支援 Trusted Advisor 的成本最佳化檢查支援的 Trusted Advisor 安全檢查支援的 Trusted Advisor 容錯能力檢查支援 Trusted Advisor 的效能檢查支援 Trusted Advisor 的服務限制檢查支援的卓越 Trusted Advisor 營運檢查

Trusted Advisor Trusted Remediator 支援的檢查

下表列出支援的 Trusted Advisor 檢查、SSM 自動化文件、預先設定的參數，以及自動化文件的預期結果。在啟用 SSM 自動化文件進行檢查修復之前，請檢閱預期成果，以協助您根據您的業務需求了解可能的風險。

請確定您要啟用修復之支援檢查的每個 Trusted Advisor 檢查都有對應的組態規則。如需詳細資訊，請參閱檢視支援的 AWS Trusted Advisor 檢查 AWS Config。如果檢查有對應的 AWS Security Hub 控制項，請確定 Security Hub 控制項已啟用。如需詳細資訊，請參閱在 Security Hub 中啟用控制項。如需管理預先設定參數的資訊，請參閱在信任的修復程式中設定 Trusted Advisor 檢查修復。

Trusted Advisor Trusted Remediator 支援的成本最佳化檢查

檢查 ID 和名稱 SSM 文件名稱和預期結果支援的預先設定參數和限制條件

檢查 ID 和名稱	SSM 文件名稱和預期結果	支援的預先設定參數和限制條件
Z4AUBRNSmz 無關聯彈性 IP 地址	AWSManagedServices-TrustedRemediatorReleaseElasticIP 釋出與任何資源無關的彈性 IP 地址。	不允許預先設定的參數。無限制條件
c18d2gz150 - Amazon EC2 執行個體已停止	AWSManagedServices-TerminateEC2InstanceStoppedForPeriodOfTime - Amazon EC2 執行個體已停止幾天。	CreateAMIBeforeTermination：若要在終止 Amazon EC2 執行個體之前建立執行個體 AMI 做為備份，請選擇 `true`。若要在終止之前不建立備份，請選擇 `false`。預設值為 `true`。 AllowedDays：執行個體在終止前處於停止狀態的天數。預設值為 30。無限制條件
c18d2gz128 未設定生命週期政策的 Amazon ECR 儲存庫	AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy 如果生命週期政策尚未存在，請為指定的儲存庫建立生命週期政策。	ImageAgeLimit：Amazon ECR 儲存庫中「任何」映像的最大存留期限制，以天 (1-365) 為單位。無限制條件
DAvU99Dc4C 利用率過低的 Amazon EBS 磁碟區	AWSManagedServices-DeleteUnusedEBSVolume 如果過去 7 天內未連接磁碟區，則刪除未充分利用的 Amazon EBS 磁碟區。預設會建立 Amazon EBS 快照。	CreateSnapshot：如果設定為 `true`，則自動化會在刪除之前建立 Amazon EBS 磁碟區的快照。預設設定為 `true`。有效值為 `true`和 `false`（區分大小寫）。 MinimumUnattachedDays：EBS 磁碟區的刪除未連接天數下限，最長可達 62 天。如果設定為 `0`，則 SSM 文件不會檢查未連接的期間，如果磁碟區目前未連接，則刪除磁碟區。預設值為 `7`。無限制條件
hjLMh88uM8 閒置負載平衡器	AWSManagedServices-DeleteIdleClassicLoadBalancer 如果閒置的 Classic Load Balancer 未使用且未註冊任何執行個體，則會將其刪除。	IdleLoadBalancerDays：Classic Load Balancer 在考慮閒置之前有 0 個請求連線的天數。預設值為七天。如果啟用自動執行，如果沒有作用中的後端執行個體，自動化會刪除閒置的 Classic Load Balancer。對於具有作用中後端執行個體但沒有運作狀態良好的後端執行個體的所有閒置 Classic Load Balancer，不會使用自動修復，並會建立用於手動修復OpsItems。
Ti39halfu8 Amazon RDS 閒置資料庫執行個體	AWSManagedServices-StopIdleRDSInstance 過去七天處於閒置狀態的 Amazon RDS 資料庫執行個體會停止。	不允許預先設定的參數。無限制條件
COr6dfpM05 AWS Lambda 記憶體大小過度佈建的函數	AWSManagedServices-ResizeLambdaMemory AWS Lambda 函數的記憶體大小會調整為提供的建議記憶體大小 Trusted Advisor。	RecommendedMemorySize：Lambda 函數的建議記憶體配置。值範圍介於 128 到 10240 之間。如果在自動化執行之前修改 Lambda 函數大小，則此自動化可能會以建議的值覆寫設定 Trusted Advisor。
Qch7DwouX1 Amazon EC2 執行個體低使用率	AWSManagedServices-StopEC2Instance （自動和手動執行模式的預設 SSM 文件）。低使用率的 Amazon EC2 執行個體會停止。	ForceStopWithInstanceStore：設定為 `true` 以使用執行個體存放區強制停止執行個體。否則，請設定為 `false`。的預設值`false`可防止執行個體停止。有效值為 true 或 false （區分大小寫）。無限制條件
Qch7DwouX1 Amazon EC2 執行個體低使用率	AWSManagedServices-ResizeInstanceByOneLevel Amazon EC2 執行個體的大小會由相同執行個體系列類型的一個執行個體類型縮減。執行個體會在調整大小操作期間停止和啟動，並在 SSM 文件執行完成後回到初始狀態。此自動化不支援調整 Auto Scaling 群組中的執行個體大小。	MinimumDaysSinceLastChange：自上次執行個體類型變更以來的天數下限。如果在指定的時間內修改執行個體類型，則不會變更執行個體類型。使用 `0` 略過此驗證。預設值為 `7`。 CreateAMIBeforeResize：若要在調整大小之前建立執行個體 AMI 做為備份，請選擇 `true`。若要不建立備份，請選擇 `false`。預設值為 `false`。有效值為 `true`和 `false`（區分大小寫）。 ResizeIfStopped：若要繼續變更執行個體大小，即使執行個體處於停止狀態，請選擇 `true`。如果執行個體處於停止狀態，若要不自動調整其大小，請選擇 `false`。有效值為 `true`和 `false`（區分大小寫）。無限制條件
Qch7DwouX1 Amazon EC2 執行個體低使用率	AWSManagedServices-TerminateInstance 如果不屬於 Auto Scaling 群組，且未啟用終止保護，則會終止低使用率的 Amazon EC2 執行個體。預設會建立 AMI。	CreateAMIBeforeTermination：將此選項設定為 `true`或 `false`，以在終止 EC2 執行個體之前建立執行個體 AMI 做為備份。預設值為 `true`。有效值為 `true`和 `false`（區分大小寫）。無限制條件
G31sQ1E9U 利用率過低的 Amazon Redshift 叢集	AWSManagedServices-PauseRedshiftCluster Amazon Redshift 叢集已暫停。	不允許預先設定的參數。無限制條件
c1cj39rr6v Amazon S3 不完整的分段上傳中止組態	AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload Amazon S3 儲存貯體已設定生命週期規則，以中止在特定天後仍未完成的分段上傳。	DaysAfterInitiation：Amazon S3 停止未完成分段上傳的天數。預設值設定為 7 天。無限制條件
c1z7kmr00n 執行個體的 Amazon EC2 成本最佳化建議	使用 Amazon EC2 執行個體建議和來自的閒置 Amazon EC2 執行個體受信任修復程式支援的 Compute Optimizer 建議。	不允許預先設定的參數。無限制條件
c1z7kmr02n 磁碟區的 Amazon EBS 成本最佳化建議	使用 Amazon EBS 磁碟區建議和來自的閒置 Amazon EBS 磁碟區受信任修復程式支援的 Compute Optimizer 建議。	不允許預先設定的參數。無限制條件
c1z7kmr03n 資料庫執行個體的 Amazon RDS 成本最佳化建議	從使用閒置 Amazon RDS 執行個體受信任修復程式支援的 Compute Optimizer 建議。	不允許預先設定的參數。無限制條件
c1z7kmr05n AWS Lambda 函數的成本最佳化建議	使用來自的 Lambda 函數建議受信任修復程式支援的 Compute Optimizer 建議。	不允許預先設定的參數。無限制條件

Z4AUBRNSmz

無關聯彈性 IP 地址

AWSManagedServices-TrustedRemediatorReleaseElasticIP

釋出與任何資源無關的彈性 IP 地址。

不允許預先設定的參數。

無限制條件

c18d2gz150 - Amazon EC2 執行個體已停止

AWSManagedServices-TerminateEC2InstanceStoppedForPeriodOfTime - Amazon EC2 執行個體已停止幾天。

CreateAMIBeforeTermination：若要在終止 Amazon EC2 執行個體之前建立執行個體 AMI 做為備份，請選擇 true。若要在終止之前不建立備份，請選擇 false。預設值為 true。
AllowedDays：執行個體在終止前處於停止狀態的天數。預設值為 30。

無限制條件

c18d2gz128

未設定生命週期政策的 Amazon ECR 儲存庫

AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy

如果生命週期政策尚未存在，請為指定的儲存庫建立生命週期政策。

ImageAgeLimit：Amazon ECR 儲存庫中「任何」映像的最大存留期限制，以天 (1-365) 為單位。

無限制條件

DAvU99Dc4C

利用率過低的 Amazon EBS 磁碟區

AWSManagedServices-DeleteUnusedEBSVolume

如果過去 7 天內未連接磁碟區，則刪除未充分利用的 Amazon EBS 磁碟區。預設會建立 Amazon EBS 快照。

CreateSnapshot：如果設定為 true，則自動化會在刪除之前建立 Amazon EBS 磁碟區的快照。預設設定為 true。有效值為 true和 false（區分大小寫）。
MinimumUnattachedDays：EBS 磁碟區的刪除未連接天數下限，最長可達 62 天。如果設定為 0，則 SSM 文件不會檢查未連接的期間，如果磁碟區目前未連接，則刪除磁碟區。預設值為 7。

無限制條件

hjLMh88uM8

閒置負載平衡器

AWSManagedServices-DeleteIdleClassicLoadBalancer

如果閒置的 Classic Load Balancer 未使用且未註冊任何執行個體，則會將其刪除。

IdleLoadBalancerDays：Classic Load Balancer 在考慮閒置之前有 0 個請求連線的天數。預設值為七天。

如果啟用自動執行，如果沒有作用中的後端執行個體，自動化會刪除閒置的 Classic Load Balancer。對於具有作用中後端執行個體但沒有運作狀態良好的後端執行個體的所有閒置 Classic Load Balancer，不會使用自動修復，並會建立用於手動修復OpsItems。

Ti39halfu8

Amazon RDS 閒置資料庫執行個體

AWSManagedServices-StopIdleRDSInstance

過去七天處於閒置狀態的 Amazon RDS 資料庫執行個體會停止。

不允許預先設定的參數。

無限制條件

COr6dfpM05

AWS Lambda 記憶體大小過度佈建的函數

AWSManagedServices-ResizeLambdaMemory

AWS Lambda 函數的記憶體大小會調整為提供的建議記憶體大小 Trusted Advisor。

RecommendedMemorySize：Lambda 函數的建議記憶體配置。值範圍介於 128 到 10240 之間。

如果在自動化執行之前修改 Lambda 函數大小，則此自動化可能會以建議的值覆寫設定 Trusted Advisor。

Qch7DwouX1

Amazon EC2 執行個體低使用率

AWSManagedServices-StopEC2Instance （自動和手動執行模式的預設 SSM 文件）。

低使用率的 Amazon EC2 執行個體會停止。

ForceStopWithInstanceStore：設定為 true 以使用執行個體存放區強制停止執行個體。否則，請設定為 false。的預設值false可防止執行個體停止。有效值為 true 或 false （區分大小寫）。

無限制條件

Qch7DwouX1

Amazon EC2 執行個體低使用率

AWSManagedServices-ResizeInstanceByOneLevel

Amazon EC2 執行個體的大小會由相同執行個體系列類型的一個執行個體類型縮減。執行個體會在調整大小操作期間停止和啟動，並在 SSM 文件執行完成後回到初始狀態。此自動化不支援調整 Auto Scaling 群組中的執行個體大小。

MinimumDaysSinceLastChange：自上次執行個體類型變更以來的天數下限。如果在指定的時間內修改執行個體類型，則不會變更執行個體類型。使用 0 略過此驗證。預設值為 7。
CreateAMIBeforeResize：若要在調整大小之前建立執行個體 AMI 做為備份，請選擇 true。若要不建立備份，請選擇 false。預設值為 false。有效值為 true和 false（區分大小寫）。
ResizeIfStopped：若要繼續變更執行個體大小，即使執行個體處於停止狀態，請選擇 true。如果執行個體處於停止狀態，若要不自動調整其大小，請選擇 false。有效值為 true和 false（區分大小寫）。

無限制條件

Qch7DwouX1

Amazon EC2 執行個體低使用率

AWSManagedServices-TerminateInstance

如果不屬於 Auto Scaling 群組，且未啟用終止保護，則會終止低使用率的 Amazon EC2 執行個體。預設會建立 AMI。

CreateAMIBeforeTermination：將此選項設定為 true或 false，以在終止 EC2 執行個體之前建立執行個體 AMI 做為備份。預設值為 true。有效值為 true和 false（區分大小寫）。

無限制條件

G31sQ1E9U

利用率過低的 Amazon Redshift 叢集

AWSManagedServices-PauseRedshiftCluster

Amazon Redshift 叢集已暫停。

不允許預先設定的參數。

無限制條件

c1cj39rr6v

Amazon S3 不完整的分段上傳中止組態

AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload

Amazon S3 儲存貯體已設定生命週期規則，以中止在特定天後仍未完成的分段上傳。

DaysAfterInitiation：Amazon S3 停止未完成分段上傳的天數。預設值設定為 7 天。

無限制條件

c1z7kmr00n

執行個體的 Amazon EC2 成本最佳化建議

使用 Amazon EC2 執行個體建議和來自 的閒置 Amazon EC2 執行個體受信任修復程式支援的 Compute Optimizer 建議。

不允許預先設定的參數。

無限制條件

c1z7kmr02n

磁碟區的 Amazon EBS 成本最佳化建議

使用 Amazon EBS 磁碟區建議和來自 的閒置 Amazon EBS 磁碟區受信任修復程式支援的 Compute Optimizer 建議。

不允許預先設定的參數。

無限制條件

c1z7kmr03n

資料庫執行個體的 Amazon RDS 成本最佳化建議

從使用閒置 Amazon RDS 執行個體受信任修復程式支援的 Compute Optimizer 建議。

不允許預先設定的參數。

無限制條件

c1z7kmr05n

AWS Lambda 函數的成本最佳化建議

使用來自的 Lambda 函數建議受信任修復程式支援的 Compute Optimizer 建議。

不允許預先設定的參數。

無限制條件

Trusted Advisor Trusted Remediator 支援的安全檢查

檢查 ID 和名稱 SSM 文件名稱和預期結果支援的預先設定參數和限制條件

檢查 ID 和名稱	SSM 文件名稱和預期結果	支援的預先設定參數和限制條件
12Fnkpl8Y5 存取金鑰已暴露	AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey 公開的 IAM 存取金鑰已停用。	不允許預先設定的參數。使用公開的 IAM 存取金鑰設定的應用程式無法驗證。
Hs4Ma3G127 - 應啟用 API Gateway REST 和 WebSocket API 執行記錄對應的 AWS Security Hub 檢查：APIGateway.1	AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging 執行記錄會在 API 階段上啟用。	LogLevel：記錄層級以啟用執行記錄， `ERROR` - 僅針對錯誤啟用記錄。 `INFO`- 為所有事件啟用記錄。您必須授予 API Gateway 許可，以讀取和寫入您帳戶的日誌至 CloudWatch，以啟用執行日誌，請參閱在 API Gateway 中設定 REST APIs 的 CloudWatch 日誌記錄以取得詳細資訊。
Hs4Ma3G129 - API Gateway REST API 階段應該已啟用 AWS X-Ray 追蹤對應的 AWS Security Hub 檢查：APIGateway.3	AWSManagedServices-EnableApiGateWayXRayTracing 在 API 階段上啟用 X-Ray 追蹤。	不允許預先設定的參數。無限制條件
Hs4Ma3G202 - API Gateway REST API 快取資料應靜態加密對應的 AWS Security Hub 檢查：APIGateway.5	AWSManagedServices-EnableAPIGatewayCacheEncryption 如果 API Gateway REST API 階段已啟用快取，請啟用 API Gateway REST API 快取資料的靜態加密。	不允許預先設定的參數。無限制條件
Hs4Ma3G177 - 對應的 AWS Security Hub 檢查 - 與負載平衡器相關聯的自動擴展群組應使用負載平衡器運作狀態檢查 AutoScaling.1	AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck Auto Scaling 群組已啟用 Elastic Load Balancing 運作狀態檢查。	HealthCheckGracePeriod：Auto Scaling 在檢查已開始服務的 Amazon Elastic Compute Cloud 執行個體的運作狀態之前等待的時間，以秒為單位。如果連接到 Auto Elastic Load Balancing 群組的任何 Elastic Load Balancing 負載平衡器回報運作狀態不佳，開啟 Elastic Load Balancing 運作狀態檢查可能會導致取代執行中的執行個體。 Auto Scaling 如需詳細資訊，請參閱將 Elastic Load Balancing 負載平衡器連接至 Auto Scaling 群組
Hs4Ma3G245 - AWS CloudFormation 堆疊應與 Amazon Simple Notification Service 整合對應的 AWS Security Hub 檢查：CloudFormation.1	AWSManagedServices-EnableCFNStackNotification 將 CloudFormation 堆疊與 Amazon SNS 主題建立關聯以進行通知。	NotificationARNs：要與所選 CloudFormation 堆疊建立關聯的 Amazon SNS 主題 ARNs。若要啟用自動修復，必須提供`NotificationARNs`預先設定的參數。
Hs4Ma3G210 - CloudFront 分佈應該已啟用記錄對應的 AWS Security Hub 檢查：CloudFront.2	AWSManagedServices-EnableCloudFrontDistributionLogging Amazon CloudFront 分佈已啟用記錄功能。	BucketName：您要存放存取日誌的 Amazon S3 儲存貯體名稱。 S3KeyPrefix：theAmazon CloudFront 分發日誌 S3 儲存貯體中位置的字首。 IncludeCookies：指出是否要在存取日誌中包含 Cookie。若要啟用自動修復，必須提供下列預先設定的參數： BucketName S3KeyPrefix IncludeCookies 如需此修復限制，請參閱如何開啟 CloudFront 分佈的記錄功能？
Hs4Ma3G109 - 應啟用 CloudTrail 日誌檔案驗證對應的 AWS Security Hub 檢查：CloudTrail.4	AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation 啟用 CloudTrail 追蹤日誌驗證。	不允許預先設定的參數。無限制條件
Hs4Ma3G108 - CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合對應的 AWS Security Hub 檢查：CloudTrail.5	AWSManagedServices-IntegrateCloudTrailWithCloudWatch AWS CloudTrail 已與 CloudWatch Logs 整合。	CloudWatchLogsLogGroupName：交付 CloudTrail 日誌的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您必須使用帳戶中存在的日誌群組。 CloudWatchLogsRoleName：CloudWatch Logs 端點的 IAM 角色名稱，以假設寫入使用者的日誌群組。您必須使用帳戶中存在的角色。若要啟用自動修復，必須提供下列預先設定的參數： CloudWatchLogsLogGroupName CloudWatchLogsRoleName
Hs4Ma3G217 - CodeBuild 專案環境應具有記錄 AWS 組態對應的 AWS Security Hub 檢查：CodeBuild.4	AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig 啟用 CodeBuild 專案的記錄。	不允許預先設定的參數。無限制條件
Hs4Ma3G306 - Neptune 資料庫叢集應該啟用刪除保護對應的 AWS Security Hub 檢查：DocumentDB.3	AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot 從 Amazon DocumentDB 手動叢集快照移除公有存取權。	不允許預先設定的參數。無限制條件
Hs4Ma3G308 - Amazon DocumentDB 叢集應該啟用刪除保護對應的 AWS Security Hub 檢查：DocumentDB.5	AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection 啟用 Amazon DocumentDB 叢集的刪除保護。	不允許預先設定的參數。無限制條件
Hs4Ma3G323 - DynamoDB 資料表應該啟用刪除保護對應的 AWS Security Hub 檢查：DynamoDB.6	AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection 啟用非 AMS DynamoDB 資料表的刪除保護。	不允許預先設定的參數。無限制條件
ePs02jT06w - Amazon EBS 公有快照	AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot Amazon EBS 快照的公開存取已停用。	不允許預先設定的參數。無限制條件
Hs4Ma3G118 - VPC 預設安全群組不應允許傳入或傳出流量對應的 AWS Security Hub 檢查：EC2.2	AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG 預設安全群組中的所有輸入和輸出規則都會移除。	不允許預先設定的參數。無限制條件
Hs4Ma3G117 - 連接的 EBS 磁碟區應該靜態加密對應的 AWS Security Hub 檢查：EC2.3	AWSManagedServices-EncryptInstanceVolume 執行個體上連接的 Amazon EBS 磁碟區已加密。	KMSKeyId： AWS KMS key ID 或 ARN 來加密磁碟區。 DeleteStaleNonEncryptedSnapshotBackups：決定是否應刪除舊未加密磁碟區的快照備份的旗標。作為修復的一部分，執行個體會重新啟動，如果 `DeleteStaleNonEncryptedSnapshotBackups` 設定為 `false` ，則復原可以協助還原。
Hs4Ma3G120 - 在指定時段後應移除已停止的 EC2 執行個體對應的 AWS Security Hub 檢查：EC2.4	AWSManagedServices-TerminateInstance （自動和手動執行模式的預設 SSM 文件） Amazon EC2 執行個體已停止 30 天。	CreateAMIBeforeTermination：。若要在終止 EC2 執行個體之前建立執行個體 AMI 做為備份，請選擇 `true`。若要在終止之前不建立備份，請選擇 `false`。預設值為 `true`。無限制條件
Hs4Ma3G120 - 在指定時段後應移除已停止的 EC2 執行個體對應的 AWS Security Hub 檢查：EC2.4	AWSManagedServices-TerminateEC2InstanceStoppedForPeriodOfTime - 在 Security Hub 中定義的天數內停止的 Amazon EC2 執行個體（預設值為 30) 會終止。	CreateAMIBeforeTermination：若要在終止 EC2 執行個體之前建立執行個體 AMI 做為備份，請選擇 `true`。若要在終止之前不建立備份，請選擇 `false`。預設值為 `true`。無限制條件
Hs4Ma3G121 - 應啟用 EBS 預設加密對應的 AWS Security Hub 檢查：EC2.7	AWSManagedServices-EncryptEBSByDefault Amazon EBS 加密預設為針對特定啟用 AWS 區域	不允許預先設定的參數。預設加密是區域特有設定。如果您為區域啟用此功能，則無法針對該區域中的個別磁碟區或快照停用此功能。
Hs4Ma3G124 - Amazon EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2) 對應的 AWS Security Hub 檢查：EC2.8	AWSManagedServices-TrustedRemediatorEnableEC2InstanceIMDSv2 Amazon EC2 執行個體使用執行個體中繼資料服務第 2 版 (IMDSv2)。	IMDSv1MetricCheckPeriod：在 CloudWatch 中分析 IMDSv1 用量指標的天數 (`42-455`)。如果 Amazon EC2 執行個體是在指定的期間內建立，則分析會從執行個體的建立日期開始。 HttpPutResponseHopLimit：執行個體中繼資料字符允許的網路跳轉數目上限。此值可在 `1`和 `2` 躍點之間設定。的跳轉限制會將字符存取`1`限制為直接在執行個體上執行的程序，而的跳轉限制則`2`允許從執行個體上執行的容器存取。無限制條件
Hs4Ma3G207 - EC2 子網路不應自動指派公有 IP 地址對應的 AWS Security Hub 檢查：EC2.15	AWSManagedServices-UpdateAutoAssignPublicIpv4Addresses VPC 子網路設定為不會自動指派公有 IP 地址。	不允許預先設定的參數。無限制條件
Hs4Ma3G209 - 移除未使用的網路存取控制清單對應的 AWS Security Hub 檢查：EC2.16	AWSManagedServices-DeleteUnusedNACL 刪除未使用的網路 ACL	不允許預先設定的參數。無限制條件
Hs4Ma3G215 - 應移除未使用的 Amazon EC2 安全群組對應的 AWS Security Hub 檢查：EC2.22	AWSManagedServices-DeleteSecurityGroups 刪除未使用的安全群組。	不允許預先設定的參數。無限制條件
Hs4Ma3G247 - Amazon EC2 Transit Gateway 不應自動接受 VPC 連接請求對應的 AWS Security Hub 檢查：EC2.23	AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach - 停用自動接受指定非 AMS Amazon EC2 Transit Gateway 的 VPC 連接請求。	不允許預先設定的參數。無限制條件
Hs4Ma3G235 - ECR 私有儲存庫應設定標籤不可變性對應的 AWS Security Hub 檢查：ECR.2	AWSManagedServices-TrustedRemediatorSetImageTagImmutability 將指定儲存庫的影像標籤可變性設定設定為 IMMUTABLE。	不允許預先設定的參數。無限制條件
Hs4Ma3G216 - ECR 儲存庫應至少設定一個生命週期政策對應的 AWS Security Hub 檢查：ECR.3	AWSManagedServices-PutECRRepositoryLifecyclePolicy ECR 儲存庫已設定生命週期政策。	LifecyclePolicyText：要套用至儲存庫的 JSON 儲存庫政策文字。若要啟用自動修復，必須提供下列預先設定的參數： LifecyclePolicyText
Hs4Ma3G325 - EKS 叢集應該啟用稽核記錄對應的 AWS Security Hub 檢查：EKS.8	AWSManagedServices-TrustedRemediatorEnableEKSAuditLog EKS 叢集已啟用稽核日誌。	不允許預先設定的參數。無限制條件
Hs4Ma3G183 - 應用程式負載平衡器應設定為捨棄 HTTP 標頭對應的 AWS Security Hub 檢查：ELB.4	AWSConfigRemediation-DropInvalidHeadersForALB Application Load Balancer 設定為無效的標頭欄位。	不允許預先設定的參數。無限制條件
Hs4Ma3G184 - 應啟用 Application Load Balancer 和 Classic Load Balancer 記錄對應的 AWS Security Hub 檢查：ELB.5	AWSManagedServices-EnableELBLogging （自動和手動執行模式的預設 SSM 文件） Application Load Balancer 和 Classic Load Balancer 記錄已啟用。	BucketName：儲存貯體名稱（非 ARN)。請確定儲存貯體政策已正確設定以供記錄。 S3KeyPrefix：Elastic Load Balancing 日誌的 Amazon S3 儲存貯體中位置的字首。若要啟用自動修復，必須提供下列預先設定的參數： BucketName S3KeyPrefix Amazon S3 儲存貯體必須有儲存貯體政策，授予 Elastic Load Balancing 將存取日誌寫入儲存貯體的許可。
Hs4Ma3G184 - 應啟用 Application Load Balancer 和 Classic Load Balancer 記錄對應的 AWS Security Hub 檢查：ELB.5	AWSManagedServices-EnableELBLoggingV2 Application Load Balancer 和 Classic Load Balancer 記錄已啟用。	TargetBucketTagKey：用於識別目標 Amazon S3 儲存貯體的標籤名稱（區分大小寫）。將此與搭配使用`TargetBucketTagValue`，以標記將做為存取記錄目的地儲存貯體的儲存貯體。 TargetBucketTagValue：用於識別目標 Amazon S3 儲存貯體的標籤值（區分大小寫）。將此與搭配使用`TargetBucketTagKey`，以標記將做為存取記錄目的地儲存貯體的儲存貯體。 S3BucketPrefix：Amazon S3 儲存貯體的字首（邏輯階層）。您指定的字首不得包含字串 `AWSLogs`。如需詳細資訊，請參閱使用字首組織物件。若要啟用自動修復，必須提供下列預先設定的參數： TargetBucketTagKey TargetBucketTagValue S3BucketPrefix Amazon S3 儲存貯體必須有儲存貯體政策，授予 Elastic Load Balancing 將存取日誌寫入儲存貯體的許可。
Hs4Ma3G326 - 應啟用 Amazon EMR 封鎖公開存取設定對應的 AWS Security Hub 檢查：EMR.2	AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess 帳戶已開啟 Amazon EMR 封鎖公開存取設定。	不允許預先設定的參數。無限制條件
Hs4Ma3G135 - AWS KMS 金鑰不應意外刪除對應的 AWS Security Hub 檢查：KMS.3	AWSManagedServices-CancelKeyDeletion AWS KMS 金鑰刪除已取消。	不允許預先設定的參數。無限制條件
Hs4Ma3G299 - Amazon DocumentDB 手動叢集快照不應公開對應的 AWS Security Hub 檢查：Neptune.4	AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection 啟用 Amazon Neptune 叢集的刪除保護。	不允許預先設定的參數。無限制條件
Hs4Ma3G319 - Network Firewall 防火牆應該啟用刪除保護對應 AWS Security Hub 檢查：NetworkFirewall.9	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection - 啟用 AWS Network Firewall 的刪除保護。	不允許預先設定的參數。無限制條件
Hs4Ma3G223 - OpenSearch 網域應該加密節點之間傳送的資料對應的 AWS Security Hub 檢查：OpenSearch.3	AWSManagedServices-EnableOpenSearchNodeToNodeEncryption 網域已啟用節點對節點加密。	不允許預先設定的參數。啟用node-to-node加密後，您無法停用設定。反之，請手動擷取加密網域的快照、建立另一個網域、遷移您的資料，然後刪除舊網域。
Hs4Ma3G222 - 應啟用記錄至 CloudWatch Logs 的 OpenSearch 網域錯誤對應的 AWS Security Hub 檢查：Opensearch.4	AWSManagedServices-EnableOpenSearchLogging OpenSearch 網域已啟用錯誤記錄。	CloudWatchLogGroupArn：anAmazon CloudWatch Logs 日誌群組的 ARN。若要啟用自動修復，必須提供下列預先設定的參數：CloudWatchLogGroupArn。 Amazon CloudWatch 資源政策必須設定許可。如需詳細資訊，請參閱《Amazon OpenSearch Service 使用者指南》中的啟用稽核日誌
Hs4Ma3G221 - OpenSearch 網域應該啟用稽核記錄對應的 AWS Security Hub 檢查：Opensearch.5	AWSManagedServices-EnableOpenSearchLogging OpenSearch 網域設定為啟用稽核記錄。	CloudWatchLogGroupArn：要發佈日誌的 CloudWatch Logs 群組 ARN。若要啟用自動修復，必須提供下列預先設定的參數：CloudWatchLogGroupArn Amazon CloudWatch 資源政策必須設定許可。如需詳細資訊，請參閱《Amazon OpenSearch Service 使用者指南》中的啟用稽核日誌
Hs4Ma3G220 - 應使用 TLS 1.2 加密與 OpenSearch 網域的連線對應的 AWS Security Hub 檢查：Opensearch.8	AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2 TLS 政策設定為 `Policy-Min-TLS-1-2-2019-07`，且僅允許透過 HTTPS (TLS) 的加密連線。	不允許預先設定的參數。使用 TLS 1.2 需要連線至 OpenSearch 網域。加密傳輸中的資料可能會影響效能。使用此功能測試您的應用程式，以了解效能描述檔和 TLS 的影響。
Hs4Ma3G194 - Amazon RDS 快照應為私有對應的 AWS Security Hub 檢查：RDS.1	AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2 Amazon RDS 快照的公開存取已停用。	不允許預先設定的參數。無限制條件
Hs4Ma3G192 - RDS 資料庫執行個體應禁止公開存取，如 PubliclyAccessible AWS 組態所決定對應的 AWS Security Hub 檢查：RDS.2	AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance 在 RDS 資料庫執行個體上停用公有存取。	不允許預先設定的參數。無限制條件
Hs4Ma3G189 - 針對 Amazon RDS 資料庫執行個體設定增強型監控對應的 AWS Security Hub 檢查：RDS.6	AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring 啟用 Amazon RDS 資料庫執行個體的增強型監控	MonitoringInterval：針對資料庫執行個體收集增強型監控指標的點之間的間隔，以秒為單位。有效間隔為 0、1、5、10、15、30 和 60。若要停用收集增強型監控指標，請指定 0。 MonitoringRoleName：允許 Amazon RDS 將增強型監控指標傳送至 Amazon CloudWatch Logs 的 IAM 角色名稱。如果未指定角色，則會`rds-monitoring-role`使用或建立預設角色，如果該角色不存在。如果在自動化執行之前啟用增強型監控，則此自動化可能會使用預先設定參數中設定的 MonitoringInterval 和 MonitoringRoleName 值來覆寫設定。
Hs4Ma3G190 - Amazon RDS 叢集應該啟用刪除保護對應的 AWS Security Hub 檢查：RDS.7	AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection Amazon RDS 叢集已啟用刪除保護。	不允許預先設定的參數。無限制條件
Hs4Ma3G198 - Amazon RDS 資料庫執行個體應啟用刪除保護對應的 AWS Security Hub 檢查：RDS.8	AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection Amazon RDS 執行個體已啟用刪除保護。	不允許預先設定的參數。無限制條件
Hs4Ma3G199 - RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs 對應的 AWS Security Hub 檢查：RDS.9	AWSManagedServices-TrustedRemediatorEnableRDSLogExports 已針對 RDS 資料庫執行個體或 RDS 資料庫叢集啟用 RDS 日誌匯出。	不允許預先設定的參數。服務連結角色 AWSServiceRoleForRDS 為必要項目。
Hs4Ma3G160 - 應為 RDS 執行個體設定 IAM 身分驗證對應的 AWS Security Hub 檢查：RDS.10	AWSManagedServices-UpdateRDSIAMDatabaseAuthentication AWS Identity and Access Management 已為 RDS 執行個體啟用身分驗證。	ApplyImmediately：指出是否盡快非同步套用此請求中的修改和任何待定修改，若要立即套用變更，請選擇 `true`。若要排程下一個維護時段的變更，請選擇 `false`。無限制條件
Hs4Ma3G161 - 應為 RDS 叢集設定 IAM 身分驗證對應的 AWS Security Hub 檢查：RDS.12	AWSManagedServices-UpdateRDSIAMDatabaseAuthentication RDS 叢集已啟用 IAM 身分驗證。	ApplyImmediately：指出此請求中的修改和任何待定修改是否以非同步方式盡快套用，若要立即套用變更，請選擇 `true`。若要排程下一個維護時段的變更，請選擇 `false`。無限制條件
Hs4Ma3G162 - 應啟用 RDS 自動次要版本升級對應的 AWS Security Hub 檢查：RDS.13	AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade Amazon RDS 的自動次要版本升級組態已啟用。	不允許預先設定的參數。 Amazon RDS 執行個體必須處於 `available` 狀態，才能進行此修復。
Hs4Ma3G163 - RDS 資料庫叢集應設定為將標籤複製到快照對應的 AWS Security Hub 檢查：RDS.16	AWSManagedServices-UpdateRDSCopyTagsToSnapshots `CopyTagtosnapshot` Amazon RDS 叢集的設定已啟用。	不允許預先設定的參數。 Amazon RDS 執行個體必須處於可用狀態，才能進行此修復。
Hs4Ma3G164 - RDS 資料庫執行個體應設定為將標籤複製到快照對應的 AWS Security Hub 檢查：RDS.17	AWSManagedServices-UpdateRDSCopyTagsToSnapshots `CopyTagsToSnapshot` Amazon RDS 的設定已啟用。	不允許預先設定的參數。 Amazon RDS 執行個體必須處於可用狀態，才能進行此修復。
rSs93HQwa1 Amazon RDS 公有快照	AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2 Amazon RDS 快照的公開存取已停用。	不允許預先設定的參數。無限制條件
Hs4Ma3G103 - Amazon Redshift 叢集應禁止公開存取對應的 AWS Security Hub 檢查：Redshift.1	AWSManagedServices-DisablePublicAccessOnRedshiftCluster Amazon Redshift 叢集上的公開存取已停用。	不允許預先設定的參數。停用公有存取會封鎖來自網際網路的所有用戶端。而且 Amazon Redshift 叢集處於修改狀態幾分鐘，而修復會停用叢集上的公有存取。
Hs4Ma3G106 - Amazon Redshift 叢集應該啟用稽核記錄對應的 AWS Security Hub 檢查：Redshift.4	AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging 稽核記錄會在維護時段期間啟用到您的 Amazon Redshift 叢集。	不允許預先設定的參數。若要啟用自動修復，必須提供下列預先設定的參數。 BucketName：儲存貯體必須位於相同的中 AWS 區域。叢集必須具有讀取儲存貯體並放置物件許可。如果在自動化執行之前啟用 Redshift 叢集記錄，則記錄設定可能會由此自動化覆寫，並在預先設定的參數中設定 `BucketName`和 `S3KeyPrefix`值。
Hs4Ma3G105 - Amazon Redshift 應已啟用自動升級至主要版本對應的 AWS Security Hub 檢查：Redshift.6	AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade - 主要版本升級會在維護時段期間自動套用至叢集。Amazon Redshift 叢集不會立即停機，但如果升級到主要版本，您的 Amazon Redshift 叢集可能會在維護時段期間停機。	不允許預先設定的參數。無限制條件
Hs4Ma3G104 - Amazon Redshift 叢集應使用增強型 VPC 路由對應的 AWS Security Hub 檢查：Redshift.7	AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting Amazon Redshift 叢集已啟用增強型 VPC 路由。	不允許預先設定的參數。無限制條件
Hs4Ma3G173 - 應在儲存貯體層級啟用 S3 封鎖公開存取設定對應的 AWS Security Hub 檢查：S3.8	AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess 儲存貯體層級的公有存取區塊會套用至 Amazon S3 儲存貯體。	不允許預先設定的參數。此修復可能會影響 S3 物件可用性。如需 Amazon S3 如何評估存取權的資訊，請參閱封鎖對 Amazon S3 儲存體的公開存取權。
Hs4Ma3G230 - 應啟用 S3 儲存貯體伺服器存取記錄對應的 AWS Security Hub 檢查：S3.9	AWSManagedServices-EnableBucketAccessLogging （自動和手動執行模式的預設 SSM 文件） Amazon S3 伺服器存取記錄已啟用。	TargetBucket：儲存伺服器存取日誌的 S3 儲存貯體名稱。 TargetObjectKeyFormat：日誌物件的 Amazon S3 金鑰格式（值區分大小寫）。若要針對日誌物件使用 S3 金鑰的簡單格式，請選擇 `SimplePrefix`。若要將分割的 S3 金鑰用於日誌物件，並將 EventTime 用於分割的字首，請選擇 `PartitionedPrefixEventTime`。若要將分割的 S3 金鑰用於日誌物件，並將 DeliveryTime 用於分割的字首，請選擇 `PartitionedPrefixDeliveryTime`。有效值為 `SimplePrefix`、`PartitionedPrefixEventTime` 和 `PartitionedPrefixDeliveryTime`。若要啟用自動修復，必須提供下列預先設定的參數：TargetBucket。目的地儲存貯體必須與來源儲存貯體位於相同 AWS 帳戶 AWS 區域且具有正確的日誌交付許可。如需詳細資訊，請參閱啟用 Amazon S3 伺服器存取記錄。
Hs4Ma3G230 – 應啟用 S3 儲存貯體伺服器存取記錄對應的 AWS Security Hub 檢查：S3.9	AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 - 已啟用 Amazon S3 儲存貯體記錄。	TargetBucketTagKey：用於識別目標儲存貯體的標籤名稱（區分大小寫）。使用此和 TargetBucketTagValue 來標記要用作存取記錄目的地儲存貯體的儲存貯體。 TargetBucketTagValue：用於識別目標儲存貯體的標籤值（區分大小寫），請使用此值和 TargetBucketTagKey 來標記要用作存取記錄目的地儲存貯體的儲存貯體。 TargetObjectKeyFormat：日誌物件的 Amazon S3 金鑰格式（值區分大小寫）：若要將 S3 金鑰的簡單格式用於日誌物件，請選擇 SimplePrefix。若要將分割 S3 金鑰用於日誌物件，並將 EventTime 用於分割字首，請選擇PartitionedPrefixEventTime 若要將分割 S3 金鑰用於日誌物件，並將 DeliveryTime 用於分割字首，請選擇 PartitionedPrefixDeliveryTime。預設值為 PartitionedPrefixEventTime。若要啟用自動修復，必須提供下列參數：TargetBucketTagKey 和 TargetBucketTagValue。目的地儲存貯體必須與來源儲存貯體位於相同 AWS 帳戶 AWS 區域且具有正確的日誌交付許可。如需詳細資訊，請參閱啟用 Amazon S3 伺服器存取記錄。
Pfx0RwqBli Amazon S3 儲存貯體許可	AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess 封鎖公有存取權	不允許預先設定的參數。此檢查包含多個提醒條件。此自動化可修復公有存取問題。不支援修復 Trusted Advisor 標記的其他組態問題。此修復支援修復 AWS 服務已建立的 S3 儲存貯體（例如 cf-templates-000000000000)。
Hs4Ma3G272 - 使用者不應擁有 SageMaker 筆記本執行個體的根存取權對應的 AWS Security Hub 檢查：SageMaker.3	AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess SageMaker 筆記本執行個體已停用使用者的根存取權。	不允許預先設定的參數。如果 SageMaker 筆記本執行個體處於 InService 狀態，則此修復會導致中斷。
Hs4Ma3G179 - SNS 主題應使用靜態加密 AWS KMS 對應的 AWS Security Hub 檢查：SNS.1	AWSManagedServices-EnableSNSEncryptionAtRest SNS 主題是以伺服器端加密設定。	KmsKeyId：Amazon SNS 的 AWS 受管客戶主金鑰 (CMK) 或用於伺服器端加密 (SSE) 的自訂 CMK ID。預設值設為 `alias/aws/sns`。如果使用自訂 AWS KMS 金鑰，則必須設定正確的許可。如需詳細資訊，請參閱啟用 Amazon SNS 主題的伺服器端加密 (SSE)
Hs4Ma3G158 - SSM 文件不應公開對應的 AWS Security Hub 檢查：SSM.4	AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing - 停用 SSM 文件的公開共用。	不允許預先設定的參數。無限制條件
Hs4Ma3G136 - Amazon SQS 佇列應靜態加密對應的 AWS Security Hub 檢查：SQS.1	AWSManagedServices-EnableSQSEncryptionAtRest Amazon SQS 中的訊息會加密。	SqsManagedSseEnabled：設定為 `true` 以使用 Amazon SQS 擁有的加密金鑰啟用伺服器端佇列加密，設定為 `false` 以使用 AWS KMS 金鑰啟用伺服器端佇列加密。 KMSKeyId：Amazon SQS 的 AWS 受管客戶主金鑰 (CMK) 或自訂 CMK 的 ID 或別名，用於佇列的伺服器端加密。如果未提供，則會使用alias/aws/sqs。 KmsDataKeyReusePeriodSeconds：Amazon SQS 可以在 AWS KMS 再次呼叫之前重複使用資料金鑰來加密或解密訊息的時間長度，以秒為單位。代表秒數的整數，介於 60 秒 (1 分鐘) 和 86,400 秒 (24 小時) 之間。如果 `SqsManagedSseEnabled` 設定為，則會忽略此設定`true`。對加密佇列的匿名 SendMessage 和 ReceiveMessage 請求會遭到拒絕。所有對啟用 SSE 之佇列的請求都必須使用 HTTPS 和簽章版本 4。

12Fnkpl8Y5

存取金鑰已暴露

AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey

公開的 IAM 存取金鑰已停用。

不允許預先設定的參數。

使用公開的 IAM 存取金鑰設定的應用程式無法驗證。

Hs4Ma3G127 - 應啟用 API Gateway REST 和 WebSocket API 執行記錄

對應的 AWS Security Hub 檢查：APIGateway.1

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

執行記錄會在 API 階段上啟用。

LogLevel：記錄層級以啟用執行記錄， ERROR - 僅針對錯誤啟用記錄。 INFO- 為所有事件啟用記錄。

您必須授予 API Gateway 許可，以讀取和寫入您帳戶的日誌至 CloudWatch，以啟用執行日誌，請參閱在 API Gateway 中設定 REST APIs 的 CloudWatch 日誌記錄以取得詳細資訊。

Hs4Ma3G129 - API Gateway REST API 階段應該已啟用 AWS X-Ray 追蹤

對應的 AWS Security Hub 檢查：APIGateway.3

AWSManagedServices-EnableApiGateWayXRayTracing

在 API 階段上啟用 X-Ray 追蹤。

不允許預先設定的參數。

無限制條件

Hs4Ma3G202 - API Gateway REST API 快取資料應靜態加密

對應的 AWS Security Hub 檢查：APIGateway.5

AWSManagedServices-EnableAPIGatewayCacheEncryption

如果 API Gateway REST API 階段已啟用快取，請啟用 API Gateway REST API 快取資料的靜態加密。

不允許預先設定的參數。

無限制條件

Hs4Ma3G177 -

對應的 AWS Security Hub 檢查 - 與負載平衡器相關聯的自動擴展群組應使用負載平衡器運作狀態檢查 AutoScaling.1

AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck

Auto Scaling 群組已啟用 Elastic Load Balancing 運作狀態檢查。

HealthCheckGracePeriod：Auto Scaling 在檢查已開始服務的 Amazon Elastic Compute Cloud 執行個體的運作狀態之前等待的時間，以秒為單位。

如果連接到 Auto Elastic Load Balancing 群組的任何 Elastic Load Balancing 負載平衡器回報運作狀態不佳，開啟 Elastic Load Balancing 運作狀態檢查可能會導致取代執行中的執行個體。 Auto Scaling 如需詳細資訊，請參閱將 Elastic Load Balancing 負載平衡器連接至 Auto Scaling 群組

Hs4Ma3G245 - AWS CloudFormation 堆疊應與 Amazon Simple Notification Service 整合

對應的 AWS Security Hub 檢查：CloudFormation.1

AWSManagedServices-EnableCFNStackNotification

將 CloudFormation 堆疊與 Amazon SNS 主題建立關聯以進行通知。

NotificationARNs：要與所選 CloudFormation 堆疊建立關聯的 Amazon SNS 主題 ARNs。

若要啟用自動修復，必須提供NotificationARNs預先設定的參數。

Hs4Ma3G210 - CloudFront 分佈應該已啟用記錄

對應的 AWS Security Hub 檢查：CloudFront.2

AWSManagedServices-EnableCloudFrontDistributionLogging

Amazon CloudFront 分佈已啟用記錄功能。

BucketName：您要存放存取日誌的 Amazon S3 儲存貯體名稱。
S3KeyPrefix：theAmazon CloudFront 分發日誌 S3 儲存貯體中位置的字首。
IncludeCookies：指出是否要在存取日誌中包含 Cookie。

若要啟用自動修復，必須提供下列預先設定的參數：

BucketName
S3KeyPrefix
IncludeCookies

如需此修復限制，請參閱如何開啟 CloudFront 分佈的記錄功能？

Hs4Ma3G109 - 應啟用 CloudTrail 日誌檔案驗證

對應的 AWS Security Hub 檢查：CloudTrail.4

AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation

啟用 CloudTrail 追蹤日誌驗證。

不允許預先設定的參數。

無限制條件

Hs4Ma3G108 - CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合

對應的 AWS Security Hub 檢查：CloudTrail.5

AWSManagedServices-IntegrateCloudTrailWithCloudWatch

AWS CloudTrail 已與 CloudWatch Logs 整合。

CloudWatchLogsLogGroupName：交付 CloudTrail 日誌的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您必須使用帳戶中存在的日誌群組。
CloudWatchLogsRoleName：CloudWatch Logs 端點的 IAM 角色名稱，以假設寫入使用者的日誌群組。您必須使用帳戶中存在的角色。

若要啟用自動修復，必須提供下列預先設定的參數：

CloudWatchLogsLogGroupName
CloudWatchLogsRoleName

Hs4Ma3G217 - CodeBuild 專案環境應具有記錄 AWS 組態

對應的 AWS Security Hub 檢查：CodeBuild.4

AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig

啟用 CodeBuild 專案的記錄。

不允許預先設定的參數。

無限制條件

Hs4Ma3G306 - Neptune 資料庫叢集應該啟用刪除保護

對應的 AWS Security Hub 檢查：DocumentDB.3

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot

從 Amazon DocumentDB 手動叢集快照移除公有存取權。

不允許預先設定的參數。

無限制條件

Hs4Ma3G308 - Amazon DocumentDB 叢集應該啟用刪除保護

對應的 AWS Security Hub 檢查：DocumentDB.5

AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection

啟用 Amazon DocumentDB 叢集的刪除保護。

不允許預先設定的參數。

無限制條件

Hs4Ma3G323 - DynamoDB 資料表應該啟用刪除保護

對應的 AWS Security Hub 檢查：DynamoDB.6

AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection

啟用非 AMS DynamoDB 資料表的刪除保護。

不允許預先設定的參數。

無限制條件

ePs02jT06w - Amazon EBS 公有快照

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot

Amazon EBS 快照的公開存取已停用。

不允許預先設定的參數。

無限制條件

Hs4Ma3G118 - VPC 預設安全群組不應允許傳入或傳出流量

對應的 AWS Security Hub 檢查：EC2.2

AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG

預設安全群組中的所有輸入和輸出規則都會移除。

不允許預先設定的參數。

無限制條件

Hs4Ma3G117 - 連接的 EBS 磁碟區應該靜態加密

對應的 AWS Security Hub 檢查：EC2.3

AWSManagedServices-EncryptInstanceVolume

執行個體上連接的 Amazon EBS 磁碟區已加密。

KMSKeyId： AWS KMS key ID 或 ARN 來加密磁碟區。
DeleteStaleNonEncryptedSnapshotBackups：決定是否應刪除舊未加密磁碟區的快照備份的旗標。

作為修復的一部分，執行個體會重新啟動，如果 DeleteStaleNonEncryptedSnapshotBackups 設定為 false ，則復原可以協助還原。

Hs4Ma3G120 - 在指定時段後應移除已停止的 EC2 執行個體

對應的 AWS Security Hub 檢查：EC2.4

AWSManagedServices-TerminateInstance （自動和手動執行模式的預設 SSM 文件）

Amazon EC2 執行個體已停止 30 天。

CreateAMIBeforeTermination：。若要在終止 EC2 執行個體之前建立執行個體 AMI 做為備份，請選擇 true。若要在終止之前不建立備份，請選擇 false。預設值為 true。

無限制條件

Hs4Ma3G120 - 在指定時段後應移除已停止的 EC2 執行個體

對應的 AWS Security Hub 檢查：EC2.4

AWSManagedServices-TerminateEC2InstanceStoppedForPeriodOfTime - 在 Security Hub 中定義的天數內停止的 Amazon EC2 執行個體（預設值為 30) 會終止。

CreateAMIBeforeTermination：若要在終止 EC2 執行個體之前建立執行個體 AMI 做為備份，請選擇 true。若要在終止之前不建立備份，請選擇 false。預設值為 true。

無限制條件

Hs4Ma3G121 - 應啟用 EBS 預設加密

對應的 AWS Security Hub 檢查：EC2.7

AWSManagedServices-EncryptEBSByDefault

Amazon EBS 加密預設為針對特定啟用 AWS 區域

不允許預先設定的參數。

預設加密是區域特有設定。如果您為區域啟用此功能，則無法針對該區域中的個別磁碟區或快照停用此功能。

Hs4Ma3G124 - Amazon EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)

對應的 AWS Security Hub 檢查：EC2.8

AWSManagedServices-TrustedRemediatorEnableEC2InstanceIMDSv2

Amazon EC2 執行個體使用執行個體中繼資料服務第 2 版 (IMDSv2)。

IMDSv1MetricCheckPeriod：在 CloudWatch 中分析 IMDSv1 用量指標的天數 (42-455)。如果 Amazon EC2 執行個體是在指定的期間內建立，則分析會從執行個體的建立日期開始。
HttpPutResponseHopLimit：執行個體中繼資料字符允許的網路跳轉數目上限。此值可在 1和 2 躍點之間設定。的跳轉限制會將字符存取1限制為直接在執行個體上執行的程序，而的跳轉限制則2允許從執行個體上執行的容器存取。

無限制條件

Hs4Ma3G207 - EC2 子網路不應自動指派公有 IP 地址

對應的 AWS Security Hub 檢查：EC2.15

AWSManagedServices-UpdateAutoAssignPublicIpv4Addresses

VPC 子網路設定為不會自動指派公有 IP 地址。

不允許預先設定的參數。

無限制條件

Hs4Ma3G209 - 移除未使用的網路存取控制清單

對應的 AWS Security Hub 檢查：EC2.16

AWSManagedServices-DeleteUnusedNACL

刪除未使用的網路 ACL

不允許預先設定的參數。

無限制條件

Hs4Ma3G215 - 應移除未使用的 Amazon EC2 安全群組

對應的 AWS Security Hub 檢查：EC2.22

AWSManagedServices-DeleteSecurityGroups

刪除未使用的安全群組。

不允許預先設定的參數。

無限制條件

Hs4Ma3G247 - Amazon EC2 Transit Gateway 不應自動接受 VPC 連接請求

對應的 AWS Security Hub 檢查：EC2.23

AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach - 停用自動接受指定非 AMS Amazon EC2 Transit Gateway 的 VPC 連接請求。

不允許預先設定的參數。

無限制條件

Hs4Ma3G235 - ECR 私有儲存庫應設定標籤不可變性

對應的 AWS Security Hub 檢查：ECR.2

AWSManagedServices-TrustedRemediatorSetImageTagImmutability

將指定儲存庫的影像標籤可變性設定設定為 IMMUTABLE。

不允許預先設定的參數。

無限制條件

Hs4Ma3G216 - ECR 儲存庫應至少設定一個生命週期政策

對應的 AWS Security Hub 檢查：ECR.3

AWSManagedServices-PutECRRepositoryLifecyclePolicy

ECR 儲存庫已設定生命週期政策。

LifecyclePolicyText：要套用至儲存庫的 JSON 儲存庫政策文字。

若要啟用自動修復，必須提供下列預先設定的參數：

LifecyclePolicyText

Hs4Ma3G325 - EKS 叢集應該啟用稽核記錄

對應的 AWS Security Hub 檢查：EKS.8

AWSManagedServices-TrustedRemediatorEnableEKSAuditLog

EKS 叢集已啟用稽核日誌。

不允許預先設定的參數。

無限制條件

Hs4Ma3G183 - 應用程式負載平衡器應設定為捨棄 HTTP 標頭

對應的 AWS Security Hub 檢查：ELB.4

AWSConfigRemediation-DropInvalidHeadersForALB

Application Load Balancer 設定為無效的標頭欄位。

不允許預先設定的參數。

無限制條件

Hs4Ma3G184 - 應啟用 Application Load Balancer 和 Classic Load Balancer 記錄

對應的 AWS Security Hub 檢查：ELB.5

AWSManagedServices-EnableELBLogging （自動和手動執行模式的預設 SSM 文件）

Application Load Balancer 和 Classic Load Balancer 記錄已啟用。

BucketName：儲存貯體名稱（非 ARN)。請確定儲存貯體政策已正確設定以供記錄。
S3KeyPrefix：Elastic Load Balancing 日誌的 Amazon S3 儲存貯體中位置的字首。

若要啟用自動修復，必須提供下列預先設定的參數：

BucketName
S3KeyPrefix

Amazon S3 儲存貯體必須有儲存貯體政策，授予 Elastic Load Balancing 將存取日誌寫入儲存貯體的許可。

Hs4Ma3G184 - 應啟用 Application Load Balancer 和 Classic Load Balancer 記錄

對應的 AWS Security Hub 檢查：ELB.5

AWSManagedServices-EnableELBLoggingV2

Application Load Balancer 和 Classic Load Balancer 記錄已啟用。

TargetBucketTagKey：用於識別目標 Amazon S3 儲存貯體的標籤名稱（區分大小寫）。將此與搭配使用TargetBucketTagValue，以標記將做為存取記錄目的地儲存貯體的儲存貯體。
TargetBucketTagValue：用於識別目標 Amazon S3 儲存貯體的標籤值（區分大小寫）。將此與搭配使用TargetBucketTagKey，以標記將做為存取記錄目的地儲存貯體的儲存貯體。
S3BucketPrefix：Amazon S3 儲存貯體的字首（邏輯階層）。您指定的字首不得包含字串 AWSLogs。如需詳細資訊，請參閱使用字首組織物件。

若要啟用自動修復，必須提供下列預先設定的參數：
- TargetBucketTagKey
- TargetBucketTagValue
- S3BucketPrefix
Amazon S3 儲存貯體必須有儲存貯體政策，授予 Elastic Load Balancing 將存取日誌寫入儲存貯體的許可。

Hs4Ma3G326 - 應啟用 Amazon EMR 封鎖公開存取設定

對應的 AWS Security Hub 檢查：EMR.2

AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess

帳戶已開啟 Amazon EMR 封鎖公開存取設定。

不允許預先設定的參數。

無限制條件

Hs4Ma3G135 - AWS KMS 金鑰不應意外刪除

對應的 AWS Security Hub 檢查：KMS.3

AWSManagedServices-CancelKeyDeletion

AWS KMS 金鑰刪除已取消。

不允許預先設定的參數。

無限制條件

Hs4Ma3G299 - Amazon DocumentDB 手動叢集快照不應公開

對應的 AWS Security Hub 檢查：Neptune.4

AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection

啟用 Amazon Neptune 叢集的刪除保護。

不允許預先設定的參數。

無限制條件

Hs4Ma3G319 - Network Firewall 防火牆應該啟用刪除保護

對應 AWS Security Hub 檢查：NetworkFirewall.9

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection - 啟用 AWS Network Firewall 的刪除保護。

不允許預先設定的參數。

無限制條件

Hs4Ma3G223 - OpenSearch 網域應該加密節點之間傳送的資料

對應的 AWS Security Hub 檢查：OpenSearch.3

AWSManagedServices-EnableOpenSearchNodeToNodeEncryption

網域已啟用節點對節點加密。

不允許預先設定的參數。

啟用node-to-node加密後，您無法停用設定。反之，請手動擷取加密網域的快照、建立另一個網域、遷移您的資料，然後刪除舊網域。

Hs4Ma3G222 - 應啟用記錄至 CloudWatch Logs 的 OpenSearch 網域錯誤

對應的 AWS Security Hub 檢查：Opensearch.4

AWSManagedServices-EnableOpenSearchLogging

OpenSearch 網域已啟用錯誤記錄。

CloudWatchLogGroupArn：anAmazon CloudWatch Logs 日誌群組的 ARN。

若要啟用自動修復，必須提供下列預先設定的參數：CloudWatchLogGroupArn。

Amazon CloudWatch 資源政策必須設定許可。如需詳細資訊，請參閱《Amazon OpenSearch Service 使用者指南》中的啟用稽核日誌

Hs4Ma3G221 - OpenSearch 網域應該啟用稽核記錄

對應的 AWS Security Hub 檢查：Opensearch.5

AWSManagedServices-EnableOpenSearchLogging

OpenSearch 網域設定為啟用稽核記錄。

CloudWatchLogGroupArn：要發佈日誌的 CloudWatch Logs 群組 ARN。

若要啟用自動修復，必須提供下列預先設定的參數：CloudWatchLogGroupArn

Amazon CloudWatch 資源政策必須設定許可。如需詳細資訊，請參閱《Amazon OpenSearch Service 使用者指南》中的啟用稽核日誌

Hs4Ma3G220 - 應使用 TLS 1.2 加密與 OpenSearch 網域的連線

對應的 AWS Security Hub 檢查：Opensearch.8

AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2

TLS 政策設定為 `Policy-Min-TLS-1-2-2019-07`，且僅允許透過 HTTPS (TLS) 的加密連線。

不允許預先設定的參數。

使用 TLS 1.2 需要連線至 OpenSearch 網域。加密傳輸中的資料可能會影響效能。使用此功能測試您的應用程式，以了解效能描述檔和 TLS 的影響。

Hs4Ma3G194 - Amazon RDS 快照應為私有

對應的 AWS Security Hub 檢查：RDS.1

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

Amazon RDS 快照的公開存取已停用。

不允許預先設定的參數。

無限制條件

Hs4Ma3G192 - RDS 資料庫執行個體應禁止公開存取，如 PubliclyAccessible AWS 組態所決定

對應的 AWS Security Hub 檢查：RDS.2

AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance

在 RDS 資料庫執行個體上停用公有存取。

不允許預先設定的參數。

無限制條件

Hs4Ma3G189 - 針對 Amazon RDS 資料庫執行個體設定增強型監控

對應的 AWS Security Hub 檢查：RDS.6

AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring

啟用 Amazon RDS 資料庫執行個體的增強型監控

MonitoringInterval：針對資料庫執行個體收集增強型監控指標的點之間的間隔，以秒為單位。有效間隔為 0、1、5、10、15、30 和 60。若要停用收集增強型監控指標，請指定 0。
MonitoringRoleName：允許 Amazon RDS 將增強型監控指標傳送至 Amazon CloudWatch Logs 的 IAM 角色名稱。如果未指定角色，則會rds-monitoring-role使用或建立預設角色，如果該角色不存在。

如果在自動化執行之前啟用增強型監控，則此自動化可能會使用預先設定參數中設定的 MonitoringInterval 和 MonitoringRoleName 值來覆寫設定。

Hs4Ma3G190 - Amazon RDS 叢集應該啟用刪除保護

對應的 AWS Security Hub 檢查：RDS.7

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

Amazon RDS 叢集已啟用刪除保護。

不允許預先設定的參數。

無限制條件

Hs4Ma3G198 - Amazon RDS 資料庫執行個體應啟用刪除保護

對應的 AWS Security Hub 檢查：RDS.8

AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection

Amazon RDS 執行個體已啟用刪除保護。

不允許預先設定的參數。

無限制條件

Hs4Ma3G199 - RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs

對應的 AWS Security Hub 檢查：RDS.9

AWSManagedServices-TrustedRemediatorEnableRDSLogExports

已針對 RDS 資料庫執行個體或 RDS 資料庫叢集啟用 RDS 日誌匯出。

不允許預先設定的參數。

服務連結角色 AWSServiceRoleForRDS 為必要項目。

Hs4Ma3G160 - 應為 RDS 執行個體設定 IAM 身分驗證

對應的 AWS Security Hub 檢查：RDS.10

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

AWS Identity and Access Management 已為 RDS 執行個體啟用身分驗證。

ApplyImmediately：指出是否盡快非同步套用此請求中的修改和任何待定修改，若要立即套用變更，請選擇 true。若要排程下一個維護時段的變更，請選擇 false。

無限制條件

Hs4Ma3G161 - 應為 RDS 叢集設定 IAM 身分驗證

對應的 AWS Security Hub 檢查：RDS.12

AWSManagedServices-UpdateRDSIAMDatabaseAuthentication

RDS 叢集已啟用 IAM 身分驗證。

ApplyImmediately：指出此請求中的修改和任何待定修改是否以非同步方式盡快套用，若要立即套用變更，請選擇 true。若要排程下一個維護時段的變更，請選擇 false。

無限制條件

Hs4Ma3G162 - 應啟用 RDS 自動次要版本升級

對應的 AWS Security Hub 檢查：RDS.13

AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade

Amazon RDS 的自動次要版本升級組態已啟用。

不允許預先設定的參數。

Amazon RDS 執行個體必須處於 available 狀態，才能進行此修復。

Hs4Ma3G163 - RDS 資料庫叢集應設定為將標籤複製到快照

對應的 AWS Security Hub 檢查：RDS.16

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagtosnapshot Amazon RDS 叢集的設定已啟用。

不允許預先設定的參數。

Amazon RDS 執行個體必須處於可用狀態，才能進行此修復。

Hs4Ma3G164 - RDS 資料庫執行個體應設定為將標籤複製到快照

對應的 AWS Security Hub 檢查：RDS.17

AWSManagedServices-UpdateRDSCopyTagsToSnapshots

CopyTagsToSnapshot Amazon RDS 的設定已啟用。

不允許預先設定的參數。

Amazon RDS 執行個體必須處於可用狀態，才能進行此修復。

rSs93HQwa1

Amazon RDS 公有快照

AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2

Amazon RDS 快照的公開存取已停用。

不允許預先設定的參數。

無限制條件

Hs4Ma3G103 - Amazon Redshift 叢集應禁止公開存取

對應的 AWS Security Hub 檢查：Redshift.1

AWSManagedServices-DisablePublicAccessOnRedshiftCluster

Amazon Redshift 叢集上的公開存取已停用。

不允許預先設定的參數。

停用公有存取會封鎖來自網際網路的所有用戶端。而且 Amazon Redshift 叢集處於修改狀態幾分鐘，而修復會停用叢集上的公有存取。

Hs4Ma3G106 - Amazon Redshift 叢集應該啟用稽核記錄

對應的 AWS Security Hub 檢查：Redshift.4

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging

稽核記錄會在維護時段期間啟用到您的 Amazon Redshift 叢集。

不允許預先設定的參數。

若要啟用自動修復，必須提供下列預先設定的參數。

BucketName：儲存貯體必須位於相同的中 AWS 區域。叢集必須具有讀取儲存貯體並放置物件許可。

如果在自動化執行之前啟用 Redshift 叢集記錄，則記錄設定可能會由此自動化覆寫，並在預先設定的參數中設定 BucketName和 S3KeyPrefix值。

Hs4Ma3G105 - Amazon Redshift 應已啟用自動升級至主要版本

對應的 AWS Security Hub 檢查：Redshift.6

AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade - 主要版本升級會在維護時段期間自動套用至叢集。Amazon Redshift 叢集不會立即停機，但如果升級到主要版本，您的 Amazon Redshift 叢集可能會在維護時段期間停機。

不允許預先設定的參數。

無限制條件

Hs4Ma3G104 - Amazon Redshift 叢集應使用增強型 VPC 路由

對應的 AWS Security Hub 檢查：Redshift.7

AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting

Amazon Redshift 叢集已啟用增強型 VPC 路由。

不允許預先設定的參數。

無限制條件

Hs4Ma3G173 - 應在儲存貯體層級啟用 S3 封鎖公開存取設定

對應的 AWS Security Hub 檢查：S3.8

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

儲存貯體層級的公有存取區塊會套用至 Amazon S3 儲存貯體。

不允許預先設定的參數。

此修復可能會影響 S3 物件可用性。如需 Amazon S3 如何評估存取權的資訊，請參閱封鎖對 Amazon S3 儲存體的公開存取權。

Hs4Ma3G230 - 應啟用 S3 儲存貯體伺服器存取記錄

對應的 AWS Security Hub 檢查：S3.9

AWSManagedServices-EnableBucketAccessLogging （自動和手動執行模式的預設 SSM 文件）

Amazon S3 伺服器存取記錄已啟用。

TargetBucket：儲存伺服器存取日誌的 S3 儲存貯體名稱。
TargetObjectKeyFormat：日誌物件的 Amazon S3 金鑰格式（值區分大小寫）。若要針對日誌物件使用 S3 金鑰的簡單格式，請選擇 SimplePrefix。若要將分割的 S3 金鑰用於日誌物件，並將 EventTime 用於分割的字首，請選擇 PartitionedPrefixEventTime。若要將分割的 S3 金鑰用於日誌物件，並將 DeliveryTime 用於分割的字首，請選擇 PartitionedPrefixDeliveryTime。有效值為 SimplePrefix、PartitionedPrefixEventTime 和 PartitionedPrefixDeliveryTime。

若要啟用自動修復，必須提供下列預先設定的參數：TargetBucket。

目的地儲存貯體必須與來源儲存貯體位於相同 AWS 帳戶 AWS 區域且具有正確的日誌交付許可。如需詳細資訊，請參閱啟用 Amazon S3 伺服器存取記錄。

Hs4Ma3G230 – 應啟用 S3 儲存貯體伺服器存取記錄

對應的 AWS Security Hub 檢查：S3.9

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 - 已啟用 Amazon S3 儲存貯體記錄。

TargetBucketTagKey：用於識別目標儲存貯體的標籤名稱（區分大小寫）。使用此和 TargetBucketTagValue 來標記要用作存取記錄目的地儲存貯體的儲存貯體。
TargetBucketTagValue：用於識別目標儲存貯體的標籤值（區分大小寫），請使用此值和 TargetBucketTagKey 來標記要用作存取記錄目的地儲存貯體的儲存貯體。
TargetObjectKeyFormat：日誌物件的 Amazon S3 金鑰格式（值區分大小寫）：若要將 S3 金鑰的簡單格式用於日誌物件，請選擇 SimplePrefix。若要將分割 S3 金鑰用於日誌物件，並將 EventTime 用於分割字首，請選擇PartitionedPrefixEventTime 若要將分割 S3 金鑰用於日誌物件，並將 DeliveryTime 用於分割字首，請選擇 PartitionedPrefixDeliveryTime。預設值為 PartitionedPrefixEventTime。

若要啟用自動修復，必須提供下列參數：TargetBucketTagKey 和 TargetBucketTagValue。

目的地儲存貯體必須與來源儲存貯體位於相同 AWS 帳戶 AWS 區域且具有正確的日誌交付許可。如需詳細資訊，請參閱啟用 Amazon S3 伺服器存取記錄。

Pfx0RwqBli

Amazon S3 儲存貯體許可

AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess

封鎖公有存取權

不允許預先設定的參數。

此檢查包含多個提醒條件。此自動化可修復公有存取問題。不支援修復 Trusted Advisor 標記的其他組態問題。此修復支援修復 AWS 服務已建立的 S3 儲存貯體（例如 cf-templates-000000000000)。

Hs4Ma3G272 - 使用者不應擁有 SageMaker 筆記本執行個體的根存取權

對應的 AWS Security Hub 檢查：SageMaker.3

AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess

SageMaker 筆記本執行個體已停用使用者的根存取權。

不允許預先設定的參數。

如果 SageMaker 筆記本執行個體處於 InService 狀態，則此修復會導致中斷。

Hs4Ma3G179 - SNS 主題應使用靜態加密 AWS KMS

對應的 AWS Security Hub 檢查：SNS.1

AWSManagedServices-EnableSNSEncryptionAtRest

SNS 主題是以伺服器端加密設定。

KmsKeyId：Amazon SNS 的 AWS 受管客戶主金鑰 (CMK) 或用於伺服器端加密 (SSE) 的自訂 CMK ID。預設值設為 alias/aws/sns。

如果使用自訂 AWS KMS 金鑰，則必須設定正確的許可。如需詳細資訊，請參閱啟用 Amazon SNS 主題的伺服器端加密 (SSE)

Hs4Ma3G158 - SSM 文件不應公開

對應的 AWS Security Hub 檢查：SSM.4

AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing - 停用 SSM 文件的公開共用。

不允許預先設定的參數。

無限制條件

Hs4Ma3G136 - Amazon SQS 佇列應靜態加密

對應的 AWS Security Hub 檢查：SQS.1

AWSManagedServices-EnableSQSEncryptionAtRest

Amazon SQS 中的訊息會加密。

SqsManagedSseEnabled：設定為 true 以使用 Amazon SQS 擁有的加密金鑰啟用伺服器端佇列加密，設定為 false 以使用 AWS KMS 金鑰啟用伺服器端佇列加密。
KMSKeyId：Amazon SQS 的 AWS 受管客戶主金鑰 (CMK) 或自訂 CMK 的 ID 或別名，用於佇列的伺服器端加密。如果未提供，則會使用alias/aws/sqs。
KmsDataKeyReusePeriodSeconds：Amazon SQS 可以在 AWS KMS 再次呼叫之前重複使用資料金鑰來加密或解密訊息的時間長度，以秒為單位。代表秒數的整數，介於 60 秒 (1 分鐘) 和 86,400 秒 (24 小時) 之間。如果 SqsManagedSseEnabled 設定為，則會忽略此設定true。

對加密佇列的匿名 SendMessage 和 ReceiveMessage 請求會遭到拒絕。所有對啟用 SSE 之佇列的請求都必須使用 HTTPS 和簽章版本 4。

Trusted Advisor Trusted Remediator 支援的容錯能力檢查

檢查 ID 和名稱 SSM 文件名稱和預期結果支援的預先設定參數和限制條件

檢查 ID 和名稱	SSM 文件名稱和預期結果	支援的預先設定參數和限制條件
c18d2gz138 Amazon DynamoDB 時間點復原	AWSManagedServices-TrustedRemediatorEnableDDBPITR 啟用 DynamoDB 資料表的point-in-time復原。	不允許預先設定的參數。無限制條件
R365s2Qddf Amazon S3 Bucket Versioning	AWSManagedServices-TrustedRemediatorEnableBucketVersioning Amazon S3 儲存貯體版本控制已啟用。	不允許預先設定的參數。此修復不支援修復 AWS 服務已建立的 S3 儲存貯體（例如 cf-templates-000000000000)。
BueAdJ7NrP Simple Storage Service (Amazon S3) 儲存貯體記錄	AWSManagedServices-EnableBucketAccessLogging Amazon S3 儲存貯體記錄已啟用。	TargetBucket：儲存伺服器存取日誌的 S3 儲存貯體名稱。 TargetObjectKeyFormat：日誌物件的 Amazon S3 金鑰格式，若要將 S3 金鑰的簡單格式用於日誌物件，請選擇 `SimplePrefix`。若要將分割的 S3 金鑰用於日誌物件，並將 EventTime 用於分割的字首，請選擇 `PartitionedPrefixEventTime`。若要將分割的 S3 金鑰用於日誌物件，並將 DeliveryTime 用於分割的字首，請選擇 `PartitionedPrefixDeliveryTime`。預設值為 `PartitionedPrefixEventTime`。有效值為 `SimplePrefix`、 `PartitionedPrefixEventTime`和 `PartitionedPrefixDeliveryTime`（區分大小寫）。若要啟用自動修復，必須提供下列預先設定的參數： TargetBucket 目的地儲存貯體必須與來源儲存貯體位於相同 AWS 帳戶 AWS 區域且具有正確的日誌交付許可。如需詳細資訊，請參閱啟用 Amazon S3 伺服器存取記錄。
f2iK5R6Dep Amazon RDS Multi-AZ	AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ 已啟用多可用區域部署。	不允許預先設定的參數。在此變更期間，可能會發生效能降低。
H7IgTzjTYb Amazon EBS 快照	AWSManagedServices-TrustedRemediatorCreateEBSSnapshot Amazon EBSsnapshots 已建立。	不允許預先設定的參數。無限制條件
opQPADkZvH RDS 備份	AWSManagedServices-EnableRDSBackupRetention 資料庫已啟用 Amazon RDS 備份保留。	BackupRetentionPeriod：保留自動備份的天數 (1-35)。 ApplyImmediately：指出是否盡快非同步套用 RDS 備份保留變更和任何待定修改。選擇立即`true`套用變更，或`false`為下一個維護時段排程變更。如果 `ApplyImmediately` 參數設定為 `true`，則 db 上的待定變更會與 RDSBackup 保留設定一起套用。
c1qf5bt013 Amazon RDS 資料庫執行個體已關閉儲存體自動調整規模	AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling - 針對 Amazon RDS 資料庫執行個體啟用儲存體自動擴展。	MaxAllocatedStorageIncreasePercentage：目前 AllocatedStorage 的增加百分比，用於設定 MaxAllocatedStorage。預設值設為 `26`。您必須將最大儲存閾值設定為比目前配置的儲存多至少 10%。最佳實務是將最大儲存閾值設定為至少多 26%。如需詳細資訊，請參閱使用 Amazon Relational Database Service 儲存體自動調整規模自動管理容量。無限制條件
7qGXsKIUw Classic Load Balancer 連線耗盡	AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining Classic Load Balancer 已啟用連線耗盡。	ConnectionDrainingTimeout：取消註冊執行個體之前，保持現有連線開啟的最長時間，以秒為單位。預設值設為`300`秒。無限制條件
c18d2gz106 AWS Backup 計劃中不包含 Amazon EBS	AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan Amazon EBS 包含在 AWS Backup 計劃中。	修復會使用下列標籤對來標記 Amazon EBS 磁碟區。標籤對必須符合的標籤型資源選擇條件 AWS Backup。 TagKey TagValue 無限制條件
c18d2gz107 AWS Backup 計劃中不包含 Amazon DynamoDB 資料表	AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlanAddDynamoDBToBackupPlan Amazon DynamoDB 資料表包含在 AWS Backup 計劃中。	修復會使用下列標籤對來標記 Amazon DynamoDB。標籤對必須符合的標籤型資源選擇條件 AWS Backup。 TagKey TagValue 無限制條件
c18d2gz117 AWS Backup 計劃中不包含 Amazon EFS	AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan Amazon EFS 包含在 AWS Backup 計劃中。	修復會使用下列標籤對來標記 Amazon EFS。標籤對必須符合的標籤型資源選擇條件 AWS Backup。 TagKey TagValue 無限制條件
c18d2gz105 跨負載平衡的 Network Load Balancer	AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing Network Load Balancer 上已啟用跨區域負載平衡。	不允許預先設定的參數。無限制條件
c1qf5bt026 Amazon RDS `synchronous_commit` 參數已關閉	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的參數`synchronous_commit`已開啟。	不允許預先設定的參數。無限制條件
c1qf5bt030 Amazon RDS `innodb_flush_log_at_trx_commit` 參數不是 `1`	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS `1` 的參數`innodb_flush_log_at_trx_commit`設定為。	不允許預先設定的參數。無限制條件
c1qf5bt031 Amazon RDS `sync_binlog` 參數已關閉	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的參數`sync_binlog`已開啟。	不允許預先設定的參數。無限制條件
c1qf5bt036 Amazon RDS `innodb_default_row_format` 參數設定不安全	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS `DYNAMIC` 的參數`innodb_default_row_format`設定為。	不允許預先設定的參數。無限制條件
c18d2gz144 未啟用 Amazon EC2 詳細監控	AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring Amazon EC2 已啟用詳細監控。	不允許預先設定的參數。無限制條件

c18d2gz138

Amazon DynamoDB 時間點復原

AWSManagedServices-TrustedRemediatorEnableDDBPITR

啟用 DynamoDB 資料表的point-in-time復原。

不允許預先設定的參數。

無限制條件

R365s2Qddf

Amazon S3 Bucket Versioning

AWSManagedServices-TrustedRemediatorEnableBucketVersioning

Amazon S3 儲存貯體版本控制已啟用。

不允許預先設定的參數。

此修復不支援修復 AWS 服務已建立的 S3 儲存貯體（例如 cf-templates-000000000000)。

BueAdJ7NrP

Simple Storage Service (Amazon S3) 儲存貯體記錄

AWSManagedServices-EnableBucketAccessLogging

Amazon S3 儲存貯體記錄已啟用。

TargetBucket：儲存伺服器存取日誌的 S3 儲存貯體名稱。
TargetObjectKeyFormat：日誌物件的 Amazon S3 金鑰格式，若要將 S3 金鑰的簡單格式用於日誌物件，請選擇 SimplePrefix。若要將分割的 S3 金鑰用於日誌物件，並將 EventTime 用於分割的字首，請選擇 PartitionedPrefixEventTime。若要將分割的 S3 金鑰用於日誌物件，並將 DeliveryTime 用於分割的字首，請選擇 PartitionedPrefixDeliveryTime。預設值為 PartitionedPrefixEventTime。有效值為 SimplePrefix、 PartitionedPrefixEventTime和 PartitionedPrefixDeliveryTime（區分大小寫）。

若要啟用自動修復，必須提供下列預先設定的參數：

TargetBucket

目的地儲存貯體必須與來源儲存貯體位於相同 AWS 帳戶 AWS 區域且具有正確的日誌交付許可。如需詳細資訊，請參閱啟用 Amazon S3 伺服器存取記錄。

f2iK5R6Dep

Amazon RDS Multi-AZ

AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ

已啟用多可用區域部署。

不允許預先設定的參數。

在此變更期間，可能會發生效能降低。

H7IgTzjTYb

Amazon EBS 快照

AWSManagedServices-TrustedRemediatorCreateEBSSnapshot

Amazon EBSsnapshots 已建立。

不允許預先設定的參數。

無限制條件

opQPADkZvH

RDS 備份

AWSManagedServices-EnableRDSBackupRetention

資料庫已啟用 Amazon RDS 備份保留。

BackupRetentionPeriod：保留自動備份的天數 (1-35)。
ApplyImmediately：指出是否盡快非同步套用 RDS 備份保留變更和任何待定修改。選擇立即true套用變更，或false為下一個維護時段排程變更。

如果 ApplyImmediately 參數設定為 true，則 db 上的待定變更會與 RDSBackup 保留設定一起套用。

c1qf5bt013

Amazon RDS 資料庫執行個體已關閉儲存體自動調整規模

AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling - 針對 Amazon RDS 資料庫執行個體啟用儲存體自動擴展。

MaxAllocatedStorageIncreasePercentage：目前 AllocatedStorage 的增加百分比，用於設定 MaxAllocatedStorage。預設值設為 26。

您必須將最大儲存閾值設定為比目前配置的儲存多至少 10%。最佳實務是將最大儲存閾值設定為至少多 26%。如需詳細資訊，請參閱使用 Amazon Relational Database Service 儲存體自動調整規模自動管理容量。

無限制條件

7qGXsKIUw

Classic Load Balancer 連線耗盡

AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining

Classic Load Balancer 已啟用連線耗盡。

ConnectionDrainingTimeout：取消註冊執行個體之前，保持現有連線開啟的最長時間，以秒為單位。預設值設為300秒。

無限制條件

c18d2gz106

AWS Backup 計劃中不包含 Amazon EBS

AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan

Amazon EBS 包含在 AWS Backup 計劃中。

修復會使用下列標籤對來標記 Amazon EBS 磁碟區。標籤對必須符合的標籤型資源選擇條件 AWS Backup。

TagKey
TagValue

無限制條件

c18d2gz107

AWS Backup 計劃中不包含 Amazon DynamoDB 資料表

AWSManagedServices-TrustedRemediatorAddDynamoDBToBackupPlanAddDynamoDBToBackupPlan

Amazon DynamoDB 資料表包含在 AWS Backup 計劃中。

修復會使用下列標籤對來標記 Amazon DynamoDB。標籤對必須符合的標籤型資源選擇條件 AWS Backup。

TagKey
TagValue

無限制條件

c18d2gz117

AWS Backup 計劃中不包含 Amazon EFS

AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan

Amazon EFS 包含在 AWS Backup 計劃中。

修復會使用下列標籤對來標記 Amazon EFS。標籤對必須符合的標籤型資源選擇條件 AWS Backup。

TagKey
TagValue

無限制條件

c18d2gz105

跨負載平衡的 Network Load Balancer

AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing

Network Load Balancer 上已啟用跨區域負載平衡。

不允許預先設定的參數。

無限制條件

c1qf5bt026

Amazon RDS synchronous_commit 參數已關閉

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的參數synchronous_commit已開啟。

不允許預先設定的參數。

無限制條件

c1qf5bt030

Amazon RDS innodb_flush_log_at_trx_commit 參數不是 1

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 1 的參數innodb_flush_log_at_trx_commit設定為。

不允許預先設定的參數。

無限制條件

c1qf5bt031

Amazon RDS sync_binlog 參數已關閉

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的參數sync_binlog已開啟。

不允許預先設定的參數。

無限制條件

c1qf5bt036

Amazon RDS innodb_default_row_format 參數設定不安全

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS DYNAMIC 的參數innodb_default_row_format設定為。

不允許預先設定的參數。

無限制條件

c18d2gz144

未啟用 Amazon EC2 詳細監控

AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring

Amazon EC2 已啟用詳細監控。

不允許預先設定的參數。

無限制條件

Trusted Advisor Trusted Remediator 支援的效能檢查

檢查 ID 和名稱 SSM 文件名稱和預期結果支援的預先設定參數和限制條件

檢查 ID 和名稱	SSM 文件名稱和預期結果	支援的預先設定參數和限制條件
COr6dfpM06 AWS Lambda 記憶體大小的佈建不足函數	AWSManagedServices-ResizeLambdaMemory Lambda 函數的記憶體大小會調整為提供的建議記憶體大小 Trusted Advisor。	RecommendedMemorySize：Lambda 函數的建議記憶體配置。值範圍介於 128 和 10240 之間。如果在自動化執行之前修改 Lambda 函數大小，則此自動化可能會以建議的值覆寫設定 Trusted Advisor。
ZRxQlPsb6c Amazon EC2 執行個體高使用率	AWSManagedServices-ResizeInstanceByOneLevel Amazon EC2 執行個體的大小會由相同執行個體系列類型的一個執行個體類型調整。執行個體會在調整大小操作期間停止和啟動，並在執行完成後返回初始狀態。此自動化不支援調整 Auto Scaling 群組中的執行個體大小。	MinimumDaysSinceLastChange：自上次執行個體類型變更以來的天數下限。如果在指定的時間內修改執行個體類型，則不會變更執行個體類型。使用 `0` 略過此驗證。預設值為 `7`。 CreateAMIBeforeResize：若要在調整大小之前建立執行個體 AMI 做為備份，請選擇 `true`。若要不建立備份，請選擇 `false`。預設值為 `false`。有效值為 `true`和 `false`（區分大小寫）。 ResizeIfStopped：若要繼續變更執行個體大小，即使執行個體處於停止狀態，請選擇 `true`。如果執行個體處於停止狀態，若要不自動調整其大小，請選擇 `false`。有效值為 `true`和 `false`（區分大小寫）。無限制條件
c1qf5bt021 使用低於最佳值的 Amazon RDS `innodb_change_buffering` 參數	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的 `innodb_change_buffering` 參數值設定為 `NONE` 。	不允許預先設定的參數。無限制條件
c1qf5bt025 Amazon RDS `autovacuum` 參數已關閉	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的參數`autovacuum`已開啟。	不允許預先設定的參數。無限制條件
c1qf5bt028 Amazon RDS `enable_indexonlyscan` 參數已關閉	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的參數`enable_indexonlyscan`已開啟。	不允許預先設定的參數。無限制條件
c1qf5bt029 Amazon RDS `enable_indexscan` 參數已關閉	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的參數`enable_indexscan`已開啟。	不允許預先設定的參數。無限制條件
c1qf5bt032 Amazon RDS `innodb_stats_persistent` 參數已關閉	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的參數`innodb_stats_persistent`已開啟。	不允許預先設定的參數。無限制條件
c1qf5bt037 Amazon RDS `general_logging` 參數已開啟	AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter Amazon RDS 的參數`general_logging`已關閉。	不允許預先設定的參數。無限制條件

COr6dfpM06

AWS Lambda 記憶體大小的佈建不足函數

AWSManagedServices-ResizeLambdaMemory

Lambda 函數的記憶體大小會調整為提供的建議記憶體大小 Trusted Advisor。

RecommendedMemorySize：Lambda 函數的建議記憶體配置。值範圍介於 128 和 10240 之間。

如果在自動化執行之前修改 Lambda 函數大小，則此自動化可能會以建議的值覆寫設定 Trusted Advisor。

ZRxQlPsb6c

Amazon EC2 執行個體高使用率

AWSManagedServices-ResizeInstanceByOneLevel

Amazon EC2 執行個體的大小會由相同執行個體系列類型的一個執行個體類型調整。執行個體會在調整大小操作期間停止和啟動，並在執行完成後返回初始狀態。此自動化不支援調整 Auto Scaling 群組中的執行個體大小。

MinimumDaysSinceLastChange：自上次執行個體類型變更以來的天數下限。如果在指定的時間內修改執行個體類型，則不會變更執行個體類型。使用 0 略過此驗證。預設值為 7。
CreateAMIBeforeResize：若要在調整大小之前建立執行個體 AMI 做為備份，請選擇 true。若要不建立備份，請選擇 false。預設值為 false。有效值為 true和 false（區分大小寫）。
ResizeIfStopped：若要繼續變更執行個體大小，即使執行個體處於停止狀態，請選擇 true。如果執行個體處於停止狀態，若要不自動調整其大小，請選擇 false。有效值為 true和 false（區分大小寫）。

無限制條件

c1qf5bt021

使用低於最佳值的 Amazon RDS innodb_change_buffering 參數

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的 innodb_change_buffering 參數值設定為 NONE 。

不允許預先設定的參數。

無限制條件

c1qf5bt025

Amazon RDS autovacuum 參數已關閉

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的參數autovacuum已開啟。

不允許預先設定的參數。

無限制條件

c1qf5bt028

Amazon RDS enable_indexonlyscan 參數已關閉

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的參數enable_indexonlyscan已開啟。

不允許預先設定的參數。

無限制條件

c1qf5bt029

Amazon RDS enable_indexscan 參數已關閉

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的參數enable_indexscan已開啟。

不允許預先設定的參數。

無限制條件

c1qf5bt032

Amazon RDS innodb_stats_persistent 參數已關閉

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的參數innodb_stats_persistent已開啟。

不允許預先設定的參數。

無限制條件

c1qf5bt037

Amazon RDS general_logging 參數已開啟

AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter

Amazon RDS 的參數general_logging已關閉。

不允許預先設定的參數。

無限制條件

Trusted Advisor Trusted Remediator 支援的服務限制檢查

檢查 ID 和名稱 SSM 文件名稱和預期結果支援的預先設定參數和限制條件

檢查 ID 和名稱	SSM 文件名稱和預期結果	支援的預先設定參數和限制條件
lN7RR0l7J9 EC2-VPC 彈性 IP 地址	AWSManagedServices-UpdateVpcElasticIPQuota 系統會請求 EC2-VPC 彈性 IP 地址的新限制。根據預設，限制會增加 3。	增量：增加目前配額的數字。預設值為 `3`。如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次，則可能會提高限制。
kM7QQ0l7J9 VPC 網際網路閘道	AWSManagedServices-IncreaseServiceQuota - 請求 VPC 網際網路閘道的新限制。根據預設，限制會增加 3。	增加：增加目前配額的數字。預設值為 `3`。如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次，則可能會提高限制。
jL7PP0l7J9 VPC	AWSManagedServices-IncreaseServiceQuota 已請求 VPC 的新限制。根據預設，限制會增加 3。	增加：增加目前配額的數字。預設值為 `3`。如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次，則可能會提高限制。
fW7HH0l7J9 Auto Scaling 群組	AWSManagedServices-IncreaseServiceQuota 已請求 Auto Scaling 群組的新限制。根據預設，限制會增加 3。	增加：增加目前配額的數字。預設值為 `3`。如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次，則可能會提高限制。
3Njm0DJQO9 RDS 選項群組	AWSManagedServices-IncreaseServiceQuota 已請求 Amazon RDS 選項群組的新限制。根據預設，限制會增加 3。	增加：增加目前配額的數字。預設值為 `3`。如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次，則可能會提高限制。
EM8b3yLRTr ELB Application Load Balancer	AWSManagedServices-IncreaseServiceQuota 會請求 ELB Application Load Balancer 的新限制。根據預設，限制會增加 3。	增加：增加目前配額的數字。預設值為 `3`。如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次，則可能會提高限制。
8wIqYSt25K ELB Network Load Balancer	AWSManagedServices-IncreaseServiceQuota 會請求 ELB Network Load Balancer 的新限制。根據預設，限制會增加 3。	增加：增加目前配額的數字。預設值為 `3`。如果此自動化在 Trusted Advisor 檢查更新為 `OK` 狀態之前執行多次，則可能會提高限制。

lN7RR0l7J9

EC2-VPC 彈性 IP 地址

AWSManagedServices-UpdateVpcElasticIPQuota

系統會請求 EC2-VPC 彈性 IP 地址的新限制。根據預設，限制會增加 3。

增量：增加目前配額的數字。預設值為 3。

如果此自動化在 Trusted Advisor 檢查更新為 OK 狀態之前執行多次，則可能會提高限制。

kM7QQ0l7J9

VPC 網際網路閘道

AWSManagedServices-IncreaseServiceQuota - 請求 VPC 網際網路閘道的新限制。根據預設，限制會增加 3。

增加：增加目前配額的數字。預設值為 3。

如果此自動化在 Trusted Advisor 檢查更新為 OK 狀態之前執行多次，則可能會提高限制。

jL7PP0l7J9

VPC

AWSManagedServices-IncreaseServiceQuota

已請求 VPC 的新限制。根據預設，限制會增加 3。

增加：增加目前配額的數字。預設值為 3。

如果此自動化在 Trusted Advisor 檢查更新為 OK 狀態之前執行多次，則可能會提高限制。

fW7HH0l7J9

Auto Scaling 群組

AWSManagedServices-IncreaseServiceQuota

已請求 Auto Scaling 群組的新限制。根據預設，限制會增加 3。

增加：增加目前配額的數字。預設值為 3。

如果此自動化在 Trusted Advisor 檢查更新為 OK 狀態之前執行多次，則可能會提高限制。

3Njm0DJQO9

RDS 選項群組

AWSManagedServices-IncreaseServiceQuota

已請求 Amazon RDS 選項群組的新限制。根據預設，限制會增加 3。

增加：增加目前配額的數字。預設值為 3。

如果此自動化在 Trusted Advisor 檢查更新為 OK 狀態之前執行多次，則可能會提高限制。

EM8b3yLRTr

ELB Application Load Balancer

AWSManagedServices-IncreaseServiceQuota

會請求 ELB Application Load Balancer 的新限制。根據預設，限制會增加 3。

增加：增加目前配額的數字。預設值為 3。

如果此自動化在 Trusted Advisor 檢查更新為 OK 狀態之前執行多次，則可能會提高限制。

8wIqYSt25K

ELB Network Load Balancer

AWSManagedServices-IncreaseServiceQuota

會請求 ELB Network Load Balancer 的新限制。根據預設，限制會增加 3。

增加：增加目前配額的數字。預設值為 3。

如果此自動化在 Trusted Advisor 檢查更新為 OK 狀態之前執行多次，則可能會提高限制。

Trusted Advisor Trusted Remediator 支援的卓越營運檢查

檢查 ID 和名稱 SSM 文件名稱和預期結果支援的預先設定參數和限制條件

檢查 ID 和名稱	SSM 文件名稱和預期結果	支援的預先設定參數和限制條件
c18d2gz125 Amazon API Gateway 未記錄執行日誌	AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging 執行記錄會在 API 階段上啟用。	不允許預先設定的參數。您必須授予 API Gateway 許可，以讀取和寫入您帳戶的日誌至 CloudWatch，以啟用執行日誌，請參閱在 API Gateway 中設定 REST APIs的 CloudWatch 日誌記錄以取得詳細資訊。
c18d2gz168 未針對負載平衡器啟用 Elastic Load Balancing 刪除保護	為 Elastic Load Balancer 開啟 AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection - 刪除保護。	不允許預先設定的參數。無限制條件
c1qf5bt012 Amazon RDS Performance Insights 已關閉	AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights Amazon RDS 的績效詳情已開啟。	PerformanceInsightsRetentionPeriod：保留績效詳情資料的天數。有效值： `7`或月 * 31，其中月是從 1-23 的月數。範例： `93` (3 個月 * 31)、 `341`(11 個月 * 31)、 `589`(19 個月 * 31) 或 `731`。 PerformanceInsightsKMSKeyId： Performance Insights 資料的加密 AWS KMS 金鑰 ID。如果您未指定 PerformanceInsightsKMSKeyId 的值，則 Amazon RDS 會使用預設 AWS KMS 金鑰。無限制條件
c1fd6b96l4 已啟用 Amazon S3 存取日誌	AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2 Amazon S3 儲存貯體存取記錄已啟用。	TargetBucketTagValue：用於識別目標儲存貯體的標籤值（區分大小寫），請使用此值和 TargetBucketTagKey 來標記要用作存取記錄目的地儲存貯體的儲存貯體。 TargetObjectKeyFormat：日誌物件的 Amazon S3 金鑰格式（值區分大小寫）。若要針對日誌物件使用 S3 金鑰的簡單格式，請選擇 `SimplePrefix`。若要將分割的 S3 金鑰用於日誌物件，並將 EventTime 用於分割的字首，請選擇 `PartitionedPrefixEventTime`。若要將分割的 S3 金鑰用於日誌物件，並將 DeliveryTime 用於分割的字首，請選擇 `PartitionedPrefixDeliveryTime`。有效值為 `SimplePrefix`、`PartitionedPrefixEventTime` 和 `PartitionedPrefixDeliveryTime`。若要啟用自動修復，必須提供下列預先設定的參數：TargetBucketTagKey 和 TargetBucketTagValue。目的地儲存貯體必須與來源儲存貯體位於相同 AWS 帳戶 AWS 區域且具有正確的日誌交付許可。如需詳細資訊，請參閱啟用 Amazon S3 伺服器存取記錄。

c18d2gz125

Amazon API Gateway 未記錄執行日誌

AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging

執行記錄會在 API 階段上啟用。

不允許預先設定的參數。

c18d2gz168

未針對負載平衡器啟用 Elastic Load Balancing 刪除保護

為 Elastic Load Balancer 開啟 AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection - 刪除保護。

不允許預先設定的參數。

無限制條件

c1qf5bt012

Amazon RDS Performance Insights 已關閉

AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights

Amazon RDS 的績效詳情已開啟。

PerformanceInsightsRetentionPeriod：保留績效詳情資料的天數。有效值： 7或月 * 31，其中月是從 1-23 的月數。範例： 93 (3 個月 * 31)、 341(11 個月 * 31)、 589(19 個月 * 31) 或 731。
PerformanceInsightsKMSKeyId： Performance Insights 資料的加密 AWS KMS 金鑰 ID。如果您未指定 PerformanceInsightsKMSKeyId 的值，則 Amazon RDS 會使用預設 AWS KMS 金鑰。

無限制條件

c1fd6b96l4

已啟用 Amazon S3 存取日誌

AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2

Amazon S3 儲存貯體存取記錄已啟用。

TargetBucketTagValue：用於識別目標儲存貯體的標籤值（區分大小寫），請使用此值和 TargetBucketTagKey 來標記要用作存取記錄目的地儲存貯體的儲存貯體。
TargetObjectKeyFormat：日誌物件的 Amazon S3 金鑰格式（值區分大小寫）。若要針對日誌物件使用 S3 金鑰的簡單格式，請選擇 SimplePrefix。若要將分割的 S3 金鑰用於日誌物件，並將 EventTime 用於分割的字首，請選擇 PartitionedPrefixEventTime。若要將分割的 S3 金鑰用於日誌物件，並將 DeliveryTime 用於分割的字首，請選擇 PartitionedPrefixDeliveryTime。有效值為 SimplePrefix、PartitionedPrefixEventTime 和 PartitionedPrefixDeliveryTime。

若要啟用自動修復，必須提供下列預先設定的參數：TargetBucketTagKey 和 TargetBucketTagValue。

目的地儲存貯體必須與來源儲存貯體位於相同 AWS 帳戶 AWS 區域且具有正確的日誌交付許可。如需詳細資訊，請參閱啟用 Amazon S3 伺服器存取記錄。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

支援的 Compute Optimizer 建議

設定檢查修復

Trusted Advisor Trusted Remediator 支援的檢查

Trusted Advisor Trusted Remediator 支援的成本最佳化檢查

Trusted Advisor Trusted Remediator 支援的安全檢查

Trusted Advisor Trusted Remediator 支援的容錯能力檢查

Trusted Advisor Trusted Remediator 支援的效能檢查

Trusted Advisor Trusted Remediator 支援的 服務限制檢查

Trusted Advisor Trusted Remediator 支援的卓越營運檢查

Trusted Advisor Trusted Remediator 支援的服務限制檢查