本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
卓越操作
您可以对卓越运营类别使用以下检查。
检查名称
Amazon API Gateway 未记录执行日志
- 描述
-
检查 Amazon API Gateway 是否在所需的 CloudWatch 日志级别开启了日志。
在 CloudWatch Amazon API Gateway 中启 WebSocket 用 REST API 方法或 API 路由的日志记录,以便在 CloudWatch 日志中收集您收到的请求的执行日志 APIs。执行日志中包含的信息有助于识别和排查与您的 API 相关的问题。
您可以在规则的 LoggingLevel 参数中指定日志级别(错误、信息)ID。 AWS Config
有关 CloudWatch 登录 Amazon API Gateway 的更多信息,请参阅 REST API 或 WebSocket API 文档。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz125 - 来源
-
AWS Config Managed Rule: api-gw-execution-logging-enabled - 提醒条件
-
黄色:未在 CloudWatch Amazon API Gateway 所需的日志级别上启用执行日志收集的日志设置。
- Recommended Action(建议的操作)
-
开启对 CloudWatch 您的 Amazon API Gateway REST 的执行日志 APIs或WebSocket APIs相应的日志级别(错误、信息)的日志记录。
有关更多信息,请参阅创建流日志
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
APIs 未启用 X 射线追踪的 Amazon API Gateway REST
- 描述
-
检查 Amazon API Gateway REST 是否开启 APIs 了 AWS X-Ray 追踪功能。
为你的 REST 启用 X-Ray 跟踪 APIs ,允许 API Gateway 使用跟踪信息对 API 调用请求进行采样。这样,当请求通过 API Gateway REST 传输 AWS X-Ray 到下游服务时,您就可以利用它 APIs 来跟踪和分析这些请求。
有关更多信息,请参阅 APIs 使用 X-Ray 跟踪用户对 REST 的请求。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz126 - 来源
-
AWS Config Managed Rule: api-gw-xray-enabled - 提醒条件
-
黄色:API Gateway REST API 未开启 X-Ray 跟踪。
- Recommended Action(建议的操作)
-
为你的 API Gateway REST 开启 X-REST 追踪 APIs。
有关更多信息,请参阅AWS X-Ray 使用 API Gateway REST 进行设置 APIs。
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
已配置亚马逊 CloudFront 访问日志
- 描述
-
检查 Amazon CloudFront 分配是否配置为从 Amazon S3 服务器访问日志中捕获信息。Amazon S3 服务器访问日志包含有关 CloudFront 收到的每个用户请求的详细信息。
您可以使用 AWS Config 规则中的 S3 BucketName 参数调整用于存储服务器访问日志的 Amaz on S3 存储桶的名称。
有关更多信息,请参阅配置和使用标准日志(访问日志)。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz110 - 来源
-
AWS Config Managed Rule: cloudfront-accesslogs-enabled - 提醒条件
-
黄色:未启用 Amazon CloudFront 访问日志
- Recommended Action(建议的操作)
-
请务必打开 CloudFront 访问日志记录以捕获有关 CloudFront 收到的每个用户请求的详细信息。
您可以在创建或更新分配时启用标准日志。
有关更多信息,请参阅您创建或更新分配时指定的值。
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
亚马逊 CloudWatch 警报操作已禁用
- 描述
-
检查您的 Amazon CloudWatch 警报操作是否处于禁用状态。
您可以使用启用或禁用闹钟中的操作功能。 AWS CLI 或者,您可以使用 AWS SDK 以编程方式禁用或启用操作功能。当警报操作功能关闭时,在任何状态下都 CloudWatch 不会执行任何定义的操作(OK、INSUFGIENT_DATA、ALARM)。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz109 - 来源
-
AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check - 提醒条件
-
黄色:未启用 Amazon CloudWatch 警报操作。在任何警报状态下均不会执行任何操作。
- Recommended Action(建议的操作)
-
在 CloudWatch 警报中启用操作,除非您有正当理由将其禁用,例如出于测试目的。
如果不再需要该 CloudWatch 警报,请将其删除,以免产生不必要的费用。
有关更多信息,请参阅enable-alarm-actions《 AWS CLI 命令参考》和《 AWS SDK for Go API 参考》 EnableAlarmActions中的 func (*CloudWatch)。
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
Amazon EC2 实例不是由管理的 AWS Systems Manager
- 描述
-
检查您账户中的 Amazon EC2 实例是否由管理 AWS Systems Manager。
Systems Manager 可帮助您了解和控制亚马逊 EC2 实例和操作系统配置的当前状态。使用 Systems Manager,您可以收集有关实例集的软件配置和清单信息,包括实例上安装的软件。这让您可以跟踪详细的系统配置、操作系统补丁级别、应用程序配置,以及有关部署的其他详细信息。
有关更多信息,请参阅为 EC2 实例设置 Systems Manager。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz145 - 来源
-
AWS Config Managed Rule: ec2-instance-managed-by-systems-manager - 提醒条件
-
黄色:亚马逊 EC2 实例不由 Systems Manager 管理。
- Recommended Action(建议的操作)
-
将您的亚马逊 EC2 实例配置为由 Systems Manager 管理。
无法将此支票排除在 Trusted Advisor 控制台的视图之外。
有关更多信息,请参阅为什么我的 EC2 实例在 Systems Manager 中没有显示为托管节点或显示 “连接丢失” 状态?
。 - 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
禁用标签不变性的 Amazon ECR 存储库
- 描述
-
检查私有 Amazon ECR 存储库是否开启了映像标签不变性。
为私有 Amazon ECR 存储库开启映像标签不变性,以防止映像标签被覆盖。这样就可以依靠描述性标签作为跟踪和唯一识别映像的可靠机制。例如,如果开启了映像标签不变性,则用户可以可靠地使用映像标签将已部署的映像版本与生成该映像的版本关联起来。
有关更多信息,请参阅映像标签可变性。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz129 - 来源
-
AWS Config Managed Rule: ecr-private-tag-immutability-enabled - 提醒条件
-
黄色:Amazon ECR 私有存储库未开启标签不变性。
- Recommended Action(建议的操作)
-
为您的 Amazon ECR 私有存储库开启映像标签不可变性。
有关更多信息,请参阅映像标签可变性。
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
禁用 Container Insights 的 Amazon ECS 集群
- 描述
-
检查您的 Amazon ECS 集群是否已开启亚马逊 CloudWatch 容器洞察。
CloudWatch Container Insights 收集、汇总和汇总来自容器化应用程序和微服务的指标和日志。指标包括资源的使用率,如 CPU、内存、磁盘和网络。
有关更多信息,请参阅 Amazon ECS CloudWatch 容器见解。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz173 - 来源
-
AWS Config Managed Rule: ecs-container-insights-enabled - 提醒条件
-
黄色:Amazon ECS 集群未启用 Container Insights。
- Recommended Action(建议的操作)
-
在您的 Amazon ECS 集群上开启 CloudWatch 容器见解。
有关更多信息,请参阅使用 Container Insights。
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
Amazon ECS 任务日志记录未启用
- 描述
-
检查是否在活动 Amazon ECS 任务定义上设置了日志配置。
检查 Amazon ECS 任务定义中的日志配置,确保容器生成的日志配置和存储正确。这有助于更快地发现和排查问题,优化性能以及满足合规性要求。
默认情况下,捕获的日志显示的命令输出是您在本地运行容器时在交互式终端上通常看到的内容。awslogs 驱动程序会将这些日志从 Docker 传递到亚马逊日志。 CloudWatch
有关更多信息,请参阅使用 awslogs 日志驱动程序。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz175 - 来源
-
AWS Config Managed Rule: ecs-task-definition-log-configuration - 提醒条件
-
黄色:Amazon ECS 任务定义没有日志记录配置。
- Recommended Action(建议的操作)
-
考虑在容器定义中指定日志驱动程序配置,将日志信息发送到 Lo CloudWatch gs 或其他日志驱动程序。
有关更多信息,请参阅 LogConfiguration。
- 其他资源
-
考虑在容器定义中指定日志驱动程序配置,将日志信息发送到 Lo CloudWatch gs 或其他日志驱动程序。
有关更多信息,请参阅示例任务定义。
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
CloudWatch 未配置亚马逊 OpenSearch 服务日志
- 描述
-
检查亚马逊 OpenSearch 服务域是否配置为向亚马逊日志发送 CloudWatch 日志。
监控日志对于维护 OpenSearch 服务的可靠性、可用性和性能至关重要。
搜索慢速日志、索引慢速日志和错误日志有助于对工作负载的性能和稳定性问题进行故障排除。需要启用这些日志才能捕获数据。
您可以使用 AWS Config 规则中的 LogTypes 参数指定要筛选的日志类型(错误、搜索、索引)。
有关更多信息,请参阅监控 Amazon OpenSearch 服务域。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz184 - 来源
-
AWS Config Managed Rule: opensearch-logs-to-cloudwatch - 提醒条件
-
黄色:亚马逊 OpenSearch 服务没有使用亚马逊日志的 CloudWatch 日志配置
- Recommended Action(建议的操作)
-
配置 OpenSearch 服务域以将日志发布到 CloudWatch 日志。
有关更多信息,请参阅启用日志发布(控制台)。
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
具有异构参数组的集群中的 Amazon RDS 数据库实例
- 描述
-
我们建议数据库集群中的所有数据库实例使用同一数据库参数组。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
注意
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择推荐。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
- 检查 ID
-
c1qf5bt010 - 提醒条件
-
黄色:数据库集群的数据库实例具有异构参数组。
- Recommended Action(建议的操作)
-
将数据库实例和与数据库集群中的写入器实例关联的数据库参数组相关联。
- 其他资源
-
当数据库集群中的数据库实例使用不同的数据库参数组时,在故障转移期间可能会出现不一致的行为或数据库集群中的数据库实例之间的兼容性问题。
有关更多信息,请参阅 Working with parameter groups。
- 报告列
-
-
状态
-
区域
-
资源
-
建议值
-
引擎名称
-
上次更新时间
-
Amazon RDS 增强监控已关闭
- 描述
-
您的数据库资源未开启增强监控。增强监控提供用于监控和故障排除的实时操作系统指标。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
注意
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择推荐。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
- 检查 ID
-
c1qf5bt004 - 提醒条件
-
黄色:Amazon RDS 资源未开启增强监控。
- Recommended Action(建议的操作)
-
打开增强监控。
- 其他资源
-
Amazon RDS 的增强监控功能可进一步了解数据库实例的运行状况。我们建议您开启增强监控。当您的数据库实例启用增强监控选项时,它会收集重要的操作系统指标和流程信息。
有关更多信息,请参阅使用增强监控来监控操作系统指标。
- 报告列
-
-
状态
-
区域
-
资源
-
建议值
-
引擎名称
-
上次更新时间
-
Amazon RDS Performance Insights
- 描述
-
Amazon RDS Performance Insights 监控您的数据库实例负载,以帮助您分析和解决数据库性能问题。建议您开启性能详情。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
注意
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择推荐。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
- 检查 ID
-
c1qf5bt012 - 提醒条件
-
黄色:Amazon RDS 资源未开启 Performance Insights。
- Recommended Action(建议的操作)
-
开启性能详情。
- 其他资源
-
Performance Insights 使用一种不会影响应用程序性能的轻量级数据收集方法。Performance Insights 可帮助您快速评估数据库负载。
有关更多信息,请参阅在 Amazon RDS 上使用 Performance Insights 监控数据库负载。
- 报告列
-
-
状态
-
区域
-
资源
-
建议值
-
引擎名称
-
上次更新时间
-
Amazon RDS track_counts 参数已关闭
- 描述
-
当 track_counts 参数关闭时,数据库不收集数据库活动统计信息。Autovacuum 需要这些统计信息才能正常工作。
我们建议你将 track_counts 参数设置为 1
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
注意
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择推荐。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
- 检查 ID
-
c1qf5bt027 - 提醒条件
-
黄色:数据库参数组已关闭 t rack_coun ts 参数。
- Recommended Action(建议的操作)
-
将 track_counts 参数设置为 1
- 其他资源
-
当 track_counts 参数关闭时,它将禁用数据库活动统计信息的收集。autovacuum 守护程序需要收集的统计数据来识别用于自动清理和自动分析的表。
有关更多信息,请参阅 PostgreSQL 文档网站上的 PostgreSQL 运行时统计
信息。 - 报告列
-
-
状态
-
区域
-
资源
-
参数值
-
建议值
-
上次更新时间
-
Amazon Redshift 集群审计日志记录
- 描述
-
检查您的 Amazon Redshift 集群是否已开启数据库审计日志记录。Amazon Redshift 记录您的数据库中的连接和用户活动相关信息。
您可以在规则的 BucketNam es 参数中指定要匹配的日志记录 Amazon S3 存储桶名称。 AWS Config
有关更多信息,请参阅数据库审核日志记录。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz134 - 来源
-
AWS Config Managed Rule: redshift-audit-logging-enabled - 提醒条件
-
黄色:Amazon Redshift 集群已禁用数据库审计日志记录
- Recommended Action(建议的操作)
-
为您的 Amazon Redshift 集群开启日志记录和监控。
有关更多信息,请参阅使用控制台配置审核。
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
已启用 Amazon S3 访问日志
- 描述
-
检查 Amazon 简单存储服务存储桶的日志配置。
激活服务器访问日志会将详细的每小时访问日志发送到指定的 Amazon S3 存储桶。访问日志包含请求的详细信息,包括类型、指定资源和处理时间/日期。默认情况下,日志记录处于关闭状态。客户应激活访问日志以执行安全审计或分析用户行为和使用模式。
最初激活日志记录时,会自动验证配置。但是,将来的修改可能会导致日志记录失败。请注意,目前该检查不检查 Amazon S3 存储桶写入权限。
- 检查 ID
-
c1fd6b96l4 - 提醒条件
-
-
黄色:存储桶没有启用服务器访问日志记录。
-
黄色:目标存储桶权限不包括根账户,所以 Trusted Advisor 无法对其进行检查。
-
红色:目标存储桶不存在。
-
红色:目标存储桶和源存储桶的拥有者不同。
-
绿色:Bucket 已启用服务器访问日志记录,目标存在,并且存在写入目标的权限
-
- Recommended Action(建议的操作)
-
为所有相关的 Amazon S3 存储桶激活服务器访问日志记录。服务器访问日志提供了审计跟踪,可用于了解存储桶访问模式和调查可疑活动。在所有适用的存储桶上激活登录功能将提高对整个 Amazon S3 环境中访问事件的可见性。请参阅使用控制台启用日志记录和以编程方式启用日志记录。
如果目标存储桶权限不包括根账户,并且您希望 Trusted Advisor 检查日志记录状态,则将根账户添加为被授权者。请参阅编辑存储桶权限。
如果目标存储桶不存在,请选择现有存储桶作为目标,或创建一个新存储桶,然后选择它。请参阅管理存储桶日志记录。
如果目标存储桶和源存储桶的拥有者不同,请将目标存储桶更改为拥有者与源存储桶相同的存储桶。请参阅管理存储桶日志记录。
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源 ARN
-
存储桶名称
-
目标名称
-
目标存在
-
拥有者相同
-
写权限已启用
-
Reason
-
上次更新时间
-
Amazon S3 未启用事件通知
- 描述
-
检查 Amazon S3 事件通知是否已启用,或是否已正确配置所需的目标或类型。
Amazon S3 事件通知功能在 Amazon S3 桶中发生某些事件时发送通知。Amazon S3 可以向亚马逊 SQS 队列、亚马逊 SNS 主题和函数发送通知消息。 AWS Lambda
您可以使用规则中的 destinati onArn 和 EventTypes 参数指定所需的目的地和事件类型。 AWS Config
有关更多信息,请参阅 Amazon S3 事件通知。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz163 - 来源
-
AWS Config Managed Rule: s3-event-notifications-enabled - 提醒条件
-
黄色:Amazon S3 未启用事件通知,或者未配置所需的目的地或类型。
- Recommended Action(建议的操作)
-
为对象和桶事件配置 Amazon S3 事件通知。
有关更多信息,请参阅使用 Amazon S3 控制台启用和配置事件通知。
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
Amazon SNS 主题未记录消息传输状态
- 描述
-
检查 Amazon SNS 主题是否已开启消息传输状态日志记录。
配置 Amazon SNS 主题以记录消息传输状态,帮助提供更好的运营洞察。例如,消息传输日志记录会验证消息是否已传输到特定的 Amazon SNS 端点。而且,它还有助于识别从端点发送的响应。
有关更多信息,请参阅 Amazon SNS 消息传输状态。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz121 - 来源
-
AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled - 提醒条件
-
黄色:没有为 Amazon SNS 主题开启消息传输状态记录。
- Recommended Action(建议的操作)
-
为您的 SNS 主题开启消息传输状态记录。
有关更多信息,请参阅使用 Amazon Web Services Management Console 配置传输状态日志记录。
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
不带流日志的 Amazon VPC
- 描述
-
检查是否为 VPC 创建了 Amazon Virtual Private Cloud 流日志。
您可以使用规则中的 TrafficType 参数指定流量类型。 AWS Config
有关更多信息,请参阅使用 VPC 流日志记录 IP 流量。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz122 - 来源
-
AWS Config Managed Rule: vpc-flow-logs-enabled - 提醒条件
-
黄色: VPCs 没有 Amazon VPC 流日志。
- Recommended Action(建议的操作)
-
为您的每个人创建 VPC 流日志 VPCs。
有关更多信息,请参阅创建流日志
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
未启用访问日志的应用程序负载均衡器和经典负载均衡器
- 描述
-
检查是否为应用程序负载均衡器和经典负载均衡器启用了访问日志记录。
Elastic Load Balancing 提供了访问日志,该访问日志可捕获有关发送到负载均衡器的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。您可以使用这些访问日志分析流量模式并解决问题。
访问日志是 Elastic Load Balancing 的一项可选功能,默认情况下已禁用此功能。为负载均衡器启用访问日志之后,Elastic Load Balancing 捕获日志并将其存储在您指定的 Amazon S3 存储桶中。
您可以使用 AWS Config 规则中的 s3 BucketNames 参数指定要检查的访问日志 Ama z on S3 存储桶。
有关更多信息,请参阅应用程序负载均衡器的访问日志和经典负载均衡器的访问日志。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz167 - 来源
-
AWS Config Managed Rule: elb-logging-enabled - 提醒条件
-
黄色:没有为应用程序负载均衡器或经典负载均衡器启用访问日志功能。
- Recommended Action(建议的操作)
-
为应用程序负载均衡器和经典负载均衡器启用访问日志。
有关更多信息,请参阅为应用程序负载均衡器启用访问日志和为经典负载均衡器启用访问日志。
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
AWS CloudFormation 堆栈通知
- 描述
-
检查您的所有 AWS CloudFormation 堆栈是否都使用 Amazon SNS 在事件发生时接收通知。
您可以使用规则中的参数将此检查配置为查找特定的 Amazon SN ARNs S 主题。 AWS Config
有关更多信息,请参阅设置 AWS CloudFormation堆栈选项。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz111 - 来源
-
AWS Config Managed Rule: cloudformation-stack-notification-check - 提醒条件
-
黄色:您的 AWS CloudFormation 堆栈的 Amazon SNS 事件通知未开启。
- Recommended Action(建议的操作)
-
确保您的 AWS CloudFormation 堆栈使用 Amazon SNS 在事件发生时接收通知。
监控堆栈事件可帮助您快速响应可能改变 AWS 环境的未经授权的操作。
- 其他资源
-
当我的 AWS CloudFormation 堆栈进入 ROLLBACK_IN_PROGRESS 状态时,如何才能收到电子邮件提醒?
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
AWS CloudTrail 记录 S3 存储桶中对象的数据事件
- 描述
-
检查是否至少有一个 AWS CloudTrail 跟踪记录了您的所有 Amazon S3 存储桶的 Amazon S3 数据事件。
有关更多信息,请参阅使用 AWS CloudTrail记录 Amazon S3 API 调用。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz166 - 来源
-
AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled - 提醒条件
-
黄色:未配置 Amazon S3 存储桶 AWS CloudTrail 的事件记录
- Recommended Action(建议的操作)
-
为 Amazon S3 存储桶和对象启用 CloudTrail 事件记录,以跟踪目标存储桶访问请求。
有关更多信息,请参阅为 S3 存储桶和对象启用 CloudTrail 事件记录。
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
AWS CodeBuild 项目日志
- 描述
-
检查 AWS CodeBuild 项目环境是否使用日志记录。日志选项可以是 Amazon Logs 中的 CloudWatch 日志,也可以是内置在指定的 Amazon S3 存储桶中,或者两者兼而有之。在 CodeBuild 项目中启用日志记录可以带来诸多好处,例如调试和审计。
您可以使用 AWS Config 规则中的 s3 或 Nam cloudWatchGroupes 参数指定用于存储 CloudWatch 日志的 Amazon S3 存储桶BucketNames或日志组的名称。
有关更多信息,请参阅 监控 AWS CodeBuild。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz113 - 来源
-
AWS Config Managed Rule: codebuild-project-logging-enabled - 提醒条件
-
黄色:未启用 AWS CodeBuild 项目日志。
- Recommended Action(建议的操作)
-
确保您的 AWS CodeBuild 项目已开启日志记录。无法将此支票排除在 AWS Trusted Advisor 控制台的视图之外。
有关更多信息,请参阅中的日志和监控 AWS CodeBuild。
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
AWS CodeDeploy 自动回滚并启用监控
- 描述
-
检查部署组是否配置了自动部署回滚和附带警报的部署监控。如果在部署过程中出现问题,则系统会自动回滚,而您的应用程序将保持稳定状态
有关更多信息,请参阅使用重新部署和回滚部署。 CodeDeploy
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz114 - 来源
-
AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled - 提醒条件
-
黄色:未启用 AWS CodeDeploy 自动部署回滚和部署监控。
- Recommended Action(建议的操作)
-
对部署组或部署进行配置,使其在部署失败或达到您指定的监控阈值时自动回滚。
对警报进行配置,以监控部署过程中的各种指标,例如 CPU 使用率、内存使用率或网络流量。如果这些指标中的任何一个超出特定阈值,则会触发警报,部署将停止或回滚。
有关为部署组设置自动回滚和配置警报的信息,请参阅为部署组配置高级选项。
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
AWS CodeDeploy Lambda 正在使用部署配置 all-at-once
- 描述
-
检查 AWS Lambda 计算平台的 AWS CodeDeploy 部署组是否正在使用 all-at-once部署配置。
为了降低中部署您的 Lambda 函数失败的风险 CodeDeploy,最佳做法是使用灰度部署或线性部署配置,而不是默认选项,即所有流量都从原始 Lambda 函数同时转移到更新的函数。
有关更多信息,请参阅 Lambda 函数版本和部署配置。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz115 - 来源
-
AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled - 提醒条件
-
黄色: AWS CodeDeploy Lambda 部署使用 all-at-once部署配置将所有流量一次性转移到更新后的 Lambda 函数。
- Recommended Action(建议的操作)
-
使用 Lambda 计算平台的 CodeDeploy 部署组的 Canary 或 Linear 部署配置。
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
AWS Elastic Beanstalk 未配置增强型健康报告
- 描述
-
检查是否为增强型运行状况报告配置了 AWS Elastic Beanstalk 环境。
Elastic Beanstalk 增强型运行状况报告提供了详细的性能指标,例如 CPU 使用率、内存使用率、网络流量和基础设施运行状况信息,例如实例数量和负载均衡器状态。
有关更多信息,请参阅增强型运行状况报告和监控。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz108 - 来源
-
AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled - 提醒条件
-
黄色:没有为 Elastic Beanstalk 环境配置增强型运行状况报告
- Recommended Action(建议的操作)
-
确保已为 Elastic Beanstalk 环境配置增强型运行状况报告。
有关更多信息,请参阅使用 Elastic Beanstalk 控制台启用增强型运行状况报告。
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
AWS Elastic Beanstalk 已禁用托管平台更新时
- 描述
-
检查 Elastic Beanstalk 环境和配置模板中的托管平台更新是否已启用。
AWS Elastic Beanstalk 定期发布平台更新以提供修复、软件更新和新功能。通过托管平台更新,Elastic Beanstalk 可以自动执行新补丁和次要平台版本的平台更新。
您可以在 AWS Config 规则的UpdateLevel参数中指定所需的更新级别。
有关更多信息,请参阅更新 Elastic Beanstalk 环境的平台版本。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz177 - 来源
-
AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled - 提醒条件
-
黄色:根本未配置 AWS Elastic Beanstalk 托管平台更新,包括次要更新或补丁级别。
- Recommended Action(建议的操作)
-
在您的 Elastic Beanstalk 环境中启用托管的平台更新,或者将其配置为次要或更新级别。
有关更多信息,请参阅托管平台更新。
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
AWS Fargate 平台版本不是最新的
- 描述
-
检查 Amazon ECS 是否运行最新平台版本的 AWS Fargate。Fargate 平台版本是指 Fargate 任务基础设施的特定运行时系统环境。它是内核和容器运行时系统版本的组合。随着运行时系统环境的发展,将不断发布新的平台版本。例如,如果有内核或操作系统更新、新功能、错误修复或安全更新。
有关更多信息,请参阅 Fargate 任务维护。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz174 - 来源
-
AWS Config Managed Rule: ecs-fargate-latest-platform-version - 提醒条件
-
黄色:Amazon ECS 未在最新版本的 Fargate 平台上运行。
- Recommended Action(建议的操作)
-
更新至最新 Fargate 平台版本。
有关更多信息,请参阅 Fargate 任务维护。
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
AWS Systems Manager 处于不合规状态的州经理协会
- 描述
-
在实例上执行关联后,检查 AWS Systems Manager 关联合规性的状态是合规还是不合规。
State Manager 是一项功能 AWS Systems Manager,是一种安全且可扩展的配置管理服务,可自动执行将托管节点和其他 AWS 资源保持在您定义的状态的过程。状态管理器关联是您分配给 AWS 资源的配置。该配置定义了您要在资源上保持的状态,因此它可以帮助您实现目标,例如避免配置在 Amazon EC2 实例之间出现偏差。
有关更多信息,请参阅 AWS Systems Manager State Manager。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz147 - 来源
-
AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check - 提醒条件
-
黄色: AWS Systems Manager 关联合规性的状态为 “不合规”。
- Recommended Action(建议的操作)
-
验证 State Manager 关联的状态,然后采取任何所需措施将状态恢复为 COMPLIANT。
有关更多信息,请参阅关于 State Manager。
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
CloudTrail 未使用 Amazon CloudWatch 日志配置跟踪
- 描述
-
检查是否将 AWS CloudTrail 跟踪配置为向日志发送 CloudWatch 日志。
使用 CloudTrail CloudWatch 日志监控日志文件,以便在捕获到关键事件时触发自动响应 AWS CloudTrail。
有关更多信息,请参阅使用 CloudTrail 日志监控 CloudWatch 日志文件。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz164 - 来源
-
AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled - 提醒条件
-
黄色: AWS CloudTrail 未设置 CloudWatch 日志集成。
- Recommended Action(建议的操作)
-
配置 CloudTrail 跟踪以将日志事件发送到 CloudWatch 日志。
有关更多信息,请参阅为 CloudTrail 事件创建 CloudWatch 警报:示例。
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
没有为负载均衡器启用 Elastic Load Balancing 删除保护
- 描述
-
检查您的负载均衡器是否已开启删除保护。
Elastic Load Balancing 支持应用程序负载均衡器、网络负载均衡器和网关负载均衡器的删除保护。开启删除保护以防止您的负载均衡器被意外删除。在创建负载均衡器时,默认关闭删除保护。如果您的负载均衡器属于生产环境,则可以考虑开启删除保护。
访问日志是 Elastic Load Balancing 的一项可选功能,默认情况下已禁用此功能。为负载均衡器启用访问日志之后,Elastic Load Balancing 捕获日志并将其存储在您指定的 Amazon S3 存储桶中。
有关更多信息,请参阅应用程序负载均衡器删除保护、网络负载均衡器删除保护或网关负载均衡器删除保护。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz168 - 来源
-
AWS Config Managed Rule: elb-deletion-protection-enabled - 提醒条件
-
黄色:负载均衡器未启用删除保护。
- Recommended Action(建议的操作)
-
启用应用程序负载均衡器、网络负载均衡器和网关负载均衡器的删除保护。
有关更多信息,请参阅应用程序负载均衡器删除保护、网络负载均衡器删除保护或网关负载均衡器删除保护。
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
RDS 数据库集群删除保护检查
- 描述
-
检查您的 Amazon RDS 数据库集群是否启用了删除保护。
集群配置删除保护后,任何用户都无法删除数据库。
删除保护适用于所有区域的适用于 MySQL 的 Amazon Aurora 和 RDS、MariaDB 的 RDS、Oracle 的 RDS、适用于 PostgreSQL 的 RDS 以及适用于 SQL Server 数据库实例的 RDS。 AWS
有关更多信息,请参阅 Aurora 集群的删除保护。
- 检查 ID
-
c18d2gz160 - 来源
-
AWS Config Managed Rule: rds-cluster-deletion-protection-enabled - 提醒条件
-
黄色:您的 Amazon RDS 数据库集群未启用删除保护。
- Recommended Action(建议的操作)
-
在创建 Amazon RDS 数据库集群时开启删除保护。
您只能删除未启用删除保护的集群。启用删除保护可增加额外的保护层,避免因意外或非意外删除数据库实例而导致数据丢失。删除保护还有助于满足监管合规性要求和确保业务连续性。
有关更多信息,请参阅 Aurora 集群的删除保护。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 其他资源
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
RDS 数据库实例自动次要版本升级检查
- 描述
-
检查 Amazon RDS 数据库实例是否已配置自动次要版本升级。
为 Amazon RDS 实例开启自动次要版本升级,以确保数据库始终在运行最新的安全稳定版本。次要升级提供了安全更新、错误修复、性能改进,并可以保持与现有应用程序的兼容性。
有关更多信息,请参阅升级数据库实例引擎版本。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz155 - 来源
-
AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled - 提醒条件
-
黄色:RDS 数据库实例未开启自动次要版本升级。
- Recommended Action(建议的操作)
-
在创建 Amazon RDS 数据库实例时开启自动次要版本升级。
当您开启次要版本升级时,如果运行的数据库引擎次要版本低于手动升级引擎版本,则数据库版本会自动升级。
- 报告列
-
-
状态
-
区域
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
