運用上の優秀性

運用上の優秀性のカテゴリに次のチェックを使用できます。

チェック名

• Amazon API Gateway が実行ログを記録しない

• X-Ray トレースが有効になっていない Amazon API Gateway の REST API

• Amazon CloudFront のアクセスログの設定

• Amazon CloudWatch アラームアクションが無効になっている

• AWS Systems Manager によって管理されていない Amazon EC2 インスタンス

• タグの不変性が無効になっている Amazon ECR リポジトリ

• Container Insights が無効の Amazon ECS クラスター

• Amazon ECS タスクのログ記録が有効になっていない

• CloudWatch のログ記録が設定されていない Amazon OpenSearch Service

• 異種のパラメータグループを持つクラスター内の Amazon RDS DB インスタンス

• Amazon RDS 拡張モニタリングは無効になっています

• Amazon RDS Performance Insights は無効になっています

• Amazon RDS の track_counts パラメータは無効になっています

• Amazon Redshift クラスター監査ログ

• Amazon S3 アクセスログが有効になっている

• Amazon S3 でイベント通知が有効になっていない

• Amazon SNS トピックがメッセージ配信ステータスのログを記録しない

• フローログがない Amazon VPC

• アクセスログが有効になっていない Application Load Balancer および Classic Load Balancer

• CloudFormation のスタック通知

• S3 バケット内におけるオブジェクトの AWS CloudTrail データイベントのログ記録

• AWS CodeBuild プロジェクトのログ記録

• AWS CodeDeploy の自動ロールバックとモニターの有効化

• AWS CodeDeploy Lambda では一括デプロイ設定を使用

• AWS Elastic Beanstalk 拡張ヘルスレポートが設定されていない

• マネージドプラットフォーム更新を無効にした AWS Elastic Beanstalk

• AWS Fargate プラットフォームバージョンが最新ではない

• AWS Systems Manager State Manager の関連付けが非準拠の状態になっている

• CloudTrail 証跡が、Amazon CloudWatch Logs で設定されていない

• ロードバランサーの Elastic Load Balancing 削除保護が有効になっていない

• RDS DB クラスター削除保護チェック

• RDS DB インスタンスのマイナーバージョン自動アップグレードチェック

Amazon API Gateway が実行ログを記録しない

説明

Amazon API Gateway で CloudWatch Logs が該当するログ記録レベルでオンになっているかどうかを確認します。

Amazon API Gateway の REST API メソッドまたは WebSocket API ルートの CloudWatch ログ記録を有効にして、API が受信したリクエストの実行ログを CloudWatch Logs に収集します。実行ログに含まれる情報は、API に関連する問題の特定やトラブルシューティングに役立ちます。

AWS Config ルールの loggingLevel パラメータでログ記録レベル (ERROR、INFO) ID を指定できます。

Amazon API Gateway の CloudWatch ログ記録の詳細については、REST API または WebSocket API ドキュメントを参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz125

ソース

AWS Config Managed Rule: api-gw-execution-logging-enabled

アラート条件

黄: 実行ログを収集する CloudWatch ログ記録の設定が、Amazon API Gateway に該当するログ記録レベルで有効になっていません。

推奨されるアクション

Amazon API Gateway REST API または WebSocket API における実行ログの CloudWatch ログ記録を適切なログ記録レベル (ERROR、INFO) で有効にします。

詳細については、「フローログの作成」を参照してください。

その他のリソース

• API Gateway での CloudWatch による REST API のログの設定

• WebSocket API のログ記録の設定

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

X-Ray トレースが有効になっていない Amazon API Gateway の REST API

説明

Amazon API Gateway の REST API で AWS X-Ray トレースが有効になっているかどうかを確認します。

REST API の X-Ray トレースを有効にして、API Gateway がトレース情報を含む API 呼び出しリクエストをサンプリングできるようにします。これにより、AWS X-Ray を活用して API Gateway の REST API をからダウンストリームサービスまでのリクエストの流れをトレースして分析することができます。

詳細については、「X-Ray を使用した REST API へのユーザーリクエストのトレース」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz126

ソース

AWS Config Managed Rule: api-gw-xray-enabled

アラート条件

黄: API Gateway の REST API で X-Ray トレースが有効になっていません。

推奨されるアクション

API Gateway の REST API で X-Ray トレースを有効にします。

詳細については、「API Gateway REST API を使用した AWS X-Ray のセットアップ」を参照してください。

その他のリソース

• X-Ray を使用した REST API へのユーザーリクエストのトレース

• What is AWS X-Ray?

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

Amazon CloudFront のアクセスログの設定

説明

Amazon CloudFront ディストリビューションが、Amazon S3 サーバーアクセスログから情報をキャプチャするように設定されているかどうかを確認します。Amazon S3 サーバーのアクセスログには、CloudFront が受信するすべてのユーザーリクエストに関する詳細情報が含まれています。

AWS Config ルールの S3BucketName パラメータを使用して、サーバーアクセスログを保存する Amazon S3 バケットの名前を調整できます。

詳細については、「標準ログ (アクセスログ) の設定および使用」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz110

ソース

AWS Config Managed Rule: cloudfront-accesslogs-enabled

アラート条件

黄: Amazon CloudFront のアクセスログが有効になっていません。

推奨されるアクション

CloudFront が受信するすべてのユーザーリクエストに関する詳細情報を取得できるように、CloudFront のアクセスログ記録を有効にしてください。

ディストリビューションを作成または更新するとき、標準ログをオンにできます。

詳細については、「ディストリビューションを作成または更新する場合に指定する値」を参照してください。

その他のリソース

• ディストリビューションを作成または更新する場合に指定する値

• 標準ログ (アクセスログ) の設定および使用

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

Amazon CloudWatch アラームアクションが無効になっている

説明

Amazon CloudWatch のアラームアクションが無効状態であるかどうかを確認します。

AWS CLI を使用してアラームのアクション機能を有効化または無効化することができます。または、AWS SDK を使用してアクション機能をプログラムで無効または有効にすることもできます。アラームアクション機能がオフになっている場合、CloudWatch はどの状態 (OK、INSUFFICIENT_DATA、ALARM) の定義済みアクションでも実行しません。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz109

ソース

AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check

アラート条件

黄: Amazon CloudWatch のアラームアクションが有効になっていません。どのアラーム状態でもアクションが実行されません。

推奨されるアクション

テスト目的など、アクションを無効にする正当な理由がない限り、CloudWatch アラームのアクションを有効にしてください。

CloudWatch アラームが必要なくなった場合は、不要なコストの発生を抑えるため削除してください。

詳細については、AWS CLI コマンドリファレンスの「enable-alarm-actions」、AWS SDK for Go API リファレンスの「func (*CloudWatch) EnableAlarmActions」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS Systems Manager によって管理されていない Amazon EC2 インスタンス

説明

アカウント内の Amazon EC2 インスタンスが AWS Systems Manager によって管理されているかどうかを確認します。

Systems Manager は、Amazon EC2 インスタンスと OS 設定の現在の状態を把握し、制御するのに役立ちます。Systems Manager を使用すると、インスタンスのフリートに関するソフトウェア設定とインベントリ情報 (インスタンスにインストールされているソフトウェアを含む) を収集できます。これにより、詳細なシステム設定、OS パッチレベル、アプリケーション設定、デプロイに関するその他の詳細を追跡することができます。

詳細については、「Systems Manager の EC2 インスタンスのセットアップ」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz145

ソース

AWS Config Managed Rule: ec2-instance-managed-by-systems-manager

アラート条件

黄: Amazon EC2 インスタンスが Systems Manager によって管理されていません。

推奨されるアクション

Amazon EC2 インスタンス が Systems Manager によって管理されるように設定します。

このチェックは、Trusted Advisor コンソールのビューから除外することはできません。

詳細については、「Systems Manager で EC2 インスタンスがマネージドノードとして表示されない、または 「接続が失われました」というステータスが表示されるのはなぜですか?」を参照してください。

その他のリソース

Systems Manager の EC2 インスタンスのセットアップ

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

タグの不変性が無効になっている Amazon ECR リポジトリ

説明

プライベート Amazon ECR リポジトリでイメージタグの不変性が有効になっているかどうかを確認します。

プライベート Amazon ECR リポジトリのイメージタグの不変性を有効にして、イメージタグが上書きされるのを防ぎます。これにより、イメージを追跡して一意に識別する信頼できるメカニズムとして、説明タグを使用できます。例えば、イメージタグの不変性がオンになっている場合、ユーザーはイメージタグを使用して、デプロイされたイメージバージョンと、そのイメージを生成したビルドを確実に関連付けることができます。

詳細については、「イメージタグの変更可能性」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz129

ソース

AWS Config Managed Rule: ecr-private-tag-immutability-enabled

アラート条件

黄: Amazon ECR プライベートリポジトリでタグの不変性が有効になっていません。

推奨されるアクション

Amazon ECR プライベートリポジトリでイメージタグの不変性を有効にしてください。

詳細については、「イメージタグの変更可能性」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

Container Insights が無効の Amazon ECS クラスター

説明

Amazon ECS クラスターで Amazon CloudWatch Container Insights が有効になっているかどうかを確認します。

CloudWatch Container Insights は、コンテナ化されたアプリケーションとマイクロサービスのメトリクスとログを収集、集約、要約します。このメトリクスには、CPU、メモリ、ディスク、ネットワークなどのリソース使用率が含まれます。

詳細については、「Amazon ECS CloudWatch コンテナインサイト」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz173

ソース

AWS Config Managed Rule: ecs-container-insights-enabled

アラート条件

黄: Amazon ECS クラスターで Container Insights が有効になっていません。

推奨されるアクション

Amazon ECS クラスターで CloudWatch Container Insights を有効にしてください。

詳細については、「Container Insights の使用」を参照してください。

その他のリソース

Amazon ECS CloudWatch コンテナインサイト

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

Amazon ECS タスクのログ記録が有効になっていない

説明

アクティブな Amazon ECS タスク定義に、ログ設定がセットアップされているかどうかを確認します。

Amazon ECS タスク定義のログ設定を確認することで、コンテナによって生成されたログが適切に設定され、保存されていることを確認することができます。これにより、より迅速に問題を特定してトラブルシューティングすることができ、パフォーマンスを最適化して、コンプライアンス要件を満たすことができます。

デフォルトでは、コンテナをローカルに実行した場合、キャプチャされるログは通常インタラクティブターミナルにコマンド出力を表示します。awslogs ドライバーは、これらのログを Docker から Amazon CloudWatch Logs に渡します。

詳細については、「awslogs ログドライバーを使用する」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz175

ソース

AWS Config Managed Rule: ecs-task-definition-log-configuration

アラート条件

黄: Amazon ECS のタスク定義にログ設定がありません。

推奨されるアクション

CloudWatch Logs または別のログ記録ドライバーにログ情報を送信するために、コンテナ定義でログドライバー設定を指定することを検討してください。

詳細については、「LogConfiguration」を参照してください。

その他のリソース

CloudWatch Logs または別のログ記録ドライバーにログ情報を送信するために、コンテナ定義でログドライバー設定を指定することを検討してください。

詳細については、「タスク定義の例」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

CloudWatch のログ記録が設定されていない Amazon OpenSearch Service

説明

Amazon OpenSearch Service ドメインが、Amazon CloudWatch Logs にログを送信するように設定されているかどうかを確認します。

ログのモニタリングは、OpenSearch Service の信頼性、可用性、パフォーマンスを維持する上で非常に重要です。

検索スローログ、インデックス作成スローログ、およびエラーログは、ワークロードのパフォーマンスや安定性の問題をトラブルシューティングするのに役立ちます。これらのログを有効にしてデータをキャプチャする必要があります。

AWS Config ルールの logTypes パラメータを使用して、フィルタリングするログタイプ (エラー、検索、インデックス) を指定できます。

詳細については、「Amazon OpenSearch Service ドメインのモニタリング」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz184

ソース

AWS Config Managed Rule: opensearch-logs-to-cloudwatch

アラート条件

黄: Amazon OpenSearch Service に Amazon CloudWatch Logs によるログ設定がありません

推奨されるアクション

CloudWatch Logs にログを発行するように OpenSearch Service ドメインを設定してください。

詳細については、「ログ発行を有効にする (コンソール)」を参照してください。

その他のリソース

• Amazon CloudWatch を用いた OpenSearch クラスターメトリクスのモニタリング

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

異種のパラメータグループを持つクラスター内の Amazon RDS DB インスタンス

説明

DB クラスター内のすべての DB インスタンスが同じ DB パラメータグループを使用することをお勧めします。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

注記

DB インスタンスまたは DB クラスターが停止すると、Trusted Advisor で Amazon RDS の推奨事項を 3 ～5 日間確認できます。5 日が経過すると、推奨事項は Trusted Advisor に表示されなくなります。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連する推奨事項は Trusted Advisor、または Amazon RDS マネジメントコンソールでは使用できなくなります。

チェック ID

c1qf5bt010

アラート条件

黄色: DB クラスターには、異種のパラメータグループを持つ DB インスタンスがあります。

推奨されるアクション

DB インスタンスを、DB クラスター内のライターインスタンスに関連付けられた DB パラメータグループに、関連付けます。

その他のリソース

DB クラスター内の DB インスタンスが異なる DB パラメータグループを使用している場合、フェイルオーバー時に動作が一貫しなかったり、DB クラスター内の DB インスタンス間の互換性の問題が発生したりする可能性があります。

詳細については、「パラメータグループの操作」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• 推奨値

• エンジン名

• 最終更新日時

Amazon RDS 拡張モニタリングは無効になっています

説明

データベースリソースでは拡張モニタリングが有効になっていません。拡張モニタリングにより、モニタリングとトラブルシューティングのためのリアルタイムのオペレーティングシステムメトリクスが提供されます。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

注記

DB インスタンスまたは DB クラスターが停止すると、Trusted Advisor で Amazon RDS の推奨事項を 3 ～5 日間確認できます。5 日が経過すると、推奨事項は Trusted Advisor に表示されなくなります。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連する推奨事項は Trusted Advisor、または Amazon RDS マネジメントコンソールでは使用できなくなります。

チェック ID

c1qf5bt004

アラート条件

黄色: Amazon RDS リソースでは拡張モニタリングが有効になっていません。

推奨されるアクション

Enhanced monitoring] を有効にします。

その他のリソース

Amazon RDS 拡張モニタリングにより、DB インスタンスの状態を可視化しやすくします。拡張モニタリングを有効にすることをお勧めします。DB インスタンスで拡張モニタリングオプションを有効にすると、重要なオペレーティングシステムメトリクスとプロセス情報が収集されます。

詳細については、「拡張モニタリングを使用した OS メトリクスのモニタリング」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• 推奨値

• エンジン名

• 最終更新日時

Amazon RDS Performance Insights は無効になっています

説明

Amazon RDS Performance Insights では、DB インスタンスの負荷をモニタリングし、データベースパフォーマンスの問題の分析と解決をサポートします。Performance Insights を有効にすることをお勧めします。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

注記

DB インスタンスまたは DB クラスターが停止すると、Trusted Advisor で Amazon RDS の推奨事項を 3 ～5 日間確認できます。5 日が経過すると、推奨事項は Trusted Advisor に表示されなくなります。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連する推奨事項は Trusted Advisor、または Amazon RDS マネジメントコンソールでは使用できなくなります。

チェック ID

c1qf5bt012

アラート条件

黄色: Amazon RDS リソースでは Performance Insights が有効になっていません。

推奨されるアクション

Performance Insights をオンにします。

その他のリソース

Performance Insights では、アプリケーションのパフォーマンスに影響を与えない軽量なデータ収集方法を使用しています。Performance Insights は、データベースの負荷を迅速に評価することができます。

詳細については、「Amazon RDS での Performance Insights を使用したDB 負荷のモニタリング」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• 推奨値

• エンジン名

• 最終更新日時

Amazon RDS の track_counts パラメータは無効になっています

説明

track_counts パラメータが無効の場合、データベースはデータベースアクティビティ統計を収集しません。自動バキュームでは、これらの統計が正しく機能する必要があります。

track_counts パラメータを 1 に設定することをお勧めします。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

注記

DB インスタンスまたは DB クラスターが停止すると、Trusted Advisor で Amazon RDS の推奨事項を 3 ～5 日間確認できます。5 日が経過すると、推奨事項は Trusted Advisor に表示されなくなります。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連する推奨事項は Trusted Advisor、または Amazon RDS マネジメントコンソールでは使用できなくなります。

チェック ID

c1qf5bt027

アラート条件

黄色: DB パラメータグループの track_counts パラメータは無効になっています。

推奨されるアクション

track_counts パラメーターを 1 に設定します。

その他のリソース

track_counts パラメータが無効の場合、データベースアクティビティ統計の収集が無効になります。自動バキュームデーモンは、自動バキューム処理と自動分析の対象となるテーブルを識別するために、収集した統計情報を必要とします。

詳細については、PostgreSQL のドキュメント Web サイトで「PostgreSQL のランタイム統計」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• パラメータ値

• 推奨値

• 最終更新日時

Amazon Redshift クラスター監査ログ

説明

Amazon Redshift クラスターでデータベース監査ログが有効になっているかどうかを確認します。Amazon Redshift は、データベースの接続とユーザーアクティビティに関する情報を記録します。

AWS Config ルールの bucketNames パラメータに、該当するログ記録の Amazon S3 バケット名を指定できます。

詳細については、「データベース監査ログ作成」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz134

ソース

AWS Config Managed Rule: redshift-audit-logging-enabled

アラート条件

黄: Amazon Redshift クラスターのデータベース監査ログが無効になっています

推奨されるアクション

Amazon Redshift クラスターのログ記録とモニタリングを有効化してください。

詳細については、「コンソールを使用して監査を設定する」を参照してください。

その他のリソース

Amazon Redshift でのログ作成とモニタリング

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

Amazon S3 アクセスログが有効になっている

説明

Amazon Simple Storage Service バケットのログ記録設定を確認します。

サーバーアクセスのログ記録を有効にすると、指定された Amazon S3 バケットに 1 時間ごとの詳細なアクセスログが提供されます。アクセスログには、タイプ、指定されたリソース、処理日時などのリクエストの詳細が含まれます。デフォルトでは、ログは無効化されています。お客様は、セキュリティ監査を実行したり、ユーザーの動作と使用パターンを分析したりするために、アクセスログ記録を有効にする必要があります。

ログ記録が最初に有効になっている場合、設定が自動的に検証されます。ただし、今後の変更により、ログが失敗する可能性があります。現在、このチェックでは Amazon S3 バケットの書き込みアクセス許可の確認は行いません。

チェック ID

c1fd6b96l4

アラート条件

• 黄: バケットでサーバーアクセスのログ記録が有効になっていません。

• 黄: ターゲットバケットの許可にルートアカウントが含まれていないため、Trusted Advisor は確認できません。

• 赤: ターゲットバケットが存在しません。

• 赤: ターゲットバケットとソースバケットの所有者が異なります。

• 緑: バケットでサーバーアクセスのログ記録が有効になっており、ターゲットが存在し、ターゲットに書き込むためのアクセス許可が存在します。

推奨されるアクション

関連するすべての Amazon S3 バケットのサーバーアクセスログ記録を有効にします。サーバーアクセスログは、バケットのアクセスパターンを理解し、疑わしいアクティビティを調査するために使用できる監査証跡を提供します。該当するすべてのバケットでログ記録を有効にすると、Amazon S3 環境全体のアクセスイベントの可視性が向上します。「Enabling Logging Using the Console」(コンソールを使用してログ記録を有効にする) および「Enabling Logging Programmatically」(プログラムを使用してログ記録を有効にする) を参照してください。

ターゲットバケットの許可にルートアカウントが含まれておらず、Trusted Advisor にログ記録ステータスを確認させる場合は、ルートアカウントを被付与者として追加します。「Editing Bucket Permissions」(バケット許可の編集) を参照してください。

ターゲットバケットが存在しない場合は、既存のバケットをターゲットとして選択するか、新しいバケットを作成して選択します。「Managing Bucket Logging」(バケットのログ記録の管理) を参照してください。

ターゲットとソースの所有者が異なる場合は、ターゲットバケットを、ソースバケットと同じ所有者を持つバケットに変更します。「Managing Bucket Logging」(バケットのログ記録の管理) を参照してください。

その他のリソース

バケットの使用

サーバーアクセスのログ記録

Amazon S3 サーバーアクセスログの形式

ログファイルの削除

レポート列

• ステータス

• リージョン

• リソースARN

• バケット名

• ターゲット名

• ターゲットが存在

• 同じ所有者

• 書き込み有効

• 理由

• 最終更新日時

Amazon S3 でイベント通知が有効になっていない

説明

Amazon S3 イベント通知が有効になっているかどうか、目的の送信先またはタイプで正しく設定されているかどうかを確認します。

Amazon S3 イベント通知機能では、S3 バケットで特定のイベントが発生したときに通知を送信します。Amazon S3 は、Amazon SQS キュー、Amazon SNS トピック、およびAWS Lambda 関数に通知メッセージを送信できます。

AWS Config ルールの destinationArn パラメータと eventTypes パラメータを使用して、目的の送信先とイベントタイプを指定できます。

詳細については、「Amazon S3 イベント通知」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz163

ソース

AWS Config Managed Rule: s3-event-notifications-enabled

アラート条件

黄: Amazon S3 でイベント通知が有効になっていないか、目的の送信先やタイプが設定されていません。

推奨されるアクション

オブジェクトイベントとバケットイベントに対して Amazon S3 イベント通知を設定します。

詳細については、「Amazon S3 コンソールを使用したイベント通知の有効化と設定」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

Amazon SNS トピックがメッセージ配信ステータスのログを記録しない

説明

Amazon SNS トピックでメッセージ配信ステータスのログ記録が有効になっているかどうかを確認します。

メッセージ配信ステータスのログを記録する Amazon SNS トピックを設定して、運用上のインサイトをより的確に把握できるようにします。例えば、メッセージ配信ログ記録でメッセージが特定の Amazon SNS エンドポイントに配信されたかどうかを検証します。また、エンドポイントから送信された応答を識別するのにも役立ちます。

詳細については、「メッセージの配信ステータスの Amazon SNS アプリケーション属性を使用する」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz121

ソース

AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled

アラート条件

黄: Amazon SNS トピックのメッセージ配信ステータスログ記録が有効になっていません。

推奨されるアクション

SNS トピックのメッセージ配信ステータスログ記録を有効にしてください。

詳細については、「AWS Management Console を使用した配信ステータスのログ記録を設定する」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

フローログがない Amazon VPC

説明

Amazon Virtual Private Cloud フローログが VPC に対して作成されているかどうかを確認します。

AWS Config ルールの trafficType パラメータを使用してトラフィックタイプを指定できます。

詳細については、「VPC フローログを使用した IP トラフィックのログ記録」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz122

ソース

AWS Config Managed Rule: vpc-flow-logs-enabled

アラート条件

黄: VPC に Amazon VPC フローログがありません。

推奨されるアクション

VPC ごとに VPC フローログを作成してください。

詳細については、「フローログの作成」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

アクセスログが有効になっていない Application Load Balancer および Classic Load Balancer

説明

Application Load Balancer と Classic Load Balancer でアクセスログ記録が有効になっているかどうかを確認します。

Elastic Load Balancing は、ロードバランサーに送信されるリクエストに関する詳細情報をキャプチャしたアクセスログを提供します。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。これらのアクセスログを使用して、トラフィックパターンを分析し、問題のトラブルシューティングを行えます。

アクセスログの作成は、Elastic Load Balancing のオプション機能であり、デフォルトでは無効化されています。ロードバランサーのアクセスログの作成を有効にすると、Elastic Load Balancing はログをキャプチャし、そのログを指定した Amazon S3 バケット内に保存します。

AWS Config ルールの s3BucketNames パラメータを使用して、確認したいアクセスログの Amazon S3 バケットを指定できます。

詳細については、「Application Load Balancer のアクセスログ」または「Access logs for your Classic Load Balancer」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz167

ソース

AWS Config Managed Rule: elb-logging-enabled

アラート条件

黄: Application Load Balancer または Classic Load Balancer に対して、アクセスログ機能が有効になっていません。

推奨されるアクション

Application Load Balancer および Classic Load Balancer のアクセスログを有効にしてください。

詳細については、「Application Load Balancer のアクセスログを有効にする」または「Enable access logs for your Classic Load Balancer」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

CloudFormation のスタック通知

説明

イベントが発生したときに、すべての CloudFormation スタックが Amazon SNS を使用して通知を受信しているかどうかを確認します。

AWS Config ルールのパラメータを使用して特定の Amazon SNS トピック ARN を検索できるように、このチェックを設定することができます。

詳細については、「CloudFormation スタックオプションの設定」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz111

ソース

AWS Config Managed Rule: cloudformation-stack-notification-check

アラート条件

黄: CloudFormation スタックの Amazon SNS イベント通知が有効になっていません。

推奨されるアクション

イベントが発生した際に、CloudFormation スタックが Amazon SNS を使用して通知を受信するようにしてください。

スタックイベントをモニタリングすることで、AWS 環境を変える可能性のある不正なアクションに迅速に対応することができます。

その他のリソース

AWS CloudFormation スタックが ROLLBACK_IN_PROGRESS ステータスになったときにメールアラートを受信するにはどうすればよいですか?

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

S3 バケット内におけるオブジェクトの AWS CloudTrail データイベントのログ記録

説明

少なくとも 1 つの AWS CloudTrail 証跡が、すべての Amazon S3 バケットの Amazon S3 データイベントログを記録しているかどうかを確認します。

詳細については、「AWS CloudTrail を使用した Amazon S3 API コールのログ記録」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz166

ソース

AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled

アラート条件

黄: Amazon S3 バケットの AWS CloudTrail イベントログが設定されていません

推奨されるアクション

Amazon S3 バケットとオブジェクトの CloudTrail イベントログ記録を有効にして、ターゲットバケットへのアクセスリクエストを追跡してください。

詳細については、S3 バケットとオブジェクトの CloudTrail イベントログ記録の有効化を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS CodeBuild プロジェクトのログ記録

説明

AWS CodeBuild プロジェクト環境でログ記録が使用されているかどうかを確認します。ログ記録オプションは、Amazon CloudWatch Logs 内のログ、指定した Amazon S3 バケットでビルドされたログ、またはその両方のログとすることができます。CodeBuild プロジェクトでログ記録を有効にすると、デバッグや監査など、いくつかのメリットが得られます。

AWS Config ルールの s3BucketNames または cloudWatchGroupNames パラメータを使用して、ログを保存する Amazon S3 バケットまたは CloudWatch ロググループの名前を指定できます。

詳細については、「AWS CodeBuild のモニタリング」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz113

ソース

AWS Config Managed Rule: codebuild-project-logging-enabled

アラート条件

黄: AWS CodeBuild プロジェクトのログ記録が有効になっていません。

推奨されるアクション

AWS CodeBuild プロジェクトでログ記録が有効になっていることを確認してください。このチェックは、AWS Trusted Advisor コンソールのビューから除外することはできません。

詳細については、「AWS CodeBuild でのログ記録とモニタリング」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS CodeDeploy の自動ロールバックとモニターの有効化

説明

デプロイグループに、アラームがアタッチされた自動デプロイロールバックとデプロイモニタリングが設定されているかどうかを確認します。デプロイ中に問題が発生した場合、自動的にロールバックされ、アプリケーションは安定した状態を維持します。

詳細については、「Redeploy and roll back a deployment with CodeDeploy」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz114

ソース

AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled

アラート条件

黄: AWS CodeDeploy の自動デプロイロールバックとデプロイモニタリングが有効になっていません。

推奨されるアクション

デプロイが失敗した場合、または指定した監視しきい値に達した場合、自動的にロールバックするように、デプロイグループまたはデプロイを設定してください。

デプロイプロセス中に CPU 使用率、メモリ使用量、ネットワークトラフィックなど、さまざまなメトリクスを監視できるようにアラームを設定します。これらのメトリクスのいずれかが特定のしきい値を超えると、アラームが起動し、デプロイが停止またはロールバックされます。

デプロイグループの自動ロールバックとアラームの設定については、「Configure advanced options for a deployment group」を参照してください。

その他のリソース

What is CodeDeploy?

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS CodeDeploy Lambda では一括デプロイ設定を使用

説明

AWS Lambda コンピューティングプラットフォームに対して、AWS CodeDeploy のデプロイグループが一括デプロイ設定を使用しているかどうかを確認します。

CodeDeploy で Lambda 関数のデプロイが失敗するリスクを減らすには、すべてのトラフィックが元の Lambda 関数から最新の関数に一度に移行されるデフォルトオプションの代わりに、Canary デプロイまたは線形デプロイの設定を使用するのがベストプラクティスです。

詳細については、「Lambda 関数のバージョン」と「デプロイ設定」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz115

ソース

AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled

アラート条件

黄: AWS CodeDeploy Lambda デプロイで一括デプロイ設定を使用して、すべてのトラフィックが最新の Lambda 関数に一度に移行されています。

推奨されるアクション

Lambda コンピューティングプラットフォームに対して、CodeDeploy デプロイグループの Canary デプロイ設定または線形デプロイ設定を使用してください。

その他のリソース

デプロイ設定

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS Elastic Beanstalk 拡張ヘルスレポートが設定されていない

説明

AWS Elastic Beanstalk 環境が拡張ヘルスレポートを作成するように設定されているかどうかを確認します。

Elastic Beanstalk の拡張ヘルスレポートでは、CPU 使用率、メモリ使用量、ネットワークトラフィック、およびインスタンス数やロードバランサーのステータスといったインフラストラクチャの健全性に関する情報など、詳細なパフォーマンスメトリクスを提供します。

詳細については、「拡張ヘルスレポートおよびモニタリング」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz108

ソース

AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled

アラート条件

黄: Elastic Beanstalk 環境が拡張ヘルスレポートを作成するように設定されていません。

推奨されるアクション

Elastic Beanstalk 環境が拡張ヘルスレポートを作成できるように設定されているかどうかを確認してください。

詳細については、「Elastic Beanstalk コンソールを使用した拡張ヘルスレポートの有効化」を参照してください。

その他のリソース

• Elastic Beanstalk の拡張ヘルスレポートの有効化

• 拡張ヘルスレポートおよびモニタリング

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

マネージドプラットフォーム更新を無効にした AWS Elastic Beanstalk

説明

Elastic Beanstalk 環境と設定テンプレートでマネージドプラットフォームの更新が有効になっているかどうかを確認します。

AWS Elastic Beanstalk は定期的にプラットフォームの更新をリリースし、修正やソフトウェア更新、新機能を提供しています。マネージドプラットフォーム更新により、Elastic Beanstalk で新しいパッチやマイナープラットフォームバージョンのプラットフォーム更新を自動的に実行することができます。

AWS Config ルールの UpdateLevel パラメータで希望の更新レベルを指定できます。

詳細については、「Elastic Beanstalk 環境のプラットフォームバージョンの更新」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz177

ソース

AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled

アラート条件

黄: AWS Elastic Beanstalk のマネージドプラットフォーム更新が、マイナーレベルやパッチレベル含め、まったく設定されていません。

推奨されるアクション

Elastic Beanstalk 環境でマネージドプラットフォーム更新を有効にするか、マネージドプラットフォーム更新をマイナーレベルまたは更新レベルで設定してください。

詳細については、「マネージドプラットフォーム更新」を参照してください。

その他のリソース

• Elastic Beanstalk の拡張ヘルスレポートの有効化

• 拡張ヘルスレポートおよびモニタリング

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS Fargate プラットフォームバージョンが最新ではない

説明

Amazon ECS が最新の AWS Fargate プラットフォームバージョンを実行しているかどうかを確認します。Fargate プラットフォームバージョンでは、Fargate タスクインフラストラクチャの特定のランタイム環境を参照することができます。これは、カーネルとコンテナのランタイムバージョンの組み合わせです。新しいプラットフォームのバージョンは、ランタイム環境の進化に伴ってリリースされます。例えば、カーネルやオペレーティングシステムの更新、新機能、バグ修正、セキュリティ更新があったときにリリースされます。

詳細については、「Fargate タスクのメンテナンス」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz174

ソース

AWS Config Managed Rule: ecs-fargate-latest-platform-version

アラート条件

黄: Amazon ECS が Fargate プラットフォームの最新バージョンで実行されていません。

推奨されるアクション

最新の Fargate プラットフォームバージョンに更新してください。

詳細については、「Fargate タスクのメンテナンス」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

AWS Systems Manager State Manager の関連付けが非準拠の状態になっている

説明

インスタンスの関連付けが実行された後、AWS Systems Manager の関連付けコンプライアンスステータスが COMPLIANT か NON_COMPLIANT のどちらであるかを確認します。

AWS Systems Manager の一機能である State Manager は、安全でスケーラブルな設定管理サービスであり、これによってマネージドノードおよび他の AWS リソースを定義された状態に保つプロセスが自動化されます。State Manager の関連付けとは、AWS リソースに割り当てる設定です。設定ではリソース上で維持したい状態を定義するため、Amazon EC2 インスタンス間の設定ドリフトの回避など、目標を達成するのに役立ちます。

詳細については、「AWS Systems Manager State Manager」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz147

ソース

AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check

アラート条件

黄: AWS Systems Manager 関連付けコンプライアンスのステータスが NON_COMPLIANT となっています。

推奨されるアクション

State Manager の関連付けステータスを検証し、必要なアクションを実行してステータスを COMPLIANT に戻してください。

詳細については、「About State Manager」を参照してください。

その他のリソース

AWS Systems Manager State Manager

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

CloudTrail 証跡が、Amazon CloudWatch Logs で設定されていない

説明

AWS CloudTrail 証跡が CloudWatch Logs にログを送信するように設定されているかどうかを確認します。

CloudWatch Logs を使用して CloudTrail ログファイルを監視し、AWS CloudTrail で重要なイベントがキャプチャされたら自動応答が開始されるようにします。

詳細については、「Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz164

ソース

AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled

アラート条件

黄: AWS CloudTrail が CloudWatch Logs の統合を使ってセットアップされていません。

推奨されるアクション

CloudWatch Logs にログイベントを送信するように CloudTrail 証跡を設定してください。

詳細については、「CloudTrail イベントの CloudWatch アラームの作成: 例」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

ロードバランサーの Elastic Load Balancing 削除保護が有効になっていない

説明

ロードバランサーの削除保護が有効になっているかどうかを確認します。

Elastic Load Balancing は、Application Load Balancer、Network Load Balancer、Gateway Load Balancer の削除保護をサポートします。ロードバランサーが誤って削除されるのを防ぐために、削除保護を有効にします。ロードバランサーを作成すると、デフォルトで削除保護はオフになります。ロードバランサーが本番環境の一部である場合は、削除保護を有効にすることを検討してください。

アクセスログの作成は、Elastic Load Balancing のオプション機能であり、デフォルトでは無効化されています。ロードバランサーのアクセスログの作成を有効にすると、Elastic Load Balancing はログをキャプチャし、そのログを指定した Amazon S3 バケット内に保存します。

詳細については、「Application Load Balancer の削除保護」、「Network Load Balancer の削除保護」、または「Gateway Load Balancer の削除保護」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz168

ソース

AWS Config Managed Rule: elb-deletion-protection-enabled

アラート条件

黄: ロードバランサーの削除保護が有効になっていません。

推奨されるアクション

Application Load Balancer、Network Load Balancer、Gateway Load Balancer の削除保護を有効にしてください。

詳細については、「Application Load Balancer の削除保護」、「Network Load Balancer の削除保護」、または「Gateway Load Balancer の削除保護」を参照してください。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

RDS DB クラスター削除保護チェック

説明

Amazon RDS DB クラスターの削除保護が有効になっているかどうかを確認します。

クラスターの削除保護を設定すると、どのユーザーもデータベースを削除できません。

削除保護は、すべての AWS リージョンの Amazon Aurora、RDS for MySQL、RDS for MariaDB、RDS for Oracle、RDS for PostgreSQL、および RDS for SQL サーバーのデータベースインスタンスで使用できます。

詳細については、「Aurora クラスターの削除保護」を参照してください。

チェック ID

c18d2gz160

ソース

AWS Config Managed Rule: rds-cluster-deletion-protection-enabled

アラート条件

黄: 削除保護が有効になっていない Amazon RDS DB クラスターがあります。

推奨されるアクション

Amazon RDS DB クラスターを作成するときに、削除保護を有効にしてください。

削除保護が有効になっていないクラスターのみ削除できます。削除保護を有効にすると、保護レイヤーがさらに強化され、データベースインスタンスが偶発的または意図的に削除されることによるデータ損失を回避できます。削除保護は、規制コンプライアンス要件への対応やビジネスの継続性を確保することにも役立ちます。

詳細については、「Aurora クラスターの削除保護」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

その他のリソース

Aurora クラスターの削除保護

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時

RDS DB インスタンスのマイナーバージョン自動アップグレードチェック

説明

Amazon RDS DB インスタンスにマイナーバージョン自動アップグレードが設定されているかどうかを確認します。

Amazon RDS インスタンスのマイナーバージョン自動アップグレードを有効にして、データベースが常に安全で安定した最新バージョンを実行していることを確認します。マイナーアップグレードでは、セキュリティ更新、バグ修正、パフォーマンスの向上が提供され、既存のアプリケーションとの互換性が維持されます。

詳細については、「DB インスタンスのエンジンバージョンのアップグレード」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

ビジネス、Enterprise On-Ramp、またはエンタープライズサポートのお客様は、BatchUpdateRecommendationResourceExclusion API を使用して、Trusted Advisor の結果に 1 つ以上のリソースを含めたり除外したりできます。

チェック ID

c18d2gz155

ソース

AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled

アラート条件

黄: RDS DB インスタンスのマイナーバージョン自動アップグレードが有効になっていません。

推奨されるアクション

Amazon RDS DB インスタンスを作成するときに、マイナーバージョン自動アップグレードを有効にしてください。

マイナーバージョンアップグレードを有効にすると、マイナーエンジンバージョンの自動アップグレードより低い DB エンジンのマイナーバージョンを実行中のデータベースバージョンは、自動的にアップグレードされます。

レポート列

• ステータス

• リージョン

• リソース

• AWS Config ルール

• 入力パラメータ

• 最終更新日時