運用上の優秀性

説明

Amazon API Gateway で CloudWatch ログが目的のログレベルで有効になっているかどうかを確認します。

Amazon API Gateway でRESTAPIメソッドまたは WebSocket APIルートの CloudWatch ログ記録を有効にして、が受信したリクエストの実行ログを CloudWatch ログに収集しますAPIs。実行ログに含まれる情報は、に関連する問題の特定とトラブルシューティングに役立ちますAPI。

ログ記録レベル (ERROR、INFO) ID は、 AWS Config ルールの loggingLevelパラメータで指定できます。

Amazon API Gateway での CloudWatch ログ記録の詳細については、RESTAPI「」または WebSocket API「」のドキュメントを参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz125

ソース

AWS Config Managed Rule: api-gw-execution-logging-enabled

アラート条件

黄: 実行 CloudWatch ログ収集のログ記録設定は、Amazon API Gateway の必要なログ記録レベルで有効になっていません。

[Recommended Action] (推奨されるアクション)

Amazon API Gateway の実行ログの CloudWatch ログ記録を有効にするRESTAPIsか、適切なログ記録レベル (ERROR、) WebSocket APIsを使用しますINFO。

詳細については、「フローログの作成」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Amazon API Gateway RESTAPIsで AWS X-Ray トレースが有効になっているかどうかを確認します。

の X-Ray API トレースをオンにRESTAPIsして、APIゲートウェイがトレース情報を使用して呼び出しリクエストをサンプリングできるようにします。これにより、を利用して、リクエスト AWS X-Ray が API Gateway を経由してダウンストリームサービスRESTAPIsに移動するときに、リクエストを追跡および分析できます。

詳細については、「X-Ray RESTAPIsを使用したへのユーザーリクエストのトレース」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz126

ソース

AWS Config Managed Rule: api-gw-xray-enabled

アラート条件

黄: APIゲートウェイの X-Ray REST トレースはオンになっていませんAPI。

[Recommended Action] (推奨されるアクション)

API Gateway の X-Ray REST トレースを有効にしますAPIs。

詳細については、API「ゲートウェイでのセットアップ AWS X-Ray 」を参照してくださいRESTAPIs。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Amazon S3 サーバーアクセスログから情報をキャプチャするように Amazon CloudFront ディストリビューションが設定されているかどうかを確認します。Amazon S3 サーバーアクセスログには、が CloudFront 受信するすべてのユーザーリクエストに関する詳細情報が含まれています。

AWS Config ルールの Amazon S3 S3BucketName バケットの名前を調整できます。

詳細については、「標準ログ (アクセスログ) の設定および使用」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz110

ソース

AWS Config Managed Rule: cloudfront-accesslogs-enabled

アラート条件

黄: Amazon CloudFront アクセスログ記録が有効になっていません

[Recommended Action] (推奨されるアクション)

アクセス CloudFront ログを有効にして、が CloudFront 受信するすべてのユーザーリクエストに関する詳細情報をキャプチャします。

ディストリビューションを作成または更新するとき、標準ログをオンにできます。

詳細については、「ディストリビューションを作成または更新する場合に指定する値」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Amazon CloudWatch アラームアクションが無効な状態にあるかどうかを確認します。

を使用して AWS CLI 、アラームのアクション機能を有効または無効にできます。または、を使用して、アクション機能をプログラムで無効化または有効化できます AWS SDK。アラームアクション機能がオフになっている場合、どの状態 (OK、INSUFFICIENT_DATA、) でも定義されたアクションを実行 CloudWatch しませんALARM。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz109

ソース

AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check

アラート条件

黄: Amazon CloudWatch アラームアクションが有効になっていません。どのアラーム状態でもアクションが実行されません。

[Recommended Action] (推奨されるアクション)

テスト目的など、アラームを無効にする正当な理由がない限り、 CloudWatch アラームでアクションを有効にします。

CloudWatch アラームが不要になった場合は、不要なコストが発生しないように削除してください。

詳細については、 AWS CLI 「コマンドリファレンスenable-alarm-actions」の「」と「Go API リファレンス」の AWS SDK「 func (*CloudWatch） EnableAlarmActions」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

アカウントの Amazon EC2インスタンスがによって管理されているかどうかを確認します AWS Systems Manager。

Systems Manager は、Amazon EC2インスタンスと OS 設定の現在の状態を理解し、制御するのに役立ちます。Systems Manager を使用すると、インスタンスのフリートに関するソフトウェア設定とインベントリ情報 (インスタンスにインストールされているソフトウェアを含む) を収集できます。これにより、詳細なシステム設定、OS パッチレベル、アプリケーション設定、デプロイに関するその他の詳細を追跡することができます。

詳細については、EC2「インスタンスの Systems Manager のセットアップ」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz145

ソース

AWS Config Managed Rule: ec2-instance-managed-by-systems-manager

アラート条件

黄: Amazon EC2インスタンスは Systems Manager によって管理されません。

[Recommended Action] (推奨されるアクション)

Systems Manager によって管理されるように Amazon EC2インスタンスを設定します。

このチェックを Trusted Advisor コンソールのビューから除外することはできません。

詳細については、EC2「インスタンスがマネージドノードとして表示されない理由」または「接続が失われた」ステータスが Systems Manager に表示されるのはなぜですか？「」を参照してください。

その他のリソース

EC2インスタンスの Systems Manager のセットアップ

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

プライベート Amazon ECRリポジトリでイメージタグのイミュータビリティが有効になっているかどうかを確認します。

プライベート Amazon ECRリポジトリのイメージタグのイミュータビリティをオンにして、イメージタグが上書きされないようにします。これにより、イメージを追跡して一意に識別する信頼できるメカニズムとして、説明タグを使用できます。例えば、イメージタグの不変性がオンになっている場合、ユーザーはイメージタグを使用して、デプロイされたイメージバージョンと、そのイメージを生成したビルドを確実に関連付けることができます。

詳細については、「イメージタグの変更可能性」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz129

ソース

AWS Config Managed Rule: ecr-private-tag-immutability-enabled

アラート条件

黄: Amazon ECRプライベートリポジトリでは、タグのイミュータブルが有効になっていません。

[Recommended Action] (推奨されるアクション)

Amazon ECRプライベートリポジトリのイメージタグのイミュータビリティを有効にします。

詳細については、「イメージタグの変更可能性」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Amazon ECSクラスターで Amazon CloudWatch Container Insights が有効になっているかどうかを確認します。

CloudWatch Container Insights は、コンテナ化されたアプリケーションとマイクロサービスからメトリクスとログを収集、集約、要約します。メトリクスには、、メモリCPU、ディスク、ネットワークなどのリソースの使用率が含まれます。

詳細については、「Amazon ECS CloudWatch Container Insights」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz173

ソース

AWS Config Managed Rule: ecs-container-insights-enabled

アラート条件

黄: Amazon ECSクラスターでコンテナインサイトが有効になっていません。

[Recommended Action] (推奨されるアクション)

Amazon ECSクラスターで CloudWatch Container Insights を有効にします。

詳細については、「Container Insights の使用」を参照してください。

その他のリソース

Amazon ECS CloudWatch Container Insights

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

アクティブな Amazon ECSタスク定義でログ設定が設定されているかどうかを確認します。

Amazon ECSタスク定義でログ設定を確認すると、コンテナによって生成されたログが正しく設定され、保存されていることを確認します。これにより、より迅速に問題を特定してトラブルシューティングすることができ、パフォーマンスを最適化して、コンプライアンス要件を満たすことができます。

デフォルトでは、コンテナをローカルに実行した場合、キャプチャされるログは通常インタラクティブターミナルにコマンド出力を表示します。awslogs ドライバーは、これらのログを Docker から Amazon CloudWatch Logs に渡します。

詳細については、「awslogs ログドライバーを使用する」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz175

ソース

AWS Config Managed Rule: ecs-task-definition-log-configuration

アラート条件

黄: Amazon ECSタスク定義にログ記録設定がありません。

[Recommended Action] (推奨されるアクション)

Logs または別のログドライバーにログ情報を送信するには、コンテナ定義で CloudWatch ログドライバー設定を指定することを検討してください。

詳細については、「」を参照してくださいLogConfiguration。

その他のリソース

Logs または別のログドライバーにログ情報を送信するには、コンテナ定義で CloudWatch ログドライバー設定を指定することを検討してください。

詳細については、「タスク定義の例」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Amazon OpenSearch Service ドメインが Amazon CloudWatch Logs にログを送信するように設定されているかどうかを確認します。

ログのモニタリングは、 OpenSearch サービスの信頼性、可用性、パフォーマンスを維持するために重要です。

検索スローログ、インデックス作成スローログ、およびエラーログは、ワークロードのパフォーマンスや安定性の問題をトラブルシューティングするのに役立ちます。これらのログを有効にしてデータをキャプチャする必要があります。

AWS Config ルールの logTypesパラメータを使用して、フィルタリングするログタイプ (エラー、検索、インデックス) を指定できます。

詳細については、「Amazon OpenSearch Service ドメインのモニタリング」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz184

ソース

AWS Config Managed Rule: opensearch-logs-to-cloudwatch

アラート条件

黄: Amazon OpenSearch Service には Amazon CloudWatch Logs を使用したログ記録設定がありません

[Recommended Action] (推奨されるアクション)

ログを CloudWatch Logs に発行するように OpenSearch サービスドメインを設定します。

詳細については、「ログ発行を有効にする (コンソール)」を参照してください。

その他のリソース

Amazon による OpenSearch Service クラスターメトリクスのモニタリング CloudWatch

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

DB クラスター内のすべての DB インスタンスが同じ DB パラメータグループを使用することをお勧めします。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

注記

DB インスタンスまたは DB クラスターが停止すると、3～5 Trusted Advisor 日間の Amazon レRDSコメンデーションをで表示できます。5 日後、レコメンデーションはでは使用できません Trusted Advisor。レコメンデーションを表示するには、Amazon RDSコンソールを開き、レコメンデーション を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS管理コンソールでは使用できません。

チェック ID

c1qf5bt010

アラート条件

黄色: DB クラスターには、異種のパラメータグループを持つ DB インスタンスがあります。

[Recommended Action] (推奨されるアクション)

DB インスタンスを、DB クラスター内のライターインスタンスに関連付けられた DB パラメータグループに、関連付けます。

その他のリソース

DB クラスター内の DB インスタンスが異なる DB パラメータグループを使用している場合、フェイルオーバー時に動作が一貫しなかったり、DB クラスター内の DB インスタンス間の互換性の問題が発生したりする可能性があります。

詳細については、「パラメータグループの操作」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
推奨値
エンジン名
最終更新日時

説明

データベースリソースでは拡張モニタリングが有効になっていません。拡張モニタリングにより、モニタリングとトラブルシューティングのためのリアルタイムのオペレーティングシステムメトリクスが提供されます。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

注記

DB インスタンスまたは DB クラスターが停止すると、3～5 Trusted Advisor 日間の Amazon レRDSコメンデーションをで表示できます。5 日後、レコメンデーションはでは使用できません Trusted Advisor。レコメンデーションを表示するには、Amazon RDSコンソールを開き、レコメンデーション を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS管理コンソールでは使用できません。

チェック ID

c1qf5bt004

アラート条件

黄: Amazon RDSリソースで拡張モニタリングが有効になっていません。

[Recommended Action] (推奨されるアクション)

Enhanced monitoring] を有効にします。

その他のリソース

Amazon の拡張モニタリングRDSは、DB インスタンスの正常性をさらに可視化します。拡張モニタリングを有効にすることをお勧めします。DB インスタンスで拡張モニタリングオプションを有効にすると、重要なオペレーティングシステムメトリクスとプロセス情報が収集されます。

詳細については、「拡張モニタリングを使用した OS メトリクスのモニタリング」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
推奨値
エンジン名
最終更新日時

説明

Amazon RDS Performance Insights は DB インスタンスの負荷をモニタリングし、データベースのパフォーマンス問題を分析して解決します。Performance Insights を有効にすることをお勧めします。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

注記

DB インスタンスまたは DB クラスターが停止すると、3～5 Trusted Advisor 日間の Amazon レRDSコメンデーションをで表示できます。5 日後、レコメンデーションはでは使用できません Trusted Advisor。レコメンデーションを表示するには、Amazon RDSコンソールを開き、レコメンデーション を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS管理コンソールでは使用できません。

チェック ID

c1qf5bt012

アラート条件

黄: Amazon RDSリソースで Performance Insights が有効になっていません。

[Recommended Action] (推奨されるアクション)

Performance Insights をオンにします。

その他のリソース

Performance Insights では、アプリケーションのパフォーマンスに影響を与えない軽量なデータ収集方法を使用しています。Performance Insights は、データベースの負荷を迅速に評価することができます。

詳細については、「Amazon での Performance Insights による DB ロードのモニタリングRDS」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
推奨値
エンジン名
最終更新日時

説明

track_counts パラメータが無効の場合、データベースはデータベースアクティビティ統計を収集しません。自動バキュームでは、これらの統計が正しく機能する必要があります。

track_counts パラメータを 1 に設定することをお勧めします。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか除外できます。

注記

DB インスタンスまたは DB クラスターが停止すると、3～5 Trusted Advisor 日間の Amazon レRDSコメンデーションをで表示できます。5 日後、レコメンデーションはでは使用できません Trusted Advisor。レコメンデーションを表示するには、Amazon RDSコンソールを開き、レコメンデーション を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連付けられたレコメンデーションは、 Trusted Advisor または Amazon RDS管理コンソールでは使用できません。

チェック ID

c1qf5bt027

アラート条件

黄色: DB パラメータグループの track_counts パラメータは無効になっています。

[Recommended Action] (推奨されるアクション)

track_counts パラメーターを 1 に設定します。

その他のリソース

track_counts パラメータが無効の場合、データベースアクティビティ統計の収集が無効になります。自動バキュームデーモンは、自動バキューム処理と自動分析の対象となるテーブルを識別するために、収集した統計情報を必要とします。

詳細については、Postgre ドキュメントウェブサイトの「Postgre のランタイム統計SQL」を参照してください。SQL

[Report columns] (レポート列)

ステータス
リージョン
リソース
パラメータ値
推奨値
最終更新日時

説明

Amazon Redshift クラスターでデータベース監査ログが有効になっているかどうかを確認します。Amazon Redshift は、データベースの接続とユーザーアクティビティに関する情報を記録します。

AWS Config ルールの bucketNamesパラメータで一致するログ記録 Amazon S3 バケット名を指定できます。

詳細については、「データベース監査ログ作成」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz134

ソース

AWS Config Managed Rule: redshift-audit-logging-enabled

アラート条件

黄: Amazon Redshift クラスターのデータベース監査ログが無効になっています

[Recommended Action] (推奨されるアクション)

Amazon Redshift クラスターのログ記録とモニタリングを有効化してください。

詳細については、「コンソールを使用して監査を設定する」を参照してください。

その他のリソース

Amazon Redshift でのログ作成とモニタリング

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Amazon Simple Storage Service バケットのログ記録設定を確認します。

サーバーアクセスログを有効にすると、指定された Amazon S3 バケットに詳細なアクセスログが 1 時間ごとに配信されます。アクセスログには、タイプ、指定されたリソース、処理日時などのリクエストの詳細が含まれます。デフォルトでは、ログは無効化されています。お客様は、セキュリティ監査を実行したり、ユーザーの動作や使用状況パターンを分析したりするために、アクセスログを有効にする必要があります。

ログ記録が最初にアクティブ化されると、設定は自動的に検証されます。ただし、今後の変更により、ログが失敗する可能性があります。現在、このチェックでは Amazon S3 バケットの書き込みアクセス許可は検証されないことに注意してください。

チェック ID

c1fd6b96l4

アラート条件

黄: バケットでサーバーアクセスのログ記録が有効になっていません。
黄: ターゲットバケットの許可にルートアカウントが含まれていないため、 Trusted Advisor は確認できません。
赤: ターゲットバケットが存在しません。
赤: ターゲットバケットとソースバケットの所有者が異なります。
緑: バケットでサーバーアクセスログ記録が有効になっている、ターゲットが存在する、ターゲットに書き込むアクセス許可が存在する

[Recommended Action] (推奨されるアクション)

関連するすべての Amazon S3 バケットのサーバーアクセスログ記録を有効にします。サーバーアクセスログは、バケットアクセスパターンを理解し、疑わしいアクティビティを調査するために使用できる監査証跡を提供します。該当するすべてのバケットでログ記録を有効にすると、Amazon S3 環境全体のアクセスイベントの可視性が向上します。「Enabling Logging Using the Console」(コンソールを使用してログ記録を有効にする) および「Enabling Logging Programmatically」(プログラムを使用してログ記録を有効にする) を参照してください。

ターゲットバケットの許可にルートアカウントが含まれておらず、 Trusted Advisor にログ記録ステータスを確認させる場合は、ルートアカウントを被付与者として追加します。「Editing Bucket Permissions」(バケット許可の編集) を参照してください。

ターゲットバケットが存在しない場合は、既存のバケットをターゲットとして選択するか、新しいバケットを作成して選択します。「Managing Bucket Logging」(バケットのログ記録の管理) を参照してください。

ターゲットとソースの所有者が異なる場合は、ターゲットバケットを、ソースバケットと同じ所有者を持つバケットに変更します。「Managing Bucket Logging」(バケットのログ記録の管理) を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
リソース ARN
バケット名
ターゲット名
ターゲットが存在
同じ所有者
書き込み有効
理由
最終更新日時

説明

Amazon S3 イベント通知が有効になっているかどうか、目的の送信先またはタイプで正しく設定されているかどうかを確認します。

Amazon S3 イベント通知機能では、S3 バケットで特定のイベントが発生したときに通知を送信します。Amazon S3 は、Amazon SQSキュー、Amazon SNSトピック、および AWS Lambda 関数に通知メッセージを送信できます。

AWS Config ルールのおよび eventTypesパラメータを使用して、目的の送信先destinationArnとイベントタイプを指定できます。

詳細については、「Amazon S3 イベント通知」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz163

ソース

AWS Config Managed Rule: s3-event-notifications-enabled

アラート条件

黄: Amazon S3 でイベント通知が有効になっていないか、目的の送信先またはタイプが設定されていません。

[Recommended Action] (推奨されるアクション)

オブジェクトイベントとバケットイベントに対して Amazon S3 イベント通知を設定します。

詳細については、「Amazon S3 コンソールを使用したイベント通知の有効化と設定」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Amazon SNSトピックでメッセージ配信ステータスのログ記録が有効になっているかどうかを確認します。

メッセージ配信ステータスをログ記録するための Amazon SNSトピックを設定して、運用上のインサイトを向上させます。例えば、メッセージ配信ログ記録は、メッセージが特定の Amazon SNSエンドポイントに配信されたかどうかを確認します。また、エンドポイントから送信された応答を識別するのにも役立ちます。

詳細については、「Amazon SNS メッセージ配信ステータス」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz121

ソース

AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled

アラート条件

黄: Amazon SNSトピックのメッセージ配信ステータスログはオンになっていません。

[Recommended Action] (推奨されるアクション)

SNS トピックのメッセージ配信ステータスのログ記録を有効にします。

詳細については、AWS「マネジメントコンソールを使用した配信ステータスのログ記録の設定」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Amazon Virtual Private Cloud Flow Logs が用に作成されているかどうかを確認しますVPC。

AWS Config ルールの trafficTypeパラメータを使用してトラフィックタイプを指定できます。

詳細については、VPC「Flow Logs を使用した IP トラフィックのログ記録」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz122

ソース

AWS Config Managed Rule: vpc-flow-logs-enabled

アラート条件

黄: Amazon VPC Flow Logs VPCs がありません。

[Recommended Action] (推奨されるアクション)

各のVPCフローログを作成しますVPCs。

詳細については、「フローログの作成」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Application Load Balancer と Classic Load Balancer でアクセスログ記録が有効になっているかどうかを確認します。

Elastic Load Balancing は、ロードバランサーに送信されるリクエストに関する詳細情報をキャプチャしたアクセスログを提供します。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。これらのアクセスログを使用して、トラフィックパターンを分析し、問題のトラブルシューティングを行えます。

アクセスログの作成は、Elastic Load Balancing のオプション機能であり、デフォルトでは無効化されています。ロードバランサーのアクセスログの作成を有効にすると、Elastic Load Balancing はログをキャプチャし、そのログを指定した Amazon S3 バケット内に保存します。

AWS Config ルールの sAmazon S33BucketNames バケットを指定できます。

詳細については、「Application Load Balancer のアクセスログ」または「Access logs for your Classic Load Balancer」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz167

ソース

AWS Config Managed Rule: elb-logging-enabled

アラート条件

黄: Application Load Balancer または Classic Load Balancer に対して、アクセスログ機能が有効になっていません。

[Recommended Action] (推奨されるアクション)

Application Load Balancer および Classic Load Balancer のアクセスログを有効にしてください。

詳細については、「Application Load Balancer のアクセスログを有効にする」または「Enable access logs for your Classic Load Balancer」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

すべての AWS CloudFormation スタックが Amazon を使用してイベントが発生したときに通知SNSを受信するかどうかを確認します。

このチェックを設定して、 AWS Config ルールのパラメータARNsを使用して特定の Amazon SNSトピックを検索できます。

詳細については、AWS CloudFormation「スタックオプションの設定」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz111

ソース

AWS Config Managed Rule: cloudformation-stack-notification-check

アラート条件

黄: AWS CloudFormation スタックの Amazon SNSイベント通知はオンになりません。

[Recommended Action] (推奨されるアクション)

イベントが発生したときに AWS CloudFormation 、スタックが Amazon を使用して通知SNSを受信していることを確認します。

スタックイベントをモニタリングすると、 AWS 環境を変化させる可能性のある不正なアクションにすばやく対応できます。

その他のリソース

AWS CloudFormation スタックが ROLLBACK_IN_PROGRESS ステータスになったときに E メールアラートを受け取るにはどうすればよいですか？

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

少なくとも 1 つの AWS CloudTrail 証跡がすべての Amazon S3 バケットの Amazon S3 データイベントをログに記録するかどうかを確認します。

詳細については、「を使用した Amazon S3 API呼び出しのログ記録 AWS CloudTrail」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz166

ソース

AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled

アラート条件

Amazon S3 バケットの黄： AWS CloudTrail イベントログ記録が設定されていません

[Recommended Action] (推奨されるアクション)

Amazon S3 バケットとオブジェクトの CloudTrail イベントログ記録を有効にして、ターゲットバケットアクセスのリクエストを追跡します。

詳細については、S3 バケットとオブジェクトの CloudTrail イベントログ記録の有効化」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

AWS CodeBuild プロジェクト環境がログ記録を使用しているかどうかを確認します。ログ記録オプションは、Amazon CloudWatch Logs のログ、指定された Amazon S3 バケットに組み込まれたログ、またはその両方です。 CodeBuild プロジェクトのログ記録を有効にすると、デバッグや監査など、いくつかの利点があります。

AWS Config ルールの Amazon S33BucketNames バケットまたは CloudWatch Logs グループの名前を指定できます。 cloudWatchGroup

詳細については、「のモニタリング AWS CodeBuild」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz113

ソース

AWS Config Managed Rule: codebuild-project-logging-enabled

アラート条件

黄： AWS CodeBuild プロジェクトのログ記録が有効になっていません。

[Recommended Action] (推奨されるアクション)

AWS CodeBuild プロジェクトでログ記録が有効になっていることを確認します。このチェックを AWS Trusted Advisor コンソールのビューから除外することはできません。

詳細については、「のログ記録とモニタリング AWS CodeBuild」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

デプロイグループに、アラームがアタッチされた自動デプロイロールバックとデプロイモニタリングが設定されているかどうかを確認します。デプロイ中に問題が発生した場合、自動的にロールバックされ、アプリケーションは安定した状態を維持します。

詳細については、「を使用したデプロイの再デプロイとロールバック CodeDeploy」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz114

ソース

AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled

アラート条件

黄： AWS CodeDeploy 自動デプロイのロールバックとデプロイのモニタリングは有効になっていません。

[Recommended Action] (推奨されるアクション)

デプロイが失敗した場合、または指定した監視しきい値に達した場合、自動的にロールバックするように、デプロイグループまたはデプロイを設定してください。

デプロイプロセス中に、CPU使用状況、メモリ使用量、ネットワークトラフィックなどのさまざまなメトリクスをモニタリングするようにアラームを設定します。これらのメトリクスのいずれかが特定のしきい値を超えると、アラームが起動し、デプロイが停止またはロールバックされます。

デプロイグループの自動ロールバックとアラームの設定については、「Configure advanced options for a deployment group」を参照してください。

その他のリソース

とは CodeDeploy

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

AWS Lambda コンピューティングプラットフォームの AWS CodeDeploy デプロイグループがデプロイ設定を使用している all-at-onceかどうかを確認します。

での Lambda 関数のデプロイ失敗のリスクを減らすには CodeDeploy、すべてのトラフィックが元の Lambda 関数から更新された関数に一度に移行されるデフォルトのオプションではなく、Canary または線形デプロイ設定を使用することをお勧めします。

詳細については、「Lambda 関数のバージョン」と「デプロイ設定」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz115

ソース

AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled

アラート条件

Yellow: AWS CodeDeploy Lambda デプロイでは、 all-at-onceデプロイ設定を使用して、すべてのトラフィックを更新された Lambda 関数に一度にシフトします。

[Recommended Action] (推奨されるアクション)

Lambda コンピューティングプラットフォームのデプロイグループの Canary または Linear CodeDeploy デプロイ設定を使用します。

その他のリソース

Deployment configuration

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

拡張ヘルスレポート用に AWS Elastic Beanstalk 環境が設定されているかどうかを確認します。

Elastic Beanstalk 拡張ヘルスレポートは、CPU使用状況、メモリ使用量、ネットワークトラフィック、インスタンス数やロードバランサーのステータスなどのインフラストラクチャヘルス情報などの詳細なパフォーマンスメトリクスを提供します。

詳細については、「拡張ヘルスレポートおよびモニタリング」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz108

ソース

AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled

アラート条件

黄: Elastic Beanstalk 環境が拡張ヘルスレポートを作成するように設定されていません。

[Recommended Action] (推奨されるアクション)

Elastic Beanstalk 環境が拡張ヘルスレポートを作成できるように設定されているかどうかを確認してください。

詳細については、「Elastic Beanstalk コンソールを使用した拡張ヘルスレポートの有効化」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Elastic Beanstalk 環境と設定テンプレートでマネージドプラットフォームの更新が有効になっているかどうかを確認します。

AWS Elastic Beanstalk は、プラットフォームの更新を定期的にリリースして、修正、ソフトウェアの更新、新機能を提供します。マネージドプラットフォーム更新により、Elastic Beanstalk で新しいパッチやマイナープラットフォームバージョンのプラットフォーム更新を自動的に実行することができます。

AWS Config ルールのUpdateLevelパラメータで必要な更新レベルを指定できます。

詳細については、「Elastic Beanstalk 環境のプラットフォームバージョンの更新」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz177

ソース

AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled

アラート条件

黄: AWS Elastic Beanstalk マネージドプラットフォームの更新は、マイナーレベルやパッチレベルなど、まったく設定されていません。

[Recommended Action] (推奨されるアクション)

Elastic Beanstalk 環境でマネージドプラットフォーム更新を有効にするか、マネージドプラットフォーム更新をマイナーレベルまたは更新レベルで設定してください。

詳細については、「マネージドプラットフォーム更新」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Amazon ECSが最新のプラットフォームバージョンのを実行しているかどうかを確認します AWS Fargate。Fargate プラットフォームバージョンでは、Fargate タスクインフラストラクチャの特定のランタイム環境を参照することができます。これは、カーネルとコンテナのランタイムバージョンの組み合わせです。新しいプラットフォームのバージョンは、ランタイム環境の進化に伴ってリリースされます。例えば、カーネルやオペレーティングシステムの更新、新機能、バグ修正、セキュリティ更新があったときにリリースされます。

詳細については、「Fargate タスクのメンテナンス」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz174

ソース

AWS Config Managed Rule: ecs-fargate-latest-platform-version

アラート条件

黄: Amazon ECSは、Fargate プラットフォームの最新バージョンでは実行されていません。

[Recommended Action] (推奨されるアクション)

最新の Fargate プラットフォームバージョンに更新してください。

詳細については、「Fargate タスクのメンテナンス」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

インスタンスでの AWS Systems Manager 関連付け実行後に、関連付けコンプライアンスのステータスが COMPLIANTまたは NON_COMPLIANT かどうかを確認します。

の一機能である State Manager は AWS Systems Manager、マネージドノードやその他の AWS リソースを定義した状態に保つプロセスを自動化する安全でスケーラブルな設定管理サービスです。ステートマネージャーの関連付けは、 AWS リソースに割り当てる設定です。設定は、リソースで維持する状態を定義するため、Amazon EC2インスタンス全体の設定ドリフトを回避するなど、ターゲットの達成に役立ちます。

詳細については、「AWS Systems Manager State Manager」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz147

ソース

AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check

アラート条件

黄: AWS Systems Manager 関連付けコンプライアンスのステータスは NON_ ですCOMPLIANT。

[Recommended Action] (推奨されるアクション)

ステートマネージャーの関連付けのステータスを検証し、ステータスをに戻すために必要なアクションを実行しますCOMPLIANT。

詳細については、「About State Manager」を参照してください。

その他のリソース

AWS Systems Manager ステートマネージャー

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

ログにログを送信するように AWS CloudTrail 証跡が設定されているかどうかを確認します CloudWatch 。

CloudTrail ログファイルを CloudWatch ログでモニタリングして、重要なイベントがにキャプチャされたときに自動応答をトリガーします AWS CloudTrail。

詳細については、 CloudWatch 「 CloudTrail ログによるログファイルのモニタリング」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz164

ソース

AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled

アラート条件

黄: CloudWatch Logs 統合では設定 AWS CloudTrail されません。

[Recommended Action] (推奨されるアクション)

ログイベントを CloudWatch ログに送信するように CloudTrail 証跡を設定します。

詳細については、 CloudTrail 「イベントの CloudWatch アラームの作成: 例」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

ロードバランサーの削除保護が有効になっているかどうかを確認します。

Elastic Load Balancing は、Application Load Balancer、Network Load Balancer、Gateway Load Balancer の削除保護をサポートします。ロードバランサーが誤って削除されるのを防ぐために、削除保護を有効にします。ロードバランサーを作成すると、デフォルトで削除保護はオフになります。ロードバランサーが本番環境の一部である場合は、削除保護を有効にすることを検討してください。

アクセスログの作成は、Elastic Load Balancing のオプション機能であり、デフォルトでは無効化されています。ロードバランサーのアクセスログの作成を有効にすると、Elastic Load Balancing はログをキャプチャし、そのログを指定した Amazon S3 バケット内に保存します。

詳細については、「Application Load Balancer の削除保護」、「Network Load Balancer の削除保護」、または「Gateway Load Balancer の削除保護」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz168

ソース

AWS Config Managed Rule: elb-deletion-protection-enabled

アラート条件

黄: ロードバランサーの削除保護が有効になっていません。

[Recommended Action] (推奨されるアクション)

Application Load Balancer、Network Load Balancer、Gateway Load Balancer の削除保護を有効にしてください。

詳細については、「Application Load Balancer の削除保護」、「Network Load Balancer の削除保護」、または「Gateway Load Balancer の削除保護」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Amazon RDS DB クラスターで削除保護が有効になっているかどうかを確認します。

クラスターの削除保護を設定すると、どのユーザーもデータベースを削除できません。

削除保護は、Amazon Aurora および RDS My SQL、RDSMariaDB 、RDSOracle、RDSPostgre SQL、およびすべての AWS リージョンのSQLサーバーデータベースインスタンスRDSで使用できます。

詳細については、「Aurora クラスターの削除保護」を参照してください。

チェック ID

c18d2gz160

ソース

AWS Config Managed Rule: rds-cluster-deletion-protection-enabled

アラート条件

黄: 削除保護が有効になっていない Amazon RDS DB クラスターがあります。

[Recommended Action] (推奨されるアクション)

Amazon RDS DB クラスターを作成するときに削除保護をオンにします。

削除保護が有効になっていないクラスターのみ削除できます。削除保護を有効にすると、保護レイヤーがさらに強化され、データベースインスタンスが偶発的または意図的に削除されることによるデータ損失を回避できます。削除保護は、規制コンプライアンス要件への対応やビジネスの継続性を確保することにも役立ちます。

詳細については、「Aurora クラスターの削除保護」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか除外できます。

その他のリソース

Aurora クラスターの削除保護

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

Amazon RDS DB インスタンスに自動マイナーバージョンアップグレードが設定されているかどうかを確認します。

Amazon RDSインスタンスの自動マイナーバージョンアップグレードを有効にして、データベースが常に最新の安全で安定したバージョンを実行していることを確認します。マイナーアップグレードでは、セキュリティ更新、バグ修正、パフォーマンスの向上が提供され、既存のアプリケーションとの互換性が維持されます。

詳細については、「DB インスタンスのエンジンバージョンのアップグレード」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

Business、Enterprise On-Ramp、または Enterprise Support のお客様は、を使用して 1 つ以上のリソースBatchUpdateRecommendationResourceExclusionAPIを Trusted Advisor 結果に含めるか、結果から除外できます。

チェック ID

c18d2gz155

ソース

AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled

アラート条件

黄: RDS DB インスタンスでは、マイナーバージョンの自動アップグレードが有効になっていません。

[Recommended Action] (推奨されるアクション)

Amazon RDS DB インスタンスを作成するときに、マイナーバージョンの自動アップグレードを有効にします。

マイナーバージョンアップグレードを有効にすると、マイナーエンジンバージョンの自動アップグレードより低い DB エンジンのマイナーバージョンを実行中のデータベースバージョンは、自動的にアップグレードされます。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

運用上の優秀性

チェック名

Amazon API Gateway の実行ログのログ記録なし

注記

X-Ray トレースが有効になっていRESTAPIsない Amazon API Gateway

注記

Amazon CloudFront アクセスログの設定

注記

Amazon CloudWatch アラームアクションが無効になっています

注記

によって管理されていない Amazon EC2 インスタンス AWS Systems Manager

注記

タグイミュータビリティが無効になっている Amazon ECR リポジトリ

注記

Container Insights が無効になっている Amazon ECSクラスター

注記

Amazon ECSタスクログ記録が有効になっていません

注記

Amazon OpenSearch Service のログ記録が設定され CloudWatch ていません

注記

異種パラメータグループを持つクラスター内の Amazon RDS DB インスタンス

注記

注記

Amazon RDS Enhanced Monitoring がオフになっている

注記

注記

Amazon RDS Performance Insights がオフになっている

注記

注記

Amazon RDS track_counts パラメータがオフになっている

注記

注記

Amazon Redshift クラスター監査ログ

注記

Amazon S3 アクセスログが有効

Amazon S3 でイベント通知が有効になっていない

注記

Amazon SNS トピックがメッセージ配信ステータスを記録しない

注記

フローログVPCのない Amazon

注記

アクセスログが有効になっていない Application Load Balancer および Classic Load Balancer

注記

AWS CloudFormation スタック通知

注記

AWS CloudTrail S3 バケット内のオブジェクトのデータイベントログ記録

注記

AWS CodeBuild プロジェクトログ記録

注記

AWS CodeDeploy Auto Rollback と Monitor 有効

注記

AWS CodeDeploy Lambda はデプロイ設定を使用しています all-at-once

注記

AWS Elastic Beanstalk 拡張ヘルスレポートが設定されていません

注記

AWS Elastic Beanstalk Managed Platform Updates が無効になっている場合

注記

AWS Fargate プラットフォームバージョンが最新ではありません

注記

AWS Systems Manager 非準拠ステータスのステートマネージャーの関連付け

注記

CloudTrail 証跡が Amazon CloudWatch Logs で設定されていない

注記

ロードバランサーの Elastic Load Balancing 削除保護が有効になっていない

注記

RDS DB クラスター削除保護チェック

注記

RDS DB インスタンスの自動マイナーバージョンアップグレードチェック

注記