Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Operative Exzellenz
Sie können die folgenden Prüfungen für die operative Exzellenz verwenden.
Namen prüfen
- Amazon API Gateway protokolliert keine Ausführungsprotokolle
- Amazon-API-Gateway-REST-APIs ohne aktivierte X-Ray-Ablaufverfolgung
- Amazon CloudFront Access Log konfiguriert
- Amazon CloudWatch Alarm Action ist deaktiviert
- Amazon EC2 EC2-Instance wird nicht verwaltet von AWS Systems Manager
- Amazon-ECR-Repository mit deaktivierter Unveränderlichkeit von Tags
- Amazon-ECS-Cluster mit Container Insights ist deaktiviert
- Amazon-ECS-Aufgabenprotokollierung ist nicht aktiviert
- Amazon OpenSearch Service-Protokollierung CloudWatch nicht konfiguriert
- Amazon RDS-DB-Instances in den Clustern mit heterogenen Parametergruppen
- Amazon RDS Enhanced Monitoring ist ausgeschaltet
- Amazon RDS Performance Insights ist ausgeschaltet
- Der Amazon RDS-Parameter track_counts ist ausgeschaltet
- Amazon-Redshift-Cluster-Auditprotokollierung
- In Amazon S3 sind keine Ereignisbenachrichtigungen aktiviert
- Amazon-SNS-Themen: Nachrichtenzustellungsstatus wird nicht protokolliert
- Amazon VPC ohne Flow-Protokolle
- Application Load Balancer und Classic Load Balancer ohne aktivierte Zugriffsprotokolle
- AWS CloudFormation Stack-Benachrichtigung
- AWS CloudTrail Protokollierung von Datenereignissen für Objekte in einem S3-Bucket
- AWS CodeBuild Protokollierung von Projekten
- AWS CodeDeploy Automatisches Rollback und Monitor aktiviert
- AWS CodeDeploy Lambda verwendet die all-at-once Bereitstellungskonfiguration
- AWS Elastic Beanstalk Enhanced Health Reporting ist nicht konfiguriert
- AWS Elastic Beanstalk mit deaktivierten verwalteten Plattform-Updates
- AWS Fargate Die Plattformversion ist nicht aktuell
- AWS Systems Manager State Manager Association hat den Status „Nichtkonformität“
- CloudTrail Trails sind nicht mit Amazon CloudWatch Logs konfiguriert
- Elastic-Load-Balancing-Löschschutz ist für Load Balancer nicht aktiviert
- Prüfung des Löschschutzes von RDS-DB-Clustern
- RDS-DB-Instance – Prüfung auf automatisches Upgrade für Unterversion
Amazon API Gateway protokolliert keine Ausführungsprotokolle
- Beschreibung
-
Prüft, ob bei Amazon API Gateway CloudWatch Logs auf der gewünschten Protokollierungsebene aktiviert sind.
Aktivieren Sie die CloudWatch Protokollierung für REST-API-Methoden oder WebSocket API-Routen in Amazon API Gateway, um CloudWatch Ausführungsprotokolle für Anfragen, die von Ihren APIs empfangen wurden, in Logs zu sammeln. Die in den Ausführungsprotokollen enthaltenen Informationen helfen Ihnen dabei, Probleme im Zusammenhang mit Ihrer API zu identifizieren und zu beheben.
Sie können die ID der Protokollierungsebene (ERROR, INFO) im Parameter LoggingLevel in den AWS Config Regeln angeben.
Weitere Informationen zur CloudWatch Anmeldung bei Amazon WebSocket API Gateway finden Sie in der REST-API oder API-Dokumentation.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz125
- Quelle
-
AWS Config Managed Rule: api-gw-execution-logging-enabled
- Warnungskriterien
-
Gelb: Die CloudWatch Protokollierungseinstellung für die Erfassung von Ausführungsprotokollen ist auf der gewünschten Protokollierungsebene für ein Amazon API Gateway nicht aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie die CloudWatch Protokollierung für Ausführungsprotokolle für Ihre Amazon API Gateway Gateway-REST-APIs oder WebSocket APIs mit der entsprechenden Protokollierungsebene (ERROR, INFO).
Weitere Informationen finden Sie unter Erstellen eines Flow-Protokolls.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Amazon-API-Gateway-REST-APIs ohne aktivierte X-Ray-Ablaufverfolgung
- Beschreibung
-
Prüft, ob die Amazon API Gateway Gateway-REST-APIs AWS X-Ray die Ablaufverfolgung aktiviert haben.
Aktivieren Sie die X-Ray-Ablaufverfolgung für Ihre REST-APIs, damit API Gateway API-Aufrufanforderungen mit Ablaufverfolgungsinformationen testen kann. Auf diese Weise können Sie Anfragen verfolgen und analysieren AWS X-Ray , während sie über Ihre API-Gateway-REST-APIs zu den nachgelagerten Diensten übertragen werden.
Weitere Informationen finden Sie unter Ablaufverfolgung von Benutzeranforderungen an REST-APIs mithilfe von X-Ray.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz126
- Quelle
-
AWS Config Managed Rule: api-gw-xray-enabled
- Warnungskriterien
-
Gelb: Die X-Ray-Ablaufverfolgung ist für eine API-Gateway-REST-API nicht aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie die X-Ray-Ablaufverfolgung für Ihre API-Gateway-REST-APIs.
Weitere Informationen finden Sie unter Einrichtung AWS X-Ray mit API Gateway Gateway-REST-APIs.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Amazon CloudFront Access Log konfiguriert
- Beschreibung
-
Prüft, ob CloudFront Amazon-Distributionen so konfiguriert sind, dass sie Informationen aus Amazon S3-Serverzugriffsprotokollen erfassen. Die Amazon S3 S3-Serverzugriffsprotokolle enthalten detaillierte Informationen zu jeder eingehenden CloudFront Benutzeranfrage.
Sie können den Namen des Amazon S3 S3-Buckets zum Speichern von Serverzugriffsprotokollen mithilfe des BucketNameS3-Parameters in Ihren AWS Config Regeln anpassen.
Weitere Informationen finden Sie unter Konfigurieren und Verwenden von Standardprotokollen (Zugriffsprotokollen).
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz110
- Quelle
-
AWS Config Managed Rule: cloudfront-accesslogs-enabled
- Warnungskriterien
-
Gelb: Die CloudFront Amazon-Zugriffsprotokollierung ist nicht aktiviert
- Empfohlene Aktion
-
Stellen Sie sicher, dass Sie die CloudFront Zugriffsprotokollierung aktivieren, um detaillierte Informationen zu jeder eingehenden Benutzeranfrage zu CloudFront erfassen.
Sie können Standardprotokolle aktivieren, wenn Sie eine Verteilung erstellen oder aktualisieren.
Weitere Informationen finden Sie unter Werte, die Sie beim Erstellen oder Aktualisieren einer Verteilung angeben.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Amazon CloudWatch Alarm Action ist deaktiviert
- Beschreibung
-
Überprüft, ob Ihre CloudWatch Amazon-Alarmaktion deaktiviert ist.
Sie können AWS CLI die Aktionsfunktion in Ihrem Alarm aktivieren oder deaktivieren. Oder Sie können die Aktionsfunktion mithilfe des AWS SDK programmgesteuert deaktivieren oder aktivieren. Wenn die Alarmaktionsfunktion ausgeschaltet ist, führt CloudWatch sie in keinem Zustand (OK, INSUFFICIENT_DATA, ALARM) eine definierte Aktion aus.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz109
- Quelle
-
AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check
- Warnungskriterien
-
Gelb: Die CloudWatch Amazon-Alarmaktion ist nicht aktiviert. In keinem Alarmzustand wird eine Aktion ausgeführt.
- Empfohlene Aktion
-
Aktivieren Sie Aktionen in Ihren CloudWatch Alarmen, es sei denn, Sie haben einen triftigen Grund, sie zu deaktivieren, z. B. zu Testzwecken.
Wenn der CloudWatch Alarm nicht mehr benötigt wird, löschen Sie ihn, um unnötige Kosten zu vermeiden.
Weitere Informationen finden Sie unter enable-alarm-actions in der AWS CLI Befehlsreferenz und unter func (*CloudWatch) EnableAlarmActions in der AWS SDK for Go API-Referenz.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Amazon EC2 EC2-Instance wird nicht verwaltet von AWS Systems Manager
- Beschreibung
-
Überprüft, ob die Amazon EC2 EC2-Instances in Ihrem Konto von AWS Systems Manager verwaltet werden.
Systems Manager hilft Ihnen dabei, den aktuellen Status Ihrer Amazon-EC2-Instance und Betriebssystemkonfigurationen zu verstehen und zu kontrollieren. Mit Systems Manager können Sie Softwarekonfigurations- und Bestandsinformationen zu Ihrer Flotte von Instances, einschließlich der darauf installierten Software, erfassen. Auf diese Weise können Sie detaillierte Informationen zu Systemkonfigurationen, Betriebssystem-Patch-Levels, Anwendungskonfigurationen und andere Details zu Ihrer Bereitstellung verfolgen.
Weitere Informationen finden Sie unter Einrichtung von Systems Manager für EC2-Instances.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz145
- Quelle
-
AWS Config Managed Rule: ec2-instance-managed-by-systems-manager
- Warnungskriterien
-
Gelb: Die Amazon-EC2-Instances werden nicht von Systems Manager verwaltet.
- Empfohlene Aktion
-
Konfigurieren Sie Ihre Amazon-EC2-Instance für die Verwaltung durch Systems Manager.
Dieser Scheck kann nicht aus der Ansicht in der Trusted Advisor Konsole ausgeschlossen werden.
Weitere Informationen finden Sie unter Warum wird meine EC2-Instance nicht als verwalteter Knoten angezeigt oder hat den Status „Verbindung getrennt“ in Systems Manager?
. - Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Amazon-ECR-Repository mit deaktivierter Unveränderlichkeit von Tags
- Beschreibung
-
Prüft, ob in einem privaten Amazon-ECR-Repository die Unveränderlichkeit von Image-Tags aktiviert ist.
Aktivieren Sie die Unveränderlichkeit von Image-Tags für ein privates Amazon-ECR-Repository, um zu verhindern, dass Image-Tags überschrieben werden. So können Sie beschreibende Tags als zuverlässigen Mechanismus zur Nachverfolgung und eindeutigen Identifizierung von Images nutzen. Wenn beispielsweise die Unveränderlichkeit von Image-Tags aktiviert ist, können Benutzer ein Image-Tag zuverlässig verwenden, um eine bereitgestellte Image-Version mit dem Build zu korrelieren, der das Image erzeugt hat.
Weitere Informationen finden Sie unter Veränderlichkeit der Image-Tags.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz129
- Quelle
-
AWS Config Managed Rule: ecr-private-tag-immutability-enabled
- Warnungskriterien
-
Gelb: In einem privaten Amazon-ECR-Repository ist die Unveränderlichkeit von Tags nicht aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie die Unveränderlichkeit von Image-Tags für Ihre privaten Amazon-ECR-Repositorys.
Weitere Informationen finden Sie unter Veränderlichkeit der Image-Tags.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Amazon-ECS-Cluster mit Container Insights ist deaktiviert
- Beschreibung
-
Prüft, ob Amazon CloudWatch Container Insights für Ihre Amazon ECS-Cluster aktiviert ist.
CloudWatch Container Insights sammelt, aggregiert und fasst Metriken und Protokolle aus Ihren containerisierten Anwendungen und Microservices zusammen. Die Metriken umfassen die Auslastung für Ressourcen wie z B. CPU, Arbeitsspeicher, Datenträger und Netzwerk.
Weitere Informationen finden Sie unter Amazon ECS CloudWatch Container Insights.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz173
- Quelle
-
AWS Config Managed Rule: ecs-container-insights-enabled
- Warnungskriterien
-
Gelb: Für den Amazon-ECS-Cluster sind Container Insights nicht aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie CloudWatch Container Insights auf Ihren Amazon ECS-Clustern.
Weitere Informationen finden Sie unter Verwenden von Container Insights.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Amazon-ECS-Aufgabenprotokollierung ist nicht aktiviert
- Beschreibung
-
Prüft, ob die Protokollkonfiguration für aktive Amazon-ECS-Aufgabendefinitionen festgelegt ist.
Durch die Überprüfung der Protokollkonfiguration in Ihren Amazon-ECS-Aufgabendefinitionen wird sichergestellt, dass die von Containern generierten Protokolle ordnungsgemäß konfiguriert sind und korrekt gespeichert werden. Dies hilft Ihnen dabei, Probleme schneller zu identifizieren und zu beheben, die Leistung zu optimieren und Compliance-Anforderungen zu erfüllen.
Standardmäßig zeigen die erfassten Protokolle die Befehlsausgabe an, die Sie normalerweise in einem interaktiven Terminal sehen, wenn Sie den Container lokal ausführen. Der awslogs-Treiber leitet diese Protokolle von Docker an Amazon Logs weiter. CloudWatch
Weitere Informationen finden Sie unter Verwenden des awslogs-Protokolltreibers.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz175
- Quelle
-
AWS Config Managed Rule: ecs-task-definition-log-configuration
- Warnungskriterien
-
Gelb: Die Amazon-ECS-Aufgabendefinition hat keine Protokollierungskonfiguration.
- Empfohlene Aktion
-
Erwägen Sie, die Konfiguration des Protokolltreibers in der Container-Definition anzugeben, um Protokollinformationen an CloudWatch Logs oder einen anderen Protokollierungstreiber zu senden.
Weitere Informationen finden Sie unter LogConfiguration.
- Weitere Ressourcen
-
Erwägen Sie, die Protokolltreiberkonfiguration in der Container-Definition anzugeben, um Protokollinformationen an CloudWatch Logs oder einen anderen Protokollierungstreiber zu senden.
Weitere Informationen finden Sie unter Beispiel für Aufgabendefinitionen.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Amazon OpenSearch Service-Protokollierung CloudWatch nicht konfiguriert
- Beschreibung
-
Prüft, ob Amazon OpenSearch Service-Domains so konfiguriert sind, dass sie Protokolle an Amazon CloudWatch Logs senden.
Die Überwachung von Protokollen ist entscheidend für die Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung des OpenSearch Service.
Protokolle für langsame Suchen, Protokolle für langsame Indizierung und Fehlerprotokolle sind für die Problembehandlung bei Leistungs- und Stabilitätsproblemen Ihrer Workload nützlich. Diese Protokolle müssen aktiviert sein, um Daten zu erfassen.
Sie können mithilfe des LogTypes-Parameters in Ihren AWS Config Regeln angeben, welche Protokolltypen Sie filtern möchten (Fehler, Suche, Index).
Weitere Informationen finden Sie unter Amazon OpenSearch Service-Domains überwachen.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz184
- Quelle
-
AWS Config Managed Rule: opensearch-logs-to-cloudwatch
- Warnungskriterien
-
Gelb: Amazon OpenSearch Service hat keine Protokollierungskonfiguration mit Amazon CloudWatch Logs
- Empfohlene Aktion
-
Konfigurieren Sie OpenSearch Service-Domains so, dass sie CloudWatch Protokolle in Logs veröffentlichen.
Weitere Informationen finden Sie unter Aktivieren der Veröffentlichung von Protokollen (Konsole).
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Amazon RDS-DB-Instances in den Clustern mit heterogenen Parametergruppen
- Beschreibung
-
Wir empfehlen, dass alle DB-Instances im DB-Cluster dieselbe DB-Parametergruppe verwenden.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
Anmerkung
Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die Amazon RDS-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die Amazon RDS-Konsole und wählen Sie dann Empfehlungen.
Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon RDS-Managementkonsole noch in Trusted Advisor der Amazon RDS-Managementkonsole verfügbar.
- Prüf-ID
-
c1qf5bt010
- Warnungskriterien
-
Gelb: DB-Cluster haben DB-Instances mit heterogenen Parametergruppen.
- Empfohlene Aktion
-
Ordnen Sie die DB-Instance der DB-Parametergruppe zu, die der Writer-Instance in Ihrem DB-Cluster zugeordnet ist.
- Weitere Ressourcen
-
Wenn die DB-Instances in Ihrem DB-Cluster unterschiedliche DB-Parametergruppen verwenden, kann es während eines Failovers zu einem inkonsistenten Verhalten oder zu Kompatibilitätsproblemen zwischen den DB-Instances in Ihrem DB-Cluster kommen.
Weitere Informationen finden Sie unter Arbeiten mit Parametergruppen.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
Empfohlener Wert
-
Name des Motors
-
Zeitpunkt der letzten Aktualisierung
-
Amazon RDS Enhanced Monitoring ist ausgeschaltet
- Beschreibung
-
Für Ihre Datenbankressourcen ist Enhanced Monitoring nicht aktiviert. Erweiterte Überwachung bietet Echtzeit-Betriebssystemmetriken für die Überwachung und Fehlerbehebung.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
Anmerkung
Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die Amazon RDS-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die Amazon RDS-Konsole und wählen Sie dann Empfehlungen.
Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon RDS-Managementkonsole noch in Trusted Advisor der Amazon RDS-Managementkonsole verfügbar.
- Prüf-ID
-
c1qf5bt004
- Warnungskriterien
-
Gelb: Für Amazon RDS-Ressourcen ist Enhanced Monitoring nicht aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie die erweiterte Überwachung.
- Weitere Ressourcen
-
Enhanced Monitoring for Amazon RDS bietet zusätzlichen Einblick in den Zustand Ihrer DB-Instances. Wir empfehlen, Enhanced Monitoring zu aktivieren. Wenn die Option Enhanced Monitoring für Ihre DB-Instance aktiviert ist, sammelt sie wichtige Betriebssystemmetriken und Prozessinformationen.
Weitere Informationen finden Sie unter Überwachen von Betriebssystem-Metriken mithilfe von „Erweitere Überwachung“.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
Empfohlener Wert
-
Name des Motors
-
Zeitpunkt der letzten Aktualisierung
-
Amazon RDS Performance Insights ist ausgeschaltet
- Beschreibung
-
Amazon RDS Performance Insights überwacht die Auslastung Ihrer DB-Instance, um Sie bei der Analyse und Lösung von Datenbankleistungsproblemen zu unterstützen. Wir empfehlen, Performance Insights zu aktivieren.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
Anmerkung
Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die Amazon RDS-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die Amazon RDS-Konsole und wählen Sie dann Empfehlungen.
Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon RDS-Managementkonsole noch in Trusted Advisor der Amazon RDS-Managementkonsole verfügbar.
- Prüf-ID
-
c1qf5bt012
- Warnungskriterien
-
Gelb: Bei Amazon RDS-Ressourcen ist Performance Insights nicht aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie Performance Insights.
- Weitere Ressourcen
-
Performance Insights verwendet eine einfache Datenerfassungsmethode, die die Leistung Ihrer Anwendungen nicht beeinträchtigt. Performance Insights hilft Ihnen dabei, die Datenbanklast schnell einzuschätzen.
Weitere Informationen finden Sie unter Überwachen der DB-Auslastung mit Performance Insights auf Amazon RDS.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
Empfohlener Wert
-
Name des Motors
-
Zeitpunkt der letzten Aktualisierung
-
Der Amazon RDS-Parameter track_counts ist ausgeschaltet
- Beschreibung
-
Wenn der Parameter track_counts ausgeschaltet ist, sammelt die Datenbank keine Statistiken zur Datenbankaktivität. Autovacuum erfordert, dass diese Statistiken korrekt funktionieren.
Wir empfehlen, den Parameter track_counts auf 1 zu setzen
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
Anmerkung
Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die Amazon RDS-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die Amazon RDS-Konsole und wählen Sie dann Empfehlungen.
Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon RDS-Managementkonsole noch in Trusted Advisor der Amazon RDS-Managementkonsole verfügbar.
- Prüf-ID
-
c1qf5bt027
- Warnungskriterien
-
Gelb: Bei DB-Parametergruppen ist der Parameter track_counts ausgeschaltet.
- Empfohlene Aktion
-
Setzen Sie den Parameter track_counts auf 1
- Weitere Ressourcen
-
Wenn der Parameter track_counts ausgeschaltet ist, wird die Erfassung von Statistiken zur Datenbankaktivität deaktiviert. Der Autovacuum-Daemon benötigt die gesammelten Statistiken, um die Tabellen für Autovacuum und Autoanalyze zu identifizieren.
Weitere Informationen finden Sie unter Runtime Statistics for PostgreSQL auf der PostgreSQL-Dokumentationswebsite
. - Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
Parameterwert
-
Empfohlener Wert
-
Zeitpunkt der letzten Aktualisierung
-
Amazon-Redshift-Cluster-Auditprotokollierung
- Beschreibung
-
Überprüft, ob in Ihren Amazon-Redshift-Clustern die Datenbank-Auditprotokollierung aktiviert ist. Amazon-Redshift-Protokolle stellen Informationen zu Verbindungen und Benutzeraktivitäten in Ihrer Datenbank bereit.
Sie können Ihren gewünschten Amazon S3 S3-Bucket-Namen für die Protokollierung im BucketNames-Parameter Ihrer AWS Config Regeln angeben.
Weitere Informationen finden Sie unter Datenbank-Auditprotokollierung.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz134
- Quelle
-
AWS Config Managed Rule: redshift-audit-logging-enabled
- Warnungskriterien
-
Gelb: Bei einem Amazon-Redshift-Cluster ist die Datenbank-Auditprotokollierung deaktiviert
- Empfohlene Aktion
-
Aktivieren Sie die Protokollierung und Überwachung für Ihre Amazon-Redshift-Cluster.
Weitere Informationen finden Sie unter Konfigurieren von Prüfungen über die Konsole.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
In Amazon S3 sind keine Ereignisbenachrichtigungen aktiviert
- Beschreibung
-
Überprüft, ob Amazon-S3-Ereignisbenachrichtigungen aktiviert oder mit den gewünschten Zielen oder Typen korrekt konfiguriert sind.
Die Amazon-S3-Funktion für Ereignisbenachrichtigungen sendet Benachrichtigungen, wenn bestimmte Ereignisse in Ihren Amazon-S3-Buckets eintreten. Amazon S3 kann Benachrichtigungen an Amazon SQS SQS-Warteschlangen, Amazon SNS SNS-Themen und Funktionen senden. AWS Lambda
Sie können Ihr gewünschtes Ziel und Ihre Ereignistypen mithilfe der Parameter DestinationArn und EventTypes Ihrer Regeln angeben. AWS Config
Weitere Informationen finden Sie unter Amazon-S3-Ereignisbenachrichtigungen.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz163
- Quelle
-
AWS Config Managed Rule: s3-event-notifications-enabled
- Warnungskriterien
-
Gelb: In Amazon S3 sind keine Ereignisbenachrichtigungen aktiviert oder nicht mit dem gewünschten Ziel oder den gewünschten Typen konfiguriert.
- Empfohlene Aktion
-
Konfigurieren Sie Amazon-S3-Ereignisbenachrichtigungen für Objekt- und Bucket-Ereignisse.
Weitere Informationen finden Sie unter Aktivieren und Konfigurieren von Ereignis-Benachrichtigungen mit der Amazon-S3-Konsole.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Amazon-SNS-Themen: Nachrichtenzustellungsstatus wird nicht protokolliert
- Beschreibung
-
Prüft, ob für Amazon-SNS-Themen die Protokollierung des Nachrichtenzustellungsstatus aktiviert ist.
Konfigurieren Sie Amazon-SNS-Themen für die Protokollierung des Nachrichtenzustellungsstatus, um bessere betriebliche Einblicke zu erhalten. Durch die Protokollierung der Nachrichtenzustellung wird beispielsweise überprüft, ob eine Nachricht an einen bestimmten Amazon-SNS-Endpunkt gesendet wurde. Und es hilft auch bei der Ermittlung der Antwort, die vom Endpunkt gesendet wurde.
Weitere Informationen finden Sie unter Amazon-SNS-Nachrichtenzustellungsstatus.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz121
- Quelle
-
AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled
- Warnungskriterien
-
Gelb: Die Protokollierung des Nachrichtenzustellungsstatus ist für ein Amazon-SNS-Thema nicht aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie die Protokollierung des Nachrichtenzustellungsstatus für Ihre SNS-Themen.
Weitere Informationen finden Sie unter Konfigurieren der Protokollierung des Zustellungsstatus mithilfe der AWS-Managementkonsole.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Amazon VPC ohne Flow-Protokolle
- Beschreibung
-
Prüft, ob Amazon-VPC-Flow-Protokolle für eine Virtual Private Cloud (VPC) erstellt wurden.
Sie können den Verkehrstyp mithilfe des TrafficType-Parameters in Ihren AWS Config Regeln angeben.
Weitere Informationen finden Sie unter Protokollieren von IP-Datenverkehr mit VPC-Flow-Protokollen.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz122
- Quelle
-
AWS Config Managed Rule: vpc-flow-logs-enabled
- Warnungskriterien
-
Gelb: VPCs haben keine Amazon-VPC-Flow-Protokolle.
- Empfohlene Aktion
-
Erstellen Sie VPC-Flow-Protokolle für jede Ihrer VPCs.
Weitere Informationen finden Sie unter Erstellen eines Flow-Protokolls.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Application Load Balancer und Classic Load Balancer ohne aktivierte Zugriffsprotokolle
- Beschreibung
-
Prüft, ob für Application Load Balancer und Classic Load Balancer die Zugriffsprotokollierung aktiviert ist.
Elastic Load Balancing bietet Zugriffsprotokolle, die detaillierte Informationen zu Anforderungen erfassen, die an Ihren Load Balancer gesendet werden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. Sie können diese Zugriffsprotokolle für die Analyse von Datenverkehrsmustern und zur Problembehebung verwenden.
Zugriffsprotokolle sind ein optionales Feature von Elastic Load Balancing, das standardmäßig deaktiviert ist. Nachdem Sie die Zugriffsprotokolle für Ihren Load Balancer aktiviert haben, erfasst Elastic Load Balancing die Protokolle und speichert sie in dem von Ihnen angegebenen Amazon-S3-Bucket.
Sie können den Amazon S3 S3-Bucket für das Zugriffsprotokoll, den Sie überprüfen möchten, mithilfe des BucketNamess3-Parameters in Ihren AWS Config Regeln angeben.
Weitere Informationen finden Sie unter Zugriffsprotokolle für Ihre Application Load Balancer oder Zugriffsprotokolle für Ihre Classic Load Balancer.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz167
- Quelle
-
AWS Config Managed Rule: elb-logging-enabled
- Warnungskriterien
-
Gelb: Die Funktion für Zugriffsprotokolle ist für einen Application Load Balancer oder einen Classic Load Balancer nicht aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie die Zugriffsprotokolle für Ihre Application Load Balancer und Classic Load Balancer.
Weitere Informationen finden Sie unter Aktivieren der Zugriffsprotokolle für Ihren Application Load Balancer oder Aktivieren der Zugriffsprotokolle für Ihren Classic Load Balancer.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
AWS CloudFormation Stack-Benachrichtigung
- Beschreibung
-
Überprüft, ob all Ihre AWS CloudFormation Stacks Amazon SNS verwenden, um Benachrichtigungen zu erhalten, wenn ein Ereignis eintritt.
Sie können diese Prüfung so konfigurieren, dass sie mithilfe von Parametern in Ihren AWS Config Regeln nach bestimmten Amazon SNS SNS-Themen-ARNs sucht.
Weitere Informationen finden Sie unter AWS CloudFormation Stack-Optionen einrichten.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz111
- Quelle
-
AWS Config Managed Rule: cloudformation-stack-notification-check
- Warnungskriterien
-
Gelb: Amazon SNS SNS-Ereignisbenachrichtigungen für Ihre AWS CloudFormation Stacks sind nicht aktiviert.
- Empfohlene Aktion
-
Stellen Sie sicher, dass Ihre AWS CloudFormation Stacks Amazon SNS verwenden, um Benachrichtigungen zu erhalten, wenn ein Ereignis eintritt.
Durch die Überwachung von Stack-Ereignissen können Sie schnell auf unbefugte Aktionen reagieren, die Ihre AWS Umgebung verändern könnten.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
AWS CloudTrail Protokollierung von Datenereignissen für Objekte in einem S3-Bucket
- Beschreibung
-
Prüft, ob mindestens ein AWS CloudTrail Trail Amazon S3 S3-Datenereignisse für all Ihre Amazon S3 S3-Buckets protokolliert.
Weitere Informationen finden Sie unter Protokollierung von Amazon-S3-API-Aufrufen mit AWS CloudTrail.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz166
- Quelle
-
AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled
- Warnungskriterien
-
Gelb: Die AWS CloudTrail Ereignisprotokollierung für Amazon S3 S3-Buckets ist nicht konfiguriert
- Empfohlene Aktion
-
Aktivieren Sie die CloudTrail Ereignisprotokollierung für Amazon S3 S3-Buckets und -Objekte, um Anfragen für den Zugriff auf Ziel-Buckets zu verfolgen.
Weitere Informationen finden Sie unter Aktivieren der CloudTrail Ereignisprotokollierung für S3-Buckets und -Objekte.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
AWS CodeBuild Protokollierung von Projekten
- Beschreibung
-
Prüft, ob die AWS CodeBuild Projektumgebung die Protokollierung verwendet. Bei den Protokollierungsoptionen kann es sich um CloudWatch Protokolle in Amazon Logs oder um in einem bestimmten Amazon S3 S3-Bucket integrierte Protokolle oder beides handeln. Die Aktivierung der Protokollierung in einem CodeBuild Projekt kann mehrere Vorteile bieten, z. B. Debugging und Auditing.
Sie können den Namen des Amazon S3 S3-Buckets oder der CloudWatch Logs-Gruppe zum Speichern der Protokolle angeben, indem Sie den Parameter s3 BucketNames oder cloud WatchGroup Names in Ihren AWS Config Regeln verwenden.
Weitere Informationen finden Sie unter -Überwachung AWS CodeBuild.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz113
- Quelle
-
AWS Config Managed Rule: codebuild-project-logging-enabled
- Warnungskriterien
-
Gelb: Die AWS CodeBuild Projektprotokollierung ist nicht aktiviert.
- Empfohlene Aktion
-
Stellen Sie sicher, dass die Protokollierung in Ihrem AWS CodeBuild Projekt aktiviert ist. Diese Prüfung kann nicht aus der Ansicht in der AWS Trusted Advisor Konsole ausgeschlossen werden.
Weitere Informationen finden Sie unter Anmelden und Überwachen AWS CodeBuild.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
AWS CodeDeploy Automatisches Rollback und Monitor aktiviert
- Beschreibung
-
Überprüft, ob die Bereitstellungsgruppe mit automatischem Rollback und automatischer Überwachung der Bereitstellung mit angehängten Alarmen konfiguriert ist. Wenn während einer Bereitstellung etwas schief geht, wird sie automatisch zurückgesetzt und Ihre Anwendung bleibt in einem stabilen Zustand.
Weitere Informationen finden Sie unter Erneute Bereitstellung und Rollback einer Bereitstellung mit. CodeDeploy
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz114
- Quelle
-
AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled
- Warnungskriterien
-
Gelb: AWS CodeDeploy Automatisches Bereitstellungs-Rollback und Bereitstellungsüberwachung sind nicht aktiviert.
- Empfohlene Aktion
-
Konfigurieren Sie eine Bereitstellungsgruppe oder Bereitstellung so, dass sie automatisch zurückgesetzt wird, wenn eine Bereitstellung fehlschlägt oder ein definierter Überwachungsschwellenwert erreicht wird.
Konfigurieren Sie den Alarm so, dass während des Bereitstellungsprozesses verschiedene Metriken wie CPU-Auslastung, Speichernutzung oder Netzwerkdatenverkehr überwacht werden. Wenn eine dieser Metriken bestimmte Schwellenwerte überschreitet, werden die Alarme ausgelöst und die Bereitstellung wird gestoppt oder rückgängig gemacht.
Informationen zur Einrichtung automatischer Rollbacks und zur Konfiguration von Alarmen für Ihre Bereitstellungsgruppen finden Sie unter Konfigurieren von erweiterten Optionen für eine Bereitstellungsgruppe.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
AWS CodeDeploy Lambda verwendet die all-at-once Bereitstellungskonfiguration
- Beschreibung
-
Überprüft, ob die AWS CodeDeploy Bereitstellungsgruppe für die AWS Lambda Rechenplattform die all-at-once Bereitstellungskonfiguration verwendet.
Um das Risiko von Bereitstellungsfehlern Ihrer Lambda-Funktionen in zu verringern CodeDeploy, empfiehlt es sich, die kanarische oder lineare Bereitstellungskonfiguration anstelle der Standardoption zu verwenden, bei der der gesamte Datenverkehr von der ursprünglichen Lambda-Funktion auf die aktualisierte Funktion übertragen wird.
Weitere Informationen finden Sie unter Lambda-Funktionsversionen und Bereitstellungskonfiguration.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz115
- Quelle
-
AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled
- Warnungskriterien
-
Gelb: Die AWS CodeDeploy Lambda-Bereitstellung verwendet die all-at-once Bereitstellungskonfiguration, um den gesamten Datenverkehr gleichzeitig auf die aktualisierten Lambda-Funktionen umzuleiten.
- Empfohlene Aktion
-
Verwenden Sie die kanarische oder lineare Bereitstellungskonfiguration der CodeDeploy Bereitstellungsgruppe für die Lambda-Rechenplattform.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
AWS Elastic Beanstalk Enhanced Health Reporting ist nicht konfiguriert
- Beschreibung
-
Überprüft, ob eine AWS Elastic Beanstalk Umgebung für erweiterte Statusberichte konfiguriert ist.
Die erweiterten Zustandsberichte von Elastic Beanstalk bieten detaillierte Leistungskennzahlen wie CPU-Auslastung, Speichernutzung, Netzwerkdatenverkehr und Informationen zum Zustand der Infrastruktur, wie Anzahl der Instances und Load-Balancer-Status.
Weitere Informationen finden Sie unter Erweiterte Zustandsberichte und -überwachung.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz108
- Quelle
-
AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled
- Warnungskriterien
-
Gelb: Die Elastic-Beanstalk-Umgebung ist nicht für erweiterte Zustandsberichte konfiguriert
- Empfohlene Aktion
-
Stellen Sie sicher, dass eine Elastic-Beanstalk-Umgebung für erweiterte Zustandsberichte konfiguriert ist.
Weitere Informationen finden Sie unter Aktivieren der erweiterten Zustandsberichte mit der Elastic-Beanstalk-Konsole.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
AWS Elastic Beanstalk mit deaktivierten verwalteten Plattform-Updates
- Beschreibung
-
Prüft, ob verwaltete Plattformupdates in Elastic-Beanstalk-Umgebungen und Konfigurationsvorlagen aktiviert sind.
AWS Elastic Beanstalk veröffentlicht regelmäßig Plattform-Updates, um Korrekturen, Softwareupdates und neue Funktionen bereitzustellen. Mit verwalteten Plattformupdates kann Elastic Beanstalk automatisch Plattformupdates für neue Patch- und Unterversionen der Plattform durchführen.
Sie können die gewünschte Aktualisierungsstufe in den UpdateLevelParametern Ihrer AWS Config Regeln angeben.
Weitere Informationen finden Sie unter Aktualisieren der Plattformversion Ihrer Elastic-Beanstalk-Umgebung.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz177
- Quelle
-
AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled
- Warnungskriterien
-
Gelb: AWS Elastic Beanstalk Verwaltete Plattformupdates sind überhaupt nicht konfiguriert, auch nicht auf untergeordneter Ebene oder auf Patch-Ebene.
- Empfohlene Aktion
-
Aktivieren Sie verwaltete Plattformupdates in Ihren Elastic-Beanstalk-Umgebungen oder konfigurieren Sie sie auf Unterversions- oder Update-Ebene.
Weitere Informationen finden Sie unter Verwaltete Plattformupdates.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
AWS Fargate Die Plattformversion ist nicht aktuell
- Beschreibung
-
Überprüft, ob in Amazon ECS die neueste Plattformversion von AWS Fargate ausgeführt wird. Die Fargate-Plattformversion verweist auf eine bestimmte Laufzeitumgebung für die Fargate-Aufgabeninfrastruktur. Es handelt sich um eine Kombination aus der Kernel-Version und den Container-Laufzeitversionen. Neue Plattformversionen werden veröffentlicht, wenn sich die Laufzeitumgebung weiterentwickelt, weil es beispielsweise Kernel- oder Betriebssystem-Updates, neue Funktionen, Bugfixes oder Sicherheitsupdates gibt.
Weitere Informationen finden Sie unter Fargate-Aufgabenwartung.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz174
- Quelle
-
AWS Config Managed Rule: ecs-fargate-latest-platform-version
- Warnungskriterien
-
Gelb: Amazon ECS wird nicht auf der neuesten Version der Fargate-Plattform ausgeführt.
- Empfohlene Aktion
-
Aktualisieren Sie auf die neueste Fargate-Plattformversion.
Weitere Informationen finden Sie unter Fargate-Aufgabenwartung.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
AWS Systems Manager State Manager Association hat den Status „Nichtkonformität“
- Beschreibung
-
Überprüft, ob der Status der Zuordnungs-Konformität nach der Ausführung der AWS Systems Manager Zuordnung auf der Instanz COMPLIANT oder NON_COMPLIANT lautet.
State Manager, eine Funktion von AWS Systems Manager, ist ein sicherer und skalierbarer Konfigurationsverwaltungsdienst, der den Prozess automatisiert, Ihre verwalteten Knoten und andere AWS Ressourcen in einem von Ihnen definierten Zustand zu halten. Eine State Manager-Zuordnung ist eine Konfiguration, die Sie Ihren AWS Ressourcen zuweisen. Die Konfiguration definiert den Status, den Sie für Ihre Ressourcen beibehalten möchten. Dies hilft Ihnen, das Ziel zu erreichen, beispielsweise das Vermeiden von Konfigurationsabweichungen zwischen Ihren Amazon-EC2-Instances.
Weitere Informationen finden Sie unter AWS Systems Manager State Manager.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz147
- Quelle
-
AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check
- Warnungskriterien
-
Gelb: Der Status der AWS Systems Manager Zuordnungskonformität ist NON_COMPLIANT.
- Empfohlene Aktion
-
Überprüfen Sie den Status der State-Manager-Zuordnungen und ergreifen Sie dann alle erforderlichen Maßnahmen, um den Status wieder auf COMPLIANT zurückzusetzen.
Weitere Informationen finden Sie unter Info zu State Manager.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
CloudTrail Trails sind nicht mit Amazon CloudWatch Logs konfiguriert
- Beschreibung
-
Prüft, ob AWS CloudTrail Trails so konfiguriert sind, dass sie Logs an CloudWatch Logs senden.
Überwachen CloudTrail Sie Protokolldateien mit CloudWatch Protokollen, um eine automatische Reaktion auszulösen, wenn kritische Ereignisse erfasst werden AWS CloudTrail.
Weitere Informationen finden Sie unter Überwachen von CloudTrail Protokolldateien mit CloudWatch Protokollen.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz164
- Quelle
-
AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled
- Warnungskriterien
-
Gelb: AWS CloudTrail ist nicht mit der CloudWatch Logs-Integration eingerichtet.
- Empfohlene Aktion
-
Konfigurieren Sie CloudTrail Trails, um Protokollereignisse an CloudWatch Logs zu senden.
Weitere Informationen finden Sie unter CloudWatch Alarme für CloudTrail Ereignisse erstellen: Beispiele.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Elastic-Load-Balancing-Löschschutz ist für Load Balancer nicht aktiviert
- Beschreibung
-
Überprüft, ob der Löschschutz für Ihre Load Balancer aktiviert ist.
Elastic Load Balancing unterstützt den Löschschutz für Ihre Application Load Balancer, Network Load Balancer und Gateway Load Balancer. Aktivieren Sie den Löschschutz, um zu verhindern, dass der Load Balancer versehentlich gelöscht wird. Wenn Sie einen Load Balancer erstellen, ist der Löschschutz standardmäßig deaktiviert. Wenn Ihre Load Balancer Teil einer Produktionsumgebung sind, sollten Sie in Erwägung ziehen, den Löschschutz zu aktivieren.
Zugriffsprotokolle sind ein optionales Feature von Elastic Load Balancing, das standardmäßig deaktiviert ist. Nachdem Sie die Zugriffsprotokolle für Ihren Load Balancer aktiviert haben, erfasst Elastic Load Balancing die Protokolle und speichert sie in dem von Ihnen angegebenen Amazon-S3-Bucket.
Weitere Informationen finden Sie unter Application-Load-Balancer-Löschschutz, Network-Load-Balancer-Löschschutz oder Gateway-Load-Balancer-Löschschutz.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz168
- Quelle
-
AWS Config Managed Rule: elb-deletion-protection-enabled
- Warnungskriterien
-
Gelb: Löschschutz ist für einen Load Balancer nicht aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie den Löschschutz für Application Load Balancer, Network Load Balancer und Gateway Load Balancer.
Weitere Informationen finden Sie unter Application-Load-Balancer-Löschschutz, Network-Load-Balancer-Löschschutz oder Gateway-Load-Balancer-Löschschutz.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
Prüfung des Löschschutzes von RDS-DB-Clustern
- Beschreibung
-
Überprüft, ob in Ihren Amazon-RDS-DB-Clustern der Löschschutz aktiviert ist.
Wenn Sie für einen DB-Cluster den Löschschutz aktivieren, kann die Datenbank von keinem Benutzer gelöscht werden.
Löschschutz ist für Amazon Aurora und RDS für MySQL, RDS für MariaDB, RDS für Oracle, RDS für PostgreSQL und RDS für SQL Server-Datenbank-Instances in allen Regionen verfügbar. AWS
Weitere Informationen finden Sie unter Löschschutz für Aurora-DB-Cluster.
- Prüf-ID
-
c18d2gz160
- Quelle
-
AWS Config Managed Rule: rds-cluster-deletion-protection-enabled
- Warnungskriterien
-
Gelb: Sie haben Amazon-RDS-DB-Cluster, bei denen der Löschschutz nicht aktiviert ist.
- Empfohlene Aktion
-
Aktivieren Sie den Löschschutz, wenn Sie einen Amazon RDS-DB-Cluster erstellen.
Sie können nur Cluster löschen, für die der Löschschutz nicht aktiviert ist. Durch das Aktivieren des Löschschutzes wird eine zusätzliche Schutzebene hinzugefügt und Datenverlust durch versehentliches oder unbeabsichtigtes Löschen einer Datenbank-Instance vermieden. Der Löschschutz trägt auch dazu bei, gesetzliche Anforderungen zu erfüllen und die Geschäftskontinuität zu gewährleisten.
Weitere Informationen finden Sie unter Löschschutz für Aurora-DB-Cluster.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Weitere Ressourcen
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-
RDS-DB-Instance – Prüfung auf automatisches Upgrade für Unterversion
- Beschreibung
-
Überprüft, ob für Amazon-RDS-DB-Instances automatische Upgrades für Unterversionen konfiguriert sind.
Aktivieren Sie automatische Upgrades von Unterversionen für eine Amazon-RDS-Instance, um sicherzustellen, dass in der Datenbank immer die neueste sichere und stabile Version ausgeführt wird. Upgrades von Unterversionen bieten Sicherheitsupdates, Bugfixes und Leistungsverbesserungen und gewährleisten die Kompatibilität mit bestehenden Anwendungen.
Weitere Informationen finden Sie unter Upgrade der Engine-Version für eine DB-Instance.
Anmerkung
Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.
- Prüf-ID
-
c18d2gz155
- Quelle
-
AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled
- Warnungskriterien
-
Gelb: Für die RDS-DB-Instance sind keine automatischen Upgrades von Unterversionen aktiviert.
- Empfohlene Aktion
-
Aktivieren Sie automatische Upgrades von Unterversionen, wenn Sie eine Amazon-RDS-DB-Instance erstellen.
Wenn Sie automatische Upgrades von Unterversionen aktivieren, wird die Datenbankversion automatisch aktualisiert, wenn sie eine Unterversion der DB-Engine ausführt, die eine niedrigere Versionsnummer hat als in Manuelles Upgraden der Engine-Version.
- Berichtsspalten
-
-
Status
-
Region
-
Ressource
-
AWS Config Regel
-
Eingabeparameter
-
Zeitpunkt der letzten Aktualisierung
-