": {
...
}
}
```
+ **ResourceType**: 此密钥必须是以下支持的字符串之一。此 JSON 对象中的配置将仅与指定的 AWS 资源类型相关。支持的资源类型:
```
AWS::EC2::Instance
AWS::EC2::Instance::Disk
AWS::RDS::DBInstance
AWS::RDS::DBCluster
AWS::Elasticsearch::Domain
AWS::OpenSearch::Domain
AWS::Redshift::Cluster
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::ElasticLoadBalancingV2::LoadBalancer::TargetGroup
AWS::ElasticLoadBalancing::LoadBalancer
AWS::FSx::FileSystem::ONTAP
AWS::FSx::FileSystem::ONTAP::Volume
AWS::FSx::FileSystem::Windows
AWS::EFS::FileSystem
AWS::EC2::NatGateway
AWS::EC2::VPNConnection
```
+ **ConfigurationID:此密钥在配置**文件中必须是唯一的,并且对以下配置块进行唯一命名。如果同一个区块中的两个配置**ResourceType**块具有相同的 C **onfigurationID,则配置**文件中最新显示的配置块将生效。如果您在自定义**配置文件中指定的 ConfigurationID** 与默认配置文件中指定的配置文件相同,则自定义配置文件中定义的配置块将生效。
+ **启用**:(可选,default=true)指定配置块是否会生效。将其设置为 false 可禁用配置块。禁用的配置块的行为就像配置文件中不存在一样。
+ **标签**:指定此警报定义适用的标签。任何具有此标签键和值的资源(相应资源类型)都将使用给定定义创建 CloudWatch 警报。此字段是一个 JSON 对象,包含以下字段:
+ **密钥**:要匹配的标签的密钥。请记住,如果您使用资源标记器将标签应用于资源,则标签的密钥将始终以 **ams: rt:** 开头。
+ **值**:要匹配的标签的值。
+ **AlarmDefinition**:定义要创建的警报。这是一个 JSON 对象,其字段按原样传递给 CloudWatch `PutMetricAlarm` API 调用(伪参数除外;有关更多信息,请参阅[加速配置文件:伪参数替换](acc-mem-config-doc-sub.md))。有关哪些字段为必填字段的信息,请参阅[PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)文档。
或
**CompositeAlarmDefinition**:定义要创建的复合警报。创建复合警报时,您需要为警报指定一个规则表达式,该表达式会考虑您创建的其他警报的警报状态。这是一个 JSON 对象,其字段按原样传递给。`CloudWatchPutCompositeAlarm`只有当规则的所有条件都得到满足时,复合告警才会进入“ALARM(告警)”状态。在复合告警的规则表达式中指定的告警可以包括指标告警和其他复合告警。有关哪些字段为必填字段的信息,请参阅[PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)文档。
这两个选项都提供以下字段:
+ **AlarmName**:指定要为资源创建的警报的名称。该字段的规则与[PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)文档中指定的规则完全相同;但是,由于警报名称在一个区域中必须是唯一的,因此警报管理器还有一个额外的要求:您必须在警报名称中指定唯一标识符伪参数(否则,警报管理器会在警报名称的前面附加资源的唯一标识符)。例如,对于**AWS::EC2::Instance**资源类型,您必须在警报名称`${EC2::InstanceId}`中指定,或者将其隐式添加在警报名称的开头。有关标识符的列表,请参见[加速配置文件:伪参数替换](acc-mem-config-doc-sub.md)。
所有其他字段均在[PutMetricAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html)或[PutCompositeAlarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutCompositeAlarm.html)文档中指定。
+ **AlarmRule**:指定要评估哪些其他警报以确定此复合警报的状态。对于您引用的每个警报,它们必须存在于您账户的 Alarm Manager 配置文件中 CloudWatch 或在其中指定。
**重要**
您可以在 Alarm Manager 配置文档**CompositeAlarmDefinition**中指定其中一个**AlarmDefinition**或,但它们不能同时使用。
在以下示例中,当两个指定的指标警报超过其阈值时,系统会创建警报:
```
{
"AWS::EC2::Instance": {
"LinuxResourceAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"CompositeAlarmDefinition": {
"AlarmName": "${EC2::InstanceId} Resource Usage High",
"AlarmDescription": "Alarm when a linux EC2 instance is using too much CPU and too much Disk",
"AlarmRule": "ALARM(\"${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}\") AND ALARM(\"${EC2::InstanceId}: CPU Too High\")"
}
}
}
}
```
**重要**
当 Alarm Manager 由于配置中断而无法创建或删除警报时,它会将通知发送到 **Direct-Customer-Alerts SNS 主题**。此警报已被调用**AlarmDependencyError**。
我们强烈建议您确认订阅此 SNS 主题。要接收发布到[主题的](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)消息,您必须通过[终端节点订](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html#sns-endpoints)阅该主题。有关详细信息,请参阅[步骤 1:创建主题](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#step-create-queue)。
**注意**
创建异常检测警报后,警报管理器会自动为指定指标创建所需的异常检测模型。删除异常检测警报后,警报管理器不会删除关联的异常检测模型。
[Amazon CloudWatch 限制了您在给定 AWS 区域中可以拥有的异常检测模型的数量](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html)。如果您超过了型号配额,则警报管理器不会创建新的异常检测警报。您必须删除未使用的型号,或者与您的 AMS 合作伙伴合作申请提高限额。
AMS Accelerate 提供的许多基准警报定义都将 SNS 主题 **MMS 主题**列为目标。这用于 AMS Accelerate 监控服务,也是将警报通知发送到 AMS Accelerate 的传输机制。请勿将 **MMS-Topic** 指定为除基准中提供的警报之外的任何警报的目标(以及该警报的替代项),因为该服务会忽略未知警报。这**不会**导致 AMS Accelerate 对您的自定义警报采取行动。
# 加速配置文件:伪参数替换
在任一配置文件中,您可以指定替换的伪参数,如下所示:
+ 全局-配置文件中的任何位置:
+ \$1 \$1AWS::AccountId\$1:已替换为您的 AWS 账户 ID
+ \$1 \$1AWS::Partition\$1:替换为资源所在的 AWS 区域 分区(对于大多数区域,这是 “aws”);有关更多信息,请参阅 [ARN](https://docs.amazonaws.cn/en_us/general/latest/gr/aws-arns-and-namespaces.html) 参考中的分区条目。
+ \$1 \$1AWS::Region\$1:替换为资源部署到的区域的区域名称(例如 us-east-1)
+ 在**AWS::EC2::Instance**资源类型块中:
+ \$1 \$1EC2::InstanceId\$1:(**标识符**)替换为您的 Amazon EC2 实例的实例 ID。
+ \$1 \$1EC2::InstanceName\$1:替换为您的 Amazon EC2 实例的名称。
+ 在**AWS::EC2::Instance:: Disk** 资源块中:
+ \$1 \$1EC2::InstanceId\$1:(**标识符**)替换为您的 Amazon EC2 实例的实例 ID。
+ \$1 \$1EC2::InstanceName\$1:替换为您的 Amazon EC2 实例的名称。
+ \$1 \$1EC2:: Disk:: Device\$1:(**标识符**)替换为磁盘的名称。(仅限 Linux,适用于由[CloudWatch 代理](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)管理的实例)。
+ \$1 \$1EC2:: Disk::FSType\$1:(**标识符**)替换为磁盘的文件系统类型。(仅限 Linux,适用于由管理的实例 [ CloudWatchAgent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html))。
+ \$1 \$1EC2:: Disk:: Path\$1:(**标识符**)替换为磁盘路径。在 Linux 上,这是磁盘的装载点(例如,/),而在 Windows 中,这是驱动器标签(例如 c:/)(仅在[CloudWatch 代理](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)管理的实例上)。
+ \$1 \$1EC2:: Disk:: UUID\$1:(**标识符**)必须用生成的 UUID 来唯一标识磁盘,取而代之的是生成的 UUID,必须在警报的名称中指定,因为 AWS::EC2::Instance::Disk 资源类型下的警报将为每个卷创建一个警报。指定 \$1 \$1EC2:: Disk:: UUID\$1 将保持警报名称的唯一性。
+ 在**AWS::EKS::Cluster**资源类型块中:
+ \$1 \$1EKS::ClusterName\$1:(**标识符**)替换为您的 EKS 集群的名称。
+ 在**AWS::OpenSearch::Domain**资源类型块中:
+ \$1 \$1OpenSearch::DomainName\$1:(**标识符**)替换为您的 EKS 域名的名称。
+ 在**AWS::ElasticLoadBalancing::LoadBalancer**资源类型块中:
+ \$1 \$1ElasticLoadBalancing:::LoadBalancer: Name\$1:(**标识符**)替换为您的 V1 Load Balancer 的名称。
+ 在**AWS::ElasticLoadBalancingV2::LoadBalancer**资源类型块中:
+ \$1 \$1ElasticLoadBalancingV2:::: Arn\$1LoadBalancer:(**标识符**)替换为 V2 Load Balancer 的 ARN。
+ \$1 \$1ElasticLoadBalancingV2:::: Name\$1LoadBalancer:(**标识符**)替换为您的 V2 Load Balancer 的名称。
+ \$1 \$1ElasticLoadBalancingV2::::FullName\$1LoadBalancer:(**标识符**)替换为您的 V2 Load Balancer 的全名。
+ 在**AWS::ElasticLoadBalancingV2::LoadBalancer:: TargetGroup** 资源类型块中:
+ \$1 \$1ElasticLoadBalancingV2::::FullName\$1TargetGroup:(**标识符**)替换为 V2 Load Balancer 的目标组名称。
+ \$1 \$1ElasticLoadBalancingV2:::: UUID\$1TargetGroup:(**标识符**)替换为您的 V2 Load Balancer 生成的 UUID。
+ 在**AWS::EC2::NatGateway**资源类型块中:
+ \$1 \$1NatGateway::NatGatewayId\$1:(**标识符**)替换为 NAT 网关 ID。
+ 在 A **WS:: RDS:: DBInstance** 资源类型区块中:
+ \$1 \$1RDS:: DBInstance 标识符\$1:(**标识符**)替换为您的 RDS 数据库实例标识符。
+ 在 A **WS:: RDS:: DBCluster** 资源类型区块中:
+ \$1 \$1RDS:: DBCluster 标识符\$1:(**标识符**)替换为您的 RDS 数据库集群标识符。
+ 在**AWS::Redshift::Cluster**资源类型块中:
+ \$1 \$1Redshift::ClusterIdentifier\$1:(**标识符**)替换为你的 Redshift 集群标识符。
+ 在**AWS::Synthetics::Canary**资源类型块中:
+ \$1 \$1Synthetics::CanaryName\$1:(**标识符**)替换为你的 Synthetics 金丝雀的名 CloudWatch 字。
+ 在 A **WS::EC2:: VPNConnection** 资源类型区块中:
+ \$1 \$1AWS::EC2::VpnConnectionId\$1:(**标识符**)替换为您的 VPN ID。
+ 在**AWS::EFS::FileSystem**资源类型块中:
+ \$1 \$1EFS::FileSystemId\$1:(**标识符**)替换为 EFS 文件系统的文件系统 ID。
+ 在**AWS::FSx::FileSystem:: ONTAP** 资源类型块中:
+ \$1 \$1FSx::FileSystemId\$1:(**标识符**)替换为 FSX 文件系统的文件系统 ID。
+ \$1 \$1FSx::FileSystem: 吞吐量\$1:替换为 FSX 文件系统的吞吐量。
+ \$1 \$1FSx:::FileSystem: Iops\$1:替换为 FSX 文件系统的 IOPS。
+ 在:: **ONTAPAWS::FSx::FileSystem:: Volume 资源块中:**
+ \$1 \$1FSx::FileSystemId\$1:(**标识符**)替换为 FSX 文件系统的文件系统 ID。
+ \$1 \$1FSx:: ONTAP::VolumeId\$1:(**标识符**)替换为卷 ID。
+ 在**AWS::FSx::FileSystem:: Windows** 资源类型块中:
+ \$1 \$1FSx::FileSystemId\$1:(**标识符**)替换为 FSX 文件系统的文件系统 ID。
+ \$1 \$1FSx::FileSystem: 吞吐量\$1:替换为 FSX 文件系统的吞吐量。
**注意**
所有**标有标识**符的参数都用作已创建警报名称的前缀,除非您在警报名称中指定该标识符。
# 加速警报配置示例
在以下示例中,系统会为连接到匹配的 Linux 实例的每个磁盘创建警报。
```
{
"AWS::EC2::Instance::Disk": {
"LinuxDiskAlarm": {
"Tag": {
"Key": "ams:rt:mylinuxinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "disk_used_percent",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "device",
"Value": "${EC2::Disk::Device}"
},
{
"Name": "fstype",
"Value": "${EC2::Disk::FSType}"
},
{
"Name": "path",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
在以下示例中,系统会为连接到匹配的 Windows 实例的每个磁盘创建警报。
```
{
"AWS::EC2::Instance::Disk": {
"WindowsDiskAlarm": {
"Tag": {
"Key": "ams:rt:mywindowsinstance",
"Value": "true"
},
"AlarmDefinition": {
"MetricName": "LogicalDisk % Free Space",
"Namespace": "CWAgent",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
},
{
"Name": "objectname",
"Value": "LogicalDisk"
},
{
"Name": "instance",
"Value": "${EC2::Disk::Path}"
}
],
"AlarmName": "${EC2::InstanceId}: Disk Usage Too High - ${EC2::Disk::UUID}"
...
}
}
}
}
```
# 查看您的加速警报管理器配置
**AMSManaged警**报和都**CustomerManagedAlarms**可以在中查 AppConfig看[GetConfiguration](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_GetConfiguration.html)。
以下是该`GetConfiguration`通话的示例:
```
aws appconfig get-configuration --application AMSAlarmManager --environment AMSInfrastructure --configuration AMSManagedAlarms --client-id
any-string outfile.json
```
+ **应用程序**: AppConfig这是提供功能的逻辑单元;对于警报管理器来说,这是 `AMSAlarmManager`
+ **环境**:这就是 AMSInfrastructure 环境
+ **配置**:要查看 AMS Accelerate 基准警报,值为`AMSManagedAlarms`;要查看客户警报定义,配置为 `CustomerManagedAlarms`
+ **客户端 ID**:这是一个唯一的应用程序实例标识符,可以是任何字符串
+ 可以在指定的输出文件中查看警报定义,在本例中为 `outfile.json`
您可以通过查看 AMSInfrastructure环境中过去的部署来查看您的账户中部署了哪个版本的配置。
# 更改加速警报配置
要添加或更新新的警报定义,您可以部署配置文档[CloudFormation 用于部署加速配置更改](acc-mem-deploy-change-cfn.md)或调用 [CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API。
这是一个 Linux 命令行命令,它在 base64 中生成参数值,这正是 AppConfig CLI 命令所期望的。有关信息,请参阅 AWS CLI 文档 B [inary/Blob(二进制](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob)大对象)。
例如:
```
aws appconfig create-hosted-configuration-version --application-id application-id --configuration-profile-id configuration-profile-id --content base64-string
--content-type application/json
```
+ **应用程序 ID:**应用程序 AMS 的 ID AlarmManager;您可以通过 [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)API 调用找到这一点。
+ **配置文件 ID**:配置的 ID CustomerManagedAlarms;您可以通过 [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)API 调用找到这一点。
+ **内容:内容**[的 Base64 字符串,将通过创建文档并将其编码为 base64 来创建:cat alarms-v2.json \$1 base64(参见 Binary/Blob(二进制大对象))。](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-types.html#parameter-type-blob)
**内容类型**:MIME 类型,`application/json`因为警报定义是用 JSON 编写的。
**重要**
将[StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)和 [StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)API 操作的访问权限限制为了解向目标部署新配置的责任和后果的可信用户。
要详细了解如何使用 AWS AppConfig 功能创建和部署配置,请参阅[使用 AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html)。
# 修改加速警报默认配置
虽然您无法修改默认配置文件,但您可以通过在自定义配置文件中指定与默认配置块相同的 ConfigurationI **d 的配置**块来覆盖默认配置文件。如果这样做,则整个配置块将覆盖要应用标签配置的默认配置块。
例如,考虑以下默认配置文件:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 5,
...
}
}
}
}
```
要将此警报的阈值更改为 10,**您必须提供完整的警报定义**,而不仅仅是要更改的部分。例如,您可以提供以下自定义配置文件:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: AMS Default Alarm",
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "${EC2::InstanceId}"
}
],
"Threshold": 10,
...
}
}
}
}
```
**重要**
请记得在更改配置后再进行部署。在 SSM 中 AppConfig,您必须在创建配置后部署新版本的配置。
# 部署加速警报配置更改
完成自定义后,需要使用 AppConfig 或对其进行部署 CloudFormation。
**Topics**
+ [AppConfig 用于部署加速警报配置更改](acc-mem-deploy-change-appconfig.md)
+ [CloudFormation 用于部署加速配置更改](acc-mem-deploy-change-cfn.md)
# AppConfig 用于部署加速警报配置更改
自定义完成后,使用 AppConfig 来部署您的更改[StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)。
```
aws appconfig start-deployment --application-id application_id
--environment-id environment_id Vdeployment-strategy-id
deployment_strategy_id --configuration-profile-id configuration_profile_id --configuration-version 1
```
+ **应用程序 ID**:应用程序的 ID`AMSAlarmManager`,您可以通过 [ListApplications](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListApplications.html)API 调用找到它。
+ **环境 ID**:您可以通过 [ListEnvironments](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListEnvironments.html)API 调用找到它。
+ **部署策略 ID**:您可以通过 [ListDeploymentStrategies](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListDeploymentStrategies.html)API 调用找到它。
+ **配置文件 ID**:的 ID`CustomerManagedAlarms`;您可以通过 [ListConfigurationProfiles](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_ListConfigurationProfiles.html)API 调用找到它。
+ **配置版本**:要部署的配置文件的版本。
**重要**
警报管理器应用配置文件中指定的警报定义。您使用 AWS 管理控制台 或 CloudWatch CLI/SDK 对 CloudWatch 警报进行的任何手动修改都会自动恢复,因此请确保您的更改是通过警报管理器定义的。 要了解哪些警报是由警报管理器创建的,您可以查找带有值的`ams:alarm-manager:managed`标签`true`。
将[StartDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)和 [ StopDeployment](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StopDeployment.html)API 操作的访问权限限制为了解向目标部署新配置的责任和后果的可信用户。
要详细了解如何使用 AWS AppConfig 功能创建和部署配置,请参阅 [AWS AppConfig 文档。](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-working.html)
# CloudFormation 用于部署加速配置更改
如果您希望使用部署`CustomerManagedAlarms`配置文件 CloudFormation,则可以使用以下 CloudFormation 模板。在`AMSAlarmManagerConfigurationVersion.Content`字段中输入所需的 JSON 配置。
在 CloudFormation 堆栈或堆栈集中部署模板时,如果您未遵循配置所需的 JSON 格式,则`AMSResourceTaggerDeployment`资源部署将失败。有关预期格式[加速配置文件:监控](acc-mem-config-doc-format.md)的详细信息,请参阅。
有关将这些模板部署为 CloudFormation 堆栈或堆栈集的帮助,请参阅以下相关 AWS CloudFormation 文档:
+ [在 AWS CloudFormation 控制台上创建堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
+ [使用 AWS CLI 创建堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-cli-creating-stack.html)
+ [创建堆栈集](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)
**注意**
如果您使用其中一个模板部署配置版本,然后删除 CloudFormation 堆栈/堆栈集,则该模板配置版本将保持当前部署的版本,并且不会进行其他部署。如果您希望恢复到默认配置,则需要手动部署空配置(即只是 \$1\$1),或者将堆栈更新为空配置,而不是删除堆栈。
**JSON**
```
{
"Description": "Custom configuration for the AMS Alarm Manager.",
"Resources": {
"AMSAlarmManagerConfigurationVersion": {
"Type": "AWS::AppConfig::HostedConfigurationVersion",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"Content": "{}",
"ContentType": "application/json"
}
},
"AMSAlarmManagerDeployment": {
"Type": "AWS::AppConfig::Deployment",
"Properties": {
"ApplicationId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-ApplicationId"
},
"ConfigurationProfileId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
},
"ConfigurationVersion": {
"Ref": "AMSAlarmManagerConfigurationVersion"
},
"DeploymentStrategyId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-Deployment-StrategyID"
},
"EnvironmentId": {
"Fn::ImportValue": "AMS-Alarm-Manager-Configuration-EnvironmentId"
}
}
}
}
}
```
**YAML**
```
Description: Custom configuration for the AMS Alarm Manager.
Resources:
AMSAlarmManagerConfigurationVersion:
Type: AWS::AppConfig::HostedConfigurationVersion
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
Content: |
{
}
ContentType: application/json
AMSAlarmManagerDeployment:
Type: AWS::AppConfig::Deployment
Properties:
ApplicationId:
!ImportValue AMS-Alarm-Manager-Configuration-ApplicationId
ConfigurationProfileId:
!ImportValue AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID
ConfigurationVersion:
!Ref AMSAlarmManagerConfigurationVersion
DeploymentStrategyId:
!ImportValue AMS-Alarm-Manager-Configuration-Deployment-StrategyID
EnvironmentId:
!ImportValue AMS-Alarm-Manager-Configuration-EnvironmentId
```
# 回滚加速警报更改
您可以通过相同的部署机制回滚警报定义,方法是指定先前的配置文件版本并运行[ StartDeployment。](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_StartDeployment.html)
# 保留加速警报
删除 AMS 监控的资源后,警报管理器会自动删除警报管理器为这些资源创建的所有警报。如果您出于审计、合规性或历史目的需要保留某些警报,请使用 Alarm Manager 保留标记功能。
要在警报的监控资源被删除后仍保留警报,请在警报的自定义配置中添加`"ams:alarm-manager:retain" `标签,如以下示例所示。
```
{
"AWS::EC2::Instance": {
"AMSCpuAlarm": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
"AlarmName": "${EC2::InstanceId}: CPU Too High",
"AlarmDescription": "AMS Baseline Alarm for EC2 CPUUtilization",
[...]
"Tags": [
{
"Key": "ams:alarm-manager:retain",
"Value": "true"
}
]
}
}
}
}
```
当监控的资源终止时,Alarm Manager 不会自动删除使用`"ams:alarm-manager:retain"`标签配置的警报。保留的警报会 CloudWatch 无限期保留,直到您使用手动将其删除。 CloudWatch
# 禁用默认的加速警报配置
AMS Accelerate 根据基准警报在您的账户中提供默认配置文件。但是,可以通过覆盖任何警报定义来禁用此默认配置。 您可以通过覆盖自定义配置文件中规则的 C **onfigurationID** 并指定值为 false 的启用字段来禁用默认配置规则。
例如,如果默认配置文件中存在以下配置:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": true,
"Tag": {
"Key": "ams:rt:ams-monitoring-policy",
"Value": "ams-monitored"
},
"AlarmDefinition": {
...
}
}
}
```
您可以通过在自定义配置文件中包含以下内容来禁用此标记规则:
```
{
"AWS::EC2::Instance": {
"AMSManagedBlock1": {
"Enabled": false
}
}
}
```
要进行这些更改,必须使用 JSON 配置文件文档调用 [CreateHostedConfigurationVersion](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_CreateHostedConfigurationVersion.html)API(请参阅[更改加速警报配置](acc-mem-change-am.md)),然后必须进行部署(请参阅[部署加速警报配置更改](acc-mem-deploy-change.md))。请注意,在创建新的配置版本时,还必须在 JSON 配置文件文档中包含您想要的任何先前创建的自定义警报。
**重要**
当 AMS Accelerate 更新默认配置文件时,它不会根据您配置的自定义警报进行校准,因此,当您在自定义配置配置文件中覆盖默认警报时,请查看对默认警报的更改。
# 为加速创建其他 CloudWatch 警报
您可以使用自定义 CloudWatch 指标为 AMS Accelerate 创建其他 CloudWatch 警报,也可以为 Amazon EC2 实例创建警报。
生成您的应用程序监控脚本和自定义指标。有关更多信息和访问示例脚本的权限,请参阅[监控 Amazon EC2 Linux 实例的内存和磁盘指标](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mon-scripts.html)。
Linux Amazon EC2 实例的 CloudWatch 监控脚本演示了如何生成和使用自定义 CloudWatch 指标。这些示例 Perl 脚本包含一个功能完备的示例,用于报告 Linux 实例的内存、交换文件和磁盘空间使用率指标。
**重要**
AMS Accelerate 不会监控您创建的 CloudWatch 警报。
# 查看警报管理器监控的加速资源数量
Alarm Manager 每小时向`AMS/AlarmManager`命名空间中的 Amazon CloudWatch 发送指标。仅针对警报管理器支持的资源类型发出指标。
| 指标名称 | Dimensions | 说明 |
| --- | --- | --- |
| ResourceCount | 组件, ResourceType | 在该区域部署的(指定资源类型的)资源数量。 单位:计数 |
| ResourcesMissingManagedAlarms | 组件, ResourceType | 需要管理警报,但 Alarm Manager 尚未应用警报的资源(指定资源类型)的数量。 单位:计数 |
| UnmanagedResources | 组件, ResourceType | 警报管理器未对其应用任何托管警报的资源(指定资源类型)的数量。通常,这些资源与任何 Alarm Manager 配置块都不匹配,或者被明确排除在配置块之外。 单位:计数 |
| MatchingResourceCount | 组件、 ResourceType、 ConfigClauseName | 与 Alarm Manager 配置块相匹配的资源(指定资源类型)的数量。要使资源与配置块匹配,必须启用该块,并且该资源必须具有在配置块中指定的相同标签。 单位:计数 |
这些指标也可以在 **AM** S-Alarm-Manager-Reporting-Dashboard 中以图表形式查看。要查看控制面板,请从 AWS CloudWatch 管理控制台中选择 **AMS-Alarm-Manager-Reporting-** Dashboard。默认情况下,此控制面板中的图表显示前 12 小时的数据。
AMS Accel CloudWatch erate 会向您的账户部署警报,以检测非托管资源数量的显著增加,例如,AMS Alarm Manager 不管理的资源。AMS Operations 将调查非托管资源的增加情况,这些资源超过三个相同类型的资源,或者在相同类型的所有资源基础上增加 50%。如果变更似乎不是故意的,AMS Operations 可能会与您联系以审查变更。
# AMS 自动修复警报
经过验证后,AWS Managed Services (AMS) 会根据本节中描述的特定条件和流程自动修复某些警报。
| 警报名称 | 说明 | 阈值 | 操作 |
| --- | --- | --- | --- |
| 状态检查失败 | 可能的硬件故障或实例的故障状态。 | 在过去 15 分钟内,系统至少检测到一次故障状态。 | AMS 自动补救首先验证实例是否可访问。如果无法访问该实例,则该实例将停止并重新启动。停止和启动允许实例迁移到新的底层硬件。有关更多信息,请参阅以下 “EC2 状态检查失败补救自动化” 部分。 |
| AMSLinuxDiskUsage | 当您的 EC2 实例上 1 个挂载点(卷上的指定空间)的磁盘使用量已满时触发。 | 在过去 30 分钟内,该阈值高于定义值的 6 次。 | AMS 自动修复首先会删除临时文件。如果这不能释放足够的磁盘空间,则会扩展音量以防止在卷已满时停机。 |
| AMSWindowsDiskUsage | 当您的 EC2 实例上 1 个装载点(卷上的指定空间)的磁盘使用量已满时。 | 在过去 30 分钟内,阈值高于定义值的 6 次。 | AMS 自动修复首先会删除临时文件。如果这不能释放足够的磁盘空间,则会扩展音量以防止在卷已满时停机。 |
| RDS-EVENT-0089 | 数据库实例已使用其分配的存储空间的 90% 以上。 | 已分配的存储空间超过 90%。 | AMS 自动修复首先验证数据库是否处于可修改且可用或存储已满状态。然后,它会尝试通过 CloudFormation 变更集增加分配的存储、IOPS 和存储吞吐量。如果已经检测到堆栈偏移,则会回退到 RDS API 以防止停机。 通过向 RDS 数据库实例添加以下标签,可以选择退出此功能:`"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0007 | 为数据库实例分配的存储空间已用完。要解决这个问题,请分配额外的存储空间。 | 存储空间已百分之百分配。 | AMS 自动修复首先验证数据库是否处于可修改且可用或存储已满状态。然后,它会尝试通过 CloudFormation 变更集增加分配的存储、IOPS 和存储吞吐量。如果已经检测到堆栈偏移,则会回退到 RDS API 以防止停机。 通过向 RDS 数据库实例添加以下标签,可以选择退出此功能:`"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS-EVENT-0224 | 请求的分配存储空间达到或超过配置的最大存储阈值。 | 数据库实例的最大存储阈值已用尽或大于或等于请求的分配存储空间。 | AMS 自动补救首先会验证请求的 RDS 存储量是否会超过最大存储阈值。如果得到确认,AMS 会尝试使用 CloudFormation 变更集将最大存储阈值提高 30%,或者如果未通过配置资源,则直接使用 RDS API。 CloudFormation 通过向 RDS 数据库实例添加以下标签,可以选择退出此功能:`"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
| RDS 存储容量 | 为数据库实例分配的存储空间剩余不到 1GB。 | 存储空间分配了 99%。 | AMS 自动修复首先验证数据库是否处于可修改且可用或存储已满状态。然后,它会尝试通过 CloudFormation 变更集增加分配的存储、IOPS 和存储吞吐量。如果已经检测到堆栈偏移,则会回退到 RDS API 以防止停机。 通过向 RDS 数据库实例添加以下标签,可以选择退出此功能:`"Key: ams:rt:ams-rds-max-allocated-storage-policy, Value: ams-opt-out".` |
## EC2 状态检查失败:补救自动化注意事项
AMS 自动修复如何处理 EC2 状态检查失败问题:
+ 如果您的 Amazon EC2 实例变得无法访问,则必须停止并重新启动该实例,这样才能将其迁移到新硬件并进行恢复。
+ 如果问题的根源在于操作系统(fstab 中缺少设备、内核损坏等),则自动化无法恢复您的实例。
+ 如果您的实例属于 Auto Scaling 组,则自动化不会执行任何操作—— AutoScalingGroup 扩展操作会取代实例。
+ 如果您的实例启用了 EC2 自动恢复,则修复不会采取任何措施。
## EC2 音量使用补救自动化
AWS Managed Services (AMS) 自动修复如何处理 EC2 卷使用问题:
+ 自动化首先会验证是否需要音量扩展,以及是否可以执行音量扩展。如果认为扩展是适当的,则自动化可以增加卷容量。这种自动化流程在增长需求与受控的有限扩张之间取得平衡。
+ 在扩展卷之前,自动化会对实例执行清理任务(Windows:磁盘清理器,Linux:Logrotate \$1 Simple Service Manager 代理日志删除),以尝试释放空间。
**注意**
清理任务不在 EC2 “T” 系列实例上运行,因为它们依赖于 CPU 积分来持续运行。
+ 在 Linux 上,自动化仅支持扩展 EXT2 EXT3、 EXT4 和 XFS 类型的文件系统。
+ 在 Windows 上,自动化仅支持新技术文件系统 (NTFS) 和弹性文件系统 (RefS)。
+ 自动化不会扩展属于逻辑卷管理器 (LVM) 或 RAID 阵列的卷。
+ 自动化不会扩展*实例存储*容量。
+ 如果受影响的音量已经大于 2 TiB,则自动化不会采取任何行动。
+ 通过自动化进行的扩展限制为每周最多三次,在系统的整个生命周期内最多只能进行五次。
+ 如果上一次扩展是在过去六小时内进行的,则自动化不会扩大音量。
当这些规则阻止自动化采取行动时,AMS 会通过出站服务请求与您联系,以确定下一步要采取的行动。
## Amazon RDS 存储不足事件补救自动化
AWS Managed Services (AMS) 自动修复如何处理 Amazon RDS 存储不足事件问题:
+ 在尝试扩展 Amazon RDS 实例存储空间之前,自动化会执行多项检查,以确保 Amazon RDS 实例处于可修改且可用或存储空间已满的状态。
+ 如果检测到 CloudFormation 堆栈偏差,则通过 Amazon RDS API 进行补救。
+ 在以下情况下,修复操作不会运行:
+ Amazon RDS 实例的状态不是 “可用” 或 “存储空间已满”。
+ Amazon RDS 实例存储目前不可修改(例如,在过去六小时内修改了存储空间时)。
+ Amazon RDS 实例已启用自动缩放存储空间。
+ Amazon RDS 实例不是 CloudFormation 堆栈中的资源。
+ 补救仅限于每六小时进行一次扩展,在连续的十四天内不超过三次扩展。
+ 当这些情况发生时,AMS 会与您联系,告知出站事件,以确定下一步行动。
# 在 AMS 中使用亚马逊 EventBridge 托管规则
AMS Accelerate 使用亚马逊 EventBridge 托管规则。托管规则是一种与 AMS 直接关联的独特规则类型。这些规则匹配传入的事件并将其发送到目标进行处理。托管规则由 AMS 预定义,包括服务管理客户账户所需的事件模式,除非另有定义,否则只有拥有的服务才能使用这些托管规则。
AMS 加速托管规则与`events.managedservices.amazonaws.com`服务主体相关联。这些托管规则通过[`AWSServiceRoleForManagedServices_Events`服务相关角色](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/using-service-linked-roles.html#slr-evb-rule)进行管理。要删除这些规则,需要客户特别确认。有关更多信息,请参阅[删除 AMS 托管规则](#delete-managed-rules)。
有关规则的更多信息,请参阅 *Amazon EventBridge 用户指南*中的[规则](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)。
## AMS 部署的 Amazon EventBridge 托管规则
**亚马逊 EventBridge 托管规则**
| 规则名称 | 说明 | 定义 |
| --- | --- | --- |
| AmsAccessRolesRule | 此规则用于监听特定 AMS Accelerate 角色和策略中的修改。 |
{
"source": ["aws.iam"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventName": [
"DeleteRole",
"DeletePolicy",
"CreatePolicyVersion",
"AttachRolePolicy",
"DetachRolePolicy"
],
"requestParameters": {
"$or": [
{
"roleName": [
"ams-access-admin",
"ams-access-admin-operations",
"ams-access-operations",
"ams-access-read-only",
"ams-access-security-analyst",
"ams-access-security-analyst-read-only"
]
},
{
"policyArn": [
"arn:*:iam::*:policy/ams-access-allow-pass-role",
"arn:*:iam::*:policy/ams-access-deny-cloudshell-policy",
"arn:*:iam::*:policy/ams-access-deny-operations-policy",
"arn:*:iam::*:policy/ams-access-deny-update-iam-policy",
"arn:*:iam::*:policy/ams-access-ssr-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-read-only-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-policy",
"arn:*:iam::*:policy/ams-access-security-analyst-extended-policy",
"arn:*:iam::*:policy/ams-access-admin-policy",
"arn:*:iam::*:policy/ams-access-admin-operations-policy"
]
},
]
},
},
}
|
| AMSCore规则 | 该规则会将亚马逊 CloudWatch 事件转发 AWS Config 给 AMS Config 补救和 AMS 监控服务。 AWS Config 事件创建并解决 AWS Systems Manager OpsItems。Amazon CloudWatch 事件监控 CloudWatch 警报。 |
{
{
"source": ["aws.config", "aws.cloudwatch"],
"detail-type": ["Config Rules Compliance Change", "CloudWatch Alarm State Change"],
}
}
|
## 为 AMS 创建托管规则
您无需手动创建 Amazon EventBridge 托管规则。当您在 AWS 管理控制台、或 AWS API 中加入 AMS 时,AMS 会为您创建它们。 AWS CLI
## 编辑 AMS 的托管规则
AMS 不允许您编辑托管规则。每个托管规则的名称和事件模式均由 AMS 预定义。
## 删除 AMS 的托管规则
您无需手动删除托管规则。当您在 AWS 管理控制台、或 AWS API 中退出 AMS 时,AMS 会为您清理资源并删除 AMS 拥有的所有托管规则。 AWS CLI
如果 AMS 在离职期间未能删除托管规则,您也可以使用 Amazon EventBridge 控制台、 AWS CLI 或 AWS API 手动删除托管规则。为此,您必须先退出 AMS,然后强制删除托管规则。
# AMS 中值得信赖的修正者
Trusted Remediator 是一种 AWS Managed Services 解决方案,可自动执行补救措施[AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)和建议。[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)当 Trusted Advisor Compute Optimizer 向您指出降低成本、提高系统可用性、优化性能或弥合安全漏洞的机会时,Trusted Remediator 会创建建议。 AWS 账户借助 Trusted Remediator,您可以使用既定的最佳实践,以安全、标准化的方式解决这些安全、性能、成本优化、容错和服务限制建议的问题。Trusted Remediator 允许您配置修复解决方案,并按照您创建的计划自动运行,从而简化了修复过程。这种简化的方法可以一致、高效地解决问题,且无需人工干预。
## 可信修正者的主要优点
以下是 Trusted Remediator 的主要优点:
+ **提高安全性、性能和成本优化:**Trusted Remediator 可帮助您增强账户的整体安全状况,优化资源利用率并降低运营成本。
+ **自助服务设置和配置:**您可以将 Trusted Remediator 配置为与您的要求和首选项保持一致。
+ **自动 Trusted Advisor 检查和 AWS Compute Optimizer 建议修复:**配置完成后,Trusted Remediator 会自动为选定的检查运行修复操作。这种自动化消除了手动干预的需求。
+ **最佳实践实施:**补救措施基于既定的最佳实践,因此以标准化和有效的方式解决问题。
+ **计划执行:**您可以选择与您的 day-to-day操作工作流程一致的补救时间表。
Trusted Remediator 使您能够主动解决 AWS 环境中已发现的问题,帮助您遵守最佳实践,维护安全、高性能且经济实惠的云基础架构。
## 可信修正者的工作原理
以下是 “可信修正者” 工作流程的示例:
![\[“可信修正者” 工作流程的插图。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/trusted-remediator-workflow.png)
Trusted Remediator 会 AWS 账户 为您评估 Trusted Advisor 和推荐 Compute Optimizer 建议,然后在中创建。 AWS Systems Manager [OpsItems](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html) OpsCenter然后,您可以使用 Trusted Remediator 自动化文档 OpsItems 自动或手动修复。以下是每种补救措施的详细信息:
+ **自动修复:**Trusted Remediator 运行自动化文档并监控运行情况。自动化文档完成后,Trusted Remediator 会解析 Opsitem。
+ **手动修复:**可信修正者会创建 OpsItem 供您查看。审阅完毕后,即可启动自动化文档。
修复日志存储在 Amazon S3 存储桶中。您可以使用 S3 存储桶中的数据来构建用于报告的自定义 QuickSight 仪表板。AMS 还根据要求为可信修正者提供报告。要接收这些报告,请联系您的 CSDM。有关更多信息,请参阅 [可信修正者报告](trusted-remediator-reports.md)。
## 可信修正者的关键术语
以下是在 AMS 中使用 Trusted Remediator 时需要了解的术语:
+ **AWS Trusted Advisor 以及 AWS Compute Optimizer:**由提供的云优化服务 AWS。 Trusted Advisor Compute Optimizer 会检查您的 AWS 环境并根据以下六个类别的最佳实践提供建议:
+ 成本优化
+ 性能
+ 安全性
+ 容错能力
+ 卓越运营
+ 服务限制
有关更多信息,请参阅[AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html)和[AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/)。
+ **可信修正者:**用于[Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)检查和[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)建议的 AMS 补救解决方案。Trusted Remediator 可帮助您使用已知的最佳实践安全地修复 Trusted Advisor 检查和 Compute Optimizer 建议,以提高安全性、性能并降低成本。可信修正器易于设置和配置。您只需配置一次,Trusted Remediator 就会按照您的首选计划(每天或每周)运行修复。
+ **AWS Systems Manager SSM 文档:**一个 JSON 或 YAML 文件,用于定义对您的 AWS 资源 AWS Systems Manager 执行的操作。SSM 文档可作为声明性规范,用于自动执行跨多个 AWS 资源和实例的操作任务。
+ **AWS Systems Manager OpsCenter OpsItem:**云运营问题管理资源,可帮助您跟踪和解决 AWS 环境中的运营问题。 OpsItems 为跨 AWS 服务 资源的运营数据和问题提供集中视图和管理系统。每个都 OpsItem 代表一个操作问题,例如潜在的安全风险、性能问题或操作事件。
+ **配置:**配置是存储在中的一组属性 [AWS AppConfig,其功能为 AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/appconfig.html)。中的 Trusted Remediator 应用程序 AWS AppConfig 可帮助在帐户级别配置修复。您可以使用 AWS AppConfig 控制台或 API 来编辑配置。
+ **执行模式:**执行模式是一个配置属性,用于确定如何针对每个 Trusted Advisor 检查结果运行修复。支持四种执行模式:**自****动、手动**、**有条件**和**非活动**。
+ **资源覆盖:**此功能使用资源标签来覆盖特定资源的配置。
+ **修复项目日志:**可信修正者修复 S3 日志存储桶中的日志文件。修复项目日志是在创建修复时创建 OpsItems 的。此日志文件包含手动执行补救 OpsItems 和自动执行补救 OpsItems。使用此日志文件跟踪所有补救项目。
+ **自动修复执行日志:**可信修正者修复 S3 日志存储桶中的日志文件。自动修复执行日志在 SSM 文档的自动运行完成后创建。此日志包含用于自动执行补救 OpsItems的 SSM 执行详细信息。使用此日志文件来跟踪自动修复。
# 开始使用 AMS 中的可信修复器
可信修正器在 AMS 中可用,无需额外付费。Trusted Remediator 支持单账户和多账户配置。
## 加入可信修复者
要将您的 AMS 账户注册到 Trusted Remedieator,请发送电子邮件给您的云架构师或云服务交付经理 (CSDMs)。在电子邮件中,请包含以下信息:
+ **AWS 账户:** 十二位数的账户识别码。您要注册到 Trusted Remedieator 的所有账户都必须属于同一个 Accelerate 客户。
+ **委托管理员帐户:**用于单个或多个帐户 Trusted Advisor 和 Compute Optimizer 检查配置的帐户。
+ **成员账户:**这些账号是指关联到委派管理员账号的账号。这些账户继承委派管理员账户的配置。您可以拥有一个成员账户或多个成员账户。
**注意**
成员账号继承委派管理员账号的配置。如果您需要为特定账户配置不同的配置,请使用您的首选配置注册多个委派管理员帐户。在入职之前,请与您的云架构师一起规划账户结构和配置。
+ **AWS 区域:**您的资源所在的位置。 AWS 区域 有关列表 AWS 区域,请参阅[AWS 服务 按地区划分](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
+ **补救时间表和时间:**您的首选补救时间表(每天或每周)。Trusted Remediator 会在计划的时间收集 Trusted Advisor 检查并启动修复。例如,您可以将补救计划设置为每周星期日凌晨 1:00(澳大利亚东部标准时间)。
+ **通知电子邮件:**Trusted Remediator 使用通知电子邮件每天通知您是否有补救措施。通知电子邮件的主题是 “可信修正者补救摘要”,其内容提供有关过去 24 小时内运行的可信修正者修正的信息。
**注意**
每次计划修复后,请检查您的应用程序和资源。如需其他支持,请联系 AMS。
在您向 CA 或 CSDM 提交包含所需详细信息的入会申请后,AMS 会将您的账户登录到 Trusted Remediator。Trusted AWS AppConfig Remediator 使用(一种功能)来定义 Trusted Advisor 检查的配置。 AWS Systems Manager这些配置是存储在中的一组属性 AWS AppConfig。为防止对您的资源进行未经授权的费用,当账户加入可信修正者时,所有支持的 Trusted Advisor 检查都将设置为 “**非活动**”。入职后,您可以使用 AWS AppConfig 控制台或 API 来管理配置。这些配置可帮助您自动修复特定的 Trusted Advisor 检查,或者评估和手动修复剩余的检查。这些配置是高度可定制的,允许您为每项 Trusted Advisor 检查应用配置。有关更多信息,请参阅 [在可信修正器中配置 Trusted Advisor 检查修复](tr-configure-remediations.md)。
## 选择要修复的检查和建议
默认情况下,您的配置中的所有 Trusted Advisor 检查和 Compute Optimizer 建议的修复执行模式均为 “**非活动**”。这样可以防止未经授权的补救并保护资源。AMS 提供精心策划的 SSM 自动化文档,用于 Trusted Advisor 支票补救。
要选择要使用可信修正者修复的检查,请完成以下步骤:
1. 查看支持的建议[Trusted Advisor 和 [Compute Optimizer 建议](tr-supported-recommendations-co.md)列表或关联的 SSM 自动化文档的名称](tr-supported-checks.md),以决定要使用 Trusted Remediator 修复哪些检查和建议。
1. 更新您的配置以启用所选 Trusted Advisor 检查的补救功能。有关如何选择支票的说明,请参阅[在可信修正器中配置 Trusted Advisor 检查修复](tr-configure-remediations.md)。
## 在 “可信修正者” 中跟踪您的补救措施
更新账户级别配置后,Trusted Remediator 会 OpsItems 为每项补救措施创建。Trusted Remediator 会 OpsItems 根据您的补救计划运行 SSM 文档进行自动修复。有关如何 OpsItems 从 Systems Manager OpsCenter 控制台查看所有补救措施的说明,请参阅[在 “可信修正者” 中跟踪补救措施](tr-remediation.md#tr-remediation-track)。
## 在 “可信修正器” 中运行手动修复
您可以手动修复 Trusted Advisor 检查。当您启动手动修复时,可信修正者会创建手动执行 OpsItem。您必须查看并启动 SSM 自动化文档才能修复。 OpsItems有关更多信息,请参阅 [在 “可信修正器” 中运行手动修复](tr-remediation.md#tr-remediation-run)。
# 受信任修正者支持的 Compute Optimizer 建议
下表列出了支持的 Compute Optimizer 建议、SSM 自动化文档、预配置的参数以及自动化文档的预期结果。在启用 SSM 自动化文档进行支票补救之前,请查看预期结果,以帮助您根据业务需求了解可能的风险。
确保每个 Compute Optimizer 检查的相应配置规则适用于要为其启用修复的受支持检查。有关更多信息,请参阅[选择使用 AWS Compute Optimizer 支 Trusted Advisor 票](https://docs.aws.amazon.com/awssupport/latest/user/compute-optimizer-with-trusted-advisor.html)。
| 优化选项 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| 规模优化 |
| [亚马逊 EC2 实例建议](https://aws.amazon.com/compute-optimizer/faqs/#topic-4) | **AWSManagedServices-TrustedRemediatorResizeInstanceByComputeOptimizerRecommendation** 根据 Compute Optimizer 的建议更新了亚马逊 EC2 实例类型。如果存在最佳选项,则选择最佳选项,同时保持相同的平台参数(架构、虚拟机管理程序、网络接口、虚拟化类型等)。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Amazon EBS 卷建议](https://aws.amazon.com/compute-optimizer/faqs/#topic-6) | **AWSManagedServices-ModifyEBSVolume** Amazon EBS 卷是根据 Compute Optimizer 的建议修改的。修改可能包括卷类型、大小、IOPS、卷生成(gp2、gp3 等)。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [Lambda 函数推荐](https://aws.amazon.com/compute-optimizer/faqs/#topic-7) | **AWSManagedServices-TrustedRemediatorOptimizeLambdaMemory** AWS Lambda 根据 Compute Optimizer 的建议对函数内存进行了优化。 | **RecommendedMemorySize **:自定义内存大小(如果与推荐的选项不同)。 没有限制 |
| 闲置资源 |
| [闲置亚马逊 EBS 交易量](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-DeleteUnusedEBSVolume** 未连接的 Amazon EBS 卷将被删除。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-recommendations-co.html) |
| [空闲的亚马逊 EC2 实例](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopEC2 实例** 闲置的 Amazon EC2 实例将被停止。 | **ForceStopWithInstanceStore**:要强制停止使用实例存储的实例,请设置为 “True”。要不强制停止,请设置为 “False”。默认值为 “False” 可防止实例停止。 没有限制 |
| [空闲的亚马逊 RDS 实例](https://aws.amazon.com/compute-optimizer/faqs/#topic-9) | **AWSManagedServices-StopIdleRDSInstance** 停止闲置的 Amazon RDS 实例。支持的引擎有:MariaDB、微软 SQL Server、MySQL、Oracle、PostgreSQL。本文档不适用于 Aurora MySQL 和 Aurora PostgreSQL。该实例将在最多 7 天内停止并自动重新启动。 | 不允许使用预配置的参数。 没有限制 |
# Trusted Advisor 受信任修正者支持的检查
下表列出了支持的 Trusted Advisor 检查、SSM 自动化文档、预配置的参数以及自动化文档的预期结果。在启用 SSM 自动化文档进行支票补救之前,请查看预期结果以帮助您根据业务需求了解可能的风险。
对于要为其启用补救功能的受支持检查,请确保每 Trusted Advisor 项检查都有相应的配置规则。有关更多信息,请参阅[查看由支持的 AWS Trusted Advisor 支票 AWS Config](https://docs.aws.amazon.com/awssupport/latest/user/aws-config-integration-with-ta.html)。如果支票有相应的 AWS Security Hub CSPM 控件,请确保启用了 Security Hub 控件。有关更多信息,请参阅在 Sec [urity Hub 中启用控件](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html)。有关管理预配置参数的信息,请参阅 Trusted Rem [ediator 中的配置 Trusted Advisor 检查修复](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/tr-configure-remediations.html)。
## Trusted Advisor 可信修正者支持的成本优化检查
| 检查身份证和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [Z4 AUBRNSmz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#unassociated-elastic-ip-addresses) 未关联的弹性 IP 地址 | **AWSManagedServices-TrustedRemediatorReleaseElasticIP** 释放未与任何资源关联的弹性 IP 地址。 | 不允许使用预配置的参数。 没有限制 |
| [c18d2gz](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-instance-stopped-for-thirty-days) 150-亚马逊实例已停止 EC2 | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime**-停止天数的 Amazon EC2 实例终止。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [c18d2gz128](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-ecr-repository-without-lifecycle-policy) 未对生命周期策略进行配置的 Amazon ECR 存储库 | **AWSManagedServices-TrustedRemediatorPutECRLifecyclePolicy** 如果生命周期策略尚不存在,则为指定的存储库创建生命周期策略。 | **ImageAgeLimit:**Amazon ECR 存储库中 “任何” 图像的最大保存期限(以天为单位)(1-365)。 没有限制 |
| [DAvU99Dc4C](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-ebs-volumes) 未充分利用的 Amazon EBS 卷 | **AWSManagedServices-DeleteUnusedEBSVolume** 如果过去 7 天内未连接未充分利用的 Amazon EBS 卷,则删除这些卷。默认情况下会创建 Amazon EBS 快照。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [hj m8 LMh88u](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#idle-load-balancers) 闲置的负载均衡器 | **AWSManagedServices-DeleteIdleClassicLoadBalancer** 如果闲置的 Classic Load Balancer 未使用且未注册任何实例,则将其删除。 | **IdleLoadBalancerDays:**Classic Load Balancer 在考虑处于空闲状态之前有 0 个请求的连接的天数。默认值为七天。 如果启用了自动执行,则如果没有活跃的后端实例,则自动化会删除闲置的 Classic 负载均衡器。对于所有具有活跃后端实例但后端实例运行状况不佳的闲置经典负载均衡器,不会使用自动修复,而是创建 OpsItems 用于手动补救的自动修复。 |
| [ti39Halfu8](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#amazon-rds-idle-dbs-instances) Amazon RDS 闲置数据库实例 | **AWSManagedServices-StopIdleRDSInstance** 过去七天一直处于空闲状态的 Amazon RDS 数据库实例已停止。 | 不允许使用预配置的参数。 没有限制 |
| [COr6dfpM05](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#aws-lambda-over-provisioned-functions-memory-size) AWS Lambda 内存大小过度配置的函数 | **AWSManagedServices-ResizeLambdaMemory** AWS Lambda 函数的内存大小已调整为由 Trusted Advisor提供的推荐内存大小。 | **RecommendedMemorySize:**Lambda 函数的推荐内存分配。值范围介于 128 和 10240 之间。 如果在自动化运行之前修改了 Lambda 函数的大小,则该自动化可能会使用推荐的值覆盖这些设置。 Trusted Advisor |
| [qch7dwoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) 低利用率 Amazon EC2 实例 | **AWSManagedServices-StopEC2Inst** ance(自动和手动执行模式下的默认 SSM 文档。) 使用率低的 Amazon EC2 实例已停止。 | **ForceStopWithInstanceStore:**设置为`true`以强制停止使用实例存储的实例。否则,设置为 `false`。默认值为`false`可防止实例停止。有效值为真或假(区分大小写)。 没有限制 |
| [qch7dwoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) 低利用率 Amazon EC2 实例 | **AWSManagedServices-ResizeInstanceByOneLevel** 在相同的 EC2 实例系列类型中,Amazon 实例按向下调整一个实例类型的大小。实例在调整大小操作期间停止并启动,并在 SSM 文档运行完成后恢复到初始状态。此自动化不支持调整 Auto Scaling 组中的实例的大小。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [qch7dwoux1](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#low-utilization-amazon-ec2-instances) 低利用率 Amazon EC2 实例 | **AWSManagedServices-TerminateInstance** 如果未加入 Auto Scaling 组且未启用终止保护,则低利用率的 Amazon EC2 实例将被终止。默认情况下会创建 AMI。 | **创建AMIBefore终止:**将此选项设置`false`为`true`或可在终止实例之前创建实例 AMI 作为备份。 EC2 默认值为 `true`。有效值为`true`和`false`(区分大小写)。 没有限制 |
| [g31sq1e9U](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#underutilized-amazon-redshift-clusters) Underutilized Amazon Redshift Clusters | **AWSManagedServices-PauseRedshiftCluster** 亚马逊 Redshift 集群已暂停。 | 不允许使用预配置的参数。 没有限制 |
| [c1cj39rr6v](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#s3-incomplete-multipart-upload-abort-config) Amazon S3 未完成分段上传中止配置 | **AWSManagedServices-TrustedRemediatorEnableS3AbortIncompleteMultipartUpload** Amazon S3 存储桶配置了生命周期规则,用于中止某些天后仍未完成的分段上传。 | **DaysAfterInitiation:**Amazon S3 停止未完成的分段上传的天数。默认设置为 7 天。 没有限制 |
| [c1z7kmr00n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ec2-cost-opt-for-instances) Amazon 针对实例 EC2 的成本优化建议 | 使用来自的亚马逊 EC2 实例建议和空闲的亚马逊 EC2 实例[受信任修正者支持的 Compute Optimizer 建议](tr-supported-recommendations-co.md)。 | 不允许使用预配置的参数。 没有限制 |
| [c1z7kmr02n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#ebs-cost-opt-for-volumes) Amazon EBS 针对卷的成本优化建议 | 使用来自的 Amazon EBS 交易量建议和空闲亚马逊 EBS 交易量。[受信任修正者支持的 Compute Optimizer 建议](tr-supported-recommendations-co.md) | 不允许使用预配置的参数。 没有限制 |
| [c1z7kmr03n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) Amazon RDS 针对数据库实例的成本优化建议 | 使用来自的空闲的 Amazon RDS 实例[受信任修正者支持的 Compute Optimizer 建议](tr-supported-recommendations-co.md)。 | 不允许使用预配置的参数。 没有限制 |
| [c1z7kmr05n](https://docs.aws.amazon.com/awssupport/latest/user/cost-optimization-checks.html#rds-cost-opt-for-db-instances) AWS Lambda 函数的成本优化建议 | 使用来自的 Lambda 函数建议。[受信任修正者支持的 Compute Optimizer 建议](tr-supported-recommendations-co.md) | 不允许使用预配置的参数。 没有限制 |
## Trusted Advisor 受信任修正者支持的安全检查
| 检查身份证和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [12Fnkpl8Y5](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#exposed-access-keys) Exposed Access Keys | **AWSManagedServices-TrustedRemediatorDeactivateIAMAccessKey** 公开的 IAM 访问密钥已停用。 | 不允许使用预配置的参数。 使用公开的 IAM 访问密钥配置的应用程序无法进行身份验证。 |
| Hs4ma3G127-应启用 API Gateway REST WebSocket 和 API 执行日志记录 相应的 AWS Security Hub CSPM 支票:[APIGateway.1](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-1) | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** API 阶段已启用执行日志记录。 | **LogLevel:** 用于启用执行日志记录的日志级别,`ERROR`-仅对错误启用日志记录。 `INFO`-已为所有事件启用日志功能。 要启用执行日志,您必须授予 API Gateway 读取和写入账户日志的权限,有关详细信息,请参阅[ APIs 在 API Gateway 中设置 REST CloudWatch 日志记录](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)。 CloudWatch |
| Hs4ma3G129-API Gateway REST API 阶段应该启用追踪 AWS X-Ray 相应的 AWS Security Hub CSPM 支票:[APIGateway.3](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-3) | **AWSManagedServices-EnableApiGateWayXRayTracing** 在 API 阶段已启用 X 射线追踪。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G202-API Gateway REST API 缓存数据应静态加密 相应的 AWS Security Hub CSPM 支票:[APIGateway.5](https://docs.aws.amazon.com/securityhub/latest/userguide/apigateway-controls.html#apigateway-5) | **AWSManagedServices-EnableAPIGatewayCacheEncryption** 如果 API Gateway REST API 阶段启用了缓存,则为 API Gateway REST API 缓存数据启用静态加密。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G177- 相应的 AWS Security Hub CSPM 检查-与负载均衡器关联的 Auto Scaling 组应使用负载均衡器运行状况检查。[AutoScaling1](https://docs.aws.amazon.com/securityhub/latest/userguide/autoscaling-controls.html#autoscaling-1) | **AWSManagedServices-TrustedRemediatorEnableAutoScalingGroupELBHealthCheck** 已为 Auto Scaling 组启用了 Elastic Load Balancing 运行状况检查。 | **HealthCheckGracePeriod:**Auto Scaling 在检查已投入使用的亚马逊弹性计算云实例的运行状况之前等待的时间,以秒为单位。 如果连接到 Auto Scaling 组的任何 Elastic Load Balancing 负载均衡器报告运行状况不佳,则启用 Elastic Load Balancing 运行状况检查可能会导致替换正在运行的实例。有关更多信息,请参阅[将 Elastic Load Balancing 负载均衡器附加到您的 Auto Scaling 组](https://docs.aws.amazon.com/autoscaling/ec2/userguide/attach-load-balancer-asg.html) |
| Hs4ma3G245- CloudFormation 堆栈应与亚马逊简单通知服务集成 相应的 AWS Security Hub CSPM 支票:[CloudFormation.1](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-1) | **AWSManagedServices-EnableCFNStackNotification** 将 CloudFormation 堆栈与 Amazon SNS 主题关联以获得通知。 | **通知ARNs:**要与 ARNs 选定 CloudFormation 堆栈关联的 Amazon SNS 主题。 要启用 auto 修复,必须提供`NotificationARNs`预配置的参数。 |
| Hs4ma3G210- CloudFront 发行版应该启用日志记录 相应的 AWS Security Hub CSPM 支票:[CloudFront.2](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-5) | **AWSManagedServices-EnableCloudFrontDistributionLogging** 已为 Amazon CloudFront 分配启用日志记录。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下预配置的参数: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 有关修正限制,请参阅[如何为我的 CloudFront 分配开启日志记录](https://repost.aws/knowledge-center/cloudfront-logging-requests)? |
| Hs4ma3G109-应启用 CloudTrail 日志文件验证 相应的 AWS Security Hub CSPM 支票:[CloudTrail.4](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-4) | **AWSManagedServices-TrustedRemediatorEnableCloudTrailLogValidation** 启用 CloudTrail 跟踪日志验证。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G108—— CloudTrail 轨迹应与亚马逊日志集成 CloudWatch 相应的 AWS Security Hub CSPM 支票:[CloudTrail.5](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-5) | **AWSManagedServices-IntegrateCloudTrailWithCloudWatch** AWS CloudTrail 已与 CloudWatch 日志集成。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下预配置的参数: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4ma3G217- CodeBuild 项目环境应该有日志配置 AWS 相应的 AWS Security Hub CSPM 支票:[CodeBuild.4](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-4) | **AWSManagedServices-TrustedRemediatorEnableCodeBuildLoggingConfig** 启用 CodeBuild 项目日志记录。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G306-Neptune 数据库集群应启用删除保护 相应的 AWS Security Hub CSPM 支票:d [ocumen](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-3) tDB.3 | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnDocumentDBSnapshot** 从 Amazon DocumentDB 手动集群快照中移除公共访问权限。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G308-亚马逊 DocumentDB 集群应启用删除保护 相应的 AWS Security Hub CSPM 支票:d [ocumen](https://docs.aws.amazon.com/securityhub/latest/userguide/documentdb-controls.html#documentdb-5) tDB.5 | **AWSManagedServices-TrustedRemediatorEnableDocumentDBClusterDeletionProtection** 为亚马逊文档数据库集群启用删除保护。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G323-DynamoDB 表应该启用删除保护 相应的 AWS Security Hub CSPM 检查:d [ynam](https://docs.aws.amazon.com/securityhub/latest/userguide/dynamodb-controls.html#dynamodb-6) odB.6 | **AWSManagedServices-TrustedRemediatorEnableDynamoDBTableDeletionProtection** 为非 AMS DynamoDB 表启用删除保护。 | 不允许使用预配置的参数。 没有限制 |
| [eps02jt06w](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-ebs-public-snapshots)-亚马逊 EBS 公开快照 | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnEBSSnapshot** 已禁用 Amazon EBS 快照的公共访问权限。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G118-VPC 默认安全组不应允许入站或出站流量 相应的 AWS Security Hub CSPM 支票:[EC2.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) | **AWSManagedServices-TrustedRemediatorRemoveAllRulesFromDefaultSG** 默认安全组中的所有入口和出口规则都将被删除。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G117-附加的 EBS 卷应在静态状态下进行加密 相应的 AWS Security Hub CSPM 支票:[EC2.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-3) | **AWSManagedServices-EncryptInstanceVolume** 实例上附加的 Amazon EBS 卷已加密。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 作为修复的一部分,实例将重新启动,如果`DeleteStaleNonEncryptedSnapshotBackups`将其设置为有助于恢复,则可以进行`false`回滚。 |
| Hs4ma3G120-应在指定的时间段后移除已停止的 EC2 实例 相应的 AWS Security Hub CSPM 支票:[EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateInstance**(auto 和手动执行模式的默认 SSM 文档) 停止 30 天的 Amazon EC2 实例将被终止。 | **创建AMIBefore终止:**. 要在终止实例之前创建实例 AMI 作为备份,请选择`true`。 EC2 要在终止之前不创建备份,请选择`false`。默认值为 `true`。 没有限制 |
| Hs4ma3G120-应在指定的时间段后移除已停止的 EC2 实例 相应的 AWS Security Hub CSPM 支票:[EC2.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-4) | **AWSManagedServices-TerminateEC2 InstanceStoppedForPeriodOfTime**-在 Security Hub 中定义的停止天数(默认值为 30)的亚马逊 EC2 实例将被终止。 | **创建AMIBefore终止:**要在终止实例之前创建实例 AMI 作为备份,请选择`true`。 EC2 要在终止之前不创建备份,请选择`false`。默认值为 `true`。 没有限制 |
| Hs4ma3G121-应启用 EBS 默认加密 相应的 AWS Security Hub CSPM 支票:[EC2.7](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-7) | **AWSManagedServices-EncryptEBSByDefault** 默认情况下,Amazon EBS 加密是针对特定的 AWS 区域 | 不允许使用预配置的参数。 默认加密是区域特定的设置。如果您为某个区域启用该功能,则无法为该区域的单个卷或快照禁用该功能。 |
| Hs4Ma3G124- EC2 亚马逊实例应使用实例元数据服务版本 2 () IMDSv2 相应的 AWS Security Hub CSPM 支票:[EC2.8](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8) | **AWSManagedServices-TrustedRemediator****启用EC2实例 IMDSv2** Amazon EC2 实例使用实例元数据服务版本 2 (IMDSv2)。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| Hs4Ma3G207- EC2 子网不应自动分配公有 IP 地址 相应的 AWS Security Hub CSPM 支票:[EC2.15](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-15) | **AWSManagedServices-UpdateAutoAssignPublicIpv4个地址** VPC 子网配置为不自动分配公有 IP 地址。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G209-未使用的网络访问控制列表已删除 相应的 AWS Security Hub CSPM 支票:[EC2.16](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-16) | **AWSManagedServices-DeleteUnusedNACL** 删除未使用的网络 ACL | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G215-应移除未使用的 EC2 亚马逊安全组 相应的 AWS Security Hub CSPM 支票:[EC2.22](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-22) | **AWSManagedServices-DeleteSecurityGroups** 删除未使用的安全组。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G247-Amazon Transit G EC2 ateway 不应自动接受 VPC 连接请求 相应的 AWS Security Hub CSPM 支票:[EC2.23](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) | **AWSManagedServices-TrustedRemediatorDisableTGWAutoVPCAttach**-禁用自动接受指定非 AMS Amazon T EC2 ransit Gateway 的 VPC 连接请求。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G235-ECR 私有存储库应配置标签不可变性 相应的 AWS Security Hub CSPM 支票:[ECR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-2) | **AWSManagedServices-TrustedRemediatorSetImageTagImmutability** 将指定存储库的图像标签可变性设置设置为 IMMUTABLE。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G216-ECR 存储库应至少配置一个生命周期策略 相应的 AWS Security Hub CSPM 支票:[ECR.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ecr-controls.html#ecr-3) | **AWSManagedServices-PutECRRepositoryLifecyclePolicy** ECR 存储库已配置生命周期策略。 | **LifecyclePolicyText:**要应用于存储库的 JSON 存储库策略文本。 要启用 auto 修复,必须提供以下预配置的参数: **LifecyclePolicyText** |
| Hs4ma3G325-EKS 集群应启用审核日志记录 相应的 AWS Security Hub CSPM 支票:[EK](https://docs.aws.amazon.com/securityhub/latest/userguide/eks-controls.html#eks-8) S.8 | **AWSManagedServices-TrustedRemediatorEnableEKSAuditLog** 已为 EKS 集群启用审核日志。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G183-应用程序负载均衡器应配置为丢弃 HTTP 标头 相应的 AWS Security Hub CSPM 支票:[EL](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-4) B.4 | **AWSConfigRemediation-DropInvalidHeadersForALB** Application Load Balancer 配置为无效的标头字段。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G184-应启用应用程序负载均衡器和经典负载均衡器日志记录 相应的 AWS Security Hub CSPM 支票:[EL](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) B.5 | **AWSManagedServices-EnableELBLogging (auto 和手动执行模式的默认 SSM 文档)** 应用程序负载均衡器和经典负载均衡器日志记录已启用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下预配置的参数: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) Amazon S3 存储桶必须具有存储桶策略,该策略授予 Elastic Load Balancing 将访问日志写入存储桶的权限。 |
| Hs4Ma3G184-应启用应用程序负载均衡器和经典负载均衡器日志记录 相应的 AWS Security Hub CSPM 支票:[EL](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-5) B.5 | **AWSManagedServices-EnableELBLoggingV2** 应用程序负载均衡器和经典负载均衡器日志记录已启用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) |
| Hs4ma3G326-应启用亚马逊 EMR 屏蔽公开访问设置 相应的 AWS Security Hub CSPM 支票:[EMR.2](https://docs.aws.amazon.com/securityhub/latest/userguide/emr-controls.html#emr-2) | **AWSManagedServices-TrustedRemediatorEnableEMRBlockPublicAccess** 该账户的 Amazon EMR 屏蔽公开访问设置已开启。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G135- AWS KMS 密钥不应无意中删除 相应的 AWS Security Hub CSPM 支票:[KMS.3](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) | **AWSManagedServices-CancelKeyDeletion** AWS KMS 密钥删除已取消。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G299-Amazon DocumentDB 手动集群快照不应公开 相应的 AWS Security Hub CSPM 支票:[Neptune.4](https://docs.aws.amazon.com/securityhub/latest/userguide/neptune-controls.html#neptune-4) | **AWSManagedServices-TrustedRemediatorEnableNeptuneDBClusterDeletionProtection** 为 Amazon Neptune 集群启用删除保护。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G319-Network Firewall 防火墙应该启用删除保护 相应的 AWS Security Hub CSPM 支票:[NetworkFirewall.9](https://docs.aws.amazon.com/securityhub/latest/userguide/networkfirewall-controls.html#networkfirewall-9) | **AWSManagedServices-TrustedRemediatorEnableNetworkFirewallDeletionProtection**-为 AWS Network Firewall 启用删除保护。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G223- OpenSearch 域名应加密节点之间发送的数据 相应的 AWS Security Hub CSPM 支票:[OpenSearch.3](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#Opensearch-3) | **AWSManagedServices-EnableOpenSearchNodeToNodeEncryption** 已为域启用节点到节点加密。 | 不允许使用预配置的参数。 启用 node-to-node加密后,您无法禁用该设置。取而代之的是,手动拍摄加密域的快照,创建另一个域,迁移您的数据,然后删除旧域名。 |
| Hs4ma3G222-应该启用记录到日志的 OpenSearch 域名错误 CloudWatch 相应的 AWS Security Hub CSPM 支票:[Open](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-4) search.4 | **AWSManagedServices-EnableOpenSearchLogging** 已为该 OpenSearch 域启用错误日志记录。 | CloudWatchLogGroupArn:亚马逊 CloudWatch 日志组的 ARN。 要启用 auto 修复,必须提供以下预配置的参数:**CloudWatchLogGroupArn**。 Amazon CloudWatch 资源策略必须配置权限。有关更多信息,请参阅 *Amazon OpenSearch 服务用户指南*中的[启用审计日志](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) |
| Hs4ma3G221- OpenSearch 域名应启用审核日志 相应的 AWS Security Hub CSPM 支票:[Open](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-5) search.5 | **AWSManagedServices-EnableOpenSearchLogging** OpenSearch 域配置为启用审核日志。 | **CloudWatchLogGroupArn:**要向其发布 CloudWatch 日志的日志组的 ARN。 要启用 auto 修复,必须提供以下预配置的参数:**CloudWatchLogGroupArn** Amazon CloudWatch 资源策略必须配置权限。有关更多信息,请参阅 *Amazon OpenSearch 服务用户指南*中的[启用审计日志](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) |
| Hs4Ma3G220-与 OpenSearch 域名的连接应使用 TLS 1.2 进行加密 相应的 AWS Security Hub CSPM 支票:[Open](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-8) search.8 | **AWSManagedServices-EnableOpenSearchEndpointEncryptionTLS1.2** TLS 策略设置为 “policy-min-tls-1-2-2019-07”,并且只允许通过 HTTPS (TLS) 进行加密连接。 | 不允许使用预配置的参数。 使用 TLS 1.2 需要与 OpenSearch 域建立连接。加密传输中数据可能会影响性能。使用此功能测试您的应用程序,以了解 TLS 的性能状况和影响。 |
| Hs4ma3G194-亚马逊 RDS 快照应该是私有的 相应的 AWS Security Hub CSPM 支票:[RDS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** Amazon RDS 快照的公共访问已禁用。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G192-RDS 数据库实例应禁止公共访问,具体取决于配置 PubliclyAccessible AWS 相应的 AWS Security Hub CSPM 支票:[RDS.2](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) | **AWSManagedServices-TrustedRemediatorDisablePublicAccessOnRDSInstance** 在 RDS 数据库实例上禁用公共访问权限。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G189-为亚马逊 RDS 数据库实例配置了增强监控 相应的 AWS Security Hub CSPM 支票:[RDS.6](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-6) | **AWSManagedServices-TrustedRemediatorEnableRDSEnhancedMonitoring** 为 Amazon RDS 数据库实例启用增强监控 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 如果在自动化执行之前启用了增强监控,则此自动化可能会使用在预配置参数中配置的 MonitoringInterval 和 MonitoringRoleName 值来覆盖这些设置。 |
| Hs4ma3G190-Amazon RDS 集群应启用删除保护 相应的 AWS Security Hub CSPM 支票:[RDS.7](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-7) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** 已为 Amazon RDS 集群启用删除保护。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G198-Amazon RDS 数据库实例应启用删除保护 相应的 AWS Security Hub CSPM 支票:[RDS.8](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-8) | **AWSManagedServices-TrustedRemediatorEnableRDSDeletionProtection** 已为 Amazon RDS 实例启用删除保护。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G199-RDS 数据库实例应将日志发布到日志 CloudWatch 相应的 AWS Security Hub CSPM 支票:[RDS.9](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-9) | **AWSManagedServices-TrustedRemediatorEnableRDSLogExports** 已为 RDS 数据库实例或 RDS 数据库集群启用 RDS 日志导出。 | 不允许使用预配置的参数。 需要服务相关角色 [ AWSServiceRoleForRDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure)。 |
| Hs4Ma3G160-应为 RDS 实例配置 IAM 身份验证 相应的 AWS Security Hub CSPM 支票:[RDS.10](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-10>RDS.10) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** AWS Identity and Access Management 已为 RDS 实例启用身份验证。 | **ApplyImmediately:** 表示是否尽快异步应用此请求中的修改和任何待处理的修改。要立即应用更改,请选择`true`。要在下一个维护时段安排更改,请选择`false`。 没有限制 |
| Hs4Ma3G161-应为 RDS 集群配置 IAM 身份验证 相应的 AWS Security Hub CSPM 支票:[RDS.12](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-12) | **AWSManagedServices-UpdateRDSIAMDatabaseAuthentication** 已为 RDS 集群启用了 IAM 身份验证。 | **ApplyImmediately:** 表示是否尽快异步应用此请求中的修改和任何待处理的修改。要立即应用更改,请选择`true`。要在下一个维护时段安排更改,请选择`false`。 没有限制 |
| Hs4Ma3G162-应启用 RDS 自动次要版本升级 相应的 AWS Security Hub CSPM 支票:[RDS.13](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-13) | **AWSManagedServices-UpdateRDSInstanceMinorVersionUpgrade** Amazon RDS 的自动次要版本升级配置已启用。 | 不允许使用预配置的参数。 Amazon RDS 实例必须处于`available`状态才能进行此修复。 |
| Hs4Ma3G163-RDS 数据库集群应配置为将标签复制到快照 相应的 AWS Security Hub CSPM 支票:[RDS.16](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-16) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagtosnapshot`Amazon RDS 集群的设置已启用。 | 不允许使用预配置的参数。 Amazon RDS 实例必须处于可用状态才能进行此修复。 |
| Hs4Ma3G164-RDS 数据库实例应配置为将标签复制到快照 相应的 AWS Security Hub CSPM 支票:[RDS.17](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-17) | **AWSManagedServices-UpdateRDSCopyTagsToSnapshots** `CopyTagsToSnapshot`Amazon RDS 的设置已启用。 | 不允许使用预配置的参数。 Amazon RDS 实例必须处于可用状态才能进行此修复。 |
| [rss93 HQwa1](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-rds-public-snapshots) Amazon RDS 公有快照 | **AWSManagedServices-DisablePublicAccessOnRDSSnapshotV2** Amazon RDS 快照的公共访问已禁用。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G103-亚马逊 Redshift 集群应禁止公众访问 相应的 AWS Security Hub CSPM 支票:[Redshi](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) ft.1 | **AWSManagedServices-DisablePublicAccessOnRedshiftCluster** 亚马逊 Redshift 集群上的公共访问已禁用。 | 不允许使用预配置的参数。 禁用公共访问会阻止所有来自互联网的客户端。而且,Amazon Redshift 集群在几分钟内处于修改状态,同时修复会禁用集群上的公共访问权限。 |
| Hs4ma3G106-亚马逊 Redshift 集群应启用审核日志 相应的 AWS Security Hub CSPM 支票:[Redshi](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-4) ft.4 | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterAuditLogging** 在维护时段内,您的 Amazon Redshift 集群启用了审核日志。 | 不允许使用预配置的参数。 要启用 auto 修复,必须提供以下预配置的参数。 **BucketName:** 存储桶必须位于同一个桶中 AWS 区域。集群必须具有读取存储桶和放置对象权限。 如果在自动化执行之前启用了 Redshift 集群日志记录,则该自动化可能会使用在预配置参数中配置的`BucketName`和`S3KeyPrefix`值覆盖日志设置。 |
| Hs4ma3G105-Amazon Redshift应该启用自动升级到主要版本的功能 相应的 AWS Security Hub CSPM 支票:[Redshi](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-6) ft.6 | **AWSManagedServices-EnableRedshiftClusterVersionAutoUpgrade**-在维护时段内,主要版本升级会自动应用于集群。Amazon Redshift 集群不会立即停机,但是如果升级到主要版本,您的 Amazon Redshift 集群可能会在其维护时段内停机。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G104-亚马逊 Redshift 集群应使用增强型 VPC 路由 相应的 AWS Security Hub CSPM 支票:[Redshi](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-7) ft.7 | **AWSManagedServices-TrustedRemediatorEnableRedshiftClusterEnhancedVPCRouting** 亚马逊 Redshift 集群已启用增强型 VPC 路由。 | 不允许使用预配置的参数。 没有限制 |
| Hs4ma3G173-S3 阻止公共访问设置应在存储桶级别启用 相应的 AWS Security Hub CSPM 支票:[S3.8](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-8) | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** Amazon S3 存储桶采用存储桶级别的公共访问封禁。 | 不允许使用预配置的参数。 此补救措施可能会影响 S3 对象的可用性。有关 Amazon S3 如何评估访问权限的信息,请参阅[阻止公众访问您的 Amazon S3 存储](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)。 |
| Hs4ma3G230-S3 存储桶服务器访问日志应启用 相应的 AWS Security Hub CSPM 支票:[S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-EnableBucketAccessLogging**(auto 和手动执行模式的默认 SSM 文档) Amazon S3 服务器访问日志已启用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下预配置的参数:**TargetBucket**。 目标存储桶必须与源存储桶位于 AWS 账户 相同 AWS 区域 且具有正确的日志传输权限。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
| Hs4ma3G230 — 应启用 S3 存储桶服务器访问日志记录 相应的 AWS Security Hub CSPM 支票:[S3.9](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-9) | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2**-已启用 Amazon S3 存储桶日志记录。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下参数:**TargetBucketTagKey**和**TargetBucketTagValue**。 目标存储桶必须与源存储桶位于 AWS 账户 相同 AWS 区域 且具有正确的日志传输权限。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
| [Pfx0 RwqBli](https://docs.aws.amazon.com/awssupport/latest/user/security-checks.html#amazon-s3-bucket-permissions) Amazon S3 存储桶权限 | **AWSManagedServices-TrustedRemediatorBlockS3BucketPublicAccess** 阻止公有访问 | 不允许使用预配置的参数。 此检查由多个警报标准组成。这种自动化修复了公共访问问题。 Trusted Advisor 不支持修复标记为的其他配置问题。此修复确实支持修复 AWS 服务 已创建的 S3 存储桶(例如 cf-templates-000000000000)。 |
| Hs4Ma3G272-用户不应拥有笔记本实例的根访问权限 SageMaker 相应的 AWS Security Hub CSPM 支票:[SageMaker.3](https://docs.aws.amazon.com/securityhub/latest/userguide/sagemaker-controls.html#sagemaker-3) | **AWSManagedServices-TrustedRemediatorDisableSageMakerNotebookInstanceRootAccess** 对于 SageMaker 笔记本实例,用户的 root 访问权限已禁用。 | 不允许使用预配置的参数。 如果 SageMaker 笔记本实例 InService 处于状态,则此补救措施会导致中断。 |
| Hs4Ma3G179-SNS 话题应使用静态加密 AWS KMS 相应的 AWS Security Hub CSPM 支票:[SNS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sns-controls.html#sns-1) | **AWSManagedServices-EnableSNSEncryptionAtRest** SNS 主题配置了服务器端加密。 | **KmsKeyId:**适用于 Amazon SNS 的 AWS 托管客户主密钥 (CMK) 或用于服务器端加密 (SSE) 的自定义 CMK 的 ID。默认值设置为`alias/aws/sns`。 如果使用自定义 AWS KMS 密钥,则必须为其配置正确的权限。有关更多信息,请参阅 [Amazon SNS 主题的启用服务器端加密 (SSE)](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) |
| Hs4ma3G158-SSM 文档不应公开 相应的 AWS Security Hub CSPM 支票:[SSM.4](https://docs.aws.amazon.com/securityhub/latest/userguide/ssm-controls.html#ssm-4) | **AWSManagedServices-TrustedRemediatorDisableSSMDocPublicSharing**-禁用 SSM 文档的公开共享。 | 不允许使用预配置的参数。 没有限制 |
| Hs4Ma3G136-亚马逊 SQS 队列应在静态时加密 相应的 AWS Security Hub CSPM 支票:[SQS.1](https://docs.aws.amazon.com/securityhub/latest/userguide/sqs-controls.html#sqs-1) | **AWSManagedServices-EnableSQSEncryptionAtRest** 亚马逊 SQS 中的消息经过加密。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 匿名 SendMessage 和对加密队列的 ReceiveMessage 请求将被拒绝。针对启用了 SSE 的队列的所有请求都必须使用 HTTPS 和 Signature Version 4。 |
## Trusted Advisor 可信修正者支持的容错检查
| 检查身份证和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [c18d2gz138](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-point-in-time-recovery) 亚马逊 DynamoDB 恢复 Point-in-time | **AWSManagedServices-TrustedRemediatorEnableDDBPITR** 启用 DynamoDB 表的 point-in-time恢复。 | 不允许使用预配置的参数。 没有限制 |
| [r365s2qddf](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-versioning) Amazon S3 Bucket Versioning | **AWSManagedServices-TrustedRemediatorEnableBucketVersioning** Amazon S3 存储桶版本控制已启用。 | 不允许使用预配置的参数。 此修复不支持修复 AWS 服务 已创建的 S3 存储桶(例如 cf-templates-000000000000)。 |
| [BueAdj7nrp](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-s3-bucket-logging) Amazon S3 存储桶日志记录 | **AWSManagedServices-EnableBucketAccessLogging** 已启用 Amazon S3 存储桶日志记录。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下预配置的参数: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 目标存储桶必须与源存储桶位于 AWS 账户 相同 AWS 区域 且具有正确的日志传输权限。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
| [f2ik5r6dep](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-multi-az) Amazon RDS Multi-AZ | **AWSManagedServices-TrustedRemediatorEnableRDSMultiAZ** 已启用多可用区部署。 | 不允许使用预配置的参数。 在此更改期间,性能可能会降低。 |
| [H7 IgTzj TYb](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-snapshots) Amazon EBS Snapshots | **AWSManagedServices-TrustedRemediatorCreateEBSSnapshot** 亚马逊 EBSsnapshots 已创建。 | 不允许使用预配置的参数。 没有限制 |
| [op QPADk zvH](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) RDS 备份 | **AWSManagedServices-EnableRDSBackupRetention** 已为数据库启用 Amazon RDS 备份保留功能。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 如果将`ApplyImmediately`参数设置为`true`,则数据库上待处理的更改将与 RDSBackup 保留设置一起应用。 |
| [c1qf5bt013](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-rds-backups) Amazon RDS 数据库实例已关闭存储自动扩缩功能 | **AWSManagedServices-TrustedRemediatorEnableRDSInstanceStorageAutoScaling**-已为 Amazon RDS 数据库实例启用存储自动扩展。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [7q GXs KIUw](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#elb-connection-draining) Classic Load Balancer Connection 耗尽 | **AWSManagedServices-TrustedRemediatorEnableCLBConnectionDraining** Classic Load Balancer 已启用连接耗尽功能。 | **ConnectionDrainingTimeout:**取消注册实例之前保持现有连接打开状态的最长时间(以秒为单位)。默认设置为`300`秒。 没有限制 |
| [c18d2gz106](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ebs-not-in-backup-plan) 计划中 AWS Backup 未包含亚马逊 EBS | **AWSManagedServices-TrustedRemediatorAddVolumeToBackupPlan** Amazon EBS 已包含在 AWS Backup 计划中。 | 补救措施使用以下标签对标记 Amazon EBS 卷。标签对必须符合的基于标签的资源选择标准。 AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [c18d2gz107](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-dynamodb-table-not-in-backup-plan) 计划中未包含亚马逊 DynamoDB 表 AWS Backup | **AWSManagedServices-TrustedRemediator****AddDynamoDBToBackupPlan** 计划中包含亚马逊 DynamoDB 表。 AWS Backup | 补救措施使用以下标签对标记 Amazon DynamoDB。标签对必须符合的基于标签的资源选择标准。 AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [c18d2gz117](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-efs-not-in-backup-plan) AWS Backup 计划中未包含亚马逊 EFS | **AWSManagedServices-TrustedRemediatorAddEFSToBackupPlan** Amazon EFS 包含在 AWS Backup 计划中。 | 补救措施使用以下标签对 Amazon EFS 进行标记。标签对必须符合的基于标签的资源选择标准。 AWS Backup[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [c18d2gz105](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#network-load-balancers-cross-load-balancing) 网络负载均衡器跨区域负载均衡 | **AWSManagedServices-TrustedRemediatorEnableNLBCrossZoneLoadBalancing** 在 Network Load Balancer 上启用了跨区域负载平衡。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt026](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-synchronous-commit-parameter-off) 亚马逊 RDS `synchronous_commit` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的参数`synchronous_commit`已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt030](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-flush-log-at-trx-parameter-off) 亚马逊 RDS `innodb_flush_log_at_trx_commit` 参数不是 `1` | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** 对`innodb_flush_log_at_trx_commit`于 Amazon RDS`1`,参数设置为。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt031](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-sync-binlog-parameter-off) 亚马逊 RDS `sync_binlog` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的参数`sync_binlog`已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt036](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#rds-innodb-default-row-format-unsafe) Amazon RDS `innodb_default_row_format` 参数设置不安全 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** 对`innodb_default_row_format`于 Amazon RDS`DYNAMIC`,参数设置为。 | 不允许使用预配置的参数。 没有限制 |
| [c18d2gz144](https://docs.aws.amazon.com/awssupport/latest/user/fault-tolerance-checks.html#amazon-ec2-detailed-monitoring-not-enabled) 未启用 Amazon EC2 详细监控 | **AWSManagedServices-TrustedRemediatorEnableEC2InstanceDetailedMonitoring** 已为 Amazon 启用详细监控 EC2。 | 不允许使用预配置的参数。 没有限制 |
## Trusted Advisor 可信修正者支持的性能检查
| 检查身份证和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [COr6dfpM06](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#aws-lambda-under-provisioned-functions-memory-size) AWS Lambda 内存大小的函数配置不足 | **AWSManagedServices-ResizeLambdaMemory** Lambda 函数的内存大小已调整为提供的建议内存大小。 Trusted Advisor | **RecommendedMemorySize:**Lambda 函数的推荐内存分配。值范围介于 128 和 10240 之间。 如果在自动执行之前修改了 Lambda 函数的大小,则此自动化可能会使用推荐的值覆盖设置。 Trusted Advisor |
| [ZRxQlPsb6c](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#high-utilization-amazon-ec2-instances) 高利用率 Amazon EC2 实例 | **AWSManagedServices-ResizeInstanceByOneLevel** 在相同的 EC2 实例系列中,Amazon 实例按一种实例类型向上调整大小。在调整大小操作期间,实例将停止并启动,并在执行完成后返回到初始状态。此自动化不支持调整 Auto Scaling 组中的实例的大小。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [c1qf5bt021](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-parameter-less-than-optimal) 使用小于最佳值的 Amazon RDS `innodb_change_buffering` 参数 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** 对于 Amazon RDS,`innodb_change_buffering`参数`NONE`的值设置为。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt025](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-autovacuum-off) 亚马逊 RDS `autovacuum` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的参数`autovacuum`已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt028](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexonlyscan-parameter-off) 亚马逊 RDS `enable_indexonlyscan` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的参数`enable_indexonlyscan`已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt029](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-enable-indexscan-parameter-off) 亚马逊 RDS `enable_indexscan` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的参数`enable_indexscan`已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt032](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-innodb-stats-persistent-parameter-off) 亚马逊 RDS `innodb_stats_persistent` 参数已关闭 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** Amazon RDS 的参数`innodb_stats_persistent`已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt037](https://docs.aws.amazon.com/awssupport/latest/user/performance-checks.html#rds-general-logging-on) 亚马逊 RDS `general_logging` 参数已开启 | **AWSManagedServices-TrustedRemediatorRemediateRDSParameterGroupParameter** 亚马逊 RDS 的参数`general_logging`已关闭。 | 不允许使用预配置的参数。 没有限制 |
## Trusted Advisor 受信任修正者支持的服务限制检查
| 检查身份证和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [ln7rr0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#ec2-vpc-elastic-ip-address) EC2-VPC 弹性 IP 地址 | **AWSManagedServices-UpdateVpcElasticIPQuota** 请求对 EC2-VPC 弹性 IP 地址设置新的限制。默认情况下,该限制会增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [km7qq0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-internet-gateways) VPC 互联网网关 | **AWSManagedServices-IncreaseServiceQuota**-请求对 VPC 互联网网关设置新的限制。默认情况下,该限制增加三个。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [jl7pp0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#vpc-quota-check) VPC | **AWSManagedServices-IncreaseServiceQuota** 请求对 VPC 设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [fw7hh0l7j9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#auto-scaling-groups) Auto Scaling 组 | **AWSManagedServices-IncreaseServiceQuota** 请求对 Auto Scaling 组设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [3njm0 DJQO9](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#rds-option-groups) RDS 选项组 | **AWSManagedServices-IncreaseServiceQuota** 请求对 Amazon RDS 选项组设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [EM8b3yLRTr](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-application-load-balancers) ELB Application Load Balancer | **AWSManagedServices-IncreaseServiceQuota** 请求对 ELB 应用程序负载均衡器设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
| [8wiQ K YSt25](https://docs.aws.amazon.com/awssupport/latest/user/service-limits.html#elb-network-load-balancers) ELB Network Load Balancer | **AWSManagedServices-IncreaseServiceQuota** 请求对 ELB 网络负载均衡器设置新的限制。默认情况下,该限制增加 3。 | **增量:**要增加当前配额的数字。默认值为 `3`。 如果在使用`OK`状态更新 Trusted Advisor 支票之前多次运行此自动化,则可能会增加更高的限额。 |
## Trusted Advisor 可信修正者支持的卓越运营检查
| 检查身份证和姓名 | SSM 文档名称和预期结果 | 支持的预配置参数和约束 |
| --- | --- | --- |
| [c18d2gz125](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#api-gw-execution-logging-enabled) Amazon API Gateway 未记录执行日志 | **AWSManagedServices-TrustedRemediatorEnableAPIGateWayExecutionLogging** API 阶段已启用执行日志记录。 | 不允许使用预配置的参数。 要启用执行日志,您必须授予 API Gateway 读取和写入账户日志的权限,有关详细信息,请参阅[ APIs 在 API Gateway 中设置 REST CloudWatch 日志记录](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)。 CloudWatch |
| [c18d2gz168](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#elb-deletion-protection-enabled) 没有为负载均衡器启用 Elastic Load Balancing 删除保护 | **AWSManagedServices-TrustedRemediatorEnableELBDeletionProtection**-Elastic Load Balancer 的删除保护已开启。 | 不允许使用预配置的参数。 没有限制 |
| [c1qf5bt012](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#rds-performance-insights-off) Amazon RDS Performance Insights | **AWSManagedServices-TrustedRemediatorEnableRDSPerformanceInsights** 亚马逊 RDS 的 Performance Insights 已开启。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 没有限制 |
| [c1fd6b96l4](https://docs.aws.amazon.com/awssupport/latest/user/operational-excellence-checks.html#Amazon-S3-Server-Access-Logs-Enabled) 已启用 Amazon S3 访问日志 | **AWSManagedServices-TrustedRemediatorEnableBucketAccessLoggingV2** Amazon S3 存储桶访问日志已启用。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/tr-supported-checks.html) 要启用 auto 修复,必须提供以下预配置的参数:**TargetBucketTagKey**和。**TargetBucketTagValue** 目标存储桶必须与源存储桶位于 AWS 账户 相同 AWS 区域 且具有正确的日志传输权限。有关更多信息,请参阅[启用 Amazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 |
# 在可信修正器中配置 Trusted Advisor 检查修复
配置 AWS AppConfig 作为可信修正者应用程序的一部分存储在中。每个 Trusted Advisor 检查类别都有单独的配置文件。有关 Trusted Advisor 类别的更多信息,请参阅[查看支票类别](https://docs.aws.amazon.com/awssupport/latest/user/get-started-with-aws-trusted-advisor.html#view-check-categories)。
您可以基于每个资源或每个 Trusted Advisor 检查来配置修复。您可以使用资源标签来应用例外。
**注意**
目前使用配置了对 Trusted Advisor 发现结果的补救 AWS AppConfig,目前已完全支持此功能。AMS 预计,这种情况将来会改变。最佳做法是避免构建依赖的自动化 AWS AppConfig,因为这种方法可能会发生变化。请注意,为了兼容性,将来可能需要更新或修改围绕当前 AWS AppConfig 实现构建的自动化。
Compute Optimizer-> EC2 实例功能标志有额外的参数:
**allow-upscal** e 允许配置不足但未经过优化的高档实例。 EC2 默认值为“false”。
**min-savings-opportunity-percentage**自动修复的最低节省百分比机会。默认值为 10%
## 默认补救配置
单个 Trusted Advisor 检查的配置存储为 AWS AppConfig 标志。旗帜名称与支票名称相匹配。每个检查配置都包含以下属性:
+ **执行模式:**确定可信修正者如何执行默认修复:
+ **自动:**Trusted Remediator 通过创建资源来自动修复资源 OpsItem,运行 SSM 文档,然后在成功执行 OpsItem 后解决问题。
+ **手动:** OpsItem 已创建,但是 SSM 文档不会自动执行。您可以在 AWS Systems Manager OpsCenter 控制台中查看并手动运行 SSM 文档。 OpsItem
+ **有条件的:**默认情况下,修正处于禁用状态。您可以使用标签为特定资源启用它。有关更多信息,请参阅以下各节[使用资源标签自定义补救措施](#tr-con-rem-customize-tags)和[使用资源覆盖标签自定义补救措施](#tr-con-rem-resource-override)。
+ **非活动:**不会进行修复, OpsItem 也不会创建任何修复。对于设置为非活动状态的 Trusted Advisor 支票,您无法覆盖其执行模式。
+ **预配置参数:**输入自动修复所需的 SSM 文档参数的值,格式为,用逗号 (`Parameter=Value`,) 分隔。有关每[Trusted Advisor 受信任修正者支持的检查](tr-supported-checks.md)项检查的关联 SSM 文档支持的预配置参数,请参阅。
+ **alternative-automation-document:**此属性有助于用另一个支持的文档覆盖现有的自动化文档(如果可用于特定检查)。默认情况下,此属性处于未选中状态。
**注意**
该`alternative-automation-document`属性不支持自定义自动化文档。您可以使用中列出的现有受支持的可信修正者自动化文档。[Trusted Advisor 受信任修正者支持的检查](tr-supported-checks.md)
例如,为了便于检查`Qch7DwouX1`,有三个关联的 SSM 文档: AWSManagedServices-StopEC2Instance AWSManagedServices-ResizeInstanceByOneLevel、和。 AWSManagedServices-TerminateInstance的值`alternative-automation-document`可以是 AWSManagedServices-ResizeInstanceByOneLevel 或 AWSManagedServices-TerminateInstance (AWSManagedServices-StopEC2Instance 是要修复`Qch7DwouX1`的默认 SSM 文档)。
每个属性的值必须与该属性的约束条件相匹配。
**提示**
在为 Trusted Advisor 检查应用默认配置之前,最好考虑使用以下各节中描述的资源标记和资源覆盖功能。默认配置适用于账户内的所有资源,这可能并非在所有情况下都是理想的。
以下是控制台屏幕截图示例,其中**执行模式**设置为 “**手动**”,且属性与其约束条件相匹配。
![\[可信修正者执行模式决策工作流的插图。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-exe-mode-man-new.png)
## 使用资源标签自定义补救措施
校验配置中的**automated-for-tagged-only**和**manual-for-tagged-only**属性允许您指定资源标签,说明如何修复单个检查。当您需要对共享相同标签的一组资源应用一致的修复行为时,最好使用此方法。以下是这些标签的描述:
+ **automated-for-tagged-only:**指定资源标签(一个或多个标签对,以逗号分隔),以便检查自动修复,无论默认执行模式如何。
+ **manual-for-tagged-only:**为无论默认执行模式如何,都应手动执行的修复指定资源标签(一个或多个标签对,以逗号分隔)。
例如,如果您要为所有非生产资源启用自动修复并对生产资源强制执行手动修复,则可以按以下方式设置配置:
```
"execution-mode": "Conditional",
"automated-for-tagged-only": "Environment=Non-Production",
"manual-for-tagged-only": "Environment=Production",
```
在您的资源上设置了上述配置后,检查修复行为如下所示:
+ 标有 “环境=非生产” 的资源会自动修复。
+ 标有 “环境=生产” 的资源需要手动干预才能进行修复。
+ 没有 “环境” 标签的资源遵循默认的执行模式(在本例中为 “条件”)。 因此,不会对剩余资源采取任何行动)。
要获得有关配置的更多支持,请联系您的云架构师。
## 使用资源覆盖标签自定义补救措施
资源覆盖标签允许您自定义单个资源的修复行为,无论其标签如何。通过向资源添加特定标签,可以覆盖该资源和 Trusted Advisor 检查的默认执行模式。资源覆盖标签优先于默认配置和资源标记设置。因此,如果您使用资源覆盖标签将资源的默认执行模式设置为 “**自****动**”、“手动” 或 “**有条件**”,则它将覆盖默认执行模式和任何资源标记配置。
要覆盖资源的执行模式,请完成以下步骤:
1. 确定要覆盖其修复配置的资源。
1. 确定要 Trusted Advisor 改写的支票的支票编号。您可以在中找到支持的签 IDs 入的 Trusted Advisor 支票[Trusted Advisor 受信任修正者支持的检查](tr-supported-checks.md)。
1. 使用以下键和值为资源添加标签:
+ **标签密钥:**`TR-Trusted Advisor check ID-Execution-Mode`(区分大小写)
在前面的标签密钥示例中,`Trusted Advisor check ID`替换为要覆盖的 Trusted Advisor 支票的唯一标识。
+ **标签值:**使用以下值之一作为标签值:
+ **自动:**受信任的修正者会自动修复此 Trusted Advisor 检查的资源。
+ **手动:**已 OpsItem 为资源创建,但不会自动执行修复。您可以从中手动查看并运行补救措施 OpsItem。
+ **非活动:**未对此资源和指定的 Trusted Advisor 检查执行修复和 OpsItem 创建。
例如,要使用 Trusted Advisor 支票编号自动修复 Amazon EBS 卷,请向 EBS 卷`DAvU99Dc4C`添加标签。**标签键**为`TR-DAvU99Dc4C-Execution-Mode`,**标签值为**`Automated`。
以下是显示**标签**部分的控制台示例:
![\[控制台上 “标签” 部分的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-tags-example.png)
# 执行模式决策工作流程
有多个级别可以为您的资源和每项 Trusted Advisor 检查配置执行模式。下图显示了 Trusted Remediator 如何根据您的配置决定使用哪种执行模式:
![\[可信修正者执行模式决策工作流的插图。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-ex-mode-workflow.png)
# 配置补救教程
以下教程提供了在 Trusted Remediator 中创建常见补救措施的示例
## 手动修复所有资源
此示例为 Trusted Advisor 支票编号为 DAv U99Dc4C(未充分利用的亚马逊 EBS 卷)的所有亚马逊 EBS 卷配置手动修复。
**为支票编号 DAv为 U99dc4C 的亚马逊 EBS 卷配置手动修复**
1. 在 [https://console.aws.amazon.com/systems-manager/appconfig 上](https://console.aws.amazon.com/systems-manager/appconfig)打开 AWS AppConfig 控制台。
请务必以**委派管理员帐户身份**登录。
1. 从应用程序列表中选择 “**可信修正者**”。
1. 选择**成本优化**配置文件。
1. 选择 “**未充分利用的 Amazon EBS 卷**” 标志。
1. **对于**执行模式,**请选择手动。**
1. 确保**automated-for-tagged-only**和**manual-for-tagged-only**属性为空。这些属性用于覆盖带有匹配标签的资源的默认执行模式。
以下是 “**属性**” 部分的示例,其中**automated-for-tagged-only**manual-for-tagged-only****和的值为空,**执行**模式为手动**:**
![\[“属性” 部分的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-tutorial1.png)
1. 选择 “**保存**” 以更新该值,然后选择 “**保存新版本**” 以应用更改。必须选择 “**保存新版本**”,可信修正者才能识别更改。
1. 确保您的 Amazon EBS 卷没有带有密钥`TR-DAvU99Dc4C-Execution-Mode`的标签。此标签密钥将覆盖该 EBS 卷的默认执行模式。
## 自动修复所有资源,所选资源除外
**此示例为 Trusted Advisor 支票 ID DAv U99Dc4C(未充分利用的 Amazon EBS 卷)的所有 Amazon EBS 卷配置自动修复,但无法修复的指定卷(指定为 “非活动”)除外。**
**为支票编号为 DAv U99dc4C 的 Amazon EBS 卷配置自动修复,选定的非活动资源除外**
1. 在 [https://console.aws.amazon.com/systems-manager/appconfig 上](https://console.aws.amazon.com/systems-manager/appconfig)打开 AWS AppConfig 控制台。
请务必以**委派管理员帐户身份**登录。
1. 从应用程序列表中选择 “**可信修正者**”。
1. 选择**成本优化**配置文件。
1. 选择 “**未充分利用的 Amazon EBS 卷**” 标志。
1. **对于**执行模式,**请选择自动。**
1. 确保**automated-for-tagged-only**和**manual-for-tagged-only**属性为空。这些属性用于覆盖带有匹配标签的资源的默认执行模式。
以下是 “**属性**” 部分的示例,其中**automated-for-tagged-only**manual-for-tagged-only****和的值为空,**执行模式为 “**自动**”:**
![\[“属性” 部分的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-tutorial2.png)
1. 选择 “**保存**” 以更新该值,然后选择 “**保存新版本**” 以应用更改。必须选择 “**保存新版本**”,可信修正者才能识别更改。
此时,所有 Amazon EBS 卷都已设置为自动修复。
1. 覆盖对选定的 Amazon EBS 卷的自动修复:
1. 打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 选择**弹性区块存储**、**卷**。
1. 选择**标签**。
1. 选择**管理标签**。
1. 添加以下标签:
+ **密钥:**TR-DAv U99Dc4C-Execution-Mode
+ **值:**非活动
以下是显示**键**和**值**字段的 “**标签**” 部分的示例:
![\[“属性” 部分的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-tutorial-inactive.png)
1. 对要排除在补救范围之外的所有 Amazon EBS 卷重复步骤 2 到 5。
## 自动修复已标记的资源
此示例为带有 Trusted Advisor 支票 ID DAv U99Dc4C(未充分利用的 Amazon EBS 卷)标签`Stage=NonProd`的所有亚马逊 EBS 卷配置自动修复。没有此标签的所有其他资源都不会被修复。
**使用支票 ID DAv U99dc4C 的标签`Stage=NonProd`为亚马逊 EBS 卷配置自动修复**
1. 在 [https://console.aws.amazon.com/systems-manager/appconfig 上](https://console.aws.amazon.com/systems-manager/appconfig)打开 AWS AppConfig 控制台。
请务必以**委派管理员帐户身份**登录。
1. 从应用程序列表中选择 “**可信修正者**”。
1. 选择**成本优化**配置文件。
1. 选择 “**未充分利用的 Amazon EBS 卷**” 标志。
1. **对于**执行模式,请选择 “有条件**的”。**
1. 将 **automated-for-tagged-only** 设置为 `Stage=NonProd`。`execution-mode`对于具有匹配标签的资源,此属性会覆盖默认值。确保**manual-for-tagged-only**属性为空。
**以下是 “**属性**” 部分的示例,该部分**automated-for-tagged-only**设置为 **Stage= NonProd**,执行模式设置为 “**条件**”:**
![\[“属性” 部分的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-tutorial-conditional.png)
1. 或者,将预配置参数设置为以下参数之一:
+ `CreateSnapshot=false`不要在删除 Amazon EBS 卷之前创建该卷的快照
+ `MinimumUnattachedDays=10`将要删除的 Amazon EBS 卷的最小独立天数设置为 10 天
+ `CreateSnapshot=false`,`MinimumUnattachedDays=10`对于上述两个
1. 选择 “**保存**” 以更新该值,然后选择 “**保存新版本**” 以应用更改。必须选择 “**保存新版本**”,可信修正者才能识别更改。
1. 确保您的 Amazon EBS 卷没有带有密钥`TR-DAvU99Dc4C-Execution-Mode`的标签。此标签密钥将覆盖该 EBS 卷的默认执行模式。
# 在 “可信修正者” 中使用补救措施
## 在 “可信修正者” 中跟踪补救措施
要跟踪 OpsItems 修正情况,请完成以下步骤:
1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 选择 “**运营管理**”,**OpsCenter**。
1. (可选)按 “**来源 = 可信修正者**” 筛选列表,以便在列表中仅包括受信任的修正者 OpsItems 。
以下是按**来源=可信**修正者筛选的 OpsCenter 屏幕示例:
![\[“属性” 部分的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-opsitems-console.png)
**注意**
除了 OpsItems 从中查看之外 OpsCenter,您还可以查看 AMS S3 存储桶中的修复日志。有关更多信息,请参阅 [可信修正者中的修复日志](tr-logging.md)。
## 在 “可信修正器” 中运行手动修复
可信修正者为配置 OpsItems 为手动修复的检查进行创建。您必须查看这些检查并手动开始修复过程。
要手动修复 OpsItem,请完成以下步骤:
1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 选择 “**运营管理**”,**OpsCenter**。
1. (可选)按 “**来源 = 可信修正者**” 筛选列表,以便在列表中仅包括受信任的修正者 OpsItems 。
1. 选择您 OpsItem 要查看的。
1. 查看的操作数据 OpsItem。操作数据包括以下项目:
+ **trustedAdvisorCheck类别:**支 Trusted Advisor 票编号的类别。例如,容错
+ **trustedAdvisorCheckID:**唯一的 Trusted Advisor 支票编号。
+ **trustedAdvisorCheck元数据:**资源元数据,包括资源 ID。
+ **trustedAdvisorCheck名称:**支 Trusted Advisor 票的名称。
+ **trustedAdvisorCheck状态:**检测到的资源 Trusted Advisor 检查的状态。
1. 要手动修复 OpsItem,请完成以下步骤:
1. 从 **Runbooks** 中,选择一个关联的运行手册(SSM 文档)。
1. 选择**执行**。
1. 对于 **AutomationAssumeRole **,选择 ` arn:aws:iam::AWS 账户 ID:role/ams_ssm_automation_role`。将 AWS 账户 ID 替换为运行修复的账户 ID。有关其他参数值,请参阅**操作数据**。
要手动修复资源,用于向进行身份验证的角色或用户 AWS 账户 必须拥有 IAM 角色`ams-ssm-automation-role`的`iam:PassRole`权限。有关更多信息,请参阅[向用户授予将角色传递给 AWS 服务或联系您的云架构师的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)。
1. 选择**执行**。
1. 在 “**最新状态和结果**” 列中监控 SSM 文档的执行进度。
1. 文档完成后,选择 “**设置状态**”、“**已解决**” 以手动解决问题 OpsItem。如果文档失败,请查看详细信息并重新运行。 SSMdocument要获得其他故障排除支持,请创建服务请求。
要解决 OpsItem 不经过修正的问题,请选择 “**将状态设置**为**已解决**”。
1. 对于所有剩余的手动修复,重复步骤 3 和 4 OpsItems。
## 对可信修正者中的修正进行故障排除
如需有关手动补救和补救失败的帮助,请联系 AMS。
要查看修复状态和结果,请完成以下步骤:
1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 选择 “**运营管理**”,**OpsCenter**。
1. (可选)按 “**来源 = 可信修正者**” 筛选列表,以便在列表中仅包括受信任的修正者 OpsItems 。
1. 选择您 OpsItem 要查看的。
1. 在 “**自动化执行**” 部分中,查看**文档名称****和状态以及结果**。
1. 查看以下常见的自动化故障。如果您的问题未在此处列出,请联系您的 CSDM 寻求帮助。
**常见的补救错误**
### 自动化执行中未列出任何执行任务
任何与关联的执行都 OpsItem 可能表示由于参数值不正确而导致执行未能启动。
**故障排除步骤**
1. 在**运营数据**中,查看`trustedAdvisorCheckAutoRemediation`属性值。
1. 验证**DocumentName**和**参数**值是否正确。要获得正确的值,请查看[在可信修正器中配置 Trusted Advisor 检查修复](tr-configure-remediations.md)有关如何配置 SSM 参数的详细信息。要查看支持的校验参数,请参阅 [Trusted Advisor 受信任修正者支持的检查](tr-supported-checks.md)
1. 验证 SSM 文档中的值是否与允许的模式相匹配。要查看文档内容中的参数详细信息,请在 “**运行手册**” 部分中选择文档名称。
1. 检查并更正参数后,[再次手动运行 SSM 文档](#tr-remediation)。
1. 为防止此错误再次发生,请确保在配置中使用正确的**参数**值配置补救措施。有关更多信息,请参阅 [在可信修正器中配置 Trusted Advisor 检查修复](tr-configure-remediations.md)。
### 自动化执行中的执行失败
补救文档包含多个步骤,这些步骤与通过 AWS 服务 执行各种操作进行交互 APIs。要确定故障的具体原因,请完成以下步骤:
**故障排除步骤**
1. 要查看各个执行步骤,请在 “**自动化****执行” 部分中选择 “执行 ID**” 链接。以下是 Systems Manager 控制台的示例,显示了所选自动化的**执行步骤**:
![\[显示所选自动化的 Systems Manager 控制台的示例。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-troubleshooting.png)
1. 选择状态为 “**失败**” 的步骤。以下是错误消息示例:
+ `NoSuchBucket - An error occurred (NoSuchBucket) when calling the GetPublicAccessBlock operation: The specified bucket does not exist`
此错误表示在修正配置的预配置参数中指定的存储桶名称不正确。
要解决此错误,[请使用正确的存储桶名称手动运行自动化](#tr-remediation)。为防止此问题再次发生,[请使用正确的存储桶名称更新修复配置](tr-configure-remediations.md)。
+ `DB instance my-db-instance-1 is not in available status for modification.`
此错误表示由于数据库实例处于无效状态,自动化无法进行预期的更改。
要解决此错误,[请手动运行自动化](#tr-remediation)。
# 可信修正者中的修复日志
Trusted Remediator 创建 JSON 格式的日志并将其上传到亚马逊简单存储服务。日志文件将上传到 AMS 创建并命名的 S3 存储桶。`ams-trusted-remediator-{your-account-id}-logs`AMS 在委派管理员账户中创建 S3 存储桶。您可以将日志文件导入到中 QuickSight 以生成自定义的修复报告。
有关更多信息,请参阅 [可信修正者与 QuickSight](tr-qs-integration.md)。
## 修复项目日志
可信修正者会在创建修正`Remediation item log` OpsItem 时创建。此日志包含手动修复 OpsItem 和自动修复 OpsItem。您可以使用`Remediation item log`来跟踪所有修正的概述。
**Compute Optimizer 建议的修复项目日志位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/compute_optimizer_remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**用于 Trusted Advisor 检查的修正项目日志位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/remediation_items/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID- Resource ID.json`
**修复项目日志示例文件 URL**
`s3:///ams-trusted-remediator-111122223333-logs/remediation_items/2023-02-06/1675660464-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**Compute Optimizer 修复项目日志格式**
```
{
"AccountID": "Account_ID",
"ComputeOptimizerCheckID": "Compute Optimizer check ID",
"ComputeOptimizerCheckName": "Compute Optimizer check name",
"ResourceID": "Resource ID",
"RemediationTime": Remediation creation time,
"ExecutionMode": "Automated or Manual",
"OpsItemID": "OpsItem ID"
}
```
**Trusted Advisor 修正项目日志格式**
```
{
"TrustedAdvisorCheckID": Trusted Advisor check ID,
"TrustedAdvisorCheckName": Trusted Advisor check name,
"TrustedAdvisorCheckResultTime": 10 digits epoch time or unix timestamp,
"ResourceID": Resource ID,
"RemediationTime": Remediation creation time,
"ExecutionMode": Automated or Manual,
"OpsItemID": OpsItem ID
}
```
**Compute Optimizer 修复项目日志格式示例内容**
```
{
"AccountID": "123456789012",
"ComputeOptimizerCheckID": "compute-optimizer-ebs",
"ComputeOptimizerCheckName": "EBS volumes",
"ResourceID": "vol-1235589366f77aca7",
"RemediationTime": 1755044783,
"ExecutionMode": "Manual",
"OpsItemID": "oi-b8888b38fe78"
}
```
**Trusted Advisor 修复项目日志格式示例内容**
```
{
"TrustedAdvisorCheckID": "DAvU99Dc4C",
"TrustedAdvisorCheckName": "Underutilized Amazon EBS Volumes",
"TrustedAdvisorCheckResultTime": 1675614749,
"ResourceID": "vol-00bd8965660b4c16d",
"RemediationTime": 1675660464,
"OpsItemID": "oi-cca5df7af718"
}
```
## 自动修复执行日志、Compute Optimizer 和 Trusted Advisor
Trusted Remediator 会在自动运行 SSM 文档完成`Automated remediation execution log`时创建。此日志包含 OpsItem 仅用于自动修复的 SSM 运行详细信息。您可以使用此日志文件来跟踪自动修复。
**Compute Optimizer 自动修复日志位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Compute Optimizer recommendation ID.json`
**Trusted Advisor 自动修复日志位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs//remediation_executions/remediation creation time in yyyy-mm-dd format/10 digits epoch time or unix timestamp-Trusted Advisor check ID-Resource ID.json`
**Compute Optimizer 自动修复日志位置示例**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2025-06-26/1750908858-123456789012-compute-optimizer-ec2-i-1235173471d2cd789.json`
**Trusted Advisor 自动修复日志位置示例**
`s3://ams-trusted-remediator-111122223333-logs/remediation_executions/2023-02-06/1675660573-DAvU99Dc4C-vol-00bd8965660b4c16d.json`
**自动修复日志格式示例内容**
```
{
"OpsItemID": "oi-767c77e05301",
"SSMExecutionID": "93d091b2-778a-4cbc-b672-006954d76b86",
"SSMExecutionStatus": "Success"}
```
## 成员账号日志
Trusted Remediator 会在您的账户加入或注销`Member accounts log`时创建。您可以使用`Member accounts log`来查找每个成员账户的账户 ID AWS 区域、已注册和执行时间。
**成员账号日志位置**
`s3://ams-trusted-remediator-delegated-administrator-account-id-logs/configuration_logs/member_accounts.json`
**成员账户日志示例文件 URL**
`s3://ams-trusted-remediator-111122223333-logs/configuration_logs/member_accounts.json`
**成员账户日志格式**
```
{
"delegated_administrator_account_id": Delegated Administrator account id,
"appconfig_configuration_region": Trusted Remediator AppConfig Region,
"member_accounts": [
{
"account_id": Member account id
"account_partition": Member account partition (for example, aws),
"regions": [
{
"execution_time": Remediation execution time in cron schedule expression,
"execution_timezone": Timezone for the remediation execution time,
"region_name": AWS 区域 name
}
...
]
}
...
],
"updated_at": Log update time,
}
```
**成员账户日志格式示例内容**
```
{
"delegated_administrator_account_id": "111122223333",
"appconfig_configuration_region": "ap-southeast-2",
"member_accounts": [
{
"account_id": "222233334444",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 9 * * 6",
"execution_timezone": "Australia/Sydney",
"region_name": "ap-southeast-2"
},
{
"execution_time": "0 5 * * 7",
"execution_timezone": "UTC",
"region_name": "us-east-1"
}
]
},
{
"account_id": "333344445555",
"account_partition": "aws",
"regions": [
{
"execution_time": "0 1 * * 5",
"execution_timezone": "Asia/Seoul",
"region_name": "ap-northeast-2"
}
]
}
],
"updated_at": "1730869607"
}
```
# 可信修正者与 QuickSight
您可以将存储在 Amazon S3 中的可信修复者日志与集成 QuickSight ,以生成自定义的修复报告。 QuickSight 集成是可选的。此功能允许您使用日志来构建自定义报告仪表板。要按要求获取可信修正者的报告,请联系您的 CSDM。有关可用的可信修正者报告的更多信息,请参阅[可信修正者报告](trusted-remediator-reports.md)。
有关在中可视化数据的更多信息 QuickSight,请参阅中的[可视化数据](https://docs.aws.amazon.com/quicksight/latest/user/working-with-visuals.html)。 QuickSight
## QuickSight 为修复项目日志添加数据集
要 QuickSight 为修正项目日志添加数据集,请执行以下步骤:
1. 登录 QuickSight 控制台。您可以在任何 AWS 区域 QuickSight 支持的 QuickSight 版本中创建报告。但是,为了提高性能和降低成本,最好在 Trusted Remediator 日志存储桶所在的区域创建报告。
1. 选择**数据集**。
1. 选择 **S3**。
1. **在新的 S3 数据源**中,输入以下值:
+ **数据源名称:**` trusted-remediator-delegated_administrator_account_id-account_region-remediation-items`.
+ **上传清单文件:**创建包含以下内容的 JSON 文件并使用它。创建文件时,在 URIPrefixes 密钥`logging_bucket_name`中替换。
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_items/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ 选择**连接**。
+ 在 “**完成数据集创建**” 窗口中,选择 “**可视化**”。
+ QuickSight 打开新的分析表页面。现在,您可以使用修正项目日志创建新的分析了。
以下是样本分析:
![\[样本分析工作表。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-sample-analysis.png)
## QuickSight 为自动修复执行日志添加数据集
1. 登录 QuickSight 控制台。您可以在任何 AWS 区域 QuickSight 支持的 QuickSight 版本中创建报告。但是,为了提高性能和降低成本,最好在 Trusted Remediator 日志存储桶所在的区域创建报告。
1. 选择**数据集**。
1. 选择 **S3**。
1. **在新的 S3 数据源**中,输入以下值:
+ **数据源名称:**`trusted-remediator-delegated_administrator_account_id-account_region-remediation-executions`.
+ **上传清单文件:**创建包含以下内容的 JSON 文件,然后使用此文件。创建文件时,在 URIPrefixes 密钥`logging_bucket_name`中替换。
```
{
"fileLocations": [
{
"URIPrefixes": [
"s3://{logging_bucket_name}/remediation_executions/"
]
}
],
"globalUploadSettings": {
"format": "JSON",
"delimiter": ",",
"textqualifier": "'",
"containsHeader": "true"
}
}
```
+ 选择**连接**。
+ 在 “**完成数据集创建**” 窗口中,选择 “**可视化**”。
+ QuickSight 打开新的分析表页面。现在,您可以使用修正项目日志创建新的分析了。
以下是样本分析:
![\[样本分析工作表。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/tr-sample-analysis2.png)
# 《可信修正者》中的最佳实践
以下是帮助您使用可信修正器的最佳实践:
+ 如果您不确定补救结果,请从手动执行模式开始。有时,从一开始就对补救应用自动执行可能会导致意想不到的结果。
+ 每周对补救措施进行一次回顾 OpsItems ,深入了解可信修复者的结果。
+ 成员账户继承委派管理员账户的配置。因此,重要的是要以一种有助于您管理具有相同配置的多个帐户的方式来构建帐户。您可以使用标签将资源排除在默认配置之外。
# 受信任的修正者 FAQs
以下是有关可信修正者的常见问题:
## 什么是 Trusted Remedicator?它对我有什么好处?
当 Compute Optimizer 发现违规行为 Trusted Advisor 或发布建议时,Trusted Remediator 会根据您指定的偏好进行响应,方法是应用补救措施、通过手动修正寻求批准,或者在即将到来的月度业务回顾 (MBR) 中报告补救措施。补救将在您的首选补救时间或计划进行。Trusted Remediator 使您能够自助服务并对 Trusted Advisor 支票采取行动,并且可以灵活地单独或批量配置和修复支票。AMS 拥有经过测试的补救文件库,通过应用安全检查和遵循 AWS 最佳实践,不断禁止提高您的账户。只有当您在配置中指定这样做时,您才会收到通知。AMS 用户可以选择加入 Trusted Remediator,无需额外付费。
## Trusted Remediator 与其他 AWS 服务人有何关系和协作?
作为现有企业支持计划的一部分,您可以访问 Trusted Advisor 支票和 Compute Optimizer 建议。Trusted Remediator 与 Trusted Advisor Compute Optimizer 集成,可利用现有的 AMS 自动化功能。具体而言,AMS 使用 AWS Systems Manager 自动化文档(运行手册)进行自动修复。 AWS AppConfig 用于配置修复工作流程。您可以通过 Systems Manager OpsCenter 查看所有当前和过去的补救措施。修复日志存储在 Amazon S3 存储桶中。您可以使用日志在中导入和构建自定义报告仪表板 QuickSight。
## 谁来配置补救措施?
您的账户中的配置归您所有。管理您的配置是您的责任。您可以联系您的 CA 或 CDSM,寻求管理配置的帮助。您也可以通过服务请求与 AMS 联系,以获得配置支持、手动补救和修复失败故障排除。
## 如何安装 SSM 自动化文档?
SSM 自动化文档会自动共享给已注册的 AMS 账户。
## AMS 拥有的资源也会得到补救吗?
可信修正者不会标记 AMS 拥有的资源。Trusted Remediator 只关注您的资源。
## AWS 区域 Trusted Remediator 中有哪些可用以及谁可以使用它?
可信修正器适用于 AMS Accelerate 客户。有关支持区域的最新列表,请参阅[AWS 服务 按地区划分](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## 可信修正者会导致资源漂移吗?
由于 SSM 自动化文档直接通过 AWS API 更新资源,因此可能会出现资源偏差。您可以使用标签来隔离通过现有 CI/CD 包创建的资源。您可以将 Trusted Remediator 配置为在修复其他资源的同时忽略已标记的资源。
## 如何暂停或停止可信修正者?
您可以通过 AWS AppConfig 应用程序关闭 “可信修正者”。要暂停或停止可信修正者,请完成以下步骤:
1. 在 [https://console.aws.amazon.com/systems-manager/appconfig 上](https://console.aws.amazon.com/systems-manager/appconfig)打开 AWS AppConfig 控制台。
1. 选择可信修正者。
1. 在配置文件上选择**设置**。
1. 选择 “**暂停可信修正者**” 标志。
1. 将该`suspended`属性的值设置为。`true`
**注意**
使用此过程时要小心,因为这会停止所有关联到委派管理员帐户的账户的 Trusted Remediator。
## 如何修复可信修正者不支持的检查?
您可以继续通过按需运营 (OOD) 与 AMS 联系,获取不支持的支票。AMS 可帮助您补救这些检查。有关更多信息,请参阅[按需操作](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html)。
## 可信修正者与修复有何不同 AWS Config ?
AWS Config 修复是另一种解决方案,可帮助您优化云资源并保持对最佳实践的合规性。以下是这两种解决方案之间的一些操作差异:
+ Trusted Remediator 使用 Trusted Advisor 和 Compute Optimizer 作为检测机制。 AWS Config 修正使用 AWS Config 规则作为检测机制。
+ 对于 Trusted Remideator,修复将按照您预定义的修复计划进行。在中 AWS Config,补救是实时进行的。
+ Trusted Remediator 中每项修复的参数都可以根据您的用例轻松自定义,并且可以通过在资源上添加标签来实现自动修复或手动修复。
+ 可信修正者提供报告功能。
+ Trusted Remediator 会向您发送一封电子邮件通知,其中包含修正列表和修正状态。
某些 Trusted Advisor 检查和 Compute Optimizer 建议可能有相同的规则。 AWS Config如果存在匹配的 AWS Config 规则和 Trusted Advisor 检查,则最佳做法是仅启用一项补救措施。有关每项 Trusted Advisor 检查 AWS Config 规则的信息,请参阅[Trusted Advisor 受信任修正者支持的检查](tr-supported-checks.md)。
## Trusted Remediator 会将哪些资源部署到您的账户?
可信修正者在可信修正者委派的管理员帐户中部署以下资源:
+ 一个名为 `ams-trusted-remediator-{your-account-id}-logs` 的 Amazon S3 存储桶。Trusted OpsItem Remediator `Remediation item log` 在创建补救措施时以 JSON 格式创建,并将日志文件上传到此存储桶。
+ 用于保存支持的 Trusted Advisor 检查和 Compute Optimizer 建议的补救配置的 AWS AppConfig 应用程序。
可信修正者不会在可信修正者成员帐户中部署资源。