在信任的修復程式中設定 Trusted Advisor 檢查修復 - AMS Accelerate 使用者指南
預設修復組態使用資源標籤自訂修復使用資源覆寫標籤自訂修復

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在信任的修復程式中設定 Trusted Advisor 檢查修復

組態會存放在 中 AWS AppConfig ,做為信任的修復程式應用程式的一部分。每個 Trusted Advisor 檢查類別都有單獨的組態描述檔。如需 Trusted Advisor 類別的詳細資訊,請參閱檢視檢查類別

您可以根據每個資源或每個 Trusted Advisor 檢查來設定修復。您可以使用資源標籤套用例外狀況。

注意

問題 Trusted Advisor 清單的修復目前是使用 設定 AWS AppConfig,且此功能目前完全支援。AMS 預期這會在未來變更。最佳實務是避免建置相依的自動化 AWS AppConfig,因為此方法可能會有所變更。請注意,為了實現相容性,您可能需要更新或修改以目前 AWS AppConfig 實作為基礎的自動化。

Compute Optimizer -> EC2 執行個體功能旗標具有額外的參數:

  • allow-upscale 允許升級佈建不足的非最佳化 EC2 執行個體。預設值為 "false"。

  • min-savings-opportunity-percentage 自動化修復的最低節省百分比機會。預設值為 10%

預設修復組態

個別 Trusted Advisor 檢查的組態會儲存為 AWS AppConfig 旗標。旗標名稱符合檢查名稱。每個檢查組態都包含下列屬性:

  • execution-mode:決定信任的修復程式如何執行預設修復:

    • 自動化:信任的修復程式會自動修復資源,方法是建立 OpsItem、執行 SSM 文件,然後在成功執行後解決 OpsItem。

    • 手動:OpsItem 已建立,但 SSM 文件不會自動執行。您可以從 AWS Systems Manager OpsCenter 主控台中的 OpsItem 檢閱並手動執行 SSM 文件。

    • 條件式:修補預設為停用。您可以使用標籤為特定資源啟用此功能。如需詳細資訊,請參閱下列各節使用資源標籤自訂修復使用資源覆寫標籤自訂修復

    • 非作用中:不會發生修復,也不會建立 OpsItem。您無法覆寫設定為非作用中之 Trusted Advisor 檢查的執行模式。

  • pre configured-parameters:輸入自動化修復所需的 SSM 文件參數值,格式為 Parameter=Value ,以逗號 (,) 分隔。Trusted Advisor Trusted Remediator 支援的檢查 如需每個檢查之相關聯 SSM 文件的支援預先設定參數,請參閱 。

  • alternative-automation-document:此屬性有助於使用另一個支援的文件 (如果適用於特定檢查) 覆寫現有的自動化文件。根據預設,不會選取此屬性。

    注意

    alternative-automation-document 屬性不支援自訂自動化文件。您可以使用 中列出的現有支援信任的修復程式自動化文件Trusted Advisor Trusted Remediator 支援的檢查

    例如,針對檢查 Qch7DwouX1,有三個相關聯的 SSM 文件:AWSManagedServices-StopEC2Instance、AWSManagedServices-ResizeInstanceByOneLevel 和 AWSManagedServices-TerminateInstance。的值alternative-automation-document可以是 AWSManagedServices-ResizeInstanceByOneLevel 或 AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance 是要修復 的預設 SSM 文件Qch7DwouX1)。

    每個屬性的值必須符合該屬性的限制。

提示

套用 Trusted Advisor 檢查的預設組態之前,最佳實務是考慮使用下列各節所述的資源標記和資源覆寫功能。預設組態會套用至帳戶內的所有資源,這在所有情況下可能並不理想。

以下是範例主控台螢幕擷取畫面,其中執行模式設定為手動,且屬性符合其限制條件。

Trusted Remediator 執行模式決策工作流程的圖例。

使用資源標籤自訂修復

檢查組態中的automated-for-tagged-only屬性和manual-for-tagged-only屬性,可讓您針對如何修復個別檢查指定資源標籤。當您需要將一致的修補行為套用至共用相同標籤的資源群組時,最佳實務是使用此方法。以下是這些標籤的說明:

  • automated-for-tagged-only:指定資源標籤 (一或多個標籤對,以逗號分隔),讓檢查自動修復,無論預設執行模式為何。

  • manual-for-tagged-only:為應手動執行的修復指定資源標籤 (一或多個標籤對,逗號分隔),無論預設執行模式為何。

例如,如果您想要為所有非生產資源啟用自動修復,並強制執行生產資源的手動修復,您可以設定組態,如下所示:

"execution-mode": "Conditional", 
"automated-for-tagged-only": "Environment=Non-Production", 
"manual-for-tagged-only": "Environment=Production",

在您的 資源上設定上述組態後,請檢查修復行為,如下所示:

  • 標記 'Environment=Non-Production' 的資源會自動修復。

  • 標記為 'Environment=Production' 的資源需要手動介入才能修復。

  • 沒有 'Environment' 標籤的資源遵循預設執行模式 (在此情況下為 `Conditional`。 因此,不會對剩餘的資源採取任何動作)。

如需組態的其他支援,請聯絡您的 Cloud Architect。

使用資源覆寫標籤自訂修復

資源覆寫標籤可讓您自訂個別資源的修補行為,無論其標籤為何。透過將特定標籤新增至資源,您可以覆寫該資源的預設執行模式和 Trusted Advisor 檢查。資源覆寫標籤優先於預設組態和資源標記設定。因此,如果您使用資源覆寫標籤將資源的預設執行模式設定為自動手動條件式,則會覆寫預設執行模式和任何資源標記組態。

若要覆寫資源的執行模式,請完成下列步驟:

  1. 識別您要覆寫修復組態的資源。

  2. 決定您要覆寫之 Trusted Advisor 檢查的檢查 ID。您可以在 中找到受支援檢查IDsTrusted Advisor Trusted Remediator 支援的檢查。 Trusted Advisor

  3. 使用下列索引鍵和值將標籤新增至資源:

    • 標籤索引鍵: TR-Trusted Advisor check ID-Execution-Mode (區分大小寫)

      在上述標籤索引鍵範例中,將 取代Trusted Advisor check ID為您要覆寫之 Trusted Advisor 檢查的唯一識別。

    • 標籤值:將下列其中一個值用於標籤值:

      • 自動化:信任的修復程式會自動修復此 Trusted Advisor 檢查的資源。

      • 手動:為資源建立 OpsItem,但不會自動執行修復。您可以從 OpsItem 手動檢閱和執行修復。

      • 非作用中:不會為此資源和指定的 Trusted Advisor 檢查執行修復和 OpsItem 建立。

例如,若要使用 Trusted Advisor 檢查 ID 自動修復 Amazon EBS 磁碟區,請將DAvU99Dc4C標籤新增至 EBS 磁碟區。標籤索引鍵TR-DAvU99Dc4C-Execution-Mode標籤值Automated

以下是顯示標籤區段的 主控台範例:

主控台上的標籤區段範例。