安全性

描述

检查 Amazon CloudWatch 日志组保留期是否设置为 365 天或其他指定数字。

默认情况下，日志将无限期保留且永不过期。但是，您可以调整每个日志组的保留策略，使其符合特定期限的行业法规或法律要求。

您可以使用 AWS Config 规则中的名称和时间参数指定最短保留MinRetention时间和日志组LogGroup名称。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。当前，您无法从此检查中排除资源。

检查 ID

c18d2gz186

来源

AWS Config Managed Rule: cw-loggroup-retention-period-check

提醒条件

黄色：Amazon CloudWatch 日志组的保留期少于所需的最小天数。

Recommended Action（建议的操作）

为存储在 Amazon CloudWatch Logs 中的日志数据配置超过 365 天的保留期，以满足合规性要求。

有关更多信息，请参阅更改日志中的 CloudWatch 日志数据保留期。

其他资源

更改 CloudWatch 日志保留期

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查过去 24 小时内运行的 Amazon Elastic Compute Cloud（Amazon EC2）实例的 SQL Server 版本。如果该版本的支持接近或已经终止，则此检查会提示您。每个 SQL Server 版本都提供 10 年的支持，包括 5 年主流支持和 5 年延伸支持。支持终止后，该 SQL Server 版本将不会收到定期的安全更新。使用不受支持的 SQL Server 版本运行应用程序可能会带来安全或合规风险。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。当前，您无法从此检查中排除资源。

检查 ID

Qsdfp3A4L3

提醒条件

红色：EC2 实例的 SQL Server 版本已达到停止支持。
黄色：EC2 实例的 SQL Server 版本将在 12 个月内达到停止支持。

Recommended Action（建议的操作）

要实现 SQL Server 工作负载现代化，请考虑重构到 Amazon Aurora 等 AWS Cloud 原生数据库。有关更多信息，请参阅使用实现 Windows 工作负载现代化 AWS。

要迁移到完全托管式数据库，请考虑更换平台到 Amazon Relational Database Service（Amazon RDS）。有关更多信息，请参阅 Amazon RDS for SQL Server。

要升级 SQL Server on Amazon EC2，请考虑使用自动化运行手册简化升级。有关更多信息，请参阅 AWS Systems Manager 文档。

如果无法升级 SQL Server on Amazon EC2，请考虑适用于 Windows Server 的停止支持迁移计划（EMP）。有关更多信息，请参阅 EMP 网站。

其他资源

报告列

Status
区域
实例 ID
SQL Server 版本
支持周期
停止支持
上次更新时间

描述

如果该版本的支持接近或已经终止，则此检查会提示您。每个 Windows Server 版本都提供 10 年的支持。这包括 5 年主流支持和 5 年延长支持。支持终止到期后，该 Windows Server 版本将不会收到定期的安全更新信息。如果您使用不受支持的 Windows Server 版本运行应用程序，则这些应用程序的安全性或合规性将面临风险。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。当前，您无法从此检查中排除资源。

检查 ID

Qsdfp3A4L4

提醒条件

红色：EC2 实例的 Windows Server 版本（Windows Server 2003、2003 R2、2008 和 2008 R2）已经超过享受支持终止的期限。
黄色：目前距 EC2 实例的 Windows Server 版本（Windows Server 2012 和 2012 R2）的支持终止服务结束时间还有不到 18 个月。

Recommended Action（建议的操作）

要对 Windows 服务器工作负载进行现代化改造，请考虑使用现代化 Windows 工作负载中的各种选项 AWS。

要升级 Windows Server 工作负载以在更新版本的 Windows Server 上运行，您可以使用自动化运行手册。有关更多信息，请参阅 AWS Systems Manager 文档。

请按照以下步骤操作：

升级 Windows 服务器版本
升级后硬停下来启动
如果使用 ec2Config，请迁移到 ec2Launch

报告列

Status
区域
实例 ID
Windows Server 版本
支持周期
停止支持
上次更新时间

描述

如果版本接近或已达到标准支持的终止日期，此检查会提醒您。采取行动非常重要，要么迁移到下一个LTS，要么升级到Ubuntu Pro。支持终止后，您的 18.04 LTS 计算机将不会收到任何安全更新。订阅 Ubuntu Pro 后，你的 Ubuntu 18.04 LTS 部署可以在 2028 年之前获得扩展安全维护 (ESM)。仍未修补的安全漏洞会使您的系统受到黑客攻击，并有可能出现重大漏洞。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。当前，您无法从此检查中排除资源。

检查 ID

c1dfprch15

提醒条件

红色：亚马逊 EC2 实例的 Ubuntu 版本已达到标准支持的终止（Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS 和 18.04.6 LTS）。

黄色：亚马逊 EC2 实例的 Ubuntu 版本将在不到 6 个月的时间内结束标准支持（Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.4 LTS、20.04.5 LTS 和 20.04.6 LTS）。

绿色：所有 Amazon EC2 实例均合规。

Recommended Action（建议的操作）

要将 Ubuntu 18.04 LTS 实例升级到支持的 LTS 版本，请按照本文中提到的步骤进行操作。要将 Ubuntu 18.04 LTS 实例升级到 Ubuntu Pro，请访问 AWS License Manager 控制台并按照用户指南中提到的步骤进行操作。AWS License Manager你也可以参阅 Ubuntu 博客，其中展示了将 Ubuntu 实例升级到 Ubuntu Pro 的分步演示。

其他资源

有关定价的信息，请联系AWS Support。

报告列

Status
区域
Ubuntu Lts 版本
Support 的预计终止日期
实例 ID
支持周期
上次更新时间

描述

检查 Amazon EFS 文件系统是否使用 data-in-transit 加密方式挂载。 AWS 建议客户对所有数据流使用 data-in-transit 加密，以保护数据免遭意外泄露或未经授权的访问。Amazon EFS 建议客户使用 “-o tls” 挂载设置，使用 Amazon EFS 挂载帮助程序使用 TLS v1.2 对传输中的数据进行加密。

检查 ID

c1dfpnchv1

提醒条件

黄色：您的 Amazon EFS 文件系统的一个或多个 NFS 客户端未使用提供 data-in-transit 加密功能的推荐挂载设置。

绿色：您的 Amazon EFS 文件系统的所有 NFS 客户端都使用推荐的提供 data-in-transit 加密功能的挂载设置。

Recommended Action（建议的操作）

要利用 Amazon EFS 上的 data-in-transit 加密功能，我们建议您使用 Amazon EFS 挂载帮助程序和推荐的挂载设置重新挂载文件系统。

注意

某些 Linux 发行版不包含默认支持 TLS 功能的 stunnel 版本。如果您使用的是不支持的 Linux 发行版（请参阅此处支持的发行版），那么我们建议您在使用推荐的装载设置重新安装之前对其进行升级。

其他资源

加密传输中的数据

报告列

Status
区域
EFS 文件系统 ID
连接未加密的可用区
上次更新时间

描述

检查您的 Amazon Elastic Block Store (Amazon EBS) 卷快照的权限设置，并在任何快照可供公开访问时提醒您。

当您将快照公开时，即授予所有 AWS 账户用户访问快照中所有数据的权限。要仅与特定用户或账户共享快照，请将快照标记为私有。然后，指定要与之共享快照数据的用户或帐户。请注意，如果您在 “屏蔽所有共享” 模式下启用了 “阻止公共访问”，则您的公共快照将无法公开访问，也不会显示在此检查的结果中。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

检查 ID

ePs02jT06w

提醒条件

红色：EBS 卷快照可公开访问。

Recommended Action（建议的操作）

除非您确定要与所有 AWS 账户人和用户共享快照中的所有数据，否则请修改权限：将快照标记为私有，然后指定要向其授予权限的帐户。有关更多信息，请参阅共享 Amazon EBS 快照。使用 “阻止 EBS 快照的公共访问权限” 来控制允许公众访问您的数据的设置。无法将此支票排除在 Trusted Advisor 控制台的视图之外。

要直接修改快照的权限，请在 AWS Systems Manager 控制台中使用运行手册。有关更多信息，请参阅 AWSSupport-ModifyEBSSnapshotPermission。

其他资源

Amazon EBS 快照

报告列

Status
区域
卷 ID
快照 ID
描述

描述

Amazon RDS 支持使用您在中管理的密钥对所有数据库引擎进行静态加密 AWS Key Management Service。在采用 Amazon RDS 加密的活动数据库实例上，静态存储在存储中的数据会加密，类似于自动备份、只读副本和快照。

如果在创建 Aurora 数据库集群时未开启加密，则必须将解密后的快照还原到加密的数据库集群。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。当前，您无法从此检查中排除资源。

注意

当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择推荐。

如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

检查 ID

c1qf5bt005

提醒条件

红色：亚马逊 RDS Aurora 资源未启用加密。

Recommended Action（建议的操作）

为数据库集群开启静态数据加密。

其他资源

您可以在创建数据库实例时开启加密，也可以使用变通方法在活动数据库实例上开启加密。您无法将解密的数据库集群修改为加密的数据库集群。但是，您可以将解密的快照还原到加密的数据库集群。从解密的快照还原时，必须指定密钥。 AWS KMS

有关更多信息，请参阅加密 Amazon Aurora 资源。

报告列

Status
区域
资源
引擎名称
上次更新时间

描述

您的数据库资源未运行最新次要数据库引擎版本。最新的次要版本包含最新的安全修复和其它改进。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。当前，您无法从此检查中排除资源。

注意

当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择推荐。

如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

检查 ID

c1qf5bt003

提醒条件

红色：Amazon RDS 资源未运行最新的次要数据库引擎版本。

Recommended Action（建议的操作）

升级到最新的引擎版本。

其他资源

我们建议您使用最新的数据库引擎次要版本来维护数据库，因为此版本包含最新的安全和功能修复。数据库引擎次要版本升级仅包含与数据库引擎相同主版本的早期次要版本向后兼容的更改。

有关更多信息，请参阅升级数据库实例引擎版本。

报告列

Status
区域
资源
引擎名称
当前引擎版本
推荐值
上次更新时间

描述

检查 Amazon Relational Database Service (Amazon RDS) 数据库快照的权限设置，并在任何快照被标记为公有时发出提醒。

当您将快照公开时，即授予所有 AWS 账户用户访问快照中所有数据的权限。如果要仅与特定用户或账户共享快照，请将快照标记为私有。然后，指定要与之共享快照数据的用户或账户。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

检查 ID

rSs93HQwa1

提醒条件

红色：Amazon RDS 快照标记为公有。

Recommended Action（建议的操作）

除非您确定要与所有 AWS 账户人和用户共享快照中的所有数据，否则请修改权限：将快照标记为私有，然后指定要向其授予权限的帐户。有关更多信息，请参阅共享数据库快照或数据库集群快照。无法将此支票排除在 Trusted Advisor 控制台的视图之外。

要直接修改快照的权限，可以在 AWS Systems Manager 控制台中使用运行手册。有关更多信息，请参阅 AWSSupport-ModifyRDSSnapshotPermission。

其他资源

备份和还原 Amazon RDS 数据库实例

报告列

Status
区域
数据库实例或集群 ID
快照 ID

描述

检查 Amazon Relational Database Service (Amazon RDS) 的安全组配置，并在安全组规则授予对您的数据库的过度权限时发出警告。安全组规则的建议配置是仅允许从特定的 Amazon Elastic Compute Cloud (Amazon EC2) 安全组或特定 IP 地址进行访问。

检查 ID

nNauJisYIT

提醒条件

黄色：数据库安全组规则引用了向以下某个端口授予全局访问权限的 Amazon EC2 安全组：20、21、22、1433、1434、3306、3389、4333、5432 和 5500。
黄色：数据库安全组规则向多个 IP 地址授予访问权限（CIDR 规则后缀不是 /0 或 /32）。
红色：数据库安全组规则授予了全局访问权限（CIDR 规则后缀为 /0）。

Recommended Action（建议的操作）

审核您的安全组规则，将访问权限限制为授权的 IP 地址或 IP 范围。要编辑安全组，请使用 A uthorizeDB SecurityGroup Ingress API 或。 AWS Management Console有关更多信息，请参阅使用数据库安全组。

其他资源

报告列

Status
区域
RDS 安全组名称
入口规则
Reason

描述

Amazon RDS 支持使用您在中管理的密钥对所有数据库引擎进行静态加密 AWS Key Management Service。在采用 Amazon RDS 加密的活动数据库实例上，静态存储在存储中的数据会加密，类似于自动备份、只读副本和快照。

如果在创建数据库实例时未开启加密，则必须先恢复已解密快照的加密副本，然后才能开启加密。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。当前，您无法从此检查中排除资源。

注意

当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择推荐。

如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

检查 ID

c1qf5bt006

提醒条件

红色：Amazon RDS 资源未启用加密。

Recommended Action（建议的操作）

为您的数据库实例开启静态数据加密。

其他资源

只有在创建数据库实例时，您才能对数据库实例进行加密。要加密现有的活动数据库实例，请执行以下操作：

创建原始数据库实例的加密副本

创建数据库实例的快照。
为步骤 1 中创建的快照创建加密副本。
从加密快照恢复数据库实例。

有关更多信息，请参阅以下资源：

报告列

Status
区域
资源
引擎名称
上次更新时间

描述

使用直接指向 Amazon S3 存储桶主机名的别名记录检查 Amazon Route 53 托管区域，如果您的别名记录与您的 S3 存储桶名称不匹配，则会发出警报。

检查 ID

c1ng44jvbm

提醒条件

红色：Amazon Route 53 托管区域的别名记录表明 S3 存储桶主机名不匹配。

绿色：在您的 Amazon Route 53 托管区域中未找到不匹配的 CNAME 记录。

Recommended Action（建议的操作）

将别名记录指向 S3 存储桶主机名时，必须确保您配置的任何别名记录或别名记录都存在匹配的存储桶。通过这样做，您可以避免CNAME记录被欺骗的风险。您还可以防止任何未经授权的 AWS 用户使用您的域名托管错误或恶意的网络内容。

为避免将别名记录直接指向 S3 存储桶主机名，请考虑使用源访问控制 (OAC) 通过 Amazon 访问您的 S3 存储桶网络资产。 CloudFront

有关将别名记录与 Amazon S3 存储桶主机名关联的更多信息，请参阅使用别名记录自定义 Amazon S3 网址。

其他资源

报告列

Status
托管区域 ID
托管区域 ARN
匹配 CNAME 记录
别名记录不匹配
上次更新时间

描述

对于每个 MX 资源记录集，检查 TXT 或 SPF 资源记录集是否包含有效的 SPF 记录。记录必须以“v=spf1”开头。SPF 记录指定有权为您的域发送电子邮件的服务器，这有助于检测和停止电子邮件地址欺骗并减少垃圾邮件。Route 53 建议你使用 TXT 记录而不是 SPF 记录。 Trusted Advisor 只要每个 MX 资源记录集至少有一个 SPF 或 TXT 记录，就会将此检查报告为绿色。

检查 ID

c9D319e7sG

提醒条件

黄色：MX 资源记录集没有包含有效 SPF 值的 TXT 或 SPF 资源记录。

Recommended Action（建议的操作）

对于每个 MX 资源记录集，创建包含有效 SPF 值的 TXT 资源记录集。有关更多信息，请参阅发件人策略框架：SPF 记录语法和使用 Amazon Route 53 控制台创建资源记录集。

其他资源

报告列

托管区域名称
托管区域 ID
资源记录集名称
Status

描述

检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限或允许任何经过身份验证的用户访问的存储桶。 AWS

此检查将检查显式存储桶权限以及可能覆盖这些权限的存储桶策略。建议不要向 Amazon S3 存储桶的所有用户授予列表访问权限。这些权限可能导致非预期的用户频繁地列出存储桶中的对象，从而导致费用高于预期。向每个人授予上载和删除访问权限的权限可能会导致存储桶中出现安全漏洞。

检查 ID

Pfx0RwqBli

提醒条件

黄色：对于所有人或任何经过身份验证的 AWS 用户，桶 ACL 允许“列出”访问权限。
黄色：存储桶策略允许任何种类的开放访问。
黄色：存储桶策略具有授予公有访问权限的语句。Block public and cross-account access to buckets that have public policies（阻止对具有公有策略的存储桶进行公有和跨账户存取）设置已打开，并且已限制为只有在删除公有语句之后，才允许该账户的授权用户访问。
黄色： Trusted Advisor 无权查看政策，或者由于其他原因无法评估策略。
红色：对于所有人或任何经过身份验证的 AWS 用户，桶 ACL 允许“上传”和“删除”访问权限。

Recommended Action（建议的操作）

如果存储桶允许开放访问，请确定是否确实需要开放访问。如果不需要，请更新存储桶权限，以只允许拥有者或特定用户访问。使用“Amazon S3 阻止公有访问”来控制允许对您的数据进行公有访问的设置。请参阅设置存储桶和对象访问权限。

其他资源

管理对 Amazon S3 资源的访问权限

报告列

Status
区域名称
区域 API 参数
存储桶名称
ACL 允许列表
ACL 允许上载/删除
策略允许访问

描述

检查 Amazon 简单存储服务存储桶的日志配置。

启用服务器访问日志记录后，每小时将详细的访问日志传送到您选择的存储桶。访问日志记录包含与每个请求有关的详细信息，如请求类型、请求中指定的资源和请求的处理时间和日期。默认情况下，存储桶日志记录未启用。如果要执行安全审核或了解有关用户和使用模式的详细信息，则应启用日志记录。

初次启用日志记录时，系统会自动验证配置。但是，将来的修改可能会导致日志记录失败。此检查将检查 Amazon S3 存储桶的显式权限。最佳做法是使用存储桶策略来控制存储桶权限，但也可以使用 ACL。

检查 ID

c1fd6b96l4

提醒条件

黄色：存储桶没有启用服务器访问日志记录。
黄色：目标存储桶权限不包括根账户，所以 Trusted Advisor 无法对其进行检查。
红色：目标存储桶不存在。
红色：目标存储桶和源存储桶的拥有者不同。
红色：日志提交者没有目标存储桶的写入权限。
绿色：Bucket 已启用服务器访问日志记录，目标存在，并且存在写入目标的权限

Recommended Action（建议的操作）

为大多数存储桶启用存储桶日志记录。请参阅使用控制台启用日志记录和以编程方式启用日志记录。

如果目标存储桶权限不包括根账户，并且您希望 Trusted Advisor 检查日志记录状态，则将根账户添加为被授权者。请参阅编辑存储桶权限。

如果目标存储桶不存在，请选择现有存储桶作为目标，或创建一个新存储桶，然后选择它。请参阅管理存储桶日志记录。

如果目标存储桶和源存储桶的拥有者不同，请将目标存储桶更改为拥有者与源存储桶相同的存储桶。请参阅管理存储桶日志记录。

如果日志传送者没有目标的写入权限（未启用 “写入”），请向 “日志传送” 组授予 “上传/删除” 权限。建议使用存储桶策略而不是 ACL。请参阅编辑存储桶权限和日志传输权限。

其他资源

使用存储桶

Server access logging (服务器访问日志记录)

服务器访问日志格式

删除日志文件

报告列

Status
区域
资源 ARN
存储桶名称
目标名称
目标存在
拥有者相同
写权限已启用
Reason
上次更新时间

描述

检查您的 VPC 对等连接是否为接受者和请求者 VPC 均开启了 DNS 解析。

VPC 对等连接的 DNS 解析允许在通过您的 VPC 查询时，将公有 DNS 主机名解析为私有 IPv4 地址。这样便可使用 DNS 名称在对等 VPC 中的资源之间进行通信。VPC 对等连接中的 DNS 解析使应用程序开发和管理更简单，更不容易出错，同时还可确保资源始终通过 VPC 对等连接进行私密通信。

您可以使用规则中的 vPCID 参数指定 VPC ID。 AWS Config

有关更多信息，请参阅实现对 VPC 对等连接的 DNS 解析。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。当前，您无法从此检查中排除资源。

检查 ID

c18d2gz124

来源

AWS Config Managed Rule: vpc-peering-dns-resolution-check

提醒条件

黄色：VPC 对等连接中的接受者和请求者 VPC 均未启用 DNS 解析。

Recommended Action（建议的操作）

为您的 VPC 对等连接开启 DNS 解析。

其他资源

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查 AWS Backup 文件库是否附加了防止删除恢复点的基于资源的策略。

资源型策略可防止意外删除恢复点，这使您能够以最低权限对备份数据实施访问控制。

您可以在规则的主体ArnList参数中指定您不希望规则检查的 AWS Identity and Access Management ARN。 AWS Config

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。当前，您无法从此检查中排除资源。

检查 ID

c18d2gz152

来源

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

提醒条件

黄色：有些 AWS Backup 文件库没有基于资源的策略来防止删除恢复点。

Recommended Action（建议的操作）

为您的 AWS Backup 文件库创建基于资源的策略，以防止恢复点意外删除。

该策略必须包含带有 backup: DeleteRecovery Point、backup: 和 backup: UpdateRecovery PointLifecycle PutBackupVaultAccessPolicy 权限的 “拒绝” 语句。

有关更多信息，请参阅设置备份保管库访问策略。

报告列

Status
区域
资源
AWS Config 规则
输入参数
上次更新时间

描述

检查您的使用情况 AWS CloudTrail。 CloudTrail AWS 账户通过记录有关在账户上进行的 AWS API 调用的信息，提高对您的活动的可见性。例如，您可以使用这些日志来确定特定用户在指定时间段内执行了哪些操作，或者哪些用户在指定时间段内对特定资源采取操作。

由于将日志文件 CloudTrail 传送到亚马逊简单存储服务 (Amazon S3) Service 存储桶 CloudTrail ，因此必须拥有该存储桶的写入权限。如果跟踪应用于所有区域（创建新跟踪时的默认设置），跟踪会多次出现在 Trusted Advisor 报告中。

检查 ID

vjafUGJ9H0

提醒条件

黄色： CloudTrail 报告跟踪的日志传输错误。
红色：尚未为某区域创建跟踪，或已针对某跟踪关闭日志记录。

Recommended Action（建议的操作）

要通过控制台创建跟踪并启动日志记录，请转到 AWS CloudTrail 控制台。

要启动日志记录，请参阅停止和启动跟踪的日志记录。

如果收到日志传输错误，请确保相应存储桶存在，并且已向存储桶附加必要的策略。请参阅 Amazon S3 存储桶策略。

其他资源

报告列

Status
区域
跟踪名称
日志记录状态
存储桶名称
上次交付日期

描述

检查 Lambda 函数的 $LATEST 版本配置为使用即将弃用或已弃用的运行时。已弃用的运行时没有资格获得安全更新或技术支持

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。当前，您无法从此检查中排除资源。

已发布的 Lambda 函数版本不可改变，这意味着这些版本可以叫用，但不能更新。只有 Lambda 函数的 $LATEST 版本才能更新。有关更多信息，请参阅 Lambda 函数版本。

检查 ID

L4dfs2Q4C5

提醒条件

红色：函数的 $LATEST 版本配置为使用已弃用的运行时。
黄色：该函数的 $LATEST 版本正在运行时运行，该运行时将在 180 天内弃用。

Recommended Action（建议的操作）

如果您的函数正在接近弃用的运行时运行，您应准备好迁移到受支持的运行时。有关更多信息，请参阅运行时支持策略。

我们建议您删除不再使用的较早的函数版本。

其他资源

Lambda 运行时

报告列

Status
区域
函数 ARN
运行时
弃用的天数
弃用日期
平均每日调用次数
上次更新时间

描述

对工作负载高风险问题（HRI）的安全性支柱检查。此检查基于您的 AWS-Well Architected 审查。检查结果取决于您是否使用 AWS Well-Architected 完成了对工作负载的评估。

注意

此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。当前，您无法从此检查中排除资源。

检查 ID

Wxdfp4B1L3

提醒条件

红色：在Well-Architect AWS ed的安全支柱中至少发现了一个活跃的高风险问题。
绿色：在 Well-Architecte AWS d 的安全支柱中未检测到活跃的高风险问题。

Recommended Action（建议的操作）

AWS Well-Architected 在评估工作负载时检测到了高风险问题。这些问题为降低风险和节省资金提供了机会。登录 AWS Well-Architected 工具以查看您的答案并采取措施解决活跃的问题。

报告列

Status
区域
工作负载 ARN
工作负载名称
审核人姓名
工作负载类型
工作负载开始日期
工作负载上次修改日期
已确定的安全 HRI 数量
已解决的安全 HRI 数量
安全问题数量
安全支柱中的问题总数
上次更新时间

描述

在 IAM 证书存储区中检查 SSL 证书中是否有 CloudFront 备用域名。如果证书已过期、即将过期、使用过时的加密或未针对分发正确配置，则此检查会提醒您。

当备用域名的自定义证书到期时，显示您的 CloudFront 内容的浏览器可能会显示一条有关您网站安全的警告消息。使用 SHA-1 哈希算法加密的证书已被 Chrome 和 Firefox 等 Web 浏览器弃用。

证书必须包含与查看器请求的主机标头中的源域名或域名匹配的域名。如果不匹配，则向用户 CloudFront 返回 502（网关错误）的 HTTP 状态码。有关更多信息，请参阅使用备用域名和 HTTPS。

检查 ID

N425c450f2

提醒条件

红色：自定义 SSL 证书已过期。
黄色：自定义 SSL 证书将在七天后过期。
黄色：自定义 SSL 证书是使用 SHA-1 哈希算法加密的。
黄色：分配中的一个或多个备用域名未出现在自定义 SSL 证书的 Common Name（常用名称）或 Subject Alternative Names（主题备用名称）字段中。

Recommended Action（建议的操作）

续订已过期证书或即将过期的证书。

将使用 SHA-1 哈希算法加密的证书替换为使用 SHA-256 哈希算法加密的证书。

将证书替换为在 Common Name（常用名称）或 Subject Alternative Domain Names（主题备用域名）字段中包含适用值的证书。

其他资源

使用 HTTPS 连接访问对象

报告列

Status
分配 ID
分配域名
证书名称
Reason

描述

检查源服务器是否存在已过期、即将过期、丢失或使用过时加密的 SSL 证书。如果证书存在其中一个问题，则使用 HTTP 状态代码 502 “Bad Gateway” 来 CloudFront 响应您对内容的请求。

使用 SHA-1 哈希算法加密的证书已被 Chrome 和 Firefox 等 Web 浏览器弃用。根据您与 CloudFront分配关联的 SSL 证书的数量，例如，如果您使用的是 Amazon EC2 或 Elastic Load Balancing 作为 CloudFront 分发来源， AWS 则此支票可能会使您每月向虚拟主机提供商的账单增加几美分。此检查不会验证您的源证书链或证书颁发机构。你可以在你的 CloudFront 配置中检查这些。

检查 ID

N430c450f2

提醒条件

红色：源服务器上的 SSL 证书已过期或缺失。
黄色：源服务器上的 SSL 证书将在 30 天后过期。
黄色：源服务器上的 SSL 证书是使用 SHA-1 哈希算法加密的。
黄色：无法找到源服务器上的 SSL 证书。连接失败，可能是因为超时或其他 HTTPS 连接问题。

Recommended Action（建议的操作）

续订源服务器上已过期或即将过期的证书。

如果证书不存在，请添加证书。

将使用 SHA-1 哈希算法加密的证书替换为使用 SHA-256 哈希算法加密的证书。

其他资源

使用备用域名和 HTTPS

报告列

Status
分配 ID
分配域名
Origin
Reason

描述

检查负载均衡器的监听器不使用推荐的安全配置进行加密通信。 AWS 建议使用安全协议（HTTPS 或 SSL）、 up-to-date 安全策略以及安全的密码和协议。

当您为前端连接（客户端到负载均衡器）使用安全协议时，客户端和负载均衡器之间的请求将被加密，从而创建更安全的环境。Elastic Load Balancing 提供预定义的安全策略，其中包含符合 AWS 安全最佳实践的密码和协议。新配置可用时，会发布预定义策略的新版本。

检查 ID

a2sEc6ILx

提醒条件

黄色：负载均衡器的任何侦听器均未使用安全协议（HTTPS 或 SSL）。
黄色：负载均衡器侦听器使用了过时的预定义 SSL 安全策略。
黄色：负载均衡器侦听器使用了不推荐的密码或协议。
红色：负载均衡器侦听器使用了不安全的密码或协议。

Recommended Action（建议的操作）

如果传输到负载均衡器的流量必须安全无虞，请使用 HTTPS 或 SSL 协议进行前端连接。

将负载均衡器的预定义 SSL 安全策略升级到最新版本。

只使用推荐的密码和协议。

有关更多信息，请参阅 Elastic Load Balancing 的侦听器配置。

其他资源

报告列

Status
区域
负载均衡器名称
负载均衡器端口
Reason

描述

检查配置了缺失安全组，或者允许访问未针对负载均衡器配置的端口的安全组的负载均衡器。

如果删除与某个负载均衡器关联的安全组，则负载均衡器将无法按预期工作。如果安全组允许访问未针对负载均衡器配置的端口，则数据丢失或恶意攻击的风险会增加。

检查 ID

xSqX82fQu

提醒条件

黄色：与负载均衡器关联的 Amazon VPC 安全组的入站规则允许访问未在负载均衡器的侦听器配置中定义的端口。
红色：与负载均衡器关联的安全组不存在。

Recommended Action（建议的操作）

配置安全组规则，以将访问限制在负载均衡器侦听器配置中定义的端口和协议，以及用于支持路径 MTU 发现的 ICMP 协议。请参阅经典负载均衡器的侦听器和 VPC 中的负载均衡器的安全组。

如果安全组缺失，请将新安全组应用到负载均衡器。创建安全组规则，将访问限制在负载均衡器侦听器配置中定义的端口和协议。请参阅 VPC 中的负载均衡器的安全组。

其他资源

报告列

Status
区域
负载均衡器名称
安全组 ID
Reason

描述

检查常用代码存储库是否存在已向公共暴露的访问密钥，以及可能由于访问密钥泄露而导致的不规则 Amazon Elastic Compute Cloud (Amazon EC2) 使用。

访问密钥包含访问密钥 ID 和相应的秘密访问密钥。访问密钥被暴露对您的账户和其他用户构成安全风险，可能导致未经授权的活动或滥用行为造成费用过高，并违反 AWS 客户协议。

如果您的访问密钥暴露，请立即采取措施保护您的账户。为了保护您的账户免受过高的费用，请 AWS 暂时限制您创建某些 AWS 资源的能力。这并不能使您的账户安全。它仅部分限制了您可能需要付费的未经授权的使用。

注意

此检查并不保证能识别暴露的访问密钥或被泄露的 EC2 实例。您对访问密钥和 AWS 资源的安全和保障负有最终责任。

此检查的结果将自动刷新，并且不允许刷新请求。当前，您无法从此检查中排除资源。

如果显示了访问密钥的截止日期， AWS 账户则如果未在该日期之前停止未经授权的使用，则 AWS 可能会暂停您的访问密钥。如果您认为收到了错误的提醒，请联系 AWS Support。

中显示的信息 Trusted Advisor 可能无法反映您账户的最新状态。除非账户中所有泄露的访问密钥都已得到解决，否则任何已泄露的访问密钥均不会标记为已解决。此类数据同步最多可能需要一周时间。

检查 ID

12Fnkpl8Y5

提醒条件

红色：可能已泄露- AWS 已识别访问密钥 ID 和相应的私有访问密钥，这些密钥已在 Internet 上暴露并可能已被泄露（使用）。
Red：Exposed — AWS 已识别访问密钥 ID 和相应的私有访问密钥，这些密钥已在 Internet 上公开。
红色：疑似盗用 – Amazon EC2 出现异常使用情况，访问密钥可能已遭盗用，但尚未确定已在互联网上泄露。

Recommended Action（建议的操作）

尽快删除受影响的访问密钥。如果此密钥与 IAM 用户关联，请参阅管理对 IAM 用户的访问密钥。

检查您的账户是否存在未授权使用情况。登录到 AWS Management Console，检查每个服务控制台是否存在可疑资源。请特别注意运行中的 Amazon EC2 实例、竞价型实例请求、访问密钥和 IAM 用户。您也可以在账单与成本管理控制台上检查总体使用情况。

其他资源

报告列

访问密钥 ID
用户名（IAM 或根用户）
欺诈类型
案例 ID
更新时间
位置
截止日期
使用量（美元/天）

描述

检查过去 90 天内未轮换的活动 IAM 访问密钥。

定期轮换访问密钥时，您可以减少在您不知情的情况下使用泄漏的密钥访问资源的可能性。出于此检查的目的，上次轮换日期和时间是创建或最近激活访问密钥的时间。访问密钥编号和日期来自最新 IAM 凭证报告中的 access_key_1_last_rotated 和 access_key_2_last_rotated 信息。

由于凭证报告的重新生成频率受到限制，刷新此检查可能不会反映最近的变化。有关详细信息，请参阅获取您 AWS 账户的凭证报告。

为了创建和轮换访问密钥，用户必须具有相应的权限。有关更多信息，请参阅允许用户管理自己的密码、访问密钥和 SSH 密钥。

检查 ID

DqdJqYeRm5

提醒条件

绿色：访问密钥处于活跃状态且已在过去 90 天内轮换。
黄色：访问密钥处于活跃状态且已在过去 2 年内轮换，但距今已超过 90 天。
红色：访问密钥处于活跃状态，但在过去 2 年内未进行轮换。

Recommended Action（建议的操作）

定期轮换访问密钥。请参阅轮换访问密钥和管理 IAM 用户的访问密钥。

其他资源

报告列

Status
IAM 用户
访问密钥
上次轮换的密钥
Reason

描述

检查账户的密码策略，并在未启用密码策略或未启用密码内容要求时发出警告。

密码内容要求通过强制创建强用户密码提高了 AWS 环境的整体安全性。若您创建或更改密码策略，将会立即对新用户强制执行更改，但不会要求现有用户更改其密码。

检查 ID

Yw2K9puPzl

提醒条件

黄色：密码策略已启用，但至少有一项内容要求未启用。
红色：未启用密码策略。

Recommended Action（建议的操作）

如果部分内容要求未启用，请考虑进行启用。如果未启用任何密码策略，请创建并配置策略。请参阅为 IAM 用户设置账户密码策略。

其他资源

管理密码

报告列

密码策略
大写
小写
数字
非字母数字

描述

检查根账户，如果未启用多重身份验证 (MFA)，则发出警告。

为了提高安全性，我们建议您使用 MFA 来保护您的账户，MFA 要求用户在与网站和关联网站互动时输入来自其 MFA 硬件或虚拟设备的唯一身份验证码。 AWS Management Console

检查 ID

7DAFEmoDos

提醒条件

红色：未在根账户上启用 MFA。

Recommended Action（建议的操作）

登录根账户并激活 MFA 设备。请参阅检查 MFA 状态和设置 MFA 设备。

其他资源

将多因素身份验证 (MFA) 设备与 AWS

描述

检查安全组是否有允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。

不受限制的访问增加了恶意活动（黑客 denial-of-service 攻击、攻击、数据丢失）的机会。风险最高的端口标记为红色，风险较小的端口将标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用，例如 HTTP 和 SMTP。

如果您故意通过这种方式配置了安全组，我们建议您使用其他安全措施来保护您的基础设施（如 IP 表）。

注意

此检查仅评估您创建的安全组及其 IPv4 地址的入站规则。 AWS Directory Service 创建的安全组标记为红色或黄色，但它们不会构成安全风险，并且可能会安全地被忽略或被排除在外。有关更多信息，请参阅 Trusted Advisor 常见问题。

注意

此检查不包括客户管理的前缀列表授予对 0.0.0.0/0 的访问权限并用作带有安全组的源的用例。

检查 ID

HCP4007jGY

提醒条件

绿色：访问端口 80、25、443 或 465 不受限制。
红色：访问端口 20、21、1433、1434、3306、3389、4333、5432 或 5500 不受限制。
黄色：访问任何其他端口不受限制。

Recommended Action（建议的操作）

只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问，请将后缀设置为 /32（例如，192.0.2.10/32）。在创建更加严格的规则后，请务必删除过于宽松的规则。

其他资源

报告列

Status
区域
安全组名称
安全组 ID
协议
起始端口
终止端口

描述

检查安全组是否存在允许不受限制地访问资源的规则。

不受限制的访问增加了恶意活动（黑客 denial-of-service 攻击、攻击、数据丢失）的机会。

注意

此检查仅评估您创建的安全组及其 IPv4 地址的入站规则。 AWS Directory Service 创建的安全组标记为红色或黄色，但它们不会构成安全风险，并且可能会安全地被忽略或被排除在外。有关更多信息，请参阅 Trusted Advisor 常见问题。

注意

此检查不包括客户管理的前缀列表授予对 0.0.0.0/0 的访问权限并用作带有安全组的源的用例。

检查 ID

1iG5NDGVre

提醒条件

红色：安全组规则有一个后缀为 /0 的源 IP 地址，该后缀可用于 25、80 或 443 以外的端口。

Recommended Action（建议的操作）

只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问，请将后缀设置为 /32（例如，192.0.2.10/32）。在创建更加严格的规则后，请务必删除过于宽松的规则。

其他资源

报告列

Status
区域
安全组名称
安全组 ID
协议
起始端口
终止端口
IP 范围

注意

检查名称

Amazon CloudWatch 日志组保留期

注意

使用终止支持版本的 Microsoft SQL Server 的 Amazon EC2 实例

注意

使用终止支持版本的 Microsoft Windows Server 的 Amazon EC2 实例

注意

带有 Ubuntu LTS 的 Amazon EC2 实例已终止标准支持

注意

Amazon EFS 客户端未使用 data-in-transit 加密

注意

Amazon EBS 公有快照

注意

亚马逊 RDS Aurora 存储加密已关闭

注意

注意

需要升级 Amazon RDS 引擎次要版本

注意

注意

Amazon RDS 公有快照

注意

Amazon RDS 安全组访问风险

亚马逊 RDS 存储加密已关闭

注意

注意

创建原始数据库实例的加密副本

Amazon Route 53 不匹配直接指向 S3 存储桶的 CNAME 记录

Amazon Route 53 MX 资源记录集和发件人策略框架

Amazon S3 存储桶权限

已启用 Amazon S3Server 访问日志

禁用 DNS 解析的 Amazon VPC 对等连接

注意

AWS Backup 没有基于资源的策略的保管库可防止删除恢复点

注意

AWS CloudTrail 正在记录

AWS Lambda 使用已弃用运行时的函数

注意

AWS Well-Architected 安全性高风险问题

注意

CloudFrontIAM 证书存储区中的自定义 SSL 证书

CloudFront 源服务器上的 SSL 证书

ELB 侦听器安全

ELB 安全组

Exposed Access Keys

注意

IAM 访问密钥轮换

IAM 密码策略

根账户的 MFA

安全组 – 不受限制的特定端口

注意

注意

安全组 – 不受限制的访问

注意

注意