卓越操作

描述

检查 Amazon API Gateway 是否在所需的 CloudWatch 日志级别开启了日志。

在 Amazon API Gateway 中开启RESTAPI方法或 WebSocket API路由的 CloudWatch 日志记录，以便在 CloudWatch 日志中收集您收到的请求的执行日志APIs。执行日志中包含的信息有助于识别和解决与您的相关的问题API。

您可以在 AWS Config 规则的loggingLevel参数中指定日志级别 (ERROR,INFO) ID。

有关 CloudWatch 登录 Amazon API Gateway 的更多信息，请参阅RESTAPI或 WebSocket API文档。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz125

来源

AWS Config Managed Rule: api-gw-execution-logging-enabled

提醒条件

黄色：未在 CloudWatch Amazon API Gateway 所需的日志级别上启用执行日志收集的日志设置。

Recommended Action（建议的操作）

开启对 CloudWatch 您的 Amazon API Gateway 执行日志WebSocket APIs的日志记录RESTAPIs或相应的日志级别 (ERROR,INFO)。

有关更多信息，请参阅创建流日志

其他资源

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查 Amazon API Gateway 是否开启RESTAPIs了 AWS X-Ray 追踪功能。

为您启用 X-Ray 跟踪 RESTAPIs，允许 API Gateway 使用跟踪信息对API调用请求进行采样。这样，当请求通过您的API网关 AWS X-Ray 传输到下游服务时，您就可以利用它RESTAPIs来跟踪和分析这些请求。

有关更多信息，请参阅RESTAPIs使用 X-Ray 跟踪用户请求。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz126

来源

AWS Config Managed Rule: api-gw-xray-enabled

提醒条件

黄色：API网关的 X 射线追踪未开启RESTAPI。

Recommended Action（建议的操作）

为您的API网关开启 X-Ray 跟踪RESTAPIs。

有关更多信息，请参阅AWS X-Ray 使用API网关进行设置RESTAPIs。

其他资源

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查 Amazon CloudFront 分配是否配置为从 Amazon S3 服务器访问日志中捕获信息。Amazon S3 服务器访问日志包含有关 CloudFront 收到的每个用户请求的详细信息。

您可以使用 AWS Config 规则中的 S3 BucketName 参数调整用于存储服务器访问日志的 Amaz on S3 存储桶的名称。

有关更多信息，请参阅配置和使用标准日志（访问日志）。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz110

来源

AWS Config Managed Rule: cloudfront-accesslogs-enabled

提醒条件

黄色：未启用 Amazon CloudFront 访问日志

Recommended Action（建议的操作）

请务必打开 CloudFront 访问日志记录以捕获有关 CloudFront 收到的每个用户请求的详细信息。

您可以在创建或更新分配时启用标准日志。

有关更多信息，请参阅您创建或更新分配时指定的值。

其他资源

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查您的 Amazon CloudWatch 警报操作是否处于禁用状态。

您可以使用启用或禁用闹钟中的操作功能。 AWS CLI 或者，您可以使用以编程方式禁用或启用操作功能。 AWS SDK关闭警报操作功能后，在任何状态（OK、INSUFFICIENT _ DATA、ALARM）下都 CloudWatch 不会执行任何已定义的操作。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz109

来源

AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check

提醒条件

黄色：未启用 Amazon CloudWatch 警报操作。在任何警报状态下均不会执行任何操作。

Recommended Action（建议的操作）

在 CloudWatch 警报中启用操作，除非您有正当理由将其禁用，例如出于测试目的。

如果不再需要该 CloudWatch 警报，请将其删除，以免产生不必要的费用。

有关更多信息，请参阅 AWS CLI 命令参考enable-alarm-actions中的 for Go 参考和 for Go API 参考 EnableAlarmActions中的 AWS SDK func (*CloudWatch)。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查您账户中的 Amazon EC2 实例是否由管理 AWS Systems Manager。

Systems Manager 可帮助您了解和控制亚马逊EC2实例和操作系统配置的当前状态。使用 Systems Manager，您可以收集有关实例集的软件配置和清单信息，包括实例上安装的软件。这让您可以跟踪详细的系统配置、操作系统补丁级别、应用程序配置，以及有关部署的其他详细信息。

有关更多信息，请参阅为EC2实例设置 Systems Manager。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz145

来源

AWS Config Managed Rule: ec2-instance-managed-by-systems-manager

提醒条件

黄色：亚马逊EC2实例不由 Systems Manager 管理。

Recommended Action（建议的操作）

将您的亚马逊EC2实例配置为由 Systems Manager 管理。

无法将此支票排除在 Trusted Advisor 控制台的视图之外。

其他资源

为EC2实例设置 Systems Manager

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查私有 Amazon ECR 存储库是否开启了图像标签不可变性。

为私有 Amazon ECR 存储库开启图像标签不可变性，以防止图像标签被覆盖。这样就可以依靠描述性标签作为跟踪和唯一识别映像的可靠机制。例如，如果开启了映像标签不变性，则用户可以可靠地使用映像标签将已部署的映像版本与生成该映像的版本关联起来。

有关更多信息，请参阅映像标签可变性。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz129

来源

AWS Config Managed Rule: ecr-private-tag-immutability-enabled

提醒条件

黄色：Amazon ECR 私有仓库未开启标签不可变性。

Recommended Action（建议的操作）

为您的 Amazon ECR 私有存储库开启图像标签不可变性。

有关更多信息，请参阅映像标签可变性。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查您的亚马逊 CloudWatch 集ECS群是否已开启亚马逊容器洞察。

CloudWatch Container Insights 收集、汇总和汇总来自容器化应用程序和微服务的指标和日志。这些指标包括内存CPU、磁盘和网络等资源的利用率。

有关更多信息，请参阅 Amazon ECS CloudWatch 容器见解。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz173

来源

AWS Config Managed Rule: ecs-container-insights-enabled

提醒条件

黄色：Amazon ECS 集群未启用容器见解。

Recommended Action（建议的操作）

在您的 Amazon 集ECS群上启用 “ CloudWatch 容器见解”。

有关更多信息，请参阅使用 Container Insights。

其他资源

亚马逊ECS CloudWatch 容器洞察

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查是否在活动的 Amazon ECS 任务定义上设置了日志配置。

检查 Amazon ECS 任务定义中的日志配置可确保容器生成的日志配置和存储正确。这有助于更快地发现和排查问题，优化性能以及满足合规性要求。

默认情况下，捕获的日志显示的命令输出是您在本地运行容器时在交互式终端上通常看到的内容。awslogs 驱动程序会将这些日志从 Docker 传递到亚马逊日志。 CloudWatch

有关更多信息，请参阅使用 awslogs 日志驱动程序。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz175

来源

AWS Config Managed Rule: ecs-task-definition-log-configuration

提醒条件

黄色：Amazon ECS 任务定义没有日志配置。

Recommended Action（建议的操作）

考虑在容器定义中指定日志驱动程序配置，将日志信息发送到 Lo CloudWatch gs 或其他日志驱动程序。

有关更多信息，请参阅LogConfiguration。

其他资源

考虑在容器定义中指定日志驱动程序配置，将日志信息发送到 Lo CloudWatch gs 或其他日志驱动程序。

有关更多信息，请参阅示例任务定义。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查亚马逊 OpenSearch 服务域是否配置为向亚马逊日志发送 CloudWatch 日志。

监控日志对于维护 OpenSearch 服务的可靠性、可用性和性能至关重要。

搜索慢速日志、索引慢速日志和错误日志有助于对工作负载的性能和稳定性问题进行故障排除。需要启用这些日志才能捕获数据。

您可以使用 AWS Config 规则中的logTypes参数指定要筛选的日志类型（错误、搜索、索引）。

有关更多信息，请参阅监控 Amazon OpenSearch 服务域。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz184

来源

AWS Config Managed Rule: opensearch-logs-to-cloudwatch

提醒条件

黄色：亚马逊 OpenSearch 服务没有使用亚马逊日志的 CloudWatch 日志配置

Recommended Action（建议的操作）

配置 OpenSearch 服务域以将日志发布到 CloudWatch 日志。

有关更多信息，请参阅启用日志发布（控制台）。

其他资源

使用 Amazon 监控 OpenSearch 服务集群指标 CloudWatch

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

我们建议数据库集群中的所有数据库实例使用同一数据库参数组。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

注意

当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 的建议。五天后，这些建议在中不可用 Trusted Advisor。要查看推荐，请打开 Amazon RDS 控制台，然后选择推荐。

如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

检查 ID

c1qf5bt010

提醒条件

黄色：数据库集群的数据库实例具有异构参数组。

Recommended Action（建议的操作）

将数据库实例和与数据库集群中的写入器实例关联的数据库参数组相关联。

其他资源

当数据库集群中的数据库实例使用不同的数据库参数组时，在故障转移期间可能会出现不一致的行为或数据库集群中的数据库实例之间的兼容性问题。

有关更多信息，请参阅 Working with parameter groups。

报告列

Status
区域
资源
推荐值
引擎名称
上次更新时间

描述

您的数据库资源未开启增强监控。增强监控提供用于监控和故障排除的实时操作系统指标。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

注意

当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 的建议。五天后，这些建议在中不可用 Trusted Advisor。要查看推荐，请打开 Amazon RDS 控制台，然后选择推荐。

如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

检查 ID

c1qf5bt004

提醒条件

黄色：Amazon RDS 资源未开启增强监控。

Recommended Action（建议的操作）

打开增强监控。

其他资源

Amazon 增强监控功能RDS可让您进一步了解数据库实例的运行状况。我们建议您开启增强监控。当您的数据库实例启用增强监控选项时，它会收集重要的操作系统指标和流程信息。

有关更多信息，请参阅使用增强监控来监控操作系统指标。

报告列

Status
区域
资源
推荐值
引擎名称
上次更新时间

描述

Amazon P RDS erformance Insights 会监控您的数据库实例负载，以帮助您分析和解决数据库性能问题。建议您开启 Performance Insights。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

注意

当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 的建议。五天后，这些建议在中不可用 Trusted Advisor。要查看推荐，请打开 Amazon RDS 控制台，然后选择推荐。

如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

检查 ID

c1qf5bt012

提醒条件

黄色：亚马逊RDS资源未开启 Performance Insights。

Recommended Action（建议的操作）

开启 Performance Insights。

其他资源

Performance Insights 使用一种不会影响应用程序性能的轻量级数据收集方法。Performance Insights 可帮助您快速评估数据库负载。

有关更多信息，请参阅在 Amazon 上使用 Performance Insights 监控数据库负载RDS。

报告列

Status
区域
资源
推荐值
引擎名称
上次更新时间

描述

当 track_counts 参数关闭时，数据库不收集数据库活动统计信息。Autovacuum 需要这些统计信息才能正常工作。

我们建议你将 track_counts 参数设置为 1

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

注意

当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 的建议。五天后，这些建议在中不可用 Trusted Advisor。要查看推荐，请打开 Amazon RDS 控制台，然后选择推荐。

如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

检查 ID

c1qf5bt027

提醒条件

黄色：数据库参数组已关闭 t rack_coun ts 参数。

Recommended Action（建议的操作）

将 track_counts 参数设置为 1

其他资源

当 track_counts 参数关闭时，它将禁用数据库活动统计信息的收集。autovacuum 守护程序需要收集的统计数据来识别用于自动清理和自动分析的表。

有关更多信息，请参阅 Postgre 文档网站上的 Postgre SQL 运行时统计信息。SQL

报告列

Status
区域
资源
参数值
推荐值
上次更新时间

描述

检查您的 Amazon Redshift 集群是否已开启数据库审计日志记录。Amazon Redshift 记录您的数据库中的连接和用户活动相关信息。

您可以指定所需的日志记录 Amazon S3 存储桶名称，使其与 AWS Config 规则bucketNames参数相匹配。

有关更多信息，请参阅数据库审核日志记录。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz134

来源

AWS Config Managed Rule: redshift-audit-logging-enabled

提醒条件

黄色：Amazon Redshift 集群已禁用数据库审计日志记录

Recommended Action（建议的操作）

为您的 Amazon Redshift 集群开启日志记录和监控。

有关更多信息，请参阅使用控制台配置审核。

其他资源

Amazon Redshift 中的日志记录和监控

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查 Amazon 简单存储服务存储桶的日志配置。

激活服务器访问日志会将详细的每小时访问日志发送到指定的 Amazon S3 存储桶。访问日志包含请求的详细信息，包括类型、指定资源和处理时间/日期。默认情况下，日志记录处于关闭状态。客户应激活访问日志以执行安全审计或分析用户行为和使用模式。

最初激活日志记录时，会自动验证配置。但是，将来的修改可能会导致日志记录失败。请注意，目前该检查不检查 Amazon S3 存储桶写入权限。

检查 ID

c1fd6b96l4

提醒条件

黄色：存储桶没有启用服务器访问日志记录。
黄色：目标存储桶权限不包括根账户，所以 Trusted Advisor 无法对其进行检查。
红色：目标存储桶不存在。
红色：目标存储桶和源存储桶的拥有者不同。
绿色：Bucket 已启用服务器访问日志记录，目标存在，并且存在写入目标的权限

Recommended Action（建议的操作）

为所有相关的 Amazon S3 存储桶激活服务器访问日志记录。服务器访问日志提供了审计跟踪，可用于了解存储桶访问模式和调查可疑活动。在所有适用的存储桶上激活登录功能将提高对整个 Amazon S3 环境中访问事件的可见性。请参阅使用控制台启用日志记录和以编程方式启用日志记录。

如果目标存储桶权限不包括根账户，并且您希望 Trusted Advisor 检查日志记录状态，则将根账户添加为被授权者。请参阅编辑存储桶权限。

如果目标存储桶不存在，请选择现有存储桶作为目标，或创建一个新存储桶，然后选择它。请参阅管理存储桶日志记录。

如果目标存储桶和源存储桶的拥有者不同，请将目标存储桶更改为拥有者与源存储桶相同的存储桶。请参阅管理存储桶日志记录。

其他资源

使用存储桶

Server access logging (服务器访问日志记录)

服务器访问日志格式

删除日志文件

报告列

Status
区域
资源 ARN
存储桶名称
目标名称
目标存在
拥有者相同
写权限已启用
Reason
上次更新时间

描述

检查 Amazon S3 事件通知是否已启用，或是否已正确配置所需的目标或类型。

Amazon S3 事件通知功能在 Amazon S3 桶中发生某些事件时发送通知。Amazon S3 可以向亚马逊SQS队列、亚马逊SNS主题和 AWS Lambda 函数发送通知消息。

您可以使用 AWS Config 规则的和eventTypes参数指定所需的目的地destinationArn和事件类型。

有关更多信息，请参阅 Amazon S3 事件通知。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz163

来源

AWS Config Managed Rule: s3-event-notifications-enabled

提醒条件

黄色：Amazon S3 未启用事件通知，或者未配置所需的目的地或类型。

Recommended Action（建议的操作）

为对象和桶事件配置 Amazon S3 事件通知。

有关更多信息，请参阅使用 Amazon S3 控制台启用和配置事件通知。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查 Amazon SNS 主题是否已开启消息传送状态记录。

配置 Amazon SNS 主题以记录消息传输状态，以帮助提供更好的运营见解。例如，消息传送日志可以验证消息是否已传送到特定的 Amazon SNS 终端节点。而且，它还有助于识别从端点发送的响应。

有关更多信息，请参阅 Amazon SNS 消息传送状态。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz121

来源

AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled

提醒条件

黄色：未为某个 Amazon SNS 主题开启消息传送状态记录。

Recommended Action（建议的操作）

为您的SNS主题开启消息传送状态记录。

有关更多信息，请参阅使用AWS管理控制台配置传送状态日志。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查是否为创建了 Amazon Virtual Private Cloud 流日志VPC。

您可以使用 AWS Config 规则中的trafficType参数指定流量类型。

有关更多信息，请参阅使用VPC流日志记录 IP 流量。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz122

来源

AWS Config Managed Rule: vpc-flow-logs-enabled

提醒条件

黄色：VPCs没有 Amazon VPC 流日志。

Recommended Action（建议的操作）

为你的每一个创建VPC流日志VPCs。

有关更多信息，请参阅创建流日志

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查是否为应用程序负载均衡器和经典负载均衡器启用了访问日志记录。

Elastic Load Balancing 提供了访问日志，该访问日志可捕获有关发送到负载均衡器的请求的详细信息。每个日志都包含信息 (例如，收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。您可以使用这些访问日志分析流量模式并解决问题。

访问日志是 Elastic Load Balancing 的一项可选功能，默认情况下已禁用此功能。为负载均衡器启用访问日志之后，Elastic Load Balancing 捕获日志并将其存储在您指定的 Amazon S3 存储桶中。

您可以使用 AWS Config 规则中的 s3 BucketNames 参数指定要检查的访问日志 Ama z on S3 存储桶。

有关更多信息，请参阅应用程序负载均衡器的访问日志和经典负载均衡器的访问日志。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz167

来源

AWS Config Managed Rule: elb-logging-enabled

提醒条件

黄色：没有为应用程序负载均衡器或经典负载均衡器启用访问日志功能。

Recommended Action（建议的操作）

为应用程序负载均衡器和经典负载均衡器启用访问日志。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查您的所有 AWS CloudFormation 堆栈是否在事件发生时都使用 Amazon SNS 接收通知。

您可以使用 AWS Config 规则中的参数将此检查配置为查找特定的 Amazon SNS 主题ARNs。

有关更多信息，请参阅设置 AWS CloudFormation堆栈选项。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz111

来源

AWS Config Managed Rule: cloudformation-stack-notification-check

提醒条件

黄色：您的 AWS CloudFormation 堆栈的 Amazon SNS 事件通知未开启。

Recommended Action（建议的操作）

确保您的 AWS CloudFormation 堆栈在事件发生时使用 Amazon SNS 接收通知。

监控堆栈事件可帮助您快速响应可能改变 AWS 环境的未经授权的操作。

其他资源

当我的AWS CloudFormation 堆栈进入 ROLLBACK _IN_ PROGRESS 状态时，我怎样才能收到电子邮件提醒？

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查是否至少有一个 AWS CloudTrail 跟踪记录了您的所有 Amazon S3 存储桶的 Amazon S3 数据事件。

有关更多信息，请参阅使用记录 Amazon S3 API 呼叫 AWS CloudTrail。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz166

来源

AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled

提醒条件

黄色：未配置 Amazon S3 存储桶 AWS CloudTrail 的事件记录

Recommended Action（建议的操作）

为 Amazon S3 存储桶和对象启用 CloudTrail 事件记录，以跟踪目标存储桶访问请求。

有关更多信息，请参阅为 S3 存储桶和对象启用 CloudTrail 事件记录。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查 AWS CodeBuild 项目环境是否使用日志记录。日志选项可以是 Amazon Logs 中的 CloudWatch 日志，也可以是内置在指定的 Amazon S3 存储桶中，或者两者兼而有之。在 CodeBuild 项目中启用日志记录可以带来诸多好处，例如调试和审计。

您可以使用 AWS Config 规则中的 s3 或 Nam cloudWatchGroupes 参数指定用于存储 CloudWatch 日志的 Amazon S3 存储桶BucketNames或日志组的名称。

有关更多信息，请参阅监控 AWS CodeBuild。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz113

来源

AWS Config Managed Rule: codebuild-project-logging-enabled

提醒条件

黄色：未启用 AWS CodeBuild 项目日志。

Recommended Action（建议的操作）

确保您的 AWS CodeBuild 项目已开启日志记录。无法将此支票排除在 AWS Trusted Advisor 控制台的视图之外。

有关更多信息，请参阅中的日志和监控 AWS CodeBuild。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查部署组是否配置了自动部署回滚和附带警报的部署监控。如果在部署过程中出现问题，则系统会自动回滚，而您的应用程序将保持稳定状态

有关更多信息，请参阅使用重新部署和回滚部署。 CodeDeploy

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz114

来源

AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled

提醒条件

黄色：未启用 AWS CodeDeploy 自动部署回滚和部署监控。

Recommended Action（建议的操作）

对部署组或部署进行配置，使其在部署失败或达到您指定的监控阈值时自动回滚。

配置警报以监控部署过程中的各种指标，例如CPU使用情况、内存使用率或网络流量。如果这些指标中的任何一个超出特定阈值，则会触发警报，部署将停止或回滚。

有关为部署组设置自动回滚和配置警报的信息，请参阅为部署组配置高级选项。

其他资源

什么是 CodeDeploy？

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查 AWS Lambda 计算平台的 AWS CodeDeploy 部署组是否正在使用 all-at-once部署配置。

为了降低中部署您的 Lambda 函数失败的风险 CodeDeploy，最佳做法是使用灰度部署或线性部署配置，而不是默认选项，即所有流量都从原始 Lambda 函数同时转移到更新的函数。

有关更多信息，请参阅 Lambda 函数版本和部署配置。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz115

来源

AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled

提醒条件

黄色： AWS CodeDeploy Lambda 部署使用 all-at-once部署配置将所有流量一次性转移到更新后的 Lambda 函数。

Recommended Action（建议的操作）

使用 Lambda 计算平台的 CodeDeploy 部署组的 Canary 或线性部署配置。

其他资源

部署配置

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查是否为增强型运行状况报告配置了 AWS Elastic Beanstalk 环境。

Elastic Beanstalk 增强型运行状况报告提供详细的性能指标，CPU例如使用情况、内存使用情况、网络流量和基础设施运行状况信息，例如实例数量和负载均衡器状态。

有关更多信息，请参阅增强型运行状况报告和监控。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz108

来源

AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled

提醒条件

黄色：没有为 Elastic Beanstalk 环境配置增强型运行状况报告

Recommended Action（建议的操作）

确保已为 Elastic Beanstalk 环境配置增强型运行状况报告。

有关更多信息，请参阅使用 Elastic Beanstalk 控制台启用增强型运行状况报告。

其他资源

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查 Elastic Beanstalk 环境和配置模板中的托管平台更新是否已启用。

AWS Elastic Beanstalk 定期发布平台更新以提供修复、软件更新和新功能。通过托管平台更新，Elastic Beanstalk 可以自动执行新补丁和次要平台版本的平台更新。

您可以在 AWS Config 规则的UpdateLevel参数中指定所需的更新级别。

有关更多信息，请参阅更新 Elastic Beanstalk 环境的平台版本。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz177

来源

AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled

提醒条件

黄色：未配置 AWS Elastic Beanstalk 托管平台更新，包括次要更新或补丁级别。

Recommended Action（建议的操作）

在您的 Elastic Beanstalk 环境中启用托管的平台更新，或者将其配置为次要或更新级别。

有关更多信息，请参阅托管平台更新。

其他资源

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查 Amazon 是否运行ECS的是的最新平台版本 AWS Fargate。Fargate 平台版本是指 Fargate 任务基础设施的特定运行时系统环境。它是内核和容器运行时系统版本的组合。随着运行时系统环境的发展，将不断发布新的平台版本。例如，如果有内核或操作系统更新、新功能、错误修复或安全更新。

有关更多信息，请参阅 Fargate 任务维护。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz174

来源

AWS Config Managed Rule: ecs-fargate-latest-platform-version

提醒条件

黄色：亚马逊ECS未在最新版本的 Fargate 平台上运行。

Recommended Action（建议的操作）

更新至最新 Fargate 平台版本。

有关更多信息，请参阅 Fargate 任务维护。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

在实例上执行 AWS Systems Manager 关联COMPLIANT后，检查关联合规性状态是否为COMPLIANT或 NON _。

State Manager 是一项功能 AWS Systems Manager，是一种安全且可扩展的配置管理服务，可自动执行将托管节点和其他 AWS 资源保持在您定义的状态的过程。状态管理器关联是您分配给 AWS 资源的配置。该配置定义了您要在资源上保持的状态，因此它可以帮助您实现目标，例如避免配置在 Amazon EC2 实例之间出现偏差。

有关更多信息，请参阅 AWS Systems Manager State Manager。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz147

来源

AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check

提醒条件

黄色： AWS Systems Manager 协会合规状态为 NON _ COMPLIANT。

Recommended Action（建议的操作）

验证状态管理员关联的状态，然后采取任何必要的操作将状态恢复为COMPLIANT。

有关更多信息，请参阅关于 State Manager。

其他资源

AWS Systems Manager State Manager

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查是否将 AWS CloudTrail 跟踪配置为向日志发送 CloudWatch 日志。

使用 CloudTrail CloudWatch 日志监控日志文件，以便在捕获到关键事件时触发自动响应 AWS CloudTrail。

有关更多信息，请参阅使用 CloudTrail 日志监控 CloudWatch 日志文件。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz164

来源

AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled

提醒条件

黄色： AWS CloudTrail 未设置 CloudWatch 日志集成。

Recommended Action（建议的操作）

配置 CloudTrail 跟踪以将日志事件发送到 CloudWatch 日志。

有关更多信息，请参阅为 CloudTrail 事件创建 CloudWatch 警报：示例。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查您的负载均衡器是否已开启删除保护。

Elastic Load Balancing 支持应用程序负载均衡器、网络负载均衡器和网关负载均衡器的删除保护。开启删除保护以防止您的负载均衡器被意外删除。在创建负载均衡器时，默认关闭删除保护。如果您的负载均衡器属于生产环境，则可以考虑开启删除保护。

访问日志是 Elastic Load Balancing 的一项可选功能，默认情况下已禁用此功能。为负载均衡器启用访问日志之后，Elastic Load Balancing 捕获日志并将其存储在您指定的 Amazon S3 存储桶中。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz168

来源

AWS Config Managed Rule: elb-deletion-protection-enabled

提醒条件

黄色：负载均衡器未启用删除保护。

Recommended Action（建议的操作）

启用应用程序负载均衡器、网络负载均衡器和网关负载均衡器的删除保护。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查您的 Amazon RDS 数据库集群是否启用了删除保护。

集群配置删除保护后，任何用户都无法删除数据库。

删除保护适用于亚马逊 Aurora 和 RDS My SQL、RDS MariaDB、RDS Oracle、RDS Postg SQL re 以及RDS所有地区的SQL服务器数据库实例。 AWS

有关更多信息，请参阅 Aurora 集群的删除保护。

检查 ID

c18d2gz160

来源

AWS Config Managed Rule: rds-cluster-deletion-protection-enabled

提醒条件

黄色：您的 Amazon RDS 数据库集群未启用删除保护。

Recommended Action（建议的操作）

创建 Amazon RDS 数据库集群时开启删除保护。

您只能删除未启用删除保护的集群。启用删除保护可增加额外的保护层，避免因意外或非意外删除数据库实例而导致数据丢失。删除保护还有助于满足监管合规性要求和确保业务连续性。

有关更多信息，请参阅 Aurora 集群的删除保护。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

其他资源

Aurora 集群的删除保护

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查 Amazon RDS 数据库实例是否配置了自动次要版本升级。

为 Amazon RDS 实例开启自动次要版本升级，以确保数据库始终运行最新的安全稳定版本。次要升级提供了安全更新、错误修复、性能改进，并可以保持与现有应用程序的兼容性。

有关更多信息，请参阅升级数据库实例引擎版本。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

对于企业、Enterprise On-Ramp 或 Enterprise Supp BatchUpdateRecommendationResourceExclusionAPIort 客户，您可以使用在 Trusted Advisor 搜索结果中包含或排除一项或多项资源。

检查 ID

c18d2gz155

来源

AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled

提醒条件

黄色：RDS数据库实例未开启自动次要版本升级。

Recommended Action（建议的操作）

创建 Amazon RDS 数据库实例时开启自动次要版本升级。

当您开启次要版本升级时，如果运行的数据库引擎次要版本低于手动升级引擎版本，则数据库版本会自动升级。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

检查名称

Amazon API Gateway 未记录执行日志

注意

RESTAPIs未启用 X 射线追踪功能的 Amazon API Gate

注意

已配置亚马逊 CloudFront 访问日志

注意

亚马逊 CloudWatch 警报操作已禁用

注意

Amazon EC2 实例不是由管理的 AWS Systems Manager

注意

已禁用标签不可变性的 Amazon ECR 存储库

注意

禁用 “容器见解” 的 Amazon 集ECS群

注意

未启用 Amazon ECS 任务记录

注意

CloudWatch 未配置亚马逊 OpenSearch 服务日志

注意

具有异构参数组的集群中的 Amazon RDS 数据库实例

注意

注意

Amazon RDS 增强监控已关闭

注意

注意

亚马逊 Perf RDS ormance Insights 已关闭

注意

注意

亚马逊 RDS track_counts 参数已关闭

注意

注意

Amazon Redshift 集群审计日志记录

注意

已启用 Amazon S3 访问日志

Amazon S3 未启用事件通知

注意

Amazon Top SNS ics 未记录消息传送状态

注意

VPC没有流日志的 Amazon

注意

未启用访问日志的应用程序负载均衡器和经典负载均衡器

注意

AWS CloudFormation 堆栈通知

注意

AWS CloudTrail 记录 S3 存储桶中对象的数据事件

注意

AWS CodeBuild 项目日志

注意

AWS CodeDeploy 自动回滚并启用监控

注意

AWS CodeDeploy Lambda 正在使用部署配置 all-at-once

注意

AWS Elastic Beanstalk 未配置增强型健康报告

注意

AWS Elastic Beanstalk 已禁用托管平台更新时

注意

AWS Fargate 平台版本不是最新的

注意

AWS Systems Manager 处于不合规状态的州经理协会

注意

CloudTrail 未使用 Amazon CloudWatch 日志配置跟踪

注意

没有为负载均衡器启用 Elastic Load Balancing 删除保护

注意

RDS数据库集群删除保护检查

注意

RDS数据库实例自动次要版本升级检查

注意