本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 容错能力
<a name="fault-tolerance-checks"></a>

您可以使用以下容错类别检查。

**Contents**
+ [ALB 多可用区](#alb-multi-az)
+ [未启用 Amazon Aurora MySQL 集群回溯功能](#amazon-aurora-mysql-cluster-backtracking-not-enabled)
+ [Amazon Aurora 数据库实例可访问性](#amazon-aurora-db-instance-accessibility)
+ [亚马逊 O CloudFront rigin 故障转移](#amazon-cloudfront-origin-failover)
+ [Amazon Comprehend 端点访问风险](#amazon-comprehend-endpoint-access-risk)
+ [Amazon DocumentDB 单可用区集群](#amazon-documentdb-single-az-clusters)
+ [亚马逊 DynamoDB 恢复 Point-in-time](#amazon-dynamodb-table-point-in-time-recovery)
+ [备份计划中未包含 Amazon DynamoDB 表](#amazon-dynamodb-table-not-in-backup-plan)
+ [计划中 AWS Backup 未包含亚马逊 EBS](#amazon-ebs-not-in-backup-plan)
+ [Amazon EBS 快照](#amazon-ebs-snapshots)
+ [Amazon EC2 Auto Scaling 未启用 ELB 运行状况检查](#amazon-ec2-auto-scaling-group-no-elb-health-check)
+ [Amazon EC2 Auto Scaling 组容量再平衡已启用](#amazon-ec2-auto-scaling-group-capacity-rebalance-enabled)
+ [Amazon EC2 Auto Scaling 不是成批部署的， AZs 或者没有达到最低部署数量的要求 AZs](#amazon-ec2-auto-scaling-group-multiple-az)
+ [Amazon EC2 可用区平衡](#amazon-ec2-availability-zone-balance)
+ [Amazon EC2 详细监控未启用](#amazon-ec2-detailed-monitoring-not-enabled)
+ [Amazon ECS AWS日志驱动程序处于屏蔽模式](#amazon-ecs-awslogs-driver-blockingmode)
+ [使用单个可用区的 Amazon ECS 服务](#amazon-ecs-service-single-az)
+ [Amazon ECS 多可用区放置策略](#amazon-ecs-multi-az-placement-strategy)
+ [Amazon EFS 无挂载目标冗余](#amazon-efs-no-mount-target-redundancy)
+ [Amazon EFS 不在 AWS Backup 计划中](#amazon-efs-not-in-backup-plan)
+ [Amazon ElastiCache 多可用区集群](#amazon-elasticache-multi-az-clusters)
+ [ElastiCache (Redis OSS) 集群自动备份](#amazon-elasticache-redis-clusters-auto-backup)
+ [Amazon MemoryDB 多可用区集群](#amazon-memorydb-multi-az-clusters)
+ [Amazon MSK 代理托管的分区过多](#amazon-msk-brokers-hosting-too-many-partitions)
+ [Amazon MSK 集群多可用区](#amazon-msk-cluster-multi-az)
+ [数据节点少于三个的 Amazon OpenSearch 服务域](#amazon-opensearch-service-domains-less-than-three-nodes)
+ [Amazon RDS 备份](#amazon-rds-backups)
+ [Amazon RDS 连续备份未启用](#amazon-rds-cont-backups)
+ [Amazon RDS 数据库集群有一个数据库实例](#amazon-rds-db-clusters-one-db-instance)
+ [所有实例都在同一可用区中的 Amazon RDS 数据库集群](#amazon-rds-db-clusters-same-az)
+ [所有读取器实例都在同一可用区中的 Amazon RDS 数据库集群](#amazon-rds-reader-instances-same-az)
+ [Amazon RDS 数据库实例增强监控未启用](#amazon-rds-db-instance-enhanced-monitoring-not-enabled)
+ [Amazon RDS 数据库实例已关闭存储自动扩缩](#amazon-rds-db-instance-storage-autoscaling-off)
+ [Amazon RDS 数据库实例未使用多可用区部署](#amazon-rds-db-instances-not-using-multi)
+ [亚马逊 RDS DiskQueueDepth](#Amazon-RDS-DiskQueueDepth)
+ [亚马逊 RDS FreeStorageSpace](#Amazon-RDS-FreeStorageSpace)
+ [Amazon RDS log\$1output 参数设置为 table](#amazon-rds-log-parameter-set-to-table)
+ [Amazon RDS innodb\$1default\$1row\$1format 参数设置不安全](#rds-innodb-default-row-format-unsafe)
+ [Amazon RDS innodb\$1flush\$1log\$1at\$1trx\$1commit 参数不是 1](#rds-innodb-flush-log-at-trx-parameter-off)
+ [Amazon RDS max\$1user\$1connections 参数值偏低](#rds-max-user-connections-parameter-low)
+ [Amazon RDS Multi-AZ](#amazon-rds-multi-az)
+ [亚马逊 RDS 不在 AWS Backup 计划中](#amazon-rds-not-in-backup-plan)
+ [Amazon RDS 只读副本在可写模式下打开](#rds-read-replicas-writable)
+ [Amazon RDS 资源自动备份已关闭](#amazon-rds-auto-backup-off)
+ [Amazon RDS sync\$1binlog 参数已关闭](#rds-sync-binlog-parameter-off)
+ [RDS 数据库集群未启用多可用区复制](#rds-db-cluster-multi-zone-replication-not-enabled)
+ [RDS 多可用区备用实例未启用](#rds-multi-az-standby-instance)
+ [亚马逊 RDS ReplicaLag](#Amazon-RDS-ReplicaLag)
+ [Amazon RDS synchronous\$1commit 参数已关闭](#rds-synchronous-commit-parameter-off)
+ [Amazon Redshift 集群自动快照](#amazon-redshift-cluster-automated-snapshots)
+ [Amazon Route 53 已删除运行状况检查](#amazon-route-53-deleted-health-checks)
+ [Amazon Route 53 失效转移资源记录集](#amazon-route-53-failover-resource-record-sets)
+ [Amazon Route 53 高 TTL 资源记录集](#amazon-route-53-high-ttl-resource-record-sets)
+ [Amazon Route 53 域名服务器委托](#amazon-route-53-name-server-delegations)
+ [Amazon Route 53 Resolver 端点可用区冗余](#amazon-route53-resolver-endpoint-availability-zone-redundancy)
+ [Amazon S3 桶复制未启用](#amazon-s3-bucket-replication-not-enabled)
+ [Amazon S3 Bucket Versioning](#amazon-s3-bucket-versioning)
+ [应用程序、网络和网关负载均衡器未跨多个可用区](#application-network-load-balancers-not-span-multi-az)
+ [Auto Scaling IPs 在子网中可用](#auto-scaling-available-ips-in-subnets)
+ [Auto Scaling 组运行状况检查](#auto-scaling-group-health-check)
+ [Auto Scaling 组资源](#auto-scaling-group-resources)
+ [AWS CloudHSM 在单个可用区中运行 HSM 实例的集群](#aws-cloudhsm-clusters-running-hsm-instances-in-a-single-az)
+ [Direct Connect 位置弹性](#amazon-direct-connect-location-resiliency)
+ [AWS Lambda 未配置死信队列的函数](#aws-lambda-functions-without-dlq)
+ [AWS Lambda 关于故障事件目的地](#AWS-Lambda-On-Failure-Event-Destinations)
+ [AWS Lambda 不带多可用区冗余的启用 VPC 的功能](#aws-lambda-vpc-enabled-functions-without-multi-az-redundancy)
+ [AWS Outposts 单机架部署](#aws-outposts-single-rack-deployment)
+ [AWS Resilience Hub 应用程序组件检查](#amazon-resilience-hub-application-component-check)
+ [AWS Resilience Hub 违反了政策](#aws-resilience-hub-policy-breached)
+ [AWS Resilience Hub 韧性分数](#aws-resilience-hub-resilience-scores)
+ [AWS Resilience Hub 评估年龄](#aws-resilience-hub-assessment-age)
+ [AWS Site-to-Site VPN 至少有一条隧道处于关闭状态](#aws-site-to-site-vpn-tunnel-in-down-status)
+ [AWS STS 全球终端节点使用情况 AWS 区域](#sts-global-endpoint)
+ [AWS Well-Architected 可靠性高风险问题](#well-architected-high-risk-issues-reliability)
+ [Classic Load Balancer 没有 AZs 配置多个](#classic-load-balancewr-no-multi-azs)
+ [ELB 连接耗尽](#elb-connection-draining)
+ [ELB 目标不均衡](#elb-target-imbalance)
+ [GWLB - 端点可用区独立性](#gwlb-endpoint-az-independence)
+ [负载均衡器优化](#load-balancer-optimization)
+ [NAT 网关可用区独立性](#nat-gateway-az-independence)
+ [Network Firewall 端点可用区独立性](#network-firewall-endpoint-az-independence)
+ [Network Firewall 多可用区](#network-firewall-multi-az)
+ [网络负载均衡器跨区域负载均衡](#network-load-balancers-cross-load-balancing)
+ [NLB - 私有子网中面向互联网的资源](#nlb-internet-facing-resources-private-subnet)
+ [NLB 多可用区](#nlb-multi-az)
+ [事件管理器复制集 AWS 区域 中的数量](#number-of-aws-regions-in-an-incident-manager-replication-set)
+ [单个可用区应用程序检查](#single-az-application-check)
+ [VPC 接口多个 VPC 接口端点网络接口 AZs](#vpc-interface-endpoint-network-interface-multi-az)
+ [VPN 隧道冗余](#vpn-tunnel-redundancy)
+ [ActiveMQ 可用区冗余](#activemq-availability-zone-redundancy)
+ [RabbitMQ 可用区冗余](#rabbitmq-availability-zone-redundancy)

## ALB 多可用区
<a name="alb-multi-az"></a>

**说明**  
检查您的应用程序负载均衡器是否配置为使用多个可用区（AZ）。一个可用区是一个不同的位置，它与其他区域的故障隔离开来。在同一区域中将您的负载均衡器配置为多个 AZs 以帮助提高工作负载可用性。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1dfprch08`

**提醒条件**  
黄色：ALB 部署在单个可用区中。  
绿色：ALB 有两个或更多 AZs。

**Recommended Action（建议的操作）**  
确保负载均衡器配置了至少两个可用区。  
有关更多信息，请参阅[应用程序负载均衡器的可用区](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-subnets.html)。

**其他资源**  
有关更多信息，请参阅以下文档：  
+ [Elastic 负载平衡的工作原理](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#AZ-Region)
+ [区域、可用区和本地区域](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html)

**报告列**  
+ Status
+ Region
+ ALB 名称
+ ALB 规则
+ ALB ARN
+ 的数量 AZs
+ 上次更新时间

## 未启用 Amazon Aurora MySQL 集群回溯功能
<a name="amazon-aurora-mysql-cluster-backtracking-not-enabled"></a>

**说明**  
检查 Amazon Aurora MySQL 集群是否启用了回溯功能。  
Amazon Aurora MySQL 集群回溯功能允许您将 Aurora 数据库集群还原到之前的时间点，而无需创建新集群。该功能使您能够将数据库回滚到保留期内的特定时间点，而无需从快照还原。  
您可以在 AWS Config 规则的**BacktrackWindowInHours**参数中调整回溯时间窗口（小时）。  
有关更多信息，请参阅[回溯 Aurora 数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz131`

**来源**  
`AWS Config Managed Rule: aurora-mysql-backtracking-enabled`

**提醒条件**  
黄色：未启用 Amazon Aurora MySQL 集群回溯功能。

**Recommended Action（建议的操作）**  
为您的 Amazon Aurora MySQL 集群开启回溯功能。  
有关更多信息，请参阅[回溯 Aurora 数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)。

**其他资源**  
[回溯 Aurora 数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon Aurora 数据库实例可访问性
<a name="amazon-aurora-db-instance-accessibility"></a>

**说明**  
检查 Amazon Aurora 数据库集群同时具有私有实例和公有实例的情况。  
如果主实例故障，则副本实例可提升为主实例。如果该副本实例是私有的，则只具有公有访问权限的用户将无法在失效转移后连接到数据库。我们建议集群中的所有数据库实例具有相同的可访问性。

**检查 ID**  
`xuy7H1avtl`

**提醒条件**  
黄色：Aurora 数据库集群中的实例具有不同的可访问性（公有和私有混合）。

**Recommended Action（建议的操作）**  
修改数据库集群中实例的 `Publicly Accessible` 设置，以便将所有实例设置为公有或私有。有关详细信息，请参阅[修改运行 MySQL 数据库引擎的数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ModifyInstance.MySQL.html)中有关 MySQL 实例的说明。

**其他资源**  
[Aurora 数据库集群的容错能力](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Aurora.Managing.html#Aurora.Managing.FaultTolerance)

**报告列**  
+ Status
+ Region
+ Cluster
+ 公有数据库实例
+ 私有数据库实例
+ Reason

## 亚马逊 O CloudFront rigin 故障转移
<a name="amazon-cloudfront-origin-failover"></a>

**说明**  
检查是否为包含 Amazon 中两个来源的分配配置了起源组 CloudFront。  
有关更多信息，请参阅[使用 CloudFront 源故障转移优化高可用性](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz112`

**来源**  
`AWS Config Managed Rule: cloudfront-origin-failover-enabled`

**提醒条件**  
黄色：未启用 Amazon CloudFront 源站故障转移。

**Recommended Action（建议的操作）**  
请务必为 CloudFront 发行版开启源故障转移功能，以帮助确保向最终用户交付内容的高可用性。开启此功能后，如果主原始服务器不可用，则流量将自动路由到备用原始服务器。这样可以最大限度地减少潜在停机时间，并确保内容的持续可用性。

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon Comprehend 端点访问风险
<a name="amazon-comprehend-endpoint-access-risk"></a>

**说明**  
检查使用客户托管密钥加密底层模型的端点的 AWS Key Management Service (AWS KMS) 密钥权限。如果禁用了客户托管式密钥，或者更改了密钥策略以针对 Amazon Comprehend 更改允许的权限，则端点可用性可能会受到影响。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`Cm24dfsM13`

**提醒条件**  
红色：客户托管式密钥已禁用或者密钥策略已更改以改变 Amazon Comprehend 允许的访问权限。

**Recommended Action（建议的操作）**  
如果客户托管式密钥已禁用，我们建议您启用它。有关更多信息，请参阅[启用密钥](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。如果密钥策略已更改，而您想继续使用终端节点，我们建议您更新 AWS KMS 密钥策略。有关更多信息，请参阅[更改密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。

**其他资源**  
[AWS KMS 权限](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html)

**报告列**  
+ Status
+ Region
+ 端点 ARN
+ 模型 ARN
+ KMS KeyId
+ 上次更新时间

## Amazon DocumentDB 单可用区集群
<a name="amazon-documentdb-single-az-clusters"></a>

**说明**  
检查是否存在配置为单可用区的 Amazon DocumentDB 集群。  
 在单可用区架构中运行 Amazon DocumentDB 工作负载不足以处理高度关键的工作负载，最长可能需要 10 分钟时间才能从组件故障中恢复。客户应在其他可用区中部署副本实例，以确保在维护操作、实例故障、组件故障或可用区故障期间保持可用。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c15vnddn2x`

**提醒条件**  
黄色：Amazon DocumentDB 集群的实例分布在少于三个可用区中。  
 绿色：Amazon DocumentDB 集群的实例分布在三个可用区中。

**Recommended Action（建议的操作）**  
如果您的应用程序要求高可用性，请修改数据库实例，通过副本实例启用多可用区部署。请参阅 [Amazon DocumentDB 高可用性和复制](https://docs.aws.amazon.com/documentdb/latest/developerguide/replication.html)

**其他资源**  
[了解亚马逊 DocumentDB 集群容错能力](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-fault-tolerance.html)  
[区域和可用区](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html)

**报告列**  
+ Status
+ Region
+ 可用区
+ 数据库集群标识符
+ 数据库集群 ARN
+ 上次更新时间

## 亚马逊 DynamoDB 恢复 Point-in-time
<a name="amazon-dynamodb-table-point-in-time-recovery"></a>

**说明**  
检查您的 Amazon DynamoDB 表是否启用了时间点恢复。  
时间点恢复有助于保护 DynamoDB 表免遭意外写入或删除操作。使用时间点恢复，您不必担心创建、维护或计划按需备份。时间点恢复可将表还原到最近 35 天中的任何时间点。DynamoDB 维护表的增量备份。  
有关更多信息，请参阅 [DynamoDB 的Point-in-time 恢复](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz138`

**来源**  
`AWS Config Managed Rule: dynamodb-pitr-enabled`

**提醒条件**  
黄色：您的 DynamoDB 表未启用 Point-in-time恢复功能。

**Recommended Action（建议的操作）**  
在 Amazon DynamoDB 中开启 point-in-time恢复功能以持续备份您的表格数据。  
有关更多信息，请参阅[Point-in-time 恢复：工作原理](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery_Howitworks.html)。

**其他资源**  
[Point-in-time DynamoDB 的恢复](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## 备份计划中未包含 Amazon DynamoDB 表
<a name="amazon-dynamodb-table-not-in-backup-plan"></a>

**说明**  
检查 Amazon DynamoDB 表是否属于计划的一部分。 AWS Backup   
AWS Backup 为 DynamoDB 表提供增量备份，用于捕获自上次备份以来所做的更改。在计划中 AWS Backup 包含 DynamoDB 表有助于保护您的数据免受意外数据丢失的影响，并自动执行备份过程。这为您的 DynamoDB 表提供了可靠且可扩展的备份解决方案，有助于确保您的宝贵数据得到保护并可根据需要进行恢复。  
有关更多信息，请参阅[使用创建 DynamoDB 表的备份 AWS Backup](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/CreateBackupAWS.html)  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz107`

**来源**  
`AWS Config Managed Rule: dynamodb-in-backup-plan`

**提醒条件**  
黄色：计划中不包括亚马逊 DynamoDB 表。 AWS Backup 

**Recommended Action（建议的操作）**  
确保计划中包含您的亚马逊 DynamoDB 表。 AWS Backup 

**其他资源**  
[计划备份](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/CreateBackupAWS.html#CreateBackupAWS_scheduled)  
[什么是 AWS Backup？](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)  
[使用 Amazon Backup 控制台创建备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-console)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## 计划中 AWS Backup 未包含亚马逊 EBS
<a name="amazon-ebs-not-in-backup-plan"></a>

**说明**  
检查的备份计划中是否有 Amazon EBS 卷。 AWS Backup  
将 Amazon EBS 卷纳入 AWS Backup 计划，自动定期备份存储在这些卷上的数据。这可以防止数据丢失，使数据管理更容易，并允许在需要时恢复数据。备份计划有助于确保您的数据安全，并且能够满足应用程序和服务的恢复时间和恢复点目标（RTO/RPO）。  
有关更多信息，请参阅[创建备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz106`

**来源**  
`AWS Config Managed Rule: ebs-in-backup-plan`

**提醒条件**  
黄色： AWS Backup 计划中不包括亚马逊 EBS 交易量。

**Recommended Action（建议的操作）**  
确保 AWS Backup 计划中包含您的 Amazon EBS 卷。

**其他资源**  
[使用 AWS Backup 控制台创建备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-console)  
[什么是 AWS Backup？](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)  
[入门 3：创建计划备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-scheduled-backup.html)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon EBS 快照
<a name="amazon-ebs-snapshots"></a>

**说明**  
检查 Amazon EBS 卷（可用或正在使用）的快照的存在时间。即使复制了 Amazon EBS 卷，也可能会发生故障。快照会保存到 Amazon S3 中，以实现持久存储和 point-in-time恢复。

**检查 ID**  
`H7IgTzjTYb`

**提醒条件**  
+ 黄色：最新的卷快照在 7 到 30 天之间。
+ 红色：最新的卷快照超过 30 天。
+ 红色：卷没有快照。

**Recommended Action（建议的操作）**  
每周或每月为卷创建一次快照。有关更多信息，请参阅[创建 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html)。  
要自动创建 EBS 快照，您可以考虑使用 [AWS Backup](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/new-ebs-volume-backups.html#aws-backup-volume) 或 [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/new-ebs-volume-backups.html#amazon-dlm)。

**其他资源**  
[Amazon Elastic Block Store（Amazon EBS）](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)  
[Amazon EBS Snapshots](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html)  
[AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)  
[Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-lifecycle.html)

**报告列**  
+ Status
+ Region
+ 卷 ID
+ 卷名
+ 快照 ID
+ 快照名称
+ 快照期限
+ 卷附件
+ Reason

## Amazon EC2 Auto Scaling 未启用 ELB 运行状况检查
<a name="amazon-ec2-auto-scaling-group-no-elb-health-check"></a>

**说明**  
检查与经典负载均衡器关联的 Amazon EC2 Auto Scaling 组是否正在使用 Elastic Load Balancing 运行状况检查。自动扩缩组的默认运行状况检查只有 Amazon EC2 状态检查。如果某个实例未通过这些状态检查，则将该实例标记为运行状况不佳并终止该实例。Amazon EC2 Auto Scaling 会启动一个新替代实例。Elastic Load Balancing 运行状况检查会定期监控 Amazon EC2 实例，以检测和终止运行状况不佳的实例，再启动新实例。  
有关更多信息，请参阅[新增 Elastic Load Balancing 运行状况检查](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz104`

**来源**  
`AWS Config Managed Rule: autoscaling-group-elb-healthcheck-required` 

**提醒条件**  
黄色：附加到经典负载均衡器的 Amazon EC2 Auto Scaling 组未启用 Elastic Load Balancing 运行状况检查。

**Recommended Action（建议的操作）**  
确保与经典负载均衡器关联的自动扩缩组使用 Elastic Load Balancing 运行状况检查。  
Elastic Load Balancing 运行状况检查报告负载均衡器是否运行状况良好以及是否可用于处理请求。这可为您的应用程序确保高可用性。  
有关更多详细，请参阅[向自动扩缩组添加 Elastic Load Balancing 运行状况检查](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon EC2 Auto Scaling 组容量再平衡已启用
<a name="amazon-ec2-auto-scaling-group-capacity-rebalance-enabled"></a>

**说明**  
检查使用多种实例类型的 Amazon EC2 Auto Scaling 组是否启用了容量再平衡。  
为 Amazon EC2 Auto Scaling 组配置容量再平衡有助于确保 Amazon EC2 实例在各可用区均匀分布，而不受实例类型和购买选项的影响。该功能使用与该组关联的目标跟踪策略，例如 CPU 利用率或网络流量。  
有关更多信息，请参阅[具有多个实例类型和购买选项的自动扩缩组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html#as-mixed-instance-types.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`AWS Config c18d2gz103`

**来源**  
AWS Config 托管规则： autoscaling-capacity-rebalancing

**提醒条件**  
黄色：Amazon EC2 Auto Scaling 组容量再平衡未启用。

**Recommended Action（建议的操作）**  
确保使用多种实例类型的 Amazon EC2 Auto Scaling 组已启用容量再平衡。  
有关更多信息，请参阅[启用容量再平衡（控制台）](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-capacity-rebalancing.html#enable-capacity-rebalancing-console.html)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon EC2 Auto Scaling 不是成批部署的， AZs 或者没有达到最低部署数量的要求 AZs
<a name="amazon-ec2-auto-scaling-group-multiple-az"></a>

**说明**  
检查 Amazon EC2 Auto Scaling 组是否部署在多个可用区中，或是否指定了最少可用区数量。在多个可用区中部署 Amazon EC2 实例以确保高可用性。  
您可以使用 AWS Config 规则中的**minAvailibilityZones**参数调整可用区的最小数量。  
有关更多信息，请参阅[具有多个实例类型和购买选项的自动扩缩组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html)。

**检查 ID**  
`c18d2gz101`

**来源**  
`AWS Config Managed Rule: autoscaling-multiple-az`

**提醒条件**  
红色：Amazon EC2 Auto Scaling 组没有 AZs 配置多个，或者没有达到 AZs 指定的最小数量。

**Recommended Action（建议的操作）**  
请确保您的 Amazon EC2 Auto Scaling 组配置了多个可用区。在多个可用区中部署 Amazon EC2 实例以确保高可用性。

**其他资源**  
[使用启动模板创建自动扩缩组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html)  
[使用启动配置创建自动扩缩组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-configuration.html)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon EC2 可用区平衡
<a name="amazon-ec2-availability-zone-balance"></a>

**说明**  
检查 Amazon Elastic Compute Cloud (Amazon EC2) 实例在一个区域的可用区之间的分布。  
可用区的位置各不相同，用于隔离其他可用区的故障。相同区域中的可用区之间通过廉价、低延迟的网络相连。通过启动相同区域中的多个可用区内的实例，您可以保护您的应用程序不受单点故障的影响。

**检查 ID**  
`wuy7G1zxql`

**提醒条件**  
+  黄色：区域在多个区有实例，但分配不平均（使用的可用区中的最多实例和最少实例的数量相差超过 20%）。
+  红色：区域只在单个可用区有实例。

**Recommended Action（建议的操作）**  
在多个可用区之间平均分配 Amazon EC2 实例。您可以手动启动实例或使用 Auto Scaling 自动进行来实现此操作。有关更多信息，请参阅[启动实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html)和[对您的自动扩缩组进行负载均衡](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/US_SetUpASLBApp.html)。

**其他资源**  
+ [Amazon EC2 Auto Scaling 用户指南](https://docs.aws.amazon.com/autoscaling/ec2/userguide/)
+ [您的 Amazon EC2 实例的置放群组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/placement-groups.html)
+ [亚马逊 EC2 实例类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html)

**报告列**  
+ Status
+ Region
+ a 区实例
+ b 区实例
+ c 区实例
+ e 区实例
+ f 区实例
+ Reason

## Amazon EC2 详细监控未启用
<a name="amazon-ec2-detailed-monitoring-not-enabled"></a>

**说明**  
检查是否已为 Amazon EC2 实例启用详细监控。  
Amazon EC2 详细监控提供了更频繁的指标，每隔一分钟发布一次，而不是 Amazon EC2 基本监控中每五分钟发布一次。启用对 Amazon EC2 的详细监控可帮助您更好地管理 Amazon EC2 资源，以便您可以找到趋势并更快地采取措施。  
有关更多信息，请参阅[基本监控和详细监控](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-metrics-basic-detailed.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`AWS Config c18d2gz144`

**来源**  
AWS Config 托管规则：ec2-instance-detailed-monitoring-enabled 

**提醒条件**  
黄色：未启用对 Amazon EC2 实例的详细监控。

**推荐操作**  
开启对您的 Amazon EC2 实例的详细监控，以提高 Amazon EC2 指标数据向亚马逊发布的频率 CloudWatch （从 5 分钟到 1 分钟的时间间隔）。

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon ECS AWS日志驱动程序处于屏蔽模式
<a name="amazon-ecs-awslogs-driver-blockingmode"></a>

**说明**  
检查是否在阻塞模式下使用 AWS日志记录驱动程序配置的 Amazon ECS 任务定义。在阻塞模式下配置的驱动程序可能会对系统可用性造成风险。  
此检查不考虑账户级别的驱动程序配置设置。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1dvkm4z6b`

**提醒条件**  
黄色：awslogs 驱动程序日志记录配置参数模式设置为阻塞。  
绿色：Amazon ECS 任务定义未使用 awslogs 驱动程序，或在非阻塞模式下配置了 awslogs 驱动程序。

**推荐操作**  
要降低可用性风险，请考虑将任务定义 AWS日志驱动程序配置从阻塞更改为非阻塞。在非阻塞模式下，你必须为 max-buffer-size参数设置一个值。有关配置参数的更多信息和指导，请参阅日志[容器日志驱动程序中的使用非阻塞模式防止 AWS日志丢失](https://aws.amazon.com/blogs/containers/preventing-log-loss-with-non-blocking-mode-in-the-awslogs-container-log-driver/)。

**其他资源**  
[使用 AWS Logs 日志驱动程序](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html)  
[选择容器日志记录选项以避免出现背压](https://aws.amazon.com/blogs/containers/choosing-container-logging-options-to-avoid-backpressure/)  
[在日志容器日志驱动程序中使用非阻塞模式防止 AWS日志丢失](https://aws.amazon.com/blogs/containers/preventing-log-loss-with-non-blocking-mode-in-the-awslogs-container-log-driver/)

**报告列**  
+ Status
+ Region
+ 任务定义 ARN
+ 容器定义名称
+ 上次更新时间

## 使用单个可用区的 Amazon ECS 服务
<a name="amazon-ecs-service-single-az"></a>

**说明**  
检查您的服务配置是否使用单个可用区（AZ）。  
一个可用区是一个不同的位置，它与其他区域的故障隔离开来。这支持在同一 AWS 区域设备之间实现低成本、低延迟 AZs 的网络连接。通过在同一区域的多个实例 AZs 中启动实例，您可以帮助保护您的应用程序免受单点故障的影响。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1z7dfpz01`

**提醒条件**  
+ 黄色：Amazon ECS 服务在单个可用区中运行所有任务。
+ 绿色：一项 Amazon ECS 服务正在运行至少两种不同的任务 AZs。

**推荐操作**  
为不同可用区中的服务至少再创建一个任务。

**其他资源**  
[Amazon ECS 容量和可用性](https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/capacity-availability.html)

**报告列**  
+ Status
+ Region
+ ECS 群集 Name/ECS 服务名称
+ 可用区数量
+ 上次更新时间

## Amazon ECS 多可用区放置策略
<a name="amazon-ecs-multi-az-placement-strategy"></a>

**说明**  
检查您的 Amazon ECS 服务是否使用基于可用区（AZ）的分布放置策略。此策略将任务分配到同一可用区中 AWS 区域 ，可以帮助保护您的应用程序免受单点故障的影响。  
对于作为 Amazon ECS 服务的一部分运行的任务，默认的任务放置策略为分布。  
此检查还会验证分布是否是已启用的放置策略列表中的第一个或唯一的策略。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1z7dfpz02`

**提醒条件**  
+ 黄色：按可用区域分布已禁用，或者并非您的 Amazon ECS 服务已启用放置策略列表中的第一个策略。
+ 绿色：按可用区域分布是您的 Amazon ECS 服务已启用放置策略列表中的第一个策略或已启用的唯一放置策略。

**推荐操作**  
启用分散任务放置策略，将任务分配到多个任务中 AZs。验证按可用区分布是所有已启用任务放置策略的第一个策略或是使用的唯一策略。如果您选择管理可用区放置，则可以在另一个可用区中使用镜像服务来降低这类风险。

**其他资源**  
[Amazon ECS 任务放置策略](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)

**报告列**  
+ Status
+ Region
+ ECS 群集 Name/ECS 服务名称
+ 分布任务放置策略已启用并已正确应用
+ 上次更新时间

## Amazon EFS 无挂载目标冗余
<a name="amazon-efs-no-mount-target-redundancy"></a>

**说明**  
检查 Amazon EFS 文件系统的多个可用区中是否存在挂载目标。  
每个可用区是一个不同的位置，它与其他区域的故障隔离开来。通过在一个亚马逊云科技区域内多个地理上分离的可用区中创建挂载目标，您可以为 Amazon EFS 文件系统实现最高级别的可用性和持久性。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1dfprch01`

**提醒条件**  
+ 黄色：文件系统在单个可用区中创建了 1 个挂载目标。

  绿色：文件系统在多个可用区中创建了 2 个或更多挂载目标。

**推荐操作**  
对于使用单区存储类的 EFS 文件系统，我们建议您通过将备份还原到新的文件系统来创建使用标准存储类的新文件系统。然后，在多个可用区中创建挂载目标。  
对于使用标准存储类的 EFS 文件系统，建议您在多个可用区中创建挂载目标。

**其他资源**  
+ [使用 Amazon EFS 控制台管理挂载目标](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html)
+ [Amazon EFS 配额和限制](https://docs.aws.amazon.com/efs/latest/ug/limits.html)

**报告列**  
+ Status
+ Region
+ EFS 文件系统 ID
+ 挂载目标的数量
+ 的数量 AZs
+ 上次更新时间

## Amazon EFS 不在 AWS Backup 计划中
<a name="amazon-efs-not-in-backup-plan"></a>

**说明**  
检查备份计划中是否包含 Amazon EFS 文件系统 AWS Backup。  
AWS Backup 是一项统一的备份服务，旨在简化备份的创建、迁移、恢复和删除，同时提供改进的报告和审计。  
 有关更多信息，请参阅[备份您的 Amazon EFS 文件系统](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html)。

**检查 ID**  
`c18d2gz117`

**来源**  
`AWS Config Managed Rule: EFS_IN_BACKUP_PLAN`

**提醒条件**  
红色： AWS Backup 计划中不包括 Amazon EFS 文件系统。

**推荐操作**  
确保您的 AWS Backup 计划中包含您的 Amazon EFS 文件系统，以防数据意外丢失或数据损坏。

**其他资源**  
[备份您的 Amazon EFS 文件系统](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html)  
[Amazon EFS Backup and Restore 使用 AWS Backup](https://aws.amazon.com/getting-started/hands-on/amazon-efs-backup-and-restore-using-aws-backup/)。

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon ElastiCache 多可用区集群
<a name="amazon-elasticache-multi-az-clusters"></a>

**说明**  
检查在单个可用区 (AZ) 中部署的 ElastiCache 集群。如果集群中的多可用区处于非活动状态，则此检查会提示您。  
在多个区域部署通过异步复制到不同可用区的只读副本来 AZs 增强 ElastiCache 集群的可用性。当发生计划内集群维护或主节点不可用时， ElastiCache 会自动将副本提升为主节点。这种失效转移允许恢复集群写入操作，并且不需要管理员干预。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`ECHdfsQ402`

**提醒条件**  
+ 绿色：集群中的多可用区处于活动状态。
+ 黄色：集群中的多可用区处于非活动状态。

**推荐操作**  
在与主分片不同的可用区中，每个分片至少创建一个副本。

**其他资源**  
有关更多信息，请参阅使用[多可用区最大限度地缩短 ElastiCache (Redis OSS) 中的停机时间](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/AutoFailover.html)。

**报告列**  
+ Status
+ Region
+ 集群名称
+ 上次更新时间

## ElastiCache (Redis OSS) 集群自动备份
<a name="amazon-elasticache-redis-clusters-auto-backup"></a>

**说明**  
检查 Amazon ElastiCache (Redis OSS) 集群是否开启了自动备份，以及快照保留期是否高于指定的或 15 天的默认限制。启用自动备份后， ElastiCache 将每天创建群集的备份。  
您可以使用 AWS Config 规则**snapshotRetentionPeriod**参数指定所需的快照保留期限。  
有关更多信息，请参阅 [ ElastiCache (Redis OSS) 的备份和恢复](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz178`

**来源**  
`AWS Config Managed Rule: elasticache-redis-cluster-automatic-backup-check`

**提醒条件**  
红色：亚马逊 ElastiCache （Redis OSS）集群未开启自动备份或快照保留期低于限制。

**Recommended Action（建议的操作）**  
确保 Amazon ElastiCache (Redis OSS) 集群已开启自动备份，并且快照保留期高于指定的或 15 天的默认限制。自动备份可以帮助防止数据丢失。节点发生故障时，您可以通过从最新的备份还原所有数据来创建新集群。  
有关更多信息，请参阅 [ ElastiCache (Redis OSS) 的备份和恢复](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups.html)。

**其他资源**  
有关更多信息，请参阅[计划自动备份](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html)。

**报告列**  
+ Status
+ Region
+ 集群名称
+ 上次更新时间

## Amazon MemoryDB 多可用区集群
<a name="amazon-memorydb-multi-az-clusters"></a>

**说明**  
检查部署在单个可用区（AZ）中的 MemoryDB 集群。如果集群中的多可用区处于非活动状态，则此检查会提示您。  
在多个区域部署通过异步复制到不同可用区中的只读副本来 AZs 增强 MemoryDB 集群的可用性。当发生计划内集群维护或主节点不可用时，MemoryDB 会自动将副本提升为主节点。这种失效转移允许恢复集群写入操作，并且不需要管理员干预。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`MDBdfsQ401`

**提醒条件**  
+ 绿色：集群中的多可用区处于活动状态。
+ 黄色：集群中的多可用区处于非活动状态。

**Recommended Action（建议的操作）**  
在与主分片不同的可用区中，每个分片至少创建一个副本。

**其他资源**  
有关更多信息，请参阅 [Minimizing downtime in MemoryDB with Multi-AZ](https://docs.aws.amazon.com/memorydb/latest/devguide/autofailover.html)（通过多可用区最大程度地减少 MemoryDB 停机时间）。

**报告列**  
+ Status
+ Region
+ 集群名称
+ 上次更新时间

## Amazon MSK 代理托管的分区过多
<a name="amazon-msk-brokers-hosting-too-many-partitions"></a>

**说明**  
 检查 Managed Streaming for Kafka（MSK）集群的代理分配的分区数量是否未超过建议的数量。

**检查 ID**  
`Cmsvnj8vf1`

**提醒条件**  
+ 红色：您的 MSK 代理已达到或超过建议最大分区限制的 100%
+ 黄色：您的 MSK 已达到建议最大分区限制的 80%

**Recommended Action（建议的操作）**  
按照 MSK [建议的最佳实践](https://docs.aws.amazon.com/msk/latest/developerguide/bestpractices.html)来扩展您的 MSK 集群或删除任何未使用的分区。

**其他资源**  
+ [将集群设置为正确大小](https://aws.amazon.com/blogs/big-data/best-practices-for-right-sizing-your-apache-kafka-clusters-to-optimize-performance-and-cost/)

**报告列**  
+ Status
+ Region
+ 集群 ARN
+ 代理 ID
+ 分区计数

## Amazon MSK 集群多可用区
<a name="amazon-msk-cluster-multi-az"></a>

**说明**  
检查您的 Amazon MSK 预配置集群的可用区域数量 (AZs)。Amazon MSK 集群由多个协同工作的代理组成，这些代理会分发数据和负载。在 2 个可用区架构的集群中，在执行维护操作或出现代理问题期间，生产可能会中断。

**检查 ID**  
`90046ff5b5`

**提醒条件**  
+ 黄色：Amazon MSK 集群仅在两个中配置了代理 AZs
+ 绿色：Amazon MSK 集群配置了跨三个或更多代理的代理 AZs

**Recommended Action（建议的操作）**  
要提高集群的可用性，您可以在 3 AZs 设置中创建另一个集群。然后将现有集群迁移至新创建的集群。可以使用 Amazon MSK 复制进行此次迁移。

**其他资源**  
[Amazon MSK 高可用性](https://docs.aws.amazon.com/msk/latest/developerguide/bestpractices.html#ensure-high-availability)  
[Amazon MSK 迁移](https://docs.aws.amazon.com/msk/latest/developerguide/migration.html)

**报告列**  
+ Status
+ Region
+ MSK 集群 ARN
+ 的数量 AZs
+ 上次更新时间

## 数据节点少于三个的 Amazon OpenSearch 服务域
<a name="amazon-opensearch-service-domains-less-than-three-nodes"></a>

**说明**  
检查 Amazon S OpenSearch ervice 域是否配置了至少三个数据节点，并且 ZoneAwarenessEnabled 为真。 ZoneAwarenessEnabled 启用后，Amazon S OpenSearch ervice 可确保将每个主分片及其对应的副本分配到不同的可用区。  
有关更多信息，请参阅[在 Amazon OpenSearch 服务中配置多可用区域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-multiaz.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz183`

**来源**  
`AWS Config Managed Rule: opensearch-data-node-fault-tolerance`

**提醒条件**  
黄色：Amazon OpenSearch 服务域配置的数据节点少于三个。

**Recommended Action（建议的操作）**  
确保在 Amazon S OpenSearch ervice 域中配置了至少三个数据节点。配置多可用区域，通过在同一区域内的三个可用区之间分配节点和复制数据，提高 Amazon S OpenSearch ervice 集群的可用性。当节点或数据中心（可用区）出现故障时，这可以防止数据丢失并最大程度地缩短停机时间。  
有关更多信息，请参阅通过[在三个可用区进行部署来提高 Amazon OpenSearch 服务的可用性](https://aws.amazon.com/blogs/big-data/increase-availability-for-amazon-opensearch-service-by-deploying-in-three-availability-zones/)。

**其他资源**  
+ [通过在三个可用区域进行部署来提高 Amazon OpenSearch 服务的可用性](https://aws.amazon.com/blogs/big-data/increase-availability-for-amazon-opensearch-service-by-deploying-in-three-availability-zones/)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon RDS 备份
<a name="amazon-rds-backups"></a>

**说明**  
检查 Amazon RDS 数据库实例的自动备份。  
默认情况下，启用备份，保留期为一天。备份可降低数据意外丢失的风险并允许 point-in-time恢复。  
此检查会报告按标准标记的所有资源以及评估的资源总数，包括 `OK` 资源。资源表仅列出已标记的资源。

**检查 ID**  
`opQPADkZvH`

**提醒条件**  
红色：数据库实例将备份保留期设置为 0 天。

**Recommended Action（建议的操作）**  
根据您的应用程序的要求，将数据库实例的自动备份的保留期设置为 1 到 35 天。请参阅[使用自动备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)。

**其他资源**  
[Amazon RDS 入门](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.html)

**报告列**  
+ Status
+ 区域/可用区
+ 数据库实例
+  - VPC ID
+ 备份保留期

## Amazon RDS 连续备份未启用
<a name="amazon-rds-cont-backups"></a>

**说明**  
检查 Amazon RDS 实例是否已通过 Amazon RDS 启用自动备份，或者是否已启用 AWS Backup的连续备份。持续备份可降低数据意外丢失的风险并允许 point-in-time恢复。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`44fde09ab5`

**提醒条件**  
+ 红色：该实例未在 Amazon RDS 中启用自动备份，也未在 AWS Backup中启用连续备份。
+ 红色：MySQL 5.6 以下版本不支持自动备份或连续备份。为了提供弹性，请先升级数据库版本，然后启用自动备份或连续备份。
+ 绿色：该实例已在 Amazon RDS 中启用自动备份。
+ 绿色：实例已在中启用了连续备份 AWS Backup。

**Recommended Action（建议的操作）**  
确保 Amazon RDS 实例已配置自动备份，配置方式包括：在 Amazon RDS 中将备份保留期设置为大于 0 的值，或使用 AWS Backup创建连续备份计划。

**其他资源**  
+ [Amazon RDS 入门](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.html)
+ [管理自动备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ManagingAutomatedBackups.html)
+ [备份简介](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)
+ [连续备份和 point-in-time恢复 (PITR)](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)
+ [AWS Backup 功能可用性](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html)

**报告列**  
+ Status
+ Region
+ DB Instance Identifier
+ 数据库实例 ARN
+ 部署类型
+ 备份类型
+ Reason
+ 上次更新时间

## Amazon RDS 数据库集群有一个数据库实例
<a name="amazon-rds-db-clusters-one-db-instance"></a>

**说明**  
向数据库集群中至少再添加一个数据库实例，以提高可用性和性能。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt011`

**提醒条件**  
黄色：数据库集群仅包含一个数据库实例。

**Recommended Action（建议的操作）**  
向数据库集群添加一个读取器数据库实例。

**其他资源**  
在当前配置下，单个数据库实例同时处理读取和写入操作。您可以添加另一个数据库实例，以实现读取操作的重新分配并获得失效转移选项。  
有关更多信息，请参阅 [Amazon Aurora 的高可用性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html)。

**报告列**  
+ Status
+ Region
+ 资源
+ 引擎名称
+ 数据库实例类
+ 上次更新时间

## 所有实例都在同一可用区中的 Amazon RDS 数据库集群
<a name="amazon-rds-db-clusters-same-az"></a>

**说明**  
数据库集群目前位于单个可用区中。使用多个可用区来提高可用性。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt007`

**提醒条件**  
黄色：数据库集群的所有实例都在同一可用区中。

**Recommended Action（建议的操作）**  
将数据库实例添加到数据库集群中的多个可用区。

**其他资源**  
建议您将数据库实例添加到数据库集群中的多个可用区。将数据库实例添加到多个可用区可提高数据库集群的可用性。  
有关更多信息，请参阅 [Amazon Aurora 的高可用性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html)。

**报告列**  
+ Status
+ Region
+ 资源
+ 引擎名称
+ 上次更新时间

## 所有读取器实例都在同一可用区中的 Amazon RDS 数据库集群
<a name="amazon-rds-reader-instances-same-az"></a>

**说明**  
您的数据库集群的所有读取器实例都在同一个可用区中。建议您将读取器实例分布在数据库集群中的多个可用区。  
这种分布方式可提高数据库的可用性，并通过减少客户端与数据库之间的网络延迟来缩短响应时间。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt018`

**提醒条件**  
红色：数据库集群的读取器实例在同一可用区中。

**Recommended Action（建议的操作）**  
将读取器实例分布在多个可用区中。

**其他资源**  
可用区 (AZs) 是相互独立的位置，可在每个 AWS 区域内发生停机时提供隔离。我们建议您将数据库集群中的主实例和读取器实例分布在多个集群中 AZs ，以提高数据库集群的可用性。在创建集群时，您可以使用 AWS 管理控制台 AWS CLI、或 Amazon RDS API 创建多可用区集群。您可以通过添加新的读取器实例并指定不同的可用区，修改现有 Aurora 集群以转为多可用区集群。  
有关更多信息，请参阅 [Amazon Aurora 的高可用性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html)。

**报告列**  
+ Status
+ Region
+ 资源
+ 引擎名称
+ 上次更新时间

## Amazon RDS 数据库实例增强监控未启用
<a name="amazon-rds-db-instance-enhanced-monitoring-not-enabled"></a>

**说明**  
检查您的 Amazon RDS 数据库实例是否已启用增强监控。  
Amazon RDS 增强监控提供运行数据库实例的操作系统（OS）的实时指标。可以在 Amazon RDS 控制台上查看 Amazon RDS 数据库实例的所有系统指标和过程信息。而且，您可以自定义控制面板。借助增强监控，您可以近乎实时地查看 Amazon RDS 实例的运行状态，从而更快地响应操作问题。  
您可以使用规则的 m **onitoringInterval** 参数指定所需的监控间隔。 AWS Config   
有关更多信息，请参阅[增强监测概述](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.overview.html)和[增强监控中的操作系统指标](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring-Available-OS-Metrics.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz158`

**来源**  
`AWS Config Managed Rule: rds-enhanced-monitoring-enabled`

**提醒条件**  
黄色：您的 Amazon RDS 数据库实例未启用增强监控，或未配置所需的间隔。

**Recommended Action（建议的操作）**  
为您的 Amazon RDS 数据库实例启用增强监控，以提高 Amazon RDS 实例运行状态的可见性。  
有关更多信息，请参阅[使用增强监控来监控操作系统指标](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)。

**其他资源**  
[增强监控中的操作系统指标](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring-Available-OS-Metrics.html)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon RDS 数据库实例已关闭存储自动扩缩
<a name="amazon-rds-db-instance-storage-autoscaling-off"></a>

**说明**  
您的数据库实例没有开启 Amazon RDS 存储自动扩缩功能。当数据库工作负载增加时，RDS 存储自动扩缩功能会自动扩展存储容量，且停机时间为零。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt013`

**提醒条件**  
红色：数据库实例未开启存储自动扩缩功能。

**Recommended Action（建议的操作）**  
开启 Amazon RDS 存储自动扩缩功能，并设置指定的最大存储阈值。

**其他资源**  
当数据库工作负载增加时，Amazon RDS 存储自动扩缩功能会自动扩展存储容量，且停机时间为零。存储自动扩缩功能会监控存储使用情况，并在使用量接近预配置的存储容量时自动扩展容量。您可以指定 Amazon RDS 可为数据库实例分配的存储空间的上限。存储自动扩缩功能不额外收费。您只需为分配给您的数据库实例的 Amazon RDS 资源付费即可。建议您开启 Amazon RDS 存储自动扩缩功能。  
有关详细信息，请参阅[使用 Amazon RDS 存储自动扩展功能自动管理容量](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PIOPS.StorageTypes.html#USER_PIOPS.Autoscaling)。

**报告列**  
+ Status
+ Region
+ 资源
+ 建议值
+ 引擎名称
+ 上次更新时间

## Amazon RDS 数据库实例未使用多可用区部署
<a name="amazon-rds-db-instances-not-using-multi"></a>

**说明**  
建议您使用多可用区部署。多可用区部署可增强数据库实例的可用性和持久性。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt019`

**提醒条件**  
黄色：数据库实例未使用多可用区部署。

**Recommended Action（建议的操作）**  
为受影响的数据库实例设置多可用区。

**其他资源**  
在 Amazon RDS Multi-AZ 部署中，Amazon RDS 会自动创建一个主数据库实例，并将数据复制到不同可用区中的另一个实例。当检测到故障时，Amazon RDS 会自动执行故障转移到备用实例，无需人工干预。  
有关更多信息，请参阅[定价](https://aws.amazon.com/rds/features/multi-az/#Pricing)。

**报告列**  
+ Status
+ Region
+ 资源
+ 引擎名称
+ 上次更新时间

## 亚马逊 RDS DiskQueueDepth
<a name="Amazon-RDS-DiskQueueDepth"></a>

**说明**  
检查该 CloudWatch 指标是否 DiskQueueDepth 显示排队写入 RDS 实例数据库存储的次数已增长到应建议进行操作调查的水平。

**检查 ID**  
`Cmsvnj8db3`

**提醒条件**  
+ 红色： DiskQueueDepth CloudWatch 指标已超过 10
+ 黄色： DiskQueueDepth CloudWatch 指标大于 5 但小于或等于 10
+ 绿色： DiskQueueDepth CloudWatch 公制值小于或等于 5

**Recommended Action（建议的操作）**  
考虑迁移到支持这些 read/write 特征的实例和存储卷。

**报告列**  
+ Status
+ Region
+ 数据库实例 ARN
+ DiskQueueDepth 指标

## 亚马逊 RDS FreeStorageSpace
<a name="Amazon-RDS-FreeStorageSpace"></a>

**说明**  
检查 RDS 数据库实例的 FreeStorageSpace CloudWatch 指标是否已降至操作上合理的阈值以下。

**检查 ID**  
`Cmsvnj8db2`

**提醒条件**  
+ 红色： FreeStorageSpace 占总容量的 10% 以下
+ 黄色：占总容量 FreeStorageSpace 的 10% 到 20% 之间
+ 绿色： FreeStorageSpace 占总容量的 20% 以上

**Recommended Action（建议的操作）**  
使用 Amazon RDS 管理控制台、Amazon RDS API 或 AWS 命令行界面，为可用存储空间不足的 RDS 数据库实例纵向扩展存储空间。

**报告列**  
+ Status
+ Region
+ 数据库实例 ARN
+ FreeStorageSpace 指标 (MB)
+ 数据库实例分配的存储空间（MB）
+ 数据库实例存储已用百分比

## Amazon RDS log\$1output 参数设置为 table
<a name="amazon-rds-log-parameter-set-to-table"></a>

**说明**  
当 **log\$1output** 设置为 **TABLE** 时，使用的存储空间要比 **log\$1output** 设置为 **FILE** 时使用的存储空间更多。建议您将此参数设置为 **FILE**，以避免达到存储大小限制。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt023`

**提醒条件**  
黄色：数据库参数组中的 **log\$1output** 参数设置为 **TABLE**。

**Recommended Action（建议的操作）**  
在数据库参数组中将 **log\$1output** 参数值设置为 **FILE**。

**其他资源**  
有关更多信息，请参阅 [MySQL 数据库日志文件](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.MySQL.html)。

**报告列**  
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间

## Amazon RDS innodb\$1default\$1row\$1format 参数设置不安全
<a name="rds-innodb-default-row-format-unsafe"></a>

**说明**  
您的数据库实例遇到一个已知问题：在低于 8.0.26 版本的 MySQL 中，如果创建的表将 **row\$1format** 设置为 **COMPACT** 或 **REDUNDANT**，当索引超过 767 字节时，该表将不可访问且无法恢复。  
建议您将 **innodb\$1default\$1row\$1format** 参数值设置为 **DYNAMIC**。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt036`

**提醒条件**  
红色：数据库参数组的 **innodb\$1default\$1row\$1format** 参数设置不安全。

**Recommended Action（建议的操作）**  
将 **innodb\$1default\$1row\$1format** 参数设置为 **DYNAMIC**。

**其他资源**  
在低于 8.0.26 版本的 MySQL 中，若创建表时将 **row\$1format** 设置为 **COMPACT** 或 **REDUNDANT**，系统不会强制要求创建的索引键前缀长度小于 767 字节。数据库重启后，这些表将不可访问且无法恢复。  
有关更多信息，请参阅 MySQL 文档网站上的 [MySQL 8.0.26 版本变更（2021 年 7 月 20 日正式发布）](https://dev.mysql.com/doc/relnotes/mysql/8.0/en/news-8-0-26.html#mysqld-8-0-26-bug%60)。

**报告列**  
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间

## Amazon RDS innodb\$1flush\$1log\$1at\$1trx\$1commit 参数不是 1
<a name="rds-innodb-flush-log-at-trx-parameter-off"></a>

**说明**  
数据库实例的 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 参数值并非安全值。此参数控制向磁盘提交操作的持久性。  
建议您将 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 参数设置为 1。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt030`

**提醒条件**  
黄色：数据库参数组的 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 设置为 1 以外的值。

**Recommended Action（建议的操作）**  
将 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 参数值设置为 1

**其他资源**  
当日志缓冲区保存到持久性存储中时，数据库事务具备持久性。但保存到磁盘会影响性能。根据为 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 参数设置的值，日志写入和保存到磁盘的行为可能会有所不同。  
+ 当参数值设置为 1 时，每完成一次事务提交，日志会写入并保存到磁盘。
+  当参数值设置为 0 时，日志每秒钟写入并保存到磁盘一次。
+ 当参数值设置为 2 时，每完成一次事务提交，日志会随之写入，且每秒钟保存到磁盘一次。数据会从 InnoDB 内存缓冲区移动到同样位于内存中的操作系统缓存。
当参数值未设置为 1 时，InnoDB 无法保证 ACID 属性。如果数据库发生崩溃，最近一秒内的事务可能会丢失。
有关更多信息，请参阅[为 Amazon RDS for MySQL 配置参数的最佳实践，第 1 部分：与性能相关的参数](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。

**报告列**  
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间

## Amazon RDS max\$1user\$1connections 参数值偏低
<a name="rds-max-user-connections-parameter-low"></a>

**说明**  
对于您的数据库实例，每个数据库账户的最大同时连接数的值较低。  
建议您将 **max\$1user\$1connections** 参数设置为大于 **5** 的数字。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt034`

**提醒条件**  
黄色：数据库参数组的 **max\$1user\$1connections** 配置不正确。

**Recommended Action（建议的操作）**  
将 **max\$1user\$1connections** 参数的值增加到大于 **5** 的数字。

**其他资源**  
**max\$1user\$1connections** 设置用于控制 MySQL 用户账户允许的最大并发连接数。若达到此连接限制，会导致 Amazon RDS 实例管理操作（例如备份、修补和参数更改）失败。  
有关更多信息，请参阅 MySQL 文档网站上的[设置账户资源限制](https://dev.mysql.com/doc/refman/8.0/en/user-resources.html)。

**报告列**  
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间

## Amazon RDS Multi-AZ
<a name="amazon-rds-multi-az"></a>

**说明**  
检查部署在单个可用区 (AZ) 中的数据库实例。  
多可用区部署通过同步复制到不同可用区中的备用实例，增强数据库可用性。在计划的数据库维护期间，或在数据库实例或可用区发生故障时，Amazon RDS 会自动将故障转移到备用实例。通过此失效转移，数据库操作将快速恢复，无需管理干预。由于 Amazon RDS 不支持 Microsoft SQL Server 的多可用区部署，因此此检查不会检查 SQL Server 实例。  
此检查会报告按标准标记的所有资源以及评估的资源总数，包括 `OK` 资源。资源表仅列出已标记的资源。

**检查 ID**  
`f2iK5R6Dep`

**提醒条件**  
黄色：在单个可用区中部署数据库实例。

**Recommended Action（建议的操作）**  
如果您的应用程序要求高可用性，请将您的数据库实例修改为启用多可用区部署。请参阅[高可用性（多可用区）](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html)。

**其他资源**  
[区域和可用区](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html)

**报告列**  
+ Status
+ 区域/可用区
+ 数据库实例
+  - VPC ID
+ 多可用区

## 亚马逊 RDS 不在 AWS Backup 计划中
<a name="amazon-rds-not-in-backup-plan"></a>

**说明**  
检查您的 Amazon RDS 数据库实例是否包含在 AWS Backup的备份计划中。  
AWS Backup 是一项完全托管的备份服务，可以轻松地跨 AWS 服务集中和自动备份数据。  
将您的 Amazon RDS 数据库实例纳入备份计划，对于监管合规义务、灾难恢复、数据保护业务策略和业务连续性目标而言非常重要。  
有关更多信息，请参阅[什么是 Amazon Backup？](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz159`

**来源**  
`AWS Config Managed Rule: rds-in-backup-plan`

**提醒条件**  
黄色：Amazon RDS 数据库实例未包含在的备份计划中 AWS Backup。

**Recommended Action（建议的操作）**  
使用将您的 Amazon RDS 数据库实例包含在备份计划中 AWS Backup。  
有关更多信息，请参阅[使用 Amazon Backup 进行 Amazon RDS 备份与还原](https://aws.amazon.com/getting-started/hands-on/amazon-rds-backup-restore-using-aws-backup/)。

**其他资源**  
[将资源分配给备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon RDS 只读副本在可写模式下打开
<a name="rds-read-replicas-writable"></a>

**说明**  
您的数据库实例的只读副本处于可写模式，这允许来自客户端的更新。  
我们建议您将 **read\$1only 参数设置为，**TrueIfReplica**这样只**读副本就不会处于可写模式。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt035`

**提醒条件**  
黄色：数据库参数组为只读副本开启了可写模式。

**Recommended Action（建议的操作）**  
将 **read\$1only** 参数值设置为。**TrueIfReplica**

**其他资源**  
**read\$1only** 参数用于控制客户端对数据库实例的写入权限。此参数的默认值为 **TrueIfReplica**。对于副本实例，**TrueIfReplica**将 **read\$1only** 值设置为 ON (1) 并禁用来自客户端的任何写入活动。对于 master/writer 实例，**TrueIfReplica**将该值设置为 OFF (0)，并启用来自客户端的写入活动。在可写模式下打开只读副本时，存储在此实例中的数据可能会与主实例产生差异，从而导致复制错误。  
有关更多信息，请参阅 MySQL 文档网站上的[为 Amazon RDS for MySQL 配置参数的最佳实践，第 2 部分：与复制相关的参数](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-2-parameters-related-to-replication/)。

**报告列**  
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间

## Amazon RDS 资源自动备份已关闭
<a name="amazon-rds-auto-backup-off"></a>

**说明**  
您的数据库资源已禁用自动备份功能。通过自动备份，您可以 point-in-time恢复数据库实例。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt001`

**提醒条件**  
红色：Amazon RDS 资源未开启自动备份功能

**Recommended Action（建议的操作）**  
开启自动备份，保留期最长为 14 天。

**其他资源**  
通过自动备份，您可以 point-in-time恢复数据库实例。建议开启自动备份功能。为数据库实例开启自动备份功能后，Amazon RDS 会在您的首选备份窗口内每天自动对您的数据执行完整备份。当数据库实例有更新时，备份会捕获事务日志。您可获得与数据库实例的存储容量相当的备份存储空间，无需额外付费。  
有关更多信息，请参阅以下资源：  
+ [启用自动备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling)
+ [揭秘 Amazon RDS 备份存储成本](https://aws.amazon.com/blogs/database/demystifying-amazon-rds-backup-storage-costs/)

**报告列**  
+ Status
+ Region
+ 资源
+ 建议值
+ 引擎名称
+ 上次更新时间

## Amazon RDS sync\$1binlog 参数已关闭
<a name="rds-sync-binlog-parameter-off"></a>

**说明**  
在数据库实例中确认事务提交之前，不会强制将二进制日志同步到磁盘。  
建议您将 **sync\$1binlog** 参数值设置为 **1**。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt031`

**提醒条件**  
黄色：数据库参数组的同步二进制日志记录功能已关闭。

**Recommended Action（建议的操作）**  
将 **sync\$1binlog** 参数设置为 **1**。

**其他资源**  
**sync\$1binlog** 参数用于控制 MySQL 如何将二进制日志写入磁盘。当此参数的值设置为 **1** 时，它会在提交事务前开启将二进制日志同步到磁盘的功能。当此参数的值设置为 **0** 时，它会关闭将二进制日志同步到磁盘的功能。通常情况下，MySQL 服务器会像处理其他文件一样，依赖操作系统定期将二进制日志写入磁盘。将 **sync\$1binlog** 参数值设置为 **0** 可以提升性能。但在出现停电或操作系统崩溃期间，服务器会丢失所有尚未同步到二进制日志的已提交事务。  
有关更多信息，请参阅[为 Amazon RDS for MySQL 配置参数的最佳实践，第 2 部分：与复制相关的参数](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-2-parameters-related-to-replication/)。

**报告列**  
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间

## RDS 数据库集群未启用多可用区复制
<a name="rds-db-cluster-multi-zone-replication-not-enabled"></a>

**说明**  
检查您的 Amazon RDS 数据库集群是否已启用多可用区复制。  
多可用区数据库集群在三个独立可用区中有一个写入器数据库实例和两个读取器数据库实例。与多可用区部署相比，多可用区数据库集群可提供高可用性、增加读取工作负载容量以及更低的延迟。  
有关更多信息，请参阅[创建多可用区数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/create-multi-az-db-cluster.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz161`

**来源**  
`AWS Config Managed Rule: rds-cluster-multi-az-enabled`

**提醒条件**  
黄色：您的 Amazon RDS 数据库集群未配置多可用区复制

**Recommended Action（建议的操作）**  
创建 Amazon RDS 数据库集群时开启多可用区数据库集群部署。  
有关更多信息，请参阅[创建多可用区数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/create-multi-az-db-cluster.html)。

**其他资源**  
[多可用区数据库集群部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/multi-az-db-clusters-concepts.html)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## RDS 多可用区备用实例未启用
<a name="rds-multi-az-standby-instance"></a>

**说明**  
检查您的 Amazon RDS 数据库实例是否已配置多可用区备用副本。  
Amazon RDS Multi-AZ 通过将数据复制到不同可用区中的备用副本，为数据库实例提供高可用性和持久性。这提供了自动失效转移，提高了性能并增强了数据持久性。在多可用区数据库实例部署中，Amazon RDS 会自动在不同可用区中配置和维护一个同步备用副本。主数据库实例将跨可用区同步复制到备用副本，以提供数据冗余并在系统备份期间将延迟峰值降至最小。在计划内的系统维护期间，运行具有高可用性的数据库实例可提高可用性。它还可以帮助您保护数据库，以防数据库实例发生故障和可用区中断。  
有关更多信息，请参阅[多可用区数据库实例部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz156`

**来源**  
`AWS Config Managed Rule: rds-multi-az-support`

**提醒条件**  
黄色：Amazon RDS 数据库实例未配置多可用区副本。

**Recommended Action（建议的操作）**  
创建 Amazon RDS 数据库实例时开启多可用区部署。  
无法将此支票排除在 Trusted Advisor 控制台的视图之外。

**其他资源**  
[多可用区数据库实例部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## 亚马逊 RDS ReplicaLag
<a name="Amazon-RDS-ReplicaLag"></a>

**说明**  
检查 RDS 数据库实例的 ReplicaLag CloudWatch 指标在过去一周内是否超过了操作上合理的阈值。  
ReplicaLag metric 衡量只读副本落后于主实例的秒数。当对只读副本进行的异步更新无法跟上主数据库实例上所发生的更新时，即可出现复制延迟。如果主实例出现故障，则如果超过操作上合理的阈值，则只读副本中可能会丢失数据。 ReplicaLag 

**检查 ID**  
`Cmsvnj8db1`

**提醒条件**  
+ 红色： ReplicaLag 指标在一周内至少超过 60 秒一次。
+ 黄色： ReplicaLag 指标在一周内至少超过 10 秒一次。
+ 绿色：小 ReplicaLag 于 10 秒。

**Recommended Action（建议的操作）**  
超过操作安全水平可能有多种原因 ReplicaLag 。例如，它可能是由最近来自较旧备份的 replaced/launched 副本实例造成的，而这些副本需要大量时间来 “赶上” 主数据库实例和实时事务。随着时间的推移，这种情况 ReplicaLag 可能会随着时间的推移而逐渐减弱。另一个例子可能是，在主数据库实例上能够实现的事务速度高于复制过程或副本基础架构能够匹配的速度。随着时间的推移，这种情况 ReplicaLag 可能会增加，因为复制无法跟上主数据库的性能。最后，在不同的时期，工作量可能会激增，这 ReplicaLag 导致偶尔会落后day/month/etc。您的团队应调查导致数据库过高的 ReplicaLag 可能根本原因，并可能更改数据库实例类型或工作负载的其他特征，以确保副本上的数据连续性符合您的要求。

**其他资源**  
+ [使用 Amazon RDS for PostgreSQL 只读副本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PostgreSQL.Replication.ReadReplicas.html)
+ [在 Amazon RDS 中使用 MySQL 复制](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_MySQL.Replication.html)
+ [使用 MySQL 只读副本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_MySQL.Replication.ReadReplicas.html)

**报告列**  
+ Status
+ Region
+ 数据库实例 ARN
+ ReplicaLag 指标

## Amazon RDS synchronous\$1commit 参数已关闭
<a name="rds-synchronous-commit-parameter-off"></a>

**说明**  
关闭 **synchronous\$1commit** 参数后，数据库崩溃可能会导致数据丢失。数据库的持久性受到威胁。  
建议您开启 **synchronous\$1commit** 参数。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时，您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后，这些建议在中不可用 Trusted Advisor。要查看建议，请打开 Amazon RDS 控制台，然后选择**建议**。  
如果您删除数据库实例或数据库集群，则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。

**检查 ID**  
`c1qf5bt026`

**提醒条件**  
红色：数据库参数组的 **synchronous\$1commit** 参数已关闭。

**Recommended Action（建议的操作）**  
在数据库参数组中开启 **synchronous\$1commit** 参数。

**其他资源**  
**synchronous\$1commit** 参数用于定义数据库服务器向客户端发送成功通知前，预写日志 (WAL) 进程需完成的程度。这种提交方式之所以被称为异步提交，是因为客户端会在 WAL 将事务保存到磁盘之前确认事务提交。如果关闭 **synchronous\$1commit** 参数，则事务可能会丢失，数据库实例的持久性可能受损，且在数据库崩溃时数据可能会丢失。  
有关更多信息，请参阅 [MySQL 数据库日志文件](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.MySQL.html)。

**报告列**  
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间

## Amazon Redshift 集群自动快照
<a name="amazon-redshift-cluster-automated-snapshots"></a>

**说明**  
检查您的 Amazon Redshift 集群是否已启用自动快照。  
Amazon Redshift 会自动拍摄递增快照，来跟踪自上次自动快照拍摄以来集群发生的变化。自动快照保留从快照还原集群所需的全部数据。要禁用自动快照，只需将保留期设置为零即可。您无法为 RA3 节点类型禁用自动快照。  
您可以使用 AWS Config 规则的和**MaxRetentionPeriod**参数指定所需的最小**MinRetentionPeriod**和最大保留期。  
[Amazon Redshift 快照和备份](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html)  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz135`

**来源**  
`AWS Config Managed Rule: redshift-backup-enabled`

**提醒条件**  
红色：Amazon Redshift 未在所需的保留期内配置自动快照。

**Recommended Action（建议的操作）**  
确保为您的 Amazon Redshift 集群启用自动快照。  
有关更多信息，请参阅[使用控制台管理快照](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-snapshots-console.html)。

**其他资源**  
[Amazon Redshift 快照和备份](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html)  
有关更多信息，请参阅[使用备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)。

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon Route 53 已删除运行状况检查
<a name="amazon-route-53-deleted-health-checks"></a>

**说明**  
检查与已删除的运行状况检查关联的资源记录集。  
Route 53 不会禁止您删除与一个或多个资源记录集关联的运行状况检查。如果您删除运行状况检查而不更新关联的资源记录集，则 DNS 故障转移配置的 DNS 查询路由将无法按预期运行。  
 AWS 服务创建的托管区域不会出现在您的检查结果中。  
此检查会报告按标准标记的所有资源以及评估的资源总数，包括 `OK` 资源。资源表仅列出已标记的资源。

**检查 ID**  
`Cb877eB72b`

**提醒条件**  
黄色：资源记录集与已删除的运行状况检查关联。

**Recommended Action（建议的操作）**  
创建新的运行状况检查，并将其与资源记录集关联。请参阅[创建、更新和删除运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)和[为资源记录集添加运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-adding-to-rrsets.html)。

**其他资源**  
+ [Amazon Route 53 运行状况检查和 DNS 故障转移](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)
+ [简单 Amazon Route 53 配置中的运行状况检查的工作原理](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-simple-configs.html)

**报告列**  
+ 托管区域名称
+ 托管区域 ID
+ 资源记录集名称
+ 资源记录集类型
+ 资源记录集标识符

## Amazon Route 53 失效转移资源记录集
<a name="amazon-route-53-failover-resource-record-sets"></a>

**说明**  
检查具有错误配置的 Amazon Route 53 失效转移资源记录集。  
当 Amazon Route 53 运行状况检查确定主资源运行状况不佳时，Amazon Route 53 会使用辅助备份资源记录集响应查询。您必须创建正确配置的主资源记录集和辅助资源记录集，以便进行失效转移。  
 AWS 服务创建的托管区域不会出现在您的检查结果中。  
此检查会报告按标准标记的所有资源以及评估的资源总数，包括 `OK` 资源。资源表仅列出已标记的资源。

**检查 ID**  
`b73EEdD790`

**提醒条件**  
+ 黄色：主要失效转移资源记录集没有对应的辅助资源记录集。
+ 黄色：辅助失效转移资源记录集没有对应的主要资源记录集。
+ 黄色：具有相同名称的主辅资源记录集与同一个运行状况检查关联。

**Recommended Action（建议的操作）**  
 如果失效转移资源集缺失，则创建相应的资源记录集。请参阅[创建失效转移资源记录集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/creating-failover-rrsets.html)。  
如果您的资源记录集与同一个运行状况检查关联，则为其创建单独的运行状况检查。请参阅[创建、更新和删除运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)。

**其他资源**  
[Amazon Route 53 运行状况检查和 DNS 故障转移](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)

**报告列**  
+ 托管区域名称
+ 托管区域 ID
+ 资源记录集名称
+ 资源记录集类型
+ Reason

## Amazon Route 53 高 TTL 资源记录集
<a name="amazon-route-53-high-ttl-resource-record-sets"></a>

**说明**  
检查是否存在可以从较低 time-to-live (TTL) 值中受益的资源记录集。  
TTL 指的是 DNS 解析程序缓存资源记录集的秒数。当您指定长 TTL 时，DNS 解析程序需要更长的时间来请求更新的 DNS 记录，这可能会导致重新路由流量发生不必要的延迟（例如，当 DNS 故障转移检测到其中某个端点发生故障并进行响应时）。此项检查仅检查包含失效转移策略的记录，或者存在关联运行状况检查的记录。  
 AWS 服务创建的托管区域不会出现在您的检查结果中。  
此检查会报告按标准标记的所有资源以及评估的资源总数，包括 `OK` 资源。资源表仅列出已标记的资源。

**检查 ID**  
`C056F80cR3`

**提醒条件**  
+ 黄色：路由策略为“失效转移”的资源记录集有超过 60 秒的 TTL。
+ 绿色：资源记录要么没有失效转移策略，要么虽有失效转移策略但 TTL 小于 60。

**Recommended Action（建议的操作）**  
为列出的资源记录集输入 60 秒的 TTL 值。有关更多信息，请参阅[使用资源记录集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)。

**其他资源**  
[Amazon Route 53 运行状况检查和 DNS 故障转移](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)

**报告列**  
+ Status
+ 托管区域名称
+ 托管区域 ID
+ 资源记录集名称
+ 资源记录集类型
+ 资源记录集 ID
+ TTL

## Amazon Route 53 域名服务器委托
<a name="amazon-route-53-name-server-delegations"></a>

**说明**  
检查您的域注册商或 DNS 未使用正确的 Route 53 名称服务器的 Amazon Route 53 托管区域。  
当您创建托管区域时，Route 53 将会分配一组四个委托名称服务器。这些服务器的名称是 n *\$1\$1\$1* s-.awsdns-*\$1\$1* .com、.net、.org 和 .co.uk，其中*\$1\$1\$1*和通常代表不同的数字。*\$1\$1*在 Route 53 为您的域路由 DNS 查询之前，您必须更新注册商的域名服务器配置以删除注册商分配的名称服务器。然后，您必须在 Route 53 委托集中添加所有四个名称服务器。为了获得最大的可用性，您必须添加所有四个 Route 53 名称服务器。  
 AWS 服务创建的托管区域不会出现在您的检查结果中。  
此检查会报告按标准标记的所有资源以及评估的资源总数，包括 `OK` 资源。资源表仅列出已标记的资源。

**检查 ID**  
`cF171Db240`

**提醒条件**  
黄色：有托管区的域注册器并未使用委托集中的全部四个 Route 53 名称服务器。

**Recommended Action（建议的操作）**  
通过注册器或域当前的 DNS 服务添加或更新名称服务器记录，以将全部四个名称服务器包含在 Route 53 委托集中。要找到这些值，请参阅[获取托管区域的名称服务器](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/GetInfoAboutHostedZone.html)。有关添加或更新名称服务器记录的信息，请参阅[创建域和子域并迁移到 Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/creating-migrating.html)。

**其他资源**  
[使用托管区域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/AboutHZWorkingWith.html)

**报告列**  
+ 托管区域名称
+ 托管区域 ID
+ 使用的名称服务器委托数量

## Amazon Route 53 Resolver 端点可用区冗余
<a name="amazon-route53-resolver-endpoint-availability-zone-redundancy"></a>

**说明**  
检查您的服务配置是否在至少两个可用区 (AZs) 中指定了 IP 地址以实现冗余。一个可用区是一个不同的位置，它与其他区域的故障隔离开来。通过在同一区域中指定多个 AZs IP 地址，可以帮助保护您的应用程序免受单点故障的影响。

**检查 ID**  
`Chrv231ch1`

**提醒条件**  
+ 黄色：仅在一个可用区中指定了 IP 地址
+ 绿色：IP 地址至少在两个中指定 AZs

**Recommended Action（建议的操作）**  
在至少两个可用区中指定 IP 地址以实现冗余。

**其他资源**  
+ 如果您要求任何时候都可用多个弹性网络接口端点，我们建议您在自身需求的基础上至少再多创建一个的网络接口，以确保您有额外的容量可用于处理可能的流量激增。额外的网络接口还可确保维护或升级等服务操作期间的可用性。
+ [解析程序端点的高可用性](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-high-availability.html)

**报告列**  
+ Status
+ Region
+ 资源 ARN
+ 的数量 AZs

## Amazon S3 桶复制未启用
<a name="amazon-s3-bucket-replication-not-enabled"></a>

**说明**  
检查您的 Amazon S3 桶是否为跨区域复制和/或同区域复制启用了复制规则。  
复制是指在相同或不同 AWS 区域的存储桶之间自动异步复制对象。复制操作会将源存储桶中新创建的对象和对象更新复制到目标存储桶。使用 Amazon S3 桶复制来帮助提高应用程序和数据存储的恢复能力和合规性。  
有关更多信息，请参阅[复制对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz119`

**来源**  
`AWS Config Managed Rule: s3-bucket-replication-enabled`

**提醒条件**  
黄色：未为跨区域复制和/或同区域复制启用 Amazon S3 桶复制规则。

**Recommended Action（建议的操作）**  
开启 Amazon S3 桶复制规则，以提高应用程序和数据存储的恢复能力和合规性。  
有关更多信息，请参阅[查看您的备份任务和恢复点](https://docs.aws.amazon.com/aws-backup/latest/devguide/view-protected-resources.html)和[设置复制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-how-setup.html)。

**其他资源**  
[演练：配置复制的示例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-example-walkthroughs.html)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Amazon S3 Bucket Versioning
<a name="amazon-s3-bucket-versioning"></a>

**说明**  
检查未启用版本控制或已暂停版本控制的 Amazon Simple Storage Service 存储桶。  
启用版本控制时，您可以轻松从用户意外操作和应用程序故障中恢复数据。对于存储桶中存储的每个对象，您可以使用版本控制功能来保留、检索和还原它们的任何版本。通过自动将对象归档到 Glacier 存储类，您可以使用生命周期规则来管理对象的所有版本及其相关成本。还可以将规则配置为在指定时间段后删除对象的版本。对于对存储桶进行的任何对象删除或配置更改，您也可以要求进行多重身份验证 (MFA)。  
版本控制在启用后无法被停用。但是，它可以暂停，从而防止创建新版本的对象。使用版本控制会增加 Amazon S3 的成本，因为您需要支付多个版本的对象的存储费用。

**检查 ID**  
`R365s2Qddf`

**提醒条件**  
+ 绿色：存储桶已启用版本控制。
+ 黄色：存储桶未启用版本控制。
+ 黄色：存储桶已暂停版本控制。
+ 黄色： Trusted Advisor 无权验证版本控制。

**Recommended Action（建议的操作）**  
在大多数存储桶中启用版本控制以防止意外删除或覆盖。请参阅[使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)和[以编程方式启用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/manage-versioning-examples.html)。  
如果存储桶版本控制已暂停，请考虑重新启用版本控制。有关使用已暂停版本控制的存储桶中的对象的信息，请参阅[管理已暂停版本控制的存储桶中的对象](https://docs.aws.amazon.com/AmazonS3/latest/dev/VersionSuspendedBehavior.html)。  
当版本控制处于已启用或已暂停状态时，您可以定义生命周期配置规则来将某些对象版本标记为已过期，或永久删除不需要的对象版本。有关更多信息，请参阅[对象生命周期管理](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lifecycle-mgmt.html)。  
当存储桶版本控制状态更改或当对象的版本删除时，MFA 删除需要进行额外的身份验证。它要求用户输入凭证和来自批准的身份验证设备的代码。有关更多信息，请参阅 [MFA 删除](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html#MultiFactorAuthenticationDelete)。

**其他资源**  
[使用存储桶](https://docs.aws.amazon.com/AmazonS3/latest/UG/BucketOperations.html)

**报告列**  
+ Status
+ Region
+ 存储桶名称
+ 版本控制
+ 已启用 MFA 删除

## 应用程序、网络和网关负载均衡器未跨多个可用区
<a name="application-network-load-balancers-not-span-multi-az"></a>

**说明**  
检查您的负载均衡器（应用程序、网络和网关负载均衡器）是否配置了跨多个可用区的子网。  
您可以在 AWS Config 规则的**minAvailabilityZones**参数中指定所需的最小可用区。  
有关更多信息，请参阅[应用程序负载均衡器的可用区](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-subnets.html)、[可用区 – 网络负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)和[创建网关负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/create-load-balancer.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz169`

**来源**  
`AWS Config Managed Rule: elbv2-multiple-az`

**提醒条件**  
黄色：应用程序、网络或网关负载均衡器在少于两个可用区中配置了子网。

**Recommended Action（建议的操作）**  
 为应用程序、网络和网关负载均衡器配置跨多个可用区的子网。

**其他资源**  
[应用程序负载均衡器的可用区](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-subnets.html)  
[可用区（Elastic Load Balancing）](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)  
[创建网关负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/create-load-balancer.html)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## Auto Scaling IPs 在子网中可用
<a name="auto-scaling-available-ips-in-subnets"></a>

**说明**  
 检查目标子网中是否 IPs 还有足够的可用空间。当 Auto Scaling Group 达到其最大大小并需要启动其他实例时，拥有足够的 IPs 可用空间会有所帮助。

**检查 ID**  
`Cjxm268ch1`

**提醒条件**  
+ 红色：ASG 可以创建的最大实例数和 IP 地址数超出了已配置子网中剩余的 IP 地址数。
+ 绿色：有足够的 IP 地址可用于 ASG 中可能存在的剩余比例。

**Recommended Action（建议的操作）**  
增加可用 IP 地址数 

**报告列**  
+ Status
+ Region
+ 资源 ARN
+ 可以创建的最大实例数
+ 可用实例数

## Auto Scaling 组运行状况检查
<a name="auto-scaling-group-health-check"></a>

**说明**  
检查 Auto Scaling 组的运行状况检查配置。  
如果 Auto Scaling 组使用的是 Elastic Load Balancing，则建议的配置是启用 Elastic Load Balancing 运行状况检查。如果未使用 Elastic Load Balancing 运行状况检查，则 Auto Scaling 只能针对 Amazon Elastic Compute Cloud (Amazon EC2) 实例的运行状况进行检查。Auto Scaling 不会对实例上运行的应用程序执行操作。

**检查 ID**  
`CLOG40CDO8`

**提醒条件**  
+ 黄色：自动扩缩组有关联的负载均衡器，但 Elastic Load Balancing 运行状况检查未启用。
+ 黄色：自动扩缩组没有关联的负载均衡器，但 Elastic Load Balancing 运行状况检查已启用。

**Recommended Action（建议的操作）**  
如果自动扩缩组有关联的负载均衡器，但 Elastic Load Balancing 运行状况检查未启用，请参阅[向自动扩缩组添加 Elastic Load Balancing 运行状况检查](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/as-add-elb-healthcheck.html)。  
如果 Elastic Load Balancing 运行状况检查已启用，但没有负载均衡器与自动扩缩组关联，请参阅[设置自动扩展且负载均衡的应用程序](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/as-register-lbs-with-asg.html)。

**其他资源**  
[Amazon EC2 Auto Scaling 用户指南](https://docs.aws.amazon.com/autoscaling/ec2/userguide/)

**报告列**  
+ Status
+ Region
+ 自动扩缩组名
+ 关联的负载均衡器
+ 运行状况检查

## Auto Scaling 组资源
<a name="auto-scaling-group-resources"></a>

**说明**  
检查与启动配置、启动模板和自动扩缩组关联的资源的可用性。  
指向不可用资源的 Auto Scaling 组无法启动新的 Amazon Elastic Compute Cloud (Amazon EC2) 实例。如果配置正确，Auto Scaling 会在需求高峰期间无缝增加 Amazon EC2 实例的数量，并在需求平缓期间自动减少该数量。指向不可用资源的 Auto Scaling 组和启动 configurations/launch 模板无法按预期运行。  
此检查会报告按标准标记的所有资源以及评估的资源总数，包括 `OK` 资源。资源表仅列出已标记的资源。

**检查 ID**  
`8CNsSllI5v`

**提醒条件**  
+ 红色：自动扩缩组与删除的负载均衡器关联。
+ 红色：启动配置与删除的 Amazon 机器映像（AMI）关联。
+ 红色：启动模板与已删除的亚马逊机器映像（AMI）关联。

**Recommended Action（建议的操作）**  
如果负载均衡器已删除，可以先创建一个新的负载均衡器或目标组，然后将其关联到自动扩缩组；也可以创建一个不包含负载均衡器的新自动扩缩组。有关创建包含新负载均衡器的新自动扩缩组的信息，请参阅[设置自动扩展且负载均衡的应用程序](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/as-register-lbs-with-asg.html)。有关创建不包含负载均衡器的新自动扩缩组的信息，请参阅[通过控制台开始使用 Auto Scaling](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/USBasicSetup-Console.html) 中的“创建自动扩缩组”。  
如果 AMI 已删除，则使用有效的 AMI 创建新的启动配置或启动模板版本，然后将其与自动扩缩组关联。有关如何创建新启动配置的信息，请参阅《Amazon EC2 Auto Scaling 用户指南》**中的[创建启动配置](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-config.html)。有关创建启动模板的信息，请参阅《Amazon EC2 Auto Scaling 用户指南》**中的[为自动扩缩组创建启动模板](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html)。  
出于安全考虑，检查结果不包括使用启动模板中的 AWS Systems Manager 参数引用的任何资源。
如果您的启动模板包含包含亚马逊系统映像 (AMI) ID 的 AWS Systems Manager 参数，请查看启动模板以确保参数引用有效的 AMI ID，或者在 AWS Systems Manager 参数存储中进行适当的更改。有关更多信息，请参阅 *Amazon EC2 Auto Scaling 用户指南 IDs*中的[使用 AWS Systems Manager 参数代替 AMI](https://docs.aws.amazon.com/autoscaling/ec2/userguide/using-systems-manager-parameters.html)。

**其他资源**  
+ [Auto Scaling 疑难解答：亚马逊 EC2 AMIs](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/ts-as-ami.html)
+ [对 Auto Scaling 进行问题排查：负载均衡器配置](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/ts-as-loadbalancer.html)
+ [Amazon EC2 Auto Scaling 用户指南](https://docs.aws.amazon.com/autoscaling/latest/userguide/)
+ [使用 AWS Systems Manager 参数代替 AMI IDs](https://docs.aws.amazon.com/autoscaling/ec2/userguide/using-systems-manager-parameters.html)

**报告列**  
+ Status
+ Region
+ 自动扩缩组名
+ 启动类型
+ 资源类型
+ 资源名称

## AWS CloudHSM 在单个可用区中运行 HSM 实例的集群
<a name="aws-cloudhsm-clusters-running-hsm-instances-in-a-single-az"></a>

**说明**  
检查在单个可用区（AZ）中运行 HSM 实例的集群。如果集群存在没有最新备份的风险，则此检查会提示您。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`hc0dfs7601`

**提醒条件**  
+ 黄色：CloudHSM 集群在单个可用区中运行所有 HSM 实例的时间超过 1 小时。
+ 绿色：CloudHSM 集群在至少两个不同的可用区中运行所有 HSM 实例。

**Recommended Action（建议的操作）**  
为不同的可用区中的集群至少再创建一个实例。

**其他资源**  
[的最佳实践 AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/best-practices.html)

**报告列**  
+ Status
+ Region
+ 集群 ID
+ HSM 实例的数量
+ 上次更新时间

## Direct Connect 位置弹性
<a name="amazon-direct-connect-location-resiliency"></a>

**说明**  
检查 Direct Connect 用于将您的本地连接到每个 Direct Connect 网关或虚拟专用网关的的弹性。  
如果任何 Direct Connect 网关或虚拟专用网关未在至少两个不同的 Direct Connect 位置配置虚拟接口，则此检查会提醒您。缺乏位置韧性可能导致在维护、光纤中断、设备故障或整个位置故障期间出现意外停机时间。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。
Direct Connect 通过 Direct Connect 网关与中转网关配合实现。

**检查 ID**  
`c1dfpnchv2`

**提醒条件**  
红色：Direct Connect 网关或虚拟专用网关在单个 Direct Connect 设备上配置了一个或多个虚拟接口。  
黄色：Direct Connect 网关或虚拟专用网关在单个 Direct Connect 位置的多个 Direct Connect 设备上配置了虚拟接口。  
绿色：Direct Connect 网关或虚拟专用网关配置了跨两个或更多不同 Direct Connect 位置的虚拟接口。

**Recommended Action（建议的操作）**  
要构建 Direct Connect 位置韧性，可以将 Direct Connect 网关或虚拟专用网关配置为连接到至少两个不同的 Direct Connect 位置。有关更多信息，请参阅 [Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)。

**其他资源**  
[Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)  
[Direct Connect 失效转移测试](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_failover.html)

**报告列**  
+ Status
+ Region
+ 上次更新时间
+ 弹性状态 
+ 位置
+ 连接 ID
+ 网关 ID

## AWS Lambda 未配置死信队列的函数
<a name="aws-lambda-functions-without-dlq"></a>

**说明**  
检查 AWS Lambda 函数是否配置了死信队列。  
死信队列是允许您捕获和分析失败事件的功能，从而提供了一种相应地处理这些事件的方法。 AWS Lambda 您的代码可能会出现异常、超时或内存不足，从而导致 Lambda 函数的异步执行失败。死信队列存储来自失败调用的消息，提供一种处理消息和排除故障的方法。  
**您可以使用规则中的 dlqarns 参数指定要检查的死信队列资源。** AWS Config   
有关更多信息，请参阅[死信队列](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html#invocation-dlq)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz182`

**来源**  
`AWS Config Managed Rule: lambda-dlq-check`

**提醒条件**  
黄色： AWS Lambda 函数未配置死信队列。

**Recommended Action（建议的操作）**  
确保您的 AWS Lambda 函数配置了死信队列，以控制所有失败的异步调用的消息处理。  
有关更多信息，请参阅[死信队列](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html#invocation-dlq)。

**其他资源**  
+ [使用 Amazon Lambda 死信队列实现强大的无服务器应用程序设计](https://aws.amazon.com/blogs/compute/robust-serverless-application-design-with-aws-lambda-dlq/)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## AWS Lambda 关于故障事件目的地
<a name="AWS-Lambda-On-Failure-Event-Destinations"></a>

**说明**  
 检查您账户中的 Lambda 函数是否为异步调用配置了故障时事件目标或死信队列（DLQ），以便可以将失败调用的记录路由到目标进行进一步调查或处理。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1dfprch05`

**提醒条件**  
+ 黄色：函数未配置任何故障时事件目标或 DLQ。

**Recommended Action（建议的操作）**  
请为您的 Lambda 函数设置故障时事件目标或 DLQ，以便将失败的调用以及其他详细信息发送到其中一个可用的目标亚马逊云科技服务，以供进一步调试或处理。

**其他资源**  
+ [异步调用](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html)
+ [AWS Lambda 关于故障事件目的地](https://aws.amazon.com/blogs/compute/introducing-aws-lambda-destinations/)

**报告列**  
+ Status
+ Region
+ 带有被标记版本的函数。
+ 当日异步请求丢失百分比
+ 当日异步请求
+ 平均每日异步请求丢失百分比
+ 平均每日异步请求
+ 上次更新时间

## AWS Lambda 不带多可用区冗余的启用 VPC 的功能
<a name="aws-lambda-vpc-enabled-functions-without-multi-az-redundancy"></a>

**说明**  
检查单个可用区中易受服务中断影响、启用 VPC 的 Lambda 函数的 \$1LATEST 版本。最佳做法是将启用 VPC 的函数连接到多个可用区，以实现高可用性。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`L4dfs2Q4C6`

**提醒条件**  
黄色：启用 VPC 的 Lambda 函数的 \$1LATEST 版本连接到单个可用区中的子网。

**Recommended Action（建议的操作）**  
在配置访问 VPC 的函数时，请选择多个可用区中的子网以确保高可用性。

**其他资源**  
+ [配置 Lambda 函数以访问 VPC 中的资源](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html)
+ [韧性在 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/security-resilience.html)

**报告列**  
+ Status
+ Region
+ 函数 ARN
+  - VPC ID
+ 平均每日调用次数
+ 上次更新时间

## AWS Outposts 单机架部署
<a name="aws-outposts-single-rack-deployment"></a>

**说明**  
检查 Outposts 机架的均衡性。此检查会评估客户的 Outposts 实例是部署在多个 Outposts 机架上，还是仅部署在单个 Outposts 机架上。单个 Outposts 机架会针对涉及单个机架的问题（例如环境故障）造成单点故障。通过将 Outposts 部署在多个机架上，可缓解此类场景。

**检查 ID**  
`c243hjzrhn`

**提醒条件**  
+ 黄色：您的 Outpost 部署在单个机架上
+ 绿色：您的 Outpost 部署在多个机架上。

**Recommended Action（建议的操作）**  
如果您在上运行生产工作负载 AWS Outposts，则最佳做法是使用以下弹性架构。单个 AWS Outposts 机架会造成单点故障。考虑在该位置添加第二个 AWS Outposts 机架，使其有足够的容量用于故障转移事件，然后在机架之间分配工作负载。

**其他资源**  
[故障模式 4：机架或数据中心](https://docs.aws.amazon.com/whitepapers/latest/aws-outposts-high-availability-design/thinking-in-terms-of-failure-modes.html#failure-mode-4-racks-or-data-centers)

**报告列**  
+ Status
+ 资源 ARN
+ AZ
+ 机架数量
+ 上次更新时间

## AWS Resilience Hub 应用程序组件检查
<a name="amazon-resilience-hub-application-component-check"></a>

**说明**  
检查应用程序中的应用程序组件 (AppComponent) 是否不可恢复。如果在发生中断事件时 AppComponent 无法恢复，则可能会出现未知的数据丢失和系统停机的情况。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。

**检查 ID**  
`RH23stmM04`

**提醒条件**  
红色： AppComponent 不可恢复。

**Recommended Action（建议的操作）**  
为确保您的 AppComponent 可恢复，请查看并实施弹性建议，然后进行新的评估。有关查看弹性建议的更多信息，请参阅“其他资源”。

**其他资源**  
[查看弹性建议](https://docs.aws.amazon.com/resilience-hub/latest/userguide/resil-recs.html)  
[AWS Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)  
[AWS Resilience Hub 用户指南](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)

**报告列**  
+ Status
+ Region
+ 应用程序名称
+ AppComponent 名称
+ 上次更新时间

## AWS Resilience Hub 违反了政策
<a name="aws-resilience-hub-policy-breached"></a>

**说明**  
针对未达到策略定义的恢复时间目标（RTO）和恢复点目标（RPO）的应用程序检查 Resilience Hub。如果应用程序未达到您在 Resilience Hub 中为应用程序设置的 RTO 和 RPO 目标，则此检查会提示您。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`RH23stmM02`

**提醒条件**  
+ 绿色：应用程序拥有策略并且符合 RTO 和 RPO 目标。
+ 黄色：应用程序尚未经过评估。
+ 红色：应用程序拥有策略但未达到 RTO 和 RPO 目标。

**Recommended Action（建议的操作）**  
登录 Resilience Hub 控制台并查看建议，以便应用程序达到 RTO 和 RPO 目标。

**其他资源**  
[Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)

**报告列**  
+ Status
+ Region
+ 应用程序名称
+ 上次更新时间

## AWS Resilience Hub 韧性分数
<a name="aws-resilience-hub-resilience-scores"></a>

**说明**  
检查您是否对 Resilience Hub 中的应用程序进行了评估。如果恢复能力评分低于特定值，则此检查会提示您。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`RH23stmM01`

**提醒条件**  
+ 绿色：应用程序的恢复能力评分为 70 或更高。
+ 黄色：应用程序的恢复能力评分为 40 到 69。
+ 黄色：应用程序尚未经过评估。
+ 红色：应用程序的恢复能力评分低于 40。

**Recommended Action（建议的操作）**  
登录 Resilience Hub 控制台并对应用程序进行评估。查看建议以提高恢复能力评分。

**其他资源**  
[Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)

**报告列**  
+ Status
+ Region
+ 应用程序名称
+ 应用程序恢复能力评分
+ 上次更新时间

## AWS Resilience Hub 评估年龄
<a name="aws-resilience-hub-assessment-age"></a>

**说明**  
检查自上次进行应用程序评测以来有多长时间。如果您在指定的天数内没有进行应用程序评测，则此检查会提醒您。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`RH23stmM03`

**提醒条件**  
+ 绿色：您的应用程序评测是在过去 30 天内进行的。
+ 黄色：您的应用程序评测在过去 30 天内未运行。

**Recommended Action（建议的操作）**  
登录 Resilience Hub 控制台并对应用程序进行评估。

**其他资源**  
[Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)

**报告列**  
+ Status
+ Region
+ 应用程序名称
+ 距离上次运行评测的天数
+ 上次运行评测的时间
+ 上次更新时间

## AWS Site-to-Site VPN 至少有一条隧道处于关闭状态
<a name="aws-site-to-site-vpn-tunnel-in-down-status"></a>

**说明**  
检查每个 s 中处于活动状态的隧道 AWS Site-to-Site VPN数量。  
VPN 应始终配置两个隧道。这样可以在亚马逊云科技端点的设备中断或计划进行维护时提供冗余。对于某些硬件，每次只有一个隧道处于活动状态。如果 VPN 没有活动隧道，可能仍会收取 VPN 费用。  
有关更多信息，请参阅[什么是 AWS Site-to-Site VPN？](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz123`

**来源**  
`AWS Config Managed Rule: vpc-vpn-2-tunnels-up`

**提醒条件**  
黄色： Site-to-SiteVPN 至少有一条隧道关闭。

**Recommended Action（建议的操作）**  
请确保为 VPN 连接已配置两条隧道。而且，如果您的硬件对其提供支持，请确保两条隧道都处于活动状态。如果您不再需要某个 VPN 连接，则将其删除以避免收费。  
有关更多信息，请参阅[客户网关设备](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)和 [Amazon Knowledge Center](https://repost.aws/knowledge-center#AWS_Virtual_Private_Network) 上提供的内容。

**其他资源**  
+ [AWS Site-to-Site VPN 用户指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [向您的 VPC 添加虚拟专用网关](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-target-gateway)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## AWS STS 全球终端节点使用情况 AWS 区域
<a name="sts-global-endpoint"></a>

**说明**  
此检查可识别 AWS 工作负载向美国东部（弗吉尼亚北部）区域的 STS 全球终端节点进行跨区域调用时存在的弹性风险。 AWS 如果与美国东部（弗吉尼亚北部）STS 终端节点的连接受到影响，则向美国东部（弗吉尼亚北部）的 STS 全球终端节点发出跨区域请求的工作负载可能会受到不利影响。  
2025 年 4 月， AWS 增强了全局终端节点，使其能够自动为运行的工作负载所在区域的 STS 全球终端节点调用提供服务 AWS，默认情况下全部 AWS 区域 启用。然而，部分工作负载（例如在选择加入区域中运行的工作负载，或未使用 Amazon DNS 服务器的工作负载）无法从此次增强所带来的延迟降低和[故障隔离](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html)优势中获益。对于这类工作负载，其 STS 全局端点请求会由美国东部（弗吉尼亚州北部）区域处理，这会给应用程序带来弹性风险，并增加 STS 请求的延迟。  
该检查的结果每天自动刷新几次，每次都涵盖过去 15 天。不允许刷新请求。因此，最多可能需要 15 天才能在 Trusted Advisor 检查结果中显示更改。  
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c15m0mgld3`

**提醒条件**  
红色：工作负载正在跨区域调用美国东部（弗吉尼亚北部）地区的 AWS STS 全球终端节点。

**推荐操作**  
为了提升工作负载的弹性和性能，建议您从 STS 全局端点迁移到 STS 区域端点。通过使用区域终端节点，您可以在与您的工作负载相同的区域 AWS STS 中使用。  
以下是跨区域调用美国东部 AWS Identity and Access Management （弗吉尼亚北部）区域的 AWS STS 全球终端节点的（IAM）委托人列表。按照博客文章《[如何使用区域 AWS STS 终端节点](https://aws.amazon.com/blogs/security/how-to-use-regional-aws-sts-endpoints/)》中的步骤操作，您可以重新配置工作负载以使用区域 STS 终端节点。      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/fault-tolerance-checks.html)

**其他资源**  
+ [AWS STS 在 a 中管理 AWS 区域](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html)
+ [AWS STS 区域端点](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sts-regionalized-endpoints.html)

**报告列**  
+ Status
+ 主体 Arn
+ Action
+ 委托人类型
+ 发起区域
+ 上次更新时间

## AWS Well-Architected 可靠性高风险问题
<a name="well-architected-high-risk-issues-reliability"></a>

**说明**  
在可靠性支柱中检查您的工作负载是否存在高风险问题 (HRIs)。此检查基于您的 AWS-Well Architected 审查。检查结果取决于您是否使用 AWS Well-Architected 完成了对工作负载的评估。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`Wxdfp4B1L4`

**提醒条件**  
+ 红色：在Well-Architect AWS ed的可靠性支柱中发现了至少一个活跃的高风险问题。
+ 绿色：在 Well-Architecte AWS d 的可靠性支柱中未发现活跃的高风险问题。

**Recommended Action（建议的操作）**  
AWS Well-Architected 在评估工作负载时检测到了高风险问题。这些问题为降低风险和节省资金提供了机会。登录 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具以查看您的答案并采取措施解决活跃的问题。

**报告列**  
+ Status
+ Region
+ 工作负载 ARN
+ 工作负载名称
+ 审核人姓名
+ 工作负载类型
+ 工作负载开始日期
+ 工作负载上次修改日期
+ 已识别的可靠 HRIs 性人数
+  HRIs 已解决的可靠性数
+ 已回答的可靠性问题数量
+ 可靠性支柱中的问题总数
+ 上次更新时间

## Classic Load Balancer 没有 AZs 配置多个
<a name="classic-load-balancewr-no-multi-azs"></a>

**说明**  
 检查 Classic Load Balancer 是否跨越多个可用区 (AZs)。  
负载均衡器在多个可用区中的多个 Amazon EC2 实例间分配应用程序的传入流量。默认情况下，负载均衡器在为您的负载均衡器启用的可用区之间均匀分配流量。如果一个可用区发生中断，负载均衡器节点将自动将请求转发到一个或多个可用区中的正常注册实例。  
您可以使用 AWS Config 规则中的**minAvailabilityZones**参数调整可用区的最小数量  
有关更多信息，请参阅[什么是经典负载均衡器？](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz154`

**来源**  
`AWS Config Managed Rule: clb-multiple-az`

**提醒条件**  
黄色：Classic Load Balancer 未配置多可用区或未达到 AZs 指定的最小可用区数量。

**Recommended Action（建议的操作）**  
请确保您的经典负载均衡器已配置多个可用区。将您的负载均衡器横跨多个 AZs 负载均衡器，以确保您的应用程序具有高可用性。  
有关更多信息，请参阅[教程：创建经典负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-getting-started.html)。

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## ELB 连接耗尽
<a name="elb-connection-draining"></a>

**说明**  
检查没有启用连接耗尽的经典负载均衡器。  
当未启用连接耗尽并且您从经典负载均衡器取消注册 Amazon EC2 实例时，经典负载均衡器将停止将流量路由到该实例并关闭连接。启用连接耗尽后，经典负载均衡器将停止向已取消注册的实例发送新请求，但会保持连接打开以处理活动请求。

**检查 ID**  
`7qGXsKIUw`

**提醒条件**  
+ 黄色：经典负载均衡器未启用连接耗尽。
+ 绿色：经典负载均衡器已启用连接耗尽。

**Recommended Action（建议的操作）**  
为经典负载均衡器启用连接耗尽。有关更多信息，请参阅[连接耗尽](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/TerminologyandKeyConcepts.html#conn-drain)和[为负载均衡器启用或禁用连接耗尽](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/config-conn-drain.html)。

**其他资源**  
[Elastic Load Balancing 概念](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/TerminologyandKeyConcepts.html)

**报告列**  
+ Status
+ Region
+ 负载均衡器名称
+ Reason

## ELB 目标不均衡
<a name="elb-target-imbalance"></a>

**说明**  
检查目标组在可用区 (AZs) 中的目标分布，以了解应用程序负载均衡器 (ALB)、网络负载均衡器 (NLB) 和网关负载均衡器 (GWLB)。  
此检查不包含以下场景：  
+ 仅配置单个可用区（AZ）的负载均衡器。
+ 负载均衡器，其中人口 AZs 最多和最少的目标数量之差等于或小于 1。
+ 具有基于 IP 的目标的目标组，其中 AvailabilityZone 属性设置为 “全部”。

**检查 ID**  
`b92b83d667`

**提醒条件**  
+ 红色：单个可用区占负载均衡器容量的 66% 以上。
+ 黄色：单个可用区占负载均衡器容量的 50% 以上。
+ 绿色：否 AZs 代表负载均衡器容量的 50% 以上。

**Recommended Action（建议的操作）**  
为了提高弹性，请确保目标组的目标数量相同 AZs。

**其他资源**  
[应用程序负载均衡器的目标组](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html)  
[向 Application Load Balancer 目标组注册目标](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-register-targets.html)

**报告列**  
+ Status
+ Region
+ 负载均衡器名称
+ 负载均衡器类型
+ 目标组 ARN (arn)
+ 各注册目标的差异 AZs
+ 上次更新时间

## GWLB - 端点可用区独立性
<a name="gwlb-endpoint-az-independence"></a>

**说明**  
检查网关负载均衡器（GWLB）端点是否配置为来自其他可用区（AZ）的路由目的地。  
网关负载均衡器端点会将网络流量转发至网关负载均衡器后面的防火墙设备，以进行流量检查。每个网关负载均衡器端点都在指定的可用区内运行，并且仅在该可用区中使用冗余构建。因此，特定可用区中的所有资源必须使用同一可用区中的网关负载均衡器端点。这样可确保网关负载均衡器端点或其所在可用区发生任何潜在中断时，不会影响其他可用区中的资源。

**检查 ID**  
`528d6f5ee7`

**提醒条件**  
+ 黄色：来自一个可用区子网的流量正在通过另一个可用区中的网关负载均衡器端点进行路由。
+ 绿色：来自一个可用区子网的流量正在通过同一可用区中的网关负载均衡器端点进行路由。

**Recommended Action（建议的操作）**  
检查子网所在的可用区，然后配置其路由表，使流量通过同一可用区中的网关负载均衡器端点进行路由。  
如果可用区中没有网关负载均衡器端点，请新建一个端点，然后通过该端点路由您的子网流量。  
如果您在不同子网中关联了相同的路由表 AZs，请将此路由表与与 Gateway Load Balancer 终端节点位于同一可用区的子网相关联。对于其他可用区中的子网，随后可以将单独的路由表与通往该可用区中的网关负载均衡器端点的路由相关联。  
最佳做法是为 Amazon VPC 中的架构变更选择合适的维护时段。

**其他资源**  
+ [可用区独立性](https://docs.aws.amazon.com/whitepapers/latest/advanced-multi-az-resilience-patterns/availability-zone-independence.html)
+ [为网关负载均衡器端点配置路由](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-load-balancer-endpoints.html#configure-routing-gateway-load-balancer-endpoint)
+ [AWS Well-Architected Tool -使用舱壁架构来限制影响范围](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_use_bulkhead.html)

**报告列**  
+ Status
+ Region
+ 跨可用区子网 ID 列表
+ 网关负载均衡器端点 ID
+ 网关负载均衡器端点子网 ID
+ VPC 端点子网可用区
+ 上次更新时间

## 负载均衡器优化
<a name="load-balancer-optimization"></a>

**说明**  
检查您的负载均衡器配置。  
为了帮助在使用 Elastic Load Balancing 时提高 Amazon Elastic Compute Cloud (Amazon EC2) 的容错能力级别，我们建议在一个区域的多个可用区中运行相同数量的实例。配置的负载均衡器会产生费用，因此这也是成本优化检查。

**检查 ID**  
`iqdCTZKCUp`

**提醒条件**  
+ 黄色：已为单个可用区启用负载均衡器。
+ 黄色：已为没有活跃实例的可用区启用负载均衡器。
+ 黄色：在负载均衡器注册的 Amazon EC2 实例未在可用区之间平均分配。（使用的可用区中的最高实例数与最低实例数之差大于 1，且差值大于最高数量的 20%。）

**Recommended Action（建议的操作）**  
确保负载均衡器指向至少两个可用区内活跃并运行正常的实例。有关更多信息，请参见[添加可用区](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/enable-disable-az.html#US_AddLBAvailabilityZone)。  
如果负载均衡器配置的对象是没有正常运行实例的可用区，或者可用区之间的实例分配不均衡，请确定所有可用区是否都是必要的。删除所有不必要的可用区，并确保实例在其余可用区之间均衡分配。有关更多信息，请参阅[删除可用区](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/enable-disable-az.html#US_ShrinkLBApp04)。

**其他资源**  
+ [可用区和区域](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/TerminologyandKeyConcepts.html#AZ-Region)
+ [管理负载均衡器](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/UserScenarios.html)
+ [评估 Elastic Load Balancing 的最佳实践](https://aws.amazon.com/articles/1636185810492479)

**报告列**  
+ Status
+ Region
+ 负载均衡器名称
+ 区域数量
+ a 区实例
+ b 区实例
+ c 区实例
+ d 区实例
+ e 区实例
+ f 区实例
+ Reason

## NAT 网关可用区独立性
<a name="nat-gateway-az-independence"></a>

**说明**  
检查您的 NAT 网关是否配置了可用区（AZ）独立性。  
NAT 网关使私有子网中的资源能够使用 NAT 网关的 IP 地址安全地连接到子网以外的服务，并且丢弃任何未经请求的入站流量。每个 NAT 网关都在指定的可用区（AZ）内运行，并且仅在该可用区中使用冗余构建。因此，您在特定可用区中的资源应使用同一可用区中的 NAT 网关，这样 NAT 网关或其可用区的任何潜在中断均不会影响您在另一个可用区中的资源。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1dfptbg10`

**提醒条件**  
+ 红色：来自一个可用区子网的流量正在通过另一个可用区中的 NATGW 进行路由。
+ 绿色：来自一个可用区子网的流量正在通过同一可用区中的 NATGW 路由。

**Recommended Action（建议的操作）**  
请检查您的子网的可用区，并通过同一可用区中的 NAT 网关路由流量。  
如果可用区中没有 NATGW，请创建一个，然后通过它路由您的子网流量。  
如果您在不同的子网之间关联了相同的路由表 AZs，请将此路由表与与 NAT 网关位于同一可用区的子网相关联；对于另一个可用区中的子网，请将单独的路由表与通往另一个可用区中 NAT 网关的路由相关联。  
我们建议您为 Amazon VPC 中的架构更改选择一个维护时段。

**其他资源**  
+ [如何创建 NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)
+ [如何为不同的 NAT 网关应用场景配置路由](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-scenarios.html)

**报告列**  
+ Status
+ Region
+ NAT 可用区
+ NAT ID
+ 子网可用区
+ 子网 ID
+ 路由表 ID
+ NAT ARN
+ 上次更新时间

## Network Firewall 端点可用区独立性
<a name="network-firewall-endpoint-az-independence"></a>

**说明**  
检查您的 AWS Network Firewall 终端节点是否已配置为来自其他可用区 (AZ) 的路由目的地。  
Network Firewall 端点将网络流量转发到 Network Firewall 进行检查。每个 Network Firewall 端点都在指定的可用区内运行，并且仅在该可用区中以冗余方式构建。特定可用区中的资源应使用同一可用区中的 Network Firewall 端点。这样可以确保 Network Firewall 端点或其所在可用区发生任何潜在中断时，不会影响其他可用区中的资源。如果从其他可用区发起网络流量以进行流量检查，会产生跨可用区数据传输费用。最佳做法是确保特定可用区中的所有资源均使用同一个可用区中的 Network Firewall，以避免产生跨可用区数据费用。

**检查 ID**  
`7040ea389a`

**提醒条件**  
+ 黄色：来自一个可用区子网的流量正在通过另一个可用区中的 Network Firewall 端点进行路由。
+ 绿色：来自一个可用区子网的流量正在通过同一可用区中的 Network Firewall 端点进行路由。

**Recommended Action（建议的操作）**  
检查子网所在的可用区，并通过同一可用区中的 Network Firewall 端点路由流量。  
如果可用区中没有 Network Firewall 端点，请新建一个 Network Firewall，然后通过其路由子网流量。  
如果同一路由表关联到不同子网中的多个子网 AZs，则将此路由表与与 Network Firewall 终端节点位于同一可用区的子网关联。对于其他子网 AZs，请将单独的路由表与指向该可用区中 Network Firewall 终端节点的路由相关联。  
最佳做法是为 Amazon VPC 中的架构变更选择合适的维护时段。

**其他资源**  
[同一个内部的数据传输 AWS 区域](https://aws.amazon.com/ec2/pricing/on-demand/)  
[了解数据传输费用](https://docs.aws.amazon.com/cur/latest/userguide/cur-data-transfers-charges.html)  
[可用区独立性](https://docs.aws.amazon.com/whitepapers/latest/advanced-multi-az-resilience-patterns/availability-zone-independence.html)  
[实施防火墙的高级步骤](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-high-level-steps.html)  
[创建防火墙](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-creating.html)  
[AWS Well-Architected Tool -使用舱壁架构来限制影响范围](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_use_bulkhead.html)

**报告列**  
+ Status
+ Region
+ Network Firewall 端点 ID
+ Network Firewall ARN
+ Network Firewall 端点子网
+ Network Firewall 端点可用区
+ 跨可用区子网列表
+ 上次更新时间

## Network Firewall 多可用区
<a name="network-firewall-multi-az"></a>

**说明**  
检查 Network Firewall 是否配置为在多个可用区（AZ）部署防火墙端点。  
一个可用区是一个不同的位置，它与其他可用区的故障隔离开来。如果 Network Firewall 终端节点仅部署在 1 个可用区中，则它可能是单点故障，并且可能会影响 AZs使用网络防火墙进行流量检查的其他工作负载。最佳做法是在同一个区域中将网络防火墙配置成多个 AZs 以提高工作负载可用性。

**检查 ID**  
`c2vlfg0gqd`

**提醒条件**  
+ 黄色：Network Firewall 端点部署在 1 个可用区中。
+ 绿色：Network Firewall 端点至少部署在两个中 AZs。

**Recommended Action（建议的操作）**  
确保您的 Network Firewall 配置了至少两个 AZs用于生产工作负载的防火墙。

**其他资源**  
[AWS Network Firewall的 VPC 子网配置](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-subnets)  
[创建防火墙](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-creating.html)  
[可用区](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)  
[AWS Well-Architected Tool -将工作负载部署到多个地点](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_multiaz_region_system.html)  
[共享服务 VPC 中的设备](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-appliance-scenario.html#transit-gateway-appliance-overview)

**报告列**  
+ Status
+ Region
+ Network Firewall ARN
+ VPC ID
+ Network Firewall 子网
+ Network Firewall 子网 AZs
+ 上次更新时间

## 网络负载均衡器跨区域负载均衡
<a name="network-load-balancers-cross-load-balancing"></a>

**说明**  
检查网络负载均衡器上是否已启用跨区域负载均衡。  
跨区域负载均衡有助于在不同可用区的实例之间保持传入流量的均匀分布。这可以防止负载均衡器将所有流量路由到同一可用区内的实例，从而可能会导致流量分布不均和潜在的过载。该功能还可在单个可用区出现故障时自动将流量路由到其他可用区中运行正常的实例，从而提高应用程序的可靠性。  
有关更多信息，请参阅[跨区域负载均衡](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing)。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c18d2gz105`

**来源**  
`AWS Config Managed Rule: nlb-cross-zone-load-balancing-enabled`

**提醒条件**  
+ 黄色：网络负载均衡器未启用跨区域负载均衡。

**Recommended Action（建议的操作）**  
确保网络负载均衡器上已启用跨区域负载均衡。

**其他资源**  
[跨区域负载均衡（网络负载均衡器）](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing)

**报告列**  
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间

## NLB - 私有子网中面向互联网的资源
<a name="nlb-internet-facing-resources-private-subnet"></a>

**说明**  
检查面向互联网的网络负载均衡器 (NLB) 是否配置了私有子网。面向互联网的网络负载均衡器（NLB）必须部署在公有子网中，才能接收流量。公有子网是指具有指向[互联网网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)的直接路由的子网。如果子网配置为私有子网，则该子网所在的可用区（AZ）不会接收流量，这可能会导致可用性问题。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1dfpnchv4`

**提醒条件**  
红色：NLB 配置了一个或多个私有子网  
绿色：面向互联网的 NLB 未配置任何私有子网

**Recommended Action（建议的操作）**  
确认在面向互联网的负载均衡器中配置的子网是公有子网。公有子网是指具有指向[互联网网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)的直接路由的子网。使用以下选项之一：  
+ 创建新的负载均衡器，并选择另一个具有指向互联网网关的直接路由的子网。
+ 将当前附加到负载均衡器的子网从私有子网更改为公有子网。为此，请更改其路由表并[关联互联网网关](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#associate-route-table-gateway)。

**其他资源**  
+ [配置负载均衡器和侦听器](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer)
+ [您的 VPC 的子网](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html)
+ [将网关与路由表关联](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#associate-route-table-gateway)

**报告列**  
+ Status
+ Region
+ NLB Arn
+ NLB 名称
+ 子网 ID
+ NLB 方案
+ 子网类型
+ 上次更新时间

## NLB 多可用区
<a name="nlb-multi-az"></a>

**说明**  
检查网络负载均衡器是否配置为使用多个可用区（AZ）。一个可用区是一个不同的位置，它与其他区域的故障隔离开来。在同一区域中将您的负载均衡器配置为多个 AZs 以帮助提高工作负载可用性。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1dfprch09`

**提醒条件**  
黄色：NLB 部署在单个可用区中。  
绿色：NLB 有两个或更多 AZs。

**Recommended Action（建议的操作）**  
确保负载均衡器配置了至少两个可用区。

**其他资源**  
有关更多信息，请参阅以下文档：  
+ [可用区](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)
+ [AWS Well-Architected-将工作负载部署到多个地点](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_multiaz_region_system.html)
+ [区域和可用区](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)

**报告列**  
+ Status
+ Region
+ 的数量 AZs
+ NLB ARN
+ NLB 名称
+ 上次更新时间

## 事件管理器复制集 AWS 区域 中的数量
<a name="number-of-aws-regions-in-an-incident-manager-replication-set"></a>

**说明**  
检查事件管理器复制集的配置是否使用多个配置 AWS 区域 来支持区域故障转移和响应。对于由 CloudWatch 警报或 EventBridge 事件创建的事件，事件管理器会创建与警报或事件规则 AWS 区域 相同的事件。如果 Incident Manager 暂时在该区域不可用，则系统会尝试在复制集中的另一个区域中创建事件。如果复制集仅包含一个区域，则在事件管理器不可用时，系统将无法创建事件记录。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`cIdfp1js9r`

**提醒条件**  
+ 绿色：复制集包含多个区域。
+ 黄色：复制集包含一个区域。

**Recommended Action（建议的操作）**  
向复制集中至少再添加一个区域。

**其他资源**  
有关更多信息，请参阅[跨区域事件管理](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-cross-account-cross-region.html#incident-manager-cross-region.html)。

**报告列**  
+ Status
+ 多区域
+ 复制集
+ 上次更新时间

## 单个可用区应用程序检查
<a name="single-az-application-check"></a>

**说明**  
检查网络模式，您的传出网络流量是否通过单个可用区（AZ）路由。  
一个可用区是一个不同的位置，它与其他区域的任何影响隔离开来。通过将服务分散到多个可用区 AZs，可以限制可用区故障的爆炸半径。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1dfptbg11`

**提醒条件**  
+ 黄色：根据观察到的传出网络模式，您的应用程序可能仅在一个可用区中部署。如果情况属实，并且您的应用程序需要高可用性，我们建议您预置应用程序资源并实施网络流以利用多个可用区。

**Recommended Action（建议的操作）**  
如果您的应用程序要求高可用性，则请考虑实施多可用区架构以实现更高的可用性。

**报告列**  
+ Status
+ Region
+  - VPC ID
+ 上次更新时间

## VPC 接口多个 VPC 接口端点网络接口 AZs
<a name="vpc-interface-endpoint-network-interface-multi-az"></a>

**说明**  
检查您的 AWS PrivateLink VPC 接口终端节点是否配置为使用多个可用区 (AZ)。一个可用区是一个不同的位置，它与其他区域的故障隔离开来。这支持同一 AWS 地区之间低成本、低延迟 AZs 的网络连接。创建接口端点 AZs 时，可以选择多个子网，以帮助保护您的应用程序免受单点故障的影响。  
此检查目前仅包含接口端点。
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1dfprch10`

**提醒条件**  
黄色：VPC 端点部署在单个可用区中。  
绿色：VPC 终端节点至少有两个 AZs。

**Recommended Action（建议的操作）**  
确保 VPC 接口端点配置了至少两个可用区。

**其他资源**  
有关更多信息，请参阅以下文档：  
+ [AWS 服务 使用接口访问 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)
+ [端点网络接口的私有 IP 地址](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/creating-highly-available-endpoint-services.html#private-ip-address-of-the-endpoint-network-interface)
+ [AWS PrivateLink 概念](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)
+ [区域和可用区](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)

**报告列**  
+ Status
+ Region
+ VPC 端点 ID
+ 是多可用区
+ 上次更新时间

## VPN 隧道冗余
<a name="vpn-tunnel-redundancy"></a>

**说明**  
检查您的每条隧道处于活动状态的数量 Site-to-Site VPNs。  
VPN 应始终配置两个隧道。这样可以在 AWS 终端节点的设备中断或计划进行维护时提供冗余。对于某些硬件，每次只有一个隧道处于活动状态。如果 VPN 没有活动隧道，可能仍会收取 VPN 费用。有关更多信息，请参阅 [AWS Site-to-Site VPN 用户指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)。

**检查 ID**  
`S45wrEXrLz`

**提醒条件**  
+ 黄色：VPN 有一个活跃隧道（对于某些硬件来说这是正常情况）。
+ 黄色：VPN 没有活跃隧道。

**Recommended Action（建议的操作）**  
请确保为您的 VPN 连接配置两个隧道，并且两个都处于活跃状态（如果硬件支持）。如果您不再需要某个 VPN 连接，则可将其删除以避免收费。有关更多信息，请参阅[您的客户网关设备](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)或[删除 Site-to-Site VPN 连接](https://docs.aws.amazon.com/vpn/latest/s2svpn/delete-vpn.html)。

**其他资源**  
+ [AWS Site-to-Site VPN 用户指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [创建目标网关](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-target-gateway)

**报告列**  
+ Status
+ Region
+ VPN ID
+ VPC
+ 虚拟专用网关
+ 客户网关
+ 活跃隧道
+ Reason

## ActiveMQ 可用区冗余
<a name="activemq-availability-zone-redundancy"></a>

**说明**  
检查适用于 ActiveMQ 的 Amazon MQ 代理是否已配置为在多个可用区中具有高可用性。 active/standby   
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1t3k8mqv1`

**提醒条件**  
+ 黄色：在单个可用区中配置 Amazon MQ for ActiveMQ 代理。

  绿色：在至少两个可用区中配置 Amazon MQ for ActiveMQ 代理。

**Recommended Action（建议的操作）**  
使用 active/standby 部署模式创建新的代理。

**其他资源**  
+ [创建 ActiveMQ 代理](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-activemq.html)

**报告列**  
+ Status
+ Region
+ ActiveMQ 代理 ID
+ 代理引擎类型
+ 部署模式
+ 上次更新时间

## RabbitMQ 可用区冗余
<a name="rabbitmq-availability-zone-redundancy"></a>

**说明**  
检查 Amazon MQ for RabbitMQ 代理是否已配置为具有多个可用区中集群实例的高可用性。  
此检查的结果将每天自动刷新多次，并且不允许刷新请求。更改可能需要几个小时才能显示。  
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户，您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。

**检查 ID**  
`c1t3k8mqv2`

**提醒条件**  
+ 黄色：在单个可用区中配置 Amazon MQ for RabbitMQ 代理。

  绿色：在多个可用区中配置 Amazon MQ for RabbitMQ 代理。

**Recommended Action（建议的操作）**  
创建具有集群部署模式的新代理。

**其他资源**  
+ [创建 RabbitMQ 代理](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html)

**报告列**  
+ Status
+ Region
+ RabbitMQ 代理 ID
+ 代理引擎类型
+ 部署模式
+ 上次更新时间