營運卓越 - AWS Support
Amazon API Gateway 未記錄執行日誌未啟用 X-Ray 追蹤的 Amazon API Gateway REST APIAmazon CloudFront 訪問日誌配置Amazon CloudWatch 警報操作已禁用Amazon EC2 實例不受管理 AWS Systems Manager已停用具有標籤不變性的 Amazon ECR 儲存庫已停用具有 Container Insights 的 Amazon ECS 叢集未啟用 Amazon ECS 任務日誌記錄 CloudWatch 未設定 Amazon OpenSearch 服務記錄具有異質參數群組的叢集中的 Amazon RDS 資料庫執行個體Amazon RDS 增強型監控已關閉Amazon RDS Performance Insights 已關閉Amazon RDS 跟踪計數參數已關閉Amazon Redshift 叢集稽核日誌記錄Amazon S3 未啟用事件通知Amazon SNS 主題未記錄訊息傳遞狀態Amazon VPC (不含流程日誌)未啟用存取日誌的 Application Load Balancer 和 Classic Load BalancerAWS CloudFormation 堆疊通知AWS CloudTrail S3 儲存貯體中物件的資料事件記錄AWS CodeBuild 專案記錄AWS CodeDeploy 自動復原並啟用監視AWS CodeDeploy Lambda 正在使用 all-at-once 部署組態AWS Elastic Beanstalk 未設定增強 Health 報告AWS Elastic Beanstalk 已停用受管理平台更新AWS Fargate 平台版本不是最新的AWS Systems Manager 處於不合規狀態的國家經理協會CloudTrail 未使用 Amazon CloudWatch 日誌設定追蹤未針對負載平衡器啟用 Elastic Load Balancing 刪除保護RDS 資料庫叢集刪除保護檢查 RDS 資料庫執行個體自動微幅版本升級檢查

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

營運卓越

您可以針對營運卓越類別使用下列檢查。

Amazon API Gateway 未記錄執行日誌

描述

檢查 Amazon API Gateway 是否已在所需的記錄層級開啟 CloudWatch 日誌。

在 Amazon API 閘道中開啟 REST API 方法或 WebSocket API 路由的 CloudWatch 記錄功能,以針對 API 收到的請求,在 CloudWatch 日誌中收集執行日誌。執行日誌中包含的資訊有助於找出及疑難排解與 API 相關的問題。

您可以在規則的 loggingLevel 參數中指定記錄層級 (錯誤、資訊) 識別碼。 AWS Config

如需有關在 Amazon API 閘道中 CloudWatch 記錄的詳細資訊,請參閱 REST API 或 WebSocket API 文件。

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz125

來源

AWS Config Managed Rule: api-gw-execution-logging-enabled

警示條件

黃色:Amazon API Gateway 的所需 CloudWatch 記錄層級未啟用執行日誌收集的日誌記錄設定。

建議的動作

為您的 Amazon API 閘道 REST API 或WebSocket 具有適當 CloudWatch 記錄層級 (錯誤、資訊) 的 API 開啟執行日誌記錄功能。

如需詳細資訊,請參閱建立流程日誌

其他資源
報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

未啟用 X-Ray 追蹤的 Amazon API Gateway REST API

描述

檢查 Amazon API Gateway REST API 是否已開啟 AWS X-Ray 追蹤。

開啟 REST API 的 X-Ray 追蹤功能,允許 API Gateway 使用追蹤資訊來取樣 API 調用請求。這可讓您在請求透過 API Gateway REST API 傳送 AWS X-Ray 至下游服務時,利用它們來追蹤和分析要求。

如需詳細資訊,請參閱使用 X-Ray 追蹤使用者的 REST API 請求

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz126

來源

AWS Config Managed Rule: api-gw-xray-enabled

警示條件

黃色:未開啟 API Gateway REST API 的 X-Ray 追蹤。

建議的動作

開啟 API Gateway REST API 的 X-Ray 追蹤。

如需詳細資訊,請參閱AWS X-Ray 使用 API Gateway REST API 進行設定

其他資源
報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

Amazon CloudFront 訪問日誌配置

描述

檢查 Amazon CloudFront 分發是否設定為從 Amazon S3 伺服器存取日誌擷取資訊。Amazon S3 伺服器存取日誌包含有關 CloudFront 收到的每個使用者請求的詳細資訊。

您可以使用 AWS Config 規則中的 S3 BucketName 參數調整用於存放伺服器存取日誌的 Amazon S3 儲存貯體名稱。

如需詳細資訊,請參閱設定和使用標準日誌 (存取日誌)

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz110

來源

AWS Config Managed Rule: cloudfront-accesslogs-enabled

警示條件

黃色:未啟用 Amazon CloudFront 存取記錄

建議的動作

請務必開啟 CloudFront 存取記錄功能,以擷取有關 CloudFront 接收之每個使用者要求的詳細資訊。

您可以在建立或更新分佈時開啟標準日誌。

如需詳細資訊,請參閱在建立或更新分佈時您指定的值

其他資源
報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

Amazon CloudWatch 警報操作已禁用

描述

檢查您的 Amazon CloudWatch 警示動作是否處於停用狀態。

您可以使用 AWS CLI 來啟用或停用鬧鐘中的動作功能。或者,您可以使用 AWS SDK 以編程方式禁用或啟用操作功能。警示動作功能關閉時, CloudWatch 不會在任何狀態下執行任何已定義的動作 (正常、不足資料、鬧鐘)。

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz109

來源

AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check

警示條件

黃色:未啟用 Amazon CloudWatch 警示動作。在任何警示狀態下均不會執行任何動作。

建議的動作

在 CloudWatch 警報中啟用動作,除非您有正當理由停用它們,例如用於測試目的。

如果不再需要 CloudWatch 警報,請將其刪除以避免產生不必要的成本。

如需詳細資訊,請參閱 AWS CLI 命令參考中的啟用報警動作和 Go API 參考 SDK EnableAlarmActions 中的 func (*CloudWatch)。 AWS

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

Amazon EC2 實例不受管理 AWS Systems Manager

描述

檢查您帳戶中的 Amazon EC2 執行個體是否由管理 AWS Systems Manager。

Systems Manager 可協助您瞭解和控制 Amazon EC2 執行個體和 OS 組態的目前狀態。有了 Systems Manager,您可以收集有關執行個體機群的軟體組態和庫存資訊,包含安裝在執行個體上的軟體。這可讓您追蹤詳細的系統組態、OS 修補程式等級、應用程式組態,以及有關部署的其他詳細資訊。

如需詳細資訊,請參閱設定 EC2 執行個體的 Systems Manager

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz145

來源

AWS Config Managed Rule: ec2-instance-managed-by-systems-manager

警示條件

黃色:Amazon EC2 執行個體不是由 Systems Manager 管理。

建議的動作

設定 Amazon EC2 執行個體,使其由 Systems Manager 所管理。

此檢查無法從 Trusted Advisor 主控台的檢視中排除。

如需詳細資訊,請參閱為何我的 EC2 執行個體未顯示為受管節點,或在 Systems Manager 中顯示「連線中斷」狀態?

其他資源

設定 EC2 執行個體的 Systems Manager

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

已停用具有標籤不變性的 Amazon ECR 儲存庫

描述

檢查私有 Amazon ECR 儲存庫是否已開啟映像標籤不變性。

開啟私有 Amazon ECR 儲存庫的映像標籤不變性,以防止映像標籤遭覆寫。這可讓您依賴描述性標籤作為追蹤和唯一識別映像的可靠機制。例如,倘若開啟了映像標籤不變性,則使用者便能可靠地使用映像標籤,將已部署的映像版本與產生此類映像的建置版本建立關聯。

如需詳細資訊,請參閱映像標籤可變性

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz129

來源

AWS Config Managed Rule: ecr-private-tag-immutability-enabled

警示條件

黃色:Amazon ECR 私有儲存庫未開啟標籤不變性。

建議的動作

開啟 Amazon ECR 私有儲存庫的映像標籤不變性。

如需詳細資訊,請參閱映像標籤可變性

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

已停用具有 Container Insights 的 Amazon ECS 叢集

描述

檢查您的 Amazon ECS 叢集是否已開啟 Amazon CloudWatch 容器深入解析。

CloudWatch Container Insights 會從您的容器化應用程式和微服務收集、彙總和摘要指標和記錄。指標包含 CPU、記憶體、磁碟和網路這類資源的使用率。

如需詳細資訊,請參閱 Amazon ECS CloudWatch 容器深入解析

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz173

來源

AWS Config Managed Rule: ecs-container-insights-enabled

警示條件

黃色:Amazon ECS 叢集未啟用容器洞見。

建議的動作

在您的 Amazon ECS 叢集上開啟 CloudWatch 容器深入解析。

如需詳細資訊,請參閱使用 Container Insights

其他資源

Amazon ECS CloudWatch 容器洞察

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

未啟用 Amazon ECS 任務日誌記錄

描述

檢查日誌組態是否已在作用中的 Amazon ECS 任務定義上設定。

檢查 Amazon ECS 任務定義中的日誌組態可確保容器產生的日誌已正確設定和儲存。如此有助於更快找出問題並進行疑難排解、最佳化效能,以及遵守法規遵循要求。

在預設情況下,擷取的日誌會顯示您在本機執行容器時,通常會在互動式終端機中看見的命令輸出。awslogs 驅動程序將這些日誌從碼頭傳遞到 Amazon 日誌。 CloudWatch

如需詳細資訊,請參閱使用 awslogs 日誌驅動程式

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz175

來源

AWS Config Managed Rule: ecs-task-definition-log-configuration

警示條件

黃色:Amazon ECS 任務定義沒有日誌記錄組態。

建議的動作

請考慮在容器定義中指定記錄驅動程式組態,以將記錄資訊傳送至記 CloudWatch 錄檔或其他記錄驅動程式。

如需詳細資訊,請參閱LogConfiguration

其他資源

請考慮在容器定義中指定記錄驅動程式組態,以將記錄資訊傳送至記 CloudWatch 錄檔或其他記錄驅動程式。

如需詳細資訊,請參閱任務定義範例

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

CloudWatch 未設定 Amazon OpenSearch 服務記錄

描述

檢查 Amazon OpenSearch 服務網域是否設定為將日誌傳送到 Amazon CloudWatch 日誌。

監控記錄對於維護 OpenSearch 服務的可靠性、可用性和效能至關重要。

搜尋慢速日誌、索引慢速日誌和錯誤日誌對於疑難排解工作負載的效能和穩定性問題非常有用。必須啟用這些日誌才能擷取資料。

您可以使用 AWS Config 規則中的 logTypes 參數來指定要篩選 (錯誤、搜尋、索引) 的記錄檔類型

如需詳細資訊,請參閱監控 Amazon OpenSearch 服務網域

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz184

來源

AWS Config Managed Rule: opensearch-logs-to-cloudwatch

警示條件

黃色:Amazon OpenSearch 服務沒有使用 Amazon CloudWatch 日誌的日誌記錄配置

建議的動作

設定 OpenSearch 服務網域以將記錄檔發佈至 CloudWatch 記錄檔。

如需詳細資訊,請參閱啟用日誌發布 (主控台)

其他資源
報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

具有異質參數群組的叢集中的 Amazon RDS 資料庫執行個體

描述

建議資料庫叢集中的所有資料庫執行個體使用相同的資料庫參數群組。

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

注意

當資料庫執行個體或資料庫叢集停止時,您可以在 Trusted Advisor 3 到 5 天內檢視 Amazon RDS 建議。五天後,建議在中不可用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇「建議」。

如果刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議在 Trusted Advisor Amazon RDS 管理主控台中將無法使用。

檢查 ID

c1qf5bt010

警示條件

黃色:資料庫叢集的資料庫執行個體具有異質參數群組。

建議的動作

將資料庫執行個體與資料庫叢集中的寫入器執行個體相關聯的資料庫參數群組建立關聯。

其他資源

當資料庫叢集中的資料庫執行個體使用不同的資料庫參數群組時,容錯移轉期間可能會出現不一致的行為,或資料庫叢集中的資料庫執行個體之間的相容性問題。

如需詳細資訊,請參閱使用參數群組

報告欄位

  • Status

  • 區域

  • 資源

  • 建議值

  • 引擎名稱

  • 上次更新時間

Amazon RDS 增強型監控已關閉

描述

您的資料庫資源未開啟增強型監控。增強型監控針對監控及疑難排解,提供即時的作業系統指標。

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

注意

當資料庫執行個體或資料庫叢集停止時,您可以在 Trusted Advisor 3 到 5 天內檢視 Amazon RDS 建議。五天後,建議在中不可用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇「建議」。

如果刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議在 Trusted Advisor Amazon RDS 管理主控台中將無法使用。

檢查 ID

c1qf5bt004

警示條件

黃色:Amazon RDS 資源未開啟增強型監控功能。

建議的動作

開啟「增強型監控」。

其他資源

Amazon RDS 的增強型監控功能可提供資料庫執行個體運作狀態的額外可見性。我們建議您開啟「增強型監控」。當資料庫執行個體的增強型監控選項開啟時,它會收集重要的作業系統指標和程序資訊。

如需詳細資訊,請參閱使用增強型監控來監控 OS 指標

報告欄位

  • Status

  • 區域

  • 資源

  • 建議值

  • 引擎名稱

  • 上次更新時間

Amazon RDS Performance Insights 已關閉

描述

Amazon RDS Performance Insights 可監控您的資料庫執行個體負載,以協助您分析和解決資料庫效能問題。我們建議您開啟 Performance Insights。

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

注意

當資料庫執行個體或資料庫叢集停止時,您可以在 Trusted Advisor 3 到 5 天內檢視 Amazon RDS 建議。五天後,建議在中不可用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇「建議」。

如果刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議在 Trusted Advisor Amazon RDS 管理主控台中將無法使用。

檢查 ID

c1qf5bt012

警示條件

黃色:Amazon RDS 資源未開啟 Performance Insights。

建議的動作

開啟績效詳情。

其他資源

Performance Insights 使用不會影響應用程式效能的輕量型資料收集方法。Performance Insights 可協助您快速評估資料庫負載。

如需詳細資訊,請參閱使用 Amazon RDS 上的 Performance Insights 來監控資料庫負載

報告欄位

  • Status

  • 區域

  • 資源

  • 建議值

  • 引擎名稱

  • 上次更新時間

Amazon RDS 跟踪計數參數已關閉

描述

track_counts 參數關閉時,資料庫不會收集資料庫活動統計資料。自動清空功能需要這些統計資料才能正常運作。

我們建議您將追蹤計數參數設定為 1

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

注意

當資料庫執行個體或資料庫叢集停止時,您可以在 Trusted Advisor 3 到 5 天內檢視 Amazon RDS 建議。五天後,建議在中不可用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇「建議」。

如果刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議在 Trusted Advisor Amazon RDS 管理主控台中將無法使用。

檢查 ID

c1qf5bt027

警示條件

黃色:資料庫參數群組的追蹤計數參數已關閉。

建議的動作

跟踪計數參數設置為 1

其他資源

track_counts 參數關閉時,它會停用資料庫活動統計資料的集合。auto真空daemon 需要收集的統計資料,以識別用於自動真空和自動分析的表格。

如需詳細資訊,請參閱 PostgreSQL 文件網站上的執行階段統計資料。

報告欄位

  • Status

  • 區域

  • 資源

  • 參數值

  • 建議值

  • 上次更新時間

Amazon Redshift 叢集稽核日誌記錄

描述

檢查您的 Amazon Redshift 叢集是否已開啟資料庫稽核日誌記錄。Amazon Redshift 會記錄您資料庫中連線和使用者活動的相關資訊。

您可以在規則的 BucketAmazon S3 ames 參數中指定所需的日誌記錄日誌名稱以匹配。 AWS Config

如需詳細資訊,請參閱資料庫稽核日誌記錄

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz134

來源

AWS Config Managed Rule: redshift-audit-logging-enabled

警示條件

黃色:Amazon Redshift 叢集已停用資料庫稽核日誌記錄

建議的動作

開啟 Amazon Redshift 叢集的日誌記錄和監控功能。

如需詳細資訊,請參閱使用主控台來設定稽核

其他資源

在 Amazon Redshift 中記錄和監控

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

Amazon S3 未啟用事件通知

描述

檢查 Amazon S3 事件通知是否已啟用或正確設定為所需的一或多個目的地類型。

Amazon S3 事件通知功能可在 S3 儲存貯體中發生特定事件時傳送通知。Amazon S3 可以將通知訊息傳送到 Amazon SQS 佇列、Amazon SNS 主題和 AWS Lambda 功能。

您可以使用則的「目的地」和「事件類型」參數來指定所需的目的地和事件類型。 AWS Config

如需詳細資訊,請參閱 Amazon S3 事件通知

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz163

來源

AWS Config Managed Rule: s3-event-notifications-enabled

警示條件

黃色:Amazon S3 未啟用事件通知,或未設定所需的目的地或類型。

建議的動作

設定物件和儲存貯體事件的 Amazon S3 事件通知。

如需詳細資訊,請參閱使用 Amazon S3 主控台啟用和設定事件通知

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

Amazon SNS 主題未記錄訊息傳遞狀態

描述

檢查 Amazon SNS 主題是否已開啟訊息傳遞狀態日誌記錄。

設定 Amazon SNS 主題來記錄訊息傳遞狀態,以協助提供更好的操作洞察。例如,訊息傳遞日誌記錄會驗證訊息是否已傳遞至特定 Amazon SNS 端點。此外,它還有助於識別從端點傳送的回應。

如需詳細資訊,請參閱 Amazon SNS 訊息傳遞狀態

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz121

來源

AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled

警示條件

黃色:Amazon SNS 主題未開啟訊息傳遞狀態日誌記錄。

建議的動作

開啟 SNS 主題的訊息傳遞狀態日誌記錄。

如需詳細資訊,請參閱使用 AWS 管理主控台設定傳遞狀態日誌記錄

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

Amazon VPC (不含流程日誌)

描述

檢查系統是否已為 VPC 建立 Amazon Virtual Private Cloud Flow Logs。

您可以使用 AWS Config 規則中的「交通類型」參數來指定 trafficType

如需詳細資訊,請參閱使用 VPC 流量日誌記錄 IP 流量

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz122

來源

AWS Config Managed Rule: vpc-flow-logs-enabled

警示條件

黃色:VPC 沒有 Amazon VPC 流程日誌。

建議的動作

為每個 VPC 建立 VPC 流程日誌。

如需詳細資訊,請參閱建立流程日誌

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

未啟用存取日誌的 Application Load Balancer 和 Classic Load Balancer

描述

檢查 Application Load Balancer 和 Classic Load Balancer 是否已啟用存取日誌。

Elastic Load Balancing 提供存取日誌,可針對傳送到負載平衡器的請求,擷取其詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。您可以使用這些存取日誌來分析流量模式和排除問題。

存取日誌是 Elastic Load Balancing 的選用功能,預設為停用。對負載平衡器啟動存取日誌之後,Elastic Load Balancing 會擷取日誌並存放在您指定的 Amazon S3 儲存貯體中。

您可以使用 AWS Config 規則中的 s3 BucketNames 參數指定要檢查的存取日誌 Amazon S3 儲存貯體。

如需詳細資訊,請參閱 Application Load Balancer 的存取日誌Classic Load Balancer 的存取日誌

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz167

來源

AWS Config Managed Rule: elb-logging-enabled

警示條件

黃色:Application Load Balancer 或 Classic Load Balancer 未啟用存取日誌功能。

建議的動作

啟用 Application Load Balancer 和 Classic Load Balancer 的存取日誌。

如需詳細資訊,請參閱啟用 Application Load Balancer 的存取日誌啟用 Classic Load Balancer 的存取日誌

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

AWS CloudFormation 堆疊通知

描述

檢查您的所有 AWS CloudFormation 堆疊是否都使用 Amazon SNS 在事件發生時接收通知。

您可以設定此檢查,使用 AWS Config 規則中的參數尋找特定的 Amazon SNS 主題 ARN。

如需詳細資訊,請參閱設定 AWS CloudFormation堆疊選項

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz111

來源

AWS Config Managed Rule: cloudformation-stack-notification-check

警示條件

黃色:未開啟 AWS CloudFormation 堆疊的 Amazon SNS 事件通知。

建議的動作

確保您的 AWS CloudFormation 堆疊使用 Amazon SNS 在事件發生時接收通知。

監視堆疊事件可協助您快速回應可能會改變 AWS 環境的未經授權動作。

其他資源

當我的 AWS CloudFormation 堆疊進入 ROLLBACK_IN_PROGRESS 狀態時,如何收到電子郵件警示?

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

AWS CloudTrail S3 儲存貯體中物件的資料事件記錄

描述

檢查是否至少有一個 AWS CloudTrail 追蹤記錄所有 Amazon S3 儲存貯體的 Amazon S3 資料事件。

如需詳細資訊,請參閱使用 AWS CloudTrail記錄 Amazon S3 API 呼叫

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz166

來源

AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled

警示條件

黃色:未設定 Amazon S3 儲存貯體的 AWS CloudTrail 事件記錄

建議的動作

啟用 Amazon S3 儲存貯體和物件的 CloudTrail 事件記錄,以追蹤目標儲存貯體存取的請求。

如需詳細資訊,請參閱啟用 S3 儲存貯體和物件的 CloudTrail 事件記錄

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

AWS CodeBuild 專案記錄

描述

檢查 AWS CodeBuild 項目環境是否使用日誌記錄。日誌記錄選項可以是 Amazon 日誌中的 CloudWatch 日誌,也可以是建立在指定的 Amazon S3 儲存貯體中,或兩者兼而有之。在 CodeBuild 專案中啟用記錄可提供數個好處,例如偵錯和稽核。

您可以使用 AWS Config 規則中的 s3 或 CloudWatch 雲端名稱參數,指定用於存放日誌的 Amazon S3 儲存貯體BucketNames或日誌群組的WatchGroup名稱

如需詳細資訊,請參閱 監控 AWS CodeBuild

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz113

來源

AWS Config Managed Rule: codebuild-project-logging-enabled

警示條件

黃色:未啟用 AWS CodeBuild 專案記錄。

建議的動作

確保您的 AWS CodeBuild 項目中已打開日誌記錄。此檢查無法從 AWS Trusted Advisor 主控台的檢視中排除。

如需詳細資訊,請參閱中的記錄和監視 AWS CodeBuild

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

AWS CodeDeploy 自動復原並啟用監視

描述

檢查部署群組是否設定了自動部署復原和附加了警示的部署監視。如果部署期間出現問題,系統會自動回復,而您的應用程式則會保持在穩定狀態

如需詳細資訊,請參閱使用 CodeDeploy.

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz114

來源

AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled

警示條件

黃色:未啟用 AWS CodeDeploy 自動部署復原和部署監控。

建議的動作

設定部署群組,或設定部署在部署失敗或到達您指定的監控閾值時自動轉返。

設定警示以在部署程序期間監控各種指標,例如 CPU 使用率、記憶體用量或網路流量。如果這些指標有任何一個超過特定臨界值,就會觸發警示,且部署會停止或回復。

如需為部署群組設定自動回復和設定警示的相關資訊,請參閱設定部署群組的進階選項

其他資源

什麼是 CodeDeploy?

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

AWS CodeDeploy Lambda 正在使用 all-at-once 部署組態

描述

檢查 AWS Lambda 計算平台的 AWS CodeDeploy 部署群組是否正在使用 all-at-once 部署組態。

為了降低 Lambda 函數部署失敗的風險 CodeDeploy,最佳做法是使用初期測試或線性部署組態,而非預設選項,其中所有流量都會立即從原始 Lambda 函數轉移到更新的函數。

如需詳細資訊,請參閱 Lambda 函數版本部署組態

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz115

來源

AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled

警示條件

黃色: AWS CodeDeploy Lambda 部署使用 all-at-once 部署組態,將所有流量一次轉移到更新的 Lambda 函數。

建議的動作

針對 Lambda 運算平台使用部 CodeDeploy 署群組的 Canary 或線性部署組態。

其他資源

Deployment configuration (部署組態)

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

AWS Elastic Beanstalk 未設定增強 Health 報告

描述

檢查 AWS Elastic Beanstalk 環境是否設定為增強健全狀況報告。

Elastic Beanstalk 增強型運作狀態報告提供詳細的效能指標,例如 CPU 使用率、記憶體使用率、網路流量和基礎結構運作狀態資訊,例如執行個體數量和負載平衡器狀態。

如需詳細資訊,請參閱增強型運作狀態報告與監控

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz108

來源

AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled

警示條件

黃色:Elastic Beanstalk 環境未針對增強型運作狀態報告設定

建議的動作

請確定 Elastic Beanstalk 環境已針對增強型運作狀態報告設定。

如需詳細資訊,請參閱使用 Elastic Beanstalk 主控台啟用增強型運作狀態報告

其他資源
報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

AWS Elastic Beanstalk 已停用受管理平台更新

描述

檢查是否已啟用 Elastic Beanstalk 環境和組態範本中的受管平台更新。

AWS Elastic Beanstalk 定期發行平台更新以提供修正程式、軟體更新和新功能。有了受管平台更新,Elastic Beanstalk 可以針對新的修補程式和微幅平台版本自動執行平台更新。

您可以在 AWS Config 規則的UpdateLevel參數中指定所需的更新級別。

如需詳細資訊,請參閱更新 Elastic Beanstalk 環境的平台版本

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz177

來源

AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled

警示條件

黃色:完全未設定 AWS Elastic Beanstalk 受管理平台更新,包括次要或修補程式層級。

建議的動作

在您的 Elastic Beanstalk 環境中啟用受管平台更新,或在微幅或更新層級予以設定。

如需詳細資訊,請參閱受管平台更新

其他資源
報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

AWS Fargate 平台版本不是最新的

描述

檢查 Amazon ECS 是否正在執行最新的 AWS Fargate之平台版本。Fargate 平台版本表示 Fargate 任務基礎結構的特定執行期環境。此為核心與容器執行期版本的結合。全新平台版本會隨著執行期環境的演進而發布。例如,是否有核心或作業系統更新、全新功能、錯誤修正或安全性更新。

如需詳細資訊,請參閱 Fargate 任務維護

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz174

來源

AWS Config Managed Rule: ecs-fargate-latest-platform-version

警示條件

黃色:Amazon ECS 並未於最新版本的 Fargate 平台上執行。

建議的動作

更新至最新版 Fargate 平台版本。

如需詳細資訊,請參閱 Fargate 任務維護

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

AWS Systems Manager 處於不合規狀態的國家經理協會

描述

在執行個體上執行 AWS Systems Manager 關聯之後,檢查關聯符合性的狀態是否為「相容」或「非符合性」。

State Manager 的一項功能 AWS Systems Manager,是一種安全且可擴充的組態管理服務,可自動執行將受管節點和其他 AWS 資源保持在您定義的狀態的程序。狀態管理員關聯是您指派給 AWS 資源的組態。組態會定義您要在資源上維護的狀態,因此可協助您達成目標,例如避免 Amazon EC2 執行個體之間的組態漂移。

如需詳細資訊,請參閱 AWS Systems Manager 狀態管理員

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz147

來源

AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check

警示條件

黃色: AWS Systems Manager 關聯符合性的狀態為「非相容」。

建議的動作

驗證「狀態管理員」關聯的狀態,然後採取任何必要的行動讓狀態返回 COMPLIANT。

如需詳細資訊,請參閱關於狀態管理員

其他資源

AWS Systems Manager 国家经理

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

CloudTrail 未使用 Amazon CloudWatch 日誌設定追蹤

描述

檢查 AWS CloudTrail 追蹤是否設定為將記錄檔傳送至 CloudWatch 記錄檔。

使用日 CloudTrail 誌監控 CloudWatch 日誌文件,以在中捕獲重要事件時觸發自動響應 AWS CloudTrail。

如需詳細資訊,請參閱使用記 CloudTrail 錄監視 CloudWatch 記錄檔

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz164

來源

AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled

警示條件

黃色: AWS CloudTrail 未使用 CloudWatch 記錄整合進行設定。

建議的動作

設定 CloudTrail 追蹤以將記錄事件傳送至 CloudWatch 記錄檔。

如需詳細資訊,請參閱建立 CloudTrail 事件 CloudWatch 警示:範例

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

未針對負載平衡器啟用 Elastic Load Balancing 刪除保護

描述

檢查負載平衡器是否已開啟刪除保護。

Elastic Load Balancing 支援 Application Load Balancer、Network Load Balancer 和 Gateway Load Balancer 的刪除保護。啟用刪除保護以避免您的負載平衡器遭意外刪除。當您建立負載平衡器時,預設會關閉刪除保護。如果您的負載平衡器是生產環境的一部分,請考慮啟用刪除保護。

存取日誌是 Elastic Load Balancing 的選用功能,預設為停用。對負載平衡器啟動存取日誌之後,Elastic Load Balancing 會擷取日誌並存放在您指定的 Amazon S3 儲存貯體中。

如需詳細資訊,請參閱 Application Load Balancer 刪除保護Network Load Balancer 刪除保護,或 Gateway Load Balancers 刪除保護

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz168

來源

AWS Config Managed Rule: elb-deletion-protection-enabled

警示條件

黃色:未啟用負載平衡器的刪除保護。

建議的動作

開啟 Application Load Balancer、Network Load Balancer 和 Gateway Load Balancer 的刪除保護。

如需詳細資訊,請參閱 Application Load Balancer 刪除保護Network Load Balancer 刪除保護,或 Gateway Load Balancers 刪除保護

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

RDS 資料庫叢集刪除保護檢查

描述

檢查 Amazon RDS 資料庫叢集是否已啟用刪除保護。

當叢集設定了刪除保護時,任何使用者皆無法刪除資料庫。

刪除保護功能適用於所有區域的 Amazon Aurora 和 MySQL 版 RDS、適用於甲骨文的 RDS、適用於 PostgreSQL 的 RDS 以及適用於 SQL 伺服器的 RDS 資料庫執行個體。 AWS

如需詳細資訊,請參閱 Aurora 叢集的刪除保護

檢查 ID

c18d2gz160

來源

AWS Config Managed Rule: rds-cluster-deletion-protection-enabled

警示條件

黃色:您有未啟用刪除保護的 Amazon RDS 資料庫叢集。

建議的動作

在您建立 Amazon RDS 資料庫叢集時開啟刪除保護。

您可以僅刪除未啟用刪除保護的叢集。啟用刪除保護功能可增加額外的保護層,並避免因意外或非意外刪除資料庫執行個體而導致資料遺失。刪除保護還有助於滿足法規遵循要求,確保業務連續性。

如需詳細資訊,請參閱 Aurora 叢集的刪除保護

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

其他資源

Aurora 叢集的刪除保護

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間

RDS 資料庫執行個體自動微幅版本升級檢查

描述

檢查 Amazon RDS 資料庫執行個體是否已設定自動微幅版本升級。

為 Amazon RDS 執行個體開啟自動微幅版本升級,以確保資料庫始終執行最新的安全且穩定的版本。微幅升級提供安全性更新、錯誤修正、效能改善,並維持與現有應用程式的相容性。

如需詳細資訊,請參閱升級資料庫執行個體引擎版本

注意

此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。

檢查 ID

c18d2gz155

來源

AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled

警示條件

黃色:RDS 資料庫執行個體未開啟自動微幅版本升級。

建議的動作

在建立 Amazon RDS 資料庫執行個體時,開啟自動微幅版本升級。

當您開啟微幅版本升級時,若資料庫版本執行的資料庫引擎微幅版本低於手動升級引擎版本,則資料庫版本會自動升級。

報告欄位

  • Status

  • 區域

  • 資源

  • AWS Config 規則

  • 輸入參數

  • 上次更新時間