriodOfTime** - 在 Security Hub 中定義的天數內停止的 Amazon EC2 執行個體 (預設值為 30) 會終止。 | **CreateAMIBeforeTermination:**若要在終止 EC2 執行個體之前建立執行個體 AMI 做為備份,請選擇 `true`。若要在終止之前不建立備份,請選擇 `false`。預設值為 `true`。 無限制條件 |
| Hs4Ma3G121 - 應啟用 EBS 預設加密 對應的 AWS Security Hub CSPM 檢查:[EC2.7](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7) | **AWSManagedServices-EncryptEBSByDefault** Amazon EBS 加密預設為針對特定 啟用 AWS 區域 | 不允許預先設定的參數。 預設加密是區域特有設定。如果您為區域啟用此功能,則無法針對該區域中的個別磁碟區或快照停用此功能。 |
| Hs4Ma3G124 - Amazon EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2) 對應的 AWS Security Hub CSPM 檢查:[EC2.8](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) | **AWSManagedServices-TrustedRemediator****EnableEC2InstanceIMDSv2** Amazon EC2 執行個體使用執行個體中繼資料服務第 2 版 (IMDSv2)。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 無限制條件 |
| Hs4Ma3G207 - EC2 子網路不應自動指派公有 IP 地址 對應的 AWS Security Hub CSPM 檢查:[EC2.15](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15) | **AWSManagedServices-UpdateAutoAssignPublicIpv4Addresses** VPC 子網路設定為不會自動指派公有 IP 地址。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G209 - 移除未使用的網路存取控制清單 對應的 AWS Security Hub CSPM 檢查:[EC2.16](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16) | **AWSManagedServices-DeleteUnusedNACL** 刪除未使用的網路 ACL | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G215 - 應移除未使用的 Amazon EC2 安全群組 對應的 AWS Security Hub CSPM 檢查:[EC2.22](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22) | **AWSManagedServices-DeleteSecurityGroups** 刪除未使用的安全群組。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G247 - Amazon EC2 Transit Gateway 不應自動接受 VPC 連接請求 對應的 AWS Security Hub CSPM 檢查:[EC2.23](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach** - 停用自動接受指定非 AMS Amazon EC2 Transit Gateway 的 VPC 連接請求。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G235 - ECR 私有儲存庫應設定標籤不可變性 對應的 AWS Security Hub CSPM 檢查:[ECR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability** 將指定儲存庫的影像標籤可變性設定設定為 IMMUTABLE。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G216 - ECR 儲存庫應至少設定一個生命週期政策 對應的 AWS Security Hub CSPM 檢查:[ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy** ECR 儲存庫已設定生命週期政策。 | **LifecyclePolicyText:**要套用至儲存庫的 JSON 儲存庫政策文字。 若要啟用自動修復,必須提供下列預先設定的參數: **LifecyclePolicyText** |
| Hs4Ma3G325 - EKS 叢集應該啟用稽核記錄 對應的 AWS Security Hub CSPM 檢查:[EKS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog** EKS 叢集已啟用稽核日誌。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G183 - 應用程式負載平衡器應設定為捨棄 HTTP 標頭 對應的 AWS Security Hub CSPM 檢查:[ELB.4](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4) | **AWSConfigRemediation-DropInvalidHeadersForALB** Application Load Balancer 設定為無效的標頭欄位。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G184 - 應啟用 Application Load Balancer 和 Classic Load Balancer 記錄 對應的 AWS Security Hub CSPM 檢查:[ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLogging (自動和手動執行模式的預設 SSM 文件)** Application Load Balancer 和 Classic Load Balancer 記錄已啟用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 若要啟用自動修復,必須提供下列預先設定的參數: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) Amazon S3 儲存貯體必須有儲存貯體政策,授予 Elastic Load Balancing 將存取日誌寫入儲存貯體的許可。 |
| Hs4Ma3G184 - 應啟用 Application Load Balancer 和 Classic Load Balancer 記錄 對應的 AWS Security Hub CSPM 檢查:[ELB.5](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) | **AWSManagedServices-EnableELBLoggingV2** Application Load Balancer 和 Classic Load Balancer 記錄已啟用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4Ma3G326 - 應啟用 Amazon EMR 封鎖公開存取設定 對應的 AWS Security Hub CSPM 檢查:[EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess** 帳戶已開啟 Amazon EMR 封鎖公開存取設定。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G135 - AWS KMS 金鑰不應意外刪除 對應的 AWS Security Hub CSPM 檢查:[KMS.3](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) | **AWSManagedServices-CancelKeyDeletion** AWS KMS 金鑰刪除已取消。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G299 - Amazon DocumentDB 手動叢集快照不應公開 對應的 AWS Security Hub CSPM 檢查:[Neptune.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection** 啟用 Amazon Neptune 叢集的刪除保護。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G319 - Network Firewall 防火牆應該啟用刪除保護 對應 AWS Security Hub CSPM 檢查:[NetworkFirewall.9](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection** - 啟用 AWS Network Firewall 的刪除保護。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G223 - OpenSearch 網域應該加密節點之間傳送的資料 對應的 AWS Security Hub CSPM 檢查:[OpenSearch.3](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3) | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption** 網域已啟用節點對節點加密。 | 不允許預先設定的參數。 啟用node-to-node加密後,您無法停用設定。反之,請手動擷取加密網域的快照、建立另一個網域、遷移您的資料,然後刪除舊網域。 |
| Hs4Ma3G222 - 應啟用記錄至 CloudWatch Logs 的 OpenSearch 網域錯誤 對應的 AWS Security Hub CSPM 檢查:[Opensearch.4](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch 網域已啟用錯誤記錄。 | CloudWatchLogGroupArn:anAmazon CloudWatch Logs 日誌群組的 ARN。 若要啟用自動修復,必須提供下列預先設定的參數:**CloudWatchLogGroupArn**。 Amazon CloudWatch 資源政策必須設定 許可。如需詳細資訊,請參閱《*Amazon OpenSearch Service 使用者指南*》中的[啟用稽核日誌](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) |
| Hs4Ma3G221 - OpenSearch 網域應該啟用稽核記錄 對應的 AWS Security Hub CSPM 檢查:[Opensearch.5](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch 網域設定為啟用稽核記錄。 | **CloudWatchLogGroupArn:**要發佈日誌的 CloudWatch Logs 群組 ARN。 若要啟用自動修復,必須提供下列預先設定的參數:**CloudWatchLogGroupArn** Amazon CloudWatch 資源政策必須設定 許可。如需詳細資訊,請參閱《*Amazon OpenSearch Service 使用者指南*》中的[啟用稽核日誌](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) |
| Hs4Ma3G220 - 應使用 TLS 1.2 加密與 OpenSearch 網域的連線 對應的 AWS Security Hub CSPM 檢查:[Opensearch.8](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2** TLS 政策設定為 `Policy-Min-TLS-1-2-2019-07`,且僅允許透過 HTTPS (TLS) 的加密連線。 | 不允許預先設定的參數。 使用 TLS 1.2 需要連線至 OpenSearch 網域。加密傳輸中的資料可能會影響效能。使用此功能測試您的應用程式,以了解效能描述檔和 TLS 的影響。 |
| Hs4Ma3G194 - Amazon RDS 快照應為私有 對應的 AWS Security Hub CSPM 檢查:[RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** Amazon RDS 快照的公開存取已停用。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G192 - RDS 資料庫執行個體應禁止公開存取,如 PubliclyAccessible AWS 組態所決定 對應的 AWS Security Hub CSPM 檢查:[RDS.2](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance** 在 RDS 資料庫執行個體上停用公有存取。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G189 - 針對 Amazon RDS 資料庫執行個體設定增強型監控 對應的 AWS Security Hub CSPM 檢查:[RDS.6](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring** 啟用 Amazon RDS 資料庫執行個體的增強型監控 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 如果在自動化執行之前啟用增強型監控,則此自動化可能會使用預先設定參數中設定的 MonitoringInterval 和 MonitoringRoleName 值來覆寫設定。 |
| Hs4Ma3G190 - Amazon RDS 叢集應該啟用刪除保護 對應的 AWS Security Hub CSPM 檢查:[RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** Amazon RDS 叢集已啟用刪除保護。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G198 - Amazon RDS 資料庫執行個體應啟用刪除保護 對應的 AWS Security Hub CSPM 檢查:[RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** Amazon RDS 執行個體已啟用刪除保護。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G199 - RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs 對應的 AWS Security Hub CSPM 檢查:[RDS.9](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports** 已針對 RDS 資料庫執行個體或 RDS 資料庫叢集啟用 RDS 日誌匯出。 | 不允許預先設定的參數。 服務連結角色 [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) 為必要項目。 |
| Hs4Ma3G160 - 應為 RDS 執行個體設定 IAM 身分驗證 對應的 AWS Security Hub CSPM 檢查:[RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** AWS Identity and Access Management 已為 RDS 執行個體啟用身分驗證。 | **ApplyImmediately:**指出是否盡快非同步套用此請求中的修改和任何待定修改,若要立即套用變更,請選擇 `true`。若要排程下一個維護時段的變更,請選擇 `false`。 無限制條件 |
| Hs4Ma3G161 - 應為 RDS 叢集設定 IAM 身分驗證 對應的 AWS Security Hub CSPM 檢查:[RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** RDS 叢集已啟用 IAM 身分驗證。 | **ApplyImmediately:**指出此請求中的修改和任何待定修改是否以非同步方式盡快套用,若要立即套用變更,請選擇 `true`。若要排程下一個維護時段的變更,請選擇 `false`。 無限制條件 |
| Hs4Ma3G162 - 應啟用 RDS 自動次要版本升級 對應的 AWS Security Hub CSPM 檢查:[RDS.13](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade** Amazon RDS 的自動次要版本升級組態已啟用。 | 不允許預先設定的參數。 Amazon RDS 執行個體必須處於 `available` 狀態,才能進行此修復。 |
| Hs4Ma3G163 - RDS 資料庫叢集應設定為將標籤複製到快照 對應的 AWS Security Hub CSPM 檢查:[RDS.16](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagtosnapshot` Amazon RDS 叢集的設定已啟用。 | 不允許預先設定的參數。 Amazon RDS 執行個體必須處於可用狀態,才能進行此修復。 |
| Hs4Ma3G164 - RDS 資料庫執行個體應設定為將標籤複製到快照 對應的 AWS Security Hub CSPM 檢查:[RDS.17](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagsToSnapshot` Amazon RDS 的設定已啟用。 | 不允許預先設定的參數。 Amazon RDS 執行個體必須處於可用狀態,才能進行此修復。 |
| [rSs93HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots) Amazon RDS 公有快照 | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** Amazon RDS 快照的公開存取已停用。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G103 - Amazon Redshift 叢集應禁止公開存取 對應的 AWS Security Hub CSPM 檢查:[Redshift.1](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster** Amazon Redshift 叢集上的公開存取已停用。 | 不允許預先設定的參數。 停用公有存取會封鎖來自網際網路的所有用戶端。而且 Amazon Redshift 叢集處於修改狀態幾分鐘,而修復會停用叢集上的公有存取。 |
| Hs4Ma3G106 - Amazon Redshift 叢集應該啟用稽核記錄 對應的 AWS Security Hub CSPM 檢查:[Redshift.4](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging** 稽核記錄會在維護時段期間啟用到您的 Amazon Redshift 叢集。 | 不允許預先設定的參數。 若要啟用自動修復,必須提供下列預先設定的參數。 **BucketName:**儲存貯體必須位於相同的 中 AWS 區域。叢集必須具有讀取儲存貯體並放置物件許可。 如果在自動化執行之前啟用 Redshift 叢集記錄,則記錄設定可能會由此自動化覆寫,並在預先設定的參數中設定 `BucketName`和 `S3KeyPrefix`值。 |
| Hs4Ma3G105 - Amazon Redshift 應已啟用自動升級至主要版本 對應的 AWS Security Hub CSPM 檢查:[Redshift.6](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade** - 主要版本升級會在維護時段期間自動套用至叢集。Amazon Redshift 叢集不會立即停機,但如果升級到主要版本,您的 Amazon Redshift 叢集可能會在維護時段期間停機。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G104 - Amazon Redshift 叢集應使用增強型 VPC 路由 對應的 AWS Security Hub CSPM 檢查:[Redshift.7](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting** Amazon Redshift 叢集已啟用增強型 VPC 路由。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G173 - 應在儲存貯體層級啟用 S3 封鎖公開存取設定 對應的 AWS Security Hub CSPM 檢查:[S3.8](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8) | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** 儲存貯體層級的公有存取區塊會套用至 Amazon S3 儲存貯體。 | 不允許預先設定的參數。 此修復可能會影響 S3 物件可用性。如需 Amazon S3 如何評估存取權的資訊,請參閱[封鎖對 Amazon S3 儲存體的公開存取權](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)。 |
| Hs4Ma3G230 - 應啟用 S3 儲存貯體伺服器存取記錄 對應的 AWS Security Hub CSPM 檢查:[S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-EnableBucketAccessLogging** (自動和手動執行模式的預設 SSM 文件) Amazon S3 伺服器存取記錄已啟用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 若要啟用自動修復,必須提供下列預先設定的參數:**TargetBucket**。 目的地儲存貯體必須與來源儲存貯體位於相同 AWS 帳戶 AWS 區域 且具有正確的日誌交付許可。如需詳細資訊,請參閱[啟用 Amazon S3 伺服器存取記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
| Hs4Ma3G230 – 應啟用 S3 儲存貯體伺服器存取記錄 對應的 AWS Security Hub CSPM 檢查:[S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** - 已啟用 Amazon S3 儲存貯體記錄。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 若要啟用自動修復,必須提供下列參數:**TargetBucketTagKey** 和 **TargetBucketTagValue**。 目的地儲存貯體必須與來源儲存貯體位於相同 AWS 帳戶 AWS 區域 且具有正確的日誌交付許可。如需詳細資訊,請參閱[啟用 Amazon S3 伺服器存取記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
| [Pfx0RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) Amazon S3 儲存貯體許可 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** 封鎖公有存取權 | 不允許預先設定的參數。 此檢查包含多個提醒條件。此自動化可修復公有存取問題。不支援修復 Trusted Advisor 標記的其他組態問題。此修復支援修復 AWS 服務 已建立的 S3 儲存貯體 (例如 cf-templates-000000000000)。 |
| Hs4Ma3G272 - 使用者不應擁有 SageMaker 筆記本執行個體的根存取權 對應的 AWS Security Hub CSPM 檢查:[SageMaker.3](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3) | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess** SageMaker 筆記本執行個體已停用使用者的根存取權。 | 不允許預先設定的參數。 如果 SageMaker 筆記本執行個體處於 InService 狀態,則此修復會導致中斷。 |
| Hs4Ma3G179 - SNS 主題應使用 靜態加密 AWS KMS 對應的 AWS Security Hub CSPM 檢查:[SNS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) | **AWSManagedServices-EnableSNSEncryptionAtRest** SNS 主題是以伺服器端加密設定。 | **KmsKeyId:**Amazon SNS 的 AWS 受管客戶主金鑰 (CMK) 或用於伺服器端加密 (SSE) 的自訂 CMK ID。預設值設為 `alias/aws/sns`。 如果使用自訂 AWS KMS 金鑰,則必須設定正確的許可。如需詳細資訊,請參閱[啟用 Amazon SNS 主題的伺服器端加密 (SSE)](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) |
| Hs4Ma3G158 - SSM 文件不應公開 對應的 AWS Security Hub CSPM 檢查:[SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing** - 停用 SSM 文件的公開共用。 | 不允許預先設定的參數。 無限制條件 |
| Hs4Ma3G136 - Amazon SQS 佇列應靜態加密 對應的 AWS Security Hub CSPM 檢查:[SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest** Amazon SQS 中的訊息會加密。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 對加密佇列的匿名 SendMessage 和 ReceiveMessage 請求會遭到拒絕。所有對啟用 SSE 之佇列的請求都必須使用 HTTPS 和簽章版本 4。 |
## Trusted Advisor Trusted Remediator 支援的容錯能力檢查
| 檢查 ID 和名稱 | SSM 文件名稱和預期結果 | 支援的預先設定參數和限制條件 |
| --- | --- | --- |
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery) Amazon DynamoDB 時間點復原 | **AWSManagedServices-TrustedRemediatorEnableDDBPITR** 啟用 DynamoDB 資料表的point-in-time復原。 | 不允許預先設定的參數。 無限制條件 |
| [R365s2Qddf](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) Amazon S3 Bucket Versioning | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning** Amazon S3 儲存貯體版本控制已啟用。 | 不允許預先設定的參數。 此修復不支援修復 AWS 服務 已建立的 S3 儲存貯體 (例如 cf-templates-000000000000)。 |
| [BueAdJ7NrP](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging) Simple Storage Service (Amazon S3) 儲存貯體記錄 | **AWSManagedServices-EnableBucketAccessLogging** Amazon S3 儲存貯體記錄已啟用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 若要啟用自動修復,必須提供下列預先設定的參數: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 目的地儲存貯體必須與來源儲存貯體位於相同 AWS 帳戶 AWS 區域 且具有正確的日誌交付許可。如需詳細資訊,請參閱[啟用 Amazon S3 伺服器存取記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
| [f2iK5R6Dep](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az) Amazon RDS Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ** 已啟用多可用區域部署。 | 不允許預先設定的參數。 在此變更期間,可能會發生效能降低。 |
| [H7IgTzjTYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots) Amazon EBS 快照 | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot** Amazon EBSsnapshots 已建立。 | 不允許預先設定的參數。 無限制條件 |
| [opQPADkZvH](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) RDS 備份 | **AWSManagedServices-EnableRDSBackupRetention** 資料庫已啟用 Amazon RDS 備份保留。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 如果 `ApplyImmediately` 參數設定為 `true`,則 db 上的待定變更會與 RDSBackup 保留設定一起套用。 |
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Amazon RDS 資料庫執行個體已關閉儲存體自動調整規模 | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling** - 針對 Amazon RDS 資料庫執行個體啟用儲存體自動擴展。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 無限制條件 |
| [7qGXsKIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining) Classic Load Balancer 連線耗盡 | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining** Classic Load Balancer 已啟用連線耗盡。 | **ConnectionDrainingTimeout:**取消註冊執行個體之前,保持現有連線開啟的最長時間,以秒為單位。預設值設為`300`秒。 無限制條件 |
| [c18d2gz106](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan) AWS Backup 計劃中不包含 Amazon EBS | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan** Amazon EBS 包含在 AWS Backup 計劃中。 | 修復會使用下列標籤對來標記 Amazon EBS 磁碟區。標籤對必須符合 的標籤型資源選擇條件 AWS Backup。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 無限制條件 |
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan) AWS Backup 計劃中不包含 Amazon DynamoDB 資料表 | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan**AddDynamoDBToBackupPlan Amazon DynamoDB 資料表包含在 AWS Backup 計劃中。 | 修復會使用下列標籤對來標記 Amazon DynamoDB。標籤對必須符合 的標籤型資源選擇條件 AWS Backup。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 無限制條件 |
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan) AWS Backup 計劃中不包含 Amazon EFS | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan** Amazon EFS 包含在 AWS Backup 計劃中。 | 修復會使用下列標籤對來標記 Amazon EFS。標籤對必須符合 的標籤型資源選擇條件 AWS Backup。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 無限制條件 |
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing) 跨負載平衡的 Network Load Balancer | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing** Network Load Balancer 上已啟用跨區域負載平衡。 | 不允許預先設定的參數。 無限制條件 |
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off) Amazon RDS `synchronous_commit` 參數已關閉 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的 參數`synchronous_commit`已開啟。 | 不允許預先設定的參數。 無限制條件 |
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off) Amazon RDS `innodb_flush_log_at_trx_commit` 參數不是 `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS `1` 的 參數`innodb_flush_log_at_trx_commit`設定為 。 | 不允許預先設定的參數。 無限制條件 |
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off) Amazon RDS `sync_binlog` 參數已關閉 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的 參數`sync_binlog`已開啟。 | 不允許預先設定的參數。 無限制條件 |
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe) Amazon RDS `innodb_default_row_format` 參數設定不安全 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS `DYNAMIC` 的 參數`innodb_default_row_format`設定為 。 | 不允許預先設定的參數。 無限制條件 |
| [c18d2gz144](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled) 未啟用 Amazon EC2 詳細監控 | **AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring** Amazon EC2 已啟用詳細監控。 | 不允許預先設定的參數。 無限制條件 |
## Trusted Advisor Trusted Remediator 支援的效能檢查
| 檢查 ID 和名稱 | SSM 文件名稱和預期結果 | 支援的預先設定參數和限制條件 |
| --- | --- | --- |
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size) AWS Lambda 記憶體大小的佈建不足函數 | **AWSManagedServices-ResizeLambdaMemory** Lambda 函數的記憶體大小會調整為 提供的建議記憶體大小 Trusted Advisor。 | **RecommendedMemorySize:**Lambda 函數的建議記憶體配置。值範圍介於 128 和 10240 之間。 如果在自動化執行之前修改 Lambda 函數大小,則此自動化可能會以 建議的值覆寫設定 Trusted Advisor。 |
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances) Amazon EC2 執行個體高使用率 | **AWSManagedServices-ResizeInstanceByOneLevel** Amazon EC2 執行個體的大小會由相同執行個體系列類型的一個執行個體類型調整。執行個體會在調整大小操作期間停止和啟動,並在執行完成後返回初始狀態。此自動化不支援調整 Auto Scaling 群組中的執行個體大小。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 無限制條件 |
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal) 使用低於最佳值的 Amazon RDS `innodb_change_buffering` 參數 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的 `innodb_change_buffering` 參數值設定為 `NONE` 。 | 不允許預先設定的參數。 無限制條件 |
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off) Amazon RDS `autovacuum` 參數已關閉 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的 參數`autovacuum`已開啟。 | 不允許預先設定的參數。 無限制條件 |
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off) Amazon RDS `enable_indexonlyscan` 參數已關閉 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的 參數`enable_indexonlyscan`已開啟。 | 不允許預先設定的參數。 無限制條件 |
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off) Amazon RDS `enable_indexscan` 參數已關閉 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的 參數`enable_indexscan`已開啟。 | 不允許預先設定的參數。 無限制條件 |
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off) Amazon RDS `innodb_stats_persistent` 參數已關閉 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的 參數`innodb_stats_persistent`已開啟。 | 不允許預先設定的參數。 無限制條件 |
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on) Amazon RDS `general_logging` 參數已開啟 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的參數`general_logging`已關閉。 | 不允許預先設定的參數。 無限制條件 |
## Trusted Advisor Trusted Remediator 支援的 服務限制檢查
| 檢查 ID 和名稱 | SSM 文件名稱和預期結果 | 支援的預先設定參數和限制條件 |
| --- | --- | --- |
| [lN7RR0l7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address) EC2-VPC 彈性 IP 地址 | **AWSManagedServices-UpdateVpcElasticIPQuota** 系統會請求 EC2-VPC 彈性 IP 地址的新限制。根據預設,限制會增加 3。 | **增量:**增加目前配額的數字。預設值為 `3`。 如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次,則可能會提高限制。 |
| [kM7QQ0l7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways) VPC 網際網路閘道 | **AWSManagedServices-IncreaseServiceQuota** - 請求 VPC 網際網路閘道的新限制。根據預設,限制會增加 3。 | **增加:**增加目前配額的數字。預設值為 `3`。 如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次,則可能會提高限制。 |
| [jL7PP0l7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check) VPC | **AWSManagedServices-IncreaseServiceQuota** 已請求 VPC 的新限制。根據預設,限制會增加 3。 | **增加:**增加目前配額的數字。預設值為 `3`。 如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次,則可能會提高限制。 |
| [fW7HH0l7J9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups) Auto Scaling 群組 | **AWSManagedServices-IncreaseServiceQuota** 已請求 Auto Scaling 群組的新限制。根據預設,限制會增加 3。 | **增加:**增加目前配額的數字。預設值為 `3`。 如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次,則可能會提高限制。 |
| [3Njm0DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups) RDS 選項群組 | **AWSManagedServices-IncreaseServiceQuota** 已請求 Amazon RDS 選項群組的新限制。根據預設,限制會增加 3。 | **增加:**增加目前配額的數字。預設值為 `3`。 如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次,則可能會提高限制。 |
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers) ELB Application Load Balancer | **AWSManagedServices-IncreaseServiceQuota** 會請求 ELB Application Load Balancer 的新限制。根據預設,限制會增加 3。 | **增加:**增加目前配額的數字。預設值為 `3`。 如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次,則可能會提高限制。 |
| [8wIqYSt25K](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers) ELB Network Load Balancer | **AWSManagedServices-IncreaseServiceQuota** 會請求 ELB Network Load Balancer 的新限制。根據預設,限制會增加 3。 | **增加:**增加目前配額的數字。預設值為 `3`。 如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次,則可能會提高限制。 |
## Trusted Advisor Trusted Remediator 支援的卓越營運檢查
| 檢查 ID 和名稱 | SSM 文件名稱和預期結果 | 支援的預先設定參數和限制條件 |
| --- | --- | --- |
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled) Amazon API Gateway 未記錄執行日誌 | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** 執行記錄會在 API 階段上啟用。 | 不允許預先設定的參數。 您必須授予 API Gateway 許可,以讀取和寫入您帳戶的日誌至 CloudWatch,以啟用執行日誌,請參閱在 [API Gateway 中設定 REST APIs的 CloudWatch 日誌](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)記錄以取得詳細資訊。 |
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled) 未針對負載平衡器啟用 Elastic Load Balancing 刪除保護 | 為 Elastic Load Balancer 開啟 **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection** - 刪除保護。 | 不允許預先設定的參數。 無限制條件 |
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off) Amazon RDS Performance Insights 已關閉 | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights** Amazon RDS 的績效詳情已開啟。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 無限制條件 |
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled) 已啟用 Amazon S3 存取日誌 | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** Amazon S3 儲存貯體存取記錄已啟用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/tr-supported-checks.html) 若要啟用自動修復,必須提供下列預先設定的參數:**TargetBucketTagKey** 和 **TargetBucketTagValue**。 目的地儲存貯體必須與來源儲存貯體位於相同 AWS 帳戶 AWS 區域 且具有正確的日誌交付許可。如需詳細資訊,請參閱[啟用 Amazon S3 伺服器存取記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
# 在信任的修復程式中設定 Trusted Advisor 檢查修復
組態會存放在 中 AWS AppConfig ,做為信任的修復程式應用程式的一部分。每個 Trusted Advisor 檢查類別都有單獨的組態描述檔。如需 Trusted Advisor 類別的詳細資訊,請參閱[檢視檢查類別](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor.html#view-check-categories)。
您可以根據每個資源或每個 Trusted Advisor 檢查來設定修復。您可以使用資源標籤套用例外狀況。
**注意**
問題 Trusted Advisor 清單的修復目前是使用 設定 AWS AppConfig,且此功能目前完全支援。AMS 預期這會在未來變更。最佳實務是避免建置相依的自動化 AWS AppConfig,因為此方法可能會有所變更。請注意,為了實現相容性,您可能需要更新或修改以目前 AWS AppConfig 實作為基礎的自動化。
Compute Optimizer -> EC2 執行個體功能旗標具有額外的參數:
**allow-upscale** 允許升級佈建不足的非最佳化 EC2 執行個體。預設值為 "false"。
**min-savings-opportunity-percentage** 自動化修復的最低節省百分比機會。預設值為 10%
## 預設修復組態
個別 Trusted Advisor 檢查的組態會儲存為 AWS AppConfig 旗標。旗標名稱符合檢查名稱。每個檢查組態都包含下列屬性:
+ **execution-mode:**決定信任的修復程式如何執行預設修復:
+ **自動化:**信任的修復程式會自動修復資源,方法是建立 OpsItem、執行 SSM 文件,然後在成功執行後解決 OpsItem。
+ **手動:**OpsItem 已建立,但 SSM 文件不會自動執行。您可以從 AWS Systems Manager OpsCenter 主控台中的 OpsItem 檢閱並手動執行 SSM 文件。
+ **條件式:**修補預設為停用。您可以使用標籤為特定資源啟用此功能。如需詳細資訊,請參閱下列各節[使用資源標籤自訂修復](#tr-con-rem-customize-tags)和 [使用資源覆寫標籤自訂修復](#tr-con-rem-resource-override)。
+ **非作用中:**不會發生修復,也不會建立 OpsItem。您無法覆寫設定為非作用中之 Trusted Advisor 檢查的執行模式。
+ **pre configured-parameters:**輸入自動化修復所需的 SSM 文件參數值,格式為 `Parameter=Value` ,以逗號 (,) 分隔。[Trusted Advisor Trusted Remediator 支援的檢查](tr-supported-checks.md) 如需每個檢查之相關聯 SSM 文件的支援預先設定參數,請參閱 。
+ **alternative-automation-document:**此屬性有助於使用另一個支援的文件 (如果適用於特定檢查) 覆寫現有的自動化文件。根據預設,不會選取此屬性。
**注意**
`alternative-automation-document` 屬性不支援自訂自動化文件。您可以使用 中列出的現有支援信任的修復程式自動化文件[Trusted Advisor Trusted Remediator 支援的檢查](tr-supported-checks.md)。
例如,針對檢查 `Qch7DwouX1`,有三個相關聯的 SSM 文件:AWSManagedServices-StopEC2Instance、AWSManagedServices-ResizeInstanceByOneLevel 和 AWSManagedServices-TerminateInstance。的值`alternative-automation-document`可以是 AWSManagedServices-ResizeInstanceByOneLevel 或 AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance 是要修復 的預設 SSM 文件`Qch7DwouX1`)。
每個屬性的值必須符合該屬性的限制。
**提示**
套用 Trusted Advisor 檢查的預設組態之前,最佳實務是考慮使用下列各節所述的資源標記和資源覆寫功能。預設組態會套用至帳戶內的所有資源,這在所有情況下可能並不理想。
以下是範例主控台螢幕擷取畫面,其中**執行模式**設定為**手動**,且屬性符合其限制條件。
![\[Trusted Remediator 執行模式決策工作流程的圖例。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/tr-exe-mode-man-new.png)
## 使用資源標籤自訂修復
檢查組態中的**automated-for-tagged-only**屬性和**manual-for-tagged-only**屬性,可讓您針對如何修復個別檢查指定資源標籤。當您需要將一致的修補行為套用至共用相同標籤的資源群組時,最佳實務是使用此方法。以下是這些標籤的說明:
+ **automated-for-tagged-only:**指定資源標籤 (一或多個標籤對,以逗號分隔),讓檢查自動修復,無論預設執行模式為何。
+ **manual-for-tagged-only:**為應手動執行的修復指定資源標籤 (一或多個標籤對,逗號分隔),無論預設執行模式為何。
例如,如果您想要為所有非生產資源啟用自動修復,並強制執行生產資源的手動修復,您可以設定組態,如下所示:
```
"execution-mode": "Conditional",
"automated-for-tagged-only": "Environment=Non-Production",
"manual-for-tagged-only": "Environment=Production",
```
在您的 資源上設定上述組態後,請檢查修復行為,如下所示:
+ 標記 'Environment=Non-Production' 的資源會自動修復。
+ 標記為 'Environment=Production' 的資源需要手動介入才能修復。
+ 沒有 'Environment' 標籤的資源遵循預設執行模式 (在此情況下為 `Conditional`。 因此,不會對剩餘的資源採取任何動作)。
如需組態的其他支援,請聯絡您的 Cloud Architect。
## 使用資源覆寫標籤自訂修復
資源覆寫標籤可讓您自訂個別資源的修補行為,無論其標籤為何。透過將特定標籤新增至資源,您可以覆寫該資源的預設執行模式和 Trusted Advisor 檢查。資源覆寫標籤優先於預設組態和資源標記設定。因此,如果您使用資源覆寫標籤將資源的預設執行模式設定為**自動**、**手動**或**條件式**,則會覆寫預設執行模式和任何資源標記組態。
若要覆寫資源的執行模式,請完成下列步驟:
1. 識別您要覆寫修復組態的資源。
1. 決定您要覆寫之 Trusted Advisor 檢查的檢查 ID。您可以在 中找到受支援檢查IDs[Trusted Advisor Trusted Remediator 支援的檢查](tr-supported-checks.md)。 Trusted Advisor
1. 使用下列索引鍵和值將標籤新增至資源:
+ **標籤索引鍵:** `TR-Trusted Advisor check ID-Execution-Mode` (區分大小寫)
在上述標籤索引鍵範例中,將 取代`Trusted Advisor check ID`為您要覆寫之 Trusted Advisor 檢查的唯一識別。
+ **標籤值:**將下列其中一個值用於標籤值:
+ **自動化:**信任的修復程式會自動修復此 Trusted Advisor 檢查的資源。
+ **手動:**為資源建立 OpsItem,但不會自動執行修復。您可以從 OpsItem 手動檢閱和執行修復。
+ **非作用中:**不會為此資源和指定的 Trusted Advisor 檢查執行修復和 OpsItem 建立。
例如,若要使用 Trusted Advisor 檢查 ID 自動修復 Amazon EBS 磁碟區,請將`DAvU99Dc4C`標籤新增至 EBS 磁碟區。**標籤索引鍵**為 `TR-DAvU99Dc4C-Execution-Mode`,**標籤值**為 `Automated`。
以下是顯示**標籤**區段的 主控台範例:
![\[主控台上的標籤區段範例。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/tr-tags-example.png)
# 執行模式決策工作流程
有多個層級可為您的資源和每個 Trusted Advisor 檢查設定執行模式。下圖顯示 Trusted Remediator 如何根據您的組態決定要使用的執行模式:
![\[Trusted Remediator 執行模式決策工作流程的圖例。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/tr-ex-mode-workflow.png)
# 設定修復教學課程
下列教學課程提供在信任的修復程式中建立常見修復的範例
## 手動修復所有資源
此範例會設定 Trusted Advisor 檢查 ID DAvU99Dc4C (未充分利用的 Amazon EBS 磁碟區) 的所有 Amazon EBS 磁碟區的手動修復。
**使用檢查 ID DAvU99Dc4C 設定 Amazon EBS 磁碟區的手動修復**
1. 在 https://[https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig) 開啟 AWS AppConfig 主控台。
請確定您以**委派管理員**帳戶身分登入。
1. 從應用程式清單中選取**信任的修復程式**。
1. 選擇**成本最佳化**組態設定檔。
1. 選取**未充分利用的 Amazon EBS 磁碟區**旗標。
1. 對於**執行模式**,選取**手動**。
1. 請確定**automated-for-tagged-only**和**manual-for-tagged-only**屬性為空白。這些屬性用於覆寫具有相符標籤之資源的預設執行模式。
以下是**屬性**區段的範例,其中空白值表示**automated-for-tagged-only**和**manual-for-tagged-only**,**而手動**表示**執行模式**:
![\[屬性區段的範例。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/tr-tutorial1.png)
1. 選擇**儲存**以更新值,然後選擇**儲存新版本**以套用變更。您必須選擇**儲存新版本**,信任的修復程式才能辨識變更。
1. 請確定您的 Amazon EBS 磁碟區沒有具有 金鑰的標籤`TR-DAvU99Dc4C-Execution-Mode`。此標籤金鑰會覆寫該 EBS 磁碟區的預設執行模式。
## 自動修復所有資源,但選取的資源除外
此範例會針對具有 Trusted Advisor 檢查 ID DAvU99Dc4C (未充分利用的 Amazon EBS 磁碟區) 的所有 Amazon EBS 磁碟區設定自動修復,但不會修復的指定磁碟區 (指定**為非作用中**) 除外。
**使用檢查 ID DAvU99Dc4C 設定 Amazon EBS 磁碟區的自動修復,所選非作用中資源除外**
1. 在 https://[https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig) 開啟 AWS AppConfig 主控台。
請確定您以**委派管理員**帳戶身分登入。
1. 從應用程式清單中選取**信任的修復程式**。
1. 選擇**成本最佳化**組態設定檔。
1. 選取**未充分利用的 Amazon EBS 磁碟區**旗標。
1. 針對**執行模式**,選取**自動化**。
1. 請確定**automated-for-tagged-only**和**manual-for-tagged-only**屬性為空白。這些屬性用於覆寫具有相符標籤之資源的預設執行模式。
以下是**屬性**區段的範例,其中空白值表示**automated-for-tagged-only**和**manual-for-tagged-only**,而 **自動化**表示**執行模式**:
![\[屬性區段的範例。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/tr-tutorial2.png)
1. 選擇**儲存**以更新值,然後選擇**儲存新版本**以套用變更。您必須選擇**儲存新版本**,信任的修復程式才能辨識變更。
此時,所有 Amazon EBS 磁碟區都會設定為自動修復。
1. 覆寫所選 Amazon EBS 磁碟區的自動修復:
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 選擇**彈性區塊存放**區、**磁碟區**。
1. 選擇**標籤**。
1. 選擇**管理標籤**。
1. 新增下列標籤:
+ **金鑰:**TR-DAvU99Dc4C-Execution-Mode
+ **值:**非作用中
以下是**標籤**區段的範例,其中顯示**金鑰**和**值**欄位:
![\[屬性區段的範例。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/tr-tutorial-inactive.png)
1. 針對您要從修復中排除的所有 Amazon EBS 磁碟區,重複步驟 2 到 5。
## 自動修復已標記的資源
此範例會針對具有 Trusted Advisor 檢查 ID DAvU99Dc4C (未充分利用的 Amazon EBS 磁碟區) `Stage=NonProd`標籤的所有 Amazon EBS 磁碟區設定自動修復。所有其他沒有此標籤的資源都無法修復。
**使用檢查 ID DAvU99Dc4C 的標籤`Stage=NonProd`設定 Amazon EBS 磁碟區的自動修復**
1. 在 https://[https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig) 開啟 AWS AppConfig 主控台。
請確定您以**委派管理員**帳戶身分登入。
1. 從應用程式清單中選取**信任的修復程式**。
1. 選擇**成本最佳化**組態設定檔。
1. 選取**未充分利用的 Amazon EBS 磁碟區**旗標。
1. 對於**執行模式**,選取**條件式**。
1. 將**automated-for-tagged-only**設為 `Stage=NonProd`。此屬性會覆寫具有相符標籤之資源`execution-mode`的預設值。確定**manual-for-tagged-only**屬性為空白。
以下是**屬性**區段的範例,其中**automated-for-tagged-only**設定為 **Stage=NonProd** 且適用於執行模式**的條件**式: ****
![\[屬性區段的範例。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/tr-tutorial-conditional.png)
1. 或者,將預先設定的參數設定為下列其中一項:
+ `CreateSnapshot=false` 在刪除之前不建立 Amazon EBS 磁碟區的快照
+ `MinimumUnattachedDays=10` 將 Amazon EBS 磁碟區的未連接天數下限設定為 10 天
+ `CreateSnapshot=false`,`MinimumUnattachedDays=10`適用於上述兩者
1. 選擇**儲存**以更新值,然後選擇**儲存新版本**以套用變更。您必須選擇**儲存新版本**,信任的修復程式才能辨識變更。
1. 請確定您的 Amazon EBS 磁碟區沒有具有 金鑰的標籤`TR-DAvU99Dc4C-Execution-Mode`。此標籤金鑰會覆寫該 EBS 磁碟區的預設執行模式。
# 在信任的修復程式中使用修復
## 在信任的修復程式中追蹤修復
若要追蹤 OpsItems 修補,請完成下列步驟:
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 選擇 **Operations Management**、**OpsCenter**。
1. (選用) 依 **Source=Trusted Remediator** 篩選清單,以在清單中僅包含 Trusted Remediator OpsItems。
以下是由 **Source=Trusted Remediator** 篩選的 OpsCenter 畫面範例:
![\[屬性區段的範例。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/tr-opsitems-console.png)
**注意**
除了從 OpsCenter 檢視 OpsItems 之外,您還可以在 AMS S3 儲存貯體中檢視修復日誌。 OpsCenter 如需詳細資訊,請參閱[信任的修復程式中的修復日誌](tr-logging.md)。
## 在信任的修復程式中執行手動修復
Trusted Remediator 會為設定為手動修復的檢查建立 OpsItems。您必須檢閱這些檢查,並手動開始修復程序。
若要手動修復 OpsItem,請完成下列步驟:
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 選擇 **Operations Management**、**OpsCenter**。
1. (選用) 依 **Source=Trusted Remediator** 篩選清單,以在清單中僅包含 Trusted Remediator OpsItems。
1. 選擇您要檢閱的 OpsItem。
1. 檢閱 OpsItem 的操作資料。操作資料包含下列項目:
+ **trustedAdvisorCheckCategory:** Trusted Advisor 檢查 ID 的類別。例如,容錯能力
+ **trustedAdvisorCheckId:**唯一的 Trusted Advisor 檢查 ID。
+ **trustedAdvisorCheckMetadata:**資源中繼資料,包括資源 ID。
+ **trustedAdvisorCheckName:** Trusted Advisor 檢查的名稱。
+ **trustedAdvisorCheckStatus:**針對資源偵測到的 Trusted Advisor 檢查狀態。
1. 若要手動修復 OpsItem,請完成下列步驟:
1. 從 **Runbook **中,選擇其中一個相關聯的 Runbook (SSM 文件)。
1. 選擇 **Execute (執行)**。
1. 針對 **AutomationAssumeRole **,選擇 ` arn:aws:iam::AWS 帳戶 ID:role/ams_ssm_automation_role`。將 AWS 帳戶 ID 取代為修復執行所在的帳戶 ID。如需其他參數值,請參閱**操作資料**。
若要手動修復資源,用於向 驗證 的角色或使用者 AWS 帳戶 必須具有 IAM 角色 的`iam:PassRole`許可`ams-ssm-automation-role`。如需詳細資訊,請參閱[授予使用者將角色傳遞至 的許可 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html),或聯絡您的 Cloud Architect。
1. 選擇 **Execute (執行)**。
1. 在**最新狀態和結果**欄中監控 SSM 文件執行的進度。
1. 文件完成後,選擇**設定狀態**、**已解析**以手動解析 OpsItem。如果文件失敗,請檢閱詳細資訊並重新執行 SSMdocument。如需其他故障診斷支援,請建立服務請求。
若要在沒有修復的情況下解析 OpsItem,請選取將**狀態設定為****已解決**。
1. 針對所有剩餘的手動修復 OpsItems,重複步驟 3 和 4。
## 對信任的修復程式中的修復進行故障診斷
如需手動修復和修復失敗的協助,請聯絡 AMS。
若要檢視修復狀態和結果,請完成下列步驟:
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 選擇 **Operations Management**、**OpsCenter**。
1. (選用) 依 **Source=Trusted Remediator** 篩選清單,以在清單中僅包含 Trusted Remediator OpsItems。
1. 選擇您要檢閱的 OpsItem。
1. 在**自動化執行**區段中,檢閱**文件名稱**、**狀態和結果**。
1. 檢閱下列常見的自動化失敗。如果您的問題未列在此處,請聯絡您的 CSDM 尋求協助。
**常見的修復錯誤**
### 自動化執行中未列出任何執行
沒有與 OpsItem 相關聯的執行可能表示執行因為不正確的參數值而無法啟動。
**疑難排解步驟**
1. 在**操作資料**中,檢閱 `trustedAdvisorCheckAutoRemediation` 屬性值。
1. 驗證 **DocumentName** 和**參數**值是否正確。如需正確的值,[在信任的修復程式中設定 Trusted Advisor 檢查修復](tr-configure-remediations.md)請檢閱 以取得如何設定 SSM 參數的詳細資訊。若要檢閱支援的檢查參數,請參閱 [Trusted Advisor Trusted Remediator 支援的檢查](tr-supported-checks.md)
1. 驗證 SSM 文件中的值是否符合允許的模式。若要檢視文件內容中的參數詳細資訊,請在 **Runbooks** 區段中選取文件名稱。
1. 在您檢閱和更正參數之後,[請再次手動執行 SSM 文件](#tr-remediation)。
1. 若要防止此錯誤再次發生,請確定您使用組態中的正確**參數**值來設定修復。如需詳細資訊,請參閱[在信任的修復程式中設定 Trusted Advisor 檢查修復](tr-configure-remediations.md)
### 自動化執行中失敗的執行
修復文件包含多個步驟,這些步驟與透過 APIs AWS 服務 執行各種動作互動。若要識別失敗的特定原因,請完成下列步驟:
**疑難排解步驟**
1. 若要檢視個別執行步驟,請選擇**執行 ID**、**自動化執行**區段中的連結。以下是 Systems Manager 主控台的範例,其中顯示所選自動化的**執行步驟**:
![\[Systems Manager 主控台的範例顯示選取的自動化。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/tr-troubleshooting.png)
1. 選擇狀態為**失敗**的步驟。以下是錯誤訊息範例:
+ `NoSuchBucket - An error occurred (NoSuchBucket) when calling the GetPublicAccessBlock operation: The specified bucket does not exist`
此錯誤表示在修復組態的預先設定參數中指定了不正確的儲存貯體名稱。
若要解決此錯誤,請使用正確的儲存貯[體名稱手動執行自動化](#tr-remediation)。為避免此問題再次發生,[請使用正確的儲存貯體名稱更新修復組態](tr-configure-remediations.md)。
+ `DB instance my-db-instance-1 is not in available status for modification.`
此錯誤表示自動化無法進行預期的變更,因為資料庫執行個體處於無效狀態。
若要解決此錯誤,[請手動執行自動化](#tr-remediation)。
# 信任的修復程式中的修復日誌
Trusted Remediator 會以 JSON 格式建立日誌,並將其上傳至 Amazon Simple Storage Service。日誌檔案會上傳至 AMS 建立且名為 的 S3 儲存貯體`ams-trusted-remediator-{your-account-id}-logs`。AMS 會在委派管理員帳戶中建立 S3 儲存貯體。您可以將日誌檔案匯入 QuickSight,以產生自訂的修補報告。
如需詳細資訊,請參閱[與 QuickSight 的信任修復程式整合](tr-qs-integration.md)。
## 修復項目日誌
建立修復 OpsItem `Remediation item log`時,信任的修復程式會建立 。此日誌包含手動修復 OpsItem 和自動修復 OpsItem。您可以使用 `Remediation item log`來追蹤所有修補的概觀。
**Compute Optimizer 建議的修復項目日誌位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/compute_optimizer_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
** Trusted Advisor 檢查的修復項目日誌位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**修復項目日誌範例檔案 URL**
`s3:///ams-trusted-remediator-111122223333-logs/remediation_items/2023-02-06/1675660464-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Compute Optimizer Remediation 項目日誌格式**
```
{
"AccountID": "Account_ID",
"ComputeOptimizerCheckID": "Compute Optimizer check ID",
"ComputeOptimizerCheckName": "Compute Optimizer check name",
"ResourceID": "Resource ID",
"RemediationTime": Remediation creation time,
"ExecutionMode": "Automated or Manual",
"OpsItemID": "OpsItem ID"
}
```
**Trusted Advisor 修復項目日誌格式**
```
{
"TrustedAdvisorCheckID": Trusted Advisor check ID,
"TrustedAdvisorCheckName": Trusted Advisor check name,
"TrustedAdvisorCheckResultTime": 10 digits epoch time or unix timestamp,
"ResourceID": Resource ID,
"RemediationTime": Remediation creation time,
"ExecutionMode": Automated or Manual,
"OpsItemID": OpsItem ID
}
```
**Compute Optimizer Remediation 項目日誌格式範例內容**
```
{
"AccountID": "123456789012",
"ComputeOptimizerCheckID": "compute-optimizer-ebs",
"ComputeOptimizerCheckName": "EBS volumes",
"ResourceID": "vol-1235589366f77aca7",
"RemediationTime": 1755044783,
"ExecutionMode": "Manual",
"OpsItemID": "oi-b8888b38fe78"
}
```
**Trusted Advisor 修復項目日誌格式範例內容**
```
{
"TrustedAdvisorCheckID": "DAvU99Dc4C",
"TrustedAdvisorCheckName": "Underutilized Amazon EBS Volumes",
"TrustedAdvisorCheckResultTime": 1675614749,
"ResourceID": "vol-00bd8965660b4c16d",
"RemediationTime": 1675660464,
"OpsItemID": "oi-cca5df7af718"
}
```
## 自動化修復執行日誌、Compute Optimizer 和 Trusted Advisor
當自動化 SSM 文件執行完成`Automated remediation execution log`時,信任的修復程式會建立 。此日誌僅包含自動修復 OpsItem 的 SSM 執行詳細資訊。您可以使用此日誌檔案來追蹤自動化修復。
**Compute Optimizer 自動化修復日誌位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer recommendation ID.json`
**Trusted Advisor 自動化修復日誌位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID-Resource ID.json`
**Compute Optimizer 自動化修復日誌位置範例**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/1750908858-123456789012-compute-optimizer-ec2-i-1235173471d2cd789.json`
**Trusted Advisor 自動化修復日誌位置範例**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2023-02-06/1675660573-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**自動化修復日誌格式範例內容**
```
{
"OpsItemID": "oi-767c77e05301",
"SSMExecutionID": "93d091b2-778a-4cbc-b672-006954d76b86",
"SSMExecutionStatus": "Success"}
```
## 成員帳戶日誌
當您的帳戶加入或退出`Member accounts log`時,信任的修復程式會建立 。您可以使用 `Member accounts log` 尋找每個成員帳戶的帳戶 ID AWS 區域、加入的 和執行時間。
**成員帳戶日誌位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/configuration_logs/member_accounts.json`
**成員帳戶日誌範例檔案 URL**
`s3://ams-trusted-remediator-111122223333-logs/configuration_logs/member_accounts.json`
**成員帳戶日誌格式**
```
{
"delegated_administrator_account_id": Delegated Administrator account id,
"appconfig_configuration_region": Trusted Remediator AppConfig Region,
"member_accounts": [
{
"account_id": Member account id
"account_partition": Member account partition (for example, aws),
"regions": [
{
"execution_time": Remediation execution time in cron schedule expression,
"execution_timezone": Timezone for the remediation execution time,
"region_name": AWS 區域 name
}
...
]
}
...
],
"updated_at": Log update time,
}
```
**成員帳戶日誌格式範例內容**
```
{
"delegated_administrator_account_id": "111122223333",
"appconfig_configuration_region": "ap-southeast-2",
"member_accounts": [
{
"account_id": "222233334444",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 9 * * 6",
"execution_timezone": "Australia/Sydney",
"region_name": "ap-southeast-2"
},
{
"execution_time": "0 5 * * 7",
"execution_timezone": "UTC",
"region_name": "us-east-1"
}
]
},
{
"account_id": "333344445555",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 1 * * 5",
"execution_timezone": "Asia/Seoul",
"region_name": "ap-northeast-2"
}
]
}
],
"updated_at": "1730869607"
}
```
# 與 QuickSight 的信任修復程式整合
您可以將存放在 Amazon S3 中的受信任修復程式日誌與 QuickSight 整合,以建置自訂修復報告。QuickSight 整合是選用的。此功能可讓您使用日誌來建置自訂報告儀表板。若要取得受信任修復程式的請求報告,請聯絡您的 CSDM。如需可用 Trusted Remediator 報告的詳細資訊,請參閱 [信任的修復程式報告](trusted-remediator-reports.md)。
如需在 QuickSight 中視覺化資料的詳細資訊,請參閱在 [ QuickSight 中視覺化資料](https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html)。
## 將資料集新增至 QuickSight for Remediation 項目日誌
若要將資料集新增至 QuickSight for the Remediation 項目日誌,請遵循下列步驟:
1. 登入 QuickSight 主控台。您可以在 QuickSight 支援的任何 中建立 AWS 區域 QuickSight 報告。不過,為了提升效能並降低成本,最佳實務是在信任的還原程式記錄儲存貯體所在的區域中建立報告。
1. 選擇**資料集**。
1. 選擇 **S3**。
1. 在**新的 S3 資料來源**中,輸入下列值:
+ **資料來源名稱:**` trusted-remediator-delegated_administrator_account_id-account_region-remediation-items`。
+ **上傳資訊清單檔案:**使用下列內容建立 JSON 檔案,並使用它。建立檔案時,請在 URIPrefixes 金鑰`logging_bucket_name`中取代 。
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_items/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ 選擇**連線**。
+ 從**完成資料集建立**視窗中,選擇**視覺化**。
+ QuickSight 會開啟新的分析工作表頁面。您現在可以使用修復項目日誌建立新的分析。
以下是範例分析:
![\[範例分析工作表。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/tr-sample-analysis.png)
## 將資料集新增至 QuickSight 以取得自動化修復執行日誌
1. 登入 QuickSight 主控台。您可以在 QuickSight 支援的任何 中建立 AWS 區域 QuickSight 報告。不過,為了提升效能並降低成本,最佳實務是在信任的還原程式記錄儲存貯體所在的區域中建立報告。
1. 選擇**資料集**。
1. 選擇 **S3**。
1. 在**新的 S3 資料來源**中,輸入下列值:
+ **資料來源名稱:**`trusted-remediator-delegated_administrator_account_id-account_region-remediation-executions`。
+ **上傳資訊清單檔案:**使用下列內容建立 JSON 檔案,然後使用此檔案。建立檔案時,請在 URIPrefixes 金鑰`logging_bucket_name`中取代 。
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_executions/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ 選擇**連線**。
+ 從**完成資料集建立**視窗中,選擇**視覺化**。
+ QuickSight 會開啟新的分析工作表頁面。您現在可以使用修復項目日誌建立新的分析。
以下是範例分析:
![\[範例分析工作表。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/tr-sample-analysis2.png)
# Trusted Remediator 中的最佳實務
以下是協助您使用受信任修復程式的最佳實務:
+ 如果您不確定修復結果,請從手動執行模式開始。有時,從一開始針對修復套用自動執行可能會導致非預期的結果。
+ 每週檢閱修復和 OpsItems,以取得信任的修復程式結果的洞見。
+ 成員帳戶會從委派管理員帳戶繼承組態。因此,請務必以可協助您管理具有相同組態的多個帳戶的方式來建構帳戶。您可以使用標籤從預設組態中豁免資源。
# 信任的修復程式FAQs
以下是有關信任修復程式的常見問題:
## 什麼是信任的修復程式,它如何使我受益?
當 Compute Optimizer 識別出不合規 Trusted Advisor 或發出建議時,信任的補救措施會根據您指定的偏好設定回應,方法是套用補救措施、透過手動補救措施尋求核准,或在即將到來的每月商業審查 (MBR) 期間報告補救措施。修復會在您偏好的修復時間或排程進行。Trusted Remediator 可讓您自行執行 Trusted Advisor 檢查,並對檢查採取動作,並靈活地個別或大量設定和修復檢查。透過經過測試的修補文件程式庫,AMS 會持續套用安全檢查並遵循 AWS 最佳實務來提高您的帳戶。只有在組態中指定這麼做時,您才會收到通知。AMS 使用者可以選擇加入 Trusted Remediator,無需額外費用。
## 信任的修復程式與其他 有何關聯和搭配 AWS 服務?
您可以在現有的企業支援計劃中存取 Trusted Advisor 檢查和運算最佳化工具建議。Trusted Remediator 與 Trusted Advisor 和 Compute Optimizer 整合,以利用現有的 AMS 自動化功能。具體而言,AMS 使用 AWS Systems Manager 自動化文件 (執行手冊) 進行自動化修復。 AWS AppConfig 用於設定修復工作流程。您可以透過 Systems Manager OpsCenter 檢視所有目前和過去的修補。修復日誌存放在 Amazon S3 儲存貯體中。您可以使用日誌在 QuickSight 中匯入和建置自訂報告儀表板。
## 誰會設定修補?
您擁有帳戶中的組態。管理您的組態是您的責任。您可以聯絡 CA 或 CDSM 以協助管理您的組態。您也可以透過 服務請求來聯絡 AMS,以取得組態支援、手動修復和故障診斷修復失敗。
## 如何安裝 SSM 自動化文件?
SSM 自動化文件會自動與加入的 AMS 帳戶共用。
## AMS 擁有的資源也會修復嗎?
AMS 擁有的資源不會由信任的修復程式標記。Trusted Remediator 僅專注於您的 資源。
## AWS 區域 什麼是 中的可信任修復程式,以及誰可以使用它?
AMS Accelerate 客戶可以使用信任的補救程式。如需支援區域的最新清單,請參閱[AWS 服務 依區域](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## 信任的修復程式會造成資源漂移嗎?
由於 SSM 自動化文件會透過 AWS API 直接更新資源,因此可能會發生資源偏離。您可以使用標籤來隔離透過現有 CI/CD 套件建立的資源。您可以設定信任的修復程式,忽略已標記的資源,同時仍然修復其他資源。
## 如何暫停或停止信任的修復程式?
您可以透過 AWS AppConfig 應用程式關閉信任的修復程式。若要暫停或停止信任的修復程式,請完成下列步驟:
1. 在 https://[https://console.aws.amazon.com/systems-manager/appconfig](https://console.aws.amazon.com/systems-manager/appconfig) 開啟 AWS AppConfig 主控台。
1. 選取信任的修復程式。
1. 在組態設定檔上選擇**設定**。
1. 選取**暫停信任的修復程式**旗標。
1. 將 `suspended` 屬性的值設定為 `true`。
**注意**
使用此程序時請小心,因為這會停止與委派管理員帳戶連結的所有帳戶的信任修復程式。
## 如何修復受信任修復程式不支援的檢查?
您可以繼續透過 Operations On Demand (OOD) 聯絡 AMS 以進行不支援的檢查。AMS 可協助您修復這些檢查。如需詳細資訊,請參閱[隨需操作](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html)。
## 信任的修復程式與 AWS Config 修復有何不同?
AWS Config 修補是另一種解決方案,可協助您最佳化雲端資源並維持最佳實務的合規性。以下是兩個解決方案之間的一些操作差異:
+ Trusted Remediator 使用 Trusted Advisor 和 Compute Optimizer 做為偵測機制。 AWS Config Remediation 使用 AWS Config 規則做為偵測機制。
+ 對於信任的修復程式,修復會按照您預先定義的修復排程進行。在 中 AWS Config,修復會即時發生。
+ 可信任修復程式中每個修復的參數可根據您的使用案例輕鬆自訂,而且可以透過在資源上新增標籤來自動化或手動進行修復。
+ Trusted Remediator 提供報告功能。
+ Trusted Remediator 會傳送電子郵件通知給您,其中包含修復清單和修復狀態。
有些 Trusted Advisor 檢查和 Compute Optimizer 建議可能有相同的規則 AWS Config。如果存在相符的 AWS Config 規則和 Trusted Advisor 檢查,最佳實務是僅啟用一個修復。如需每個 Trusted Advisor 檢查的 AWS Config 規則資訊,請參閱 [Trusted Advisor Trusted Remediator 支援的檢查](tr-supported-checks.md)。
## 信任的修復程式會將哪些資源部署到您的帳戶?
Trusted Remediator 會在 Trusted Remediator 委派管理員帳戶中部署下列資源:
+ 名為 的 Amazon S3 儲存貯體`ams-trusted-remediator-{your-account-id}-logs`。建立修復 OpsItem 時,信任的修復程式會以 `Remediation item log` JSON 格式建立 ,並將日誌檔案上傳至此儲存貯體。
+ 保留支援 Trusted Advisor 檢查和 Compute Optimizer 建議的修復組態 AWS AppConfig 的應用程式。
Trusted Remediator 不會在 Trusted Remediator 成員帳戶中部署資源。