本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Elastic Beanstalk 控制
這些控制項與 Elastic Beanstalk 資源有關。
這些控制項可能並非全部可用 AWS 區域。如需詳細資訊,請參閱 各區域控制項的可用性。
[ElasticBeanstalk.1] Elastic Beanstalk 環境應啟用增強的健康報告
相關要求:NIS.800-53.R5 CA-7、尼斯
分類:偵測設備 > 偵測服務 > 應用程式監控
嚴重性:低
資源類型:AWS::ElasticBeanstalk::Environment
AWS Config 規則:beanstalk-enhanced-health-reporting-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查您的 AWS Elastic Beanstalk 環境是否已啟用增強型健全狀況報告。
Elastic Beanstalk 增強型健全狀況報告可讓您更快速地回應基礎架構的健康狀態變更。這些變更可能會導致應用程式缺乏可用性。
Elastic Beanstalk 增強型運作狀態報告會提供狀態描述項,評估已識別問題的嚴重性,並找出可能的調查原因。Elastic Beanstalk 健康代理程式 (包含在支援的 Amazon 機器映像 (AMI) 中,可評估環境 EC2 執行個體的日誌和指標。
如需詳細資訊,請參閱AWS Elastic Beanstalk 開發人員指南中的增強型健全狀況報告和監控。
修補
如需如何啟用增強型健全狀況報告的指示,請參閱AWS Elastic Beanstalk 開發人員指南中的使用 Elastic Beanstalk 主控台啟用增強型健全狀況報告。
[ElasticBeanstalk2] 應啟用 Elastic Beanstalk 管理平台更新
相關要求:七月八日 -53.R5 系統二、七月五四 (2)、七月五四 (4)、七八、五四 (4)、七月五四 (5)
類別:偵測 > 漏洞、修補程式和版本管理
嚴重性:高
資源類型:AWS::ElasticBeanstalk::Environment
AWS Config 規則:elastic-beanstalk-managed-updates-enabled
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
版本更新層級 |
列舉 |
|
無預設值 |
此控制項會檢查是否已針對 Elastic Beanstalk 環境啟用受管平台更新。如果未啟用受管平台更新,則控制項會失敗。根據預設,如果啟用任何類型的平台更新,則控制項會通過。或者,您可以提供自訂參數值,以需要特定的更新層級。
啟用受管理平台更新可確保安裝環境適用的最新可用平台修正、更新和功能。保持最新的修補程式安裝是保護系統的重要步驟。
修補
若要啟用受管理平台更新,請參閱開AWS Elastic Beanstalk 發人員指南中的「受管理平台更新」下的「設定受管理平台更
[ElasticBeanstalk.3] Elastic Beanstalk 應該將日誌流式傳輸到 CloudWatch
類別:識別 > 記錄日誌
嚴重性:高
資源類型:AWS::ElasticBeanstalk::Environment
AWS Config 規則:elastic-beanstalk-logs-to-cloudwatch
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
在到期前保留記錄事件的天數 |
列舉 |
|
無預設值 |
此控制項會檢查 Elastic Beanstalk 環境是否設定為將記錄檔傳送至 CloudWatch 記錄檔。如果 Elastic Beanstalk 環境未設定為將記錄檔傳送至記錄,則控制項會失敗。 CloudWatch 或者,如果您希望控制項僅在到期前的指定天RetentionInDays數保留記錄檔時才傳遞,則可以為參數提供自訂值。
CloudWatch 協助您收集並監控應用程式和基礎結構資源的各種指標。您也可以使用根據特定指標 CloudWatch 來設定警示動作。我們建議將 Elastic Beanstalk 整合在一起, CloudWatch 以提高 Elastic Beanstalk 環境的可見度。Elastic Beanstalk 日誌包括 eb-activity.log,從環境 nginx 或 Apache 代理服務器訪問日誌,以及特定於環境的日誌。
修補
若要整合 Elastic Beanstalk 與 CloudWatch 記錄,請參閱AWS Elastic Beanstalk 開發人員指南中的將執行個體 CloudWatch 記錄串流至記錄。
