運用上の優秀性

PDFRSS

運用上の優秀性のカテゴリに次のチェックを使用できます。

チェック名

• Amazon API Gateway が実行ログを記録しない

• X-Ray トレースが有効になっていない Amazon API Gateway の REST API

• Amazon CloudFront のアクセスログの設定

• Amazon CloudWatch アラームアクションが無効になっている

• によって管理されていない Amazon EC2 インスタンス AWS Systems Manager

• タグの不変性が無効になっている Amazon ECR リポジトリ

• Container Insights が無効の Amazon ECS クラスター

• Amazon ECS タスクのログ記録が有効になっていない

• CloudWatch のログ記録が設定されていない Amazon OpenSearch Service

• 異種のパラメータグループを持つクラスター内の Amazon RDS DB インスタンス

• Amazon RDS 拡張モニタリングは無効になっています

• Amazon RDS Performance Insights は無効になっています

• Amazon RDS の track_counts パラメータは無効になっています

• Amazon Redshift クラスター監査ログ

• Amazon S3 アクセスログの有効化

• Amazon S3 でイベント通知が有効になっていない

• Amazon SNS トピックがメッセージ配信ステータスのログを記録しない

• フローログがない Amazon VPC

• アクセスログが有効になっていない Application Load Balancer および Classic Load Balancer

• AWS CloudFormation スタック通知

• AWS CloudTrail S3 バケット内のオブジェクトのデータイベントのログ記録

• AWS CodeBuild プロジェクトのログ記録

• AWS CodeDeploy 自動ロールバックとモニターの有効化

• AWS CodeDeploy Lambda はall-at-onceデプロイ設定を使用しています

• AWS Elastic Beanstalk 拡張ヘルスレポートが設定されていない

• AWS Elastic Beanstalk マネージドプラットフォームの更新が無効になっている

• AWS Fargate プラットフォームバージョンが最新ではない

• AWS Systems Manager 非準拠ステータスのステートマネージャーの関連付け

• CloudTrail 証跡が、Amazon CloudWatch Logs で設定されていない

• ロードバランサーの Elastic Load Balancing 削除保護が有効になっていない

• RDS DB クラスター削除保護チェック

• RDS DB インスタンスのマイナーバージョン自動アップグレードチェック

Amazon API Gateway が実行ログを記録しない

説明

Amazon API Gateway で CloudWatch Logs が該当するログ記録レベルでオンになっているかどうかを確認します。

Amazon API Gateway の REST API メソッドまたは WebSocket API ルートの CloudWatch ログ記録を有効にして、API が受信したリクエストの実行ログを CloudWatch Logs に収集します。実行ログに含まれる情報は、API に関連する問題の特定やトラブルシューティングに役立ちます。

ルールの loggingLevel パラメータでログ記録レベル (ERROR、INFO) ID を指定できます AWS Config 。

Amazon API Gateway の CloudWatch ログ記録の詳細については、REST API または WebSocket API ドキュメントを参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz125

ソース

AWS Config Managed Rule: api-gw-execution-logging-enabled

アラート条件

黄: 実行ログを収集する CloudWatch ログ記録の設定が、Amazon API Gateway に該当するログ記録レベルで有効になっていません。

[Recommended Action] (推奨されるアクション)

Amazon API Gateway REST API または WebSocket API における実行ログの CloudWatch ログ記録を適切なログ記録レベル (ERROR、INFO) で有効にします。

詳細については、「フローログの作成」を参照してください。

その他のリソース

• API Gateway での CloudWatch による REST API のログの設定

• WebSocket API のログ記録の設定

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

X-Ray トレースが有効になっていない Amazon API Gateway の REST API

説明

Amazon API Gateway REST APIs AWS X-Ray トレースが有効になっているかどうかを確認します。

REST API の X-Ray トレースを有効にして、API Gateway がトレース情報を含む API 呼び出しリクエストをサンプリングできるようにします。これにより、API Gateway REST API を介してダウンストリームサービスに移動するリクエスト AWS X-Ray を で追跡 APIs および分析できます。

詳細については、「X-Ray を使用した REST API へのユーザーリクエストのトレース」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c18d2gz126

ソース

AWS Config Managed Rule: api-gw-xray-enabled

アラート条件

黄: API Gateway の REST API で X-Ray トレースが有効になっていません。

[Recommended Action] (推奨されるアクション)

API Gateway の REST API で X-Ray トレースを有効にします。

詳細については、「API Gateway REST API AWS X-Ray でのセットアップ APIs」を参照してください。

その他のリソース

• X-Ray を使用した REST API へのユーザーリクエストのトレース

• とは AWS X-Ray

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

Amazon CloudFront のアクセスログの設定

説明

Amazon CloudFront ディストリビューションが、Amazon S3 サーバーアクセスログから情報をキャプチャするように設定されているかどうかを確認します。Amazon S3 サーバーのアクセスログには、CloudFront が受信するすべてのユーザーリクエストに関する詳細情報が含まれています。

AWS Config ルールの Amazon S3 S3BucketName バケットの名前を調整できます。

詳細については、「標準ログ (アクセスログ) の設定および使用」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz110

ソース

AWS Config Managed Rule: cloudfront-accesslogs-enabled

アラート条件

黄: Amazon CloudFront のアクセスログが有効になっていません。

[Recommended Action] (推奨されるアクション)

CloudFront が受信するすべてのユーザーリクエストに関する詳細情報を取得できるように、CloudFront のアクセスログ記録を有効にしてください。

ディストリビューションを作成または更新するとき、標準ログをオンにできます。

詳細については、「ディストリビューションを作成または更新する場合に指定する値」を参照してください。

その他のリソース

• ディストリビューションを作成または更新する場合に指定する値

• 標準ログ (アクセスログ) の設定および使用

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

Amazon CloudWatch アラームアクションが無効になっている

説明

Amazon CloudWatch のアラームアクションが無効状態であるかどうかを確認します。

を使用して AWS CLI 、アラームのアクション機能を有効または無効にできます。または、 AWS SDK を使用してアクション機能をプログラムで無効化または有効化できます。アラームアクション機能がオフになっている場合、CloudWatch はどの状態 (OK、INSUFFICIENT_DATA、ALARM) の定義済みアクションでも実行しません。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c18d2gz109

ソース

AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check

アラート条件

黄: Amazon CloudWatch のアラームアクションが有効になっていません。どのアラーム状態でもアクションが実行されません。

[Recommended Action] (推奨されるアクション)

テスト目的など、アクションを無効にする正当な理由がない限り、CloudWatch アラームのアクションを有効にしてください。

CloudWatch アラームが必要なくなった場合は、不要なコストの発生を抑えるため削除してください。

詳細については、 AWS CLI 「 コマンドリファレンス」のenable-alarm-actions」および AWS 「 SDK for Go API リファレンス」の「func (*CloudWatch) EnableAlarmActions」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

によって管理されていない Amazon EC2 インスタンス AWS Systems Manager

説明

アカウント内の Amazon EC2 インスタンスが によって管理されているかどうかを確認します AWS Systems Manager。

Systems Manager は、Amazon EC2 インスタンスと OS 設定の現在の状態を把握し、制御するのに役立ちます。Systems Manager を使用すると、インスタンスのフリートに関するソフトウェア設定とインベントリ情報 (インスタンスにインストールされているソフトウェアを含む) を収集できます。これにより、詳細なシステム設定、OS パッチレベル、アプリケーション設定、デプロイに関するその他の詳細を追跡することができます。

詳細については、「Systems Manager の EC2 インスタンスのセットアップ」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz145

ソース

AWS Config Managed Rule: ec2-instance-managed-by-systems-manager

アラート条件

黄: Amazon EC2 インスタンスが Systems Manager によって管理されていません。

[Recommended Action] (推奨されるアクション)

Amazon EC2 インスタンス が Systems Manager によって管理されるように設定します。

このチェックは、 Trusted Advisor コンソールのビューから除外することはできません。

詳細については、「Systems Manager で EC2 インスタンスがマネージドノードとして表示されない、または 「接続が失われました」というステータスが表示されるのはなぜですか?」を参照してください。

その他のリソース

Systems Manager の EC2 インスタンスのセットアップ

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

タグの不変性が無効になっている Amazon ECR リポジトリ

説明

プライベート Amazon ECR リポジトリでイメージタグの不変性が有効になっているかどうかを確認します。

プライベート Amazon ECR リポジトリのイメージタグの不変性を有効にして、イメージタグが上書きされるのを防ぎます。これにより、イメージを追跡して一意に識別する信頼できるメカニズムとして、説明タグを使用できます。例えば、イメージタグの不変性がオンになっている場合、ユーザーはイメージタグを使用して、デプロイされたイメージバージョンと、そのイメージを生成したビルドを確実に関連付けることができます。

詳細については、「イメージタグの変更可能性」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c18d2gz129

ソース

AWS Config Managed Rule: ecr-private-tag-immutability-enabled

アラート条件

黄: Amazon ECR プライベートリポジトリでタグの不変性が有効になっていません。

[Recommended Action] (推奨されるアクション)

Amazon ECR プライベートリポジトリでイメージタグの不変性を有効にしてください。

詳細については、「イメージタグの変更可能性」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

Container Insights が無効の Amazon ECS クラスター

説明

Amazon ECS クラスターで Amazon CloudWatch Container Insights が有効になっているかどうかを確認します。

CloudWatch Container Insights は、コンテナ化されたアプリケーションとマイクロサービスのメトリクスとログを収集、集約、要約します。このメトリクスには、CPU、メモリ、ディスク、ネットワークなどのリソース使用率が含まれます。

詳細については、「Amazon ECS CloudWatch コンテナインサイト」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz173

ソース

AWS Config Managed Rule: ecs-container-insights-enabled

アラート条件

黄: Amazon ECS クラスターで Container Insights が有効になっていません。

[Recommended Action] (推奨されるアクション)

Amazon ECS クラスターで CloudWatch Container Insights を有効にしてください。

詳細については、「Container Insights の使用」を参照してください。

その他のリソース

Amazon ECS CloudWatch コンテナインサイト

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

Amazon ECS タスクのログ記録が有効になっていない

説明

アクティブな Amazon ECS タスク定義に、ログ設定がセットアップされているかどうかを確認します。

Amazon ECS タスク定義のログ設定を確認することで、コンテナによって生成されたログが適切に設定され、保存されていることを確認することができます。これにより、より迅速に問題を特定してトラブルシューティングすることができ、パフォーマンスを最適化して、コンプライアンス要件を満たすことができます。

デフォルトでは、コンテナをローカルに実行した場合、キャプチャされるログは通常インタラクティブターミナルにコマンド出力を表示します。awslogs ドライバーは、これらのログを Docker から Amazon CloudWatch Logs に渡します。

詳細については、「awslogs ログドライバーを使用する」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz175

ソース

AWS Config Managed Rule: ecs-task-definition-log-configuration

アラート条件

黄: Amazon ECS のタスク定義にログ設定がありません。

[Recommended Action] (推奨されるアクション)

CloudWatch Logs または別のログ記録ドライバーにログ情報を送信するために、コンテナ定義でログドライバー設定を指定することを検討してください。

詳細については、「LogConfiguration」を参照してください。

その他のリソース

CloudWatch Logs または別のログ記録ドライバーにログ情報を送信するために、コンテナ定義でログドライバー設定を指定することを検討してください。

詳細については、「タスク定義の例」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

CloudWatch のログ記録が設定されていない Amazon OpenSearch Service

説明

Amazon OpenSearch Service ドメインが、Amazon CloudWatch Logs にログを送信するように設定されているかどうかを確認します。

ログのモニタリングは、OpenSearch Service の信頼性、可用性、パフォーマンスを維持する上で非常に重要です。

検索スローログ、インデックス作成スローログ、およびエラーログは、ワークロードのパフォーマンスや安定性の問題をトラブルシューティングするのに役立ちます。これらのログを有効にしてデータをキャプチャする必要があります。

AWS Config ルールの logTypes パラメータを使用して、フィルタリングするログタイプ (エラー、検索、インデックス) を指定できます。

詳細については、「Amazon OpenSearch Service ドメインのモニタリング」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c18d2gz184

ソース

AWS Config Managed Rule: opensearch-logs-to-cloudwatch

アラート条件

黄: Amazon OpenSearch Service に Amazon CloudWatch Logs によるログ設定がありません

[Recommended Action] (推奨されるアクション)

CloudWatch Logs にログを発行するように OpenSearch Service ドメインを設定してください。

詳細については、「ログ発行を有効にする (コンソール)」を参照してください。

その他のリソース

• Amazon CloudWatch を用いた OpenSearch クラスターメトリクスのモニタリング

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

異種のパラメータグループを持つクラスター内の Amazon RDS DB インスタンス

説明

DB クラスター内のすべての DB インスタンスが同じ DB パラメータグループを使用することをお勧めします。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

注記

DB インスタンスまたは DB クラスターが停止すると、 で Amazon RDS の推奨事項を Trusted Advisor 3 ～ 5 日間表示できます。5 日後、レコメンデーションは では使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。

チェック ID

c1qf5bt010

アラート条件

黄色: DB クラスターには、異種のパラメータグループを持つ DB インスタンスがあります。

[Recommended Action] (推奨されるアクション)

DB インスタンスを、DB クラスター内のライターインスタンスに関連付けられた DB パラメータグループに、関連付けます。

その他のリソース

DB クラスター内の DB インスタンスが異なる DB パラメータグループを使用している場合、フェイルオーバー時に動作が一貫しなかったり、DB クラスター内の DB インスタンス間の互換性の問題が発生したりする可能性があります。

詳細については、「パラメータグループの操作」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• 推奨値

• エンジン名

• 最終更新日時

Amazon RDS 拡張モニタリングは無効になっています

説明

データベースリソースでは拡張モニタリングが有効になっていません。拡張モニタリングにより、モニタリングとトラブルシューティングのためのリアルタイムのオペレーティングシステムメトリクスが提供されます。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

注記

DB インスタンスまたは DB クラスターが停止すると、 で Amazon RDS の推奨事項を Trusted Advisor 3 ～ 5 日間表示できます。5 日後、レコメンデーションは では使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。

チェック ID

c1qf5bt004

アラート条件

黄色: Amazon RDS リソースでは拡張モニタリングが有効になっていません。

[Recommended Action] (推奨されるアクション)

Enhanced monitoring] を有効にします。

その他のリソース

Amazon RDS 拡張モニタリングにより、DB インスタンスの状態を可視化しやすくします。拡張モニタリングを有効にすることをお勧めします。DB インスタンスで拡張モニタリングオプションを有効にすると、重要なオペレーティングシステムメトリクスとプロセス情報が収集されます。

詳細については、「拡張モニタリングを使用した OS メトリクスのモニタリング」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• 推奨値

• エンジン名

• 最終更新日時

Amazon RDS Performance Insights は無効になっています

説明

Amazon RDS Performance Insights では、DB インスタンスの負荷をモニタリングし、データベースパフォーマンスの問題の分析と解決をサポートします。Performance Insights を有効にすることをお勧めします。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

注記

DB インスタンスまたは DB クラスターが停止すると、 で Amazon RDS の推奨事項を Trusted Advisor 3 ～ 5 日間表示できます。5 日後、レコメンデーションは では使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。

チェック ID

c1qf5bt012

アラート条件

黄色: Amazon RDS リソースでは Performance Insights が有効になっていません。

[Recommended Action] (推奨されるアクション)

Performance Insights をオンにします。

その他のリソース

Performance Insights では、アプリケーションのパフォーマンスに影響を与えない軽量なデータ収集方法を使用しています。Performance Insights は、データベースの負荷を迅速に評価することができます。

詳細については、「Amazon RDS での Performance Insights を使用したDB 負荷のモニタリング」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• 推奨値

• エンジン名

• 最終更新日時

Amazon RDS の track_counts パラメータは無効になっています

説明

track_counts パラメータが無効の場合、データベースはデータベースアクティビティ統計を収集しません。自動バキュームでは、これらの統計が正しく機能する必要があります。

track_counts パラメータを 1 に設定することをお勧めします。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

注記

DB インスタンスまたは DB クラスターが停止すると、 で Amazon RDS の推奨事項を Trusted Advisor 3 ～ 5 日間表示できます。5 日後、レコメンデーションは では使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。

チェック ID

c1qf5bt027

アラート条件

黄色: DB パラメータグループの track_counts パラメータは無効になっています。

[Recommended Action] (推奨されるアクション)

track_counts パラメーターを 1 に設定します。

その他のリソース

track_counts パラメータが無効の場合、データベースアクティビティ統計の収集が無効になります。自動バキュームデーモンは、自動バキューム処理と自動分析の対象となるテーブルを識別するために、収集した統計情報を必要とします。

詳細については、PostgreSQL のドキュメント Web サイトで「PostgreSQL のランタイム統計」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• パラメータ値

• 推奨値

• 最終更新日時

Amazon Redshift クラスター監査ログ

説明

Amazon Redshift クラスターでデータベース監査ログが有効になっているかどうかを確認します。Amazon Redshift は、データベースの接続とユーザーアクティビティに関する情報を記録します。

AWS Config ルールの bucketNames パラメータで、一致するログ記録 Amazon S3 バケット名を指定できます。

詳細については、「データベース監査ログ作成」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c18d2gz134

ソース

AWS Config Managed Rule: redshift-audit-logging-enabled

アラート条件

黄: Amazon Redshift クラスターのデータベース監査ログが無効になっています

[Recommended Action] (推奨されるアクション)

Amazon Redshift クラスターのログ記録とモニタリングを有効化してください。

詳細については、「コンソールを使用して監査を設定する」を参照してください。

その他のリソース

Amazon Redshift でのログ作成とモニタリング

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

Amazon S3 アクセスログの有効化

説明

Amazon Simple Storage Service バケットのログ記録設定を確認します。

サーバーアクセスログ記録を有効にすると、指定した Amazon S3 バケットに詳細なアクセスログが 1 時間ごとに提供されます。アクセスログには、タイプ、指定されたリソース、処理日時などのリクエストの詳細が含まれます。デフォルトでは、ログは無効化されています。お客様は、セキュリティ監査を実行したり、ユーザーの行動と使用パターンを分析したりするために、アクセスログを有効にする必要があります。

ログ記録が最初にアクティブ化されると、設定は自動的に検証されます。ただし、今後の変更により、ログが失敗する可能性があります。現在、このチェックでは Amazon S3 バケットの書き込みアクセス許可は調べられません。

チェック ID

c1fd6b96l4

アラート条件

• 黄: バケットでサーバーアクセスのログ記録が有効になっていません。

• 黄: ターゲットバケットの許可にルートアカウントが含まれていないため、 Trusted Advisor は確認できません。

• 赤: ターゲットバケットが存在しません。

• 赤: ターゲットバケットとソースバケットの所有者が異なります。

• 緑: バケットでサーバーアクセスのログ記録が有効になっていて、ターゲットが存在し、ターゲットに書き込むアクセス許可が存在する

[Recommended Action] (推奨されるアクション)

関連するすべての Amazon S3 バケットのサーバーアクセスログ記録を有効にします。サーバーアクセスログは、バケットのアクセスパターンを理解し、疑わしいアクティビティを調査するために使用できる監査証跡を提供します。該当するすべてのバケットでログ記録を有効にすると、Amazon S3 環境全体のアクセスイベントの可視性が向上します。「Enabling Logging Using the Console」(コンソールを使用してログ記録を有効にする) および「Enabling Logging Programmatically」(プログラムを使用してログ記録を有効にする) を参照してください。

ターゲットバケットの許可にルートアカウントが含まれておらず、 Trusted Advisor にログ記録ステータスを確認させる場合は、ルートアカウントを被付与者として追加します。「Editing Bucket Permissions」(バケット許可の編集) を参照してください。

ターゲットバケットが存在しない場合は、既存のバケットをターゲットとして選択するか、新しいバケットを作成して選択します。「Managing Bucket Logging」(バケットのログ記録の管理) を参照してください。

ターゲットとソースの所有者が異なる場合は、ターゲットバケットを、ソースバケットと同じ所有者を持つバケットに変更します。「Managing Bucket Logging」(バケットのログ記録の管理) を参照してください。

その他のリソース

バケットの使用

サーバーアクセスのログ記録

サーバーアクセスログ形式

ログファイルの削除

[Report columns] (レポート列)

• ステータス

• リージョン

• リソースARN

• バケット名

• ターゲット名

• ターゲットが存在

• 同じ所有者

• 書き込み有効

• 理由

• 最終更新日時

Amazon S3 でイベント通知が有効になっていない

説明

Amazon S3 イベント通知が有効になっているかどうか、目的の送信先またはタイプで正しく設定されているかどうかを確認します。

Amazon S3 イベント通知機能では、S3 バケットで特定のイベントが発生したときに通知を送信します。Amazon S3 はAmazon SQSキュー、Amazon SNS トピック、および AWS Lambda 関数に通知メッセージを送信できます。

AWS Config ルールの destinationArn パラメータと eventTypes パラメータを使用して、目的の宛先とイベントタイプを指定できます。 eventTypes

詳細については、「Amazon S3 イベント通知」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c18d2gz163

ソース

AWS Config Managed Rule: s3-event-notifications-enabled

アラート条件

黄: Amazon S3 でイベント通知が有効になっていないか、目的の送信先またはタイプが設定されていません。

[Recommended Action] (推奨されるアクション)

オブジェクトイベントとバケットイベントに対して Amazon S3 イベント通知を設定します。

詳細については、「Amazon S3 コンソールを使用したイベント通知の有効化と設定」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

Amazon SNS トピックがメッセージ配信ステータスのログを記録しない

説明

Amazon SNS トピックでメッセージ配信ステータスのログ記録が有効になっているかどうかを確認します。

メッセージ配信ステータスのログを記録する Amazon SNS トピックを設定して、運用上のインサイトをより的確に把握できるようにします。例えば、メッセージ配信ログ記録でメッセージが特定の Amazon SNS エンドポイントに配信されたかどうかを検証します。また、エンドポイントから送信された応答を識別するのにも役立ちます。

詳細については、「メッセージの配信ステータスの Amazon SNS アプリケーション属性を使用する」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c18d2gz121

ソース

AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled

アラート条件

黄: Amazon SNS トピックのメッセージ配信ステータスログ記録が有効になっていません。

[Recommended Action] (推奨されるアクション)

SNS トピックのメッセージ配信ステータスログ記録を有効にしてください。

詳細については、「AWS Management Console を使用した配信ステータスのログ記録を設定する」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

フローログがない Amazon VPC

説明

Amazon Virtual Private Cloud フローログが VPC に対して作成されているかどうかを確認します。

AWS Config ルールの trafficType パラメータを使用してトラフィックタイプを指定できます。

詳細については、「VPC フローログを使用した IP トラフィックのログ記録」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz122

ソース

AWS Config Managed Rule: vpc-flow-logs-enabled

アラート条件

黄: VPC に Amazon VPC フローログがありません。

[Recommended Action] (推奨されるアクション)

VPC ごとに VPC フローログを作成してください。

詳細については、「フローログの作成」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

アクセスログが有効になっていない Application Load Balancer および Classic Load Balancer

説明

Application Load Balancer と Classic Load Balancer でアクセスログ記録が有効になっているかどうかを確認します。

Elastic Load Balancing は、ロードバランサーに送信されるリクエストに関する詳細情報をキャプチャしたアクセスログを提供します。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。これらのアクセスログを使用して、トラフィックパターンを分析し、問題のトラブルシューティングを行えます。

アクセスログの作成は、Elastic Load Balancing のオプション機能であり、デフォルトでは無効化されています。ロードバランサーのアクセスログの作成を有効にすると、Elastic Load Balancing はログをキャプチャし、そのログを指定した Amazon S3 バケット内に保存します。

AWS Config ルールの Amazon S3s3BucketNames バケットを指定できます。

詳細については、「Application Load Balancer のアクセスログ」または「Access logs for your Classic Load Balancer」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz167

ソース

AWS Config Managed Rule: elb-logging-enabled

アラート条件

黄: Application Load Balancer または Classic Load Balancer に対して、アクセスログ機能が有効になっていません。

[Recommended Action] (推奨されるアクション)

Application Load Balancer および Classic Load Balancer のアクセスログを有効にしてください。

詳細については、「Application Load Balancer のアクセスログを有効にする」または「Enable access logs for your Classic Load Balancer」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS CloudFormation スタック通知

説明

イベントが発生したときに、すべての AWS CloudFormation スタックが Amazon SNS を使用して通知を受信するかどうかを確認します。

AWS Config ルールのパラメータを使用して、特定の Amazon SNS トピック ARNs を検索するようにこのチェックを設定できます。

詳細については、AWS CloudFormation「スタックオプションの設定」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外できます。

チェック ID

c18d2gz111

ソース

AWS Config Managed Rule: cloudformation-stack-notification-check

アラート条件

黄: スタックの Amazon SNS イベント通知はオンになっていません。 AWS CloudFormation

[Recommended Action] (推奨されるアクション)

イベントが発生したときに AWS CloudFormation 、スタックが Amazon SNS を使用して通知を受信していることを確認します。

スタックイベントをモニタリングすることで、 AWS 環境を変更する可能性のある不正なアクションに迅速に対応できます。

その他のリソース

AWS CloudFormation スタックが ROLLBACK_IN_PROGRESS ステータスになったときにメールアラートを受信するにはどうすればよいですか?

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS CloudTrail S3 バケット内のオブジェクトのデータイベントのログ記録

説明

少なくとも 1 つの AWS CloudTrail 証跡がすべての Amazon S3 バケットの Amazon S3 データイベントをログに記録するかどうかを確認します。

詳細については、「AWS CloudTrailを使用した Amazon S3 API コールのログ記録」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz166

ソース

AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled

アラート条件

Amazon S3 バケットの黄： AWS CloudTrail イベントログ記録が設定されていません

[Recommended Action] (推奨されるアクション)

Amazon S3 バケットとオブジェクトの CloudTrail イベントログ記録を有効にして、ターゲットバケットへのアクセスリクエストを追跡してください。

詳細については、S3 バケットとオブジェクトの CloudTrail イベントログ記録の有効化を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS CodeBuild プロジェクトのログ記録

説明

AWS CodeBuild プロジェクト環境がログ記録を使用しているかどうかを確認します。ログ記録オプションは、Amazon CloudWatch Logs 内のログ、指定した Amazon S3 バケットでビルドされたログ、またはその両方のログとすることができます。CodeBuild プロジェクトでログ記録を有効にすると、デバッグや監査など、いくつかのメリットが得られます。

AWS Config ルールで sAmazon S3cloudWatchGroupNamesグループの名前を指定できます。 CloudWatch s3BucketNames

詳細については、「 のモニタリング AWS CodeBuild」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz113

ソース

AWS Config Managed Rule: codebuild-project-logging-enabled

アラート条件

黄: AWS CodeBuild プロジェクトのログ記録が有効になっていません。

[Recommended Action] (推奨されるアクション)

AWS CodeBuild プロジェクトでログ記録が有効になっていることを確認します。このチェックは、 AWS Trusted Advisor コンソールのビューから除外することはできません。

詳細については、「ログインとモニタリング AWS CodeBuild」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS CodeDeploy 自動ロールバックとモニターの有効化

説明

デプロイグループに、アラームがアタッチされた自動デプロイロールバックとデプロイモニタリングが設定されているかどうかを確認します。デプロイ中に問題が発生した場合、自動的にロールバックされ、アプリケーションは安定した状態を維持します。

詳細については、「Redeploy and roll back a deployment with CodeDeploy」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz114

ソース

AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled

アラート条件

黄: AWS CodeDeploy 自動デプロイのロールバックとデプロイのモニタリングは有効になっていません。

[Recommended Action] (推奨されるアクション)

デプロイが失敗した場合、または指定した監視しきい値に達した場合、自動的にロールバックするように、デプロイグループまたはデプロイを設定してください。

デプロイプロセス中に CPU 使用率、メモリ使用量、ネットワークトラフィックなど、さまざまなメトリクスを監視できるようにアラームを設定します。これらのメトリクスのいずれかが特定のしきい値を超えると、アラームが起動し、デプロイが停止またはロールバックされます。

デプロイグループの自動ロールバックとアラームの設定については、「Configure advanced options for a deployment group」を参照してください。

その他のリソース

What is CodeDeploy?

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS CodeDeploy Lambda はall-at-onceデプロイ設定を使用しています

説明

AWS Lambda コンピューティングプラットフォームの AWS CodeDeploy デプロイグループがall-at-onceデプロイ設定を使用しているかどうかを確認します。

CodeDeploy で Lambda 関数のデプロイが失敗するリスクを減らすには、すべてのトラフィックが元の Lambda 関数から最新の関数に一度に移行されるデフォルトオプションの代わりに、Canary デプロイまたは線形デプロイの設定を使用するのがベストプラクティスです。

詳細については、「Lambda 関数のバージョン」と「デプロイ設定」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz115

ソース

AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled

アラート条件

黄： AWS CodeDeploy Lambda デプロイでは、all-at-onceデプロイ設定を使用して、すべてのトラフィックを更新された Lambda 関数に一度にシフトします。

[Recommended Action] (推奨されるアクション)

Lambda コンピューティングプラットフォームに対して、CodeDeploy デプロイグループの Canary デプロイ設定または線形デプロイ設定を使用してください。

その他のリソース

Deployment configuration

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS Elastic Beanstalk 拡張ヘルスレポートが設定されていない

説明

拡張ヘルスレポート用に AWS Elastic Beanstalk 環境が設定されているかどうかを確認します。

Elastic Beanstalk の拡張ヘルスレポートでは、CPU 使用率、メモリ使用量、ネットワークトラフィック、およびインスタンス数やロードバランサーのステータスといったインフラストラクチャの健全性に関する情報など、詳細なパフォーマンスメトリクスを提供します。

詳細については、「拡張ヘルスレポートおよびモニタリング」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz108

ソース

AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled

アラート条件

黄: Elastic Beanstalk 環境が拡張ヘルスレポートを作成するように設定されていません。

[Recommended Action] (推奨されるアクション)

Elastic Beanstalk 環境が拡張ヘルスレポートを作成できるように設定されているかどうかを確認してください。

詳細については、「Elastic Beanstalk コンソールを使用した拡張ヘルスレポートの有効化」を参照してください。

その他のリソース

• Elastic Beanstalk の拡張ヘルスレポートの有効化

• 拡張ヘルスレポートおよびモニタリング

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS Elastic Beanstalk マネージドプラットフォームの更新が無効になっている

説明

Elastic Beanstalk 環境と設定テンプレートでマネージドプラットフォームの更新が有効になっているかどうかを確認します。

AWS Elastic Beanstalk は、プラットフォームの更新を定期的にリリースして、修正、ソフトウェアの更新、新機能を提供します。マネージドプラットフォーム更新により、Elastic Beanstalk で新しいパッチやマイナープラットフォームバージョンのプラットフォーム更新を自動的に実行することができます。

AWS Config ルールの UpdateLevel パラメータで、必要な更新レベルを指定できます。

詳細については、「Elastic Beanstalk 環境のプラットフォームバージョンの更新」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz177

ソース

AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled

アラート条件

黄: AWS Elastic Beanstalk マネージドプラットフォームの更新は、マイナーレベルやパッチレベルなど、まったく設定されていません。

[Recommended Action] (推奨されるアクション)

Elastic Beanstalk 環境でマネージドプラットフォーム更新を有効にするか、マネージドプラットフォーム更新をマイナーレベルまたは更新レベルで設定してください。

詳細については、「マネージドプラットフォーム更新」を参照してください。

その他のリソース

• Elastic Beanstalk の拡張ヘルスレポートの有効化

• 拡張ヘルスレポートおよびモニタリング

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS Fargate プラットフォームバージョンが最新ではない

説明

Amazon ECS が最新の AWS Fargateプラットフォームバージョンを実行しているかどうかを確認します。Fargate プラットフォームバージョンでは、Fargate タスクインフラストラクチャの特定のランタイム環境を参照することができます。これは、カーネルとコンテナのランタイムバージョンの組み合わせです。新しいプラットフォームのバージョンは、ランタイム環境の進化に伴ってリリースされます。例えば、カーネルやオペレーティングシステムの更新、新機能、バグ修正、セキュリティ更新があったときにリリースされます。

詳細については、「Fargate タスクのメンテナンス」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz174

ソース

AWS Config Managed Rule: ecs-fargate-latest-platform-version

アラート条件

黄: Amazon ECS が Fargate プラットフォームの最新バージョンで実行されていません。

[Recommended Action] (推奨されるアクション)

最新の Fargate プラットフォームバージョンに更新してください。

詳細については、「Fargate タスクのメンテナンス」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS Systems Manager 非準拠ステータスのステートマネージャーの関連付け

説明

インスタンスで AWS Systems Manager 関連付けを実行した後、関連付けコンプライアンスのステータスが COMPLIANT または NON_COMPLIANT かどうかを確認します。

の一機能であるステートマネージャーは AWS Systems Manager、マネージドノードやその他の AWS リソースを定義した状態に保つプロセスを自動化する、安全でスケーラブルな設定管理サービスです。ステートマネージャーの関連付けは、 AWS リソースに割り当てる設定です。設定ではリソース上で維持したい状態を定義するため、Amazon EC2 インスタンス間の設定ドリフトの回避など、目標を達成するのに役立ちます。

詳細については、「AWS Systems Manager State Manager」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz147

ソース

AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check

アラート条件

黄: AWS Systems Manager 関連付けコンプライアンスのステータスは NON_COMPLIANT です。

[Recommended Action] (推奨されるアクション)

State Manager の関連付けステータスを検証し、必要なアクションを実行してステータスを COMPLIANT に戻してください。

詳細については、「About State Manager」を参照してください。

その他のリソース

AWS Systems Manager ステートマネージャー

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

CloudTrail 証跡が、Amazon CloudWatch Logs で設定されていない

説明

CloudWatch Logs にログを送信するように AWS CloudTrail 証跡が設定されているかどうかを確認します。

CloudWatch Logs を使用して CloudTrail ログファイルを監視し、 AWS CloudTrailで重要なイベントがキャプチャされたら自動応答が開始されるようにします。

詳細については、「Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz164

ソース

AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled

アラート条件

黄: CloudWatch Logs 統合では設定 AWS CloudTrail されていません。

[Recommended Action] (推奨されるアクション)

CloudWatch Logs にログイベントを送信するように CloudTrail 証跡を設定してください。

詳細については、「CloudTrail イベントの CloudWatch アラームの作成: 例」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

ロードバランサーの Elastic Load Balancing 削除保護が有効になっていない

説明

ロードバランサーの削除保護が有効になっているかどうかを確認します。

Elastic Load Balancing は、Application Load Balancer、Network Load Balancer、Gateway Load Balancer の削除保護をサポートします。ロードバランサーが誤って削除されるのを防ぐために、削除保護を有効にします。ロードバランサーを作成すると、デフォルトで削除保護はオフになります。ロードバランサーが本番環境の一部である場合は、削除保護を有効にすることを検討してください。

アクセスログの作成は、Elastic Load Balancing のオプション機能であり、デフォルトでは無効化されています。ロードバランサーのアクセスログの作成を有効にすると、Elastic Load Balancing はログをキャプチャし、そのログを指定した Amazon S3 バケット内に保存します。

詳細については、「Application Load Balancer の削除保護」、「Network Load Balancer の削除保護」、または「Gateway Load Balancer の削除保護」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz168

ソース

AWS Config Managed Rule: elb-deletion-protection-enabled

アラート条件

黄: ロードバランサーの削除保護が有効になっていません。

[Recommended Action] (推奨されるアクション)

Application Load Balancer、Network Load Balancer、Gateway Load Balancer の削除保護を有効にしてください。

詳細については、「Application Load Balancer の削除保護」、「Network Load Balancer の削除保護」、または「Gateway Load Balancer の削除保護」を参照してください。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

RDS DB クラスター削除保護チェック

説明

Amazon RDS DB クラスターの削除保護が有効になっているかどうかを確認します。

クラスターの削除保護を設定すると、どのユーザーもデータベースを削除できません。

削除保護は、すべての AWS リージョンの Amazon Aurora および RDS for MySQL、RDS for MariaDB、RDS for Oracle、RDS for PostgreSQL、および RDS for SQL Server データベースインスタンスで使用できます。

詳細については、「Aurora クラスターの削除保護」を参照してください。

チェック ID

c18d2gz160

ソース

AWS Config Managed Rule: rds-cluster-deletion-protection-enabled

アラート条件

黄: 削除保護が有効になっていない Amazon RDS DB クラスターがあります。

[Recommended Action] (推奨されるアクション)

Amazon RDS DB クラスターを作成するときに、削除保護を有効にしてください。

削除保護が有効になっていないクラスターのみ削除できます。削除保護を有効にすると、保護レイヤーがさらに強化され、データベースインスタンスが偶発的または意図的に削除されることによるデータ損失を回避できます。削除保護は、規制コンプライアンス要件への対応やビジネスの継続性を確保することにも役立ちます。

詳細については、「Aurora クラスターの削除保護」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

その他のリソース

Aurora クラスターの削除保護

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

RDS DB インスタンスのマイナーバージョン自動アップグレードチェック

説明

Amazon RDS DB インスタンスにマイナーバージョン自動アップグレードが設定されているかどうかを確認します。

Amazon RDS インスタンスのマイナーバージョン自動アップグレードを有効にして、データベースが常に安全で安定した最新バージョンを実行していることを確認します。マイナーアップグレードでは、セキュリティ更新、バグ修正、パフォーマンスの向上が提供され、既存のアプリケーションとの互換性が維持されます。

詳細については、「DB インスタンスのエンジンバージョンのアップグレード」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、エンタープライズ On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、 Trusted Advisor 結果に 1 つ以上のリソースを含めるか除外することができます。

チェック ID

c18d2gz155

ソース

AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled

アラート条件

黄: RDS DB インスタンスのマイナーバージョン自動アップグレードが有効になっていません。

[Recommended Action] (推奨されるアクション)

Amazon RDS DB インスタンスを作成するときに、マイナーバージョン自動アップグレードを有効にしてください。

マイナーバージョンアップグレードを有効にすると、マイナーエンジンバージョンの自動アップグレードより低い DB エンジンのマイナーバージョンを実行中のデータベースバージョンは、自動的にアップグレードされます。

[Report columns] (レポート列)

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時