Eccellenza operativa

Descrizione

Verifica se Amazon API Gateway ha attivato CloudWatch i log al livello di registrazione desiderato.

Attiva CloudWatch la registrazione di REST API metodi o WebSocket API percorsi in Amazon API Gateway per raccogliere i log di esecuzione in CloudWatch Logs per le richieste ricevute dal tuo. APIs Le informazioni contenute nei log di esecuzione aiutano a identificare e risolvere i problemi relativi ai tuoi. API

È possibile specificare l'ID del livello di registrazione (ERROR,INFO) nel loggingLevelparametro delle regole. AWS Config

Per ulteriori informazioni sull' CloudWatch accesso ad Amazon API Gateway, consulta la nostra WebSocket API documentazione. REST API

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz125

Origine

AWS Config Managed Rule: api-gw-execution-logging-enabled

Criteri di avviso

Giallo: l'impostazione CloudWatch di registrazione per la raccolta dei log di esecuzione non è abilitata al livello di registrazione desiderato per Amazon API Gateway.

Operazione consigliata

Attiva CloudWatch la registrazione per i log di esecuzione per il tuo Amazon API Gateway RESTAPIso WebSocket APIscon il livello di registrazione appropriato (ERROR,). INFO

Per ulteriori informazioni, consulta Creazione un log di flusso

Risorse aggiuntive

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se Amazon API Gateway REST APIs ha attivato AWS X-Ray il tracciamento.

Attiva il tracciamento a raggi X per consentire REST APIs a API Gateway di campionare le richieste di API chiamata con informazioni di tracciamento. In questo modo puoi sfruttare l'opportunità di AWS X-Ray tracciare e analizzare le richieste mentre attraversano il tuo API Gateway verso i servizi REST APIs a valle.

Per ulteriori informazioni, vedere Tracciamento delle richieste degli utenti all'RESTAPIsutilizzo di X-Ray.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz126

Origine

AWS Config Managed Rule: api-gw-xray-enabled

Criteri di avviso

Giallo: il tracciamento X-Ray non è attivato per un gateway. API REST API

Operazione consigliata

Attiva il tracciamento a raggi X per il tuo Gateway. API REST APIs

Per ulteriori informazioni, vedere Configurazione AWS X-Ray con API Gateway. REST APIs

Risorse aggiuntive

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se CloudFront le distribuzioni Amazon sono configurate per acquisire informazioni dai log di accesso ai server Amazon S3. I log di accesso al server Amazon S3 contengono informazioni dettagliate su ogni richiesta utente ricevuta. CloudFront

Puoi modificare il nome del bucket Amazon S3 per l'archiviazione dei log di accesso al server, utilizzando il parametro S3 BucketName nelle tue regole. AWS Config

Per ulteriori informazioni, consulta Configurazione e utilizzo dei log standard (log di accesso).

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz110

Origine

AWS Config Managed Rule: cloudfront-accesslogs-enabled

Criteri di avviso

Giallo: la registrazione CloudFront degli accessi di Amazon non è abilitata

Operazione consigliata

Assicurati di attivare la registrazione degli CloudFront accessi per acquisire informazioni dettagliate su ogni richiesta utente che CloudFront riceve.

Puoi attivare i log standard quando crei o aggiorni una distribuzione.

Per ulteriori informazioni, consulta Valori da specificare durante la creazione o l'aggiornamento di una distribuzione.

Risorse aggiuntive

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se l'azione di CloudWatch allarme di Amazon è disattivata.

Puoi utilizzare il AWS CLI per abilitare o disabilitare la funzione di azione nel tuo allarme. In alternativa, puoi disabilitare o abilitare in modo programmatico la funzione di azione utilizzando il AWS SDK. Quando la funzione di azione di allarme è disattivata, CloudWatch non esegue alcuna azione definita in nessuno stato (OK, INSUFFICIENT _DATA,ALARM).

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz109

Origine

AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check

Criteri di avviso

Giallo: l'azione di CloudWatch allarme di Amazon non è abilitata. Nessuna operazione viene eseguita in alcuno stato di allarme.

Operazione consigliata

Abilita le azioni nei tuoi CloudWatch allarmi a meno che tu non abbia un motivo valido per disabilitarle, ad esempio a scopo di test.

Se l' CloudWatch allarme non è più necessario, eliminalo per evitare di incorrere in costi inutili.

Per ulteriori informazioni, vedere enable-alarm-actionsnel riferimento del AWS CLI comando e func (*CloudWatch) EnableAlarmActions nel riferimento AWS SDK per Go. API

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se le EC2 istanze Amazon nel tuo account sono gestite da AWS Systems Manager.

Systems Manager ti aiuta a comprendere e controllare lo stato attuale delle configurazioni dell'EC2istanza Amazon e del sistema operativo. Con Systems Manager puoi raccogliere informazioni sulla configurazione del software e sull'inventario del tuo parco istanze, incluso il software installato su tali istanze. Ciò consente di tenere traccia della configurazione dettagliata del sistema, dei livelli di patch del sistema operativo, delle configurazioni delle applicazioni e di altri dettagli sull'implementazione.

Per ulteriori informazioni, vedere Configurazione di Systems Manager per EC2 le istanze.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz145

Origine

AWS Config Managed Rule: ec2-instance-managed-by-systems-manager

Criteri di avviso

Giallo: le EC2 istanze Amazon non sono gestite da Systems Manager.

Operazione consigliata

Configura la tua EC2 istanza Amazon per essere gestita da Systems Manager.

Questo controllo non può essere escluso dalla visualizzazione nella Trusted Advisor console.

Per ulteriori informazioni, vedi Perché la mia EC2 istanza non viene visualizzata come nodo gestito o mostra lo stato «Connessione persa» in Systems Manager? .

Risorse aggiuntive

Configurazione di Systems Manager per le EC2 istanze

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se in un ECR repository Amazon privato è attivata l'immutabilità dei tag di immagine.

Attiva l'immutabilità dei tag di immagine per un ECR repository Amazon privato per evitare che i tag delle immagini vengano sovrascritti. In questo modo, puoi considerare i tag descrittivi un modo affidabile per tracciare e identificare in modo univoco le immagini. Ad esempio, se è attivata l'immutabilità dei tag immagine, gli utenti possono utilizzare in modo affidabile un tag immagine per correlare una versione dell'immagine distribuita al build che ha prodotto tale immagine.

Per ulteriori informazioni, consulta Mutabilità dei tag immagine.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz129

Origine

AWS Config Managed Rule: ecr-private-tag-immutability-enabled

Criteri di avviso

Giallo: un repository ECR privato di Amazon non ha l'immutabilità dei tag attivata.

Operazione consigliata

Attiva l'immutabilità dei tag di immagine per i tuoi repository ECR privati Amazon.

Per ulteriori informazioni, consulta Mutabilità dei tag immagine.

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se Amazon CloudWatch Container Insights è attivato per i tuoi ECS cluster Amazon.

CloudWatch Container Insights raccoglie, aggrega e riepiloga metriche e log delle applicazioni e dei microservizi containerizzati. Le metriche includono l'utilizzo di risorse come memoria, disco e rete. CPU

Per ulteriori informazioni, consulta Amazon ECS CloudWatch Container Insights.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz173

Origine

AWS Config Managed Rule: ecs-container-insights-enabled

Criteri di avviso

Giallo: il ECS cluster Amazon non ha Container Insights abilitato.

Operazione consigliata

Attiva CloudWatch Container Insights sui tuoi ECS cluster Amazon.

Per ulteriori informazioni, consulta Utilizzo degli approfondimenti sui container.

Risorse aggiuntive

Amazon ECS CloudWatch Container Insights

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se la configurazione dei log è impostata su definizioni di ECS attività Amazon attive.

Il controllo della configurazione dei log nelle definizioni delle ECS attività di Amazon assicura che i log generati dai contenitori siano configurati e archiviati correttamente. Ciò facilita l'identificazione e la soluzione dei problemi in maniera più rapida, l'ottimizzazione delle prestazioni e l’adempimento dei requisiti di conformità.

Per impostazione predefinita, i log acquisiti mostrano l'output del comando che viene visualizzato normalmente in un terminale interattivo se il container è stato eseguito in locale. Il driver awslogs passa questi log da Docker ad Amazon Logs. CloudWatch

Per ulteriori informazioni, consulta Utilizzo del driver di log awslogs.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz175

Origine

AWS Config Managed Rule: ecs-task-definition-log-configuration

Criteri di avviso

Giallo: la definizione ECS delle attività di Amazon non ha una configurazione di registrazione.

Operazione consigliata

Valuta la possibilità di specificare la configurazione del driver di registro nella definizione del contenitore per inviare le informazioni di registro a CloudWatch Logs o a un altro driver di registrazione.

Per ulteriori informazioni, vedere. LogConfiguration

Risorse aggiuntive

Valuta la possibilità di specificare la configurazione del driver di registro nella definizione del contenitore per inviare le informazioni di registro a CloudWatch Logs o a un altro driver di registrazione.

Per ulteriori informazioni, consulta Esempio di definizioni di attività.

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se i domini Amazon OpenSearch Service sono configurati per inviare log ad Amazon CloudWatch Logs.

Il monitoraggio dei log è fondamentale per mantenere l'affidabilità, la disponibilità e le prestazioni del servizio. OpenSearch

I log di ricerca lenti, i log di indicizzazione lenti e i log di errore sono utili per la risoluzione di problemi di prestazioni e stabilità del carico di lavoro. Per la raccolta dei dati, questi log devono essere abilitati.

È possibile specificare i tipi di registro che si desidera filtrare (errore, ricerca, indice) utilizzando il logTypesparametro nelle AWS Config regole.

Per ulteriori informazioni, consulta Monitoraggio dei domini Amazon OpenSearch Service.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz184

Origine

AWS Config Managed Rule: opensearch-logs-to-cloudwatch

Criteri di avviso

Giallo: Amazon OpenSearch Service non dispone di una configurazione di registrazione con Amazon CloudWatch Logs

Operazione consigliata

Configura i domini OpenSearch di servizio per pubblicare i log su Logs. CloudWatch

Per ulteriori informazioni, consulta Abilitazione della pubblicazione di log (console).

Risorse aggiuntive

Monitoraggio delle metriche dei cluster di OpenSearch servizi con Amazon CloudWatch

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Consigliamo che tutte le istanze DB del cluster DB utilizzino lo stesso gruppo di parametri DB.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

Nota

Quando un'istanza DB o un cluster di database viene interrotto, puoi visualizzare i RDS consigli di Amazon Trusted Advisor per 3-5 giorni. Dopo cinque giorni, i consigli non sono disponibili in Trusted Advisor. Per visualizzare i consigli, apri la RDS console Amazon, quindi scegli Consigli.

Se elimini un'istanza database o un cluster di database, i consigli associati a tali istanze o cluster non sono disponibili nella console Trusted Advisor di RDS gestione Amazon.

ID di controllo

c1qf5bt010

Criteri di avviso

Giallo: i cluster DB hanno le istanze DB con gruppi di parametri eterogenei.

Operazione consigliata

Associate l'istanza DB al gruppo di parametri DB associato all'istanza writer nel vostro cluster DB.

Risorse aggiuntive

Quando le istanze DB del cluster DB utilizzano diversi gruppi di parametri DB, può verificarsi un comportamento incoerente durante un failover o problemi di compatibilità tra le istanze DB del cluster DB.

Per ulteriori informazioni, consulta la sezione Uso di gruppi di parametri.

Colonne del report

Stato
Regione
Risorsa
Valore consigliato
Nome del motore
Ora ultimo aggiornamento

Descrizione

Le risorse del database non hanno attivato Enhanced Monitoring. Il monitoraggio avanzato offre i parametri del sistema operativo in tempo reale per il monitoraggio e la risoluzione dei problemi.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

Nota

Quando un'istanza DB o un cluster di database viene interrotto, puoi visualizzare i RDS consigli di Amazon Trusted Advisor per 3-5 giorni. Dopo cinque giorni, i consigli non sono disponibili in Trusted Advisor. Per visualizzare i consigli, apri la RDS console Amazon, quindi scegli Consigli.

Se elimini un'istanza database o un cluster di database, i consigli associati a tali istanze o cluster non sono disponibili nella console Trusted Advisor di RDS gestione Amazon.

ID di controllo

c1qf5bt004

Criteri di avviso

Giallo: RDS sulle risorse Amazon non è attivato il monitoraggio avanzato.

Operazione consigliata

Attiva il monitoraggio avanzato.

Risorse aggiuntive

Enhanced Monitoring for Amazon RDS offre ulteriore visibilità sullo stato delle tue istanze DB. Ti consigliamo di attivare il monitoraggio avanzato. Quando l'opzione Enhanced Monitoring è attivata per l'istanza DB, raccoglie le metriche fondamentali del sistema operativo e le informazioni di processo.

Per ulteriori informazioni, consulta Monitoraggio delle metriche OS con il monitoraggio avanzato.

Colonne del report

Stato
Regione
Risorsa
Valore consigliato
Nome del motore
Ora ultimo aggiornamento

Descrizione

Amazon RDS Performance Insights monitora il carico dell'istanza DB per aiutarti ad analizzare e risolvere i problemi di prestazioni del database. Ti consigliamo di attivare Performance Insights.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

Nota

Quando un'istanza DB o un cluster di database viene interrotto, puoi visualizzare i RDS consigli di Amazon Trusted Advisor per 3-5 giorni. Dopo cinque giorni, i consigli non sono disponibili in Trusted Advisor. Per visualizzare i consigli, apri la RDS console Amazon, quindi scegli Consigli.

Se elimini un'istanza database o un cluster di database, i consigli associati a tali istanze o cluster non sono disponibili nella console Trusted Advisor di RDS gestione Amazon.

ID di controllo

c1qf5bt012

Criteri di avviso

Giallo: RDS sulle risorse Amazon Performance Insights non è attivato.

Operazione consigliata

Attivare Performance Insights.

Risorse aggiuntive

Performance Insights utilizza un metodo di raccolta dati leggero che non influisce sulle prestazioni delle applicazioni. Performance Insights consente di valutare rapidamente il carico del database.

Per ulteriori informazioni, consulta Monitoraggio del carico del DB con Performance Insights su Amazon RDS.

Colonne del report

Stato
Regione
Risorsa
Valore consigliato
Nome del motore
Ora ultimo aggiornamento

Descrizione

Quando il parametro track_counts è disattivato, il database non raccoglie le statistiche sulle attività del database. La funzione di autovacuum richiede che queste statistiche funzionino correttamente.

Ti consigliamo di impostare il parametro track_counts su 1

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

Nota

Quando un'istanza DB o un cluster di database viene interrotto, puoi visualizzare i RDS consigli di Amazon Trusted Advisor per 3-5 giorni. Dopo cinque giorni, i consigli non sono disponibili in Trusted Advisor. Per visualizzare i consigli, apri la RDS console Amazon, quindi scegli Consigli.

Se elimini un'istanza database o un cluster di database, i consigli associati a tali istanze o cluster non sono disponibili nella console Trusted Advisor di RDS gestione Amazon.

ID di controllo

c1qf5bt027

Criteri di avviso

Giallo: i gruppi di parametri DB hanno il parametro track_counts disattivato.

Operazione consigliata

Imposta il parametro track_counts su 1

Risorse aggiuntive

Quando il parametro track_counts è disattivato, disabilita la raccolta di statistiche sulle attività del database. Il demone autovacuum richiede le statistiche raccolte per identificare le tabelle per autovacuum e autoanalyze.

Per ulteriori informazioni, consulta Runtime Statistics for Postgre sul sito web della documentazione di Postgre. SQL SQL

Colonne del report

Stato
Regione
Risorsa
Valore del parametro
Valore consigliato
Ora ultimo aggiornamento

Descrizione

Controlla se la registrazione dei log di controllo del database è attivata per i cluster di Amazon Redshift. Amazon Redshift registra informazioni su connessioni e attività degli utenti nel database.

Puoi specificare il nome del bucket Amazon S3 di registrazione desiderato in modo che corrisponda nel parametro bucketNamesdelle tue regole. AWS Config

Per ulteriori informazioni, consulta Registrazione dei log di controllo del database.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz134

Origine

AWS Config Managed Rule: redshift-audit-logging-enabled

Criteri di avviso

Giallo: la registrazione dei log di controllo del database di un cluster di Amazon Redshift è disabilitata

Operazione consigliata

Attiva la registrazione dei log e il monitoraggio dei cluster di Amazon Redshift.

Per ulteriori informazioni, consulta Configurazione della verifica tramite la console.

Risorse aggiuntive

Registrazione dei log e monitoraggio su Amazon Redshift

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica la configurazione di registrazione dei bucket Amazon Simple Storage Service.

L'attivazione della registrazione degli accessi al server fornisce log di accesso orari dettagliati a un bucket Amazon S3 specifico. I log di accesso contengono i dettagli della richiesta, tra cui tipo, risorse specificate e data/ora di elaborazione. La registrazione è disattivata per impostazione predefinita. I clienti devono attivare la registrazione degli accessi per eseguire controlli di sicurezza o analizzare il comportamento e i modelli di utilizzo degli utenti.

Quando la registrazione viene inizialmente attivata, la configurazione viene convalidata automaticamente. Tuttavia, le modifiche future possono causare errori di registrazione. Tieni presente che attualmente questo controllo non esamina le autorizzazioni di scrittura del bucket Amazon S3.

ID di controllo

c1fd6b96l4

Criteri di avviso

Giallo: il bucket non ha la registrazione degli accessi al server abilitata.
Giallo: le autorizzazioni del bucket di destinazione non includono l'account root, quindi Trusted Advisor non può controllarlo.
Rosso: il bucket di destinazione non esiste.
Rosso: il bucket di destinazione e di origine hanno proprietari diversi.
Verde: Bucket ha la registrazione degli accessi al server abilitata, la destinazione esiste ed esistono le autorizzazioni per scrivere sulla destinazione

Operazione consigliata

Attiva la registrazione degli accessi al server per tutti i bucket Amazon S3 pertinenti. I log di accesso al server forniscono una pista di controllo che può essere utilizzata per comprendere i modelli di accesso ai bucket e indagare su attività sospette. L'attivazione della registrazione su tutti i bucket applicabili migliorerà la visibilità degli eventi di accesso nel tuo ambiente Amazon S3. Consulta Abilitazione della registrazione tramite la console e Abilitazione della registrazione a livello di programmazione.

Se le autorizzazioni del bucket di destinazione non includono l'account root e desideri che Trusted Advisor verifichi lo stato della registrazione, aggiungi l'account root come beneficiario. Consulta Modifica delle autorizzazioni del bucket.

Se il bucket di destinazione non esiste, seleziona un bucket esistente come destinazione o creane uno nuovo e selezionalo. Consulta Gestione della registrazione del bucket.

Se la destinazione e l'origine hanno proprietari diversi, modifica il bucket di destinazione con uno che abbia lo stesso proprietario del bucket di origine. Consulta Gestione della registrazione del bucket.

Risorse aggiuntive

Lavorare con i bucket

Server access logging (Registrazione degli accessi al server)

Formato del registro di accesso al server

Eliminazione dei file di registro

Colonne del report

Stato
Regione
Risorsa ARN
Bucket Name (Nome bucket)
Nome destinazione
Destinazione esistente
Stesso proprietario
Scrittura abilitata
Motivo
Ora ultimo aggiornamento

Descrizione

Controlla se le Notifiche di eventi di Amazon S3 sono abilitate o se sono configurate correttamente con la destinazione o i tipi desiderati.

La funzionalità di Notifiche di eventi di Amazon S3 invia notifiche quando si verificano determinati eventi nel bucket di Amazon S3. Amazon S3 può inviare messaggi di notifica alle SQS code di Amazon, SNS agli argomenti e alle funzioni di Amazon. AWS Lambda

Puoi specificare la destinazione e i tipi di eventi desiderati utilizzando i eventTypesparametri destinationArne delle tue AWS Config regole.

Per ulteriori informazioni, consulta Notifiche degli eventi di Amazon S3.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz163

Origine

AWS Config Managed Rule: s3-event-notifications-enabled

Criteri di avviso

Giallo: per Amazon S3 le Notifiche degli eventi non sono abilitate o configurate con la destinazione o i tipi desiderati.

Operazione consigliata

Configura le Notifiche di eventi di Amazon S3 per gli eventi relativi a oggetti e bucket.

Per ulteriori informazioni, consulta Attivazione e configurazione delle Notifiche di eventi tramite la console di Amazon S3.

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se SNS sugli argomenti di Amazon è attivata la registrazione dello stato di recapito dei messaggi.

Configura SNS gli argomenti di Amazon per registrare lo stato di consegna dei messaggi per fornire informazioni operative migliori. Ad esempio, la registrazione della consegna dei messaggi verifica se un messaggio è stato recapitato a un particolare endpoint AmazonSNS. La registrazione dei log, inoltre, facilitano l’identificazione della risposta inviata dall'endpoint.

Per ulteriori informazioni, consulta lo stato di consegna dei SNS messaggi di Amazon.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz121

Origine

AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled

Criteri di avviso

Giallo: la registrazione dello stato di recapito dei messaggi non è attivata per un SNS argomento di Amazon.

Operazione consigliata

Attiva la registrazione dello stato di recapito dei messaggi per i tuoi SNS argomenti.

Per ulteriori informazioni, consulta Configurazione della registrazione dello stato di consegna tramite la AWS console di gestione.

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se i log di flusso di Amazon Virtual Private Cloud sono stati creati per unVPC.

Puoi specificare il tipo di traffico utilizzando il trafficTypeparametro nelle tue AWS Config regole.

Per ulteriori informazioni, consulta Registrazione del traffico IP utilizzando VPC Flow Logs.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz122

Origine

AWS Config Managed Rule: vpc-flow-logs-enabled

Criteri di avviso

Giallo: VPCs non dispongono di Amazon VPC Flow Logs.

Operazione consigliata

Crea log VPC di flusso per ognuno dei tuoi. VPCs

Per ulteriori informazioni, consulta Creazione di un log di flusso

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Controlla se in Application Load Balancer e Classic Load Balancer è abilitata la registrazione dei log di accesso.

Elastic Load Balancing fornisce log di accesso che acquisiscono informazioni dettagliate sulle richieste inviate al tuo load balancer. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. Puoi utilizzare questi log per analizzare i modelli di traffico e risolvere i problemi che potresti incontrare.

I log di accesso sono una funzionalità facoltativa di Elastic Load Balancing che per impostazione predefinita è disabilitata. Dopo aver abilitato i log di accesso per il load balancer, Elastic Load Balancing acquisisce i log e li archivia nel bucket Amazon S3 specificato.

Puoi specificare il bucket Amazon S3 del log di accesso che desideri controllare utilizzando il BucketNames parametro s3 nelle tue regole. AWS Config

Per ulteriori informazioni, consulta Log di accesso per Application Load Balancer o Log di accesso per Classic Load Balancer.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz167

Origine

AWS Config Managed Rule: elb-logging-enabled

Criteri di avviso

Giallo: la funzionalità dei log di accesso non è abilitata per Application Load Balancer o Classic Load Balancer.

Operazione consigliata

Abilita i log di accesso per Application Load Balancer e Classic Load Balancer.

Per ulteriori informazioni, consulta Abilitazione dei log di accesso per Application Load Balancer o Abilitazione dei log di accesso per Classic Load Balancer.

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se tutti i tuoi AWS CloudFormation stack utilizzano Amazon SNS per ricevere notifiche quando si verifica un evento.

Puoi configurare questo controllo per cercare SNS argomenti Amazon specifici ARNs utilizzando i parametri nelle tue AWS Config regole.

Per ulteriori informazioni, consulta Impostazione delle opzioni AWS CloudFormation dello stack.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz111

Origine

AWS Config Managed Rule: cloudformation-stack-notification-check

Criteri di avviso

Giallo: le notifiche SNS degli eventi di Amazon per i tuoi AWS CloudFormation stack non sono attivate.

Operazione consigliata

Assicurati che i tuoi AWS CloudFormation stack utilizzino Amazon SNS per ricevere notifiche quando si verifica un evento.

Il monitoraggio degli eventi dello stack ti aiuta a rispondere rapidamente ad azioni non autorizzate che potrebbero alterare il tuo ambiente. AWS

Risorse aggiuntive

Come posso ricevere un avviso e-mail quando il mio AWS CloudFormation stack entra nello ROLLBACK stato _IN_? PROGRESS

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se almeno un AWS CloudTrail trail registra gli eventi relativi ai dati di Amazon S3 per tutti i bucket Amazon S3.

Per ulteriori informazioni, consulta Registrazione delle chiamate Amazon API S3 utilizzando. AWS CloudTrail

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz166

Origine

AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled

Criteri di avviso

Giallo: la registrazione AWS CloudTrail degli eventi per i bucket Amazon S3 non è configurata

Operazione consigliata

Abilita la registrazione CloudTrail degli eventi per i bucket e gli oggetti Amazon S3 per tenere traccia delle richieste di accesso ai bucket di destinazione.

Per ulteriori informazioni, consulta Abilitazione della registrazione CloudTrail degli eventi per i bucket e gli oggetti S3.

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se l'ambiente del AWS CodeBuild progetto utilizza la registrazione. Le opzioni di registrazione possono essere log in Amazon CloudWatch Logs, integrati in uno specifico bucket Amazon S3 o entrambi. L'abilitazione della registrazione in un CodeBuild progetto può offrire diversi vantaggi, come il debug e il controllo.

Puoi specificare il nome del bucket Amazon S3 o del gruppo CloudWatch Logs per l'archiviazione dei log, utilizzando il parametro s3 BucketNames o cloudWatchGroup Names nelle tue regole. AWS Config

Per ulteriori informazioni, consulta Monitoraggio di AWS CodeBuild.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz113

Origine

AWS Config Managed Rule: codebuild-project-logging-enabled

Criteri di avviso

Giallo: la registrazione del AWS CodeBuild progetto non è abilitata.

Operazione consigliata

Assicurati che la registrazione sia attivata nel tuo AWS CodeBuild progetto. Questo controllo non può essere escluso dalla visualizzazione nella AWS Trusted Advisor console.

Per ulteriori informazioni, consulta Accesso e monitoraggio. AWS CodeBuild

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Controlla se il gruppo di istanze implementate è configurato con il rollback automatico dell'implementazione e il monitoraggio dell'implementazione con allarmi collegati. In caso di problemi durante un'implementazione, questa viene ripristinata automaticamente e l'applicazione rimane in uno stato stabile

Per ulteriori informazioni, consulta Ridistribuire e ripristinare una distribuzione con. CodeDeploy

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz114

Origine

AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled

Criteri di avviso

Giallo: il rollback AWS CodeDeploy automatico della distribuzione e il monitoraggio della distribuzione non sono abilitati.

Operazione consigliata

Configura un gruppo di istanze implementate o un'implementazione in modo che venga eseguito automaticamente il rollback quando un'implementazione non riesce o quando viene raggiunta una soglia di monitoraggio specificata.

Configura l'allarme per monitorare varie metriche, come CPU l'utilizzo, l'utilizzo della memoria o il traffico di rete, durante il processo di distribuzione. Se uno di questi parametri supera determinate soglie, si attivano gli allarmi e l'implementazione viene interrotta o ripristinata.

Per informazioni sull'impostazione dei rollback automatici e sulla configurazione degli allarmi per i gruppi di istanze implementate, consulta Configurazione delle opzioni avanzate per un gruppo di istanze implementate.

Risorse aggiuntive

Che cos'è CodeDeploy?

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se il gruppo AWS CodeDeploy di distribuzione per la piattaforma di AWS Lambda elaborazione utilizza la configurazione di all-at-once distribuzione.

Per ridurre il rischio di errori di implementazione delle funzioni CodeDeploy Lambda, è consigliabile utilizzare la configurazione di distribuzione canaria o lineare anziché l'opzione predefinita in cui tutto il traffico viene spostato dalla funzione Lambda originale alla funzione aggiornata contemporaneamente.

Per ulteriori informazioni, consulta Versioni della funzione Lambda e Configurazione dell’implementazione.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz115

Origine

AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled

Criteri di avviso

Giallo: la distribuzione AWS CodeDeploy Lambda utilizza la configurazione di all-at-once distribuzione per spostare tutto il traffico verso le funzioni Lambda aggiornate contemporaneamente.

Operazione consigliata

Usa la configurazione di distribuzione Canary o Linear del gruppo di CodeDeploy distribuzione per la piattaforma di calcolo Lambda.

Risorse aggiuntive

Configurazione della distribuzione

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se un AWS Elastic Beanstalk ambiente è configurato per una reportistica sanitaria avanzata.

La reportistica avanzata sullo stato di Elastic Beanstalk fornisce metriche dettagliate sulle prestazioni, CPU come utilizzo, utilizzo della memoria, traffico di rete e informazioni sullo stato dell'infrastruttura, come il numero di istanze e lo stato del load balancer.

Per ulteriori informazioni, consulta Monitoraggio e report avanzati sull'integrità.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz108

Origine

AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled

Criteri di avviso

Giallo: l'ambiente Elastic Beanstalk non è configurato per i report avanzati sull’integrità

Operazione consigliata

Assicurati che l'ambiente Elastic Beanstalk sia configurato per i report avanzati sull’integrità.

Per ulteriori informazioni, consulta Abilitazione di report avanzati sull’integrità utilizzando la console di Elastic Beanstalk.

Risorse aggiuntive

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Controlla se gli aggiornamenti della piattaforma gestita negli ambienti Elastic Beanstalk e nei modelli di configurazione sono abilitati.

AWS Elastic Beanstalk rilascia regolarmente aggiornamenti della piattaforma per fornire correzioni, aggiornamenti software e nuove funzionalità. Con gli aggiornamenti della piattaforma gestita, Elastic Beanstalk può eseguire automaticamente gli aggiornamenti della piattaforma per nuove patch e versioni secondarie della piattaforma.

Puoi specificare il livello di aggiornamento desiderato nei UpdateLevelparametri delle tue AWS Config regole.

Per ulteriori informazioni, consulta Aggiornamento della versione della piattaforma dell'ambiente Elastic Beanstalk.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz177

Origine

AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled

Criteri di avviso

Giallo: gli aggiornamenti AWS Elastic Beanstalk gestiti della piattaforma non sono configurati affatto, nemmeno a livello secondario o di patch.

Operazione consigliata

Abilita gli aggiornamenti della piattaforma gestita negli ambienti Elastic Beanstalk o configurali a un livello minore o di aggiornamento.

Per ulteriori informazioni, consulta Aggiornamenti della piattaforma gestita.

Risorse aggiuntive

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se Amazon ECS utilizza la versione più recente della piattaforma di AWS Fargate. Per la versione della piattaforma Fargate si intende un determinato ambiente di runtime per l'infrastruttura delle attività Fargate. È una combinazione delle versioni del kernel e del runtime del container. Le nuove versioni della piattaforma vengono rilasciate nel corso dell'evoluzione dell'ambiente di runtime. Ad esempio, se sono disponibili aggiornamenti del kernel o del sistema operativo, nuove funzionalità, correzioni di bug o aggiornamenti di sicurezza.

Per ulteriori informazioni, consulta Manutenzione delle attività Fargate.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz174

Origine

AWS Config Managed Rule: ecs-fargate-latest-platform-version

Criteri di avviso

Giallo: Amazon ECS non funziona sulla versione più recente della piattaforma Fargate.

Operazione consigliata

Esegui l’aggiornamento alla versione della piattaforma Fargate più recente.

Per ulteriori informazioni, consulta Manutenzione delle attività Fargate.

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se lo stato di conformità dell' AWS Systems Manager associazione è COMPLIANT o NON _ COMPLIANT dopo l'esecuzione dell'associazione sull'istanza.

State Manager, una funzionalità di AWS Systems Manager, è un servizio di gestione della configurazione sicuro e scalabile che automatizza il processo di mantenimento dei nodi gestiti e AWS delle altre risorse in uno stato definito dall'utente. Un'associazione State Manager è una configurazione che si assegna alle risorse. AWS La configurazione definisce lo stato che desideri mantenere sulle tue risorse, quindi ti aiuta a raggiungere l'obiettivo, ad esempio evitare variazioni di configurazione tra le tue istanze Amazon. EC2

Per ulteriori informazioni, consulta State Manager AWS Systems Manager.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz147

Origine

AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check

Criteri di avviso

Giallo: lo stato di conformità dell' AWS Systems Manager associazione è _. NON COMPLIANT

Operazione consigliata

Convalida lo stato delle associazioni State Manager, quindi intraprendi le azioni necessarie per ripristinare lo stato. COMPLIANT

Per ulteriori informazioni, consulta Informazioni su State Manager.

Risorse aggiuntive

AWS Systems Manager Direttore dello Stato

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se i AWS CloudTrail trail sono configurati per inviare log a CloudWatch Logs.

Monitora i file di CloudTrail registro con CloudWatch Logs per attivare una risposta automatica quando vengono acquisiti eventi critici. AWS CloudTrail

Per ulteriori informazioni, vedere Monitoraggio dei file di CloudTrail registro con i CloudWatch registri.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz164

Origine

AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled

Criteri di avviso

Giallo: non AWS CloudTrail è configurato con l'integrazione CloudWatch Logs.

Operazione consigliata

Configura i CloudTrail percorsi per inviare gli eventi di registro ai CloudWatch registri.

Per ulteriori informazioni, consulta Creazione di CloudWatch allarmi per CloudTrail eventi: esempi.

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Controlla se la protezione dall’eliminazione è attivata per i sistemi di bilanciamento del carico.

Elastic Load Balancing supporta la protezione dall’eliminazione per Application Load Balancer, Network Load Balancer e Gateway Load Balancer. Per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente, abilita la protezione dall’eliminazione. La protezione dall’eliminazione è disattivata per impostazione predefinita quando crei un sistema di bilanciamento del carico. Se i tuoi sistemi di bilanciamento del carico fanno parte di un ambiente di produzione, valuta l’opportunità di attivare la protezione dall’eliminazione.

I log di accesso sono una funzionalità facoltativa di Elastic Load Balancing che per impostazione predefinita è disabilitata. Dopo aver abilitato i log di accesso per il load balancer, Elastic Load Balancing acquisisce i log e li archivia nel bucket Amazon S3 specificato.

Per ulteriori informazioni, consulta Protezione dall’eliminazione di Application Load Balancer, Protezione dall’eliminazione di Network Load Balancer o Protezione dall’eliminazione di Gateway Load Balancer.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz168

Origine

AWS Config Managed Rule: elb-deletion-protection-enabled

Criteri di avviso

Giallo: la protezione dall’eliminazione non è abilitata per un sistema di bilanciamento del carico.

Operazione consigliata

Attiva la protezione dall’eliminazione per Application Load Balancer, Network Load Balancer e Gateway Load Balancer.

Per ulteriori informazioni, consulta Protezione dall’eliminazione di Application Load Balancer, Protezione dall’eliminazione di Network Load Balancer o Protezione dall’eliminazione di Gateway Load Balancer.

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se i tuoi cluster Amazon RDS DB hanno la protezione da eliminazione abilitata.

Quando è configurata la protezione dall’eliminazione in un cluster, il database non può essere eliminato da un utente.

La protezione da eliminazione è disponibile per Amazon Aurora e RDS per MySQL, per RDS MariaDB, per Oracle, RDS per Postgre e per le istanze RDS di database Server in tutte le SQL regioni. RDS SQL AWS

Per ulteriori informazioni, consulta Protezione dall’eliminazione per i cluster di Aurora.

ID di controllo

c18d2gz160

Origine

AWS Config Managed Rule: rds-cluster-deletion-protection-enabled

Criteri di avviso

Giallo: hai cluster Amazon RDS DB che non hanno la protezione da eliminazione abilitata.

Operazione consigliata

Attiva la protezione da eliminazione quando crei un cluster Amazon RDS DB.

Puoi eliminare solo i cluster per cui non è abilitata la protezione dall'eliminazione. L'attivazione della protezione dall’eliminazione aggiunge un ulteriore livello di protezione ed evita la perdita di dati dovuta all'eliminazione accidentale o non accidentale di un'istanza del database. La protezione dall'eliminazione contribuisce anche a soddisfare i requisiti di conformità normativa e a garantire la continuità aziendale.

Per ulteriori informazioni, consulta Protezione dall’eliminazione per i cluster di Aurora.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

Risorse aggiuntive

Protezione dall'eliminazione per i cluster di Aurora

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Descrizione

Verifica se nelle istanze Amazon RDS DB sono configurati aggiornamenti automatici delle versioni secondarie.

Attiva gli aggiornamenti automatici delle versioni secondarie per un'RDSistanza Amazon per assicurarti che sul database sia sempre in esecuzione l'ultima versione sicura e stabile. Gli aggiornamenti secondari forniscono aggiornamenti di sicurezza, correzioni di bug, miglioramenti delle prestazioni e mantengono la compatibilità con le applicazioni esistenti.

Per ulteriori informazioni, consulta Aggiornamento di una versione del motore delle istanze DB.

Nota

I risultati di questo controllo vengono aggiornati automaticamente più volte al giorno e le richieste di aggiornamento non sono consentite. Potrebbero essere necessarie alcune ore prima che le modifiche vengano visualizzate. Al momento, non è possibile escludere le risorse da questo controllo.

ID di controllo

c18d2gz155

Origine

AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled

Criteri di avviso

Giallo: sull'istanza RDS DB non sono attivati gli aggiornamenti automatici delle versioni secondarie.

Operazione consigliata

Attiva gli aggiornamenti automatici delle versioni secondarie quando crei un'istanza Amazon RDS DB.

Quando attivi l'aggiornamento della versione secondaria, la versione del database viene aggiornata automaticamente se esegue una versione secondaria del motore DB inferiore alla versione del motore aggiornata manualmente.

Colonne del report

Stato
Regione
Risorsa
AWS Config Regola
Parametri di input
Ora ultimo aggiornamento

Controlla i nomi

Amazon API Gateway non registra i log di esecuzione

Nota

Amazon API Gateway REST APIs senza tracciamento a raggi X abilitato

Nota

Amazon CloudFront Access Log configurato

Nota

L'azione CloudWatch di Amazon Alarm è disabilitata

Nota

EC2Istanza Amazon non gestita da AWS Systems Manager

Nota

ECRRepository Amazon con immutabilità dei tag disabilitata

Nota

ECSCluster Amazon con Container Insights disabilitati

Nota

La registrazione ECS delle attività di Amazon non è abilitata

Nota

Registrazione OpenSearch del servizio Amazon CloudWatch non configurata

Nota

Istanze Amazon RDS DB nei cluster con gruppi di parametri eterogenei

Nota

Nota

Amazon RDS Enhanced Monitoring è disattivato

Nota

Nota

Amazon RDS Performance Insights è disattivato

Nota

Nota

Il parametro Amazon RDS track_counts è disattivato

Nota

Nota

Registrazione dei log di controllo del cluster di Amazon Redshift

Nota

Registri di accesso Amazon S3 abilitati

Per Amazon S3 non sono abilitate le Notifiche di eventi

Nota

Amazon SNS Topics non registra lo stato di consegna dei messaggi

Nota

Amazon VPC senza log di flusso

Nota

Application Load Balancer e Classic Load Balancer senza log di accesso abilitati

Nota

AWS CloudFormation Notifica Stack

Nota

AWS CloudTrail registrazione degli eventi relativi ai dati per gli oggetti in un bucket S3

Nota

AWS CodeBuild Registrazione del progetto

Nota

AWS CodeDeploy Rollback e monitoraggio automatici abilitati

Nota

AWS CodeDeploy Lambda utilizza all-at-once la configurazione di distribuzione

Nota

AWS Elastic Beanstalk Enhanced Health Reporting non è configurato

Nota

AWS Elastic Beanstalk con gli aggiornamenti gestiti della piattaforma disattivati

Nota

AWS Fargate la versione della piattaforma non è la più recente

Nota

AWS Systems Manager State Manager Association in stato di non conformità

Nota

CloudTrail i trail non sono configurati con Amazon CloudWatch Logs

Nota

Protezione dall’eliminazione Elastic Load Balancing non abilitata per i sistemi di bilanciamento del carico

Nota

RDSControllo della protezione dall'eliminazione del cluster DB

Nota

RDSControllo automatico dell'aggiornamento delle versioni secondarie dell'istanza DB

Nota