Operative Exzellenz

Beschreibung

Prüft, ob bei Amazon API Gateway CloudWatch Logs auf der gewünschten Protokollierungsebene aktiviert sind.

Aktivieren Sie die CloudWatch Protokollierung für REST-API-Methoden oder WebSocket API-Routen in Amazon API Gateway, um CloudWatch Ausführungsprotokolle für Anfragen, die von Ihren APIs empfangen wurden, in Logs zu sammeln. Die in den Ausführungsprotokollen enthaltenen Informationen helfen Ihnen dabei, Probleme im Zusammenhang mit Ihrer API zu identifizieren und zu beheben.

Sie können die ID der Protokollierungsebene (ERROR, INFO) im Parameter LoggingLevel in den AWS Config Regeln angeben.

Weitere Informationen zur CloudWatch Anmeldung bei Amazon WebSocket API Gateway finden Sie in der REST-API oder API-Dokumentation.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz125

Quelle

AWS Config Managed Rule: api-gw-execution-logging-enabled

Warnungskriterien

Gelb: Die CloudWatch Protokollierungseinstellung für die Erfassung von Ausführungsprotokollen ist auf der gewünschten Protokollierungsebene für ein Amazon API Gateway nicht aktiviert.

Empfohlene Aktion

Aktivieren Sie die CloudWatch Protokollierung für Ausführungsprotokolle für Ihre Amazon API Gateway Gateway-REST-APIs oder WebSocket APIs mit der entsprechenden Protokollierungsebene (ERROR, INFO).

Weitere Informationen finden Sie unter Erstellen eines Flow-Protokolls.

Weitere Ressourcen

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob die Amazon API Gateway Gateway-REST-APIs AWS X-Ray die Ablaufverfolgung aktiviert haben.

Aktivieren Sie die X-Ray-Ablaufverfolgung für Ihre REST-APIs, damit API Gateway API-Aufrufanforderungen mit Ablaufverfolgungsinformationen testen kann. Auf diese Weise können Sie Anfragen verfolgen und analysieren AWS X-Ray , während sie über Ihre API-Gateway-REST-APIs zu den nachgelagerten Diensten übertragen werden.

Weitere Informationen finden Sie unter Ablaufverfolgung von Benutzeranforderungen an REST-APIs mithilfe von X-Ray.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz126

Quelle

AWS Config Managed Rule: api-gw-xray-enabled

Warnungskriterien

Gelb: Die X-Ray-Ablaufverfolgung ist für eine API-Gateway-REST-API nicht aktiviert.

Empfohlene Aktion

Aktivieren Sie die X-Ray-Ablaufverfolgung für Ihre API-Gateway-REST-APIs.

Weitere Informationen finden Sie unter Einrichtung AWS X-Ray mit API Gateway Gateway-REST-APIs.

Weitere Ressourcen

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob CloudFront Amazon-Distributionen so konfiguriert sind, dass sie Informationen aus Amazon S3-Serverzugriffsprotokollen erfassen. Die Amazon S3 S3-Serverzugriffsprotokolle enthalten detaillierte Informationen zu jeder eingehenden CloudFront Benutzeranfrage.

Sie können den Namen des Amazon S3 S3-Buckets zum Speichern von Serverzugriffsprotokollen mithilfe des BucketNameS3-Parameters in Ihren AWS Config Regeln anpassen.

Weitere Informationen finden Sie unter Konfigurieren und Verwenden von Standardprotokollen (Zugriffsprotokollen).

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz110

Quelle

AWS Config Managed Rule: cloudfront-accesslogs-enabled

Warnungskriterien

Gelb: Die CloudFront Amazon-Zugriffsprotokollierung ist nicht aktiviert

Empfohlene Aktion

Stellen Sie sicher, dass Sie die CloudFront Zugriffsprotokollierung aktivieren, um detaillierte Informationen zu jeder eingehenden Benutzeranfrage zu CloudFront erfassen.

Sie können Standardprotokolle aktivieren, wenn Sie eine Verteilung erstellen oder aktualisieren.

Weitere Informationen finden Sie unter Werte, die Sie beim Erstellen oder Aktualisieren einer Verteilung angeben.

Weitere Ressourcen

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob Ihre CloudWatch Amazon-Alarmaktion deaktiviert ist.

Sie können AWS CLI die Aktionsfunktion in Ihrem Alarm aktivieren oder deaktivieren. Oder Sie können die Aktionsfunktion mithilfe des AWS SDK programmgesteuert deaktivieren oder aktivieren. Wenn die Alarmaktionsfunktion ausgeschaltet ist, führt CloudWatch sie in keinem Zustand (OK, INSUFFICIENT_DATA, ALARM) eine definierte Aktion aus.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz109

Quelle

AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check

Warnungskriterien

Gelb: Die CloudWatch Amazon-Alarmaktion ist nicht aktiviert. In keinem Alarmzustand wird eine Aktion ausgeführt.

Empfohlene Aktion

Aktivieren Sie Aktionen in Ihren CloudWatch Alarmen, es sei denn, Sie haben einen triftigen Grund, sie zu deaktivieren, z. B. zu Testzwecken.

Wenn der CloudWatch Alarm nicht mehr benötigt wird, löschen Sie ihn, um unnötige Kosten zu vermeiden.

Weitere Informationen finden Sie unter enable-alarm-actions in der AWS CLI Befehlsreferenz und unter func (*CloudWatch) EnableAlarmActions in der AWS SDK for Go API-Referenz.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob die Amazon EC2 EC2-Instances in Ihrem Konto von AWS Systems Manager verwaltet werden.

Systems Manager hilft Ihnen dabei, den aktuellen Status Ihrer Amazon-EC2-Instance und Betriebssystemkonfigurationen zu verstehen und zu kontrollieren. Mit Systems Manager können Sie Softwarekonfigurations- und Bestandsinformationen zu Ihrer Flotte von Instances, einschließlich der darauf installierten Software, erfassen. Auf diese Weise können Sie detaillierte Informationen zu Systemkonfigurationen, Betriebssystem-Patch-Levels, Anwendungskonfigurationen und andere Details zu Ihrer Bereitstellung verfolgen.

Weitere Informationen finden Sie unter Einrichtung von Systems Manager für EC2-Instances.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz145

Quelle

AWS Config Managed Rule: ec2-instance-managed-by-systems-manager

Warnungskriterien

Gelb: Die Amazon-EC2-Instances werden nicht von Systems Manager verwaltet.

Empfohlene Aktion

Konfigurieren Sie Ihre Amazon-EC2-Instance für die Verwaltung durch Systems Manager.

Dieser Scheck kann nicht aus der Ansicht in der Trusted Advisor Konsole ausgeschlossen werden.

Weitere Informationen finden Sie unter Warum wird meine EC2-Instance nicht als verwalteter Knoten angezeigt oder hat den Status „Verbindung getrennt“ in Systems Manager?.

Weitere Ressourcen

Einrichtung von Systems Manager für EC2-Instances

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob in einem privaten Amazon-ECR-Repository die Unveränderlichkeit von Image-Tags aktiviert ist.

Aktivieren Sie die Unveränderlichkeit von Image-Tags für ein privates Amazon-ECR-Repository, um zu verhindern, dass Image-Tags überschrieben werden. So können Sie beschreibende Tags als zuverlässigen Mechanismus zur Nachverfolgung und eindeutigen Identifizierung von Images nutzen. Wenn beispielsweise die Unveränderlichkeit von Image-Tags aktiviert ist, können Benutzer ein Image-Tag zuverlässig verwenden, um eine bereitgestellte Image-Version mit dem Build zu korrelieren, der das Image erzeugt hat.

Weitere Informationen finden Sie unter Veränderlichkeit der Image-Tags.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz129

Quelle

AWS Config Managed Rule: ecr-private-tag-immutability-enabled

Warnungskriterien

Gelb: In einem privaten Amazon-ECR-Repository ist die Unveränderlichkeit von Tags nicht aktiviert.

Empfohlene Aktion

Aktivieren Sie die Unveränderlichkeit von Image-Tags für Ihre privaten Amazon-ECR-Repositorys.

Weitere Informationen finden Sie unter Veränderlichkeit der Image-Tags.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob Amazon CloudWatch Container Insights für Ihre Amazon ECS-Cluster aktiviert ist.

CloudWatch Container Insights sammelt, aggregiert und fasst Metriken und Protokolle aus Ihren containerisierten Anwendungen und Microservices zusammen. Die Metriken umfassen die Auslastung für Ressourcen wie z B. CPU, Arbeitsspeicher, Datenträger und Netzwerk.

Weitere Informationen finden Sie unter Amazon ECS CloudWatch Container Insights.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz173

Quelle

AWS Config Managed Rule: ecs-container-insights-enabled

Warnungskriterien

Gelb: Für den Amazon-ECS-Cluster sind Container Insights nicht aktiviert.

Empfohlene Aktion

Aktivieren Sie CloudWatch Container Insights auf Ihren Amazon ECS-Clustern.

Weitere Informationen finden Sie unter Verwenden von Container Insights.

Weitere Ressourcen

Einblicke in Amazon ECS CloudWatch Container

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob die Protokollkonfiguration für aktive Amazon-ECS-Aufgabendefinitionen festgelegt ist.

Durch die Überprüfung der Protokollkonfiguration in Ihren Amazon-ECS-Aufgabendefinitionen wird sichergestellt, dass die von Containern generierten Protokolle ordnungsgemäß konfiguriert sind und korrekt gespeichert werden. Dies hilft Ihnen dabei, Probleme schneller zu identifizieren und zu beheben, die Leistung zu optimieren und Compliance-Anforderungen zu erfüllen.

Standardmäßig zeigen die erfassten Protokolle die Befehlsausgabe an, die Sie normalerweise in einem interaktiven Terminal sehen, wenn Sie den Container lokal ausführen. Der awslogs-Treiber leitet diese Protokolle von Docker an Amazon Logs weiter. CloudWatch

Weitere Informationen finden Sie unter Verwenden des awslogs-Protokolltreibers.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz175

Quelle

AWS Config Managed Rule: ecs-task-definition-log-configuration

Warnungskriterien

Gelb: Die Amazon-ECS-Aufgabendefinition hat keine Protokollierungskonfiguration.

Empfohlene Aktion

Erwägen Sie, die Konfiguration des Protokolltreibers in der Container-Definition anzugeben, um Protokollinformationen an CloudWatch Logs oder einen anderen Protokollierungstreiber zu senden.

Weitere Informationen finden Sie unter LogConfiguration.

Weitere Ressourcen

Erwägen Sie, die Protokolltreiberkonfiguration in der Container-Definition anzugeben, um Protokollinformationen an CloudWatch Logs oder einen anderen Protokollierungstreiber zu senden.

Weitere Informationen finden Sie unter Beispiel für Aufgabendefinitionen.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob Amazon OpenSearch Service-Domains so konfiguriert sind, dass sie Protokolle an Amazon CloudWatch Logs senden.

Die Überwachung von Protokollen ist entscheidend für die Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung des OpenSearch Service.

Protokolle für langsame Suchen, Protokolle für langsame Indizierung und Fehlerprotokolle sind für die Problembehandlung bei Leistungs- und Stabilitätsproblemen Ihrer Workload nützlich. Diese Protokolle müssen aktiviert sein, um Daten zu erfassen.

Sie können mithilfe des LogTypes-Parameters in Ihren AWS Config Regeln angeben, welche Protokolltypen Sie filtern möchten (Fehler, Suche, Index).

Weitere Informationen finden Sie unter Amazon OpenSearch Service-Domains überwachen.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz184

Quelle

AWS Config Managed Rule: opensearch-logs-to-cloudwatch

Warnungskriterien

Gelb: Amazon OpenSearch Service hat keine Protokollierungskonfiguration mit Amazon CloudWatch Logs

Empfohlene Aktion

Konfigurieren Sie OpenSearch Service-Domains so, dass sie CloudWatch Protokolle in Logs veröffentlichen.

Weitere Informationen finden Sie unter Aktivieren der Veröffentlichung von Protokollen (Konsole).

Weitere Ressourcen

Überwachung von OpenSearch Service-Cluster-Metriken mit Amazon CloudWatch

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Wir empfehlen, dass alle DB-Instances im DB-Cluster dieselbe DB-Parametergruppe verwenden.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Anmerkung

Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die Amazon RDS-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die Amazon RDS-Konsole und wählen Sie dann Empfehlungen.

Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon RDS-Managementkonsole noch in Trusted Advisor der Amazon RDS-Managementkonsole verfügbar.

Prüf-ID

c1qf5bt010

Warnungskriterien

Gelb: DB-Cluster haben DB-Instances mit heterogenen Parametergruppen.

Empfohlene Aktion

Ordnen Sie die DB-Instance der DB-Parametergruppe zu, die der Writer-Instance in Ihrem DB-Cluster zugeordnet ist.

Weitere Ressourcen

Wenn die DB-Instances in Ihrem DB-Cluster unterschiedliche DB-Parametergruppen verwenden, kann es während eines Failovers zu einem inkonsistenten Verhalten oder zu Kompatibilitätsproblemen zwischen den DB-Instances in Ihrem DB-Cluster kommen.

Weitere Informationen finden Sie unter Arbeiten mit Parametergruppen.

Berichtsspalten

Status
Region
Ressource
Empfohlener Wert
Name des Motors
Zeitpunkt der letzten Aktualisierung

Beschreibung

Für Ihre Datenbankressourcen ist Enhanced Monitoring nicht aktiviert. Erweiterte Überwachung bietet Echtzeit-Betriebssystemmetriken für die Überwachung und Fehlerbehebung.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Anmerkung

Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die Amazon RDS-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die Amazon RDS-Konsole und wählen Sie dann Empfehlungen.

Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon RDS-Managementkonsole noch in Trusted Advisor der Amazon RDS-Managementkonsole verfügbar.

Prüf-ID

c1qf5bt004

Warnungskriterien

Gelb: Für Amazon RDS-Ressourcen ist Enhanced Monitoring nicht aktiviert.

Empfohlene Aktion

Aktivieren Sie die erweiterte Überwachung.

Weitere Ressourcen

Enhanced Monitoring for Amazon RDS bietet zusätzlichen Einblick in den Zustand Ihrer DB-Instances. Wir empfehlen, Enhanced Monitoring zu aktivieren. Wenn die Option Enhanced Monitoring für Ihre DB-Instance aktiviert ist, sammelt sie wichtige Betriebssystemmetriken und Prozessinformationen.

Weitere Informationen finden Sie unter Überwachen von Betriebssystem-Metriken mithilfe von „Erweitere Überwachung“.

Berichtsspalten

Status
Region
Ressource
Empfohlener Wert
Name des Motors
Zeitpunkt der letzten Aktualisierung

Beschreibung

Amazon RDS Performance Insights überwacht die Auslastung Ihrer DB-Instance, um Sie bei der Analyse und Lösung von Datenbankleistungsproblemen zu unterstützen. Wir empfehlen, Performance Insights zu aktivieren.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Anmerkung

Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die Amazon RDS-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die Amazon RDS-Konsole und wählen Sie dann Empfehlungen.

Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon RDS-Managementkonsole noch in Trusted Advisor der Amazon RDS-Managementkonsole verfügbar.

Prüf-ID

c1qf5bt012

Warnungskriterien

Gelb: Bei Amazon RDS-Ressourcen ist Performance Insights nicht aktiviert.

Empfohlene Aktion

Aktivieren Sie Performance Insights.

Weitere Ressourcen

Performance Insights verwendet eine einfache Datenerfassungsmethode, die die Leistung Ihrer Anwendungen nicht beeinträchtigt. Performance Insights hilft Ihnen dabei, die Datenbanklast schnell einzuschätzen.

Weitere Informationen finden Sie unter Überwachen der DB-Auslastung mit Performance Insights auf Amazon RDS.

Berichtsspalten

Status
Region
Ressource
Empfohlener Wert
Name des Motors
Zeitpunkt der letzten Aktualisierung

Beschreibung

Wenn der Parameter track_counts ausgeschaltet ist, sammelt die Datenbank keine Statistiken zur Datenbankaktivität. Autovacuum erfordert, dass diese Statistiken korrekt funktionieren.

Wir empfehlen, den Parameter track_counts auf 1 zu setzen

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Anmerkung

Wenn eine DB-Instance oder ein DB-Cluster gestoppt wird, können Sie sich die Amazon RDS-Empfehlungen innerhalb von 3 bis 5 Tagen ansehen. Trusted Advisor Nach fünf Tagen sind die Empfehlungen nicht mehr verfügbar Trusted Advisor. Um die Empfehlungen anzuzeigen, öffnen Sie die Amazon RDS-Konsole und wählen Sie dann Empfehlungen.

Wenn Sie eine DB-Instance oder einen DB-Cluster löschen, sind die mit diesen Instances oder Clustern verknüpften Empfehlungen weder in der Amazon RDS-Managementkonsole noch in Trusted Advisor der Amazon RDS-Managementkonsole verfügbar.

Prüf-ID

c1qf5bt027

Warnungskriterien

Gelb: Bei DB-Parametergruppen ist der Parameter track_counts ausgeschaltet.

Empfohlene Aktion

Setzen Sie den Parameter track_counts auf 1

Weitere Ressourcen

Wenn der Parameter track_counts ausgeschaltet ist, wird die Erfassung von Statistiken zur Datenbankaktivität deaktiviert. Der Autovacuum-Daemon benötigt die gesammelten Statistiken, um die Tabellen für Autovacuum und Autoanalyze zu identifizieren.

Weitere Informationen finden Sie unter Runtime Statistics for PostgreSQL auf der PostgreSQL-Dokumentationswebsite.

Berichtsspalten

Status
Region
Ressource
Parameterwert
Empfohlener Wert
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob in Ihren Amazon-Redshift-Clustern die Datenbank-Auditprotokollierung aktiviert ist. Amazon-Redshift-Protokolle stellen Informationen zu Verbindungen und Benutzeraktivitäten in Ihrer Datenbank bereit.

Sie können Ihren gewünschten Amazon S3 S3-Bucket-Namen für die Protokollierung im BucketNames-Parameter Ihrer AWS Config Regeln angeben.

Weitere Informationen finden Sie unter Datenbank-Auditprotokollierung.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz134

Quelle

AWS Config Managed Rule: redshift-audit-logging-enabled

Warnungskriterien

Gelb: Bei einem Amazon-Redshift-Cluster ist die Datenbank-Auditprotokollierung deaktiviert

Empfohlene Aktion

Aktivieren Sie die Protokollierung und Überwachung für Ihre Amazon-Redshift-Cluster.

Weitere Informationen finden Sie unter Konfigurieren von Prüfungen über die Konsole.

Weitere Ressourcen

Protokollierung und Überwachung in Amazon Redshift

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob Amazon-S3-Ereignisbenachrichtigungen aktiviert oder mit den gewünschten Zielen oder Typen korrekt konfiguriert sind.

Die Amazon-S3-Funktion für Ereignisbenachrichtigungen sendet Benachrichtigungen, wenn bestimmte Ereignisse in Ihren Amazon-S3-Buckets eintreten. Amazon S3 kann Benachrichtigungen an Amazon SQS SQS-Warteschlangen, Amazon SNS SNS-Themen und Funktionen senden. AWS Lambda

Sie können Ihr gewünschtes Ziel und Ihre Ereignistypen mithilfe der Parameter DestinationArn und EventTypes Ihrer Regeln angeben. AWS Config

Weitere Informationen finden Sie unter Amazon-S3-Ereignisbenachrichtigungen.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz163

Quelle

AWS Config Managed Rule: s3-event-notifications-enabled

Warnungskriterien

Gelb: In Amazon S3 sind keine Ereignisbenachrichtigungen aktiviert oder nicht mit dem gewünschten Ziel oder den gewünschten Typen konfiguriert.

Empfohlene Aktion

Konfigurieren Sie Amazon-S3-Ereignisbenachrichtigungen für Objekt- und Bucket-Ereignisse.

Weitere Informationen finden Sie unter Aktivieren und Konfigurieren von Ereignis-Benachrichtigungen mit der Amazon-S3-Konsole.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob für Amazon-SNS-Themen die Protokollierung des Nachrichtenzustellungsstatus aktiviert ist.

Konfigurieren Sie Amazon-SNS-Themen für die Protokollierung des Nachrichtenzustellungsstatus, um bessere betriebliche Einblicke zu erhalten. Durch die Protokollierung der Nachrichtenzustellung wird beispielsweise überprüft, ob eine Nachricht an einen bestimmten Amazon-SNS-Endpunkt gesendet wurde. Und es hilft auch bei der Ermittlung der Antwort, die vom Endpunkt gesendet wurde.

Weitere Informationen finden Sie unter Amazon-SNS-Nachrichtenzustellungsstatus.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz121

Quelle

AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled

Warnungskriterien

Gelb: Die Protokollierung des Nachrichtenzustellungsstatus ist für ein Amazon-SNS-Thema nicht aktiviert.

Empfohlene Aktion

Aktivieren Sie die Protokollierung des Nachrichtenzustellungsstatus für Ihre SNS-Themen.

Weitere Informationen finden Sie unter Konfigurieren der Protokollierung des Zustellungsstatus mithilfe der AWS-Managementkonsole.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob Amazon-VPC-Flow-Protokolle für eine Virtual Private Cloud (VPC) erstellt wurden.

Sie können den Verkehrstyp mithilfe des TrafficType-Parameters in Ihren AWS Config Regeln angeben.

Weitere Informationen finden Sie unter Protokollieren von IP-Datenverkehr mit VPC-Flow-Protokollen.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz122

Quelle

AWS Config Managed Rule: vpc-flow-logs-enabled

Warnungskriterien

Gelb: VPCs haben keine Amazon-VPC-Flow-Protokolle.

Empfohlene Aktion

Erstellen Sie VPC-Flow-Protokolle für jede Ihrer VPCs.

Weitere Informationen finden Sie unter Erstellen eines Flow-Protokolls.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob für Application Load Balancer und Classic Load Balancer die Zugriffsprotokollierung aktiviert ist.

Elastic Load Balancing bietet Zugriffsprotokolle, die detaillierte Informationen zu Anforderungen erfassen, die an Ihren Load Balancer gesendet werden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. Sie können diese Zugriffsprotokolle für die Analyse von Datenverkehrsmustern und zur Problembehebung verwenden.

Zugriffsprotokolle sind ein optionales Feature von Elastic Load Balancing, das standardmäßig deaktiviert ist. Nachdem Sie die Zugriffsprotokolle für Ihren Load Balancer aktiviert haben, erfasst Elastic Load Balancing die Protokolle und speichert sie in dem von Ihnen angegebenen Amazon-S3-Bucket.

Sie können den Amazon S3 S3-Bucket für das Zugriffsprotokoll, den Sie überprüfen möchten, mithilfe des BucketNamess3-Parameters in Ihren AWS Config Regeln angeben.

Weitere Informationen finden Sie unter Zugriffsprotokolle für Ihre Application Load Balancer oder Zugriffsprotokolle für Ihre Classic Load Balancer.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz167

Quelle

AWS Config Managed Rule: elb-logging-enabled

Warnungskriterien

Gelb: Die Funktion für Zugriffsprotokolle ist für einen Application Load Balancer oder einen Classic Load Balancer nicht aktiviert.

Empfohlene Aktion

Aktivieren Sie die Zugriffsprotokolle für Ihre Application Load Balancer und Classic Load Balancer.

Weitere Informationen finden Sie unter Aktivieren der Zugriffsprotokolle für Ihren Application Load Balancer oder Aktivieren der Zugriffsprotokolle für Ihren Classic Load Balancer.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob all Ihre AWS CloudFormation Stacks Amazon SNS verwenden, um Benachrichtigungen zu erhalten, wenn ein Ereignis eintritt.

Sie können diese Prüfung so konfigurieren, dass sie mithilfe von Parametern in Ihren AWS Config Regeln nach bestimmten Amazon SNS SNS-Themen-ARNs sucht.

Weitere Informationen finden Sie unter AWS CloudFormation Stack-Optionen einrichten.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz111

Quelle

AWS Config Managed Rule: cloudformation-stack-notification-check

Warnungskriterien

Gelb: Amazon SNS SNS-Ereignisbenachrichtigungen für Ihre AWS CloudFormation Stacks sind nicht aktiviert.

Empfohlene Aktion

Stellen Sie sicher, dass Ihre AWS CloudFormation Stacks Amazon SNS verwenden, um Benachrichtigungen zu erhalten, wenn ein Ereignis eintritt.

Durch die Überwachung von Stack-Ereignissen können Sie schnell auf unbefugte Aktionen reagieren, die Ihre AWS Umgebung verändern könnten.

Weitere Ressourcen

Wie kann ich eine E-Mail-Benachrichtigung erhalten, wenn mein CloudFormation AWS-Stack den Status ROLLBACK_IN_PROGRESS annimmt?

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob mindestens ein AWS CloudTrail Trail Amazon S3 S3-Datenereignisse für all Ihre Amazon S3 S3-Buckets protokolliert.

Weitere Informationen finden Sie unter Protokollierung von Amazon-S3-API-Aufrufen mit AWS CloudTrail.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz166

Quelle

AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled

Warnungskriterien

Gelb: Die AWS CloudTrail Ereignisprotokollierung für Amazon S3 S3-Buckets ist nicht konfiguriert

Empfohlene Aktion

Aktivieren Sie die CloudTrail Ereignisprotokollierung für Amazon S3 S3-Buckets und -Objekte, um Anfragen für den Zugriff auf Ziel-Buckets zu verfolgen.

Weitere Informationen finden Sie unter Aktivieren der CloudTrail Ereignisprotokollierung für S3-Buckets und -Objekte.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob die AWS CodeBuild Projektumgebung die Protokollierung verwendet. Bei den Protokollierungsoptionen kann es sich um CloudWatch Protokolle in Amazon Logs oder um in einem bestimmten Amazon S3 S3-Bucket integrierte Protokolle oder beides handeln. Die Aktivierung der Protokollierung in einem CodeBuild Projekt kann mehrere Vorteile bieten, z. B. Debugging und Auditing.

Sie können den Namen des Amazon S3 S3-Buckets oder der CloudWatch Logs-Gruppe zum Speichern der Protokolle angeben, indem Sie den Parameter s3 BucketNames oder cloud WatchGroup Names in Ihren AWS Config Regeln verwenden.

Weitere Informationen finden Sie unter -Überwachung AWS CodeBuild.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz113

Quelle

AWS Config Managed Rule: codebuild-project-logging-enabled

Warnungskriterien

Gelb: Die AWS CodeBuild Projektprotokollierung ist nicht aktiviert.

Empfohlene Aktion

Stellen Sie sicher, dass die Protokollierung in Ihrem AWS CodeBuild Projekt aktiviert ist. Diese Prüfung kann nicht aus der Ansicht in der AWS Trusted Advisor Konsole ausgeschlossen werden.

Weitere Informationen finden Sie unter Anmelden und Überwachen AWS CodeBuild.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob die Bereitstellungsgruppe mit automatischem Rollback und automatischer Überwachung der Bereitstellung mit angehängten Alarmen konfiguriert ist. Wenn während einer Bereitstellung etwas schief geht, wird sie automatisch zurückgesetzt und Ihre Anwendung bleibt in einem stabilen Zustand.

Weitere Informationen finden Sie unter Erneute Bereitstellung und Rollback einer Bereitstellung mit. CodeDeploy

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz114

Quelle

AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled

Warnungskriterien

Gelb: AWS CodeDeploy Automatisches Bereitstellungs-Rollback und Bereitstellungsüberwachung sind nicht aktiviert.

Empfohlene Aktion

Konfigurieren Sie eine Bereitstellungsgruppe oder Bereitstellung so, dass sie automatisch zurückgesetzt wird, wenn eine Bereitstellung fehlschlägt oder ein definierter Überwachungsschwellenwert erreicht wird.

Konfigurieren Sie den Alarm so, dass während des Bereitstellungsprozesses verschiedene Metriken wie CPU-Auslastung, Speichernutzung oder Netzwerkdatenverkehr überwacht werden. Wenn eine dieser Metriken bestimmte Schwellenwerte überschreitet, werden die Alarme ausgelöst und die Bereitstellung wird gestoppt oder rückgängig gemacht.

Informationen zur Einrichtung automatischer Rollbacks und zur Konfiguration von Alarmen für Ihre Bereitstellungsgruppen finden Sie unter Konfigurieren von erweiterten Optionen für eine Bereitstellungsgruppe.

Weitere Ressourcen

Was ist CodeDeploy?

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob die AWS CodeDeploy Bereitstellungsgruppe für die AWS Lambda Rechenplattform die all-at-once Bereitstellungskonfiguration verwendet.

Um das Risiko von Bereitstellungsfehlern Ihrer Lambda-Funktionen in zu verringern CodeDeploy, empfiehlt es sich, die kanarische oder lineare Bereitstellungskonfiguration anstelle der Standardoption zu verwenden, bei der der gesamte Datenverkehr von der ursprünglichen Lambda-Funktion auf die aktualisierte Funktion übertragen wird.

Weitere Informationen finden Sie unter Lambda-Funktionsversionen und Bereitstellungskonfiguration.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz115

Quelle

AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled

Warnungskriterien

Gelb: Die AWS CodeDeploy Lambda-Bereitstellung verwendet die all-at-once Bereitstellungskonfiguration, um den gesamten Datenverkehr gleichzeitig auf die aktualisierten Lambda-Funktionen umzuleiten.

Empfohlene Aktion

Verwenden Sie die kanarische oder lineare Bereitstellungskonfiguration der CodeDeploy Bereitstellungsgruppe für die Lambda-Rechenplattform.

Weitere Ressourcen

Bereitstellungskonfiguration

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob eine AWS Elastic Beanstalk Umgebung für erweiterte Statusberichte konfiguriert ist.

Die erweiterten Zustandsberichte von Elastic Beanstalk bieten detaillierte Leistungskennzahlen wie CPU-Auslastung, Speichernutzung, Netzwerkdatenverkehr und Informationen zum Zustand der Infrastruktur, wie Anzahl der Instances und Load-Balancer-Status.

Weitere Informationen finden Sie unter Erweiterte Zustandsberichte und -überwachung.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz108

Quelle

AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled

Warnungskriterien

Gelb: Die Elastic-Beanstalk-Umgebung ist nicht für erweiterte Zustandsberichte konfiguriert

Empfohlene Aktion

Stellen Sie sicher, dass eine Elastic-Beanstalk-Umgebung für erweiterte Zustandsberichte konfiguriert ist.

Weitere Informationen finden Sie unter Aktivieren der erweiterten Zustandsberichte mit der Elastic-Beanstalk-Konsole.

Weitere Ressourcen

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob verwaltete Plattformupdates in Elastic-Beanstalk-Umgebungen und Konfigurationsvorlagen aktiviert sind.

AWS Elastic Beanstalk veröffentlicht regelmäßig Plattform-Updates, um Korrekturen, Softwareupdates und neue Funktionen bereitzustellen. Mit verwalteten Plattformupdates kann Elastic Beanstalk automatisch Plattformupdates für neue Patch- und Unterversionen der Plattform durchführen.

Sie können die gewünschte Aktualisierungsstufe in den UpdateLevelParametern Ihrer AWS Config Regeln angeben.

Weitere Informationen finden Sie unter Aktualisieren der Plattformversion Ihrer Elastic-Beanstalk-Umgebung.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz177

Quelle

AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled

Warnungskriterien

Gelb: AWS Elastic Beanstalk Verwaltete Plattformupdates sind überhaupt nicht konfiguriert, auch nicht auf untergeordneter Ebene oder auf Patch-Ebene.

Empfohlene Aktion

Aktivieren Sie verwaltete Plattformupdates in Ihren Elastic-Beanstalk-Umgebungen oder konfigurieren Sie sie auf Unterversions- oder Update-Ebene.

Weitere Informationen finden Sie unter Verwaltete Plattformupdates.

Weitere Ressourcen

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob in Amazon ECS die neueste Plattformversion von AWS Fargate ausgeführt wird. Die Fargate-Plattformversion verweist auf eine bestimmte Laufzeitumgebung für die Fargate-Aufgabeninfrastruktur. Es handelt sich um eine Kombination aus der Kernel-Version und den Container-Laufzeitversionen. Neue Plattformversionen werden veröffentlicht, wenn sich die Laufzeitumgebung weiterentwickelt, weil es beispielsweise Kernel- oder Betriebssystem-Updates, neue Funktionen, Bugfixes oder Sicherheitsupdates gibt.

Weitere Informationen finden Sie unter Fargate-Aufgabenwartung.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz174

Quelle

AWS Config Managed Rule: ecs-fargate-latest-platform-version

Warnungskriterien

Gelb: Amazon ECS wird nicht auf der neuesten Version der Fargate-Plattform ausgeführt.

Empfohlene Aktion

Aktualisieren Sie auf die neueste Fargate-Plattformversion.

Weitere Informationen finden Sie unter Fargate-Aufgabenwartung.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob der Status der Zuordnungs-Konformität nach der Ausführung der AWS Systems Manager Zuordnung auf der Instanz COMPLIANT oder NON_COMPLIANT lautet.

State Manager, eine Funktion von AWS Systems Manager, ist ein sicherer und skalierbarer Konfigurationsverwaltungsdienst, der den Prozess automatisiert, Ihre verwalteten Knoten und andere AWS Ressourcen in einem von Ihnen definierten Zustand zu halten. Eine State Manager-Zuordnung ist eine Konfiguration, die Sie Ihren AWS Ressourcen zuweisen. Die Konfiguration definiert den Status, den Sie für Ihre Ressourcen beibehalten möchten. Dies hilft Ihnen, das Ziel zu erreichen, beispielsweise das Vermeiden von Konfigurationsabweichungen zwischen Ihren Amazon-EC2-Instances.

Weitere Informationen finden Sie unter AWS Systems Manager State Manager.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz147

Quelle

AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check

Warnungskriterien

Gelb: Der Status der AWS Systems Manager Zuordnungskonformität ist NON_COMPLIANT.

Empfohlene Aktion

Überprüfen Sie den Status der State-Manager-Zuordnungen und ergreifen Sie dann alle erforderlichen Maßnahmen, um den Status wieder auf COMPLIANT zurückzusetzen.

Weitere Informationen finden Sie unter Info zu State Manager.

Weitere Ressourcen

AWS Systems Manager State Manager

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Prüft, ob AWS CloudTrail Trails so konfiguriert sind, dass sie Logs an CloudWatch Logs senden.

Überwachen CloudTrail Sie Protokolldateien mit CloudWatch Protokollen, um eine automatische Reaktion auszulösen, wenn kritische Ereignisse erfasst werden AWS CloudTrail.

Weitere Informationen finden Sie unter Überwachen von CloudTrail Protokolldateien mit CloudWatch Protokollen.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz164

Quelle

AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled

Warnungskriterien

Gelb: AWS CloudTrail ist nicht mit der CloudWatch Logs-Integration eingerichtet.

Empfohlene Aktion

Konfigurieren Sie CloudTrail Trails, um Protokollereignisse an CloudWatch Logs zu senden.

Weitere Informationen finden Sie unter CloudWatch Alarme für CloudTrail Ereignisse erstellen: Beispiele.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob der Löschschutz für Ihre Load Balancer aktiviert ist.

Elastic Load Balancing unterstützt den Löschschutz für Ihre Application Load Balancer, Network Load Balancer und Gateway Load Balancer. Aktivieren Sie den Löschschutz, um zu verhindern, dass der Load Balancer versehentlich gelöscht wird. Wenn Sie einen Load Balancer erstellen, ist der Löschschutz standardmäßig deaktiviert. Wenn Ihre Load Balancer Teil einer Produktionsumgebung sind, sollten Sie in Erwägung ziehen, den Löschschutz zu aktivieren.

Zugriffsprotokolle sind ein optionales Feature von Elastic Load Balancing, das standardmäßig deaktiviert ist. Nachdem Sie die Zugriffsprotokolle für Ihren Load Balancer aktiviert haben, erfasst Elastic Load Balancing die Protokolle und speichert sie in dem von Ihnen angegebenen Amazon-S3-Bucket.

Weitere Informationen finden Sie unter Application-Load-Balancer-Löschschutz, Network-Load-Balancer-Löschschutz oder Gateway-Load-Balancer-Löschschutz.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz168

Quelle

AWS Config Managed Rule: elb-deletion-protection-enabled

Warnungskriterien

Gelb: Löschschutz ist für einen Load Balancer nicht aktiviert.

Empfohlene Aktion

Aktivieren Sie den Löschschutz für Application Load Balancer, Network Load Balancer und Gateway Load Balancer.

Weitere Informationen finden Sie unter Application-Load-Balancer-Löschschutz, Network-Load-Balancer-Löschschutz oder Gateway-Load-Balancer-Löschschutz.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob in Ihren Amazon-RDS-DB-Clustern der Löschschutz aktiviert ist.

Wenn Sie für einen DB-Cluster den Löschschutz aktivieren, kann die Datenbank von keinem Benutzer gelöscht werden.

Löschschutz ist für Amazon Aurora und RDS für MySQL, RDS für MariaDB, RDS für Oracle, RDS für PostgreSQL und RDS für SQL Server-Datenbank-Instances in allen Regionen verfügbar. AWS

Weitere Informationen finden Sie unter Löschschutz für Aurora-DB-Cluster.

Prüf-ID

c18d2gz160

Quelle

AWS Config Managed Rule: rds-cluster-deletion-protection-enabled

Warnungskriterien

Gelb: Sie haben Amazon-RDS-DB-Cluster, bei denen der Löschschutz nicht aktiviert ist.

Empfohlene Aktion

Aktivieren Sie den Löschschutz, wenn Sie einen Amazon RDS-DB-Cluster erstellen.

Sie können nur Cluster löschen, für die der Löschschutz nicht aktiviert ist. Durch das Aktivieren des Löschschutzes wird eine zusätzliche Schutzebene hinzugefügt und Datenverlust durch versehentliches oder unbeabsichtigtes Löschen einer Datenbank-Instance vermieden. Der Löschschutz trägt auch dazu bei, gesetzliche Anforderungen zu erfüllen und die Geschäftskontinuität zu gewährleisten.

Weitere Informationen finden Sie unter Löschschutz für Aurora-DB-Cluster.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Weitere Ressourcen

Löschschutz für Aurora-DB-Cluster

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Beschreibung

Überprüft, ob für Amazon-RDS-DB-Instances automatische Upgrades für Unterversionen konfiguriert sind.

Aktivieren Sie automatische Upgrades von Unterversionen für eine Amazon-RDS-Instance, um sicherzustellen, dass in der Datenbank immer die neueste sichere und stabile Version ausgeführt wird. Upgrades von Unterversionen bieten Sicherheitsupdates, Bugfixes und Leistungsverbesserungen und gewährleisten die Kompatibilität mit bestehenden Anwendungen.

Weitere Informationen finden Sie unter Upgrade der Engine-Version für eine DB-Instance.

Anmerkung

Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert, und Aktualisierungsanfragen sind nicht zulässig. Es kann ein paar Stunden dauern, bis die Änderungen sichtbar werden. Derzeit können Sie keine Ressourcen von dieser Prüfung ausschließen.

Prüf-ID

c18d2gz155

Quelle

AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled

Warnungskriterien

Gelb: Für die RDS-DB-Instance sind keine automatischen Upgrades von Unterversionen aktiviert.

Empfohlene Aktion

Aktivieren Sie automatische Upgrades von Unterversionen, wenn Sie eine Amazon-RDS-DB-Instance erstellen.

Wenn Sie automatische Upgrades von Unterversionen aktivieren, wird die Datenbankversion automatisch aktualisiert, wenn sie eine Unterversion der DB-Engine ausführt, die eine niedrigere Versionsnummer hat als in Manuelles Upgraden der Engine-Version.

Berichtsspalten

Status
Region
Ressource
AWS Config Regel
Eingabeparameter
Zeitpunkt der letzten Aktualisierung

Namen prüfen

Amazon API Gateway protokolliert keine Ausführungsprotokolle

Anmerkung

Amazon-API-Gateway-REST-APIs ohne aktivierte X-Ray-Ablaufverfolgung

Anmerkung

Amazon CloudFront Access Log konfiguriert

Anmerkung

Amazon CloudWatch Alarm Action ist deaktiviert

Anmerkung

Amazon EC2 EC2-Instance wird nicht verwaltet von AWS Systems Manager

Anmerkung

Amazon-ECR-Repository mit deaktivierter Unveränderlichkeit von Tags

Anmerkung

Amazon-ECS-Cluster mit Container Insights ist deaktiviert

Anmerkung

Amazon-ECS-Aufgabenprotokollierung ist nicht aktiviert

Anmerkung

Amazon OpenSearch Service-Protokollierung CloudWatch nicht konfiguriert

Anmerkung

Amazon RDS-DB-Instances in den Clustern mit heterogenen Parametergruppen

Anmerkung

Anmerkung

Amazon RDS Enhanced Monitoring ist ausgeschaltet

Anmerkung

Anmerkung

Amazon RDS Performance Insights ist ausgeschaltet

Anmerkung

Anmerkung

Der Amazon RDS-Parameter track_counts ist ausgeschaltet

Anmerkung

Anmerkung

Amazon-Redshift-Cluster-Auditprotokollierung

Anmerkung

In Amazon S3 sind keine Ereignisbenachrichtigungen aktiviert

Anmerkung

Amazon-SNS-Themen: Nachrichtenzustellungsstatus wird nicht protokolliert

Anmerkung

Amazon VPC ohne Flow-Protokolle

Anmerkung

Application Load Balancer und Classic Load Balancer ohne aktivierte Zugriffsprotokolle

Anmerkung

AWS CloudFormation Stack-Benachrichtigung

Anmerkung

AWS CloudTrail Protokollierung von Datenereignissen für Objekte in einem S3-Bucket

Anmerkung

AWS CodeBuild Protokollierung von Projekten

Anmerkung

AWS CodeDeploy Automatisches Rollback und Monitor aktiviert

Anmerkung

AWS CodeDeploy Lambda verwendet die all-at-once Bereitstellungskonfiguration

Anmerkung

AWS Elastic Beanstalk Enhanced Health Reporting ist nicht konfiguriert

Anmerkung

AWS Elastic Beanstalk mit deaktivierten verwalteten Plattform-Updates

Anmerkung

AWS Fargate Die Plattformversion ist nicht aktuell

Anmerkung

AWS Systems Manager State Manager Association hat den Status „Nichtkonformität“

Anmerkung

CloudTrail Trails sind nicht mit Amazon CloudWatch Logs konfiguriert

Anmerkung

Elastic-Load-Balancing-Löschschutz ist für Load Balancer nicht aktiviert

Anmerkung

Prüfung des Löschschutzes von RDS-DB-Clustern

Anmerkung

RDS-DB-Instance – Prüfung auf automatisches Upgrade für Unterversion

Anmerkung