本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Trusted Advisor 查看参考资料
**重要**
终止支持通知:开发者支持将于 2027 年 1 月 1 日停止。拥有 Developer Support 的客户可以继续使用其现有计划或选择在 2027 年 1 月 1 日之前的任何时候升级到 Business Support\$1。Business Support\$1 提供基于人工智能的帮助,了解您的运营背景,可全天候联系 AWS 专家,每个账户每月最低费用为29美元。有关更多信息,请参阅 “[商业支持\$1” 计划](https://aws.amazon.com/premiumsupport/plans/business-plus/)详情
终止支持通知:Business Support 将于 2027 年 1 月 1 日停止。拥有 Business Support 的客户可以继续使用其现有计划或选择在 2027 年 1 月 1 日之前的任何时候升级到 Business Support\$1。Business Support\$1 提供基于人工智能的帮助,了解您的运营背景,可全天候联系 AWS 专家,每个账户每月最低费用为29美元。有关更多信息,请参阅 “[商业支持\$1” 计划](https://aws.amazon.com/premiumsupport/plans/business-plus/)详情
终止支持通知:2027 年 1 月 1 日, AWS 将停用 Enterprise On-Ramp。在 2026 年,Enterprise On-Ramp 客户将在合同续订期间或定期批量自动升级到 AWS Enterprise Support。客户将在升级前一个月收到电子邮件通知。无需进一步操作。Enterprise Support 提供指定的 TAM 分配、15 分钟的响应时间,且 AWS 安全事件响应 无需支付额外费用,所有费用都低于 5,000 美元(低于 15,000 美元)。有关更多信息,请参阅[AWS 企业 支持 套餐详情](https://aws.amazon.com/premiumsupport/plans/enterprise/)。
有关更多信息,请参阅 [开发人员、企业和企业入口服务终止支持](support-plans-eos.md)。
开发者支持、业务支持和企业入门服务仍将在该 AWS GovCloud (US) 地区提供。
您可以在以下参考资料中 Trusted Advisor 查看所有支票 IDs 的名称、描述和内容。您也可以登录 [Trusted Advisor](https://console.aws.amazon.com/trustedadvisor) 控制台查看有关检查、建议操作及其状态的更多信息。
如果您有 B AWS usiness Support\$1、En AWS terprise Support 或 AWS 统一运营计划,也可以使用 [AWS Trusted Advisor API](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/Welcome.html) 和 AWS Command Line Interface (AWS CLI) 来访问您的支票。有关更多信息,请参阅以下主题:
+ [开始使用 Trusted Advisor API](trustedadvisor.md)
+ [AWS Trusted Advisor API 引用](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/Welcome.html)
**注意**
如果您有 Basic Support 或 Developer Support 计划,则可以使用 Trusted Advisor 控制台访问该[服务限制](service-limits.md)类别中的所有检查以及安全和容错类别中的以下检查:
[Amazon EBS 公有快照](security-checks.md#amazon-ebs-public-snapshots)
[Amazon RDS 公有快照](security-checks.md#amazon-rds-public-snapshots)
[Amazon S3 存储桶权限](security-checks.md#amazon-s3-bucket-permissions)
[根账户的 MFA](security-checks.md#mfa-root-account)
[安全组 – 不受限制的特定端口](security-checks.md#security-groups-specific-ports-unrestricted)
[AWS STS 全球终端节点使用情况 AWS 区域](fault-tolerance-checks.md#sts-global-endpoint)
**Topics**
+ [
# 成本优化
](cost-optimization-checks.md)
+ [
# 性能
](performance-checks.md)
+ [
# 安全性
](security-checks.md)
+ [
# 容错能力
](fault-tolerance-checks.md)
+ [
# 服务限制
](service-limits.md)
+ [
# 卓越操作
](operational-excellence-checks.md)
# 成本优化
您可以使用以下成本优化类别检查。
**Contents**
+ [
## AWS 账户 不是其中的一部分 AWS Organizations
](#account-not-part-of-organizations)
+ [
## 针对数据库集群存储的 Amazon Aurora 成本优化建议
](#aurora-cost-opt-db-cluster-storage)
+ [
## Amazon Comprehend 未充分利用的终端节点
](#amazon-comprehend-underutilized-endpoints)
+ [
## Amazon DynamoDB 预留容量购买建议
](#dynamodb-reserved-capacity-purchase-rec)
+ [
## 针对卷的 Amazon EBS 成本优化建议
](#ebs-cost-opt-for-volumes)
+ [
## Amazon EBS 过度预调配卷
](#amazon-ebs-over-provisioned-volumes)
+ [
## 针对 Amazon EC2 Auto Scaling 组的 Amazon EC2 成本优化建议
](#ec2-cost-opt-for-autoscaling)
+ [
## 针对实例的 Amazon EC2 成本优化建议
](#ec2-cost-opt-for-instances)
+ [
## 适用于 Microsoft SQL Server 的 Amazon EC2 实例整合
](#ec2-instances-consolidation-sql-server)
+ [
## 使用 Microsoft SQL Server 的 Amazon EC2 实例超限预置
](#ec2-instance-over-provisioned-microsoft-sql-server)
+ [
## Amazon EC2 实例已停止
](#ec2-instance-stopped-for-thirty-days)
+ [
## Amazon EC2 预留实例租赁过期
](#amazon-ec2-reserved-instances-lease-expiration)
+ [
## Amazon EC2 预留实例优化
](#amazon-ec2-reserved-instances-optimization)
+ [
## 未对生命周期策略进行配置的 Amazon ECR 存储库
](#amazon-ecr-repository-without-lifecycle-policy)
+ [
## 亚马逊 ElastiCache 预留节点购买建议
](#elasticache-reserved-node-purchase-recommendations)
+ [
## AWS Fargate Amazon ECS 的成本优化建议
](#fargate-cost-opt-for-ecs)
+ [
## Amazon MemoryDB 预留节点购买建议
](#memorydb-reserved-node-purchase-recommendations)
+ [
## 亚马逊 OpenSearch 服务预留实例购买建议
](#os-ri-purchase-recommendations)
+ [
## 针对数据库实例的 Amazon RDS 成本优化建议
](#rds-cost-opt-for-db-instances)
+ [
## 针对数据库实例存储的 Amazon RDS 成本优化建议
](#rds-cost-opt-for-db-instance-storage)
+ [
## Amazon RDS 闲置数据库实例
](#amazon-rds-idle-dbs-instances)
+ [
## Amazon RDS 预留实例购买建议
](#rds-ri-purchase-recommendations)
+ [
## Amazon Redshift 预留节点购买建议
](#redshift-reserved-node-purchase-recommendations)
+ [
## Amazon Route 53 延迟资源记录集
](#amazon-route-53-latency-resource-record-sets)
+ [
## 已配置 Amazon S3 桶生命周期策略
](#amazon-s3-bucket-lifecycle-policy-configured)
+ [
## Amazon S3 未完成的分段上传中止配置
](#s3-incomplete-multipart-upload-abort-config)
+ [
## 启用 Amazon S3 版本的桶未配置生命周期策略
](#amazon-s3-version-enabled-buckets-no-lifecycle-policy)
+ [
## AWS Lambda 函数的成本优化建议
](#lambda-cost-opt-for-functions)
+ [
## AWS Lambda 超时时间过长的函数
](#aws-lambda-functions-excessive-timeouts)
+ [
## AWS Lambda 错误率高的函数
](#aws-lambda-functions-with-high-error-rates)
+ [
## AWS Lambda 内存大小过度配置的函数
](#aws-lambda-over-provisioned-functions-memory-size)
+ [
## AWS Savings Plans 计算购买建议
](#savings-plans-purchase-recommendations-compute)
+ [
## AWS Savings Plans 针对亚马逊 A SageMaker I 的购买建议
](#savings-plans-purchase-recommendations-sagemaker)
+ [
## AWS Well-Architected 成本优化高风险问题
](#well-architected-high-risk-issues-cost-optimization)
+ [
## 闲置的负载均衡器
](#idle-load-balancers)
+ [
## 闲置 NAT 网关
](#idle-nat-gateways)
+ [
## 不活跃 AWS Network Firewall
](#inactive-network-firewall)
+ [
## 非活动 VPC 接口端点
](#inactive-vpc-interface-endpoints)
+ [
## 非活动网关负载均衡器端点
](#inactive-gateway-load-balancer)
+ [
## 非活动 NAT 网关
](#inactive-nat-gateways)
+ [
## 低利用率 Amazon EC2 实例
](#low-utilization-amazon-ec2-instances)
+ [
## 未关联的弹性 IP 地址
](#unassociated-elastic-ip-addresses)
+ [
## 未充分利用的 Amazon EBS 卷
](#underutilized-amazon-ebs-volumes)
+ [
## Underutilized Amazon Redshift Clusters
](#underutilized-amazon-redshift-clusters)
## AWS 账户 不是其中的一部分 AWS Organizations
**说明**
检查 AWS 账户 是否 AWS Organizations 属于相应的管理账户。
AWS Organizations 是一项账户管理服务,用于将多个 AWS 账户整合到一个集中管理的组织中。这使您能够集中管理账户以合并计费,并在 AWS上扩展工作负载时实施所有权和安全策略。
您可以使用 AWS Config 规则的**MasterAccountId**参数指定管理账户 ID。
有关更多信息,请参阅[什么是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz127`
**来源**
`AWS Config Managed Rule: account-part-of-organizations`
**提醒条件**
黄色:此 AWS 账户不是其中的一部分 AWS Organizations。
**推荐操作**
将此 AWS 账户添加为其中的一部分 AWS Organizations。
有关更多信息,请参阅[教程:创建和配置组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 针对数据库集群存储的 Amazon Aurora 成本优化建议
**说明**
检查您的 Amazon Aurora 数据库集群存储配置和使用模式,以提供潜在的节省成本建议。
对于每种资源,仅 Trusted Advisor 显示来自的最高推荐操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr17n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:Aurora 数据库集群存储具有成本优化中心确定的节省成本操作。
**推荐操作**
考虑实施该建议。此建议属于《AWS Cost Management 用户指南》**的[了解成本优化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建议类型之一。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用中的详细建议 AWS Compute Optimizer 来了解这些变更对成本和绩效的潜在影响。
**其他资源**
+ [查看 Aurora 和 RDS 数据库的建议](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-rds-recommendations.html)
+ [来自 Amazon Aurora 的建议](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/monitoring-recommendations.html)
+ [亚马逊 Aurora 的设置](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings)
**报告列**
+ Status
+ Region
+ Resource ID
+ Recommended Action(建议的操作)
+ 当前资源摘要
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## Amazon Comprehend 未充分利用的终端节点
**说明**
检查端点的吞吐量配置。当端点未被主动用于实时推理请求时,此检查会提示您。端点未连续使用超过 15 天则会被认为未充分利用。所有端点均根据设置的吞吐量以及端点处于活动状态的时长来累积费用。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Cm24dfsM12`
**提醒条件**
黄色:端点处于活跃状态,但在过去 15 天内未用于实时推理请求。
**推荐操作**
如果端点在过去 15 天内尚未使用,我们建议使用[应用程序 Autoscaling](https://docs.aws.amazon.com/comprehend/latest/dg/comprehend-autoscaling.html) 为资源定义扩缩策略。
如果端点已定义扩缩策略并且在过去 30 天内尚未使用,请考虑删除此终端节点并使用异步推理。有关更多信息,请参阅[使用 Amazon Comprehend 删除端点](https://docs.aws.amazon.com/comprehend/latest/dg/manage-endpoints-delete.html)。
**报告列**
+ Status
+ Region
+ 端点 ARN
+ 预置推理单元
+ AutoScaling 状态
+ Reason
+ 上次更新时间
## Amazon DynamoDB 预留容量购买建议
**说明**
检查您的 Amazon DynamoDB 使用模式,并提供通过购买预留容量实现潜在成本节省的建议。
此检查会在[付款人账户的付款人范围内和关联账户的关联范围内](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)分别生成建议。
Trusted Advisor 仅显示中最值得推荐的操作 AWS 成本优化中心。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr15n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:账户具有成本优化中心针对 DynamoDB 确定的节省成本操作。
**推荐操作**
考虑[实施该建议](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他资源**
+ [DynamoDB 预留容量](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/reserved-capacity.html)
+ [访问预订推荐](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [Amazon DynamoDB 预留容量](https://aws.amazon.com/dynamodb/reserved-capacity/)
**报告列**
+ Status
+ Region
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## 针对卷的 Amazon EBS 成本优化建议
**说明**
检查您的 Amazon EBS 卷配置和使用模式,以提供有关潜在成本节省的建议。
对于每种资源,仅 Trusted Advisor 显示来自的最高推荐操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr02n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:EBS 卷具有成本优化中心确定的节省成本操作。
**推荐操作**
考虑实施该建议。此建议属于《AWS Cost Management 用户指南》**的[了解成本优化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建议类型之一。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用中的详细建议 AWS Compute Optimizer 来了解这些变更对成本和绩效的潜在影响。
**其他资源**
+ [查看 Amazon EBS 交易量建议](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-ebs-recommendations.html)
+ [EBS 卷指标](https://docs.aws.amazon.com/compute-optimizer/latest/ug/ebs-metrics-analyzed.html)
+ [Amazon EBS 卷类型](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-volume-types.html)
+ [请求修改 Amazon EBS 交易量](https://docs.aws.amazon.com/ebs/latest/userguide/requesting-ebs-volume-modifications.html)
**报告列**
+ Status
+ Region
+ Resource ID
+ Recommended Action(建议的操作)
+ 当前资源摘要
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## Amazon EBS 过度预调配卷
**说明**
这是一项旧版检查。建议您使用新检查(检查 ID:[c1z7kmr02n](#ebs-cost-opt-for-volumes)),该检查可提供额外的自定义建议。
检查在回顾期内任何时刻运行过的 Amazon Elastic Block Store(Amazon EBS)卷。如果有任何 EBS 卷相比您的工作负载而言预调配过度,则该检查会提醒您。如果您有过度预调配的卷,则需要为未使用的资源付费。尽管有些场景可能会导致在设计优化不足的问题,但通常可以通过更改 EBS 卷的配置来降低成本。预估每月节省基于 EBS 卷的当前使用率。如果该卷整月都不存在,则实际节省将会有异。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`COr6dfpM03`
**提醒条件**
黄色:回顾期间预置过高的 EBS 卷。为了确定卷是否过度配置,我们会考虑所有默认 CloudWatch 指标(包括 IOPS 和吞吐量)。用于识别过度配置的 EBS 卷的算法遵循 AWS 最佳实践。识别新模式后,算法会更新。
**推荐操作**
考虑缩小使用率较低的卷。
有关更多信息,请参阅 [选择使用 AWS Compute Optimizer 支 Trusted Advisor 票](compute-optimizer-with-trusted-advisor.md)。
**报告列**
+ Status
+ Region
+ 卷 ID
+ 卷类型
+ 卷大小(GB)
+ 卷基准 IOPS
+ 卷爆增 IOPS
+ 卷爆增吞吐量
+ 推荐的卷类型
+ 推荐的卷大小(GB)
+ 推荐的卷基准 IOPS
+ 推荐的卷爆增 IOPS
+ 推荐的卷基准吞吐量
+ 推荐的卷爆增吞吐量
+ 回顾期(天)
+ 节省机会(%)
+ 预估每月节省
+ 预估每月节省货币
+ 上次更新时间
## 针对 Amazon EC2 Auto Scaling 组的 Amazon EC2 成本优化建议
**说明**
检查您的 Amazon EC2 Auto Scaling 组配置和使用模式,以提供潜在的节省成本建议。
对于每种资源,仅 Trusted Advisor 显示来自的最高推荐操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr01n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:Amazon EC2 Auto Scaling 组具有成本优化中心确定的节省成本操作。
**推荐操作**
考虑实施该建议。此建议属于《AWS Cost Management 用户指南》**的[了解成本优化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建议类型之一。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用中的详细建议 AWS Compute Optimizer 来了解这些变更对成本和绩效的潜在影响。
**其他资源**
+ [查看 Amazon EC2 Auto Scaling 卷建议](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-asg-recommendations.html)
+ [Amazon EC2 Auto Scaling 组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/auto-scaling-groups.html)
+ [什么是 Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html)
**报告列**
+ Status
+ Region
+ Resource ID
+ Recommended Action(建议的操作)
+ 当前资源摘要
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## 针对实例的 Amazon EC2 成本优化建议
**说明**
检查您的 Amazon EC2 实例配置和使用模式,以提供潜在的节省成本建议。
对于每种资源,仅 Trusted Advisor 显示来自的最高推荐操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr00n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:EC2 实例具有成本优化中心确定的节省成本操作。
**推荐操作**
考虑实施该建议。此建议属于《AWS Cost Management 用户指南》**的[了解成本优化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建议类型之一。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用中的详细建议 AWS Compute Optimizer 来了解这些变更对成本和绩效的潜在影响。
**其他资源**
+ [查看 EC2 实例建议](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-ec2-recommendations.html)
+ [EC2 实例指标](https://docs.aws.amazon.com/compute-optimizer/latest/ug/ec2-metrics-analyzed.html)
+ [亚马逊 EC2 实例类型变更](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html)
**报告列**
+ Status
+ Region
+ Resource ID
+ Recommended Action(建议的操作)
+ 当前资源摘要
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## 适用于 Microsoft SQL Server 的 Amazon EC2 实例整合
**说明**
检查过去 24 小时内运行 SQL Server 的 Amazon Elastic Compute Cloud(Amazon EC2)实例。如果实例的 SQL Server 许可证数量少于最低数量,则此检查会提示您。根据微软 SQL Server 许可指南,即使一个实例只有 1 或 2 v,你也需要支付 4 个 vCPU 许可证。CPUs 您可以整合较小的 SQL Server 实例以帮助降低成本。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Qsdfp3A4L2`
**提醒条件**
黄色:带有 SQL Server 的实例小于 4 v CPUs。
**Recommended Action(建议的操作)**
考虑将较小的 SQL Server 工作负载整合到至少有四 v 的实例中CPUs。
**其他资源**
+ [AWS上的 Microsoft SQL Server](https://aws.amazon.com/sql/)
+ [微软许可开启 AWS](https://aws.amazon.com/windows/resources/licensing/)
+ [Microsoft SQL Server 许可指南](https://www.microsoft.com/en-us/sql-server/sql-server-2019-pricing)
**报告列**
+ Status
+ Region
+ 实例 ID
+ 实例类型
+ vCPU
+ 最小 vCPU 数
+ SQL Server 版本
+ 上次更新时间
## 使用 Microsoft SQL Server 的 Amazon EC2 实例超限预置
**说明**
检查过去 24 小时内运行 SQL Server 的 Amazon Elastic Compute Cloud(Amazon EC2)实例。SQL Server 数据库对每个实例都有计算容量限制。采用 SQL Server 标准版的实例最多可以使用 48 v CPUs。 带有 SQL Server Web 的实例最多可以使用 32 v CPUs。 如果实例超过此 vCPU 限制,此检查会提醒您。
如果您的实例超限预置,则您需要支付全部费用,但并没有实现性能提升。您可以管理实例的数量和大小以帮助降低成本。
估计每月节省的费用是通过使用相同的实例系列、SQL Server 实例可以使用的最大 v CPUs 数和按需定价来计算的。如果您使用的是预留实例(RI),或者实例未全天运行,则实际节省将会不同。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Qsdfp3A4L1`
**提醒条件**
+ 红色:采用 SQL Server 标准版的实例有超过 48 v CPUs。
+ 红色:采用 SQL Server 网络版的实例有超过 32 v CPUs。
**推荐操作**
对于 SQL Server 标准版,可以考虑改用 48 v 的相同实例系列中的实例CPUs。 对于 SQL Server Web 版,可以考虑改用 32 v 的相同实例系列中的实例CPUs。 如果是内存密集型实例,可以考虑改用内存优化的 R5 实例。有关更多信息,请参阅[在 Amazon EC2 上部署 Microsoft SQL Server 的最佳实践](https://docs.aws.amazon.com/prescriptive-guidance/latest/sql-server-ec2-best-practices/welcome.html)。
**其他资源**
+ [AWS上的 Microsoft SQL Server](https://aws.amazon.com/sql)
+ 您可以使用 [Launch Wizard](https://aws.amazon.com/launchwizard) 简化 SQL Server 在 EC2 上的部署。
**报告列**
+ Status
+ Region
+ 实例 ID
+ 实例类型
+ vCPU
+ SQL Server 版本
+ 最大 vCPU 数
+ 推荐的实例类型
+ 预估每月节省
+ 上次更新时间
## Amazon EC2 实例已停止
**说明**
检查是否有已停止超过 30 天的 Amazon EC2 实例。
您可以在 of AWS Config 参数中指定允许的天数值。**AllowedDays**
有关更多信息,请参阅[我所有的实例都已经终止,为什么还要为 Amazon EC2 付费?](https://repost.aws/knowledge-center/ec2-billing-terminated)
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz150`
**来源**
`AWS Config Managed Rule: ec2-stopped-instance `
**提醒条件**
+ 黄色:Amazon EC2 实例的停止时间超过了允许的天数。
**推荐操作**
查看已停止 30 天或更长时间的 Amazon EC2 实例。为避免产生不必要成本,请终止不再需要的所有实例。
有关更多信息,请参阅[终止实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html)。
**其他资源**
+ [Amazon EC2 按需定价](https://aws.amazon.com/ec2/pricing/on-demand/)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon EC2 预留实例租赁过期
**说明**
检查计划在未来 30 天内过期,或已在前 30 天内过期的 Amazon EC2 预留实例。
预留实例不会自动续订。您可以继续不中断地使用由预留覆盖的 Amazon EC2 实例,但需支付按需费率。新预留实例可以具有与过期实例相同的参数,也可以购买具有不同参数的预留实例。
预估每月节省是同一实例类型的按需实例费率和预留实例费率之间的差额。
**检查 ID**
`1e93e4c0b5`
**提醒条件**
+ 黄色:预留实例租赁将在 30 天内过期。
+ 黄色:预留实例租赁已在过去 30 天内过期。
**推荐操作**
考虑购买新的预留实例来替换即将到期的预留实例。有关更多信息,请参阅[如何购买预留实例](https://aws.amazon.com/ec2/purchasing-options/reserved-instances/buyer/)和[购买预留实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-concepts-buying.html)。
**其他资源**
+ [预留实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts-on-demand-reserved-instances.html)
+ [实例类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html)
**报告列**
+ Status
+ 区
+ 实例类型
+ 平台
+ 实例计数
+ 当前月度成本
+ 预估每月节省
+ 到期日期
+ Reserved Instance ID
+ Reason
## Amazon EC2 预留实例优化
**说明**
使用的一个重要部分是平衡 AWS 您的预留实例 (RI) 购买量和按需实例使用量。该检查提供了一些建议, RIs 以帮助降低使用按需实例所产生的成本。
我们通过分析您在过去 30 天内的按需使用情况来创建这些建议。然后,我们将使用情况分为符合条件的预留类别。我们会在生成的使用量类别中模拟每个预留组合以确定要购买的每种 RI 类型的建议数量。这种模拟和优化过程使我们能够最大限度地为您节省成本。此检查涵盖了基于具有部分预付款选项的标准预留实例的建议。
此检查不适用于整合账单中关联的账户。此检查的建议仅适用于付款账户。
**检查 ID**
`cX3c2R1chu`
**提醒条件**
黄色:优化部分预付款的使用 RIs 有助于降低成本。
**推荐操作**
请参阅 [Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) 页面,以了解更详细的自定义建议。此外,请参阅[购买指南](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html#ri-market-buying-guide),了解如何购买 RIs 和可用的选项。
**其他资源**
+ 有关 RIs 它们如何为您省钱的信息可以[在这里](https://aws.amazon.com/ec2/pricing/reserved-instances/)找到。
+ 有关此建议的更多信息,请参阅中的[预留实例优化检查问题](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/faqs/#Reserved_Instance_Optimization_Check_Questions) Trusted Advisor FAQs。
**报告列**
+ Region
+ 实例类型
+ 平台
+ 建议 RIs 购买数量
+ 预期平均预留实例使用率
+ 建议产生的预估节省(每月)
+ 预付成本为 RIs
+ RIs (每月)的估计费用
+ 购买建议预留实例后的预估按需成本(每月)
+ 预估收支相抵(月)
+ 回顾期(天)
+ 期限(年)
## 未对生命周期策略进行配置的 Amazon ECR 存储库
**说明**
检查私有 Amazon ECR 存储库是否配置了至少一个生命周期策略。生命周期策略允许您定义一组规则来自动清理旧的或未使用的容器映像。这使您可以控制镜像的生命周期管理,以便更好地组织 Amazon ECR 存储库,并有助于降低总体存储成本。
有关更多信息,请参阅[生命周期策略](https://docs.aws.amazon.com/AmazonECR/latest/userguide/LifecyclePolicies.html)。
**检查 ID**
`c18d2gz128`
**来源**
`AWS Config Managed Rule: ecr-private-lifecycle-policy-configured`
**提醒条件**
黄色:Amazon ECR 私有存储库尚未配置任何生命周期策略。
**推荐操作**
请考虑为您的私有 Amazon ECR 存储库创建至少一个生命周期策略。
有关更多信息,请参阅[创建生命周期策略](https://docs.aws.amazon.com/AmazonECR/latest/userguide/lp_creation.html)。
**其他资源**
+ [生命周期策略](https://docs.aws.amazon.com/AmazonECR/latest/userguide/LifecyclePolicies.html)。
+ [创建生命周期策略](https://docs.aws.amazon.com/AmazonECR/latest/userguide/lp_creation.html)。
+ [生命周期策略的示例](https://docs.aws.amazon.com/AmazonECR/latest/userguide/lifecycle_policy_examples.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 亚马逊 ElastiCache 预留节点购买建议
**说明**
检查您的 Amazon ElastiCache 使用模式,就通过购买预留节点可能节省成本提供建议。
此检查会在[付款人账户的付款人范围内和关联账户的关联范围内](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)分别生成建议。
Trusted Advisor 仅显示中最值得推荐的操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr13n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:账户有一项由亚马逊成本优化中心确定的成本节约措施 ElastiCache。
**推荐操作**
考虑[实施该建议](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他资源**
+ [预留节点](https://docs.aws.amazon.com/AmazonElastiCache/latest/dg/CacheNodes.Reserved.html)
+ [访问预订推荐](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [Amazon ElastiCache 预留节点](https://aws.amazon.com/elasticache/reserved-cache-nodes/)
**报告列**
+ Status
+ Region
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## AWS Fargate Amazon ECS 的成本优化建议
**说明**
检查您 AWS Fargate 的 Amazon ECS 配置和使用模式,以提供可能的成本节约建议。
对于每种资源,仅 Trusted Advisor 显示来自的最高推荐操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr06n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:开启的 Amazon ECS 服务 AWS Fargate 有一项由成本优化中心确定的成本节约措施。
**推荐操作**
考虑实施该建议。此建议属于《AWS Cost Management 用户指南》**的[了解成本优化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建议类型之一。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用中的详细建议 AWS Compute Optimizer 来了解这些变更对成本和绩效的潜在影响。
**其他资源**
+ [根据 Fargate 的建议查看 Amazon ECS 服务](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-ecs-recommendations.html)
+ [Fargate 上亚马逊 ECS 服务的指标](https://docs.aws.amazon.com/compute-optimizer/latest/ug/ecs-fargate-metrics-analyzed.html)
+ [AWS Fargate 适用于 Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html#fargate-task-sizing)
+ [使用控制台更新 Amazon ECS 服务](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)
**报告列**
+ Status
+ Region
+ Resource ID
+ Recommended Action(建议的操作)
+ 当前资源摘要
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## Amazon MemoryDB 预留节点购买建议
**说明**
检查您的 Amazon MemoryDB 使用模式,以提供通过购买预留节点实现潜在成本节省的建议。
此检查会在[付款人账户的付款人范围内和关联账户的关联范围内](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)分别生成建议。
对于每种资源,仅 Trusted Advisor 显示来自的最高推荐操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr16n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:账户具有成本优化中心针对 MemoryDB 确定的节省成本操作。
**推荐操作**
考虑[实施该建议](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他资源**
+ [MemoryDB 预留节点](https://docs.aws.amazon.com/memorydb/latest/devguide/nodes.reservednodes.html)
+ [访问预订推荐](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [使用预留节点](https://docs.aws.amazon.com/memorydb/latest/devguide/reserved-nodes-working-with.html)
**报告列**
+ Status
+ Region
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## 亚马逊 OpenSearch 服务预留实例购买建议
**说明**
检查您的 Amazon S OpenSearch ervice 使用模式,就通过购买预留实例 (RI) 可能节省成本提供建议。
此检查会在[付款人账户的付款人范围内和关联账户的关联范围内](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)分别生成建议。
Trusted Advisor 仅显示中最值得推荐的操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr14n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:账户有一项由亚马逊 OpenSearch 服务成本优化中心确定的成本节约措施。
**推荐操作**
考虑[实施该建议](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他资源**
+ [Amazon OpenSearch 服务中的预留实例](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ri.html)
+ [访问预订推荐](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [购买预留实例 (AWS CLI)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ri-cli.html)
**报告列**
+ Status
+ Region
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## 针对数据库实例的 Amazon RDS 成本优化建议
**说明**
检查您的 Amazon RDS 数据库实例配置和使用模式,以提供潜在的节省成本建议。
对于每种资源,仅 Trusted Advisor 显示来自的最高推荐操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr03n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:RDS 数据库实例具有成本优化中心确定的节省成本操作。
**推荐操作**
考虑实施该建议。此建议属于《AWS Cost Management 用户指南》**的[了解成本优化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建议类型之一。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用中的详细建议 AWS Compute Optimizer 来了解这些变更对成本和绩效的潜在影响。
**其他资源**
+ [查看 RDS 数据库建议](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-rds-recommendations.html.html)
+ [RDS 数据库指标](https://docs.aws.amazon.com/compute-optimizer/latest/ug/rds-metrics-analyzed.html)
+ [数据库实例类](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.DBInstanceClass.html)
+ [修改 Amazon RDS 数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)
**报告列**
+ Status
+ Region
+ Resource ID
+ Recommended Action(建议的操作)
+ 当前资源摘要
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## 针对数据库实例存储的 Amazon RDS 成本优化建议
**说明**
检查您的 Amazon RDS 数据库实例存储配置和使用模式,以提供潜在的节省成本建议。
对于每种资源,仅 Trusted Advisor 显示来自的最高推荐操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr04n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:RDS 数据库存储具有成本优化中心确定的节省成本操作。
**推荐操作**
考虑实施该建议。此建议属于《AWS Cost Management 用户指南》**的[了解成本优化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建议类型之一。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用中的详细建议 AWS Compute Optimizer 来了解这些变更对成本和绩效的潜在影响。
**其他资源**
+ [查看 RDS 数据库建议](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-rds-recommendations.html)
+ [Amazon RDS 数据库实例存储](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Storage.html)
**报告列**
+ Status
+ Region
+ Resource ID
+ Recommended Action(建议的操作)
+ 当前资源摘要
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## Amazon RDS 闲置数据库实例
**说明**
这是一项旧版检查。建议您使用新检查(检查 ID:[c1z7kmr03n](#rds-cost-opt-for-db-instances)),该检查可提供额外的自定义建议。
检查 Amazon Relational Database Service (Amazon RDS) 的配置是否存在似乎处于空闲状态的任何数据库 (DB) 实例。
如果数据库实例长时间没有连接,您可以删除该实例以降低成本。如果数据库实例在过去 7 天内没有连接,则该实例将被视为空闲。如果实例上的数据需要持久性存储,则可以使用成本较低的选项,例如拍摄和保留数据库快照。手动创建的数据库快照将保留,直到删除它们为止。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`Ti39halfu8`
**提醒条件**
黄色:活跃数据库实例在过去 7 天内没有连接。
**推荐操作**
考虑为闲置的数据库实例拍摄快照,然后将其停止或删除。停止数据库实例可为其省去某些成本,但无法省去存储成本。停止的实例将基于配置的保留期保留所有自动备份。与删除实例然后仅保留最终快照相比,停止数据库实例通常会产生额外成本。请参阅[暂时停止 Amazon RDS 数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_StopInstance.html)和[删除带有最终快照的数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_DeleteInstance.html)。
**其他资源**
[备份和还原](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_CommonTasks.BackupRestore.html)
**报告列**
+ Region
+ 数据库实例名称
+ 多可用区
+ 实例类型
+ 预置的存储(GB)
+ 自上次连接后的天数
+ 预估每月节省(按需)
## Amazon RDS 预留实例购买建议
**说明**
检查您的 Amazon RDS 使用模式,以提供通过购买预留实例实现潜在成本节省的建议。
此检查会在[付款人账户的付款人范围内和关联账户的关联范围内](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)分别生成建议。
Trusted Advisor 仅显示中最值得推荐的操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr11n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:EBS 卷具有成本优化中心确定的节省成本操作。
**推荐操作**
考虑[实施该建议](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他资源**
+ [Amazon RDS 的预留数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithReservedDBInstances.html)
+ [访问预订推荐](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [购买 Amazon RDS 的预留数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithReservedDBInstances.WorkingWith.html)
**报告列**
+ Status
+ Region
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## Amazon Redshift 预留节点购买建议
**说明**
检查您的 Amazon Redshift 使用模式,以提供通过购买预留节点实现潜在成本节省的建议。
此检查会在[付款人账户的付款人范围内和关联账户的关联范围内](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)分别生成建议。
Trusted Advisor 仅显示中最值得推荐的操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr12n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:账户具有成本优化中心针对 Amazon Redshift 确定的节省成本操作。
**推荐操作**
考虑[实施该建议](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他资源**
+ [预留节点](https://docs.aws.amazon.com/redshift/latest/mgmt/purchase-reserved-node-instance.html)
+ [访问预订推荐](https://docs.aws.amazon.com/cost-management/latest/userguide/ri-recommendations.html)
+ [购买预留节点](https://docs.aws.amazon.com/redshift/latest/mgmt/purchase-reserved-node-offering-console.html)
**报告列**
+ Status
+ Region
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## Amazon Route 53 延迟资源记录集
**说明**
检查低效配置的 Amazon Route 53 延迟记录集。
要允许 Amazon Route 53 将查询路由到网络延迟最低的,您应该为不同区域的特定域名(例如 example.com)创建延迟资源记录集。 AWS 区域 如果您只为域名创建一个延迟资源记录集,则所有查询都将路由到一个区域,并且您需要为基于延迟的路由支付额外费用,但无法获得益处。
AWS 服务创建的托管区域不会出现在您的检查结果中。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`51fC20e7I2`
**提醒条件**
黄色:仅为特定域名配置了一个延迟资源记录集。
**Recommended Action(建议的操作)**
如果您的资源分布在多个区域,请务必为每个区域定义延迟资源记录集。请参阅[基于延迟的路由](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html#routing-policy-latency)。
如果您只有一个资源 AWS 区域,请考虑在多个资源中创建资源, AWS 区域 并为每个资源定义延迟资源记录集;请参阅基于延迟的[路由](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html#routing-policy-latency)。
如果您不想使用多个 AWS 区域,则应使用简单的资源记录集。请参阅[使用资源记录集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)。
**其他资源**
+ [Amazon Route 53 开发人员指南](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/)
+ [Amazon Route 53 定价](https://aws.amazon.com/route53/pricing/)
**报告列**
+ 托管区域名称
+ 托管区域 ID
+ 资源记录集名称
+ 资源记录集类型
## 已配置 Amazon S3 桶生命周期策略
**说明**
检查 Amazon S3 桶是否已配置生命周期策略。Amazon S3 生命周期策略可确保桶内的 Amazon S3 对象在其整个生命周期内经济高效地进行存储。这对于满足数据留存和存储的监管要求非常重要。策略配置是一组规则,用于定义 Amazon S3 服务对一组对象应用的操作。生命周期策略允许您自动将对象转换为成本较低的存储类别,或在对象使用期限结束时将其删除。例如,您可以在对象创建 30 天后将其转换为 Amazon S3 Standard-IA 存储,或者在 1 年后转换为 Amazon Glacier。
您还可以定义对象有效期,以便 Amazon S3 在一段时间后代表您删除对象。
您可以使用 AWS Config 规则中的参数调整支票配置
有关更多信息,请参阅[管理存储生命周期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz100`
**来源**
`AWS Config Managed Rule: s3-lifecycle-policy-check`
**提醒条件**
黄色:Amazon S3 桶未配置生命周期策略。
**Recommended Action(建议的操作)**
确保您的 Amazon S3 桶中配置了生命周期策略。
如果您的组织没有制定保留策略,请考虑使用 Amazon S3 Intelligent-Tiering 来优化成本。
有关如何定义 Amazon S3 生命周期策略的信息,请参阅[在桶上设置生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)。
有关 Amazon S3 Intelligent-Tiering 的信息,请参阅 [Amazon S3 Intelligent-Tiering 存储类](https://aws.amazon.com/s3/storage-classes/intelligent-tiering/)
**其他资源**
[在存储桶上设置生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)
[S3 生命周期配置的示例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/lifecycle-configuration-examples.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
## Amazon S3 未完成的分段上传中止配置
**说明**
检查每个 Amazon S3 存储桶是否配置了生命周期规则,以终止 7 天后仍未完成的分段上传。建议使用生命周期规则终止这些未完成的上传并删除相关存储。
此检查的结果每天会自动刷新一次或多次,并且不允许刷新请求。更改可能需要几个小时才能显示。更改可能需要几个小时才能显示。对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 `BatchUpdateRecommendationResourceExclusion` API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1cj39rr6v`
**提醒条件**
黄色:生命周期配置存储桶不包含用于终止所有 7 天后仍未完成的分段上传的生命周期规则。
**推荐操作**
检查未配置“清理所有未完成的分段上传”生命周期规则的存储桶的生命周期配置。超过 24 小时仍未完成的上传,后续完成的可能性极低。单击[此处](https://docs.aws.amazon.com/AmazonS3/latest/userguide/lifecycle-configuration-examples.html#lc-expire-mpu)以遵循创建生命周期规则的说明。建议将此规则应用于存储桶中的所有对象。如果需要对存储桶中的选定对象应用其他生命周期操作,则可以创建具有不同筛选条件的多个规则。请查看存储镜头仪表板或调用 ListMultipartUpload API 了解更多信息。
**其他资源**
[创建生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html#lifecycle-config-overview-how)
[发现并删除未完成的分段上传以降低 Amazon S3 成本](https://aws.amazon.com/blogs/aws-cloud-financial-management/discovering-and-deleting-incomplete-multipart-uploads-to-lower-amazon-s3-costs/)
[使用分段上传和复制对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html)
[生命周期配置元素](https://docs.aws.amazon.com/AmazonS3/latest/userguide/intro-lifecycle-rules.html)
[描述生命周期操作的元素](https://docs.aws.amazon.com/AmazonS3/latest/userguide/intro-lifecycle-rules.html#intro-lifecycle-rules-actions)
[中止分段上传的生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/lifecycle-configuration-examples.html#lc-expire-mpu)
**报告列**
+ Status
+ Region
+ 存储桶名称
+ 存储桶 ARN
+ 删除未完成的分段上传的生命周期规则
+ 启动后的天数
+ 上次更新时间
## 启用 Amazon S3 版本的桶未配置生命周期策略
**说明**
检查启用了 Amazon S3 版本的桶是否配置了生命周期策略。
有关更多信息,请参阅[管理存储生命周期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。
您可以使用规则中的 BucketNames 参数指定要检查的存储** AWS Config 桶名称**。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz171`
**来源**
`AWS Config Managed Rule: s3-version-lifecycle-policy-check`
**提醒条件**
黄色:启用了 Amazon S3 版本的桶未配置生命周期策略。
**推荐操作**
配置 Amazon S3 桶的生命周期来管理您的对象,以使其在整个生命周期内经济高效地进行存储。
有关更多信息,请参阅[在桶上设置生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)。
**其他资源**
[管理存储生命周期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)
[在存储桶上设置生命周期配置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS Lambda 函数的成本优化建议
**说明**
检查您的 AWS Lambda 配置和使用模式,以提供可能的成本节约建议。
对于每种资源,仅 Trusted Advisor 显示来自的最高推荐操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr05n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:Lambda 函数具有成本优化中心确定的节省成本操作。
**推荐操作**
考虑实施该建议。此建议属于《AWS Cost Management 用户指南》**的[了解成本优化策略](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)中列出的建议类型之一。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
使用中的详细建议 AWS Compute Optimizer 来了解这些变更对成本和绩效的潜在影响。
**其他资源**
+ [查看 Lambda 函数建议](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-lambda-recommendations.html)
+ [Lambda 函数指标](https://docs.aws.amazon.com/compute-optimizer/latest/ug/lambda-metrics-analyzed.html)
+ [配置 AWS Lambda 函数](https://docs.aws.amazon.com/lambda/latest/dg/lambda-functions.html)
**报告列**
+ Status
+ Region
+ Resource ID
+ Recommended Action(建议的操作)
+ 当前资源摘要
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## AWS Lambda 超时时间过长的函数
**说明**
检查具有可能会导致高成本的高超时率的 Lambda 函数。
Lambda 费用基于您的函数的运行时间和请求的数量。函数超时会导致错误,从而可能会导致重试。重试函数将产生额外的请求和运行时间费用。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`L4dfs2Q3C3`
**提醒条件**
黄色:由于过去 7 天内任何一天的超时,调用超过 10% 的函数以错误结束。
**推荐操作**
检查函数日志记录和 X-ray 跟踪来确定高函数持续时间的贡献者。在相关部分实施代码登录,例如 API 调用或数据库连接之前或之后。默认情况下, AWS SDK 客户端的超时时间可能长于配置的函数持续时间。将 API 和 SDK 连接客户端调整为在函数超时内重试或失败。如果预期持续时间超过配置的超时,您可以增加函数的超时设置。有关更多信息,请参阅[对 Lambda 应用程序进行监控和问题排查](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html)。
**其他资源**
+ [对 Lambda 应用程序进行监控和问题排查](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html)
+ [Lambda 函数重试超时 SDK](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-retry-timeout-sdk/)
+ [AWS Lambda 与一起使用 AWS X-Ray](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html)
+ [访问 Amazon CloudWatch 日志 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-cloudwatchlogs.html)
+ [的错误处理器示例应用程序 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/samples-errorprocessor.html)
**报告列**
+ Status
+ Region
+ 函数 ARN
+ 每日最大超时率
+ 每日最大超时率的日期
+ 每日平均超时率
+ 函数超时设置(毫秒)
+ 损失的每日计算成本
+ 平均每日调用次数
+ 当天调用次数
+ 当天超时率
+ 上次更新时间
## AWS Lambda 错误率高的函数
**说明**
检查具有可能会导致较高成本的高错误率的 Lambda 函数。
Lambda 费用基于您的函数的请求数量和总运行时间。函数错误可能会导致重试,从而产生额外费用。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`L4dfs2Q3C2`
**提醒条件**
黄色:在过去 7 天内任何一天,调用超过 10% 的函数以错误结束。
**推荐操作**
考虑遵照以下指南来减少错误。函数错误包括函数代码返回的错误,以及函数运行时返回的错误。
为了帮助您排除 Lambda 错误,Lambda 与亚马逊和等服务集成。 CloudWatch AWS X-Ray您可以结合使用日志、指标、警报和 X-Ray 跟踪来快速检测和识别函数代码,API 或支持您的应用程序的其他资源中的问题。有关更多信息,请参阅[对 Lambda 应用程序进行监控和问题排查](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html)。
有关处理特定运行时错误的更多信息,请参阅 [AWS Lambda中的错误处理和自动重试](https://docs.aws.amazon.com/lambda/latest/dg/invocation-retries.html)。
有关其他问题排查,请参阅[排查 Lambda 中的问题](https://docs.aws.amazon.com/lambda/latest/dg/lambda-troubleshooting.html)。
您还可以从 AWS Lambda 合作伙伴提供的监控和可观测性工具生态系统中进行选择。有关更多信息,请参阅 [AWS Lambda 合作伙伴](https://aws.amazon.com/lambda/partners/?partner-solutions-cards.sort-by=item.additionalFields.partnerNameLower&partner-solutions-cards.sort-order=asc)。
**其他资源**
+ [AWS Lambda中的错误处理和自动重试](https://docs.aws.amazon.com/lambda/latest/dg/invocation-retries.html)
+ [对 Lambda 应用程序进行监控和问题排查](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html)
+ [Lambda 函数重试超时 SDK](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-retry-timeout-sdk/)
+ [排查 Lambda 中的问题](https://docs.aws.amazon.com/lambda/latest/dg/lambda-troubleshooting.html)
+ [API 调用错误](https://docs.aws.amazon.com/lambda/latest/dg/API_Invoke.html#API_Invoke_Errors)
+ [的错误处理器示例应用程序 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/samples-errorprocessor.html)
**报告列**
+ Status
+ Region
+ 函数 ARN
+ 每日最大错误率
+ 最大错误率的日期
+ 每日平均错误率
+ 损失的每日计算成本
+ 当天调用次数
+ 当天错误率
+ \$1平均每日调用次数
+ 上次更新时间
## AWS Lambda 内存大小过度配置的函数
**说明**
这是一项旧版检查。建议您使用新检查(检查 ID:[c1z7kmr05n](#lambda-cost-opt-for-functions)),该检查可提供额外的自定义建议。
检查在回顾期间至少调用过一次的 AWS Lambda 函数。如果有任何 Lambda 函数相比内存大小而言预调配过度,则此检查会提醒您。如果有 Lambda 函数相比内存大小而言预调配过度,则您需要为未使用的资源付费。尽管有些场景可能会导致设计利用率低的问题,但通常可以通过更改 Lambda 函数的配置来降低成本。预估每月节省基于 Lambda 函数的当前使用率。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`COr6dfpM05`
**提醒条件**
黄色:在回顾期内存大小预置过高的 Lambda 函数。为了确定 Lambda 函数是否被过度配置,我们会考虑该函数的所有默认 CloudWatch 指标。用于识别内存大小预置过高的 Lambda 函数的算法遵循 AWS 最佳实践。识别新模式后,算法会更新。
**推荐操作**
考虑减少 Lambda 函数的内存大小。
有关更多信息,请参阅 [选择使用 AWS Compute Optimizer 支 Trusted Advisor 票](compute-optimizer-with-trusted-advisor.md)。
**报告列**
+ Status
+ Region
+ 函数名称
+ 函数版本
+ 内存大小(MB)
+ 推荐的内存大小(MB)
+ 回顾期(天)
+ 节省机会(%)
+ 预估每月节省
+ 预估每月节省货币
+ 上次更新时间
## AWS Savings Plans 计算购买建议
**说明**
检查您在各个 Amazon EC2 中的 AWS 计算使用模式 AWS Fargate,AWS Lambda 并提供 Savings Plans 购买建议。借助这些建议,您可以承诺保持一致的使用量(以每小时美元计量),以换取折扣费率。
此检查会在[付款人账户的付款人范围内和关联账户的关联范围内](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)分别生成建议。
Trusted Advisor 仅显示中最值得推荐的操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr09n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:账户具有成本优化中心针对计算资源确定的节省成本操作。
**推荐操作**
考虑[实施该建议](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他资源**
+ [Savings Plans 是什么?](https://docs.aws.amazon.com/savingsplans/latest/userguide/what-is-savings-plans.html)
+ [Savings Plans 类型](https://docs.aws.amazon.com/savingsplans/latest/userguide/plan-types.html)
+ [购买 Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-purchase.html)
**报告列**
+ Status
+ Region
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## AWS Savings Plans 针对亚马逊 A SageMaker I 的购买建议
**说明**
检查您对 Amazon A SageMaker I 的使用情况,并提供 Savings Plans 的购买建议。借助这些建议,您可以承诺保持一致的使用量(以每小时美元计量),以换取折扣费率。
此检查会在[付款人账户的付款人范围内和关联账户的关联范围内](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)分别生成建议。
Trusted Advisor 仅显示中最值得推荐的操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7kmr08n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:账户有一项由 Amazon A SageMaker I 成本优化中心确定的成本节约措施。
**推荐操作**
考虑[实施该建议](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-optimization-strategies.html)。有关实施这些建议的更多信息,请参阅 AWS 云财务管理 (CFM) [服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他资源**
+ [Savings Plans 是什么?](https://docs.aws.amazon.com/savingsplans/latest/userguide/what-is-savings-plans.html)
+ [Savings Plans 类型](https://docs.aws.amazon.com/savingsplans/latest/userguide/plan-types.html)
+ [购买 Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-purchase.html)
**报告列**
+ Status
+ Region
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## AWS Well-Architected 成本优化高风险问题
**说明**
在成本优化支柱中检查您的工作负载是否存在高风险问题 (HRIs)。此检查基于您的 AWS-Well Architected 审查。检查结果取决于您是否使用 AWS Well-Architected 完成了对工作负载的评估。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Wxdfp4B1L1`
**提醒条件**
+ 红色:在Well-Architect AWS ed的成本优化支柱中发现了至少一个活跃的高风险问题。
+ 绿色:在Well-Architect AWS ed的成本优化支柱中未发现活跃的高风险问题。
**Recommended Action(建议的操作)**
AWS Well-Architected 在评估工作负载时检测到了高风险问题。这些问题为降低风险和节省资金提供了机会。登录 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具以查看您的答案并采取措施解决活跃的问题。
**报告列**
+ Status
+ Region
+ 工作负载 ARN
+ 工作负载名称
+ 审核人姓名
+ 工作负载类型
+ 工作负载开始日期
+ 工作负载上次修改日期
+ 已确定 HRIs 进行成本优化的数量
+ 成本优化的 HRIs 已解决次数
+ 已回答的成本优化问题数量
+ 成本优化支柱中的问题总数
+ 上次更新时间
## 闲置的负载均衡器
**说明**
检查 Elastic Load Balancing 配置中有无闲置的负载均衡器。
配置的任何负载均衡器都会产生费用。如果负载均衡器没有关联的后端实例,或者如果网络流量受到严重限制,则无法有效地使用负载均衡器。此检查目前仅检查 ELB 服务中的经典负载均衡器类型。它不包括其他 ELB 类型(Application Load Balancer、Network Load Balancer)。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`hjLMh88uM8`
**提醒条件**
+ 黄色:负载均衡器没有活跃的后端实例。
+ 黄色:负载均衡器没有运行状况正常的后端实例。
+ 黄色:在过去 7 天内,负载均衡器每天的请求数少于 100 个。
**Recommended Action(建议的操作)**
如果您的负载均衡器没有活跃的后端实例,则考虑注册实例或删除负载均衡器。请参阅[使用负载均衡器注册 Amazon EC2 实例](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/US_DeReg_Reg_Instances.html#RegisteringInstances)或[删除负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-getting-started.html#delete-load-balancer)。
如果您的负载均衡器没有运行正常的后端实例,请参阅[对 Elastic Load Balancing 进行问题排查:运行状况检查配置](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ts-elb-healthcheck.html)。
如果您的负载均衡器的请求数较低,则考虑删除负载均衡器。请参阅[删除负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-getting-started.html#delete-load-balancer)。
**其他资源**
+ [管理负载均衡器](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/UserScenarios.html)
+ [对 Elastic Load Balancing 进行问题排查](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-troubleshooting.html)
**报告列**
+ Region
+ 负载均衡器名称
+ Reason
+ 预估每月节省
## 闲置 NAT 网关
**说明**
检查您的 NAT 网关配置和使用模式,以确定可能适合进行成本优化的闲置或未充分利用的 NAT 网关。
对于每种资源,仅 Trusted Advisor 显示来自的最高推荐操作 AWS 成本优化中心。
要使用此检查,您必须选择加入[成本优化中心](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html)和 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/account-opt-in.html)。
**检查 ID**
`c1z7kmr18n`
**来源**
`AWS 成本优化中心`
**提醒条件**
黄色:NAT 网关具有成本优化中心标识的成本节约措施。
**推荐操作**
考虑实施删除空闲的 NAT 网关的建议。有关实施此建议的更多信息,请参阅 AWS 云财务管理[服务成本优化手册](https://catalog.workshops.aws/awscff/en-US/playbooks)。
**其他资源**
+ [查看闲置资源建议](https://docs.aws.amazon.com/compute-optimizer/latest/ug/view-idle-recommendations.html)
+ [使用 NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-working-with.html)
+ [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)
**报告列**
+ Status
+ Region
+ Resource ID
+ Recommended Action(建议的操作)
+ 当前资源摘要
+ 建议的资源摘要
+ 预估每月成本
+ 预估每月节省
+ 上次刷新时间戳
## 不活跃 AWS Network Firewall
**说明**
检查您的 AWS Network Firewall 终端节点,并在 Network Firewall 显示为非活动状态时提醒您。
如果 Network Firewall 的所有端点在过去 30 天内都没有处理过任何数据,则会被视为处于非活动状态。Network Firewall 端点按小时收取费用。此检查会提醒您注意在过去 30 天内未处理过任何数据的 Network Firewall。最佳做法是,要么移除未使用的 Network Firewall,要么更新您的架构。
**检查 ID**
`c2vlfg0bfw`
**提醒条件**
+ 黄色:Network Firewall 在过去 30 天内处理的数据量为 0 字节。
+ 绿色:Network Firewall 在过去 30 天内处理的数据量超过 0 字节。
**Recommended Action(建议的操作)**
如果在过去 30 天内未使用 Network Firewall,则可以考虑将其删除。
如果使用中转网关进行 VPC 间通信,则可以考虑在集中式网络检查架构中部署您的 Network Firewall。这样可以降低非活动 Network Firewall 的每小时费用。
**其他资源**
[AWS Network Firewall 定价](https://aws.amazon.com/network-firewall/pricing/)
[使用检查部署模型 AWS Network Firewall](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/inspection-deployment-models-with-AWS-network-firewall-ra.pdf)
**报告列**
+ Status
+ Region
+ Network Firewall ARN
+ VPC ID
+ 子网
+ TotalBytesProcessed
+ 上次更新时间
## 非活动 VPC 接口端点
**说明**
检查您的 VPC 接口端点,并在端点显示为非活动状态时收到提醒。如果 VPC 接口端点在过去 30 天内都没有处理过任何数据,则会被视为处于非活动状态。VPC 接口端点会产生每小时费用和数据处理成本。此检查会提醒您注意过去 30 天内处理数据量为 0 的 VPC 接口端点。最佳做法是,要么移除未使用的 VPC 接口端点,要么更新您的架构。
**检查 ID**
`c2vlfg0jp6`
**提醒条件**
+ 黄色:VPC 接口端点在过去 30 天内处理的数据量为 0 字节。
+ 黄色:VPC 接口端点在过去 30 天内处理的数据量超过 0 字节
**Recommended Action(建议的操作)**
如果在过去 30 天内未使用 VPC 接口端点,则可以考虑将其删除。
如果使用中转网关进行 VPC 间通信,则可以考虑在集中式架构中部署您的 VPC 接口端点,以降低非活动 VPC 接口端点的每小时费用。
**其他资源**
+ [AWS PrivateLink 定价](https://aws.amazon.com/privatelink/pricing/)
+ [VPC 私有端点的集中式访问](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html)
**报告列**
+ Status
+ Region
+ VPC 端点 ID
+ VPC ID
+ 子网 ID
+ 服务名称
+ TotalBytesProcessed
+ 上次更新时间
## 非活动网关负载均衡器端点
**说明**
检查您的网关负载均衡器端点,并在端点显示为非活动状态时收到提醒。如果网关负载均衡器端点在过去 30 天内都没有处理过任何数据,则会被视为未得到充分利用。网关负载均衡器端点会产生每小时费用和数据处理费用。此检查会提醒您注意过去 30 天内处理数据量为 0 的网关负载均衡器端点。建议您要么移除未使用的网关负载均衡器端点,要么更新您的架构。
**检查 ID**
`c2vlfg0k35`
**提醒条件**
+ 黄色:网关负载均衡器端点在过去 30 天内处理的数据量为 0 字节
+ 绿色:网关负载均衡器端点在过去 30 天内处理的数据量超过 0 字节
**Recommended Action(建议的操作)**
如果网关负载均衡器端点在过去 30 天内未被使用,请考虑删除该 VPC 端点。
如果使用中转网关进行 VPC 间通信,则可以考虑在集中式网络检查架构中部署您的网关负载均衡器端点,以降低非活动网关负载均衡器端点的每小时费用。
**其他资源**
[AWS PrivateLink 定价](https://aws.amazon.com/vpc/pricing/)
[使用 AWS Gateway Load Balancer 的集中检查架构和 AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway)
**报告列**
+ Status
+ Region
+ VPC 端点 ID
+ VPC ID
+ 子网 ID
+ 服务名称
+ TotalBytesProcessed
+ 上次更新时间
## 非活动 NAT 网关
**说明**
检查您的 NAT 网关中是否有非活动网关。如果 NAT 网关在过去 30 天内没有处理过任何数据(0 字节),则会被视为处于非活动状态。NAT 网关会产生每小时费用和数据处理费用。
**检查 ID**
`c2vlfg022t`
**提醒条件**
+ 黄色:NAT 网关在过去 30 天内处理的数据量为 0 字节
+ 绿色:NAT 网关在过去 30 天内处理的数据量超过 0 字节
**Recommended Action(建议的操作)**
对于过去 30 天内未使用且非 VPC 外部网络访问所必需的 NAT 网关,可考虑将其删除。
如果使用中转网关进行 VPC 间通信,则可以考虑为出站到互联网的架构部署集中式 NAT 网关。这样可以降低非活动 NAT 网关的每小时成本。
**其他资源**
[NAT 网关定价](https://aws.amazon.com/vpc/pricing/)
[集中式出站访问互联网](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-egress-to-internet.html)
**报告列**
+ Status
+ Region
+ NAT 网关 ID
+ 子网 ID
+ VPC ID
+ TotalBytesFromDest
+ TotalBytesFromSrc
+ TotalBytes
+ 上次更新时间
## 低利用率 Amazon EC2 实例
**说明**
这是一项旧版检查。建议您使用新检查(检查 ID:[c1z7kmr00n](#ec2-cost-opt-for-instances)),该检查可提供额外的自定义建议。
检查过去 14 天内随时运行的 Amazon Elastic Compute Cloud (Amazon EC2) 实例。如果在至少 4 天内,每日 CPU 使用率为 10% 或更低,网络 I/O 为 5 MB 或更低,则此检查会提醒您。
正在运行的实例会产生小时使用费。尽管有些场景可能会导致设计上的利用率低,但您通常可以通过管理实例的数量和大小来降低成本。
预估每月节省通过使用按需实例的当前使用率和实例可能未充分利用的预计天数来计算。如果您使用的是预留实例或 Spot 实例,或者实例未运行一整天,则实际节省额将有所不同。要获取每日利用率数据,请下载此检查的报告。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`Qch7DwouX1`
**提醒条件**
黄色:在过去 14 天中至少 4 天内,实例的日平均 CPU 使用率为 10% 或更低,网络 I/O 容量不超过 5 MB。
**Recommended Action(建议的操作)**
考虑停止或终止使用率较低的实例,或通过使用 Auto Scaling 增加实例数量。有关更多信息,请参阅[停止和启动实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html)、[终止实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html)和[什么是 Auto Scaling?](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/WhatIsAutoScaling.html)
**其他资源**
+ [监控 Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-monitoring.html)
+ [实例元数据和用户数据](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AESDG-chapter-instancedata.html)
+ [亚马逊 CloudWatch 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)
+ [Auto Scaling 开发人员指南](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/WhatIsAutoScaling.html)
**报告列**
+ 区域/可用区
+ 实例 ID
+ 实例名称
+ 实例类型
+ 预估每月节省
+ 14 天平均 CPU 使用率
+ 网络 I/O 14 天平均值
+ 低使用率天数
## 未关联的弹性 IP 地址
**说明**
检查与正在运行的 Amazon Elastic Compute Cloud (Amazon EC2) 实例没有关联的弹性 IP 地址 (EIP)。
EIPs 是专为动态云计算设计的静态 IP 地址。与传统的静态 IP 地址不同,通过将公有 IP 地址重新映射到账户中的另一个实例来 EIPs 掩盖实例或可用区的故障。针对与正在运行的实例无关的 EIP,将收取名义费用。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`Z4AUBRNSmz`
**提醒条件**
黄色:分配的弹性 IP 地址(EIP)没有与正在运行的 Amazon EC2 实例关联。
**Recommended Action(建议的操作)**
将 EIP 与运行的活跃实例关联,或释放未关联的 EIP。有关更多信息,请参阅[将弹性 IP 地址与不同的运行实例关联](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-associating-different)和[释放弹性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing)。
**其他资源**
[弹性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html)
**报告列**
+ Region
+ IP 地址
## 未充分利用的 Amazon EBS 卷
**说明**
检查 Amazon Elastic Block Store (Amazon EBS) 卷配置,并在卷未充分利用时发出警告。
在创建卷时开始收费。如果卷在一段时间内保持未连接状态或写入活动非常低(不包括启动卷),则该卷未被充分利用。我们建议您删除未充分利用的卷以降低成本。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`DAvU99Dc4C`
**提醒条件**
黄色:卷处于未连接状态或过去 7 天里卷每天的 IOPS 小于 1。
**Recommended Action(建议的操作)**
考虑创建快照并删除卷以减少费用。有关更多信息,请参阅[创建 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html)和[删除 Amazon EBS 卷](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-deleting-volume.html)。
**其他资源**
+ [Amazon Elastic Block Store(Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)
+ [监控您的卷状态](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-volume-status.html)
**报告列**
+ Region
+ 卷 ID
+ 卷名
+ 卷类型
+ 卷大小
+ 每月存储成本
+ 快照 ID
+ 快照名称
+ 快照期限
**注意**
如果您选择使用账户 AWS Compute Optimizer,我们建议您改用 Amazon EBS 容量过剩检查。有关更多信息,请参阅 [选择使用 AWS Compute Optimizer 支 Trusted Advisor 票](compute-optimizer-with-trusted-advisor.md)。
## Underutilized Amazon Redshift Clusters
**说明**
检查您的 Amazon Redshift 配置是否存在似乎未充分利用的集群。
如果 Amazon Redshift 集群长时间没有连接,或者使用的 CPU 量较少,您可以使用成本较低的选项,例如缩小集群规模或关闭集群并拍摄最终快照。即使您删除集群,最终快照也会保留。
**检查 ID**
`G31sQ1E9U`
**提醒条件**
+ 黄色:正在运行的集群在过去 7 天内无连接。
+ 黄色:在过去 7 天 99% 的时间内,正在运行的集群的集群级平均 CPU 使用率低于 5%。
**Recommended Action(建议的操作)**
考虑关闭此集群并拍摄最终快照,或者减小集群的大小。请参阅[关闭和删除集群](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html#rs-mgmt-shutdown-delete-cluster)和[调整集群大小](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html#cluster-resize-intro)。
**其他资源**
[亚马逊 CloudWatch 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/)
**报告列**
+ Status
+ Region
+ Cluster
+ 实例类型
+ Reason
+ 预估每月节省
# 性能
通过检查服务配额(以前称为限制)来提高服务的性能,以便您可以利用预置吞吐量、监控过度使用的实例并检测任何未使用的资源。
您可以使用以下性能类别检查。
**Contents**
+ [
## Amazon Aurora 数据库集群的读取工作负载预调配不足
](#amazon-aurora-db-cluster-under-provisioned)
+ [
## Amazon DynamoDB Auto Scaling 未启用
](#dynamodb-auto-scaling-not-enabled)
+ [
## Amazon EBS 优化未启用
](#ebs-optimization-not-enabled)
+ [
## Amazon EBS 预置 IOPS (SSD) 卷附件配置
](#EBS-ProvisionedIOPSRule)
+ [
## Amazon EBS 预调配不足的卷
](#amazon-ebs-under-provisioned-volumes)
+ [
## Amazon EC2 Auto Scaling 组并未与启动模板关联
](#ec2-auto-scaling-no-launch-template)
+ [
## Amazon EC2 至 EBS 的吞吐量优化
](#ebs-throughput-optimization)
+ [
## EC2 虚拟化类型为半虚拟化
](#ec2-virtualization-type-is-paravirtual)
+ [
## Amazon ECS 内存硬限制
](#ecs-memory-hard-limit)
+ [
## Amazon EFS 吞吐量模式优化
](#amazon-efs-throughput-mode-optimization)
+ [
## Amazon RDS autovacuum 参数已关闭
](#rds-autovacuum-off)
+ [
## Amazon RDS 数据库集群仅支持高达 64 TiB 的卷
](#rds-db-clusters-64-tib-volume)
+ [
## 集群中具有异构实例类的 Amazon RDS 数据库实例
](#rds-db-instances-heterogeneous-class)
+ [
## 集群中具有异构实例大小的 Amazon RDS 数据库实例
](#rds-db-instances-heterogeneous-size)
+ [
## Amazon RDS 数据库内存参数与默认值不同
](#rds-db-memory-parameters-diverging)
+ [
## Amazon RDS enable\$1indexonlyscan 参数已关闭
](#rds-enable-indexonlyscan-parameter-off)
+ [
## Amazon RDS enable\$1indexscan 参数已关闭
](#rds-enable-indexscan-parameter-off)
+ [
## Amazon RDS general\$1logging 参数已开启
](#rds-general-logging-on)
+ [
## Amazon RDS InnoDB\$1Change\$1Buffering 参数使用的值小于最优值
](#rds-innodb-parameter-less-than-optimal)
+ [
## Amazon RDS innodb\$1open\$1files 参数偏低
](#rds-innodb-open-files-parameter-low)
+ [
## Amazon RDS innodb\$1stats\$1persistent 参数已关闭
](#rds-innodb-stats-persistent-parameter-off)
+ [
## Amazon RDS 实例的系统容量预调配不足
](#amazon-rds-under-provisioned-system-capacity)
+ [
## Amazon RDS 磁卷正在使用中
](#rds-magentic-volume-in-use)
+ [
## Amazon RDS 参数组不使用大页
](#rds--parameter-groups-no-huge-pages)
+ [
## Amazon RDS 查询缓存参数已开启
](#rds-cache-parameter-on)
+ [
## 需要更新 Amazon RDS 资源实例类
](#rds-resources-instance-class-update)
+ [
## 需要更新 Amazon RDS 资源主要版本
](#rds-resources-major-version-update)
+ [
## Amazon RDS 资源使用的是包含许可证的终止支持引擎版本
](#rds-resources-using-eos-engine)
+ [
## Amazon Route 53 别名资源记录集
](#r53-record-sets-alias)
+ [
## AWS Lambda 内存大小的函数配置不足
](#aws-lambda-under-provisioned-functions-memory-size)
+ [
## AWS Lambda 未配置并发限制的函数
](#lambda-functions-without-concurrency-limit)
+ [
## AWS Well-Architected 性能高风险问题
](#well-architected-high-risk-issues-performance)
+ [
## CloudFront 备用域名
](#cloudfront-domain-name-check)
+ [
## CloudFront 内容交付优化
](#cloudfront-content-delivery-optimization)
+ [
## CloudFront 标题转发和缓存命中率
](#cloudfront-forwarded-headers)
+ [
## 高 CPU 使用率 Amazon EC2 实例
](#high-utilization-amazon-ec2-instances)
## Amazon Aurora 数据库集群的读取工作负载预调配不足
**说明**
检查 Amazon Aurora 数据库集群是否有资源支持读取工作负载。
**检查 ID**
` c1qf5bt038`
**提醒条件**
黄色:
数据库读取量增加:数据库负载较高,且数据库读取的行数超过写入或更新的行数。
**Recommended Action(建议的操作)**
建议您优化查询以降低数据库负载,或者向数据库集群添加读取器数据库实例,实例类和大小与集群中的写入器数据库实例相同。当前配置中有至少一个数据库实例的数据库负载持续很高,这主要是由读取操作造成的。通过向集群添加另一个数据库实例并将读取工作负载定向到数据库集群只读端点来分配这些操作。
**其他资源**
Aurora 数据库集群具有一个用于只读连接的读取器端点。此端点使用负载均衡来管理对数据库集群中的数据库负载影响最大的查询。读取器端点将这些语句定向到 Aurora 只读副本,从而降低主实例的负载。此外,读取器端点还会根据集群中 Aurora 只读副本的数量,扩展处理并发 SELECT 查询的容量。
有关更多信息,请参阅[将 Aurora 副本添加到数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html)以及[管理 Aurora 数据库集群的性能和扩展](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Performance.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 数据库读取量增加(计数)
+ 上次检测周期
+ 上次更新时间
## Amazon DynamoDB Auto Scaling 未启用
**说明**
检查您的 Amazon DynamoDB 表和全局二级索引是否启用了自动扩缩或按需。
Amazon DynamoDB Auto Scaling 使用 Application Auto Scaling 服务代表您动态调整预置的吞吐能力,以响应实际的流量模式。这将允许表或全局二级索引增大其预置的读取和写入容量以处理突发流量,而不进行限制。当工作负载减少时,Application Auto Scaling 可以减少吞吐量,这样您就无需为未使用的预置容量付费。
您可以使用 AWS Config 规则中的参数调整检查配置。
有关更多信息,请参阅[使用 DynamoDB Auto Scaling 自动管理吞吐能力](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz136`
**来源**
AWS Config 托管规则: dynamodb-autoscaling-enabled
**提醒条件**
黄色:未为您的 DynamoDB and/or 表全局二级索引启用自动缩放。
**Recommended Action(建议的操作)**
除非您已经有一种机制可以根据您的工作负载要求自动扩展 DynamoDB and/or 表和全局二级索引的预配置吞吐量,否则请考虑为您的 Amazon DynamoDB 表启用自动扩展。
有关更多信息,请参阅将 d [ynamoDB AWS 管理控制台 与 auto scalingp 配合使用](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html)。
**其他资源**
[使用 DynamoDB Auto Scaling 自动管理吞吐能力](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon EBS 优化未启用
**说明**
检查您的 Amazon EC2 实例是否已启用 Amazon EBS 优化。
Amazon EBS 优化的实例使用优化的配置堆栈,为来自您的实例的 Amazon EBS I/O. This optimization provides the best performance for your Amazon EBS volumes by minimizing contention between Amazon EBS I/O 和其他流量提供额外的专用容量。
有关更多信息,请参阅 [Amazon EBS 优化的实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz142`
**来源**
AWS Config 托管规则: ebs-optimized-instance
**提醒条件**
黄色:未在支持的 Amazon EC2 实例上启用 Amazon EBS 优化。
**Recommended Action(建议的操作)**
在支持的实例上开启 Amazon EBS 优化。
有关更多信息,请参阅[在启动时启用 EBS 优化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html#enable-ebs-optimization)。
**其他资源**
[Amazon EBS 优化的实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-optimized.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon EBS 预置 IOPS (SSD) 卷附件配置
**说明**
检查附加到未经过 EBS 优化的 Amazon EBS 可优化 Amazon Elastic Compute Cloud (Amazon EC2) 实例的预置 IOPS (SSD) 卷。
Amazon Elastic Block Store (Amazon EBS) 中的预置 IOPS (SSD) 卷仅在附加到 EBS 优化实例时才能提供预期的性能。
**检查 ID**
`PPkZrjsH2q`
**提醒条件**
黄色:可通过 EBS 优化的 Amazon EC2 实例具有已附加的预调配 IOPS(SSD)卷,但实例未经过 EBS 优化。
**Recommended Action(建议的操作)**
创建经 EBS 优化的新实例,分离卷,并重新将卷附加到新实例。有关更多信息,请参阅 [Amazon EBS 优化的实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSOptimized.html)和[将 Amazon EBS 卷附加到实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-attaching-volume.html)。
**其他资源**
+ [Amazon EBS 卷类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumeTypes.html)
+ [Amazon EBS 卷性能](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSPerformance.html)
**报告列**
+ Status
+ 区域/可用区
+ 卷 ID
+ 卷名
+ 卷附件
+ 实例 ID
+ 实例类型
+ EBS 优化
## Amazon EBS 预调配不足的卷
**说明**
检查在回顾期内任何时刻运行过的 Amazon Elastic Block Store(Amazon EBS)卷。如果有任何 EBS 卷相比您的工作负载而言预调配不足,则该检查会提醒您。持续的高利用率可能代表已经优化的稳定性能,但也可能说明应用程序没有足够的资源。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`COr6dfpM04`
**提醒条件**
黄色:回顾期间预置不足的 EBS 卷。为了确定卷是否配置不足,我们会考虑所有默认 CloudWatch 指标(包括 IOPS 和吞吐量)。用于识别资源不足的 EBS 卷的算法遵循 AWS 最佳实践。识别新模式后,算法会更新。
**Recommended Action(建议的操作)**
考虑扩大使用率高的卷。
有关更多信息,请参阅 [选择使用 AWS Compute Optimizer 支 Trusted Advisor 票](compute-optimizer-with-trusted-advisor.md)。
**报告列**
+ Status
+ Region
+ 卷 ID
+ 卷类型
+ 卷大小(GB)
+ 卷基准 IOPS
+ 卷爆增 IOPS
+ 卷爆增吞吐量
+ 推荐的卷类型
+ 推荐的卷大小(GB)
+ 推荐的卷基准 IOPS
+ 推荐的卷爆增 IOPS
+ 推荐的卷基准吞吐量
+ 推荐的卷爆增吞吐量
+ 回顾期(天)
+ 性能风险
+ 上次更新时间
## Amazon EC2 Auto Scaling 组并未与启动模板关联
**说明**
检查 Amazon EC2 Auto Scaling 组是否通过 Amazon EC2 启动模板创建。
使用启动模板创建您的 Amazon EC2 Auto Scaling 组,以确保访问最新的自动扩缩组功能和改进。例如,版本控制和多种实例类型。
有关更多信息,请参阅[启动模板](https://docs.aws.amazon.com/autoscaling/ec2/userguide/launch-templates.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz102`
**来源**
AWS Config 托管规则: autoscaling-launch-template
**提醒条件**
黄色:Amazon EC2 Auto Scaling 组并未与有效的启动模板关联。
**Recommended Action(建议的操作)**
使用 Amazon EC2 启动模板创建 Amazon EC2 Auto Scaling 组。
有关更多信息,请参阅[为自动扩缩组创建启动模板](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html)。
**其他资源**
+ [启动模板](https://docs.aws.amazon.com/autoscaling/ec2/userguide/launch-templates.html)
+ [创建启动模板](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-launch-template.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon EC2 至 EBS 的吞吐量优化
**说明**
检查其性能可能受其连接到的 Amazon EC2 实例的最大吞吐量能力影响的 Amazon EBS 卷。
要优化性能,您应确保 Amazon EC2 实例的最大吞吐量大于所附加的 EBS 卷的最大总吞吐量。此检查计算前一天内每个 EBS 优化实例(基于协调世界时 (UTC))每五分钟的 EBS 卷吞吐量,并在超过一半时段的使用率大于 EC2 实例最大吞吐量的 95% 时提醒您。
**检查 ID**
`Bh2xRR2FGH`
**提醒条件**
黄色:在前一天(UTC)一半以上的时间中,附加到 EC2 实例的 EBS 卷的总吞吐量(MB/秒)超过了实例与 EBS 卷之间发布吞吐量的 95%。
**Recommended Action(建议的操作)**
将您的 Amazon EBS 卷的最大吞吐量(请参阅 [Amazon EBS 卷类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumeTypes.html))与其附加到的 Amazon EC2 实例的最大吞吐量进行比较。请参阅[支持 EBS 优化的实例类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSOptimized.html#ebs-optimization-support)。
考虑将您的卷附加到能支持更高 Amazon EBS 吞吐量的实例以获得最佳性能。
**其他资源**
+ [Amazon EBS 卷类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumeTypes.html)
+ [Amazon EBS 优化的实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSOptimized.html)
+ [监控您的卷状态](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-volume-status.html)
+ [将 Amazon EBS 卷附加到实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-attaching-volume.html)
+ [将 Amazon EBS 卷与实例分离](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-detaching-volume.html)
+ [删除 Amazon EBS 卷](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-deleting-volume.html)
**报告列**
+ Status
+ Region
+ 实例 ID
+ 实例类型
+ 接近最大时间
## EC2 虚拟化类型为半虚拟化
**说明**
检查 Amazon EC2 实例的虚拟化类型是否为半虚拟化。
最佳做法是尽可能使用硬件虚拟机(HVM)实例而不是半虚拟化实例。这是因为硬件虚拟机虚拟化的增强以及HVM的PV驱动程序的可用性 AMIs,这缩小了PV和HVM客户机之间历史上存在的性能差距。请务必注意,当前一代的实例类型不支持 PV AMIs。因此,选择 HVM 实例类型可提供最佳性能,并保持与现代硬件的兼容性。
有关更多信息,请参阅 [Linux AMI 虚拟化类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz148`
**来源**
AWS Config 托管规则:ec2-paravirtual-instance-check
**提醒条件**
黄色:Amazon EC2 实例的虚拟化类型为半虚拟化。
**Recommended Action(建议的操作)**
对您的 Amazon EC2 实例使用 HVM 虚拟化,并使用兼容的实例类型。
有关选择适当虚拟化类型的信息,请参阅[更改实例类型的兼容性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/resize-limitations.html)。
**其他资源**
[更改实例类型的兼容性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/resize-limitations.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon ECS 内存硬限制
**说明**
检查 Amazon ECS 任务定义是否为其容器定义设置了内存限制。为任务中的所有容器预留的内存总量必须低于任务内存值。
有关更多信息,请参阅[容器定义](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definitions)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz176`
**来源**
AWS Config 托管规则: ecs-task-definition-memory-硬限制
**提醒条件**
黄色:未设置 Amazon ECS 内存硬限制。
**Recommended Action(建议的操作)**
为您的 Amazon ECS 任务分配内存,以避免内存不足。如果容器试图超出指定的内存,则容器将终止。
有关更多信息,请参阅[如何在 Amazon ECS 中为任务分配内存?](https://repost.aws/knowledge-center/allocate-ecs-memory-tasks)。
**其他资源**
[集群预留](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch-metrics.html#cluster_reservation)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon EFS 吞吐量模式优化
**说明**
检查 Amazon EFS 文件系统当前是否已配置为使用突增吞吐量模式。Amazon EFS 突增吞吐量使用 “积分” 来表示性能超过基准吞吐量( KiB/s 每 GiB 50 个)。当信用额度耗尽后,性能会限制在基准吞吐量水平,这可能导致用户面临运行缓慢、应用程序故障及超时等问题。要了解有关突增模式的更多信息,请参阅《Amazon EFS 用户指南》**中的[吞吐量模式](https://docs.aws.amazon.com/efs/latest/ug/performance.html#throughput-modes)
**检查 ID**
`c1dfprch02`
**提醒条件**
+ 黄色:文件系统使用的是突增吞吐量模式。
**Recommended Action(建议的操作)**
如果您的突增吞吐量信用额度较低或已耗尽,请考虑切换到预置或弹性吞吐量模式,以便为您的用户和应用程序提供所需的吞吐量。使用预置吞吐量时,您可以设置工作负载所需的吞吐量,并且为文件系统启用的吞吐量付费。如果您不确定自身的吞吐量需求,则可以使用弹性吞吐量模式,在这种模式下,吞吐量会随工作负载弹性扩展,并且您只需为实际使用量付费(按总传输数据量计量)。您可更新文件系统配置,以便随时在不同的吞吐量模式之间切换。要了解有关吞吐量定价的更多信息,请参阅 [Amazon EFS 定价](https://aws.amazon.com/efs/pricing/)。您也可以使用 [AWS 定价计算器](https://calculator.aws/#/createCalculator/EFS) 估算成本。
**其他资源**
+ [吞吐量激增](https://docs.aws.amazon.com/efs/latest/ug/performance.html#bursting)
+ [Amazon EFS 定价](https://aws.amazon.com/efs/pricing/)
+ [AWS 定价计算器](https://calculator.aws/#/createCalculator/EFS)
**报告列**
+ Status
+ Region
+ EFS 文件系统 ID
+ 吞吐量模式
+ 上次更新时间
## Amazon RDS autovacuum 参数已关闭
**说明**
数据库实例的 autovacuum 参数已关闭。关闭 autovacuum 会增加表和索引膨胀并影响性能。
建议您在数据库参数组中开启 autovacuum。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt025`
**提醒条件**
黄色:数据库参数组的自动清理功能已关闭。
**Recommended Action(建议的操作)**
在数据库参数组中开启 autovacuum 参数。
**其他资源**
PostgreSQL 数据库需要定期维护,称为“清理”。PostgreSQL 中的自动清理功能可以自动运行 **VACCUUM** 和 **ANALYZE** 命令。该过程会收集表统计信息,并删除死行。当自动清理功能关闭时,表和索引膨胀、统计信息过期等问题会加剧,进而影响数据库性能。
有关更多信息,请参阅[了解 Amazon RDS for PostgreSQL 环境中的自动清理](https://aws.amazon.com/blogs/database/understanding-autovacuum-in-amazon-rds-for-postgresql-environments/)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS 数据库集群仅支持高达 64 TiB 的卷
**说明**
您的数据库集群支持最高 64TiB 的卷。最新引擎版本支持高达 128 TiB 的卷。建议您将数据库集群的引擎版本升级到最新版本,以支持高达 128 TiB 的卷。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt017`
**提醒条件**
黄色:数据库集群仅支持高达 64 TiB 的卷。
**Recommended Action(建议的操作)**
升级数据库集群的引擎版本以支持高达 128TiB 的卷。
**其他资源**
当您在单个 Amazon Aurora 数据库集群上纵向扩展应用程序时,如果存储上限为 128 TiB,您可能不会达到该限制。提高后的存储上限有助于避免删除数据或在多个实例间拆分数据库。
有关更多信息,请参阅 [Amazon Aurora 大小限制](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/CHAP_Limits.html#RDS_Limits.FileSize.Aurora)。
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 当前引擎版本
+ 建议值
+ 上次更新时间
## 集群中具有异构实例类的 Amazon RDS 数据库实例
**说明**
建议您对数据库集群中的所有数据库实例使用相同的数据库实例类和大小。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt009`
**提醒条件**
红色:数据库集群中包含具有异构实例类的数据库实例。
**Recommended Action(建议的操作)**
对数据库集群中的所有数据库实例使用相同的实例类和大小。
**其他资源**
当数据库集群中的数据库实例使用不同的数据库实例类或大小时,这些数据库实例的工作负载可能会出现不均衡。在失效转移期间,其中一个读取器数据库实例将更改为写入器数据库实例。如果数据库实例使用相同的数据库实例类和大小,数据库集群中的这些数据库实例的工作负载可能会出现不均衡。
有关更多信息,请参阅 [Aurora 副本](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Replication.html#Aurora.Replication.Replicas)。
**报告列**
+ Status
+ Region
+ 资源
+ 建议值
+ 引擎名称
+ 上次更新时间
## 集群中具有异构实例大小的 Amazon RDS 数据库实例
**说明**
建议您对数据库集群中的所有数据库实例使用相同的数据库实例类和大小。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt008`
**提醒条件**
红色:数据库集群包含具有异构实例大小的数据库实例。
**Recommended Action(建议的操作)**
对数据库集群中的所有数据库实例使用相同的实例类和大小。
**其他资源**
当数据库集群中的数据库实例使用不同的数据库实例类或大小时,这些数据库实例的工作负载可能会出现不均衡。在失效转移期间,其中一个读取器数据库实例将更改为写入器数据库实例。如果数据库实例使用相同的数据库实例类和大小,数据库集群中的这些数据库实例的工作负载可能会出现不均衡。
有关更多信息,请参阅 [Aurora 副本](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Replication.html#Aurora.Replication.Replicas)。
**报告列**
+ Status
+ Region
+ 资源
+ 建议值
+ 引擎名称
+ 上次更新时间
## Amazon RDS 数据库内存参数与默认值不同
**说明**
数据库实例的内存参数与默认值明显不同。这些设置可能会影响性能并导致错误。
建议您将数据库实例的自定义内存参数重置为数据库参数组中的默认值。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt020`
**提醒条件**
黄色:数据库参数组的内存参数与默认值存在显著差异。
**Recommended Action(建议的操作)**
将内存参数重置为其默认值。
**其他资源**
有关更多信息,请参阅[为 Amazon RDS for MySQL 配置参数的最佳实践,第 1 部分:与性能相关的参数](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS enable\$1indexonlyscan 参数已关闭
**说明**
关闭仅限索引的扫描计划类型时,查询计划程序或优化程序无法使用该类型。
建议您将 **enable\$1indexonlyscan** 参数值设置为 1。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt028`
**提醒条件**
黄色:数据库参数组的 **enable\$1indexonlyscan** 参数已关闭。
**Recommended Action(建议的操作)**
将 **enable\$1indexonlyscan** 参数设置为 1。
**其他资源**
当您关闭 **enable\$1indexonlyscan** 参数时,会导致查询计划程序无法选择最优执行计划。查询计划程序会使用其他计划类型(例如索引扫描),这可能会增加查询成本并延长执行时间。仅索引扫描计划类型无需访问表数据即可检索数据。
有关更多信息,请参阅 PostgreSQL 文档网站上的 [enable\$1indexonlyscan(布尔值)](https://www.postgresql.org/docs/current/runtime-config-query.html#GUC-ENABLE-INDEXONLYSCAN)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS enable\$1indexscan 参数已关闭
**说明**
关闭索引扫描计划类型时,查询计划程序或优化程序无法使用该类型。
建议您将 **enable\$1indexscan** 参数值设置为 1。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt029`
**提醒条件**
黄色:数据库参数组的 **enable\$1indexscan** 参数已关闭。
**Recommended Action(建议的操作)**
将 **enable\$1indexscan** 参数设置为 1。
**其他资源**
当您关闭 **enable\$1indexscan** 参数时,会导致查询计划程序无法选择最优执行计划。查询计划程序会使用其他计划类型(例如索引扫描),这可能会增加查询成本并延长执行时间。
有关更多信息,请参阅 PostgreSQL 文档网站上的 [enable\$1indexscan(布尔值)](https://www.postgresql.org/docs/current/runtime-config-query.html#GUC-ENABLE-INDEXSCAN)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS general\$1logging 参数已开启
**说明**
您的数据库实例已开启常规日志记录。在排查数据库问题时,此设置非常有用。但是,开启常规日志会增加 I/O 操作量和分配的存储空间,这可能会导致争用和性能降低。
请检查您对常规日志记录使用情况的要求。建议您将 **general\$1logging** 参数值设置为 **0**。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt037`
**提醒条件**
黄色:数据库参数组的 **general\$1logging** 参数已开启。
**Recommended Action(建议的操作)**
请检查您对常规日志记录使用情况的要求。如果它不是强制性的,建议您将 **general\$1logging** 参数值设置为 **0**。
**其他资源**
当 **general\$1logging** 参数值设置为 1 时,会开启常规查询日志。常规查询日志包含数据库服务器操作的记录。当客户端连接或断开连接时,服务器会将信息写入此日志,并且日志包含从客户端收到的每个 SQL 语句。当您怀疑客户端存在错误且需要查找客户端发送到数据库服务器的信息时,常规查询日志非常有用。
有关更多信息,请参阅 [RDS for MySQL 数据库日志概述](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MySQL.LogFileSize.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS InnoDB\$1Change\$1Buffering 参数使用的值小于最优值
**说明**
更改缓冲将允许 MySQL 数据库实例推迟维护二级索引所需的一些写入操作。此功能在磁盘速度较慢的环境中非常有用。更改缓冲配置稍微提高了数据库性能,但在升级期间导致了崩溃恢复延迟和长时间关机。
建议您将 **innodb\$1change\$1buffering** 参数的值设置为 **NONE**。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt021`
**提醒条件**
黄色:数据库参数组的 **innodb\$1change\$1buffering** 参数设置为较低的最优值。
**Recommended Action(建议的操作)**
在数据库参数组中,将 **innodb\$1change\$1buffering** 参数值设置为 **NONE**。
**其他资源**
有关更多信息,请参阅[为 Amazon RDS for MySQL 配置参数的最佳实践,第 1 部分:与性能相关的参数](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS innodb\$1open\$1files 参数偏低
**说明**
innodb\$1open\$1files 参数控制 InnoDB 一次可打开的文件数量。当 mysqld 运行时,InnoDB 会打开所有日志和系统表空间文件。
对于您的数据库实例,InnoDB 一次可打开的最大文件数的值较低。建议您将 innodb\$1open\$1files 参数设置为最小值 65。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt033`
**提醒条件**
黄色:数据库参数组的 InnoDB 打开文件设置配置错误。
**Recommended Action(建议的操作)**
将 innodb\$1open\$1files 参数设置为最小值 65。
**其他资源**
innodb\$1open\$1files 参数控制 InnoDB 一次可打开的文件数量。当 mysqld 运行时,InnoDB 会将所有日志文件和系统表空间文件保持在打开状态。如果使用 file-per-table存储模型,InnoDB还需要打开几个.ibd文件。当 innodb\$1open\$1files 设置偏低时,会影响数据库性能,数据库服务器可能无法启动。
有关更多信息,请参阅文档网站上的 [InnoDB启动选项和系统变量-innodb\$1open\$1files](https://dev.mysql.com/doc/refman/5.7/en/innodb-parameters.html#sysvar_innodb_open_files)。 MySql
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS innodb\$1stats\$1persistent 参数已关闭
**说明**
您的数据库实例未配置为将 InnoDB 统计信息持久保存到磁盘上。如果不存储统计数据,则每次实例重启和访问表时都会重新计算统计数据。这会导致查询执行计划的差异。您可以在表级别修改此全局参数的值。
建议您将 **innodb\$1stats\$1persistent** 参数值设置为 **ON**。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt032`
**提醒条件**
黄色:数据库参数组的优化器统计信息未持久保存到磁盘上。
**Recommended Action(建议的操作)**
将 **innodb\$1stats\$1persistent** 参数值设置为 **ON**。
**其他资源**
如果将 **innodb\$1stats\$1persistent** 参数设置为 **ON**,则在实例重新启动时会保留优化器统计信息。这样提升执行计划的稳定性和查询性能一致性。在创建或修改表时,可以使用 **STATS\$1PERSISTENT** 子句在表级别修改全局统计数据的持久性。
有关更多信息,请参阅[为 Amazon RDS for MySQL 配置参数的最佳实践,第 1 部分:与性能相关的参数](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS 实例的系统容量预调配不足
**说明**
检查 Amazon RDS 实例或 Amazon Aurora 数据库实例是否具备运行所需的系统容量。
**检查 ID**
` c1qf5bt039`
**提醒条件**
黄色:
O ut-of-memory kills:当数据库主机上的进程由于操作系统级别的内存减少而停止时,内存不足 (OOM) 杀死计数器会增加。
过度交换:os.memory.swap.in 和 os.memory.swap.out 指标值过高。
**Recommended Action(建议的操作)**
建议您调整查询以使用更少的内存,或者使用所分配内存更高的数据库实例类型。当实例内存不足时,会影响数据库性能。
**其他资源**
Out-of-memory 检测到杀死:当主机上运行的进程需要的内存超过操作系统的实际可用内存时,Linux 内核会调用内存不足 (OOM) Killer。在这种情况下,OOM 杀手会检查所有正在运行的进程,并停止一个或多个进程,以释放系统内存并保持系统运行。
检测到交换:当数据库主机的内存不足时,操作系统会在交换空间中向磁盘发送几个最少使用的页面。此卸载过程会对数据库性能产生影响。
有关更多信息,请参阅 [Amazon RDS 实例类型](https://aws.amazon.com/rds/instance-types/)和[扩展 Amazon RDS 实例](https://aws.amazon.com/blogs/database/scaling-your-amazon-rds-instance-vertically-and-horizontally/)。
**报告列**
+ Status
+ Region
+ 资源
+ Out-of-memory 击杀(计数)
+ 过度交换(计数)
+ 上次检测周期
+ 上次更新时间
## Amazon RDS 磁卷正在使用中
**说明**
您的数据库实例在使用磁性介质存储。对于大多数数据库实例,不建议使用磁性介质存储。选择其它存储类型:通用型(SSD)或预调配 IOPS。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt000`
**提醒条件**
黄色:Amazon RDS 资源使用的是磁性存储。
**Recommended Action(建议的操作)**
选择其它存储类型:通用型(SSD)或预调配 IOPS。
**其他资源**
磁性存储是较早一代的存储类型。为了满足新的存储要求,推荐使用通用型 (SSD) 或预调配 IOPS 存储类型。这些存储类型能提供更高、更稳定的性能,同时拥有更优的存储容量选项。
有关更多信息,请参阅[上一代卷](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-volume-types.html#vol-type-prev)。
**报告列**
+ Status
+ Region
+ 资源
+ 建议值
+ 引擎名称
+ 上次更新时间
## Amazon RDS 参数组不使用大页
**说明**
大页可以提高数据库的可扩展性,但您的数据库实例不使用大页。建议您在数据库实例的数据库参数组中将 **use\$1large\$1pages** 参数值设置为 **ONLY**。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt024`
**提醒条件**
黄色:数据库参数组不使用大页。
**Recommended Action(建议的操作)**
在数据库参数组中将 **use\$1large\$1pages** 参数值设置为 **ONLY**。
**其他资源**
有关更多信息,请参阅[开启 HugePages 适用于 Oracle 的 RDS 实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Oracle.Concepts.HugePages.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS 查询缓存参数已开启
**说明**
当更改要求清除查询缓存时,您的数据库实例将显示为停滞状态。大多数工作负载不会受益于查询缓存。从 MySQL 8.0 版中删除了查询缓存。建议您将 query\$1cache\$1type 参数设置为 0。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt022`
**提醒条件**
黄色:数据库参数组的查询缓存已开启。
**Recommended Action(建议的操作)**
在数据库参数组中将 query\$1cache\$1type 参数值设置为 0。
**其他资源**
有关更多信息,请参阅[为 Amazon RDS for MySQL 配置参数的最佳实践,第 1 部分:与性能相关的参数](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## 需要更新 Amazon RDS 资源实例类
**说明**
您的数据库正在上一代数据库实例类上运行。我们已经将上一代数据库实例类替换为成本和/或性能更高的数据库实例类。建议您使用更新代次的数据库实例类运行数据库实例。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt015`
**提醒条件**
红色:数据库实例使用的是终止支持的数据库实例类。
**Recommended Action(建议的操作)**
升级到最新的数据库实例类。
**其他资源**
有关更多信息,请参阅[数据库实例类支持的数据库引擎](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.DBInstanceClass.html#Concepts.DBInstanceClass.Support)。
**报告列**
+ Status
+ Region
+ 资源
+ 数据库实例类
+ 建议值
+ 引擎名称
+ 上次更新时间
## 需要更新 Amazon RDS 资源主要版本
**说明**
不支持使用数据库引擎当前主要版本的数据库。建议您升级到包含新功能和增强功能的最新主要版本。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt014`
**提醒条件**
红色:RDS 资源使用的是终止支持的主要版本。
**Recommended Action(建议的操作)**
升级至数据库引擎的最新主要版本。
**其他资源**
Amazon RDS 针对受支持的数据库引擎发布了新版本,以便使用最新版本维护您的数据库。新发布的版本可能包含针对数据库引擎的错误修复、安全增强功能和其他改进。通过使用 blue/green 部署,您可以最大限度地减少数据库实例升级所需的停机时间。
有关更多信息,请参阅以下资源:
+ [升级数据库实例引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html)
+ [亚马逊 Aurora 更新](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Updates.html)
+ [使用 Amazon RDS Blue/Green 部署进行数据库更新](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/blue-green-deployments.html)
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 当前引擎版本
+ 建议值
+ 上次更新时间
## Amazon RDS 资源使用的是包含许可证的终止支持引擎版本
**说明**
建议您将主要版本升级到 Amazon RDS 支持的最新引擎版本,以继续使用当前的许可证支持。当前许可证不支持数据库的引擎版本。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt016`
**提醒条件**
红色:Amazon RDS 资源使用的是包含许可证模式下的终止支持引擎版本。
**Recommended Action(建议的操作)**
建议您将数据库升级到 Amazon RDS 中支持的最新版本,以便继续使用许可模型。
**其他资源**
有关更多信息,请参阅 [Oracle 主要版本升级](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Major.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 当前引擎版本
+ 建议值
+ 引擎名称
+ 上次更新时间
## Amazon Route 53 别名资源记录集
**说明**
检查可更改为别名资源记录集以提高性能并节省成本的资源记录集。
别名资源记录集将 DNS 查询路由到 AWS 资源(例如,Elastic Load Balancing 负载均衡器或 Amazon S3 存储桶)或其他 Route 53 资源记录集。当您使用别名资源记录集时,Route 53 会免费将您的 DNS 查询路由到 AWS 资源。
AWS 服务创建的托管区域不会出现在您的检查结果中。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`B913Ef6fb4`
**提醒条件**
+ 黄色:资源记录集是 Amazon S3 网站的 CNAME。
+ 黄色:资源记录集是 Amazon CloudFront 分配的别名记录。
+ 黄色:资源记录集是 Elastic Load Balancing 负载均衡器的 CNAME。
**Recommended Action(建议的操作)**
将列出的 CNAME 资源记录集替换为别名资源记录集;请参阅[在别名和非别名资源记录集之间进行选择](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingAliasRRSets.html)。
您还需要根据资源将记录类型从 CNAME 更改为 A 或 AAAA。 AWS 请参阅[在创建或编辑 Amazon Route 53 资源记录集时指定的值](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-values.html)。
**其他资源**
[将查询路由到 AWS 资源](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-aws-resources.html)
**报告列**
+ Status
+ 托管区域名称
+ 托管区域 ID
+ 资源记录集名称
+ 资源记录集类型
+ 资源记录集标识符
+ 别名目标
## AWS Lambda 内存大小的函数配置不足
**说明**
检查在回顾期间至少调用过一次的 AWS Lambda 函数。如果有任何 Lambda 函数相比内存大小而言预调配不足,则此检查会提醒您。如果 Lambda 函数相比内存大小而言预调配不足,这些函数将需要更长的时间才能完成操作。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`COr6dfpM06`
**提醒条件**
黄色:在回顾期内存大小预置不足的 Lambda 函数。为了确定 Lambda 函数是否配置不足,我们会考虑该函数的所有默认 CloudWatch 指标。用于根据内存大小识别预置不足的 Lambda 函数的算法遵循最佳实践。 AWS 识别新模式后,算法会更新。
**Recommended Action(建议的操作)**
考虑增加 Lambda 函数的内存大小。
有关更多信息,请参阅 [选择使用 AWS Compute Optimizer 支 Trusted Advisor 票](compute-optimizer-with-trusted-advisor.md)。
**报告列**
+ Status
+ Region
+ 函数名称
+ 函数版本
+ 内存大小(MB)
+ 推荐的内存大小(MB)
+ 回顾期(天)
+ 性能风险
+ 上次更新时间
## AWS Lambda 未配置并发限制的函数
**说明**
检查 AWS Lambda 函数是否配置了函数级别的并发执行限制。
并发是您的 Amazon Lambda 函数同时处理的正在进行的请求数。对于每个并发请求,Lambda 会预置单独的执行环境实例。
您可以使用 AWS Config 规则中的和**ConcurrencyLimitHigh**参数指定最小和最大预留**concurrencyLimitLow**并发限制。
有关更多信息,请参阅 [Lambda 函数扩展](https://docs.aws.amazon.com/lambda/latest/dg/lambda-concurrency.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz181`
**来源**
AWS Config 托管规则: lambda-concurrency-check
**提醒条件**
黄色:Lambda 函数未配置并发限制。
**Recommended Action(建议的操作)**
确保您的 Lambda 函数已配置并发。Lambda 函数的并发限制有助于确保您的函数以可靠和可预测的方式处理请求。并发限制可降低由于流量突然激增而导致函数不堪重负的风险。
有关更多信息,请参阅[配置预留并发](https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html)。
**其他资源**
+ [Lambda 函数扩展](https://docs.aws.amazon.com/lambda/latest/dg/lambda-concurrency.html)
+ [配置预留并发](https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS Well-Architected 性能高风险问题
**说明**
在性能支柱中检查您的工作负载是否存在高风险问题 (HRIs)。此检查基于您的 AWS-Well Architected 审查。检查结果取决于您是否使用 AWS Well-Architected 完成了对工作负载的评估。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Wxdfp4B1L2`
**提醒条件**
+ 红色:在Well-Architect AWS ed的性能支柱中发现了至少一个活跃的高风险问题。
+ 绿色:在 Well-Architecte AWS d 的性能支柱中未发现活跃的高风险问题。
**Recommended Action(建议的操作)**
AWS Well-Architected 在评估工作负载时检测到了高风险问题。这些问题为降低风险和节省资金提供了机会。登录 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具以查看您的答案并采取措施解决活跃的问题。
**报告列**
+ Status
+ Region
+ 工作负载 ARN
+ 工作负载名称
+ 审核人姓名
+ 工作负载类型
+ 工作负载开始日期
+ 工作负载上次修改日期
+ 已识别的绩效 HRIs 人数
+ HRIs 已解决绩效问题数
+ 已回答的性能问题数量
+ 性能支柱中的问题总数
+ 上次更新时间
## CloudFront 备用域名
**说明**
此支票适用于传统的 Amazon CloudFront 分配。
检查使用备用域名的经典 Amazon CloudFront 发行版中是否正确配置 DNS (CNAMEs)。
如果 CloudFront 分配包含备用域名,则这些域的 DNS 配置必须将 DNS 查询路由到该分配。
此检查假设 Amazon Route 53 DNS 和亚马逊 CloudFront 分发的配置相同 AWS 账户。因此,提示列表可能包括由于此 AWS 账户外的 DNS 设置而按预期工作的资源。
**检查 ID**
`N420c450f2`
**提醒条件**
+ 黄色: CloudFront 分配包含备用域名,但是 DNS 配置没有正确设置 CNAME 记录或 Amazon Route 53 别名资源记录。
+ 黄色: CloudFront 分配包含备用域名,但由于重定向过多, Trusted Advisor 无法评估 DNS 配置。
+ 黄色: CloudFront 分配包含备用域名,但由于其他原因 Trusted Advisor 无法评估 DNS 配置,很可能是由于超时所致。
**Recommended Action(建议的操作)**
更新 DNS 配置以将 DNS 查询路由到 CloudFront分发;请参阅[使用备用域名(CNAMEs)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html)。
如果您使用 Amazon Route 53 作为 DNS 服务,请参阅[使用您的域名将流量路由到亚马逊 CloudFront 网络分配](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-cloudfront-distribution.html)。如果检查超时,请尝试刷新检查。
**其他资源**
[亚马逊 CloudFront 开发者指南](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/)
**报告列**
+ Status
+ 分配 ID
+ 分配域名
+ 备用域名
+ Reason
## CloudFront 内容交付优化
**说明**
检查是否存在使用全球内容交付服务亚马逊(Amazon S3)可以加速从亚马逊简单存储服务 (A CloudFront mazon S3) 存储桶传输数据的案例。 AWS
当您配置 CloudFront 为交付内容时,对内容的请求会自动路由到最近缓存内容的边缘位置。此路由可以以最佳的性能将内容分发给您的用户。与存储在存储桶中的数据相比,传出的数据比例较高,这表明您可以从使用 Amazon CloudFront 传输数据中受益。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`796d6f3D83`
**提醒条件**
+ 黄色:检查前 30 天通过 GET 请求从存储桶传输到用户的数据量至少是存储桶中存储的平均数据量的 25 倍。
+ 红色:检查前 30 天通过 GET 请求从存储桶传输到用户的数据量至少为 10TB,并且至少是存储桶中存储的平均数据量的 25 倍。
**Recommended Action(建议的操作)**
考虑使用 CloudFront 以获得更好的性能。查看 [Amazon CloudFront 产品详情](https://aws.amazon.com/cloudfront/details)。
如果每月传输的数据量为 10 TB 或更多,请参阅 [Amazon CloudFront 定价](https://aws.amazon.com/cloudfront/pricing),了解可能的成本节约。
**其他资源**
+ [亚马逊 CloudFront 开发者指南](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/)
+ [AWS 案例研究:PBS](https://aws.amazon.com/solutions/case-studies/pbs/)
**报告列**
+ Status
+ Region
+ 存储桶名称
+ S3 存储(GB)
+ 数据传出(GB)
+ 传输/存储比率
## CloudFront 标题转发和缓存命中率
**说明**
此支票适用于传统的 Amazon CloudFront 分配。
检查 CloudFront 当前从客户端接收并转发到您的源服务器的 HTTP 请求标头。
某些标头,例如日期或用户代理,会显著降低缓存命中率( CloudFront 边缘缓存提供的请求比例)。这会增加源站的负载并降低性能,因为 CloudFront 必须将更多请求转发到您的源。
**检查 ID**
`N415c450f2`
**提醒条件**
黄色:一个或多个 CloudFront 转发到您的源的请求标头可能会显著降低您的缓存命中率。
**Recommended Action(建议的操作)**
请考虑请求标头是否提供了足够的益处,能够证实对缓存命中率造成的负面影响是有必要的。如果无论给定标头的值如何,您的源都返回相同的对象,我们建议您不要将该标头配置 CloudFront 为将该标头转发到源。有关更多信息,请参阅[配置 CloudFront 为根据请求标头缓存对象](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/header-caching.html)。
**其他资源**
+ [提升由 CloudFront 边缘缓存提供服务的请求的比例](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html#cache-hit-ratio-request-headers)
+ [CloudFront 缓存统计报告](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-statistics.html)
+ [HTTP 请求标头和 CloudFront 行为](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-headers-behavior)
**报告列**
+ 分配 ID
+ 分配域名
+ 缓存行为路径模式
+ 标头
## 高 CPU 使用率 Amazon EC2 实例
**说明**
检查过去 14 天内随时运行的 Amazon Elastic Compute Cloud (Amazon EC2) 实例。如果在四天或更长时间内每日 CPU 使用率超过 90%,则会发送警报。
一致的高利用率可能表明性能得到优化、稳定。但是,它也可能表示应用程序没有足够的资源。要获取每日 CPU 使用率数据,请下载此检查的报告。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`ZRxQlPsb6c`
**提醒条件**
黄色:在过去 14 天中的至少 4 天内,某个实例的日均 CPU 使用率超过 90%。
**Recommended Action(建议的操作)**
考虑添加更多实例。有关根据需要增加实例数量的信息,请参阅[什么是 Auto Scaling?](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/WhatIsAutoScaling.html)
**其他资源**
+ [监控 Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-monitoring.html)
+ [实例元数据和用户数据](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AESDG-chapter-instancedata.html)
+ [亚马逊 CloudWatch 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/)
+ [Amazon EC2 Auto Scaling 用户指南](https://docs.aws.amazon.com/autoscaling/latest/userguide/)
**报告列**
+ 区域/可用区
+ 实例 ID
+ 实例类型
+ 实例名称
+ 14 天 CPU 平均使用率
+ CPU 使用率超过 90% 的天数
# 安全性
您可以使用以下安全类别检查。
**注意**
如果您为启用了 Security Hub CSPM AWS 账户,则可以在控制台中查看您的发现。 Trusted Advisor 有关信息,请参阅[在中查看 AWS Security Hub CSPM 控件 AWS Trusted Advisor](security-hub-controls-with-trusted-advisor.md)。
您可以查看 AWS 基础安全最佳实践安全标准中的所有控件,但**类别为 “恢复” > “弹性”** 的控件*除外*。有关受支持控件的列表,请参阅*《AWS Security Hub CSPM 用户指南》*中的 [AWS 基础安全最佳实践控件](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html)。
**Contents**
+ [
## 应用程序负载均衡器安全组
](#alb-security-group)
+ [
## Amazon CloudWatch 日志组保留期
](#cloudwatch-log-group-retention-less-than-365)
+ [
## 使用终止支持版本的 Microsoft SQL Server 的 Amazon EC2 实例
](#ec2-instances-with-sql-server-end-of-support)
+ [
## 使用终止支持版本的 Microsoft Windows Server 的 Amazon EC2 实例
](#ec2-instances-with-windows-server-end-of-support)
+ [
## 对 Ubuntu LTS 的标准支持已结束的 Amazon EC2 实例
](#amazon-ec2-instances-ubuntu-lts-end-of-standard-support)
+ [
## Amazon EFS 客户端未使用 data-in-transit加密
](#amazon-efs-clients-not-using-data-in-transit-encryption)
+ [
## Amazon EBS 公有快照
](#amazon-ebs-public-snapshots)
+ [
## Amazon RDS Aurora 存储加密已关闭
](#amazon-rds-aurora-storage-encryption-off)
+ [
## 需要升级 Amazon RDS 引擎次要版本
](#amazon-rds-engine-minor-version-upgrade-required)
+ [
## Amazon RDS 公有快照
](#amazon-rds-public-snapshots)
+ [
## Amazon RDS 安全组访问风险
](#amazon-rds-security-group-access-risk)
+ [
## Amazon RDS 存储加密已关闭
](#amazon-rds-storage-encryption-off)
+ [
## Amazon Route 53 中直接指向 S3 存储桶的不匹配 CNAME 记录
](#amazon-route-53-mismatching-cname-records-s3-buckets)
+ [
## Amazon Route 53 MX 资源记录集和发件人策略框架
](#amazon-route-53-mx-resorc-resource-record-sets-sender-policy-framework)
+ [
## Amazon S3 存储桶权限
](#amazon-s3-bucket-permissions)
+ [
## 禁用 DNS 解析的 Amazon VPC 对等连接
](#amazon-vpc-peering-connections-no-dns-resolution)
+ [
## 应用程序负载均衡器目标组加密协议
](#application-load-balancer-target-groups)
+ [
## AWS Backup 没有基于资源的策略的保管库可防止删除恢复点
](#backup-vault-without-resource-based-policy-prevent-delete)
+ [
## AWS CloudTrail 管理事件记录
](#aws-cloudtrail-man-events-log)
+ [
## AWS Lambda 使用已弃用运行时的函数
](#aws-lambda-functions-deprecated-runtimes)
+ [
## AWS Well-Architected 安全性高风险问题
](#well-architected-high-risk-issues-security)
+ [
## CloudFront IAM 证书存储区中的自定义 SSL 证书
](#cloudfront-custom-ssl-certificates-iam-certificate-store)
+ [
## CloudFront 源服务器上的 SSL 证书
](#cloudfront-ssl-certificate-origin-server)
+ [
## ELB 侦听器安全
](#elb-listener-security)
+ [
## 经典负载均衡器安全组
](#elb-security-groups)
+ [
## Exposed Access Keys
](#exposed-access-keys)
+ [
## IAM 访问密钥轮换
](#iam-access-key-rotation)
+ [
## IAM Access Analyzer 外部访问权限
](#iam-access-analyzer-external-access)
+ [
## IAM 密码策略
](#iam-password-policy)
+ [
## IAM SAML 2.0 身份提供者
](#iam-saml-identity-provider)
+ [
## 根账户的 MFA
](#mfa-root-account)
+ [
## 根用户访问密钥
](#root-user-access-key)
+ [
## 安全组 – 不受限制的特定端口
](#security-groups-specific-ports-unrestricted)
+ [
## 安全组 – 不受限制的访问
](#security-groups-unrestricted-access)
## 应用程序负载均衡器安全组
**说明**
检查附加到应用程序负载均衡器及其 Amazon EC2 目标的安全组。应用程序负载均衡器安全组应仅允许在侦听器中配置的入站端口。目标的安全组不应在目标从负载均衡器接收流量的同一端口接受来自互联网的直接连接。
如果安全组允许访问未针对负载均衡器配置的端口或允许直接访问目标,则数据丢失或恶意攻击的风险会增加。
此检查会排除以下组:
+ 未与 IP 地址或 EC2 实例关联的目标组。
+ IPv6 流量安全组规则。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`8604e947f2`
**提醒条件**
+ 红色:Target 有一个公有 IP 和一个安全组,允许从任何地方通过目标控制端口进行入站连接 (0.0.0.0/0)。
+ 红色:目标具有公有 IP,且其安全组允许从任意地址 (0.0.0.0/0) 通过流量端口进行入站连接。
+ 红色:应用程序负载均衡器启用了身份验证,且目标允许从任意地址 (0.0.0.0/0) 通过流量端口进行入站连接。
+ 黄色:目标的安全组允许从任意地址 (0.0.0.0/0) 通过流量端口进行入站连接。
+ 黄色:Target 的安全组允许来自任何地方的目标控制端口上的入站连接 (0.0.0.0/0)。
+ 黄色:应用程序负载均衡器安全组允许在没有相应侦听器的端口上进行入站连接。
+ 黄色:目标的安全组允许未连接到 Application Load Balancer 的安全组在目标控制端口上进行入站连接。
+ 绿色:Application Load Balancer 安全组仅允许在与侦听器匹配的端口上进行入站连接。
**Recommended Action(建议的操作)**
为了提高安全性,请确保安全组仅允许必要的流量:
+ 应用程序负载均衡器的安全组应仅允许在其侦听器中配置的相同端口上进行入站连接。
+ 对负载均衡器和目标使用专属安全组。
+ 目标安全组应仅允许从与其关联的负载均衡器通过流量端口进行连接。
+ 目标安全组应仅允许与其关联的负载均衡器连接目标控制端口。
**其他资源**
+ [使用安全组控制流向 AWS 资源的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [应用程序负载均衡器的安全组](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)
**报告列**
+ Status
+ Region
+ 目标组
+ ALB 名称
+ ALB SG ID
+ 目标 SG ID
+ 身份验证已启用
+ 上次更新时间
## Amazon CloudWatch 日志组保留期
**说明**
检查 Amazon CloudWatch 日志组保留期是否设置为 365 天或其他指定数字。
默认情况下,日志将无限期保留且永不过期。但是,您可以调整每个日志组的保留策略,使其符合特定期限的行业法规或法律要求。
您可以使用 AWS Config 规则中的和**MinRetentionTime**参数指定最短保留时间**LogGroupNames**和日志组名称。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz186`
**来源**
`AWS Config Managed Rule: cw-loggroup-retention-period-check`
**提醒条件**
黄色:Amazon CloudWatch 日志组的保留期少于所需的最小天数。
**Recommended Action(建议的操作)**
为存储在 Amazon CloudWatch Logs 中的日志数据配置超过 365 天的保留期,以满足合规性要求。
有关更多信息,请参阅[更改日志中的 CloudWatch 日志数据保留期](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)。
**其他资源**
[更改 CloudWatch 日志保留期](https://docs.aws.amazon.com/managedservices/latest/userguide/log-customize-retention.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 使用终止支持版本的 Microsoft SQL Server 的 Amazon EC2 实例
**说明**
检查过去 24 小时内运行的 Amazon Elastic Compute Cloud(Amazon EC2)实例的 SQL Server 版本。如果该版本的支持接近或已经终止,则此检查会提示您。每个 SQL Server 版本都提供 10 年的支持,包括 5 年主流支持和 5 年延伸支持。支持终止后,该 SQL Server 版本将不会收到定期的安全更新。使用不受支持的 SQL Server 版本运行应用程序可能会带来安全或合规风险。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Qsdfp3A4L3`
**提醒条件**
+ 红色:EC2 实例的 SQL Server 版本已达到停止支持。
+ 黄色:EC2 实例的 SQL Server 版本将在 12 个月内达到停止支持。
**Recommended Action(建议的操作)**
要实现 SQL Server 工作负载现代化,请考虑重构到 Amazon Aurora 等 AWS 云 原生数据库。有关更多信息,请参阅[使用实现 Windows 工作负载现代化 AWS](https://aws.amazon.com/windows/modernization/)。
要迁移到完全托管式数据库,请考虑更换平台到 Amazon Relational Database Service(Amazon RDS)。有关更多信息,请参阅 [Amazon RDS for SQL Server](https://aws.amazon.com/rds/sqlserver/)。
要升级 SQL Server on Amazon EC2,请考虑使用自动化运行手册简化升级。有关详情,请参阅 [AWS Systems Manager 文档](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awsec2-CloneInstanceAndUpgradeSQLServer.html)。
如果你无法在亚马逊 EC2 上升级 SQL Server,可以考虑使用 Windows 服务器的 End-of-Support迁移计划 (EMP)。有关更多信息,请参阅 [EMP 网站](https://aws.amazon.com/emp-windows-server/)。
**其他资源**
+ [为 SQL Server 终止支持做好准备 AWS](https://aws.amazon.com/sql/sql2008-eos/)
+ [AWS上的 Microsoft SQL Server](https://aws.amazon.com/sql)
**报告列**
+ Status
+ Region
+ 实例 ID
+ SQL Server 版本
+ 支持周期
+ 停止支持
+ 上次更新时间
## 使用终止支持版本的 Microsoft Windows Server 的 Amazon EC2 实例
**说明**
如果 Microsoft Windows Server 版本的支持接近或已经终止,则此检查会提示您。每个 Windows Server 版本都提供 10 年的支持,包括 5 年主流支持和 5 年扩展支持。支持终止后,该 Windows Server 版本将不会收到定期的安全更新。使用不受支持的 Windows Server 版本运行应用程序可能会带来安全或合规风险。
此检查基于用于启动 EC2 实例的 AMI 生成结果。当前实例的操作系统有可能与其启动 AMI 有所不同。例如,如果从 Windows Server 2016 AMI 启动实例,稍后升级到 Windows Server 2019,则启动 AMI 不会发生改变。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Qsdfp3A4L4`
**提醒条件**
+ 红色:EC2 实例运行的 Windows Server 版本(Windows Server 2003、2003 R2、2008 和 2008 R2)已终止支持。
+ 黄色:EC2 实例运行的 Windows Server 版本(Windows Server 2012 和 2012 R2)将在 18 个月内终止支持。
**推荐操作**
要对 Windows 服务器工作负载进行现代化改造,请考虑[使用现代化 Windows 工作负载](https://aws.amazon.com/windows/modernization/)中的各种选项 AWS。
要升级 Windows Server 工作负载以在更新版本的 Windows Server 上运行,您可以使用自动化运行手册。有关更多信息,请参阅 [AWS Systems Manager 文档](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/os-inplaceupgrade.html)。
完成以下步骤:
+ 升级 Windows Server 版本
+ 升级后执行强制停止和启动操作
+ 如果使用 EC2 Config,请迁移到 EC2 Launch
**报告列**
+ Status
+ Region
+ 实例 ID
+ Windows Server 版本
+ 支持周期
+ 停止支持
+ 上次更新时间
## 对 Ubuntu LTS 的标准支持已结束的 Amazon EC2 实例
**说明**
如果这些版本的标准支持接近或已经终止,则此检查会提示您。务必采取行动 — 要么迁移到下一个 LTS 版本,要么升级到 Ubuntu Pro。支持终止后,18.04 LTS 计算机将不会收到任何安全更新。订阅 Ubuntu Pro 后,Ubuntu 18.04 LTS 部署可获得扩展安全维护 (ESM),支持将持续至 2028 年。仍未修补的安全漏洞会使系统面临黑客攻击风险,可能导致重大数据泄露。
此检查的结果每天至少自动刷新一次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1dfprch15`
**提醒条件**
红色:Amazon EC2 实例运行的 Ubuntu 版本(包括 Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS 及 18.04.6 LTS)已终止标准支持。
黄色:Amazon EC2 实例运行的 Ubuntu 版本(包括 Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.5 LTS 及 20.04.6 LTS)将在 6 个月内终止标准支持。
绿色:所有 Amazon EC2 实例均符合合规要求。
**Recommended Action(建议的操作)**
要将 Ubuntu 18.04 LTS 实例升级到受支持的 LTS 版本,请按照[本文](https://ubuntu.com/server/docs/upgrade-introduction)中所述的步骤操作。要将 Ubuntu 18.04 LTS 实例升级到 [Ubuntu Pro](https://aws.amazon.com/about-aws/whats-new/2023/04/amazon-ec2-ubuntu-pro-subscription-model/),请访问 AWS License Manager 控制台并按照 [AWS License Manager 用户指南](https://docs.aws.amazon.com/license-manager/latest/userguide/license-conversion.html)中所述的步骤操作。您也可以参阅 [Ubuntu 博客](https://discourse.ubuntu.com/t/how-to-upgrade-ubuntu-lts-to-ubuntu-pro-on-aws-using-aws-license-manager/35449),其中展示了将 Ubuntu 实例升级到 Ubuntu Pro 的分步演示。
**其他资源**
有关定价的信息,请联系[支持](https://aws.amazon.com/support)。
**报告列**
+ Status
+ Region
+ Ubuntu Lts 版本
+ 预计支持终止日期
+ 实例 ID
+ 支持周期
+ 上次更新时间
## Amazon EFS 客户端未使用 data-in-transit加密
**说明**
检查 Amazon EFS 文件系统是否使用 data-in-transit加密方式挂载。 AWS 建议客户对所有数据流使用 data-in-transit加密,以保护数据免遭意外泄露或未经授权的访问。Amazon EFS 建议客户端通过 Amazon EFS 挂载助手,使用“-o tls”挂载设置,通过 TLS v1.2 协议对传输中数据进行加密。
**检查 ID**
` c1dfpnchv1`
**提醒条件**
黄色:您的 Amazon EFS 文件系统的一个或多个 NFS 客户端未使用提供 data-in-transit加密功能的推荐挂载设置。
绿色:您的 Amazon EFS 文件系统的所有 NFS 客户端都使用推荐的提供 data-in-transit加密功能的挂载设置。
**Recommended Action(建议的操作)**
要利用 Amazon EFS 上的 data-in-transit加密功能,我们建议您使用 Amazon EFS 挂载帮助程序和推荐的挂载设置重新挂载文件系统。
部分 Linux 发行版默认不包含支持 TLS 功能的 stunnel 版本。如果您使用的是不受支持的 Linux 发行版(请参阅《Amazon Elastic File System 用户指南》**中的[受支持的发行版](https://docs.aws.amazon.com/efs/latest/ug/using-amazon-efs-utils.html#efs-utils-supported-distros)),则最佳做法是在使用推荐的挂载设置重新挂载前,先升级该 Linux 发行版。
**其他资源**
+ [加密传输中的数据](https://docs.aws.amazon.com/efs/latest/ug/encryption-in-transit.html)
**报告列**
+ Status
+ Region
+ EFS 文件系统 ID
+ AZs 使用未加密的连接
+ 上次更新时间
## Amazon EBS 公有快照
**说明**
检查 Amazon Elastic Block Store (Amazon EBS) 卷快照的权限设置,并在任何快照可公开访问时收到提醒。
当您将快照公开时,即授予所有 AWS 账户 用户访问快照中所有数据的权限。若要仅与特定用户或账户共享快照,请将快照标记为私有。然后,指定要与之共享快照数据的用户或账户。请注意,如果您在“阻止所有共享”模式下启用了“阻止公共访问”功能,则您的公有快照将无法公开访问,也不会显示在此检查的结果中。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
**检查 ID**
`ePs02jT06w`
**提醒条件**
红色:EBS 卷快照可公开访问。
**Recommended Action(建议的操作)**
除非您确定要与所有 AWS 账户 人和用户共享快照中的所有数据,否则请修改权限:将快照标记为私有,然后指定要向其授予权限的帐户。有关更多信息,请参阅[共享 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)。针对 EBS 快照使用“阻止公共访问”来控制允许对您的数据进行公共访问的设置。无法将此支票排除在 Trusted Advisor 控制台的视图之外。
要直接修改快照的权限,请在 AWS Systems Manager 控制台中使用运行手册。有关更多信息,请参阅 [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyebssnapshotpermission.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyebssnapshotpermission.html)。
**其他资源**
[Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html)
**报告列**
+ Status
+ Region
+ 卷 ID
+ 快照 ID
+ 说明
## Amazon RDS Aurora 存储加密已关闭
**说明**
Amazon RDS 支持使用您在 AWS Key Management Service中管理的密钥对所有数据库引擎进行静态加密。在采用 Amazon RDS 加密的活动数据库实例上,静态存储在存储中的数据会加密,类似于自动备份、只读副本和快照。
如果在创建 Aurora 数据库集群时未开启加密,则必须将解密后的快照还原到加密的数据库集群。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt005`
**提醒条件**
红色:Amazon RDS Aurora 资源未启用加密。
**Recommended Action(建议的操作)**
为数据库集群开启静态数据加密。
**其他资源**
您可以在创建数据库实例时开启加密,也可以使用变通方法为处于活动状态的数据库实例开启加密。您无法将已解密的数据库集群修改为加密的数据库集群。但是,您可以将未加密的快照还原为加密的数据库集群。从解密的快照还原时,必须指定密钥。 AWS KMS
有关更多信息,请参阅[加密 Amazon Aurora 资源](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 上次更新时间
## 需要升级 Amazon RDS 引擎次要版本
**说明**
您的数据库资源未运行最新次要数据库引擎版本。最新的次要版本包含最新的安全修复和其它改进。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt003`
**提醒条件**
黄色:Amazon RDS 资源未运行最新次要数据库引擎版本。
**Recommended Action(建议的操作)**
升级到最新的引擎版本。
**其他资源**
建议您使用最新的数据库引擎次要版本维护数据库,因为此版本包含最新的安全修复和功能修复。数据库引擎次要版本升级仅包含与该数据库引擎同一主要版本的早期次要版本向后兼容的更改。
有关更多信息,请参阅[升级数据库实例引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 当前引擎版本
+ 建议值
+ 上次更新时间
## Amazon RDS 公有快照
**说明**
检查 Amazon Relational Database Service (Amazon RDS) 数据库快照的权限设置,并在任何快照被标记为公有时发出提醒。
当您将快照公开时,即授予所有 AWS 账户 用户访问快照中所有数据的权限。如果要仅与特定用户或账户共享快照,请将快照标记为私有。然后,指定要与之共享快照数据的用户或账户。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
**检查 ID**
`rSs93HQwa1`
**提醒条件**
红色:Amazon RDS 快照标记为公有。
**Recommended Action(建议的操作)**
除非您确定要与所有 AWS 账户 人和用户共享快照中的所有数据,否则请修改权限:将快照标记为私有,然后指定要向其授予权限的帐户。有关更多信息,请参阅[共享数据库快照或数据库集群快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html)。无法将此支票排除在 Trusted Advisor 控制台的视图之外。
要直接修改快照的权限,可以在 AWS Systems Manager 控制台中使用运行手册。有关更多信息,请参阅 [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyrdssnapshotpermission.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyrdssnapshotpermission.html)。
**其他资源**
[备份和还原 Amazon RDS 数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_CommonTasks.BackupRestore.html)
**报告列**
+ Status
+ Region
+ 数据库实例或集群 ID
+ 快照 ID
## Amazon RDS 安全组访问风险
**说明**
检查 Amazon Relational Database Service (Amazon RDS) 的安全组配置,并在安全组规则授予对您的数据库的过度权限时发出警告。安全组规则的建议配置是仅允许从特定的 Amazon Elastic Compute Cloud (Amazon EC2) 安全组或特定 IP 地址进行访问。
此检查仅评估附加到在 [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 外部运行的 Amazon RDS 实例的安全组。
**检查 ID**
`nNauJisYIT`
**提醒条件**
+ 黄色:数据库安全组规则引用了向以下某个端口授予全局访问权限的 Amazon EC2 安全组:20、21、22、1433、1434、3306、3389、4333、5432 和 5500。
+ 红色:数据库安全组规则授予了全局访问权限(CIDR 规则后缀为 /0)。
+ 绿色:数据库安全组不包含过于宽松的规则。
**Recommended Action(建议的操作)**
EC2-Classic 已于 2022 年 8 月 15 日停用。建议将您的 Amazon RDS 实例迁移到 VPC,并使用 Amazon EC2 安全组。有关将数据库实例迁移到 VPC 的更多信息,请参阅[将不在 VPC 中的数据库实例迁移到 VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.Non-VPC2VPC.html)。
如果您无法将 Amazon RDS 实例迁移到 VPC,请检查您的安全组规则,将访问权限限制为授权的 IP 地址或 IP 范围。要编辑安全组,请使用[授权 DBSecurity GroupIngress](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AuthorizeDBSecurityGroupIngress.html) API 或 AWS 管理控制台。有关更多信息,请参阅[使用数据库安全组](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithSecurityGroups.html)。
**其他资源**
+ [Amazon RDS 安全组](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html)
+ [无类域间路由](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [TCP 和 UDP 端口号列表](https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)
**报告列**
+ Status
+ Region
+ RDS 安全组名称
+ 入口规则
+ Reason
## Amazon RDS 存储加密已关闭
**说明**
Amazon RDS 支持使用您在 AWS Key Management Service中管理的密钥对所有数据库引擎进行静态加密。在采用 Amazon RDS 加密的活动数据库实例上,静态存储在存储中的数据会加密,类似于自动备份、只读副本和快照。
如果在创建数据库实例时未开启加密,则必须先还原未加密快照的加密副本,然后再开启加密。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt006`
**提醒条件**
红色:Amazon RDS 资源未启用加密。
**Recommended Action(建议的操作)**
为您的数据库实例开启静态数据加密。
**其他资源**
您只能在创建数据库实例时加密该数据库实例。要加密现有的活动数据库实例,请执行以下操作:
**创建原始数据库实例的加密副本**
1. 创建数据库实例的快照。
1. 创建在步骤 1 中创建的快照的加密副本。
1. 从加密快照还原数据库实例。
有关更多信息,请参阅以下资源:
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [复制数据库快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CopySnapshot.html)
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 上次更新时间
## Amazon Route 53 中直接指向 S3 存储桶的不匹配 CNAME 记录
**说明**
检查 Amazon Route 53 托管区中直接指向 Amazon S3 存储桶主机名的 CNAME 记录,如果 CNAME 记录与 S3 存储桶名称不匹配,则会收到提醒。
**检查 ID**
`c1ng44jvbm`
**提醒条件**
红色:Amazon Route 53 托管区域中存在指向不匹配的 S3 存储桶主机名的 CNAME 记录。
绿色:在 Amazon Route 53 托管区域中未找到不匹配的 CNAME 记录。
**Recommended Action(建议的操作)**
将 CNAME 记录指向 S3 存储桶主机名时,必须确保对于您配置的任何 CNAME 记录或别名记录,都存在一个匹配的存储桶。这样做可避免 CNAME 记录被伪造的风险。您还可以防止任何未经授权的 AWS 用户使用您的域名托管错误或恶意的网络内容。
为避免将别名记录直接指向 S3 存储桶主机名,请考虑使用源访问控制 (OAC) 通过 Amazon 访问您的 S3 存储桶网络资产。 CloudFront
有关将别名记录与 Amazon S3 存储桶主机名关联的更多信息,请参阅使用别名记录[自定义 Amazon URLs S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingCustomURLs)。
**其他资源**
+ [如何将主机名与 Amazon S3 存储桶相关联](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingCustomURLsHowTo)
+ [使用以下命令限制对 Amazon S3 来源的访问 CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)
**报告列**
+ Status
+ 托管区域 ID
+ 托管区 ARN
+ 匹配 CNAME 记录
+ 不匹配 CNAME 记录
+ 上次更新时间
## Amazon Route 53 MX 资源记录集和发件人策略框架
**说明**
对于每个 MX 记录,检查是否存在包含有效 SPF 值的关联 TXT 记录。TXT 记录值必须以“v=spf1”开头。SPF 记录类型已被互联网工程任务组 (IETF) 弃用。对于 Route 53,最佳做法是使用 TXT 记录而不是 SPF 记录。 Trusted Advisor 当 MX 记录至少有一条关联的 TXT 记录具有有效 SPF 值时,会将此检查报告为绿色。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`c9D319e7sG`
**提醒条件**
+ 绿色:MX 资源记录集存在包含有效 SPF 值的 TXT 资源记录。
+ 黄色:MX 资源记录集存在包含有效 SPF 值的 TXT 或 SPF 资源记录。
+ 红色:MX 资源记录集没有包含有效 SPF 值的 TXT 或 SPF 资源记录。
**Recommended Action(建议的操作)**
对于每个 MX 资源记录集,创建包含有效 SPF 值的 TXT 资源记录集。有关更多信息,请参阅[发件人策略框架:SPF 记录语法](http://www.open-spf.org/SPF_Record_Syntax)和[使用 Amazon Route 53 控制台创建资源记录集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/RRSchanges_console.html)。
**其他资源**
+ [MX 记录类型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#MXFormat)
+ [SPF 记录类型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#SPFFormat)
+ [re:Post 指南](https://repost.aws/knowledge-center/route53-spf-record)
+ [RFC 7208](https://tools.ietf.org/html/rfc7208#section-14.1)
**报告列**
+ 托管区域名称
+ 托管区域 ID
+ 资源记录集名称
+ Status
## Amazon S3 存储桶权限
**说明**
检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限或允许任何经过身份验证的用户访问的存储桶。 AWS
此检查将检查显式存储桶权限以及可能覆盖这些权限的存储桶策略。建议不要向 Amazon S3 存储桶的所有用户授予列表访问权限。这些权限可能导致非预期的用户频繁地列出存储桶中的对象,从而导致费用高于预期。向每个人授予上载和删除访问权限的权限可能会导致存储桶中出现安全漏洞。
**检查 ID**
`Pfx0RwqBli`
**提醒条件**
+ 红色:存储桶 ACL 允许**所有人**或**任何经过身份验证的 AWS 用户进行**列表 Upload/Delete 访问或访问权限,并且未启用 “**阻止公共访问**” 设置。
+ 红色:存储桶策略允许公共访问,但未启用 “**阻止公共访问**” 设置。
+ 红色: Trusted Advisor 无权查看政策,或者由于其他原因无法评估策略。
+ 黄色:存储桶策略允许公开访问,但是 “**限制公共存储桶**” 设置已开启,仅允许该账户的授权用户进行访问。
+ 黄色:存储桶合规,但未启用完整的**阻止公共访问**保护。
+ 绿色:存储桶合规且已启用完全**屏蔽公共访问**保护。
启用 “阻止公共访问**忽略公共访问” 后,不会评估公共 ACLs** ACL 授权。
**推荐操作**
如果存储桶允许开放访问,请确定是否确实需要开放访问。例如,要托管静态网站,您可以使用 Amazon CloudFront 来提供托管在 Amazon S3 上的内容。请参阅《[亚马逊 CloudFront 开发者指南》中的限制对 Amazon S3 来源的访问](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。如有可能,请更新存储桶权限,以只允许拥有者或特定用户访问。使用“Amazon S3 阻止公有访问”来控制允许对您的数据进行公有访问的设置。请参阅[设置存储桶和对象访问权限](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/set-permissions.html)。
**其他资源**
[管理对 Amazon S3 资源的访问权限](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
[为 Amazon S3 存储桶配置阻止公共访问设置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)
**报告列**
+ Status
+ 区域名称
+ 区域 API 参数
+ 存储桶名称
+ ACL 允许列表
+ ACL 允许上载/删除
+ 策略允许访问
## 禁用 DNS 解析的 Amazon VPC 对等连接
**说明**
检查您的 VPC 对等连接是否为接受者和请求者都开启了 DNS 解析。 VPCs
VPC 对等连接的 DNS 解析允许从您的 VPC 查询时将公有 DNS 主机名解析为私有 IPv4 地址。这允许使用 DNS 名称在对等互连资源之间进行通信。 VPCsVPC 对等连接中的 DNS 解析使应用程序开发和管理更简单,更不容易出错,同时还可确保资源始终通过 VPC 对等连接进行私密通信。
您可以使用规则中的 **vPC IDs ID** 参数指定 VPC。 AWS Config
有关更多信息,请参阅[实现对 VPC 对等连接的 DNS 解析](https://docs.aws.amazon.com/vpc/latest/peering/modify-peering-connections.html#vpc-peering-dns)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz124`
**来源**
`AWS Config Managed Rule: vpc-peering-dns-resolution-check`
**提醒条件**
黄色:VPC 对等连接 VPCs 中的接受者和请求者均未启用 DNS 解析。
**Recommended Action(建议的操作)**
为您的 VPC 对等连接开启 DNS 解析。
**其他资源**
+ [修改 VPC 对等连接选项](https://docs.aws.amazon.com/vpc/latest/peering/modify-peering-connections.html#vpc-peering-dns)
+ [VPC 中的 DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 应用程序负载均衡器目标组加密协议
**说明**
检查应用程序负载均衡器目标组是否使用 HTTPS 协议,对后端目标类型的实例或 IP 传输中的通信进行加密。ALB 和后端目标之间的 HTTPS 请求有助于保障传输中数据的机密性。
**检查 ID**
`c2vlfg0p1w`
**提醒条件**
+ 黄色:应用程序负载均衡器目标组使用 HTTP。
+ 绿色:应用程序负载均衡器目标组使用 HTTPS。
**Recommended Action(建议的操作)**
配置实例或 IP 的后端目标类型以支持 HTTPS 访问,并将目标组更改为使用 HTTPS 协议来加密 ALB 与实例或 IP 的后端目标类型之间的通信。
**其他资源**
[在传输过程中强制加密](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html)
[应用程序负载均衡器目标类型](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-type)
[应用程序负载均衡器路由配置](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-group-routing-configuration)
[Elastic Load Balancing 中的数据保护](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/data-protection.html)
**报告列**
+ Status
+ Region
+ ALB Arn
+ ALB 名称
+ ALB VPC ID
+ 目标组 Arn
+ 目标组名称
+ 目标组协议
+ 上次更新时间
## AWS Backup 没有基于资源的策略的保管库可防止删除恢复点
**说明**
检查 AWS Backup 文件库是否附加了防止删除恢复点的基于资源的策略。
资源型策略可防止意外删除恢复点,这使您能够以最低权限对备份数据实施访问控制。
你可以在规则 AWS Identity and Access Management ARNs 的**principalArnList**参数中指定你不想让 AWS Config 规则检查的。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz152`
**来源**
`AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled`
**提醒条件**
黄色:有些 AWS Backup 文件库没有基于资源的策略来防止删除恢复点。
**Recommended Action(建议的操作)**
为您的 AWS Backup 文件库创建基于资源的策略,以防止恢复点意外删除。
该策略必须包含带有 backup: DeleteRecoveryPoint、backup: 和 backup: UpdateRecoveryPointLifecycle PutBackupVaultAccessPolicy 权限的 “拒绝” 语句。
有关更多信息,请参阅[设置备份保管库访问策略](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS CloudTrail 管理事件记录
**说明**
检查您的使用情况 AWS CloudTrail。 CloudTrail 提高了您中活动的可见性 AWS 账户。它通过记录有关在账户上进行的 AWS API 调用的信息来实现此目的。例如,您可以使用这些日志来确定特定用户在指定时间段内执行了哪些操作,或者哪些用户在指定时间段内对特定资源采取操作。
由于将日志文件 CloudTrail 传输到亚马逊简单存储服务 (Amazon S3) Service 存储桶 CloudTrail ,因此必须拥有该存储桶的写入权限。如果跟踪应用于所有 AWS 区域 (创建新跟踪时的默认设置),则跟踪会多次出现在 Trusted Advisor 报告中。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c25hn9x03v`
**提醒条件**
+ 红色:未为任何跟踪创建任何跟踪 AWS 区域,或者未为任何跟踪启用日志记录。
+ 黄色:已启 CloudTrail 用,但所有跟踪都会报告日志传输错误。
+ 绿色: CloudTrail 已启用,未报告任何日志传送错误。
**Recommended Action(建议的操作)**
要通过控制台创建跟踪并启动日志记录,请打开 [AWS CloudTrail 控制台](https://console.aws.amazon.com/cloudtrail/home)。
要启动日志记录,请参阅[停止和启动跟踪的日志记录](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create_trail_using_cli.html#stopstartclil)。
如果收到日志传输错误,请确保相应存储桶存在,并且已向存储桶附加必要的策略。请参阅 [Amazon S3 存储桶策略](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create_trail_bucket_policy.html)。
**其他资源**
+ [AWS CloudTrail 用户指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)
+ [支持的区域](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_supported_regions.html)
+ [支持的服务](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_supported_services.html)
+ [为组织创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
**报告列**
+ Status
+ Region
+ 日志记录已启用
+ 已报告传输错误
+ 上次更新时间
## AWS Lambda 使用已弃用运行时的函数
**说明**
检查 \$1LATEST 版本配置为使用即将弃用或已弃用的的运行时的 Lambda 函数。我们不向已弃用的运行时提供安全更新或技术支持
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
已发布的 Lambda 函数版本不可改变,这意味着这些版本可以叫用,但不能更新。只有 Lambda 函数的 `$LATEST` 版本才能更新。有关更多信息,请参阅 [Lambda 函数版本](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html)。
**检查 ID**
`L4dfs2Q4C5`
**提醒条件**
+ 红色:该函数的 \$1LATEST 版本配置为使用已弃用的运行时。
+ 黄色:该函数的 \$1LATEST 版本在即将弃用的运行时上运行。在运行时弃用日期前至少 180 天包含相关函数。
**Recommended Action(建议的操作)**
如果您的函数正在接近弃用的运行时运行,您应准备好迁移到受支持的运行时。有关更多信息,请参阅[运行时支持策略](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html)。
我们建议您删除不再使用的较早的函数版本。
**其他资源**
[Lambda 运行时](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html)
**报告列**
+ Status
+ Region
+ 函数 ARN
+ 运行时
+ 弃用的天数
+ 弃用日期
+ 平均每日调用次数
+ 上次更新时间
## AWS Well-Architected 安全性高风险问题
**说明**
在安全支柱中检查您的工作负载是否存在高风险问题 (HRIs)。此检查基于您的 AWS-Well Architected 审查。检查结果取决于您是否使用 AWS Well-Architected 完成了对工作负载的评估。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Wxdfp4B1L3`
**提醒条件**
+ 红色:在Well-Architect AWS ed的安全支柱中至少发现了一个活跃的高风险问题。
+ 绿色:在 Well-Architecte AWS d 的安全支柱中未检测到活跃的高风险问题。
**Recommended Action(建议的操作)**
AWS Well-Architected 在评估工作负载时检测到了高风险问题。这些问题为降低风险和节省资金提供了机会。登录 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具以查看您的答案并采取措施解决活跃的问题。
**报告列**
+ Status
+ Region
+ 工作负载 ARN
+ 工作负载名称
+ 审核人姓名
+ 工作负载类型
+ 工作负载开始日期
+ 工作负载上次修改日期
+ 已识别 HRIs 为安全人员的人数
+ HRIs 已解决安全问题的数量
+ 安全问题数量
+ 安全支柱中的问题总数
+ 上次更新时间
## CloudFront IAM 证书存储区中的自定义 SSL 证书
**说明**
此支票适用于传统的 Amazon CloudFront 分配。
在 IAM 证书存储区中检查 SSL 证书中是否有 CloudFront 备用域名。如果证书已过期、即将过期、使用过时的加密或未针对分发正确配置,则此检查会提醒您。
当备用域名的自定义证书到期时,显示您的 CloudFront 内容的浏览器可能会显示一条有关您网站安全的警告消息。使用 SHA-1 哈希算法加密的证书已被 Chrome 和 Firefox 等大多数 Web 浏览器弃用。
证书必须包含与查看器请求的主机标头中的源域名或域名匹配的域名。如果不匹配,则向用户 CloudFront 返回 502(网关错误)的 HTTP 状态码。有关更多信息,请参阅[使用备用域名和 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS)。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`N425c450f2`
**提醒条件**
+ 红色:自定义 SSL 证书已过期。
+ 黄色:自定义 SSL 证书将在七天后过期。
+ 黄色:自定义 SSL 证书是使用 SHA-1 哈希算法加密的。
+ 黄色:分配中的一个或多个备用域名未出现在自定义 SSL 证书的 Common Name(常用名称)或 Subject Alternative Names(主题备用名称)字段中。
**Recommended Action(建议的操作)**
我们建议使用 AWS Certificate Manager 来预置、管理和部署您的服务器证书。使用 ACM,您可以申请新证书或将现有 ACM 或外部证书部署到 AWS 资源。ACM 提供的证书是免费的,并将自动续订。有关使用 ACM 的更多信息,请参阅 [AWS Certificate Manager 用户指南](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)。要验证 AWS 区域 ACM 是否支持,请参阅中的[AWS Certificate Manager 端点](https://docs.aws.amazon.com/general/latest/gr/acm.html)和配额。 AWS 一般参考
续订已过期证书或即将过期的证书。有关续订证书的更多信息,请参阅 IAM 中的[管理服务器证书](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)。
将使用 SHA-1 哈希算法加密的证书替换为使用 SHA-256 哈希算法加密的证书。
将证书替换为在 Common Name(常用名称)或 Subject Alternative Domain Names(主题备用域名)字段中包含适用值的证书。
**其他资源**
[使用 HTTPS 连接访问对象](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html)
[导入证书](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)
[AWS Certificate Manager 用户指南](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)
**报告列**
+ Status
+ 分配 ID
+ 分配域名
+ 证书名称
+ Reason
## CloudFront 源服务器上的 SSL 证书
**说明**
检查源服务器是否存在已过期、即将过期、丢失或使用过时加密的 SSL 证书。如果证书存在其中一个问题,则使用 HTTP 状态代码 502,Bad Gateway 来 CloudFront 响应您对内容的请求。
使用 SHA-1 哈希算法加密的证书已被 Chrome 和 Firefox 等 Web 浏览器弃用。根据您与 CloudFront分配关联的 SSL 证书的数量,例如,如果您使用的是 Amazon EC2 或 Elastic Load Balancing 作为 CloudFront 分发来源, AWS 则此支票可能会使您每月向虚拟主机提供商的账单增加几美分。此检查不会验证您的源证书链或证书颁发机构。你可以在你的 CloudFront 配置中检查这些。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`N430c450f2`
**提醒条件**
+ 红色:源服务器上的 SSL 证书已过期或缺失。
+ 黄色:源服务器上的 SSL 证书将在 30 天后过期。
+ 黄色:源服务器上的 SSL 证书是使用 SHA-1 哈希算法加密的。
+ 黄色:无法找到源服务器上的 SSL 证书。连接失败,可能是因为超时或其他 HTTPS 连接问题。
**Recommended Action(建议的操作)**
续订源服务器上已过期或即将过期的证书。
如果证书不存在,请添加证书。
将使用 SHA-1 哈希算法加密的证书替换为使用 SHA-256 哈希算法加密的证书。
**其他资源**
[使用备用域名和 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS)
**报告列**
+ Status
+ 分配 ID
+ 分配域名
+ Origin
+ Reason
## ELB 侦听器安全
**说明**
检查带有侦听器的经典负载均衡器,这些负载均衡器不使用推荐的安全配置进行加密通信。 AWS 建议您使用安全协议(HTTPS 或 SSL)、 up-to-date安全策略以及安全的密码和协议。当您为前端连接(客户端到负载均衡器)使用安全协议时,客户端与负载均衡器之间的请求会被加密。从而创建更安全的环境。Elastic Load Balancing 提供预定义的安全策略,其密码和协议符合 AWS 安全最佳实践。新配置可用时,会发布预定义策略的新版本。
**检查 ID**
`a2sEc6ILx`
**提醒条件**
+ 红色:负载均衡器的任何侦听器均未配置安全协议 (HTTPS)。
+ 黄色:负载均衡器 HTTPS 侦听器配置了包含弱加密算法的安全策略。
+ 黄色:负载均衡器 HTTPS 侦听器未配置推荐的安全策略。
+ 绿色:负载均衡器至少有一个 HTTPS 侦听器,并且所有 HTTPS 侦听器都配置了推荐的策略。
**Recommended Action(建议的操作)**
如果传输到负载均衡器的流量必须安全无虞,请使用 HTTPS 或 SSL 协议进行前端连接。
将负载均衡器的预定义 SSL 安全策略升级到最新版本。
只使用推荐的密码和协议。
有关更多信息,请参阅 [Elastic Load Balancing 的侦听器配置](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-listener-config.html)。
**其他资源**
+ [侦听器配置快速参考](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/using-elb-listenerconfig-quickref.html)
+ [更新负载均衡器的 SSL 协商配置](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ssl-config-update.html)
+ [Elastic Load Balancing 的 SSL 协商配置](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html)
+ [SSL 安全策略表](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-security-policy-table.html)
**报告列**
+ Status
+ Region
+ 负载均衡器名称
+ 负载均衡器端口
+ Reason
## 经典负载均衡器安全组
**说明**
检查负载均衡器是否配置了允许访问未针对负载均衡器配置的端口的安全组。
如果安全组允许访问未针对负载均衡器配置的端口,则数据丢失或恶意攻击的风险会增加。
**检查 ID**
`xSqX82fQu`
**提醒条件**
+ 黄色:与负载均衡器关联的 Amazon VPC 安全组的入站规则允许访问未在负载均衡器的侦听器配置中定义的端口。
+ 绿色:与负载均衡器关联的 Amazon VPC 安全组的入站规则不允许访问未在负载均衡器的侦听器配置中定义的端口。
**Recommended Action(建议的操作)**
配置安全组规则,以将访问限制在负载均衡器侦听器配置中定义的端口和协议,以及用于支持路径 MTU 发现的 ICMP 协议。请参阅[经典负载均衡器的侦听器](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-listener-config.html)和 [VPC 中的负载均衡器的安全组](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-security-groups)。
如果安全组缺失,请将新安全组应用到负载均衡器。创建安全组规则,将访问限制在负载均衡器侦听器配置中定义的端口和协议。请参阅 [VPC 中的负载均衡器的安全组](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-security-groups)。
**其他资源**
+ [Elastic Load Balancing 用户指南](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/)
+ [迁移 Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/migrate-classic-load-balancer.html)
+ [配置经典负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-configure-load-balancer.html)
**报告列**
+ Status
+ Region
+ 负载均衡器名称
+ 安全组 IDs
+ Reason
## Exposed Access Keys
**说明**
检查常用代码存储库是否存在已向公共暴露的访问密钥,以及可能由于访问密钥泄露而导致的不规则 Amazon Elastic Compute Cloud (Amazon EC2) 使用。
访问密钥包含访问密钥 ID 和相应的秘密访问密钥。访问密钥被暴露对您的账户和其他用户构成安全风险,可能导致未经授权的活动或滥用行为造成费用过高,并违反 [AWS 客户协议](https://aws.amazon.com/agreement)。
如果您的访问密钥暴露,请立即采取措施保护您的账户。为了保护您的账户免受过高的费用,请 AWS 暂时限制您创建某些 AWS 资源的能力。这并不能使您的账户安全。它仅部分限制了您可能需要付费的未经授权的使用。
此检查并不保证能识别暴露的访问密钥或被泄露的 EC2 实例。您对访问密钥和 AWS 资源的安全和保障负有最终责任。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
如果显示了访问密钥的截止日期, AWS 账户 则如果未在该日期之前停止未经授权的使用,则 AWS 可能会暂停您的访问密钥。如果您认为收到了错误的提醒,请[联系 AWS 支持](https://console.aws.amazon.com/support/home?#/case/create?issueType=customer-service&serviceCode=customer-account&categoryCode=security)。
中显示的信息 Trusted Advisor 可能无法反映您账户的最新状态。除非账户中所有泄露的访问密钥都已得到解决,否则任何已泄露的访问密钥均不会标记为已解决。此类数据同步最多可能需要一周时间。
**检查 ID**
`12Fnkpl8Y5`
**提醒条件**
+ 红色:可能已泄露- AWS 已识别访问密钥 ID 和相应的私有访问密钥,这些密钥已在 Internet 上暴露并可能已被泄露(使用)。
+ 红色:已暴露 — AWS 已识别出已在互联网上公开的访问密钥 ID 和相应的私有访问密钥。
+ 红色:疑似盗用 – Amazon EC2 出现异常使用情况,访问密钥可能已遭盗用,但尚未确定已在互联网上泄露。
**Recommended Action(建议的操作)**
尽快删除受影响的访问密钥。如果此密钥与 IAM 用户关联,请参阅[管理对 IAM 用户的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingCredentials.html)。
检查您的账户是否存在未授权使用情况。登录到 [AWS 管理控制台](https://console.aws.amazon.com/),检查每个服务控制台是否存在可疑资源。请特别注意运行中的 Amazon EC2 实例、竞价型实例请求、访问密钥和 IAM 用户。您也可以在[账单与成本管理控制台](https://console.aws.amazon.com/billing/home#/)上检查总体使用情况。
**其他资源**
+ [管理 AWS 访问密钥的最佳实践](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html)
+ [AWS 安全审计指南](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
**报告列**
+ 访问密钥 ID
+ 用户名(IAM 或根用户)
+ 欺诈类型
+ 案例 ID
+ 更新时间
+ 位置
+ 截止日期
+ 使用量(美元/天)
## IAM 访问密钥轮换
**说明**
检查过去 90 天内未轮换的活动 IAM 访问密钥。
定期轮换访问密钥时,您可以减少在您不知情的情况下使用泄漏的密钥访问资源的可能性。出于此检查的目的,上次轮换日期和时间是创建或最近激活访问密钥的时间。访问密钥编号和日期来自最新 IAM 凭证报告中的 `access_key_1_last_rotated` 和 `access_key_2_last_rotated` 信息。
由于凭证报告的重新生成频率受到限制,刷新此检查可能不会反映最近的变化。有关详细信息,请参阅[获取您 AWS 账户的凭证报告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)。
为了创建和轮换访问密钥,用户必须具有相应的权限。有关更多信息,请参阅[允许用户管理自己的密码、访问密钥和 SSH 密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_delegate-permissions_examples.html#creds-policies-credentials)。
**检查 ID**
`DqdJqYeRm5`
**提醒条件**
+ 绿色:访问密钥处于活跃状态且已在过去 90 天内轮换。
+ 黄色:访问密钥处于活跃状态且已在过去 2 年内轮换,但距今已超过 90 天。
+ 红色:访问密钥处于活跃状态,但在过去 2 年内未进行轮换。
**Recommended Action(建议的操作)**
定期轮换访问密钥。请参阅[轮换访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)和[管理 IAM 用户的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
**其他资源**
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [如何轮换 IAM 用户的访问密钥](https://aws.amazon.com/blogs/security/how-to-rotate-access-keys-for-iam-users/)
**报告列**
+ Status
+ IAM 用户
+ 访问密钥
+ 上次轮换的密钥
+ Reason
## IAM Access Analyzer 外部访问权限
**说明**
检查是否存在账户级别的 IAM Access Analyzer 外部访问。
IAM Access Analyzer 外部访问分析器可帮助您识别账户中与外部实体共享的资源。然后,分析器会创建一个集中式仪表板以显示检查结果。在 IAM 控制台中激活新的分析器后,安全团队可根据过度权限情况,确定需要优先审查的账户。外部访问分析器会创建资源的公共访问和跨账户访问结果,无需额外付费。
**检查 ID**
`07602fcad6`
**提醒条件**
+ 红色:未在账户级别激活分析器的外部访问。
+ 绿色:已在账户级别激活分析器的外部访问。
**Recommended Action(建议的操作)**
为每个账户创建一个外部访问分析器,有助于安全团队根据过度权限情况,确定需要优先审查的账户。有关更多信息,请参阅[AWS Identity and Access Management Access Analyzer 结果入门](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)。
此外,最佳做法是使用未使用访问权限分析器,这是一项付费功能,可简化对未使用访问权限的检查,帮助您实现最低权限原则。有关更多信息,请参阅[识别授予 IAM 用户和角色的未使用访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-unused-access-analysis)。
**其他资源**
+ [使用 AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification)
+ [IAM Access Analyzer 更新:查找未使用的访问权限,在部署前检查策略](https://aws.amazon.com/blogs/aws/iam-access-analyzer-updates-find-unused-access-check-policies-before-deployment)
**报告列**
+ Status
+ Region
+ 账户外部访问分析器 Arn
+ 组织级外部访问分析器 Arn
+ 上次更新时间
## IAM 密码策略
**说明**
检查账户的密码策略,并在未启用密码策略或未启用密码内容要求时发出警告。
密码内容要求通过强制创建强用户密码提高了 AWS 环境的整体安全性。若您创建或更改密码策略,将会立即对新用户强制执行更改,但不会要求现有用户更改其密码。
**检查 ID**
`Yw2K9puPzl`
**提醒条件**
+ 绿色:密码策略已启用,推荐内容要求已启用。
+ 黄色:密码策略已启用,但至少有一项内容要求未启用。
**Recommended Action(建议的操作)**
如果部分内容要求未启用,请考虑进行启用。如果未启用任何密码策略,请创建并配置策略。请参阅[为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingPasswordPolicies.html)。
要访问 AWS 管理控制台,IAM 用户需要密码。作为最佳实践, AWS 强烈建议您使用联合身份验证,而不是创建 IAM 用户。联合身份验证允许用户使用其现有的公司凭证登录 AWS 管理控制台。使用 IAM Identity Center 创建用户或联合用户,然后在账户中承担 IAM 角色。
要了解有关身份提供者和联合身份验证的更多信息,请参阅《IAM 用户指南》中的[身份提供者和联合身份验证](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html)。要了解有关 IAM Identity Center 的更多信息,请参阅 [IAM Identity Center 用户指南](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
**其他资源**
[管理密码](https://docs.aws.amazon.com/IAM/latest/UserGuide/Credentials-ManagingPasswords.html)
**报告列**
+ 密码策略
+ 大写
+ 小写
+ 数字
+ 非字母数字
## IAM SAML 2.0 身份提供者
**说明**
检查 AWS 账户 是否配置为可通过支持 SAML 2.0 的身份提供者(IdP)进行访问。在[外部身份提供商](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)或 [AWS IAM Identity Center](https://aws.amazon.com/single-sign-on/) 中集中管理身份和配置用户时,请务必遵循最佳实践。
**检查 ID**
`c2vlfg0p86`
**提醒条件**
+ 黄色:此账户未配置为可通过支持 SAML 2.0 的身份提供者(IdP)进行访问。
+ 绿色:此账户已配置为可通过支持 SAML 2.0 的身份提供者(IdP)进行访问。
**Recommended Action(建议的操作)**
为 AWS 账户激活 IAM Identity Center。有关更多信息,请参阅[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。启用 IAM Identity Center 后,您可以执行常见任务,例如创建权限集以及为 Identity Center 组分配访问权限。有关更多信息,请参阅[常见任务](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。
最佳做法是在 IAM Identity Center 中管理人类用户。但在小规模部署场景下,短期内您也可以通过 IAM 为人工用户激活联合用户访问权限。有关更多信息,请参阅 [SAML 2.0 联合身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html)。
**其他资源**
[什么是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html)
**报告列**
+ Status
+ AWS 账户 Id
+ 上次更新时间
## 根账户的 MFA
**说明**
检查账户的根用户凭证,如果未启用多重身份验证(MFA),则发出警告。
为了提高安全性,我们建议您使用 MFA 来保护您的账户,MFA 要求用户在与网站和关联网站互动时输入来自其 MFA 硬件或虚拟设备的唯一身份验证码。 AWS 管理控制台
对于您的 AWS Organizations 管理账户, AWS 需要根用户在访问时进行多重身份验证 (MFA)。 AWS 管理控制台
对于您的 AWS Organizations 成员账户,我们建议您使用集中管理根证书 AWS Identity and Access Management。可以集中删除成员账户的根用户凭证,无需管理根用户凭证的 MFA。有关更多信息,请参阅《AWS Organizations 参考指南》**中的[成员账户的最佳实践](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)。
**检查 ID**
`7DAFEmoDos`
**提醒条件**
+ 红色:未在根账户上启用 MFA。
+ 绿色:不存在根用户凭证(根密码),或者该账户已启用 MFA。
**推荐操作**
**如果这是中的成员账户 AWS Organizations:**登录您的管理账户,在 IAM 中启用根访问管理功能,然后从该成员账户中移除您的根用户证书。请参阅[集中成员账户的根访问](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-enable-root-access.html)。
**如果这是独立账户或管理账户 AWS Organizations:登录**您的根账户并激活 MFA 设备。有关更多信息,请参阅[检查 MFA 状态](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_checking-status.html)和[ IAM 中的AWS 多重身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
**其他资源**
+ [集中管理成员账户的根访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)
+ [AWS IAM 中的多因素身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [AWS 账户 root 用户的多因素身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)
## 根用户访问密钥
**说明**
检查是否存在根用户访问密钥。强烈建议您不要为根用户创建访问密钥对。由于[只有少数任务需要根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html),而且您通常不经常执行这些任务,因此最佳做法是登录到 AWS 管理控制台 来执行根用户任务。在创建访问密钥之前,请认真阅读[长期访问密钥的替代方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html#sec-alternatives-to-long-term-access-keys)。
**检查 ID**
`c2vlfg0f4h`
**提醒条件**
+ 红色:存在根用户访问密钥
+ 绿色:不存在根用户访问密钥
**Recommended Action(建议的操作)**
删除根用户的访问密钥。请参阅[删除根用户的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user_manage_delete-key.html)。此任务必须由根用户执行。您无法以 IAM 用户或角色身份执行这些步骤。
**其他资源**
+ [需要 root 用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)
+ [重置丢失或忘记的 root 用户密码](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)
报告列
+ Status
+ 账户 ID
+ 上次更新时间
## 安全组 – 不受限制的特定端口
**说明**
检查安全组是否有允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。
不受限制的访问增加了恶意活动(黑客 denial-of-service攻击、攻击、数据丢失)的机会。风险最高的端口标记为红色,风险较小的端口将标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用,例如 HTTP 和 SMTP。
如果您故意通过这种方式配置了安全组,我们建议您使用其他安全措施来保护您的基础设施(如 IP 表)。
此检查仅评估您创建的安全组及其 IPv4 地址入站规则。 AWS Directory Service 创建的安全组标记为红色或黄色,但它们不会构成安全风险,并且可以被排除。有关更多信息,请参阅 [Trusted Advisor 常见问题](https://aws.amazon.com/premiumsupport/faqs/#AWS_Trusted_Advisor)。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`HCP4007jGY`
**提醒条件**
+ 绿色:安全组对端口 80、25、443 或 465 提供不受限制的访问。
+ 红色:安全组附加到资源,对端口 20、21、22、1433、1434、3306、3389、4333、5432 或 5500 提供不受限制的访问。
+ 黄色:安全组对任何其他端口提供不受限制的访问。
+ 黄色:安全组未附加到任何资源,并且提供不受限制的访问。
**Recommended Action(建议的操作)**
只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问,请将后缀设置为 /32(例如,192.0.2.10/32)。在创建更加严格的规则后,请务必删除过于宽松的规则。
检查并删除未使用的安全组。您可以使用 AWS Firewall Manager 大规模集中配置和管理安全组。有关更多信息 AWS 账户,请参阅[AWS Firewall Manager 文档](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)。
对于通过 SSH(端口 22)和 RDP(端口 3389)访问 EC2 实例的场景,建议使用 Systems Manager Sessions Manager。使用会话管理器,您无需在安全组中启用端口 22 和端口 3389 即可访问 EC2 实例。
**其他资源**
+ [Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
[TCP 和 UDP 端口号列表](http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)
+ [无类域间路由](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [使用会话管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with.html)
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
**报告列**
+ Status
+ Region
+ 安全组名称
+ 安全组 ID
+ 协议
+ 起始端口
+ 终止端口
+ 关联
## 安全组 – 不受限制的访问
**说明**
检查安全组是否存在允许不受限制地访问资源的规则。
不受限制的访问增加了恶意活动(黑客 denial-of-service攻击、攻击、数据丢失)的机会。
此检查仅评估您创建的安全组及其 IPv4 地址入站规则。由创建的安全组 AWS Directory Service 会被标记为红色或黄色,但它们不构成安全风险,可以排除在外。有关更多信息,请参阅 [Trusted Advisor 常见问题](https://aws.amazon.com/premiumsupport/faqs/#AWS_Trusted_Advisor)。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`1iG5NDGVre`
**提醒条件**
+ 绿色:安全组规则有一个后缀为 /0 的源 IP 地址,该规则适用于端口 25、80 或 443。
+ 黄色:安全组规则有一个后缀为 /0 的源 IP 地址,用于 25、80 或 443 以外的端口,且安全组已附加到资源。
+ 红色:安全组规则有一个后缀为 /0 的源 IP 地址,且该规则针对 25、80 或 443 以外的端口,同时安全组未附加到资源。
**Recommended Action(建议的操作)**
只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问,请将后缀设置为 /32(例如,192.0.2.10/32)。在创建更加严格的规则后,请务必删除过于宽松的规则。
检查并删除未使用的安全组。您可以使用 AWS Firewall Manager 大规模集中配置和管理安全组。有关更多信息 AWS 账户,请参阅[AWS Firewall Manager 文档](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)。
对于通过 SSH(端口 22)和 RDP(端口 3389)访问 EC2 实例的场景,建议使用 Systems Manager Sessions Manager。使用会话管理器,您无需在安全组中启用端口 22 和端口 3389 即可访问 EC2 实例。
**其他资源**
+ [Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [无类域间路由](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [使用会话管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with.html)
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
**报告列**
+ Status
+ Region
+ 安全组名称
+ 安全组 ID
+ 协议
+ 起始端口
+ 终止端口
+ IP 范围
+ 关联
# 容错能力
您可以使用以下容错类别检查。
**Contents**
+ [
## ALB 多可用区
](#alb-multi-az)
+ [
## 未启用 Amazon Aurora MySQL 集群回溯功能
](#amazon-aurora-mysql-cluster-backtracking-not-enabled)
+ [
## Amazon Aurora 数据库实例可访问性
](#amazon-aurora-db-instance-accessibility)
+ [
## 亚马逊 O CloudFront rigin 故障转移
](#amazon-cloudfront-origin-failover)
+ [
## Amazon Comprehend 端点访问风险
](#amazon-comprehend-endpoint-access-risk)
+ [
## Amazon DocumentDB 单可用区集群
](#amazon-documentdb-single-az-clusters)
+ [
## 亚马逊 DynamoDB 恢复 Point-in-time
](#amazon-dynamodb-table-point-in-time-recovery)
+ [
## 备份计划中未包含 Amazon DynamoDB 表
](#amazon-dynamodb-table-not-in-backup-plan)
+ [
## 计划中 AWS Backup 未包含亚马逊 EBS
](#amazon-ebs-not-in-backup-plan)
+ [
## Amazon EBS 快照
](#amazon-ebs-snapshots)
+ [
## Amazon EC2 Auto Scaling 未启用 ELB 运行状况检查
](#amazon-ec2-auto-scaling-group-no-elb-health-check)
+ [
## Amazon EC2 Auto Scaling 组容量再平衡已启用
](#amazon-ec2-auto-scaling-group-capacity-rebalance-enabled)
+ [
## Amazon EC2 Auto Scaling 不是成批部署的, AZs 或者没有达到最低部署数量的要求 AZs
](#amazon-ec2-auto-scaling-group-multiple-az)
+ [
## Amazon EC2 可用区平衡
](#amazon-ec2-availability-zone-balance)
+ [
## Amazon EC2 详细监控未启用
](#amazon-ec2-detailed-monitoring-not-enabled)
+ [
## Amazon ECS AWS日志驱动程序处于屏蔽模式
](#amazon-ecs-awslogs-driver-blockingmode)
+ [
## 使用单个可用区的 Amazon ECS 服务
](#amazon-ecs-service-single-az)
+ [
## Amazon ECS 多可用区放置策略
](#amazon-ecs-multi-az-placement-strategy)
+ [
## Amazon EFS 无挂载目标冗余
](#amazon-efs-no-mount-target-redundancy)
+ [
## Amazon EFS 不在 AWS Backup 计划中
](#amazon-efs-not-in-backup-plan)
+ [
## Amazon ElastiCache 多可用区集群
](#amazon-elasticache-multi-az-clusters)
+ [
## ElastiCache (Redis OSS) 集群自动备份
](#amazon-elasticache-redis-clusters-auto-backup)
+ [
## Amazon MemoryDB 多可用区集群
](#amazon-memorydb-multi-az-clusters)
+ [
## Amazon MSK 代理托管的分区过多
](#amazon-msk-brokers-hosting-too-many-partitions)
+ [
## Amazon MSK 集群多可用区
](#amazon-msk-cluster-multi-az)
+ [
## 数据节点少于三个的 Amazon OpenSearch 服务域
](#amazon-opensearch-service-domains-less-than-three-nodes)
+ [
## Amazon RDS 备份
](#amazon-rds-backups)
+ [
## Amazon RDS 连续备份未启用
](#amazon-rds-cont-backups)
+ [
## Amazon RDS 数据库集群有一个数据库实例
](#amazon-rds-db-clusters-one-db-instance)
+ [
## 所有实例都在同一可用区中的 Amazon RDS 数据库集群
](#amazon-rds-db-clusters-same-az)
+ [
## 所有读取器实例都在同一可用区中的 Amazon RDS 数据库集群
](#amazon-rds-reader-instances-same-az)
+ [
## Amazon RDS 数据库实例增强监控未启用
](#amazon-rds-db-instance-enhanced-monitoring-not-enabled)
+ [
## Amazon RDS 数据库实例已关闭存储自动扩缩
](#amazon-rds-db-instance-storage-autoscaling-off)
+ [
## Amazon RDS 数据库实例未使用多可用区部署
](#amazon-rds-db-instances-not-using-multi)
+ [
## 亚马逊 RDS DiskQueueDepth
](#Amazon-RDS-DiskQueueDepth)
+ [
## 亚马逊 RDS FreeStorageSpace
](#Amazon-RDS-FreeStorageSpace)
+ [
## Amazon RDS log\$1output 参数设置为 table
](#amazon-rds-log-parameter-set-to-table)
+ [
## Amazon RDS innodb\$1default\$1row\$1format 参数设置不安全
](#rds-innodb-default-row-format-unsafe)
+ [
## Amazon RDS innodb\$1flush\$1log\$1at\$1trx\$1commit 参数不是 1
](#rds-innodb-flush-log-at-trx-parameter-off)
+ [
## Amazon RDS max\$1user\$1connections 参数值偏低
](#rds-max-user-connections-parameter-low)
+ [
## Amazon RDS Multi-AZ
](#amazon-rds-multi-az)
+ [
## 亚马逊 RDS 不在 AWS Backup 计划中
](#amazon-rds-not-in-backup-plan)
+ [
## Amazon RDS 只读副本在可写模式下打开
](#rds-read-replicas-writable)
+ [
## Amazon RDS 资源自动备份已关闭
](#amazon-rds-auto-backup-off)
+ [
## Amazon RDS sync\$1binlog 参数已关闭
](#rds-sync-binlog-parameter-off)
+ [
## RDS 数据库集群未启用多可用区复制
](#rds-db-cluster-multi-zone-replication-not-enabled)
+ [
## RDS 多可用区备用实例未启用
](#rds-multi-az-standby-instance)
+ [
## 亚马逊 RDS ReplicaLag
](#Amazon-RDS-ReplicaLag)
+ [
## Amazon RDS synchronous\$1commit 参数已关闭
](#rds-synchronous-commit-parameter-off)
+ [
## Amazon Redshift 集群自动快照
](#amazon-redshift-cluster-automated-snapshots)
+ [
## Amazon Route 53 已删除运行状况检查
](#amazon-route-53-deleted-health-checks)
+ [
## Amazon Route 53 失效转移资源记录集
](#amazon-route-53-failover-resource-record-sets)
+ [
## Amazon Route 53 高 TTL 资源记录集
](#amazon-route-53-high-ttl-resource-record-sets)
+ [
## Amazon Route 53 域名服务器委托
](#amazon-route-53-name-server-delegations)
+ [
## Amazon Route 53 Resolver 端点可用区冗余
](#amazon-route53-resolver-endpoint-availability-zone-redundancy)
+ [
## Amazon S3 桶复制未启用
](#amazon-s3-bucket-replication-not-enabled)
+ [
## Amazon S3 Bucket Versioning
](#amazon-s3-bucket-versioning)
+ [
## 应用程序、网络和网关负载均衡器未跨多个可用区
](#application-network-load-balancers-not-span-multi-az)
+ [
## Auto Scaling IPs 在子网中可用
](#auto-scaling-available-ips-in-subnets)
+ [
## Auto Scaling 组运行状况检查
](#auto-scaling-group-health-check)
+ [
## Auto Scaling 组资源
](#auto-scaling-group-resources)
+ [
## AWS CloudHSM 在单个可用区中运行 HSM 实例的集群
](#aws-cloudhsm-clusters-running-hsm-instances-in-a-single-az)
+ [
## Direct Connect 位置弹性
](#amazon-direct-connect-location-resiliency)
+ [
## AWS Lambda 未配置死信队列的函数
](#aws-lambda-functions-without-dlq)
+ [
## AWS Lambda 关于故障事件目的地
](#AWS-Lambda-On-Failure-Event-Destinations)
+ [
## AWS Lambda 不带多可用区冗余的启用 VPC 的功能
](#aws-lambda-vpc-enabled-functions-without-multi-az-redundancy)
+ [
## AWS Outposts 单机架部署
](#aws-outposts-single-rack-deployment)
+ [
## AWS Resilience Hub 应用程序组件检查
](#amazon-resilience-hub-application-component-check)
+ [
## AWS Resilience Hub 违反了政策
](#aws-resilience-hub-policy-breached)
+ [
## AWS Resilience Hub 韧性分数
](#aws-resilience-hub-resilience-scores)
+ [
## AWS Resilience Hub 评估年龄
](#aws-resilience-hub-assessment-age)
+ [
## AWS Site-to-Site VPN 至少有一条隧道处于关闭状态
](#aws-site-to-site-vpn-tunnel-in-down-status)
+ [
## AWS STS 全球终端节点使用情况 AWS 区域
](#sts-global-endpoint)
+ [
## AWS Well-Architected 可靠性高风险问题
](#well-architected-high-risk-issues-reliability)
+ [
## Classic Load Balancer 没有 AZs 配置多个
](#classic-load-balancewr-no-multi-azs)
+ [
## ELB 连接耗尽
](#elb-connection-draining)
+ [
## ELB 目标不均衡
](#elb-target-imbalance)
+ [
## GWLB - 端点可用区独立性
](#gwlb-endpoint-az-independence)
+ [
## 负载均衡器优化
](#load-balancer-optimization)
+ [
## NAT 网关可用区独立性
](#nat-gateway-az-independence)
+ [
## Network Firewall 端点可用区独立性
](#network-firewall-endpoint-az-independence)
+ [
## Network Firewall 多可用区
](#network-firewall-multi-az)
+ [
## 网络负载均衡器跨区域负载均衡
](#network-load-balancers-cross-load-balancing)
+ [
## NLB - 私有子网中面向互联网的资源
](#nlb-internet-facing-resources-private-subnet)
+ [
## NLB 多可用区
](#nlb-multi-az)
+ [
## 事件管理器复制集 AWS 区域 中的数量
](#number-of-aws-regions-in-an-incident-manager-replication-set)
+ [
## 单个可用区应用程序检查
](#single-az-application-check)
+ [
## VPC 接口多个 VPC 接口端点网络接口 AZs
](#vpc-interface-endpoint-network-interface-multi-az)
+ [
## VPN 隧道冗余
](#vpn-tunnel-redundancy)
+ [
## ActiveMQ 可用区冗余
](#activemq-availability-zone-redundancy)
+ [
## RabbitMQ 可用区冗余
](#rabbitmq-availability-zone-redundancy)
## ALB 多可用区
**说明**
检查您的应用程序负载均衡器是否配置为使用多个可用区(AZ)。一个可用区是一个不同的位置,它与其他区域的故障隔离开来。在同一区域中将您的负载均衡器配置为多个 AZs 以帮助提高工作负载可用性。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1dfprch08`
**提醒条件**
黄色:ALB 部署在单个可用区中。
绿色:ALB 有两个或更多 AZs。
**Recommended Action(建议的操作)**
确保负载均衡器配置了至少两个可用区。
有关更多信息,请参阅[应用程序负载均衡器的可用区](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-subnets.html)。
**其他资源**
有关更多信息,请参阅以下文档:
+ [Elastic 负载平衡的工作原理](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#AZ-Region)
+ [区域、可用区和本地区域](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html)
**报告列**
+ Status
+ Region
+ ALB 名称
+ ALB 规则
+ ALB ARN
+ 的数量 AZs
+ 上次更新时间
## 未启用 Amazon Aurora MySQL 集群回溯功能
**说明**
检查 Amazon Aurora MySQL 集群是否启用了回溯功能。
Amazon Aurora MySQL 集群回溯功能允许您将 Aurora 数据库集群还原到之前的时间点,而无需创建新集群。该功能使您能够将数据库回滚到保留期内的特定时间点,而无需从快照还原。
您可以在 AWS Config 规则的**BacktrackWindowInHours**参数中调整回溯时间窗口(小时)。
有关更多信息,请参阅[回溯 Aurora 数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz131`
**来源**
`AWS Config Managed Rule: aurora-mysql-backtracking-enabled`
**提醒条件**
黄色:未启用 Amazon Aurora MySQL 集群回溯功能。
**Recommended Action(建议的操作)**
为您的 Amazon Aurora MySQL 集群开启回溯功能。
有关更多信息,请参阅[回溯 Aurora 数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)。
**其他资源**
[回溯 Aurora 数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon Aurora 数据库实例可访问性
**说明**
检查 Amazon Aurora 数据库集群同时具有私有实例和公有实例的情况。
如果主实例故障,则副本实例可提升为主实例。如果该副本实例是私有的,则只具有公有访问权限的用户将无法在失效转移后连接到数据库。我们建议集群中的所有数据库实例具有相同的可访问性。
**检查 ID**
`xuy7H1avtl`
**提醒条件**
黄色:Aurora 数据库集群中的实例具有不同的可访问性(公有和私有混合)。
**Recommended Action(建议的操作)**
修改数据库集群中实例的 `Publicly Accessible` 设置,以便将所有实例设置为公有或私有。有关详细信息,请参阅[修改运行 MySQL 数据库引擎的数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ModifyInstance.MySQL.html)中有关 MySQL 实例的说明。
**其他资源**
[Aurora 数据库集群的容错能力](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Aurora.Managing.html#Aurora.Managing.FaultTolerance)
**报告列**
+ Status
+ Region
+ Cluster
+ 公有数据库实例
+ 私有数据库实例
+ Reason
## 亚马逊 O CloudFront rigin 故障转移
**说明**
检查是否为包含 Amazon 中两个来源的分配配置了起源组 CloudFront。
有关更多信息,请参阅[使用 CloudFront 源故障转移优化高可用性](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz112`
**来源**
`AWS Config Managed Rule: cloudfront-origin-failover-enabled`
**提醒条件**
黄色:未启用 Amazon CloudFront 源站故障转移。
**Recommended Action(建议的操作)**
请务必为 CloudFront 发行版开启源故障转移功能,以帮助确保向最终用户交付内容的高可用性。开启此功能后,如果主原始服务器不可用,则流量将自动路由到备用原始服务器。这样可以最大限度地减少潜在停机时间,并确保内容的持续可用性。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon Comprehend 端点访问风险
**说明**
检查使用客户托管密钥加密底层模型的端点的 AWS Key Management Service (AWS KMS) 密钥权限。如果禁用了客户托管式密钥,或者更改了密钥策略以针对 Amazon Comprehend 更改允许的权限,则端点可用性可能会受到影响。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Cm24dfsM13`
**提醒条件**
红色:客户托管式密钥已禁用或者密钥策略已更改以改变 Amazon Comprehend 允许的访问权限。
**Recommended Action(建议的操作)**
如果客户托管式密钥已禁用,我们建议您启用它。有关更多信息,请参阅[启用密钥](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。如果密钥策略已更改,而您想继续使用终端节点,我们建议您更新 AWS KMS 密钥策略。有关更多信息,请参阅[更改密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)。
**其他资源**
[AWS KMS 权限](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html)
**报告列**
+ Status
+ Region
+ 端点 ARN
+ 模型 ARN
+ KMS KeyId
+ 上次更新时间
## Amazon DocumentDB 单可用区集群
**说明**
检查是否存在配置为单可用区的 Amazon DocumentDB 集群。
在单可用区架构中运行 Amazon DocumentDB 工作负载不足以处理高度关键的工作负载,最长可能需要 10 分钟时间才能从组件故障中恢复。客户应在其他可用区中部署副本实例,以确保在维护操作、实例故障、组件故障或可用区故障期间保持可用。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c15vnddn2x`
**提醒条件**
黄色:Amazon DocumentDB 集群的实例分布在少于三个可用区中。
绿色:Amazon DocumentDB 集群的实例分布在三个可用区中。
**Recommended Action(建议的操作)**
如果您的应用程序要求高可用性,请修改数据库实例,通过副本实例启用多可用区部署。请参阅 [Amazon DocumentDB 高可用性和复制](https://docs.aws.amazon.com/documentdb/latest/developerguide/replication.html)
**其他资源**
[了解亚马逊 DocumentDB 集群容错能力](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-fault-tolerance.html)
[区域和可用区](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html)
**报告列**
+ Status
+ Region
+ 可用区
+ 数据库集群标识符
+ 数据库集群 ARN
+ 上次更新时间
## 亚马逊 DynamoDB 恢复 Point-in-time
**说明**
检查您的 Amazon DynamoDB 表是否启用了时间点恢复。
时间点恢复有助于保护 DynamoDB 表免遭意外写入或删除操作。使用时间点恢复,您不必担心创建、维护或计划按需备份。时间点恢复可将表还原到最近 35 天中的任何时间点。DynamoDB 维护表的增量备份。
有关更多信息,请参阅 [DynamoDB 的Point-in-time 恢复](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz138`
**来源**
`AWS Config Managed Rule: dynamodb-pitr-enabled`
**提醒条件**
黄色:您的 DynamoDB 表未启用 Point-in-time恢复功能。
**Recommended Action(建议的操作)**
在 Amazon DynamoDB 中开启 point-in-time恢复功能以持续备份您的表格数据。
有关更多信息,请参阅[Point-in-time 恢复:工作原理](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery_Howitworks.html)。
**其他资源**
[Point-in-time DynamoDB 的恢复](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 备份计划中未包含 Amazon DynamoDB 表
**说明**
检查 Amazon DynamoDB 表是否属于计划的一部分。 AWS Backup
AWS Backup 为 DynamoDB 表提供增量备份,用于捕获自上次备份以来所做的更改。在计划中 AWS Backup 包含 DynamoDB 表有助于保护您的数据免受意外数据丢失的影响,并自动执行备份过程。这为您的 DynamoDB 表提供了可靠且可扩展的备份解决方案,有助于确保您的宝贵数据得到保护并可根据需要进行恢复。
有关更多信息,请参阅[使用创建 DynamoDB 表的备份 AWS Backup](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/CreateBackupAWS.html)
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz107`
**来源**
`AWS Config Managed Rule: dynamodb-in-backup-plan`
**提醒条件**
黄色:计划中不包括亚马逊 DynamoDB 表。 AWS Backup
**Recommended Action(建议的操作)**
确保计划中包含您的亚马逊 DynamoDB 表。 AWS Backup
**其他资源**
[计划备份](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/CreateBackupAWS.html#CreateBackupAWS_scheduled)
[什么是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
[使用 Amazon Backup 控制台创建备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-console)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 计划中 AWS Backup 未包含亚马逊 EBS
**说明**
检查的备份计划中是否有 Amazon EBS 卷。 AWS Backup
将 Amazon EBS 卷纳入 AWS Backup 计划,自动定期备份存储在这些卷上的数据。这可以防止数据丢失,使数据管理更容易,并允许在需要时恢复数据。备份计划有助于确保您的数据安全,并且能够满足应用程序和服务的恢复时间和恢复点目标(RTO/RPO)。
有关更多信息,请参阅[创建备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz106`
**来源**
`AWS Config Managed Rule: ebs-in-backup-plan`
**提醒条件**
黄色: AWS Backup 计划中不包括亚马逊 EBS 交易量。
**Recommended Action(建议的操作)**
确保 AWS Backup 计划中包含您的 Amazon EBS 卷。
**其他资源**
[使用 AWS Backup 控制台创建备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-console)
[什么是 AWS Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
[入门 3:创建计划备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-scheduled-backup.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon EBS 快照
**说明**
检查 Amazon EBS 卷(可用或正在使用)的快照的存在时间。即使复制了 Amazon EBS 卷,也可能会发生故障。快照会保存到 Amazon S3 中,以实现持久存储和 point-in-time恢复。
**检查 ID**
`H7IgTzjTYb`
**提醒条件**
+ 黄色:最新的卷快照在 7 到 30 天之间。
+ 红色:最新的卷快照超过 30 天。
+ 红色:卷没有快照。
**Recommended Action(建议的操作)**
每周或每月为卷创建一次快照。有关更多信息,请参阅[创建 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html)。
要自动创建 EBS 快照,您可以考虑使用 [AWS Backup](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/new-ebs-volume-backups.html#aws-backup-volume) 或 [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/new-ebs-volume-backups.html#amazon-dlm)。
**其他资源**
[Amazon Elastic Block Store(Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)
[Amazon EBS Snapshots](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html)
[AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
[Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-lifecycle.html)
**报告列**
+ Status
+ Region
+ 卷 ID
+ 卷名
+ 快照 ID
+ 快照名称
+ 快照期限
+ 卷附件
+ Reason
## Amazon EC2 Auto Scaling 未启用 ELB 运行状况检查
**说明**
检查与经典负载均衡器关联的 Amazon EC2 Auto Scaling 组是否正在使用 Elastic Load Balancing 运行状况检查。自动扩缩组的默认运行状况检查只有 Amazon EC2 状态检查。如果某个实例未通过这些状态检查,则将该实例标记为运行状况不佳并终止该实例。Amazon EC2 Auto Scaling 会启动一个新替代实例。Elastic Load Balancing 运行状况检查会定期监控 Amazon EC2 实例,以检测和终止运行状况不佳的实例,再启动新实例。
有关更多信息,请参阅[新增 Elastic Load Balancing 运行状况检查](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz104`
**来源**
`AWS Config Managed Rule: autoscaling-group-elb-healthcheck-required`
**提醒条件**
黄色:附加到经典负载均衡器的 Amazon EC2 Auto Scaling 组未启用 Elastic Load Balancing 运行状况检查。
**Recommended Action(建议的操作)**
确保与经典负载均衡器关联的自动扩缩组使用 Elastic Load Balancing 运行状况检查。
Elastic Load Balancing 运行状况检查报告负载均衡器是否运行状况良好以及是否可用于处理请求。这可为您的应用程序确保高可用性。
有关更多详细,请参阅[向自动扩缩组添加 Elastic Load Balancing 运行状况检查](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon EC2 Auto Scaling 组容量再平衡已启用
**说明**
检查使用多种实例类型的 Amazon EC2 Auto Scaling 组是否启用了容量再平衡。
为 Amazon EC2 Auto Scaling 组配置容量再平衡有助于确保 Amazon EC2 实例在各可用区均匀分布,而不受实例类型和购买选项的影响。该功能使用与该组关联的目标跟踪策略,例如 CPU 利用率或网络流量。
有关更多信息,请参阅[具有多个实例类型和购买选项的自动扩缩组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html#as-mixed-instance-types.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`AWS Config c18d2gz103`
**来源**
AWS Config 托管规则: autoscaling-capacity-rebalancing
**提醒条件**
黄色:Amazon EC2 Auto Scaling 组容量再平衡未启用。
**Recommended Action(建议的操作)**
确保使用多种实例类型的 Amazon EC2 Auto Scaling 组已启用容量再平衡。
有关更多信息,请参阅[启用容量再平衡(控制台)](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-capacity-rebalancing.html#enable-capacity-rebalancing-console.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon EC2 Auto Scaling 不是成批部署的, AZs 或者没有达到最低部署数量的要求 AZs
**说明**
检查 Amazon EC2 Auto Scaling 组是否部署在多个可用区中,或是否指定了最少可用区数量。在多个可用区中部署 Amazon EC2 实例以确保高可用性。
您可以使用 AWS Config 规则中的**minAvailibilityZones**参数调整可用区的最小数量。
有关更多信息,请参阅[具有多个实例类型和购买选项的自动扩缩组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html)。
**检查 ID**
`c18d2gz101`
**来源**
`AWS Config Managed Rule: autoscaling-multiple-az`
**提醒条件**
红色:Amazon EC2 Auto Scaling 组没有 AZs 配置多个,或者没有达到 AZs 指定的最小数量。
**Recommended Action(建议的操作)**
请确保您的 Amazon EC2 Auto Scaling 组配置了多个可用区。在多个可用区中部署 Amazon EC2 实例以确保高可用性。
**其他资源**
[使用启动模板创建自动扩缩组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html)
[使用启动配置创建自动扩缩组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-configuration.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon EC2 可用区平衡
**说明**
检查 Amazon Elastic Compute Cloud (Amazon EC2) 实例在一个区域的可用区之间的分布。
可用区的位置各不相同,用于隔离其他可用区的故障。相同区域中的可用区之间通过廉价、低延迟的网络相连。通过启动相同区域中的多个可用区内的实例,您可以保护您的应用程序不受单点故障的影响。
**检查 ID**
`wuy7G1zxql`
**提醒条件**
+ 黄色:区域在多个区有实例,但分配不平均(使用的可用区中的最多实例和最少实例的数量相差超过 20%)。
+ 红色:区域只在单个可用区有实例。
**Recommended Action(建议的操作)**
在多个可用区之间平均分配 Amazon EC2 实例。您可以手动启动实例或使用 Auto Scaling 自动进行来实现此操作。有关更多信息,请参阅[启动实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html)和[对您的自动扩缩组进行负载均衡](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/US_SetUpASLBApp.html)。
**其他资源**
+ [Amazon EC2 Auto Scaling 用户指南](https://docs.aws.amazon.com/autoscaling/ec2/userguide/)
+ [您的 Amazon EC2 实例的置放群组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/placement-groups.html)
+ [亚马逊 EC2 实例类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html)
**报告列**
+ Status
+ Region
+ a 区实例
+ b 区实例
+ c 区实例
+ e 区实例
+ f 区实例
+ Reason
## Amazon EC2 详细监控未启用
**说明**
检查是否已为 Amazon EC2 实例启用详细监控。
Amazon EC2 详细监控提供了更频繁的指标,每隔一分钟发布一次,而不是 Amazon EC2 基本监控中每五分钟发布一次。启用对 Amazon EC2 的详细监控可帮助您更好地管理 Amazon EC2 资源,以便您可以找到趋势并更快地采取措施。
有关更多信息,请参阅[基本监控和详细监控](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-metrics-basic-detailed.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`AWS Config c18d2gz144`
**来源**
AWS Config 托管规则:ec2-instance-detailed-monitoring-enabled
**提醒条件**
黄色:未启用对 Amazon EC2 实例的详细监控。
**推荐操作**
开启对您的 Amazon EC2 实例的详细监控,以提高 Amazon EC2 指标数据向亚马逊发布的频率 CloudWatch (从 5 分钟到 1 分钟的时间间隔)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon ECS AWS日志驱动程序处于屏蔽模式
**说明**
检查是否在阻塞模式下使用 AWS日志记录驱动程序配置的 Amazon ECS 任务定义。在阻塞模式下配置的驱动程序可能会对系统可用性造成风险。
此检查不考虑账户级别的驱动程序配置设置。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1dvkm4z6b`
**提醒条件**
黄色:awslogs 驱动程序日志记录配置参数模式设置为阻塞。
绿色:Amazon ECS 任务定义未使用 awslogs 驱动程序,或在非阻塞模式下配置了 awslogs 驱动程序。
**推荐操作**
要降低可用性风险,请考虑将任务定义 AWS日志驱动程序配置从阻塞更改为非阻塞。在非阻塞模式下,你必须为 max-buffer-size参数设置一个值。有关配置参数的更多信息和指导,请参阅日志[容器日志驱动程序中的使用非阻塞模式防止 AWS日志丢失](https://aws.amazon.com/blogs/containers/preventing-log-loss-with-non-blocking-mode-in-the-awslogs-container-log-driver/)。
**其他资源**
[使用 AWS Logs 日志驱动程序](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html)
[选择容器日志记录选项以避免出现背压](https://aws.amazon.com/blogs/containers/choosing-container-logging-options-to-avoid-backpressure/)
[在日志容器日志驱动程序中使用非阻塞模式防止 AWS日志丢失](https://aws.amazon.com/blogs/containers/preventing-log-loss-with-non-blocking-mode-in-the-awslogs-container-log-driver/)
**报告列**
+ Status
+ Region
+ 任务定义 ARN
+ 容器定义名称
+ 上次更新时间
## 使用单个可用区的 Amazon ECS 服务
**说明**
检查您的服务配置是否使用单个可用区(AZ)。
一个可用区是一个不同的位置,它与其他区域的故障隔离开来。这支持在同一 AWS 区域设备之间实现低成本、低延迟 AZs 的网络连接。通过在同一区域的多个实例 AZs 中启动实例,您可以帮助保护您的应用程序免受单点故障的影响。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7dfpz01`
**提醒条件**
+ 黄色:Amazon ECS 服务在单个可用区中运行所有任务。
+ 绿色:一项 Amazon ECS 服务正在运行至少两种不同的任务 AZs。
**推荐操作**
为不同可用区中的服务至少再创建一个任务。
**其他资源**
[Amazon ECS 容量和可用性](https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/capacity-availability.html)
**报告列**
+ Status
+ Region
+ ECS 群集 Name/ECS 服务名称
+ 可用区数量
+ 上次更新时间
## Amazon ECS 多可用区放置策略
**说明**
检查您的 Amazon ECS 服务是否使用基于可用区(AZ)的分布放置策略。此策略将任务分配到同一可用区中 AWS 区域 ,可以帮助保护您的应用程序免受单点故障的影响。
对于作为 Amazon ECS 服务的一部分运行的任务,默认的任务放置策略为分布。
此检查还会验证分布是否是已启用的放置策略列表中的第一个或唯一的策略。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1z7dfpz02`
**提醒条件**
+ 黄色:按可用区域分布已禁用,或者并非您的 Amazon ECS 服务已启用放置策略列表中的第一个策略。
+ 绿色:按可用区域分布是您的 Amazon ECS 服务已启用放置策略列表中的第一个策略或已启用的唯一放置策略。
**推荐操作**
启用分散任务放置策略,将任务分配到多个任务中 AZs。验证按可用区分布是所有已启用任务放置策略的第一个策略或是使用的唯一策略。如果您选择管理可用区放置,则可以在另一个可用区中使用镜像服务来降低这类风险。
**其他资源**
[Amazon ECS 任务放置策略](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-placement-strategies.html)
**报告列**
+ Status
+ Region
+ ECS 群集 Name/ECS 服务名称
+ 分布任务放置策略已启用并已正确应用
+ 上次更新时间
## Amazon EFS 无挂载目标冗余
**说明**
检查 Amazon EFS 文件系统的多个可用区中是否存在挂载目标。
每个可用区是一个不同的位置,它与其他区域的故障隔离开来。通过在一个亚马逊云科技区域内多个地理上分离的可用区中创建挂载目标,您可以为 Amazon EFS 文件系统实现最高级别的可用性和持久性。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1dfprch01`
**提醒条件**
+ 黄色:文件系统在单个可用区中创建了 1 个挂载目标。
绿色:文件系统在多个可用区中创建了 2 个或更多挂载目标。
**推荐操作**
对于使用单区存储类的 EFS 文件系统,我们建议您通过将备份还原到新的文件系统来创建使用标准存储类的新文件系统。然后,在多个可用区中创建挂载目标。
对于使用标准存储类的 EFS 文件系统,建议您在多个可用区中创建挂载目标。
**其他资源**
+ [使用 Amazon EFS 控制台管理挂载目标](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html)
+ [Amazon EFS 配额和限制](https://docs.aws.amazon.com/efs/latest/ug/limits.html)
**报告列**
+ Status
+ Region
+ EFS 文件系统 ID
+ 挂载目标的数量
+ 的数量 AZs
+ 上次更新时间
## Amazon EFS 不在 AWS Backup 计划中
**说明**
检查备份计划中是否包含 Amazon EFS 文件系统 AWS Backup。
AWS Backup 是一项统一的备份服务,旨在简化备份的创建、迁移、恢复和删除,同时提供改进的报告和审计。
有关更多信息,请参阅[备份您的 Amazon EFS 文件系统](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html)。
**检查 ID**
`c18d2gz117`
**来源**
`AWS Config Managed Rule: EFS_IN_BACKUP_PLAN`
**提醒条件**
红色: AWS Backup 计划中不包括 Amazon EFS 文件系统。
**推荐操作**
确保您的 AWS Backup 计划中包含您的 Amazon EFS 文件系统,以防数据意外丢失或数据损坏。
**其他资源**
[备份您的 Amazon EFS 文件系统](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html)
[Amazon EFS Backup and Restore 使用 AWS Backup](https://aws.amazon.com/getting-started/hands-on/amazon-efs-backup-and-restore-using-aws-backup/)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon ElastiCache 多可用区集群
**说明**
检查在单个可用区 (AZ) 中部署的 ElastiCache 集群。如果集群中的多可用区处于非活动状态,则此检查会提示您。
在多个区域部署通过异步复制到不同可用区的只读副本来 AZs 增强 ElastiCache 集群的可用性。当发生计划内集群维护或主节点不可用时, ElastiCache 会自动将副本提升为主节点。这种失效转移允许恢复集群写入操作,并且不需要管理员干预。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`ECHdfsQ402`
**提醒条件**
+ 绿色:集群中的多可用区处于活动状态。
+ 黄色:集群中的多可用区处于非活动状态。
**推荐操作**
在与主分片不同的可用区中,每个分片至少创建一个副本。
**其他资源**
有关更多信息,请参阅使用[多可用区最大限度地缩短 ElastiCache (Redis OSS) 中的停机时间](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/AutoFailover.html)。
**报告列**
+ Status
+ Region
+ 集群名称
+ 上次更新时间
## ElastiCache (Redis OSS) 集群自动备份
**说明**
检查 Amazon ElastiCache (Redis OSS) 集群是否开启了自动备份,以及快照保留期是否高于指定的或 15 天的默认限制。启用自动备份后, ElastiCache 将每天创建群集的备份。
您可以使用 AWS Config 规则**snapshotRetentionPeriod**参数指定所需的快照保留期限。
有关更多信息,请参阅 [ ElastiCache (Redis OSS) 的备份和恢复](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz178`
**来源**
`AWS Config Managed Rule: elasticache-redis-cluster-automatic-backup-check`
**提醒条件**
红色:亚马逊 ElastiCache (Redis OSS)集群未开启自动备份或快照保留期低于限制。
**Recommended Action(建议的操作)**
确保 Amazon ElastiCache (Redis OSS) 集群已开启自动备份,并且快照保留期高于指定的或 15 天的默认限制。自动备份可以帮助防止数据丢失。节点发生故障时,您可以通过从最新的备份还原所有数据来创建新集群。
有关更多信息,请参阅 [ ElastiCache (Redis OSS) 的备份和恢复](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups.html)。
**其他资源**
有关更多信息,请参阅[计划自动备份](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html)。
**报告列**
+ Status
+ Region
+ 集群名称
+ 上次更新时间
## Amazon MemoryDB 多可用区集群
**说明**
检查部署在单个可用区(AZ)中的 MemoryDB 集群。如果集群中的多可用区处于非活动状态,则此检查会提示您。
在多个区域部署通过异步复制到不同可用区中的只读副本来 AZs 增强 MemoryDB 集群的可用性。当发生计划内集群维护或主节点不可用时,MemoryDB 会自动将副本提升为主节点。这种失效转移允许恢复集群写入操作,并且不需要管理员干预。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`MDBdfsQ401`
**提醒条件**
+ 绿色:集群中的多可用区处于活动状态。
+ 黄色:集群中的多可用区处于非活动状态。
**Recommended Action(建议的操作)**
在与主分片不同的可用区中,每个分片至少创建一个副本。
**其他资源**
有关更多信息,请参阅 [Minimizing downtime in MemoryDB with Multi-AZ](https://docs.aws.amazon.com/memorydb/latest/devguide/autofailover.html)(通过多可用区最大程度地减少 MemoryDB 停机时间)。
**报告列**
+ Status
+ Region
+ 集群名称
+ 上次更新时间
## Amazon MSK 代理托管的分区过多
**说明**
检查 Managed Streaming for Kafka(MSK)集群的代理分配的分区数量是否未超过建议的数量。
**检查 ID**
`Cmsvnj8vf1`
**提醒条件**
+ 红色:您的 MSK 代理已达到或超过建议最大分区限制的 100%
+ 黄色:您的 MSK 已达到建议最大分区限制的 80%
**Recommended Action(建议的操作)**
按照 MSK [建议的最佳实践](https://docs.aws.amazon.com/msk/latest/developerguide/bestpractices.html)来扩展您的 MSK 集群或删除任何未使用的分区。
**其他资源**
+ [将集群设置为正确大小](https://aws.amazon.com/blogs/big-data/best-practices-for-right-sizing-your-apache-kafka-clusters-to-optimize-performance-and-cost/)
**报告列**
+ Status
+ Region
+ 集群 ARN
+ 代理 ID
+ 分区计数
## Amazon MSK 集群多可用区
**说明**
检查您的 Amazon MSK 预配置集群的可用区域数量 (AZs)。Amazon MSK 集群由多个协同工作的代理组成,这些代理会分发数据和负载。在 2 个可用区架构的集群中,在执行维护操作或出现代理问题期间,生产可能会中断。
**检查 ID**
`90046ff5b5`
**提醒条件**
+ 黄色:Amazon MSK 集群仅在两个中配置了代理 AZs
+ 绿色:Amazon MSK 集群配置了跨三个或更多代理的代理 AZs
**Recommended Action(建议的操作)**
要提高集群的可用性,您可以在 3 AZs 设置中创建另一个集群。然后将现有集群迁移至新创建的集群。可以使用 Amazon MSK 复制进行此次迁移。
**其他资源**
[Amazon MSK 高可用性](https://docs.aws.amazon.com/msk/latest/developerguide/bestpractices.html#ensure-high-availability)
[Amazon MSK 迁移](https://docs.aws.amazon.com/msk/latest/developerguide/migration.html)
**报告列**
+ Status
+ Region
+ MSK 集群 ARN
+ 的数量 AZs
+ 上次更新时间
## 数据节点少于三个的 Amazon OpenSearch 服务域
**说明**
检查 Amazon S OpenSearch ervice 域是否配置了至少三个数据节点,并且 ZoneAwarenessEnabled 为真。 ZoneAwarenessEnabled 启用后,Amazon S OpenSearch ervice 可确保将每个主分片及其对应的副本分配到不同的可用区。
有关更多信息,请参阅[在 Amazon OpenSearch 服务中配置多可用区域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-multiaz.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz183`
**来源**
`AWS Config Managed Rule: opensearch-data-node-fault-tolerance`
**提醒条件**
黄色:Amazon OpenSearch 服务域配置的数据节点少于三个。
**Recommended Action(建议的操作)**
确保在 Amazon S OpenSearch ervice 域中配置了至少三个数据节点。配置多可用区域,通过在同一区域内的三个可用区之间分配节点和复制数据,提高 Amazon S OpenSearch ervice 集群的可用性。当节点或数据中心(可用区)出现故障时,这可以防止数据丢失并最大程度地缩短停机时间。
有关更多信息,请参阅通过[在三个可用区进行部署来提高 Amazon OpenSearch 服务的可用性](https://aws.amazon.com/blogs/big-data/increase-availability-for-amazon-opensearch-service-by-deploying-in-three-availability-zones/)。
**其他资源**
+ [通过在三个可用区域进行部署来提高 Amazon OpenSearch 服务的可用性](https://aws.amazon.com/blogs/big-data/increase-availability-for-amazon-opensearch-service-by-deploying-in-three-availability-zones/)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon RDS 备份
**说明**
检查 Amazon RDS 数据库实例的自动备份。
默认情况下,启用备份,保留期为一天。备份可降低数据意外丢失的风险并允许 point-in-time恢复。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`opQPADkZvH`
**提醒条件**
红色:数据库实例将备份保留期设置为 0 天。
**Recommended Action(建议的操作)**
根据您的应用程序的要求,将数据库实例的自动备份的保留期设置为 1 到 35 天。请参阅[使用自动备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)。
**其他资源**
[Amazon RDS 入门](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.html)
**报告列**
+ Status
+ 区域/可用区
+ 数据库实例
+ - VPC ID
+ 备份保留期
## Amazon RDS 连续备份未启用
**说明**
检查 Amazon RDS 实例是否已通过 Amazon RDS 启用自动备份,或者是否已启用 AWS Backup的连续备份。持续备份可降低数据意外丢失的风险并允许 point-in-time恢复。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`44fde09ab5`
**提醒条件**
+ 红色:该实例未在 Amazon RDS 中启用自动备份,也未在 AWS Backup中启用连续备份。
+ 红色:MySQL 5.6 以下版本不支持自动备份或连续备份。为了提供弹性,请先升级数据库版本,然后启用自动备份或连续备份。
+ 绿色:该实例已在 Amazon RDS 中启用自动备份。
+ 绿色:实例已在中启用了连续备份 AWS Backup。
**Recommended Action(建议的操作)**
确保 Amazon RDS 实例已配置自动备份,配置方式包括:在 Amazon RDS 中将备份保留期设置为大于 0 的值,或使用 AWS Backup创建连续备份计划。
**其他资源**
+ [Amazon RDS 入门](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.html)
+ [管理自动备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ManagingAutomatedBackups.html)
+ [备份简介](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)
+ [连续备份和 point-in-time恢复 (PITR)](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)
+ [AWS Backup 功能可用性](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html)
**报告列**
+ Status
+ Region
+ DB Instance Identifier
+ 数据库实例 ARN
+ 部署类型
+ 备份类型
+ Reason
+ 上次更新时间
## Amazon RDS 数据库集群有一个数据库实例
**说明**
向数据库集群中至少再添加一个数据库实例,以提高可用性和性能。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt011`
**提醒条件**
黄色:数据库集群仅包含一个数据库实例。
**Recommended Action(建议的操作)**
向数据库集群添加一个读取器数据库实例。
**其他资源**
在当前配置下,单个数据库实例同时处理读取和写入操作。您可以添加另一个数据库实例,以实现读取操作的重新分配并获得失效转移选项。
有关更多信息,请参阅 [Amazon Aurora 的高可用性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 数据库实例类
+ 上次更新时间
## 所有实例都在同一可用区中的 Amazon RDS 数据库集群
**说明**
数据库集群目前位于单个可用区中。使用多个可用区来提高可用性。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt007`
**提醒条件**
黄色:数据库集群的所有实例都在同一可用区中。
**Recommended Action(建议的操作)**
将数据库实例添加到数据库集群中的多个可用区。
**其他资源**
建议您将数据库实例添加到数据库集群中的多个可用区。将数据库实例添加到多个可用区可提高数据库集群的可用性。
有关更多信息,请参阅 [Amazon Aurora 的高可用性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 上次更新时间
## 所有读取器实例都在同一可用区中的 Amazon RDS 数据库集群
**说明**
您的数据库集群的所有读取器实例都在同一个可用区中。建议您将读取器实例分布在数据库集群中的多个可用区。
这种分布方式可提高数据库的可用性,并通过减少客户端与数据库之间的网络延迟来缩短响应时间。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt018`
**提醒条件**
红色:数据库集群的读取器实例在同一可用区中。
**Recommended Action(建议的操作)**
将读取器实例分布在多个可用区中。
**其他资源**
可用区 (AZs) 是相互独立的位置,可在每个 AWS 区域内发生停机时提供隔离。我们建议您将数据库集群中的主实例和读取器实例分布在多个集群中 AZs ,以提高数据库集群的可用性。在创建集群时,您可以使用 AWS 管理控制台 AWS CLI、或 Amazon RDS API 创建多可用区集群。您可以通过添加新的读取器实例并指定不同的可用区,修改现有 Aurora 集群以转为多可用区集群。
有关更多信息,请参阅 [Amazon Aurora 的高可用性](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 上次更新时间
## Amazon RDS 数据库实例增强监控未启用
**说明**
检查您的 Amazon RDS 数据库实例是否已启用增强监控。
Amazon RDS 增强监控提供运行数据库实例的操作系统(OS)的实时指标。可以在 Amazon RDS 控制台上查看 Amazon RDS 数据库实例的所有系统指标和过程信息。而且,您可以自定义控制面板。借助增强监控,您可以近乎实时地查看 Amazon RDS 实例的运行状态,从而更快地响应操作问题。
您可以使用规则的 m **onitoringInterval** 参数指定所需的监控间隔。 AWS Config
有关更多信息,请参阅[增强监测概述](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.overview.html)和[增强监控中的操作系统指标](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring-Available-OS-Metrics.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz158`
**来源**
`AWS Config Managed Rule: rds-enhanced-monitoring-enabled`
**提醒条件**
黄色:您的 Amazon RDS 数据库实例未启用增强监控,或未配置所需的间隔。
**Recommended Action(建议的操作)**
为您的 Amazon RDS 数据库实例启用增强监控,以提高 Amazon RDS 实例运行状态的可见性。
有关更多信息,请参阅[使用增强监控来监控操作系统指标](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)。
**其他资源**
[增强监控中的操作系统指标](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring-Available-OS-Metrics.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon RDS 数据库实例已关闭存储自动扩缩
**说明**
您的数据库实例没有开启 Amazon RDS 存储自动扩缩功能。当数据库工作负载增加时,RDS 存储自动扩缩功能会自动扩展存储容量,且停机时间为零。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt013`
**提醒条件**
红色:数据库实例未开启存储自动扩缩功能。
**Recommended Action(建议的操作)**
开启 Amazon RDS 存储自动扩缩功能,并设置指定的最大存储阈值。
**其他资源**
当数据库工作负载增加时,Amazon RDS 存储自动扩缩功能会自动扩展存储容量,且停机时间为零。存储自动扩缩功能会监控存储使用情况,并在使用量接近预配置的存储容量时自动扩展容量。您可以指定 Amazon RDS 可为数据库实例分配的存储空间的上限。存储自动扩缩功能不额外收费。您只需为分配给您的数据库实例的 Amazon RDS 资源付费即可。建议您开启 Amazon RDS 存储自动扩缩功能。
有关详细信息,请参阅[使用 Amazon RDS 存储自动扩展功能自动管理容量](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PIOPS.StorageTypes.html#USER_PIOPS.Autoscaling)。
**报告列**
+ Status
+ Region
+ 资源
+ 建议值
+ 引擎名称
+ 上次更新时间
## Amazon RDS 数据库实例未使用多可用区部署
**说明**
建议您使用多可用区部署。多可用区部署可增强数据库实例的可用性和持久性。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt019`
**提醒条件**
黄色:数据库实例未使用多可用区部署。
**Recommended Action(建议的操作)**
为受影响的数据库实例设置多可用区。
**其他资源**
在 Amazon RDS Multi-AZ 部署中,Amazon RDS 会自动创建一个主数据库实例,并将数据复制到不同可用区中的另一个实例。当检测到故障时,Amazon RDS 会自动执行故障转移到备用实例,无需人工干预。
有关更多信息,请参阅[定价](https://aws.amazon.com/rds/features/multi-az/#Pricing)。
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 上次更新时间
## 亚马逊 RDS DiskQueueDepth
**说明**
检查该 CloudWatch 指标是否 DiskQueueDepth 显示排队写入 RDS 实例数据库存储的次数已增长到应建议进行操作调查的水平。
**检查 ID**
`Cmsvnj8db3`
**提醒条件**
+ 红色: DiskQueueDepth CloudWatch 指标已超过 10
+ 黄色: DiskQueueDepth CloudWatch 指标大于 5 但小于或等于 10
+ 绿色: DiskQueueDepth CloudWatch 公制值小于或等于 5
**Recommended Action(建议的操作)**
考虑迁移到支持这些 read/write 特征的实例和存储卷。
**报告列**
+ Status
+ Region
+ 数据库实例 ARN
+ DiskQueueDepth 指标
## 亚马逊 RDS FreeStorageSpace
**说明**
检查 RDS 数据库实例的 FreeStorageSpace CloudWatch 指标是否已降至操作上合理的阈值以下。
**检查 ID**
`Cmsvnj8db2`
**提醒条件**
+ 红色: FreeStorageSpace 占总容量的 10% 以下
+ 黄色:占总容量 FreeStorageSpace 的 10% 到 20% 之间
+ 绿色: FreeStorageSpace 占总容量的 20% 以上
**Recommended Action(建议的操作)**
使用 Amazon RDS 管理控制台、Amazon RDS API 或 AWS 命令行界面,为可用存储空间不足的 RDS 数据库实例纵向扩展存储空间。
**报告列**
+ Status
+ Region
+ 数据库实例 ARN
+ FreeStorageSpace 指标 (MB)
+ 数据库实例分配的存储空间(MB)
+ 数据库实例存储已用百分比
## Amazon RDS log\$1output 参数设置为 table
**说明**
当 **log\$1output** 设置为 **TABLE** 时,使用的存储空间要比 **log\$1output** 设置为 **FILE** 时使用的存储空间更多。建议您将此参数设置为 **FILE**,以避免达到存储大小限制。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt023`
**提醒条件**
黄色:数据库参数组中的 **log\$1output** 参数设置为 **TABLE**。
**Recommended Action(建议的操作)**
在数据库参数组中将 **log\$1output** 参数值设置为 **FILE**。
**其他资源**
有关更多信息,请参阅 [MySQL 数据库日志文件](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.MySQL.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS innodb\$1default\$1row\$1format 参数设置不安全
**说明**
您的数据库实例遇到一个已知问题:在低于 8.0.26 版本的 MySQL 中,如果创建的表将 **row\$1format** 设置为 **COMPACT** 或 **REDUNDANT**,当索引超过 767 字节时,该表将不可访问且无法恢复。
建议您将 **innodb\$1default\$1row\$1format** 参数值设置为 **DYNAMIC**。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt036`
**提醒条件**
红色:数据库参数组的 **innodb\$1default\$1row\$1format** 参数设置不安全。
**Recommended Action(建议的操作)**
将 **innodb\$1default\$1row\$1format** 参数设置为 **DYNAMIC**。
**其他资源**
在低于 8.0.26 版本的 MySQL 中,若创建表时将 **row\$1format** 设置为 **COMPACT** 或 **REDUNDANT**,系统不会强制要求创建的索引键前缀长度小于 767 字节。数据库重启后,这些表将不可访问且无法恢复。
有关更多信息,请参阅 MySQL 文档网站上的 [MySQL 8.0.26 版本变更(2021 年 7 月 20 日正式发布)](https://dev.mysql.com/doc/relnotes/mysql/8.0/en/news-8-0-26.html#mysqld-8-0-26-bug%60)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS innodb\$1flush\$1log\$1at\$1trx\$1commit 参数不是 1
**说明**
数据库实例的 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 参数值并非安全值。此参数控制向磁盘提交操作的持久性。
建议您将 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 参数设置为 1。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt030`
**提醒条件**
黄色:数据库参数组的 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 设置为 1 以外的值。
**Recommended Action(建议的操作)**
将 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 参数值设置为 1
**其他资源**
当日志缓冲区保存到持久性存储中时,数据库事务具备持久性。但保存到磁盘会影响性能。根据为 **innodb\$1flush\$1log\$1at\$1trx\$1commit** 参数设置的值,日志写入和保存到磁盘的行为可能会有所不同。
+ 当参数值设置为 1 时,每完成一次事务提交,日志会写入并保存到磁盘。
+ 当参数值设置为 0 时,日志每秒钟写入并保存到磁盘一次。
+ 当参数值设置为 2 时,每完成一次事务提交,日志会随之写入,且每秒钟保存到磁盘一次。数据会从 InnoDB 内存缓冲区移动到同样位于内存中的操作系统缓存。
当参数值未设置为 1 时,InnoDB 无法保证 ACID 属性。如果数据库发生崩溃,最近一秒内的事务可能会丢失。
有关更多信息,请参阅[为 Amazon RDS for MySQL 配置参数的最佳实践,第 1 部分:与性能相关的参数](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-1-parameters-related-to-performance/)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS max\$1user\$1connections 参数值偏低
**说明**
对于您的数据库实例,每个数据库账户的最大同时连接数的值较低。
建议您将 **max\$1user\$1connections** 参数设置为大于 **5** 的数字。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt034`
**提醒条件**
黄色:数据库参数组的 **max\$1user\$1connections** 配置不正确。
**Recommended Action(建议的操作)**
将 **max\$1user\$1connections** 参数的值增加到大于 **5** 的数字。
**其他资源**
**max\$1user\$1connections** 设置用于控制 MySQL 用户账户允许的最大并发连接数。若达到此连接限制,会导致 Amazon RDS 实例管理操作(例如备份、修补和参数更改)失败。
有关更多信息,请参阅 MySQL 文档网站上的[设置账户资源限制](https://dev.mysql.com/doc/refman/8.0/en/user-resources.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS Multi-AZ
**说明**
检查部署在单个可用区 (AZ) 中的数据库实例。
多可用区部署通过同步复制到不同可用区中的备用实例,增强数据库可用性。在计划的数据库维护期间,或在数据库实例或可用区发生故障时,Amazon RDS 会自动将故障转移到备用实例。通过此失效转移,数据库操作将快速恢复,无需管理干预。由于 Amazon RDS 不支持 Microsoft SQL Server 的多可用区部署,因此此检查不会检查 SQL Server 实例。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`f2iK5R6Dep`
**提醒条件**
黄色:在单个可用区中部署数据库实例。
**Recommended Action(建议的操作)**
如果您的应用程序要求高可用性,请将您的数据库实例修改为启用多可用区部署。请参阅[高可用性(多可用区)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZ.html)。
**其他资源**
[区域和可用区](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RegionsAndAvailabilityZones.html)
**报告列**
+ Status
+ 区域/可用区
+ 数据库实例
+ - VPC ID
+ 多可用区
## 亚马逊 RDS 不在 AWS Backup 计划中
**说明**
检查您的 Amazon RDS 数据库实例是否包含在 AWS Backup的备份计划中。
AWS Backup 是一项完全托管的备份服务,可以轻松地跨 AWS 服务集中和自动备份数据。
将您的 Amazon RDS 数据库实例纳入备份计划,对于监管合规义务、灾难恢复、数据保护业务策略和业务连续性目标而言非常重要。
有关更多信息,请参阅[什么是 Amazon Backup?](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz159`
**来源**
`AWS Config Managed Rule: rds-in-backup-plan`
**提醒条件**
黄色:Amazon RDS 数据库实例未包含在的备份计划中 AWS Backup。
**Recommended Action(建议的操作)**
使用将您的 Amazon RDS 数据库实例包含在备份计划中 AWS Backup。
有关更多信息,请参阅[使用 Amazon Backup 进行 Amazon RDS 备份与还原](https://aws.amazon.com/getting-started/hands-on/amazon-rds-backup-restore-using-aws-backup/)。
**其他资源**
[将资源分配给备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon RDS 只读副本在可写模式下打开
**说明**
您的数据库实例的只读副本处于可写模式,这允许来自客户端的更新。
我们建议您将 **read\$1only 参数设置为,**TrueIfReplica**这样只**读副本就不会处于可写模式。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt035`
**提醒条件**
黄色:数据库参数组为只读副本开启了可写模式。
**Recommended Action(建议的操作)**
将 **read\$1only** 参数值设置为。**TrueIfReplica**
**其他资源**
**read\$1only** 参数用于控制客户端对数据库实例的写入权限。此参数的默认值为 **TrueIfReplica**。对于副本实例,**TrueIfReplica**将 **read\$1only** 值设置为 ON (1) 并禁用来自客户端的任何写入活动。对于 master/writer 实例,**TrueIfReplica**将该值设置为 OFF (0),并启用来自客户端的写入活动。在可写模式下打开只读副本时,存储在此实例中的数据可能会与主实例产生差异,从而导致复制错误。
有关更多信息,请参阅 MySQL 文档网站上的[为 Amazon RDS for MySQL 配置参数的最佳实践,第 2 部分:与复制相关的参数](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-2-parameters-related-to-replication/)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon RDS 资源自动备份已关闭
**说明**
您的数据库资源已禁用自动备份功能。通过自动备份,您可以 point-in-time恢复数据库实例。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt001`
**提醒条件**
红色:Amazon RDS 资源未开启自动备份功能
**Recommended Action(建议的操作)**
开启自动备份,保留期最长为 14 天。
**其他资源**
通过自动备份,您可以 point-in-time恢复数据库实例。建议开启自动备份功能。为数据库实例开启自动备份功能后,Amazon RDS 会在您的首选备份窗口内每天自动对您的数据执行完整备份。当数据库实例有更新时,备份会捕获事务日志。您可获得与数据库实例的存储容量相当的备份存储空间,无需额外付费。
有关更多信息,请参阅以下资源:
+ [启用自动备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling)
+ [揭秘 Amazon RDS 备份存储成本](https://aws.amazon.com/blogs/database/demystifying-amazon-rds-backup-storage-costs/)
**报告列**
+ Status
+ Region
+ 资源
+ 建议值
+ 引擎名称
+ 上次更新时间
## Amazon RDS sync\$1binlog 参数已关闭
**说明**
在数据库实例中确认事务提交之前,不会强制将二进制日志同步到磁盘。
建议您将 **sync\$1binlog** 参数值设置为 **1**。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt031`
**提醒条件**
黄色:数据库参数组的同步二进制日志记录功能已关闭。
**Recommended Action(建议的操作)**
将 **sync\$1binlog** 参数设置为 **1**。
**其他资源**
**sync\$1binlog** 参数用于控制 MySQL 如何将二进制日志写入磁盘。当此参数的值设置为 **1** 时,它会在提交事务前开启将二进制日志同步到磁盘的功能。当此参数的值设置为 **0** 时,它会关闭将二进制日志同步到磁盘的功能。通常情况下,MySQL 服务器会像处理其他文件一样,依赖操作系统定期将二进制日志写入磁盘。将 **sync\$1binlog** 参数值设置为 **0** 可以提升性能。但在出现停电或操作系统崩溃期间,服务器会丢失所有尚未同步到二进制日志的已提交事务。
有关更多信息,请参阅[为 Amazon RDS for MySQL 配置参数的最佳实践,第 2 部分:与复制相关的参数](https://aws.amazon.com/blogs/database/best-practices-for-configuring-parameters-for-amazon-rds-for-mysql-part-2-parameters-related-to-replication/)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## RDS 数据库集群未启用多可用区复制
**说明**
检查您的 Amazon RDS 数据库集群是否已启用多可用区复制。
多可用区数据库集群在三个独立可用区中有一个写入器数据库实例和两个读取器数据库实例。与多可用区部署相比,多可用区数据库集群可提供高可用性、增加读取工作负载容量以及更低的延迟。
有关更多信息,请参阅[创建多可用区数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/create-multi-az-db-cluster.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz161`
**来源**
`AWS Config Managed Rule: rds-cluster-multi-az-enabled`
**提醒条件**
黄色:您的 Amazon RDS 数据库集群未配置多可用区复制
**Recommended Action(建议的操作)**
创建 Amazon RDS 数据库集群时开启多可用区数据库集群部署。
有关更多信息,请参阅[创建多可用区数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/create-multi-az-db-cluster.html)。
**其他资源**
[多可用区数据库集群部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/multi-az-db-clusters-concepts.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## RDS 多可用区备用实例未启用
**说明**
检查您的 Amazon RDS 数据库实例是否已配置多可用区备用副本。
Amazon RDS Multi-AZ 通过将数据复制到不同可用区中的备用副本,为数据库实例提供高可用性和持久性。这提供了自动失效转移,提高了性能并增强了数据持久性。在多可用区数据库实例部署中,Amazon RDS 会自动在不同可用区中配置和维护一个同步备用副本。主数据库实例将跨可用区同步复制到备用副本,以提供数据冗余并在系统备份期间将延迟峰值降至最小。在计划内的系统维护期间,运行具有高可用性的数据库实例可提高可用性。它还可以帮助您保护数据库,以防数据库实例发生故障和可用区中断。
有关更多信息,请参阅[多可用区数据库实例部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz156`
**来源**
`AWS Config Managed Rule: rds-multi-az-support`
**提醒条件**
黄色:Amazon RDS 数据库实例未配置多可用区副本。
**Recommended Action(建议的操作)**
创建 Amazon RDS 数据库实例时开启多可用区部署。
无法将此支票排除在 Trusted Advisor 控制台的视图之外。
**其他资源**
[多可用区数据库实例部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 亚马逊 RDS ReplicaLag
**说明**
检查 RDS 数据库实例的 ReplicaLag CloudWatch 指标在过去一周内是否超过了操作上合理的阈值。
ReplicaLag metric 衡量只读副本落后于主实例的秒数。当对只读副本进行的异步更新无法跟上主数据库实例上所发生的更新时,即可出现复制延迟。如果主实例出现故障,则如果超过操作上合理的阈值,则只读副本中可能会丢失数据。 ReplicaLag
**检查 ID**
`Cmsvnj8db1`
**提醒条件**
+ 红色: ReplicaLag 指标在一周内至少超过 60 秒一次。
+ 黄色: ReplicaLag 指标在一周内至少超过 10 秒一次。
+ 绿色:小 ReplicaLag 于 10 秒。
**Recommended Action(建议的操作)**
超过操作安全水平可能有多种原因 ReplicaLag 。例如,它可能是由最近来自较旧备份的 replaced/launched 副本实例造成的,而这些副本需要大量时间来 “赶上” 主数据库实例和实时事务。随着时间的推移,这种情况 ReplicaLag 可能会随着时间的推移而逐渐减弱。另一个例子可能是,在主数据库实例上能够实现的事务速度高于复制过程或副本基础架构能够匹配的速度。随着时间的推移,这种情况 ReplicaLag 可能会增加,因为复制无法跟上主数据库的性能。最后,在不同的时期,工作量可能会激增,这 ReplicaLag 导致偶尔会落后day/month/etc。您的团队应调查导致数据库过高的 ReplicaLag 可能根本原因,并可能更改数据库实例类型或工作负载的其他特征,以确保副本上的数据连续性符合您的要求。
**其他资源**
+ [使用 Amazon RDS for PostgreSQL 只读副本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PostgreSQL.Replication.ReadReplicas.html)
+ [在 Amazon RDS 中使用 MySQL 复制](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_MySQL.Replication.html)
+ [使用 MySQL 只读副本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_MySQL.Replication.ReadReplicas.html)
**报告列**
+ Status
+ Region
+ 数据库实例 ARN
+ ReplicaLag 指标
## Amazon RDS synchronous\$1commit 参数已关闭
**说明**
关闭 **synchronous\$1commit** 参数后,数据库崩溃可能会导致数据丢失。数据库的持久性受到威胁。
建议您开启 **synchronous\$1commit** 参数。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt026`
**提醒条件**
红色:数据库参数组的 **synchronous\$1commit** 参数已关闭。
**Recommended Action(建议的操作)**
在数据库参数组中开启 **synchronous\$1commit** 参数。
**其他资源**
**synchronous\$1commit** 参数用于定义数据库服务器向客户端发送成功通知前,预写日志 (WAL) 进程需完成的程度。这种提交方式之所以被称为异步提交,是因为客户端会在 WAL 将事务保存到磁盘之前确认事务提交。如果关闭 **synchronous\$1commit** 参数,则事务可能会丢失,数据库实例的持久性可能受损,且在数据库崩溃时数据可能会丢失。
有关更多信息,请参阅 [MySQL 数据库日志文件](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.MySQL.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数名称
+ 建议值
+ 上次更新时间
## Amazon Redshift 集群自动快照
**说明**
检查您的 Amazon Redshift 集群是否已启用自动快照。
Amazon Redshift 会自动拍摄递增快照,来跟踪自上次自动快照拍摄以来集群发生的变化。自动快照保留从快照还原集群所需的全部数据。要禁用自动快照,只需将保留期设置为零即可。您无法为 RA3 节点类型禁用自动快照。
您可以使用 AWS Config 规则的和**MaxRetentionPeriod**参数指定所需的最小**MinRetentionPeriod**和最大保留期。
[Amazon Redshift 快照和备份](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html)
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz135`
**来源**
`AWS Config Managed Rule: redshift-backup-enabled`
**提醒条件**
红色:Amazon Redshift 未在所需的保留期内配置自动快照。
**Recommended Action(建议的操作)**
确保为您的 Amazon Redshift 集群启用自动快照。
有关更多信息,请参阅[使用控制台管理快照](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-snapshots-console.html)。
**其他资源**
[Amazon Redshift 快照和备份](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html)
有关更多信息,请参阅[使用备份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon Route 53 已删除运行状况检查
**说明**
检查与已删除的运行状况检查关联的资源记录集。
Route 53 不会禁止您删除与一个或多个资源记录集关联的运行状况检查。如果您删除运行状况检查而不更新关联的资源记录集,则 DNS 故障转移配置的 DNS 查询路由将无法按预期运行。
AWS 服务创建的托管区域不会出现在您的检查结果中。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`Cb877eB72b`
**提醒条件**
黄色:资源记录集与已删除的运行状况检查关联。
**Recommended Action(建议的操作)**
创建新的运行状况检查,并将其与资源记录集关联。请参阅[创建、更新和删除运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)和[为资源记录集添加运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-adding-to-rrsets.html)。
**其他资源**
+ [Amazon Route 53 运行状况检查和 DNS 故障转移](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)
+ [简单 Amazon Route 53 配置中的运行状况检查的工作原理](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-simple-configs.html)
**报告列**
+ 托管区域名称
+ 托管区域 ID
+ 资源记录集名称
+ 资源记录集类型
+ 资源记录集标识符
## Amazon Route 53 失效转移资源记录集
**说明**
检查具有错误配置的 Amazon Route 53 失效转移资源记录集。
当 Amazon Route 53 运行状况检查确定主资源运行状况不佳时,Amazon Route 53 会使用辅助备份资源记录集响应查询。您必须创建正确配置的主资源记录集和辅助资源记录集,以便进行失效转移。
AWS 服务创建的托管区域不会出现在您的检查结果中。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`b73EEdD790`
**提醒条件**
+ 黄色:主要失效转移资源记录集没有对应的辅助资源记录集。
+ 黄色:辅助失效转移资源记录集没有对应的主要资源记录集。
+ 黄色:具有相同名称的主辅资源记录集与同一个运行状况检查关联。
**Recommended Action(建议的操作)**
如果失效转移资源集缺失,则创建相应的资源记录集。请参阅[创建失效转移资源记录集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/creating-failover-rrsets.html)。
如果您的资源记录集与同一个运行状况检查关联,则为其创建单独的运行状况检查。请参阅[创建、更新和删除运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)。
**其他资源**
[Amazon Route 53 运行状况检查和 DNS 故障转移](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)
**报告列**
+ 托管区域名称
+ 托管区域 ID
+ 资源记录集名称
+ 资源记录集类型
+ Reason
## Amazon Route 53 高 TTL 资源记录集
**说明**
检查是否存在可以从较低 time-to-live (TTL) 值中受益的资源记录集。
TTL 指的是 DNS 解析程序缓存资源记录集的秒数。当您指定长 TTL 时,DNS 解析程序需要更长的时间来请求更新的 DNS 记录,这可能会导致重新路由流量发生不必要的延迟(例如,当 DNS 故障转移检测到其中某个端点发生故障并进行响应时)。此项检查仅检查包含失效转移策略的记录,或者存在关联运行状况检查的记录。
AWS 服务创建的托管区域不会出现在您的检查结果中。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`C056F80cR3`
**提醒条件**
+ 黄色:路由策略为“失效转移”的资源记录集有超过 60 秒的 TTL。
+ 绿色:资源记录要么没有失效转移策略,要么虽有失效转移策略但 TTL 小于 60。
**Recommended Action(建议的操作)**
为列出的资源记录集输入 60 秒的 TTL 值。有关更多信息,请参阅[使用资源记录集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)。
**其他资源**
[Amazon Route 53 运行状况检查和 DNS 故障转移](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)
**报告列**
+ Status
+ 托管区域名称
+ 托管区域 ID
+ 资源记录集名称
+ 资源记录集类型
+ 资源记录集 ID
+ TTL
## Amazon Route 53 域名服务器委托
**说明**
检查您的域注册商或 DNS 未使用正确的 Route 53 名称服务器的 Amazon Route 53 托管区域。
当您创建托管区域时,Route 53 将会分配一组四个委托名称服务器。这些服务器的名称是 n *\$1\$1\$1* s-.awsdns-*\$1\$1* .com、.net、.org 和 .co.uk,其中*\$1\$1\$1*和通常代表不同的数字。*\$1\$1*在 Route 53 为您的域路由 DNS 查询之前,您必须更新注册商的域名服务器配置以删除注册商分配的名称服务器。然后,您必须在 Route 53 委托集中添加所有四个名称服务器。为了获得最大的可用性,您必须添加所有四个 Route 53 名称服务器。
AWS 服务创建的托管区域不会出现在您的检查结果中。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`cF171Db240`
**提醒条件**
黄色:有托管区的域注册器并未使用委托集中的全部四个 Route 53 名称服务器。
**Recommended Action(建议的操作)**
通过注册器或域当前的 DNS 服务添加或更新名称服务器记录,以将全部四个名称服务器包含在 Route 53 委托集中。要找到这些值,请参阅[获取托管区域的名称服务器](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/GetInfoAboutHostedZone.html)。有关添加或更新名称服务器记录的信息,请参阅[创建域和子域并迁移到 Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/creating-migrating.html)。
**其他资源**
[使用托管区域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/AboutHZWorkingWith.html)
**报告列**
+ 托管区域名称
+ 托管区域 ID
+ 使用的名称服务器委托数量
## Amazon Route 53 Resolver 端点可用区冗余
**说明**
检查您的服务配置是否在至少两个可用区 (AZs) 中指定了 IP 地址以实现冗余。一个可用区是一个不同的位置,它与其他区域的故障隔离开来。通过在同一区域中指定多个 AZs IP 地址,可以帮助保护您的应用程序免受单点故障的影响。
**检查 ID**
`Chrv231ch1`
**提醒条件**
+ 黄色:仅在一个可用区中指定了 IP 地址
+ 绿色:IP 地址至少在两个中指定 AZs
**Recommended Action(建议的操作)**
在至少两个可用区中指定 IP 地址以实现冗余。
**其他资源**
+ 如果您要求任何时候都可用多个弹性网络接口端点,我们建议您在自身需求的基础上至少再多创建一个的网络接口,以确保您有额外的容量可用于处理可能的流量激增。额外的网络接口还可确保维护或升级等服务操作期间的可用性。
+ [解析程序端点的高可用性](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-high-availability.html)
**报告列**
+ Status
+ Region
+ 资源 ARN
+ 的数量 AZs
## Amazon S3 桶复制未启用
**说明**
检查您的 Amazon S3 桶是否为跨区域复制和/或同区域复制启用了复制规则。
复制是指在相同或不同 AWS 区域的存储桶之间自动异步复制对象。复制操作会将源存储桶中新创建的对象和对象更新复制到目标存储桶。使用 Amazon S3 桶复制来帮助提高应用程序和数据存储的恢复能力和合规性。
有关更多信息,请参阅[复制对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz119`
**来源**
`AWS Config Managed Rule: s3-bucket-replication-enabled`
**提醒条件**
黄色:未为跨区域复制和/或同区域复制启用 Amazon S3 桶复制规则。
**Recommended Action(建议的操作)**
开启 Amazon S3 桶复制规则,以提高应用程序和数据存储的恢复能力和合规性。
有关更多信息,请参阅[查看您的备份任务和恢复点](https://docs.aws.amazon.com/aws-backup/latest/devguide/view-protected-resources.html)和[设置复制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-how-setup.html)。
**其他资源**
[演练:配置复制的示例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-example-walkthroughs.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon S3 Bucket Versioning
**说明**
检查未启用版本控制或已暂停版本控制的 Amazon Simple Storage Service 存储桶。
启用版本控制时,您可以轻松从用户意外操作和应用程序故障中恢复数据。对于存储桶中存储的每个对象,您可以使用版本控制功能来保留、检索和还原它们的任何版本。通过自动将对象归档到 Glacier 存储类,您可以使用生命周期规则来管理对象的所有版本及其相关成本。还可以将规则配置为在指定时间段后删除对象的版本。对于对存储桶进行的任何对象删除或配置更改,您也可以要求进行多重身份验证 (MFA)。
版本控制在启用后无法被停用。但是,它可以暂停,从而防止创建新版本的对象。使用版本控制会增加 Amazon S3 的成本,因为您需要支付多个版本的对象的存储费用。
**检查 ID**
`R365s2Qddf`
**提醒条件**
+ 绿色:存储桶已启用版本控制。
+ 黄色:存储桶未启用版本控制。
+ 黄色:存储桶已暂停版本控制。
+ 黄色: Trusted Advisor 无权验证版本控制。
**Recommended Action(建议的操作)**
在大多数存储桶中启用版本控制以防止意外删除或覆盖。请参阅[使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)和[以编程方式启用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/manage-versioning-examples.html)。
如果存储桶版本控制已暂停,请考虑重新启用版本控制。有关使用已暂停版本控制的存储桶中的对象的信息,请参阅[管理已暂停版本控制的存储桶中的对象](https://docs.aws.amazon.com/AmazonS3/latest/dev/VersionSuspendedBehavior.html)。
当版本控制处于已启用或已暂停状态时,您可以定义生命周期配置规则来将某些对象版本标记为已过期,或永久删除不需要的对象版本。有关更多信息,请参阅[对象生命周期管理](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lifecycle-mgmt.html)。
当存储桶版本控制状态更改或当对象的版本删除时,MFA 删除需要进行额外的身份验证。它要求用户输入凭证和来自批准的身份验证设备的代码。有关更多信息,请参阅 [MFA 删除](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html#MultiFactorAuthenticationDelete)。
**其他资源**
[使用存储桶](https://docs.aws.amazon.com/AmazonS3/latest/UG/BucketOperations.html)
**报告列**
+ Status
+ Region
+ 存储桶名称
+ 版本控制
+ 已启用 MFA 删除
## 应用程序、网络和网关负载均衡器未跨多个可用区
**说明**
检查您的负载均衡器(应用程序、网络和网关负载均衡器)是否配置了跨多个可用区的子网。
您可以在 AWS Config 规则的**minAvailabilityZones**参数中指定所需的最小可用区。
有关更多信息,请参阅[应用程序负载均衡器的可用区](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-subnets.html)、[可用区 – 网络负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)和[创建网关负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/create-load-balancer.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz169`
**来源**
`AWS Config Managed Rule: elbv2-multiple-az`
**提醒条件**
黄色:应用程序、网络或网关负载均衡器在少于两个可用区中配置了子网。
**Recommended Action(建议的操作)**
为应用程序、网络和网关负载均衡器配置跨多个可用区的子网。
**其他资源**
[应用程序负载均衡器的可用区](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-subnets.html)
[可用区(Elastic Load Balancing)](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)
[创建网关负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/create-load-balancer.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Auto Scaling IPs 在子网中可用
**说明**
检查目标子网中是否 IPs 还有足够的可用空间。当 Auto Scaling Group 达到其最大大小并需要启动其他实例时,拥有足够的 IPs 可用空间会有所帮助。
**检查 ID**
`Cjxm268ch1`
**提醒条件**
+ 红色:ASG 可以创建的最大实例数和 IP 地址数超出了已配置子网中剩余的 IP 地址数。
+ 绿色:有足够的 IP 地址可用于 ASG 中可能存在的剩余比例。
**Recommended Action(建议的操作)**
增加可用 IP 地址数
**报告列**
+ Status
+ Region
+ 资源 ARN
+ 可以创建的最大实例数
+ 可用实例数
## Auto Scaling 组运行状况检查
**说明**
检查 Auto Scaling 组的运行状况检查配置。
如果 Auto Scaling 组使用的是 Elastic Load Balancing,则建议的配置是启用 Elastic Load Balancing 运行状况检查。如果未使用 Elastic Load Balancing 运行状况检查,则 Auto Scaling 只能针对 Amazon Elastic Compute Cloud (Amazon EC2) 实例的运行状况进行检查。Auto Scaling 不会对实例上运行的应用程序执行操作。
**检查 ID**
`CLOG40CDO8`
**提醒条件**
+ 黄色:自动扩缩组有关联的负载均衡器,但 Elastic Load Balancing 运行状况检查未启用。
+ 黄色:自动扩缩组没有关联的负载均衡器,但 Elastic Load Balancing 运行状况检查已启用。
**Recommended Action(建议的操作)**
如果自动扩缩组有关联的负载均衡器,但 Elastic Load Balancing 运行状况检查未启用,请参阅[向自动扩缩组添加 Elastic Load Balancing 运行状况检查](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/as-add-elb-healthcheck.html)。
如果 Elastic Load Balancing 运行状况检查已启用,但没有负载均衡器与自动扩缩组关联,请参阅[设置自动扩展且负载均衡的应用程序](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/as-register-lbs-with-asg.html)。
**其他资源**
[Amazon EC2 Auto Scaling 用户指南](https://docs.aws.amazon.com/autoscaling/ec2/userguide/)
**报告列**
+ Status
+ Region
+ 自动扩缩组名
+ 关联的负载均衡器
+ 运行状况检查
## Auto Scaling 组资源
**说明**
检查与启动配置、启动模板和自动扩缩组关联的资源的可用性。
指向不可用资源的 Auto Scaling 组无法启动新的 Amazon Elastic Compute Cloud (Amazon EC2) 实例。如果配置正确,Auto Scaling 会在需求高峰期间无缝增加 Amazon EC2 实例的数量,并在需求平缓期间自动减少该数量。指向不可用资源的 Auto Scaling 组和启动 configurations/launch 模板无法按预期运行。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`8CNsSllI5v`
**提醒条件**
+ 红色:自动扩缩组与删除的负载均衡器关联。
+ 红色:启动配置与删除的 Amazon 机器映像(AMI)关联。
+ 红色:启动模板与已删除的亚马逊机器映像(AMI)关联。
**Recommended Action(建议的操作)**
如果负载均衡器已删除,可以先创建一个新的负载均衡器或目标组,然后将其关联到自动扩缩组;也可以创建一个不包含负载均衡器的新自动扩缩组。有关创建包含新负载均衡器的新自动扩缩组的信息,请参阅[设置自动扩展且负载均衡的应用程序](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/as-register-lbs-with-asg.html)。有关创建不包含负载均衡器的新自动扩缩组的信息,请参阅[通过控制台开始使用 Auto Scaling](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/USBasicSetup-Console.html) 中的“创建自动扩缩组”。
如果 AMI 已删除,则使用有效的 AMI 创建新的启动配置或启动模板版本,然后将其与自动扩缩组关联。有关如何创建新启动配置的信息,请参阅《Amazon EC2 Auto Scaling 用户指南》**中的[创建启动配置](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-config.html)。有关创建启动模板的信息,请参阅《Amazon EC2 Auto Scaling 用户指南》**中的[为自动扩缩组创建启动模板](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html)。
出于安全考虑,检查结果不包括使用启动模板中的 AWS Systems Manager 参数引用的任何资源。
如果您的启动模板包含包含亚马逊系统映像 (AMI) ID 的 AWS Systems Manager 参数,请查看启动模板以确保参数引用有效的 AMI ID,或者在 AWS Systems Manager 参数存储中进行适当的更改。有关更多信息,请参阅 *Amazon EC2 Auto Scaling 用户指南 IDs*中的[使用 AWS Systems Manager 参数代替 AMI](https://docs.aws.amazon.com/autoscaling/ec2/userguide/using-systems-manager-parameters.html)。
**其他资源**
+ [Auto Scaling 疑难解答:亚马逊 EC2 AMIs](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/ts-as-ami.html)
+ [对 Auto Scaling 进行问题排查:负载均衡器配置](https://docs.aws.amazon.com/AutoScaling/latest/DeveloperGuide/ts-as-loadbalancer.html)
+ [Amazon EC2 Auto Scaling 用户指南](https://docs.aws.amazon.com/autoscaling/latest/userguide/)
+ [使用 AWS Systems Manager 参数代替 AMI IDs](https://docs.aws.amazon.com/autoscaling/ec2/userguide/using-systems-manager-parameters.html)
**报告列**
+ Status
+ Region
+ 自动扩缩组名
+ 启动类型
+ 资源类型
+ 资源名称
## AWS CloudHSM 在单个可用区中运行 HSM 实例的集群
**说明**
检查在单个可用区(AZ)中运行 HSM 实例的集群。如果集群存在没有最新备份的风险,则此检查会提示您。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`hc0dfs7601`
**提醒条件**
+ 黄色:CloudHSM 集群在单个可用区中运行所有 HSM 实例的时间超过 1 小时。
+ 绿色:CloudHSM 集群在至少两个不同的可用区中运行所有 HSM 实例。
**Recommended Action(建议的操作)**
为不同的可用区中的集群至少再创建一个实例。
**其他资源**
[的最佳实践 AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/best-practices.html)
**报告列**
+ Status
+ Region
+ 集群 ID
+ HSM 实例的数量
+ 上次更新时间
## Direct Connect 位置弹性
**说明**
检查 Direct Connect 用于将您的本地连接到每个 Direct Connect 网关或虚拟专用网关的的弹性。
如果任何 Direct Connect 网关或虚拟专用网关未在至少两个不同的 Direct Connect 位置配置虚拟接口,则此检查会提醒您。缺乏位置韧性可能导致在维护、光纤中断、设备故障或整个位置故障期间出现意外停机时间。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
Direct Connect 通过 Direct Connect 网关与中转网关配合实现。
**检查 ID**
`c1dfpnchv2`
**提醒条件**
红色:Direct Connect 网关或虚拟专用网关在单个 Direct Connect 设备上配置了一个或多个虚拟接口。
黄色:Direct Connect 网关或虚拟专用网关在单个 Direct Connect 位置的多个 Direct Connect 设备上配置了虚拟接口。
绿色:Direct Connect 网关或虚拟专用网关配置了跨两个或更多不同 Direct Connect 位置的虚拟接口。
**Recommended Action(建议的操作)**
要构建 Direct Connect 位置韧性,可以将 Direct Connect 网关或虚拟专用网关配置为连接到至少两个不同的 Direct Connect 位置。有关更多信息,请参阅 [Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)。
**其他资源**
[Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)
[Direct Connect 失效转移测试](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_failover.html)
**报告列**
+ Status
+ Region
+ 上次更新时间
+ 弹性状态
+ 位置
+ 连接 ID
+ 网关 ID
## AWS Lambda 未配置死信队列的函数
**说明**
检查 AWS Lambda 函数是否配置了死信队列。
死信队列是允许您捕获和分析失败事件的功能,从而提供了一种相应地处理这些事件的方法。 AWS Lambda 您的代码可能会出现异常、超时或内存不足,从而导致 Lambda 函数的异步执行失败。死信队列存储来自失败调用的消息,提供一种处理消息和排除故障的方法。
**您可以使用规则中的 dlqarns 参数指定要检查的死信队列资源。** AWS Config
有关更多信息,请参阅[死信队列](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html#invocation-dlq)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz182`
**来源**
`AWS Config Managed Rule: lambda-dlq-check`
**提醒条件**
黄色: AWS Lambda 函数未配置死信队列。
**Recommended Action(建议的操作)**
确保您的 AWS Lambda 函数配置了死信队列,以控制所有失败的异步调用的消息处理。
有关更多信息,请参阅[死信队列](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html#invocation-dlq)。
**其他资源**
+ [使用 Amazon Lambda 死信队列实现强大的无服务器应用程序设计](https://aws.amazon.com/blogs/compute/robust-serverless-application-design-with-aws-lambda-dlq/)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS Lambda 关于故障事件目的地
**说明**
检查您账户中的 Lambda 函数是否为异步调用配置了故障时事件目标或死信队列(DLQ),以便可以将失败调用的记录路由到目标进行进一步调查或处理。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1dfprch05`
**提醒条件**
+ 黄色:函数未配置任何故障时事件目标或 DLQ。
**Recommended Action(建议的操作)**
请为您的 Lambda 函数设置故障时事件目标或 DLQ,以便将失败的调用以及其他详细信息发送到其中一个可用的目标亚马逊云科技服务,以供进一步调试或处理。
**其他资源**
+ [异步调用](https://docs.aws.amazon.com/lambda/latest/dg/invocation-async.html)
+ [AWS Lambda 关于故障事件目的地](https://aws.amazon.com/blogs/compute/introducing-aws-lambda-destinations/)
**报告列**
+ Status
+ Region
+ 带有被标记版本的函数。
+ 当日异步请求丢失百分比
+ 当日异步请求
+ 平均每日异步请求丢失百分比
+ 平均每日异步请求
+ 上次更新时间
## AWS Lambda 不带多可用区冗余的启用 VPC 的功能
**说明**
检查单个可用区中易受服务中断影响、启用 VPC 的 Lambda 函数的 \$1LATEST 版本。最佳做法是将启用 VPC 的函数连接到多个可用区,以实现高可用性。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`L4dfs2Q4C6`
**提醒条件**
黄色:启用 VPC 的 Lambda 函数的 \$1LATEST 版本连接到单个可用区中的子网。
**Recommended Action(建议的操作)**
在配置访问 VPC 的函数时,请选择多个可用区中的子网以确保高可用性。
**其他资源**
+ [配置 Lambda 函数以访问 VPC 中的资源](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html)
+ [韧性在 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/security-resilience.html)
**报告列**
+ Status
+ Region
+ 函数 ARN
+ - VPC ID
+ 平均每日调用次数
+ 上次更新时间
## AWS Outposts 单机架部署
**说明**
检查 Outposts 机架的均衡性。此检查会评估客户的 Outposts 实例是部署在多个 Outposts 机架上,还是仅部署在单个 Outposts 机架上。单个 Outposts 机架会针对涉及单个机架的问题(例如环境故障)造成单点故障。通过将 Outposts 部署在多个机架上,可缓解此类场景。
**检查 ID**
`c243hjzrhn`
**提醒条件**
+ 黄色:您的 Outpost 部署在单个机架上
+ 绿色:您的 Outpost 部署在多个机架上。
**Recommended Action(建议的操作)**
如果您在上运行生产工作负载 AWS Outposts,则最佳做法是使用以下弹性架构。单个 AWS Outposts 机架会造成单点故障。考虑在该位置添加第二个 AWS Outposts 机架,使其有足够的容量用于故障转移事件,然后在机架之间分配工作负载。
**其他资源**
[故障模式 4:机架或数据中心](https://docs.aws.amazon.com/whitepapers/latest/aws-outposts-high-availability-design/thinking-in-terms-of-failure-modes.html#failure-mode-4-racks-or-data-centers)
**报告列**
+ Status
+ 资源 ARN
+ AZ
+ 机架数量
+ 上次更新时间
## AWS Resilience Hub 应用程序组件检查
**说明**
检查应用程序中的应用程序组件 (AppComponent) 是否不可恢复。如果在发生中断事件时 AppComponent 无法恢复,则可能会出现未知的数据丢失和系统停机的情况。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
**检查 ID**
`RH23stmM04`
**提醒条件**
红色: AppComponent 不可恢复。
**Recommended Action(建议的操作)**
为确保您的 AppComponent 可恢复,请查看并实施弹性建议,然后进行新的评估。有关查看弹性建议的更多信息,请参阅“其他资源”。
**其他资源**
[查看弹性建议](https://docs.aws.amazon.com/resilience-hub/latest/userguide/resil-recs.html)
[AWS Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
[AWS Resilience Hub 用户指南](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
**报告列**
+ Status
+ Region
+ 应用程序名称
+ AppComponent 名称
+ 上次更新时间
## AWS Resilience Hub 违反了政策
**说明**
针对未达到策略定义的恢复时间目标(RTO)和恢复点目标(RPO)的应用程序检查 Resilience Hub。如果应用程序未达到您在 Resilience Hub 中为应用程序设置的 RTO 和 RPO 目标,则此检查会提示您。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`RH23stmM02`
**提醒条件**
+ 绿色:应用程序拥有策略并且符合 RTO 和 RPO 目标。
+ 黄色:应用程序尚未经过评估。
+ 红色:应用程序拥有策略但未达到 RTO 和 RPO 目标。
**Recommended Action(建议的操作)**
登录 Resilience Hub 控制台并查看建议,以便应用程序达到 RTO 和 RPO 目标。
**其他资源**
[Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
**报告列**
+ Status
+ Region
+ 应用程序名称
+ 上次更新时间
## AWS Resilience Hub 韧性分数
**说明**
检查您是否对 Resilience Hub 中的应用程序进行了评估。如果恢复能力评分低于特定值,则此检查会提示您。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`RH23stmM01`
**提醒条件**
+ 绿色:应用程序的恢复能力评分为 70 或更高。
+ 黄色:应用程序的恢复能力评分为 40 到 69。
+ 黄色:应用程序尚未经过评估。
+ 红色:应用程序的恢复能力评分低于 40。
**Recommended Action(建议的操作)**
登录 Resilience Hub 控制台并对应用程序进行评估。查看建议以提高恢复能力评分。
**其他资源**
[Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
**报告列**
+ Status
+ Region
+ 应用程序名称
+ 应用程序恢复能力评分
+ 上次更新时间
## AWS Resilience Hub 评估年龄
**说明**
检查自上次进行应用程序评测以来有多长时间。如果您在指定的天数内没有进行应用程序评测,则此检查会提醒您。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`RH23stmM03`
**提醒条件**
+ 绿色:您的应用程序评测是在过去 30 天内进行的。
+ 黄色:您的应用程序评测在过去 30 天内未运行。
**Recommended Action(建议的操作)**
登录 Resilience Hub 控制台并对应用程序进行评估。
**其他资源**
[Resilience Hub 概念](https://docs.aws.amazon.com/resilience-hub/latest/userguide/concepts-terms.html)
**报告列**
+ Status
+ Region
+ 应用程序名称
+ 距离上次运行评测的天数
+ 上次运行评测的时间
+ 上次更新时间
## AWS Site-to-Site VPN 至少有一条隧道处于关闭状态
**说明**
检查每个 s 中处于活动状态的隧道 AWS Site-to-Site VPN数量。
VPN 应始终配置两个隧道。这样可以在亚马逊云科技端点的设备中断或计划进行维护时提供冗余。对于某些硬件,每次只有一个隧道处于活动状态。如果 VPN 没有活动隧道,可能仍会收取 VPN 费用。
有关更多信息,请参阅[什么是 AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz123`
**来源**
`AWS Config Managed Rule: vpc-vpn-2-tunnels-up`
**提醒条件**
黄色: Site-to-SiteVPN 至少有一条隧道关闭。
**Recommended Action(建议的操作)**
请确保为 VPN 连接已配置两条隧道。而且,如果您的硬件对其提供支持,请确保两条隧道都处于活动状态。如果您不再需要某个 VPN 连接,则将其删除以避免收费。
有关更多信息,请参阅[客户网关设备](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)和 [Amazon Knowledge Center](https://repost.aws/knowledge-center#AWS_Virtual_Private_Network) 上提供的内容。
**其他资源**
+ [AWS Site-to-Site VPN 用户指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [向您的 VPC 添加虚拟专用网关](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-target-gateway)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS STS 全球终端节点使用情况 AWS 区域
**说明**
此检查可识别 AWS 工作负载向美国东部(弗吉尼亚北部)区域的 STS 全球终端节点进行跨区域调用时存在的弹性风险。 AWS 如果与美国东部(弗吉尼亚北部)STS 终端节点的连接受到影响,则向美国东部(弗吉尼亚北部)的 STS 全球终端节点发出跨区域请求的工作负载可能会受到不利影响。
2025 年 4 月, AWS 增强了全局终端节点,使其能够自动为运行的工作负载所在区域的 STS 全球终端节点调用提供服务 AWS,默认情况下全部 AWS 区域 启用。然而,部分工作负载(例如在选择加入区域中运行的工作负载,或未使用 Amazon DNS 服务器的工作负载)无法从此次增强所带来的延迟降低和[故障隔离](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/abstract-and-introduction.html)优势中获益。对于这类工作负载,其 STS 全局端点请求会由美国东部(弗吉尼亚州北部)区域处理,这会给应用程序带来弹性风险,并增加 STS 请求的延迟。
该检查的结果每天自动刷新几次,每次都涵盖过去 15 天。不允许刷新请求。因此,最多可能需要 15 天才能在 Trusted Advisor 检查结果中显示更改。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c15m0mgld3`
**提醒条件**
红色:工作负载正在跨区域调用美国东部(弗吉尼亚北部)地区的 AWS STS 全球终端节点。
**推荐操作**
为了提升工作负载的弹性和性能,建议您从 STS 全局端点迁移到 STS 区域端点。通过使用区域终端节点,您可以在与您的工作负载相同的区域 AWS STS 中使用。
以下是跨区域调用美国东部 AWS Identity and Access Management (弗吉尼亚北部)区域的 AWS STS 全球终端节点的(IAM)委托人列表。按照博客文章《[如何使用区域 AWS STS 终端节点](https://aws.amazon.com/blogs/security/how-to-use-regional-aws-sts-endpoints/)》中的步骤操作,您可以重新配置工作负载以使用区域 STS 终端节点。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/fault-tolerance-checks.html)
**其他资源**
+ [AWS STS 在 a 中管理 AWS 区域](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html)
+ [AWS STS 区域端点](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sts-regionalized-endpoints.html)
**报告列**
+ Status
+ 主体 Arn
+ Action
+ 委托人类型
+ 发起区域
+ 上次更新时间
## AWS Well-Architected 可靠性高风险问题
**说明**
在可靠性支柱中检查您的工作负载是否存在高风险问题 (HRIs)。此检查基于您的 AWS-Well Architected 审查。检查结果取决于您是否使用 AWS Well-Architected 完成了对工作负载的评估。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Wxdfp4B1L4`
**提醒条件**
+ 红色:在Well-Architect AWS ed的可靠性支柱中发现了至少一个活跃的高风险问题。
+ 绿色:在 Well-Architecte AWS d 的可靠性支柱中未发现活跃的高风险问题。
**Recommended Action(建议的操作)**
AWS Well-Architected 在评估工作负载时检测到了高风险问题。这些问题为降低风险和节省资金提供了机会。登录 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具以查看您的答案并采取措施解决活跃的问题。
**报告列**
+ Status
+ Region
+ 工作负载 ARN
+ 工作负载名称
+ 审核人姓名
+ 工作负载类型
+ 工作负载开始日期
+ 工作负载上次修改日期
+ 已识别的可靠 HRIs 性人数
+ HRIs 已解决的可靠性数
+ 已回答的可靠性问题数量
+ 可靠性支柱中的问题总数
+ 上次更新时间
## Classic Load Balancer 没有 AZs 配置多个
**说明**
检查 Classic Load Balancer 是否跨越多个可用区 (AZs)。
负载均衡器在多个可用区中的多个 Amazon EC2 实例间分配应用程序的传入流量。默认情况下,负载均衡器在为您的负载均衡器启用的可用区之间均匀分配流量。如果一个可用区发生中断,负载均衡器节点将自动将请求转发到一个或多个可用区中的正常注册实例。
您可以使用 AWS Config 规则中的**minAvailabilityZones**参数调整可用区的最小数量
有关更多信息,请参阅[什么是经典负载均衡器?](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz154`
**来源**
`AWS Config Managed Rule: clb-multiple-az`
**提醒条件**
黄色:Classic Load Balancer 未配置多可用区或未达到 AZs 指定的最小可用区数量。
**Recommended Action(建议的操作)**
请确保您的经典负载均衡器已配置多个可用区。将您的负载均衡器横跨多个 AZs 负载均衡器,以确保您的应用程序具有高可用性。
有关更多信息,请参阅[教程:创建经典负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-getting-started.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## ELB 连接耗尽
**说明**
检查没有启用连接耗尽的经典负载均衡器。
当未启用连接耗尽并且您从经典负载均衡器取消注册 Amazon EC2 实例时,经典负载均衡器将停止将流量路由到该实例并关闭连接。启用连接耗尽后,经典负载均衡器将停止向已取消注册的实例发送新请求,但会保持连接打开以处理活动请求。
**检查 ID**
`7qGXsKIUw`
**提醒条件**
+ 黄色:经典负载均衡器未启用连接耗尽。
+ 绿色:经典负载均衡器已启用连接耗尽。
**Recommended Action(建议的操作)**
为经典负载均衡器启用连接耗尽。有关更多信息,请参阅[连接耗尽](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/TerminologyandKeyConcepts.html#conn-drain)和[为负载均衡器启用或禁用连接耗尽](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/config-conn-drain.html)。
**其他资源**
[Elastic Load Balancing 概念](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/TerminologyandKeyConcepts.html)
**报告列**
+ Status
+ Region
+ 负载均衡器名称
+ Reason
## ELB 目标不均衡
**说明**
检查目标组在可用区 (AZs) 中的目标分布,以了解应用程序负载均衡器 (ALB)、网络负载均衡器 (NLB) 和网关负载均衡器 (GWLB)。
此检查不包含以下场景:
+ 仅配置单个可用区(AZ)的负载均衡器。
+ 负载均衡器,其中人口 AZs 最多和最少的目标数量之差等于或小于 1。
+ 具有基于 IP 的目标的目标组,其中 AvailabilityZone 属性设置为 “全部”。
**检查 ID**
`b92b83d667`
**提醒条件**
+ 红色:单个可用区占负载均衡器容量的 66% 以上。
+ 黄色:单个可用区占负载均衡器容量的 50% 以上。
+ 绿色:否 AZs 代表负载均衡器容量的 50% 以上。
**Recommended Action(建议的操作)**
为了提高弹性,请确保目标组的目标数量相同 AZs。
**其他资源**
[应用程序负载均衡器的目标组](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html)
[向 Application Load Balancer 目标组注册目标](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-register-targets.html)
**报告列**
+ Status
+ Region
+ 负载均衡器名称
+ 负载均衡器类型
+ 目标组 ARN (arn)
+ 各注册目标的差异 AZs
+ 上次更新时间
## GWLB - 端点可用区独立性
**说明**
检查网关负载均衡器(GWLB)端点是否配置为来自其他可用区(AZ)的路由目的地。
网关负载均衡器端点会将网络流量转发至网关负载均衡器后面的防火墙设备,以进行流量检查。每个网关负载均衡器端点都在指定的可用区内运行,并且仅在该可用区中使用冗余构建。因此,特定可用区中的所有资源必须使用同一可用区中的网关负载均衡器端点。这样可确保网关负载均衡器端点或其所在可用区发生任何潜在中断时,不会影响其他可用区中的资源。
**检查 ID**
`528d6f5ee7`
**提醒条件**
+ 黄色:来自一个可用区子网的流量正在通过另一个可用区中的网关负载均衡器端点进行路由。
+ 绿色:来自一个可用区子网的流量正在通过同一可用区中的网关负载均衡器端点进行路由。
**Recommended Action(建议的操作)**
检查子网所在的可用区,然后配置其路由表,使流量通过同一可用区中的网关负载均衡器端点进行路由。
如果可用区中没有网关负载均衡器端点,请新建一个端点,然后通过该端点路由您的子网流量。
如果您在不同子网中关联了相同的路由表 AZs,请将此路由表与与 Gateway Load Balancer 终端节点位于同一可用区的子网相关联。对于其他可用区中的子网,随后可以将单独的路由表与通往该可用区中的网关负载均衡器端点的路由相关联。
最佳做法是为 Amazon VPC 中的架构变更选择合适的维护时段。
**其他资源**
+ [可用区独立性](https://docs.aws.amazon.com/whitepapers/latest/advanced-multi-az-resilience-patterns/availability-zone-independence.html)
+ [为网关负载均衡器端点配置路由](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-load-balancer-endpoints.html#configure-routing-gateway-load-balancer-endpoint)
+ [AWS Well-Architected Tool -使用舱壁架构来限制影响范围](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_use_bulkhead.html)
**报告列**
+ Status
+ Region
+ 跨可用区子网 ID 列表
+ 网关负载均衡器端点 ID
+ 网关负载均衡器端点子网 ID
+ VPC 端点子网可用区
+ 上次更新时间
## 负载均衡器优化
**说明**
检查您的负载均衡器配置。
为了帮助在使用 Elastic Load Balancing 时提高 Amazon Elastic Compute Cloud (Amazon EC2) 的容错能力级别,我们建议在一个区域的多个可用区中运行相同数量的实例。配置的负载均衡器会产生费用,因此这也是成本优化检查。
**检查 ID**
`iqdCTZKCUp`
**提醒条件**
+ 黄色:已为单个可用区启用负载均衡器。
+ 黄色:已为没有活跃实例的可用区启用负载均衡器。
+ 黄色:在负载均衡器注册的 Amazon EC2 实例未在可用区之间平均分配。(使用的可用区中的最高实例数与最低实例数之差大于 1,且差值大于最高数量的 20%。)
**Recommended Action(建议的操作)**
确保负载均衡器指向至少两个可用区内活跃并运行正常的实例。有关更多信息,请参见[添加可用区](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/enable-disable-az.html#US_AddLBAvailabilityZone)。
如果负载均衡器配置的对象是没有正常运行实例的可用区,或者可用区之间的实例分配不均衡,请确定所有可用区是否都是必要的。删除所有不必要的可用区,并确保实例在其余可用区之间均衡分配。有关更多信息,请参阅[删除可用区](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/enable-disable-az.html#US_ShrinkLBApp04)。
**其他资源**
+ [可用区和区域](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/TerminologyandKeyConcepts.html#AZ-Region)
+ [管理负载均衡器](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/UserScenarios.html)
+ [评估 Elastic Load Balancing 的最佳实践](https://aws.amazon.com/articles/1636185810492479)
**报告列**
+ Status
+ Region
+ 负载均衡器名称
+ 区域数量
+ a 区实例
+ b 区实例
+ c 区实例
+ d 区实例
+ e 区实例
+ f 区实例
+ Reason
## NAT 网关可用区独立性
**说明**
检查您的 NAT 网关是否配置了可用区(AZ)独立性。
NAT 网关使私有子网中的资源能够使用 NAT 网关的 IP 地址安全地连接到子网以外的服务,并且丢弃任何未经请求的入站流量。每个 NAT 网关都在指定的可用区(AZ)内运行,并且仅在该可用区中使用冗余构建。因此,您在特定可用区中的资源应使用同一可用区中的 NAT 网关,这样 NAT 网关或其可用区的任何潜在中断均不会影响您在另一个可用区中的资源。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1dfptbg10`
**提醒条件**
+ 红色:来自一个可用区子网的流量正在通过另一个可用区中的 NATGW 进行路由。
+ 绿色:来自一个可用区子网的流量正在通过同一可用区中的 NATGW 路由。
**Recommended Action(建议的操作)**
请检查您的子网的可用区,并通过同一可用区中的 NAT 网关路由流量。
如果可用区中没有 NATGW,请创建一个,然后通过它路由您的子网流量。
如果您在不同的子网之间关联了相同的路由表 AZs,请将此路由表与与 NAT 网关位于同一可用区的子网相关联;对于另一个可用区中的子网,请将单独的路由表与通往另一个可用区中 NAT 网关的路由相关联。
我们建议您为 Amazon VPC 中的架构更改选择一个维护时段。
**其他资源**
+ [如何创建 NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)
+ [如何为不同的 NAT 网关应用场景配置路由](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-scenarios.html)
**报告列**
+ Status
+ Region
+ NAT 可用区
+ NAT ID
+ 子网可用区
+ 子网 ID
+ 路由表 ID
+ NAT ARN
+ 上次更新时间
## Network Firewall 端点可用区独立性
**说明**
检查您的 AWS Network Firewall 终端节点是否已配置为来自其他可用区 (AZ) 的路由目的地。
Network Firewall 端点将网络流量转发到 Network Firewall 进行检查。每个 Network Firewall 端点都在指定的可用区内运行,并且仅在该可用区中以冗余方式构建。特定可用区中的资源应使用同一可用区中的 Network Firewall 端点。这样可以确保 Network Firewall 端点或其所在可用区发生任何潜在中断时,不会影响其他可用区中的资源。如果从其他可用区发起网络流量以进行流量检查,会产生跨可用区数据传输费用。最佳做法是确保特定可用区中的所有资源均使用同一个可用区中的 Network Firewall,以避免产生跨可用区数据费用。
**检查 ID**
`7040ea389a`
**提醒条件**
+ 黄色:来自一个可用区子网的流量正在通过另一个可用区中的 Network Firewall 端点进行路由。
+ 绿色:来自一个可用区子网的流量正在通过同一可用区中的 Network Firewall 端点进行路由。
**Recommended Action(建议的操作)**
检查子网所在的可用区,并通过同一可用区中的 Network Firewall 端点路由流量。
如果可用区中没有 Network Firewall 端点,请新建一个 Network Firewall,然后通过其路由子网流量。
如果同一路由表关联到不同子网中的多个子网 AZs,则将此路由表与与 Network Firewall 终端节点位于同一可用区的子网关联。对于其他子网 AZs,请将单独的路由表与指向该可用区中 Network Firewall 终端节点的路由相关联。
最佳做法是为 Amazon VPC 中的架构变更选择合适的维护时段。
**其他资源**
[同一个内部的数据传输 AWS 区域](https://aws.amazon.com/ec2/pricing/on-demand/)
[了解数据传输费用](https://docs.aws.amazon.com/cur/latest/userguide/cur-data-transfers-charges.html)
[可用区独立性](https://docs.aws.amazon.com/whitepapers/latest/advanced-multi-az-resilience-patterns/availability-zone-independence.html)
[实施防火墙的高级步骤](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-high-level-steps.html)
[创建防火墙](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-creating.html)
[AWS Well-Architected Tool -使用舱壁架构来限制影响范围](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_use_bulkhead.html)
**报告列**
+ Status
+ Region
+ Network Firewall 端点 ID
+ Network Firewall ARN
+ Network Firewall 端点子网
+ Network Firewall 端点可用区
+ 跨可用区子网列表
+ 上次更新时间
## Network Firewall 多可用区
**说明**
检查 Network Firewall 是否配置为在多个可用区(AZ)部署防火墙端点。
一个可用区是一个不同的位置,它与其他可用区的故障隔离开来。如果 Network Firewall 终端节点仅部署在 1 个可用区中,则它可能是单点故障,并且可能会影响 AZs使用网络防火墙进行流量检查的其他工作负载。最佳做法是在同一个区域中将网络防火墙配置成多个 AZs 以提高工作负载可用性。
**检查 ID**
`c2vlfg0gqd`
**提醒条件**
+ 黄色:Network Firewall 端点部署在 1 个可用区中。
+ 绿色:Network Firewall 端点至少部署在两个中 AZs。
**Recommended Action(建议的操作)**
确保您的 Network Firewall 配置了至少两个 AZs用于生产工作负载的防火墙。
**其他资源**
[AWS Network Firewall的 VPC 子网配置](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-subnets)
[创建防火墙](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-creating.html)
[可用区](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)
[AWS Well-Architected Tool -将工作负载部署到多个地点](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_multiaz_region_system.html)
[共享服务 VPC 中的设备](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-appliance-scenario.html#transit-gateway-appliance-overview)
**报告列**
+ Status
+ Region
+ Network Firewall ARN
+ VPC ID
+ Network Firewall 子网
+ Network Firewall 子网 AZs
+ 上次更新时间
## 网络负载均衡器跨区域负载均衡
**说明**
检查网络负载均衡器上是否已启用跨区域负载均衡。
跨区域负载均衡有助于在不同可用区的实例之间保持传入流量的均匀分布。这可以防止负载均衡器将所有流量路由到同一可用区内的实例,从而可能会导致流量分布不均和潜在的过载。该功能还可在单个可用区出现故障时自动将流量路由到其他可用区中运行正常的实例,从而提高应用程序的可靠性。
有关更多信息,请参阅[跨区域负载均衡](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz105`
**来源**
`AWS Config Managed Rule: nlb-cross-zone-load-balancing-enabled`
**提醒条件**
+ 黄色:网络负载均衡器未启用跨区域负载均衡。
**Recommended Action(建议的操作)**
确保网络负载均衡器上已启用跨区域负载均衡。
**其他资源**
[跨区域负载均衡(网络负载均衡器)](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## NLB - 私有子网中面向互联网的资源
**说明**
检查面向互联网的网络负载均衡器 (NLB) 是否配置了私有子网。面向互联网的网络负载均衡器(NLB)必须部署在公有子网中,才能接收流量。公有子网是指具有指向[互联网网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)的直接路由的子网。如果子网配置为私有子网,则该子网所在的可用区(AZ)不会接收流量,这可能会导致可用性问题。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1dfpnchv4`
**提醒条件**
红色:NLB 配置了一个或多个私有子网
绿色:面向互联网的 NLB 未配置任何私有子网
**Recommended Action(建议的操作)**
确认在面向互联网的负载均衡器中配置的子网是公有子网。公有子网是指具有指向[互联网网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)的直接路由的子网。使用以下选项之一:
+ 创建新的负载均衡器,并选择另一个具有指向互联网网关的直接路由的子网。
+ 将当前附加到负载均衡器的子网从私有子网更改为公有子网。为此,请更改其路由表并[关联互联网网关](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#associate-route-table-gateway)。
**其他资源**
+ [配置负载均衡器和侦听器](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer)
+ [您的 VPC 的子网](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html)
+ [将网关与路由表关联](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#associate-route-table-gateway)
**报告列**
+ Status
+ Region
+ NLB Arn
+ NLB 名称
+ 子网 ID
+ NLB 方案
+ 子网类型
+ 上次更新时间
## NLB 多可用区
**说明**
检查网络负载均衡器是否配置为使用多个可用区(AZ)。一个可用区是一个不同的位置,它与其他区域的故障隔离开来。在同一区域中将您的负载均衡器配置为多个 AZs 以帮助提高工作负载可用性。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1dfprch09`
**提醒条件**
黄色:NLB 部署在单个可用区中。
绿色:NLB 有两个或更多 AZs。
**Recommended Action(建议的操作)**
确保负载均衡器配置了至少两个可用区。
**其他资源**
有关更多信息,请参阅以下文档:
+ [可用区](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones)
+ [AWS Well-Architected-将工作负载部署到多个地点](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_fault_isolation_multiaz_region_system.html)
+ [区域和可用区](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)
**报告列**
+ Status
+ Region
+ 的数量 AZs
+ NLB ARN
+ NLB 名称
+ 上次更新时间
## 事件管理器复制集 AWS 区域 中的数量
**说明**
检查事件管理器复制集的配置是否使用多个配置 AWS 区域 来支持区域故障转移和响应。对于由 CloudWatch 警报或 EventBridge 事件创建的事件,事件管理器会创建与警报或事件规则 AWS 区域 相同的事件。如果 Incident Manager 暂时在该区域不可用,则系统会尝试在复制集中的另一个区域中创建事件。如果复制集仅包含一个区域,则在事件管理器不可用时,系统将无法创建事件记录。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`cIdfp1js9r`
**提醒条件**
+ 绿色:复制集包含多个区域。
+ 黄色:复制集包含一个区域。
**Recommended Action(建议的操作)**
向复制集中至少再添加一个区域。
**其他资源**
有关更多信息,请参阅[跨区域事件管理](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-cross-account-cross-region.html#incident-manager-cross-region.html)。
**报告列**
+ Status
+ 多区域
+ 复制集
+ 上次更新时间
## 单个可用区应用程序检查
**说明**
检查网络模式,您的传出网络流量是否通过单个可用区(AZ)路由。
一个可用区是一个不同的位置,它与其他区域的任何影响隔离开来。通过将服务分散到多个可用区 AZs,可以限制可用区故障的爆炸半径。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1dfptbg11`
**提醒条件**
+ 黄色:根据观察到的传出网络模式,您的应用程序可能仅在一个可用区中部署。如果情况属实,并且您的应用程序需要高可用性,我们建议您预置应用程序资源并实施网络流以利用多个可用区。
**Recommended Action(建议的操作)**
如果您的应用程序要求高可用性,则请考虑实施多可用区架构以实现更高的可用性。
**报告列**
+ Status
+ Region
+ - VPC ID
+ 上次更新时间
## VPC 接口多个 VPC 接口端点网络接口 AZs
**说明**
检查您的 AWS PrivateLink VPC 接口终端节点是否配置为使用多个可用区 (AZ)。一个可用区是一个不同的位置,它与其他区域的故障隔离开来。这支持同一 AWS 地区之间低成本、低延迟 AZs 的网络连接。创建接口端点 AZs 时,可以选择多个子网,以帮助保护您的应用程序免受单点故障的影响。
此检查目前仅包含接口端点。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1dfprch10`
**提醒条件**
黄色:VPC 端点部署在单个可用区中。
绿色:VPC 终端节点至少有两个 AZs。
**Recommended Action(建议的操作)**
确保 VPC 接口端点配置了至少两个可用区。
**其他资源**
有关更多信息,请参阅以下文档:
+ [AWS 服务 使用接口访问 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)
+ [端点网络接口的私有 IP 地址](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/creating-highly-available-endpoint-services.html#private-ip-address-of-the-endpoint-network-interface)
+ [AWS PrivateLink 概念](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)
+ [区域和可用区](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)
**报告列**
+ Status
+ Region
+ VPC 端点 ID
+ 是多可用区
+ 上次更新时间
## VPN 隧道冗余
**说明**
检查您的每条隧道处于活动状态的数量 Site-to-Site VPNs。
VPN 应始终配置两个隧道。这样可以在 AWS 终端节点的设备中断或计划进行维护时提供冗余。对于某些硬件,每次只有一个隧道处于活动状态。如果 VPN 没有活动隧道,可能仍会收取 VPN 费用。有关更多信息,请参阅 [AWS Site-to-Site VPN 用户指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)。
**检查 ID**
`S45wrEXrLz`
**提醒条件**
+ 黄色:VPN 有一个活跃隧道(对于某些硬件来说这是正常情况)。
+ 黄色:VPN 没有活跃隧道。
**Recommended Action(建议的操作)**
请确保为您的 VPN 连接配置两个隧道,并且两个都处于活跃状态(如果硬件支持)。如果您不再需要某个 VPN 连接,则可将其删除以避免收费。有关更多信息,请参阅[您的客户网关设备](https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html)或[删除 Site-to-Site VPN 连接](https://docs.aws.amazon.com/vpn/latest/s2svpn/delete-vpn.html)。
**其他资源**
+ [AWS Site-to-Site VPN 用户指南](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [创建目标网关](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-target-gateway)
**报告列**
+ Status
+ Region
+ VPN ID
+ VPC
+ 虚拟专用网关
+ 客户网关
+ 活跃隧道
+ Reason
## ActiveMQ 可用区冗余
**说明**
检查适用于 ActiveMQ 的 Amazon MQ 代理是否已配置为在多个可用区中具有高可用性。 active/standby
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1t3k8mqv1`
**提醒条件**
+ 黄色:在单个可用区中配置 Amazon MQ for ActiveMQ 代理。
绿色:在至少两个可用区中配置 Amazon MQ for ActiveMQ 代理。
**Recommended Action(建议的操作)**
使用 active/standby 部署模式创建新的代理。
**其他资源**
+ [创建 ActiveMQ 代理](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-activemq.html)
**报告列**
+ Status
+ Region
+ ActiveMQ 代理 ID
+ 代理引擎类型
+ 部署模式
+ 上次更新时间
## RabbitMQ 可用区冗余
**说明**
检查 Amazon MQ for RabbitMQ 代理是否已配置为具有多个可用区中集群实例的高可用性。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1t3k8mqv2`
**提醒条件**
+ 黄色:在单个可用区中配置 Amazon MQ for RabbitMQ 代理。
绿色:在多个可用区中配置 Amazon MQ for RabbitMQ 代理。
**Recommended Action(建议的操作)**
创建具有集群部署模式的新代理。
**其他资源**
+ [创建 RabbitMQ 代理](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html)
**报告列**
+ Status
+ Region
+ RabbitMQ 代理 ID
+ 代理引擎类型
+ 部署模式
+ 上次更新时间
# 服务限制
请参阅以下有关服务限制(也称为配额)类别的检查。
此类别中的所有检查都有以下描述:
**提醒条件**
+ 黄色:已达到限制的 80%。
+ 红色:已达到限制的 100%。
+ 蓝色: Trusted Advisor 无法检索一个或多个中的利用率或限制 AWS 区域。
**Recommended Action(建议的操作)**
如果您预计超出服务限制,请直接从[服务配额](https://console.aws.amazon.com/servicequotas)控制台请求增加。如果服务配额还不支持您的服务,则可以在[支持中心](https://console.aws.amazon.com/support/home?region=us-east-1#/case/create?issueType=service-limit-increase&type=service_limit_increase)打开支持案例。
**报告列**
+ Status
+ 服务
+ Region
+ 限制数量
+ 当前使用量
**注意**
值基于快照,因此您的当前使用量可能会有所不同。配额和使用数据最长可能需要 24 小时才能反映出任何更改。在最近增加了配额的情况下,您可能会暂时发现利用率超出配额。
**Contents**
+ [
## Auto Scaling 组
](#auto-scaling-groups)
+ [
## Auto Scaling 启动配置
](#auto-scaling-launch-configurations)
+ [
## CloudFormation 堆栈
](#cloudformation-stacks)
+ [
## DynamoDB 读取容量
](#dynamo-db-read-capacity)
+ [
## DynamoDB 写入容量
](#dynamo-db-write-capacity)
+ [
## EBS 活动快照
](#ebs-active-snapshots)
+ [
## EBS 冷 HDD (sc1) 卷存储
](#ebs-cold-hdd-sc1-volume-storage)
+ [
## EBS 通用型 SSD (gp2) 卷存储
](#ebs-general-purpose-ssd-gp2-volume-storage)
+ [
## EBS 通用型 SSD (gp3) 卷存储
](#ebs-general-purpose-ssd-gp3-volume-storage)
+ [
## EBS 磁介质(标准)卷存储
](#ebs-magnetic-standard-volume-storage)
+ [
## EBS 预调配 IOPS SSD (io1) 卷聚合 IOPS
](#ebs-provisioned-iops-ssd-volume-aggregate-iops)
+ [
## EBS 预置 IOPS SSD (io1) 卷存储
](#ebs-provisioned-iops-ssd-io1-volume-storage)
+ [
## EBS 预置 IOPS SSD (io2) 卷存储
](#ebs-provisioned-iops-ssd-io2-volume-storage)
+ [
## EBS 吞吐量优化型 HDD (st1) 卷存储
](#ebs-throughput-optimized-hdd-st1-volume-storage)
+ [
## EC2 按需实例
](#ec2-on-demand-instances)
+ [
## EC2 预留实例租赁
](#ec2-reserved-instance-leases)
+ [
## EC2-Classic 弹性 IP 地址
](#ec2-elastic-ip-addresses)
+ [
## EC2-VPC 弹性 IP 地址
](#ec2-vpc-elastic-ip-address)
+ [
## ELB Application Load Balancer
](#elb-application-load-balancers)
+ [
## ELB 经典负载均衡器
](#elb-classic-load-balancers)
+ [
## ELB Network Load Balancer
](#elb-network-load-balancers)
+ [
## IAM 组
](#iam-group)
+ [
## IAM 实例配置文件
](#iam-instance-profiles)
+ [
## IAM policy
](#iam-policies)
+ [
## IAM 角色
](#iam-roles)
+ [
## IAM 服务器证书
](#iam-server-certificates)
+ [
## IAM 用户
](#iam-users)
+ [
## 每个区域的 Kinesis 分区数
](#kinesis-shards-per-region)
+ [
## Lambda 代码存储使用量
](#Lambda-Code-Storage-Usage)
+ [
## RDS 集群参数组
](#rds-cluster-parameter-groups)
+ [
## RDS 集群角色数
](#rds-cluster-roles)
+ [
## RDS 集群
](#rds-clusters)
+ [
## RDS 数据库实例
](#rds-db-instances)
+ [
## RDS 数据库手动快照
](#rds-db-manual-snapshots)
+ [
## RDS 数据库参数组
](#rds-db-parameter-groups)
+ [
## RDS 数据库安全组
](#rds-db-security-groups)
+ [
## RDS 事件订阅
](#rds-event-subscriptions)
+ [
## 每个安全组的 RDS 最大身份验证次数
](#rds-max-auths-per-security-group)
+ [
## RDS 选项组
](#rds-option-groups)
+ [
## 每个主实例的 RDS 只读副本
](#rds-read-replicas-per-master)
+ [
## RDS 预留实例
](#rds-reserved-instances)
+ [
## RDS 子网组
](#rds-subnet-groups)
+ [
## 每个子网组的 RDS 子网数
](#rds-subnets-per-subnet-group)
+ [
## RDS 总存储配额
](#rds-total-storage-quota)
+ [
## Route 53 托管区域
](#route-53-hosted-zones)
+ [
## Route 53 最大运行状况检查次数
](#route-53-max-health-checks)
+ [
## Route 53 可重用的委托集
](#route-53-reusable-delegation-sets)
+ [
## Route 53 流量策略
](#route-53-traffic-policies)
+ [
## Route 53 流量策略实例
](#route-53-traffic-policy-instances)
+ [
## SES 日发送配额
](#ses-daily-sending-quota)
+ [
## VPC
](#vpc-quota-check)
+ [
## VPC 互联网网关
](#vpc-internet-gateways)
## Auto Scaling 组
**说明**
检查使用量是否超过 Auto Scaling 组配额 80%。
**检查 ID**
`fW7HH0l7J9`
**其他资源**
[Auto Scaling 配额](https://docs.aws.amazon.com/autoscaling/latest/userguide/as-account-limits.html)
## Auto Scaling 启动配置
**说明**
检查使用量是否超过 Auto Scaling 启动配置配额 80%。
**检查 ID**
`aW7HH0l7J9`
**其他资源**
[Auto Scaling 配额](https://docs.aws.amazon.com/autoscaling/latest/userguide/as-account-limits.html)
## CloudFormation 堆栈
**说明**
检查使用量是否超过 CloudFormation 堆栈配额的 80%。
**检查 ID**
`gW7HH0l7J9`
**其他资源**
[CloudFormation 配额](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html)
## DynamoDB 读取容量
**说明**
检查使用量是否超过每个 AWS 账户的读取次数的 DynamoDB 预置吞吐量限制的 80%。
**检查 ID**
`6gtQddfEw6`
**其他资源**
[DynamoDB 配额](https://docs.aws.amazon.com//general/latest/gr/ddb.html)
## DynamoDB 写入容量
**说明**
检查使用量是否超过每个 AWS 账户的写入次数的 DynamoDB 预置吞吐量限制的 80%。
**检查 ID**
`c5ftjdfkMr`
**其他资源**
[DynamoDB 配额](https://docs.aws.amazon.com//general/latest/gr/ddb.html)
## EBS 活动快照
**说明**
检查使用量是否超过 EBS 活动快照配额的 80%。
**检查 ID**
`eI7KK0l7J9`
**其他资源**
[Amazon EBS 限制](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 冷 HDD (sc1) 卷存储
**说明**
检查使用量是否超过 EBS 冷 HDD (sc1) 卷存储配额的 80%。
**检查 ID**
`gH5CC0e3J9`
**其他资源**
[Amazon EBS 限制](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 通用型 SSD (gp2) 卷存储
**说明**
检查使用量是否超过 EBS 通用型 SSD (gp2) 卷存储配额的 80%。
**检查 ID**
`dH7RR0l6J9`
**其他资源**
[Amazon EBS 限制](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 通用型 SSD (gp3) 卷存储
**说明**
检查使用量是否超过 EBS 通用型 SSD (gp3) 卷存储配额的 80%。
**检查 ID**
`dH7RR0l6J3`
**其他资源**
[Amazon EBS 限制](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 磁介质(标准)卷存储
**说明**
检查使用量是否超过 EBS 磁性介质(标准)卷存储配额的 80%。
**检查 ID**
`cG7HH0l7J9`
**其他资源**
[Amazon EBS 限制](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 预调配 IOPS SSD (io1) 卷聚合 IOPS
**说明**
检查使用量是否超过 EBS 预调配 IOPS SSD (io1) 卷聚合 IOPS 配额的 80%。
**检查 ID**
`tV7YY0l7J9`
**其他资源**
[Amazon EBS 限制](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 预置 IOPS SSD (io1) 卷存储
**说明**
检查使用量是否超过 EBS 预置 IOPS SSD (io1) 卷存储配额的 80%。
**检查 ID**
`gI7MM0l7J9`
**其他资源**
[Amazon EBS 限制](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 预置 IOPS SSD (io2) 卷存储
**说明**
检查使用量是否超过 EBS 预置 IOPS SSD (io2) 卷存储配额的 80%。
**检查 ID**
`gI7MM0l7J2`
**其他资源**
[Amazon EBS 限制](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EBS 吞吐量优化型 HDD (st1) 卷存储
**说明**
检查使用量是否超过 EBS 吞吐量优化 HDD (st1) 卷存储配额的 80%。
**检查 ID**
`wH7DD0l3J9`
**其他资源**
[Amazon EBS 限制](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html)
## EC2 按需实例
**说明**
检查使用量是否超过 EC2 按需实例配额的 80%。
**检查 ID**
`0Xc6LMYG8P`
**其他资源**
[Amazon EC2 配额](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
## EC2 预留实例租赁
**说明**
检查使用量是否超过 EC2 预留实例租赁配额的 80%。
**检查 ID**
`iH7PP0l7J9`
**其他资源**
[Amazon EC2 配额](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
## EC2-Classic 弹性 IP 地址
**说明**
检查使用量是否超过 EC2-Classic 弹性 IP 地址配额的 80%。
**检查 ID**
`aW9HH0l8J6`
**其他资源**
[Amazon EC2 配额](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html)
## EC2-VPC 弹性 IP 地址
**说明**
检查使用量是否超过 EC2-VPC 弹性 IP 地址配额的 80%。
**检查 ID**
`lN7RR0l7J9`
**其他资源**
[VPC 弹性 IP 配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-eips)
## ELB Application Load Balancer
**说明**
检查使用量是否超过 ELB Application Load Balancer 配额的 80%。
**检查 ID**
`EM8b3yLRTr`
**其他资源**
[Elastic Load Balancing 配额](https://docs.aws.amazon.com/general/latest/gr/elb.html)
## ELB 经典负载均衡器
**说明**
检查使用量是否超过 ELB 经典负载均衡器配额的 80%。
**检查 ID**
`iK7OO0l7J9`
**其他资源**
[Elastic Load Balancing 配额](https://docs.aws.amazon.com/general/latest/gr/elb.html)
## ELB Network Load Balancer
**说明**
检查使用量是否超过 ELB Network Load Balancer 配额的 80%。
**检查 ID**
`8wIqYSt25K`
**其他资源**
[Elastic Load Balancing 配额](https://docs.aws.amazon.com/general/latest/gr/elb.html)
## IAM 组
**说明**
检查使用量是否超过 IAM 组配额的 80%。
**检查 ID**
`sU7XX0l7J9`
**其他资源**
[IAM 配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 实例配置文件
**说明**
检查使用量是否超过 IAM 实例配置文件配额的 80%。
**检查 ID**
`nO7SS0l7J9`
**其他资源**
[IAM 配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM policy
**说明**
检查使用量是否超过 IAM policy 配额的 80%。
**检查 ID**
`pR7UU0l7J9`
**其他资源**
[IAM 配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 角色
**说明**
检查使用量是否超过 IAM 角色配额的 80%。
**检查 ID**
`oQ7TT0l7J9`
**其他资源**
[IAM 配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 服务器证书
**说明**
检查使用量是否超过 IAM 服务器证书配额的 80%。
**检查 ID**
`rT7WW0l7J9`
**其他资源**
[IAM 配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## IAM 用户
**说明**
检查使用量是否超过 IAM 用户配额的 80%。
**检查 ID**
`qS7VV0l7J9`
**其他资源**
[IAM 配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## 每个区域的 Kinesis 分区数
**说明**
检查使用量是否超过每个区域的 Kinesis 分区数配额 80%。
**检查 ID**
`bW7HH0l7J9`
**其他资源**
[Kinesis 配额](https://docs.aws.amazon.com/streams/latest/dev/service-sizes-and-limits.html)
## Lambda 代码存储使用量
**说明**
检查代码存储使用量是否超过账户限额的 80%。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1dfprch07`
**提醒条件**
+ 黄色:已达到限制的 80%。
**Recommended Action(建议的操作)**
请确定未使用的 lambda 函数或版本并将其删除,以便为该地区的账户腾出代码存储空间。如果您需要更多存储空间,请在支持中心内创建支持案例。如果您预计超出服务限制,请直接从服务配额控制台请求增加。如果服务配额还不支持您的服务,则可以在支持中心打开支持案例。
**其他资源**
+ [Lambda 代码存储使用量](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html)
**报告列**
+ Status
+ Region
+ 此资源的限定函数 ARN。
+ 函数代码存储使用量 MegaBytes 以 2 位小数表示。
+ 函数中的版本数量
+ 上次更新时间
## RDS 集群参数组
**说明**
检查使用量是否超过 RDS 集群参数组配额的 80%。
**检查 ID**
`jtlIMO3qZM`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 集群角色数
**说明**
检查使用量是否超过 RDS 集群角色配额的 80%。
**检查 ID**
`7fuccf1Mx7`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 集群
**说明**
检查使用量是否超过 RDS 集群配额的 80%。
**检查 ID**
`gjqMBn6pjz`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 数据库实例
**说明**
检查使用量是否超过 RDS 数据库实例配额的 80%。
**检查 ID**
`XG0aXHpIEt`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 数据库手动快照
**说明**
检查使用量是否超过 RDS 数据库手动快照配额的 80%。
**检查 ID**
`dV84wpqRUs`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 数据库参数组
**说明**
检查使用量是否超过 RDS 数据库参数组配额的 80%。
**检查 ID**
`jEECYg2YVU`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 数据库安全组
**说明**
检查使用量是否超过 RDS 数据库安全组配额的 80%。
**检查 ID**
`gfZAn3W7wl`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 事件订阅
**说明**
检查使用量是否超过 RDS 事件订阅配额的 80%。
**检查 ID**
`keAhfbH5yb`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## 每个安全组的 RDS 最大身份验证次数
**说明**
检查使用量是否超过每个安全组的 RDS 最大身份验证次数配额的 80%。
**检查 ID**
`dBkuNCvqn5`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 选项组
**说明**
检查使用量是否超过 RDS 选项组配额的 80%。
**检查 ID**
`3Njm0DJQO9`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## 每个主实例的 RDS 只读副本
**说明**
检查使用量是否超出每个主实例的 RDS 只读副本配额的 80%。
**检查 ID**
`pYW8UkYz2w`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 预留实例
**说明**
检查使用量是否超过 RDS 预留实例配额的 80%。
**检查 ID**
`UUDvOa5r34`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 子网组
**说明**
检查使用量是否超过 RDS 子网组配额的 80%。
**检查 ID**
`dYWBaXaaMM`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## 每个子网组的 RDS 子网数
**说明**
检查使用量是否超过每个子网组的 RDS 子网配额的 80%。
**检查 ID**
`jEhCtdJKOY`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## RDS 总存储配额
**说明**
检查使用量是否超过 RDS 总存储配额的 80%。
**检查 ID**
`P1jhKWEmLa`
**其他资源**
[Amazon RDS 配额](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_Limits.html)
## Route 53 托管区域
**说明**
检查使用量是否超过每个账户的 Route 53 托管区域配额的 80%。
**检查 ID**
`dx3xfcdfMr`
**其他资源**
[Route 53 配额](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## Route 53 最大运行状况检查次数
**说明**
检查使用量是否超过每个账户的 Route 53 运行状况检查配额的 80%。
**检查 ID**
`ru4xfcdfMr`
**其他资源**
[Route 53 配额](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## Route 53 可重用的委托集
**说明**
检查使用量是否超过每个账户的 Route 53 可重用的委托集配额的 80%。
**检查 ID**
`ty3xfcdfMr`
**其他资源**
[Route 53 配额](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## Route 53 流量策略
**说明**
检查使用量是否超过每个账户的 Route 53 流量策略配额的 80%。
**检查 ID**
`dx3xfbjfMr`
**其他资源**
[Route 53 配额](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## Route 53 流量策略实例
**说明**
检查使用量是否超过每个账户的 Route 53 流量策略实例配额的 80%。
**检查 ID**
`dx8afcdfMr`
**其他资源**
[Route 53 配额](https://docs.aws.amazon.com/general/latest/gr/r53.html)
## SES 日发送配额
**说明**
检查使用量是否超过 Amazon SES 日发送配额的 80%。
**检查 ID**
`hJ7NN0l7J9`
**其他资源**
[Amazon SES 配额](https://docs.aws.amazon.com/ses/latest/dg/quotas.html)
## VPC
**说明**
检查使用量是否超过 VPC 配额的 80%。
**检查 ID**
`jL7PP0l7J9`
**其他资源**
[VPC 配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)
## VPC 互联网网关
**说明**
检查使用量是否超过 VPC 互联网网关配额的 80%。
**检查 ID**
`kM7QQ0l7J9`
**其他资源**
[VPC 配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)
# 卓越操作
您可以对卓越运营类别使用以下检查。
**Contents**
+ [
## Amazon API Gateway 未记录执行日志
](#api-gw-execution-logging-enabled)
+ [
## APIs 未启用 X 射线追踪的 Amazon API Gateway REST
](#api-gw-xray-enabled)
+ [
## 已配置亚马逊 CloudFront 访问日志
](#cloudfront-access-log-configured)
+ [
## 亚马逊 CloudWatch 警报操作已禁用
](#cloudwatch-alarm-action-disabled)
+ [
## 亚马逊 EC2 实例不是由管理的 AWS Systems Manager
](#ec2-instance-managed-ssm)
+ [
## 禁用标签不变性的 Amazon ECR 存储库
](#ecr-private-tag-immutability-enabled)
+ [
## 禁用 Container Insights 的 Amazon ECS 集群
](#ecs-container-insights-enabled)
+ [
## Amazon ECS 任务日志记录未启用
](#ecs-task-definition-log-configuration)
+ [
## CloudWatch 未配置亚马逊 OpenSearch 服务日志
](#opensearch-logs-to-cloudwatch)
+ [
## 具有异构参数组的集群中的 Amazon RDS 数据库实例
](#rds-db-instances-heterogeneous-parameter-groups)
+ [
## Amazon RDS 增强监控已关闭
](#rds-enhanced-monitoring-off)
+ [
## Amazon RDS 性能详情已关闭
](#rds-performance-insights-off)
+ [
## Amazon RDS track\$1counts 参数已关闭
](#rds-track-counts-parameters-off)
+ [
## Amazon Redshift 集群审计日志记录
](#redshift-audit-logging-enabled)
+ [
## Amazon S3 访问日志已启用
](#Amazon-S3-Server-Access-Logs-Enabled)
+ [
## Amazon S3 未启用事件通知
](#s3-event-notification-enabled)
+ [
## Amazon SNS 主题未记录消息传输状态
](#sns-topics-not-logging-message-delivery-status)
+ [
## 不带流日志的 Amazon VPC
](#vpc-flow-logs-enabled)
+ [
## 未启用访问日志的应用程序负载均衡器和经典负载均衡器
](#elb-logging-enabled)
+ [
## CloudFormation 堆栈通知
](#cloudformation-stack-notification)
+ [
## AWS CloudTrail 记录 S3 存储桶中对象的数据事件
](#cloudtrail-s3-dataevents-enabled)
+ [
## AWS CodeBuild 项目日志
](#codebuild-project-logging-enabled)
+ [
## AWS CodeDeploy 自动回滚并启用监控
](#codedeploy-auto-rollback-monitor-enabled)
+ [
## AWS CodeDeploy Lambda 正在使用部署配置 all-at-once
](#codedeploy-lambda-allatonce-traffic-shift-disabled)
+ [
## AWS Elastic Beanstalk 未配置增强型健康报告
](#elastic-beanstalk-enhanced-health-reporting-not-enabled)
+ [
## AWS Elastic Beanstalk 已禁用托管平台更新时
](#elastic-beanstalk-managed-updates-enabled)
+ [
## AWS Fargate 平台版本不是最新的
](#ecs-fargate-latest-platform-version)
+ [
## AWS Systems Manager 处于不合规状态的州经理协会
](#ec2-managedinstance-association-compliance-status-check)
+ [
## CloudTrail 未使用 Amazon CloudWatch 日志配置跟踪
](#cloudtrail-cloudwatch-logs-enabled)
+ [
## 没有为负载均衡器启用 Elastic Load Balancing 删除保护
](#elb-deletion-protection-enabled)
+ [
## RDS 数据库集群删除保护检查
](#rds-db-cluster-deletion-protection)
+ [
## RDS 数据库实例自动次要版本升级检查
](#rds-automatic-minor-version-upgrade-enabled)
## Amazon API Gateway 未记录执行日志
**说明**
检查 Amazon API Gateway 是否在所需的 CloudWatch 日志级别开启了日志。
在 CloudWatch Amazon API Gateway 中启 WebSocket 用 REST API 方法或 API 路由的日志记录,以便在 CloudWatch 日志中收集您收到的请求的执行日志 APIs。执行日志中包含的信息有助于识别和排查与您的 API 相关的问题。
您可以在规则的 LoggingLevel 参数中指定**日志级别**(错误、信息)ID。 AWS Config
有关 CloudWatch 登录 Amazon API Gateway 的更多信息,请参阅 REST API 或 WebSocket API 文档。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz125`
**来源**
`AWS Config Managed Rule: api-gw-execution-logging-enabled`
**提醒条件**
黄色:未在 CloudWatch Amazon API Gateway 所需的日志级别上启用执行日志收集的日志设置。
**Recommended Action(建议的操作)**
开启对 CloudWatch 您的 Amazon API Gateway [REST](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) 的执行日志 APIs或[WebSocket APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/websocket-api-logging.html)相应的日志级别(错误、信息)的日志记录。
有关更多信息,请参阅[创建流日志](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log)
**其他资源**
+ [在 API Gateway 中为 REST API 设置 CloudWatch 日志记录](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)
+ [为 WebSocket API 配置日志记录](https://docs.aws.amazon.com/apigateway/latest/developerguide/websocket-api-logging.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## APIs 未启用 X 射线追踪的 Amazon API Gateway REST
**说明**
检查 Amazon API Gateway REST 是否开启 APIs 了 AWS X-Ray 追踪功能。
为你的 REST 启用 X-Ray 跟踪 APIs ,允许 API Gateway 使用跟踪信息对 API 调用请求进行采样。这样,当请求通过 API Gateway REST 传输 AWS X-Ray 到下游服务时,您就可以利用它 APIs 来跟踪和分析这些请求。
有关更多信息,请参阅[ APIs 使用 X-Ray 跟踪用户对 REST 的请求](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-xray.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz126`
**来源**
`AWS Config Managed Rule: api-gw-xray-enabled`
**提醒条件**
黄色:API Gateway REST API 未开启 X-Ray 跟踪。
**Recommended Action(建议的操作)**
为你的 API Gateway REST 开启 X-REST 追踪 APIs。
有关更多信息,请参阅[AWS X-Ray 使用 API Gateway REST 进行设置 APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-enabling-xray.html)。
**其他资源**
+ [ APIs 使用 X-Ray 跟踪用户向 REST 发出的请求](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-xray.html)
+ [什么是 AWS X-Ray?](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 已配置亚马逊 CloudFront 访问日志
**说明**
检查 Amazon CloudFront 分配是否配置为从 Amazon S3 服务器访问日志中捕获信息。Amazon S3 服务器访问日志包含有关 CloudFront 收到的每个用户请求的详细信息。
您可以使用 AWS Config 规则中的 S3 BucketName 参数调整用于存储服务器访问日志的 Amaz **on** S3 存储桶的名称。
有关更多信息,请参阅[配置和使用标准日志(访问日志)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz110`
**来源**
`AWS Config Managed Rule: cloudfront-accesslogs-enabled`
**提醒条件**
黄色:未启用 Amazon CloudFront 访问日志
**Recommended Action(建议的操作)**
请务必打开 CloudFront 访问日志记录以捕获有关 CloudFront 收到的每个用户请求的详细信息。
您可以在创建或更新分配时启用标准日志。
有关更多信息,请参阅[您创建或更新分配时指定的值](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html)。
**其他资源**
+ [您创建或更新分配时指定的值](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html)
+ [配置和使用标准日志(访问日志)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 亚马逊 CloudWatch 警报操作已禁用
**说明**
检查您的 Amazon CloudWatch 警报操作是否处于禁用状态。
您可以使用启用或禁用闹钟中的操作功能。 AWS CLI 或者,您可以使用 AWS SDK 以编程方式禁用或启用操作功能。当警报操作功能关闭时,在任何状态下都 CloudWatch 不会执行任何定义的操作(OK、INSUFGIENT\$1DATA、ALARM)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz109`
**来源**
`AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check`
**提醒条件**
黄色:未启用 Amazon CloudWatch 警报操作。在任何警报状态下均不会执行任何操作。
**Recommended Action(建议的操作)**
在 CloudWatch 警报中启用操作,除非您有正当理由将其禁用,例如出于测试目的。
如果不再需要该 CloudWatch 警报,请将其删除,以免产生不必要的费用。
有关更多信息,请参阅[enable-alarm-actions](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/enable-alarm-actions.html)《 AWS CLI 命令参考》和《 AWS SDK for Go API 参考》 EnableAlarmActions中的 [func (\$1CloudWatch)](https://docs.aws.amazon.com/sdk-for-go/api/service/cloudwatch/#CloudWatch.EnableAlarmActions)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 亚马逊 EC2 实例不是由管理的 AWS Systems Manager
**说明**
检查您账户中的 Amazon EC2 实例是否由管理 AWS Systems Manager。
Systems Manager 可帮助您了解 Amazon EC2 实例和操作系统配置的当前状态,并进行控制。使用 Systems Manager,您可以收集有关实例集的软件配置和清单信息,包括实例上安装的软件。这让您可以跟踪详细的系统配置、操作系统补丁级别、应用程序配置,以及有关部署的其他详细信息。
有关更多信息,请参阅[为 EC2 实例设置 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz145`
**来源**
`AWS Config Managed Rule: ec2-instance-managed-by-systems-manager`
**提醒条件**
黄色:Amazon EC2 实例并非由 Systems Manager 托管。
**Recommended Action(建议的操作)**
将您的 Amazon EC2 实例配置为由 Systems Manager 管理。
无法将此支票排除在 Trusted Advisor 控制台的视图之外。
有关更多信息,请参阅[为什么我的 EC2 实例在 Systems Manager 中未显示为托管节点或显示“连接丢失”状态?](https://repost.aws/knowledge-center/systems-manager-ec2-instance-not-appear)。
**其他资源**
[为 EC2 实例设置 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 禁用标签不变性的 Amazon ECR 存储库
**说明**
检查私有 Amazon ECR 存储库是否开启了映像标签不变性。
为私有 Amazon ECR 存储库开启映像标签不变性,以防止映像标签被覆盖。这样就可以依靠描述性标签作为跟踪和唯一识别映像的可靠机制。例如,如果开启了映像标签不变性,则用户可以可靠地使用映像标签将已部署的映像版本与生成该映像的版本关联起来。
有关更多信息,请参阅[映像标签可变性](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-tag-mutability.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz129`
**来源**
`AWS Config Managed Rule: ecr-private-tag-immutability-enabled`
**提醒条件**
黄色:Amazon ECR 私有存储库未开启标签不变性。
**Recommended Action(建议的操作)**
为您的 Amazon ECR 私有存储库开启映像标签不可变性。
有关更多信息,请参阅[映像标签可变性](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-tag-mutability.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 禁用 Container Insights 的 Amazon ECS 集群
**说明**
检查您的 Amazon ECS 集群是否已开启亚马逊 CloudWatch 容器洞察。
CloudWatch Container Insights 收集、汇总和汇总来自容器化应用程序和微服务的指标和日志。指标包括资源的使用率,如 CPU、内存、磁盘和网络。
有关更多信息,请参阅 [Amazon ECS CloudWatch 容器见解](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch-container-insights.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz173`
**来源**
`AWS Config Managed Rule: ecs-container-insights-enabled`
**提醒条件**
黄色:Amazon ECS 集群未启用 Container Insights。
**Recommended Action(建议的操作)**
在您的 Amazon ECS 集群上开启 CloudWatch 容器见解。
有关更多信息,请参阅[使用 Container Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContainerInsights.html)。
**其他资源**
[亚马逊 ECS CloudWatch 容器见解](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch-container-insights.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon ECS 任务日志记录未启用
**说明**
检查是否在活动 Amazon ECS 任务定义上设置了日志配置。
检查 Amazon ECS 任务定义中的日志配置,确保容器生成的日志配置和存储正确。这有助于更快地发现和排查问题,优化性能以及满足合规性要求。
默认情况下,捕获的日志显示的命令输出是您在本地运行容器时在交互式终端上通常看到的内容。awslogs 驱动程序会将这些日志从 Docker 传递到 Amazon Logs。 CloudWatch
有关更多信息,请参阅[使用 awslogs 日志驱动程序](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz175`
**来源**
`AWS Config Managed Rule: ecs-task-definition-log-configuration`
**提醒条件**
黄色:Amazon ECS 任务定义没有日志记录配置。
**Recommended Action(建议的操作)**
考虑在容器定义中指定日志驱动程序配置,将日志信息发送到 Lo CloudWatch gs 或其他日志驱动程序。
有关更多信息,请参阅 [LogConfiguration](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_LogConfiguration.html)。
**其他资源**
考虑在容器定义中指定日志驱动程序配置,将日志信息发送到 Lo CloudWatch gs 或其他日志驱动程序。
有关更多信息,请参阅[示例任务定义](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/example_task_definitions.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## CloudWatch 未配置亚马逊 OpenSearch 服务日志
**说明**
检查亚马逊 OpenSearch 服务域是否配置为向亚马逊日志发送 CloudWatch 日志。
监控日志对于维护 OpenSearch 服务的可靠性、可用性和性能至关重要。
搜索慢速日志、索引慢速日志和错误日志有助于对工作负载的性能和稳定性问题进行故障排除。需要启用这些日志才能捕获数据。
您可以使用 AWS Config 规则中的 LogTypes 参数指定要筛选的**日志类型**(错误、搜索、索引)。
有关更多信息,请参阅[监控 Amazon OpenSearch 服务域名](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/monitoring.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz184`
**来源**
`AWS Config Managed Rule: opensearch-logs-to-cloudwatch`
**提醒条件**
黄色:亚马逊 OpenSearch 服务没有使用亚马逊日志的 CloudWatch 日志配置
**Recommended Action(建议的操作)**
配置 OpenSearch 服务域以将日志发布到 CloudWatch 日志。
有关更多信息,请参阅[启用日志发布(控制台)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console)。
**其他资源**
+ [使用 Amazon 监控 OpenSearch 服务集群指标 CloudWatch](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-cloudwatchmetrics.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 具有异构参数组的集群中的 Amazon RDS 数据库实例
**说明**
我们建议数据库集群中的所有数据库实例使用同一数据库参数组。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt010`
**提醒条件**
黄色:数据库集群包含具有异构参数组的数据库实例。
**Recommended Action(建议的操作)**
将数据库实例和与数据库集群中的写入器实例关联的数据库参数组相关联。
**其他资源**
当数据库集群中的数据库实例使用不同的数据库参数组时,在失效转移期间可能会出现行为不一致的情况,或数据库集群中的各数据库实例之间出现兼容性问题。
有关更多信息,请参阅 [Working with parameter groups](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithParamGroups.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 建议值
+ 引擎名称
+ 上次更新时间
## Amazon RDS 增强监控已关闭
**说明**
您的数据库资源未开启增强监控。增强监控提供用于监控和故障排除的实时操作系统指标。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt004`
**提醒条件**
黄色:Amazon RDS 资源未开启增强监控。
**Recommended Action(建议的操作)**
打开增强监控。
**其他资源**
Amazon RDS 增强监控可让您更清晰地了解数据库实例的运行状况。建议您开启增强监控。为数据库实例开启增强监控选项后,它会收集关键的操作系统指标和进程信息。
有关更多信息,请参阅[使用增强监控来监控操作系统指标](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 建议值
+ 引擎名称
+ 上次更新时间
## Amazon RDS 性能详情已关闭
**说明**
Amazon RDS 性能详情用于监控数据库实例负载,有助于您分析和解决数据库性能问题。建议您开启性能详情。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt012`
**提醒条件**
黄色:Amazon RDS 资源未开启性能详情。
**Recommended Action(建议的操作)**
开启性能详情。
**其他资源**
性能详情使用轻量级数据收集方法,不会对应用程序的性能产生影响。性能详情可帮助您快速评估数据库负载。
有关更多信息,请参阅[在 Amazon RDS 上使用性能详情监控数据库负载](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PerfInsights.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 建议值
+ 引擎名称
+ 上次更新时间
## Amazon RDS track\$1counts 参数已关闭
**说明**
当 **track\$1counts** 参数处于关闭状态时,数据库不会收集数据库活动统计数据。Autovacuum 需要这些统计信息才能正常工作。
建议您将 **track\$1counts** 参数设置为 1
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt027`
**提醒条件**
黄色:数据库参数组的 **track\$1counts** 参数已关闭。
**Recommended Action(建议的操作)**
将 **track\$1counts** 参数设置为 1
**其他资源**
当 **track\$1counts** 参数处于关闭状态时,会禁用数据库活动统计数据的收集。自动清理进程守护程序需要依赖收集到的统计数据,来确定需要执行自动清理和自动分析的表。
有关更多信息,请参阅 PostgreSQL 文档网站上的 [PostgreSQL 的运行时统计数据](https://www.postgresql.org/docs/current/runtime-config-statistics.html#GUC-TRACK-COUNTS)。
**报告列**
+ Status
+ Region
+ 资源
+ 参数值
+ 建议值
+ 上次更新时间
## Amazon Redshift 集群审计日志记录
**说明**
检查您的 Amazon Redshift 集群是否已开启数据库审计日志记录。Amazon Redshift 在您的数据库中记录有关连接和用户活动的信息。
您可以在规则的 BucketNam **es 参数中指定要匹配的日志记录 Amazon S3 存储桶名称**。 AWS Config
有关更多信息,请参阅[数据库审核日志记录](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz134`
**来源**
`AWS Config Managed Rule: redshift-audit-logging-enabled`
**提醒条件**
黄色:Amazon Redshift 集群已禁用数据库审计日志记录
**Recommended Action(建议的操作)**
为您的 Amazon Redshift 集群开启日志记录和监控。
有关更多信息,请参阅[使用控制台配置审核](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html)。
**其他资源**
[Amazon Redshift 中的日志记录和监控](https://docs.aws.amazon.com/redshift/latest/mgmt/security-incident-response.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon S3 访问日志已启用
**说明**
检查 Amazon Simple Storage Service 存储桶的日志记录配置。
激活服务器访问日志记录后,系统会每小时将详细的访问日志发送到指定的 Amazon S3 存储桶。访问日志包含请求的详细信息,包括类型、指定资源以及处理时间/日期。默认情况下,日志记录处于关闭状态。客户应激活访问日志记录,以执行安全审计或分析用户行为和使用模式。
初次激活日志记录时,系统会自动验证配置。但是,将来的修改可能会导致日志记录失败。请注意,目前此检查不会检查 Amazon S3 存储桶的写入权限。
**检查 ID**
`c1fd6b96l4`
**提醒条件**
+ 黄色:存储桶没有启用服务器访问日志记录。
+ 黄色:目标存储桶权限不包括根账户,所以 Trusted Advisor 无法对其进行检查。
+ 红色:目标存储桶不存在。
+ 红色:目标存储桶和源存储桶的拥有者不同。
+ 绿色:存储桶已启用服务器访问日志记录,存在目标,且具备向目标写入数据的权限
**Recommended Action(建议的操作)**
为所有相关的 Amazon S3 存储桶激活服务器访问日志记录。服务器访问日志可提供审计跟踪记录,用于了解存储桶访问模式并调查可疑活动。在所有适用的存储桶上激活日志记录功能后,将提升对 Amazon S3 环境中的访问事件的可见性。请参阅[使用控制台启用日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)和[以编程方式启用日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。
如果目标存储桶权限不包括根账户,并且您希望 Trusted Advisor 检查日志记录状态,则将根账户添加为被授权者。请参阅[编辑存储桶权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-iam.html)。
如果目标存储桶不存在,请选择现有存储桶作为目标,或创建一个新存储桶,然后选择它。请参阅[管理存储桶日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)。
如果目标存储桶和源存储桶的拥有者不同,请将目标存储桶更改为拥有者与源存储桶相同的存储桶。请参阅[管理存储桶日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)。
**其他资源**
[使用存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html)
[Server access logging (服务器访问日志记录)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)
[服务器访问日志格式](https://docs.aws.amazon.com/AmazonS3/latest/userguide/LogFormat.html)
[删除日志文件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/deleting-log-files-lifecycle.html)
**报告列**
+ Status
+ Region
+ 资源 ARN
+ 存储桶名称
+ 目标名称
+ 目标存在
+ 拥有者相同
+ 写权限已启用
+ Reason
+ 上次更新时间
## Amazon S3 未启用事件通知
**说明**
检查 Amazon S3 事件通知是否已启用,或是否已正确配置所需的目标或类型。
Amazon S3 事件通知功能在 Amazon S3 桶中发生某些事件时发送通知。Amazon S3 可以向亚马逊 SQS 队列、亚马逊 SNS 主题和函数发送通知消息。 AWS Lambda
您可以使用规则中的 destinati **onArn 和 EventTypes 参数指定所需的目的地****和事件类型**。 AWS Config
有关更多信息,请参阅 [Amazon S3 事件通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventNotifications.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz163`
**来源**
`AWS Config Managed Rule: s3-event-notifications-enabled`
**提醒条件**
黄色:Amazon S3 未启用事件通知,或者未配置所需的目的地或类型。
**Recommended Action(建议的操作)**
为对象和桶事件配置 Amazon S3 事件通知。
有关更多信息,请参阅[使用 Amazon S3 控制台启用和配置事件通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## Amazon SNS 主题未记录消息传输状态
**说明**
检查 Amazon SNS 主题是否已开启消息传输状态日志记录。
配置 Amazon SNS 主题以记录消息传输状态,帮助提供更好的运营洞察。例如,消息传输日志记录会验证消息是否已传输到特定的 Amazon SNS 端点。而且,它还有助于识别从端点发送的响应。
有关更多信息,请参阅 [Amazon SNS 消息传输状态](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz121`
**来源**
`AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled`
**提醒条件**
黄色:没有为 Amazon SNS 主题开启消息传输状态记录。
**Recommended Action(建议的操作)**
为您的 SNS 主题开启消息传输状态记录。
有关更多信息,请参阅[使用 Amazon Web Services Management Console 配置传输状态日志记录](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html#topics-attrib)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 不带流日志的 Amazon VPC
**说明**
检查是否为 VPC 创建了 Amazon Virtual Private Cloud 流日志。
您可以使用规则中的 TrafficType 参数指定**流量类型**。 AWS Config
有关更多信息,请参阅[使用 VPC 流日志记录 IP 流量](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz122`
**来源**
`AWS Config Managed Rule: vpc-flow-logs-enabled`
**提醒条件**
黄色: VPCs 没有 Amazon VPC 流日志。
**Recommended Action(建议的操作)**
为您的每个人创建 VPC 流日志 VPCs。
有关更多信息,请参阅[创建流日志](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 未启用访问日志的应用程序负载均衡器和经典负载均衡器
**说明**
检查是否为应用程序负载均衡器和经典负载均衡器启用了访问日志记录。
Elastic Load Balancing 提供了访问日志,该访问日志可捕获有关发送到负载均衡器的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。您可以使用这些访问日志分析流量模式并解决问题。
访问日志是 Elastic Load Balancing 的一项可选功能,默认情况下已禁用此功能。为负载均衡器启用访问日志之后,Elastic Load Balancing 捕获日志并将其存储在您指定的 Amazon S3 存储桶中。
您可以使用 AWS Config 规则中的 s3 BucketNames 参数指定要检查的访问日志 Ama **z** on S3 存储桶。
有关更多信息,请参阅[应用程序负载均衡器的访问日志](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html)和[经典负载均衡器的访问日志](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz167`
**来源**
`AWS Config Managed Rule: elb-logging-enabled`
**提醒条件**
黄色:没有为应用程序负载均衡器或经典负载均衡器启用访问日志功能。
**Recommended Action(建议的操作)**
为应用程序负载均衡器和经典负载均衡器启用访问日志。
有关更多信息,请参阅[为应用程序负载均衡器启用访问日志](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html)和[为经典负载均衡器启用访问日志](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-access-logs.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## CloudFormation 堆栈通知
**说明**
检查您的所有 CloudFormation 堆栈是否都使用 Amazon SNS 在事件发生时接收通知。
您可以使用规则中的参数将此检查配置为查找特定的 Amazon SN ARNs S 主题。 AWS Config
有关更多信息,请参阅[设置 CloudFormation堆栈选项](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz111`
**来源**
`AWS Config Managed Rule: cloudformation-stack-notification-check`
**提醒条件**
黄色:您的 CloudFormation 堆栈的 Amazon SNS 事件通知未开启。
**Recommended Action(建议的操作)**
确保您的 CloudFormation 堆栈使用 Amazon SNS 在事件发生时接收通知。
监控堆栈事件可帮助您快速响应可能改变 AWS 环境的未经授权的操作。
**其他资源**
[当我的 AWS CloudFormation 堆栈进入 ROLLBACK\$1IN\$1PROGRESS 状态时,如何才能收到电子邮件提醒?](https://repost.aws/knowledge-center/cloudformation-rollback-email)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS CloudTrail 记录 S3 存储桶中对象的数据事件
**说明**
检查是否至少有一个 AWS CloudTrail 跟踪记录了您的所有 Amazon S3 存储桶的 Amazon S3 数据事件。
有关更多信息,请参阅[使用 AWS CloudTrail记录 Amazon S3 API 调用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz166`
**来源**
`AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled`
**提醒条件**
黄色:未配置 Amazon S3 存储桶 AWS CloudTrail 的事件记录
**Recommended Action(建议的操作)**
为 Amazon S3 存储桶和对象启用 CloudTrail 事件记录,以跟踪目标存储桶访问请求。
有关更多信息,请参阅为 S3 [存储桶和对象启用 CloudTrail 事件记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS CodeBuild 项目日志
**说明**
检查 AWS CodeBuild 项目环境是否使用日志记录。日志选项可以是 Amazon Logs 中的 CloudWatch 日志,也可以是内置在指定的 Amazon S3 存储桶中,或者两者兼而有之。在 CodeBuild 项目中启用日志记录可以带来诸多好处,例如调试和审计。
您可以使用 AWS Config 规则中的 s3 或 Nam **cloudWatchGroupes 参数指定用于存储 CloudWatch 日志的 Amazon S3 存储**桶BucketNames**或日志组的名称**。
有关更多信息,请参阅 [ 监控 AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/monitoring-builds.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz113`
**来源**
`AWS Config Managed Rule: codebuild-project-logging-enabled`
**提醒条件**
黄色:未启用 AWS CodeBuild 项目日志。
**Recommended Action(建议的操作)**
确保您的 AWS CodeBuild 项目已开启日志记录。无法将此支票排除在 AWS Trusted Advisor 控制台的视图之外。
有关更多信息,请参阅[中的日志和监控 AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/logging-monitoring.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS CodeDeploy 自动回滚并启用监控
**说明**
检查部署组是否配置了自动部署回滚和附带警报的部署监控。如果在部署过程中出现问题,则系统会自动回滚,而您的应用程序将保持稳定状态
有关更多信息,请参阅[使用重新部署和回滚部署](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployments-rollback-and-redeploy.html)。 CodeDeploy
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz114`
**来源**
`AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled`
**提醒条件**
黄色:未启用 AWS CodeDeploy 自动部署回滚和部署监控。
**Recommended Action(建议的操作)**
对部署组或部署进行配置,使其在部署失败或达到您指定的监控阈值时自动回滚。
对警报进行配置,以监控部署过程中的各种指标,例如 CPU 使用率、内存使用率或网络流量。如果这些指标中的任何一个超出特定阈值,则会触发警报,部署将停止或回滚。
有关为部署组设置自动回滚和配置警报的信息,请参阅[为部署组配置高级选项](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployment-groups-configure-advanced-options.html)。
**其他资源**
[什么是 CodeDeploy?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS CodeDeploy Lambda 正在使用部署配置 all-at-once
**说明**
检查 AWS Lambda 计算平台的 AWS CodeDeploy 部署组是否正在使用 all-at-once部署配置。
为了降低中部署您的 Lambda 函数失败的风险 CodeDeploy,最佳做法是使用灰度部署或线性部署配置,而不是默认选项,即所有流量都从原始 Lambda 函数同时转移到更新的函数。
有关更多信息,请参阅 [Lambda 函数版本](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html)和[部署配置](https://docs.aws.amazon.com/codedeploy/latest/userguide/primary-components.html#primary-components-deployment-configuration)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz115`
**来源**
`AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled`
**提醒条件**
黄色: AWS CodeDeploy Lambda 部署使用 all-at-once部署配置将所有流量一次性转移到更新后的 Lambda 函数。
**Recommended Action(建议的操作)**
使用 Lambda 计算平台的 CodeDeploy 部署组的 Canary 或 Linear 部署配置。
**其他资源**
[部署配置](https://docs.aws.amazon.com/codedeploy/latest/userguide/primary-components.html#primary-components-deployment-configuration)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS Elastic Beanstalk 未配置增强型健康报告
**说明**
检查是否为增强型运行状况报告配置了 AWS Elastic Beanstalk 环境。
Elastic Beanstalk 增强型运行状况报告提供了详细的性能指标,例如 CPU 使用率、内存使用率、网络流量和基础设施运行状况信息,例如实例数量和负载均衡器状态。
有关更多信息,请参阅[增强型运行状况报告和监控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz108`
**来源**
`AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled`
**提醒条件**
黄色:没有为 Elastic Beanstalk 环境配置增强型运行状况报告
**Recommended Action(建议的操作)**
确保已为 Elastic Beanstalk 环境配置增强型运行状况报告。
有关更多信息,请参阅[使用 Elastic Beanstalk 控制台启用增强型运行状况报告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console)。
**其他资源**
+ [启用 Elastic Beanstalk 增强型运行状况报告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html)
+ [增强型运行状况报告和监控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS Elastic Beanstalk 已禁用托管平台更新时
**说明**
检查 Elastic Beanstalk 环境和配置模板中的托管平台更新是否已启用。
AWS Elastic Beanstalk 定期发布平台更新以提供修复、软件更新和新功能。通过托管平台更新,Elastic Beanstalk 可以自动执行新补丁和次要平台版本的平台更新。
您可以在 AWS Config 规则的**UpdateLevel**参数中指定所需的更新级别。
有关更多信息,请参阅[更新 Elastic Beanstalk 环境的平台版本](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.platform.upgrade.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz177`
**来源**
`AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled`
**提醒条件**
黄色:根本未配置 AWS Elastic Beanstalk 托管平台更新,包括次要更新或补丁级别。
**Recommended Action(建议的操作)**
在您的 Elastic Beanstalk 环境中启用托管的平台更新,或者将其配置为次要或更新级别。
有关更多信息,请参阅[托管平台更新](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html)。
**其他资源**
+ [启用 Elastic Beanstalk 增强型运行状况报告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html)
+ [增强型运行状况报告和监控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS Fargate 平台版本不是最新的
**说明**
检查 Amazon ECS 是否运行最新平台版本的 AWS Fargate。Fargate 平台版本是指 Fargate 任务基础设施的特定运行时系统环境。它是内核和容器运行时系统版本的组合。随着运行时系统环境的发展,将不断发布新的平台版本。例如,如果有内核或操作系统更新、新功能、错误修复或安全更新。
有关更多信息,请参阅 [Fargate 任务维护](https://docs.aws.amazon.com/AmazonECS/latest/userguide/task-maintenance.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz174`
**来源**
`AWS Config Managed Rule: ecs-fargate-latest-platform-version`
**提醒条件**
黄色:Amazon ECS 未在最新版本的 Fargate 平台上运行。
**Recommended Action(建议的操作)**
更新至最新 Fargate 平台版本。
有关更多信息,请参阅 [Fargate 任务维护](https://docs.aws.amazon.com/AmazonECS/latest/userguide/task-maintenance.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS Systems Manager 处于不合规状态的州经理协会
**说明**
在实例上执行关联后,检查 AWS Systems Manager 关联合规性的状态是合规还是不合规。
State Manager 是一项功能 AWS Systems Manager,是一种安全且可扩展的配置管理服务,可自动执行将托管节点和其他 AWS 资源保持在您定义的状态的过程。状态管理器关联是您分配给 AWS 资源的配置。该配置定义了您要在资源上保持的状态,因此它可以帮助您实现目标,例如避免在 Amazon EC2 实例之间出现配置偏差。
有关更多信息,请参阅 [AWS Systems Manager State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz147`
**来源**
`AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check`
**提醒条件**
黄色: AWS Systems Manager 关联合规性的状态为 “不合规”。
**Recommended Action(建议的操作)**
验证 State Manager 关联的状态,然后采取任何所需措施将状态恢复为 COMPLIANT。
有关更多信息,请参阅[关于 State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-about.html)。
**其他资源**
[AWS Systems Manager State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## CloudTrail 未使用 Amazon CloudWatch 日志配置跟踪
**说明**
检查是否已将 AWS CloudTrail 跟踪配置为向日志发送 CloudWatch 日志。
使用 CloudTrail CloudWatch 日志监控日志文件,以便在捕获到关键事件时触发自动响应 AWS CloudTrail。
有关更多信息,请参阅[使用 CloudTrail 日志监控 CloudWatch 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz164`
**来源**
`AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled`
**提醒条件**
黄色: AWS CloudTrail 未设置 CloudWatch 日志集成。
**Recommended Action(建议的操作)**
配置 CloudTrail 跟踪以将日志事件发送到 CloudWatch 日志。
有关更多信息,请参阅[为 CloudTrail 事件创建 CloudWatch 警报:示例](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 没有为负载均衡器启用 Elastic Load Balancing 删除保护
**说明**
检查您的负载均衡器是否已开启删除保护。
Elastic Load Balancing 支持应用程序负载均衡器、网络负载均衡器和网关负载均衡器的删除保护。开启删除保护以防止您的负载均衡器被意外删除。在创建负载均衡器时,默认关闭删除保护。如果您的负载均衡器属于生产环境,则可以考虑开启删除保护。
访问日志是 Elastic Load Balancing 的一项可选功能,默认情况下已禁用此功能。为负载均衡器启用访问日志之后,Elastic Load Balancing 捕获日志并将其存储在您指定的 Amazon S3 存储桶中。
有关更多信息,请参阅[应用程序负载均衡器删除保护](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection)、[网络负载均衡器删除保护](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection)或[网关负载均衡器删除保护](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz168`
**来源**
`AWS Config Managed Rule: elb-deletion-protection-enabled`
**提醒条件**
黄色:负载均衡器未启用删除保护。
**Recommended Action(建议的操作)**
启用应用程序负载均衡器、网络负载均衡器和网关负载均衡器的删除保护。
有关更多信息,请参阅[应用程序负载均衡器删除保护](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection)、[网络负载均衡器删除保护](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection)或[网关负载均衡器删除保护](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## RDS 数据库集群删除保护检查
**说明**
检查您的 Amazon RDS 数据库集群是否启用了删除保护。
集群配置删除保护后,任何用户都无法删除数据库。
删除保护适用于所有区域的适用于 MySQL 的 Amazon Aurora 和 RDS、MariaDB 的 RDS、Oracle 的 RDS、适用于 PostgreSQL 的 RDS 以及适用于 SQL Server 数据库实例的 RDS。 AWS
有关更多信息,请参阅 [Aurora 集群的删除保护](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DeleteCluster.html#USER_DeletionProtection)。
**检查 ID**
`c18d2gz160`
**来源**
`AWS Config Managed Rule: rds-cluster-deletion-protection-enabled`
**提醒条件**
黄色:您的 Amazon RDS 数据库集群未启用删除保护。
**Recommended Action(建议的操作)**
在创建 Amazon RDS 数据库集群时开启删除保护。
您只能删除未启用删除保护的集群。启用删除保护可增加额外的保护层,避免因意外或非意外删除数据库实例而导致数据丢失。删除保护还有助于满足监管合规性要求和确保业务连续性。
有关更多信息,请参阅 [Aurora 集群的删除保护](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DeleteCluster.html#USER_DeletionProtection)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**其他资源**
[Aurora 集群的删除保护](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DeleteCluster.html#USER_DeletionProtection)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## RDS 数据库实例自动次要版本升级检查
**说明**
检查 Amazon RDS 数据库实例是否已配置自动次要版本升级。
为 Amazon RDS 实例开启自动次要版本升级,以确保数据库始终在运行最新的安全稳定版本。次要升级提供了安全更新、错误修复、性能改进,并可以保持与现有应用程序的兼容性。
有关更多信息,请参阅[升级数据库实例引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html#USER_UpgradeDBInstance.Upgrading.AutoMinorVersionUpgrades.)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz155`
**来源**
`AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled`
**提醒条件**
黄色:RDS 数据库实例未开启自动次要版本升级。
**Recommended Action(建议的操作)**
在创建 Amazon RDS 数据库实例时开启自动次要版本升级。
当您开启次要版本升级时,如果运行的数据库引擎次要版本低于[手动升级引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html#USER_UpgradeDBInstance.Upgrading.AutoMinorVersionUpgrades),则数据库版本会自动升级。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间