本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 營運卓越
您可以針對營運卓越類別使用下列檢查。
**Contents**
+ [Amazon API Gateway 未記錄執行日誌](#api-gw-execution-logging-enabled)
+ [未啟用 X-Ray 追蹤的 Amazon API Gateway REST API](#api-gw-xray-enabled)
+ [已設定 Amazon CloudFront 存取日誌](#cloudfront-access-log-configured)
+ [已停用 Amazon CloudWatch 警示動作](#cloudwatch-alarm-action-disabled)
+ [非 管理的 Amazon EC2 執行個體 AWS Systems Manager](#ec2-instance-managed-ssm)
+ [已停用具有標籤不變性的 Amazon ECR 儲存庫](#ecr-private-tag-immutability-enabled)
+ [已停用具有 Container Insights 的 Amazon ECS 叢集](#ecs-container-insights-enabled)
+ [未啟用 Amazon ECS 任務日誌記錄](#ecs-task-definition-log-configuration)
+ [Amazon OpenSearch Service 日誌記錄 CloudWatch 未設定](#opensearch-logs-to-cloudwatch)
+ [叢集中具有異質參數群組的 Amazon RDS 資料庫執行個體](#rds-db-instances-heterogeneous-parameter-groups)
+ [Amazon RDS 增強型監控已關閉](#rds-enhanced-monitoring-off)
+ [Amazon RDS Performance Insights 已關閉](#rds-performance-insights-off)
+ [Amazon RDS track\$1counts 參數已關閉](#rds-track-counts-parameters-off)
+ [Amazon Redshift 叢集稽核日誌記錄](#redshift-audit-logging-enabled)
+ [已啟用 Amazon S3 存取日誌](#Amazon-S3-Server-Access-Logs-Enabled)
+ [Amazon S3 未啟用事件通知](#s3-event-notification-enabled)
+ [Amazon SNS 主題未記錄訊息傳遞狀態](#sns-topics-not-logging-message-delivery-status)
+ [Amazon VPC (不含流程日誌)](#vpc-flow-logs-enabled)
+ [未啟用存取日誌的 Application Load Balancer 和 Classic Load Balancer](#elb-logging-enabled)
+ [CloudFormation 堆疊通知](#cloudformation-stack-notification)
+ [AWS CloudTrail S3 儲存貯體中物件的資料事件記錄](#cloudtrail-s3-dataevents-enabled)
+ [AWS CodeBuild 專案記錄](#codebuild-project-logging-enabled)
+ [AWS CodeDeploy 啟用自動轉返和監控](#codedeploy-auto-rollback-monitor-enabled)
+ [AWS CodeDeploy Lambda 正在使用all-at-once部署組態](#codedeploy-lambda-allatonce-traffic-shift-disabled)
+ [AWS Elastic Beanstalk 未設定增強型運作狀態報告](#elastic-beanstalk-enhanced-health-reporting-not-enabled)
+ [AWS Elastic Beanstalk 已停用受管平台更新](#elastic-beanstalk-managed-updates-enabled)
+ [AWS Fargate 平台版本不是最新的](#ecs-fargate-latest-platform-version)
+ [AWS Systems Manager 處於不合規狀態的狀態管理員關聯](#ec2-managedinstance-association-compliance-status-check)
+ [未使用 Amazon CloudWatch Logs 設定 CloudTrail 線索](#cloudtrail-cloudwatch-logs-enabled)
+ [未針對負載平衡器啟用 Elastic Load Balancing 刪除保護](#elb-deletion-protection-enabled)
+ [RDS 資料庫叢集刪除保護檢查](#rds-db-cluster-deletion-protection)
+ [RDS 資料庫執行個體自動微幅版本升級檢查](#rds-automatic-minor-version-upgrade-enabled)
## Amazon API Gateway 未記錄執行日誌
**Description**
檢查 Amazon API Gateway 是否已在所需的日誌記錄層級開啟了 CloudWatch Logs。
在 Amazon API Gateway 中為 REST API 方法或 WebSocket API 路由開啟 CloudWatch 日誌記錄功能,為您的 API 所收到的請求收集 CloudWatch Logs 中的執行日誌。執行日誌中包含的資訊有助於找出及疑難排解與 API 相關的問題。
您可以在 AWS Config 規則的 **loggingLevel** 參數中指定記錄層級 (ERROR、INFO) ID。
如需有關 Amazon API Gateway 中的 CloudWatch 記錄的更多資訊,請參閱 REST API 或 WebSocket API 文件。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz125`
**來源**
`AWS Config Managed Rule: api-gw-execution-logging-enabled`
**警示條件**
黃色:Amazon API Gateway 的所需日誌記錄層級未針對執行日誌集合啟用 CloudWatch 日誌記錄設定。
**建議的動作**
使用適當的日誌記錄層級 (ERROR, INFO),為您的 Amazon API Gateway [REST API](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) 或 [WebSocket API](https://docs.aws.amazon.com/apigateway/latest/developerguide/websocket-api-logging.html) 開啟執行日誌的 CloudWatch 日誌記錄功能。
如需詳細資訊,請參閱[建立流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log)。
**其他資源**
+ [在 API Gateway 中設定 REST API 的 CloudWatch 記錄功能](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html)
+ [設定 WebSocket API 的記錄功能](https://docs.aws.amazon.com/apigateway/latest/developerguide/websocket-api-logging.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用 X-Ray 追蹤的 Amazon API Gateway REST API
**Description**
檢查 Amazon API Gateway REST APIs是否已開啟 AWS X-Ray 追蹤。
開啟 REST API 的 X-Ray 追蹤功能,允許 API Gateway 使用追蹤資訊來取樣 API 調用請求。這可讓您利用 AWS X-Ray 來追蹤和分析透過 API Gateway REST APIs傳送到下游服務的請求。
如需詳細資訊,請參閱[使用 X-Ray 追蹤使用者的 REST API 請求](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-xray.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz126`
**來源**
`AWS Config Managed Rule: api-gw-xray-enabled`
**警示條件**
黃色:未開啟 API Gateway REST API 的 X-Ray 追蹤。
**建議的動作**
開啟 API Gateway REST API 的 X-Ray 追蹤。
如需詳細資訊,請參閱[AWS X-Ray 使用 API Gateway REST APIs設定](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-enabling-xray.html) 。
**其他資源**
+ [使用 X-Ray 追蹤使用者對 REST API 的請求](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-xray.html)
+ [什麼是 AWS X-Ray?](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已設定 Amazon CloudFront 存取日誌
**Description**
檢查 Amazon CloudFront 分佈是否設定為從 Amazon S3 伺服器存取日誌擷取資訊。Amazon S3 伺服器存取日誌包含有關 CloudFront 收到的每個使用者請求的詳細資訊。
您可以使用 AWS Config 規則中的 Amazon S3 **S3BucketName** 儲存貯體的名稱來存放伺服器存取日誌。
如需詳細資訊,請參閱[設定和使用標準日誌 (存取日誌)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz110`
**來源**
`AWS Config Managed Rule: cloudfront-accesslogs-enabled`
**警示條件**
黃色:未啟用 Amazon CloudFront 存取日誌記錄
**建議的動作**
請務必開啟 CloudFront 存取日誌記錄,以擷取有關 CloudFront 收到的每個使用者請求的詳細資訊。
您可以在建立或更新分佈時開啟標準日誌。
如需詳細資訊,請參閱[在建立或更新分佈時您指定的值](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html)。
**其他資源**
+ [您在建立或更新分佈時指定的值](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html)
+ [設定和使用標準日誌 (存取日誌)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已停用 Amazon CloudWatch 警示動作
**Description**
檢查您的 Amazon CloudWatch 警示動作是否處於停用狀態。
您可以使用 AWS CLI 來啟用或停用警示中的動作功能。或者,您可以使用 AWS SDK 以程式設計方式停用或啟用動作功能。警示動作功能關閉時,CloudWatch 不會在任何狀態下 (OK、INSUFFICIENT\$1DATA、ALARM) 執行任何已定義的動作。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz109`
**來源**
`AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check`
**警示條件**
黃色:未啟用 Amazon CloudWatch 警示動作。在任何警示狀態下均不會執行任何動作。
**建議的動作**
除非您有正當理由停用警示 (例如用於測試目的),否則請在 CloudWatch 警示中啟用動作。
如果不再需要 CloudWatch 警示,請將其刪除以避免產生不必要的成本。
如需詳細資訊,請參閱《 AWS CLI 命令參考》中的 [enable-alarm-actions](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/enable-alarm-actions.html) 和《適用於 Go 的 AWS SDK API 參考》中的 [func (\$1CloudWatch) EnableAlarmActions](https://docs.aws.amazon.com/sdk-for-go/api/service/cloudwatch/#CloudWatch.EnableAlarmActions)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 非 管理的 Amazon EC2 執行個體 AWS Systems Manager
**Description**
檢查您帳戶中的 Amazon EC2 執行個體是否由 管理 AWS Systems Manager。
Systems Manager 可協助您瞭解和控制 Amazon EC2 執行個體和 OS 組態的目前狀態。有了 Systems Manager,您可以收集有關執行個體機群的軟體組態和庫存資訊,包含安裝在執行個體上的軟體。這可讓您追蹤詳細的系統組態、OS 修補程式等級、應用程式組態,以及有關部署的其他詳細資訊。
如需詳細資訊,請參閱[設定 EC2 執行個體的 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz145`
**來源**
`AWS Config Managed Rule: ec2-instance-managed-by-systems-manager`
**警示條件**
黃色:Amazon EC2 執行個體不是由 Systems Manager 管理。
**建議的動作**
設定 Amazon EC2 執行個體,使其由 Systems Manager 所管理。
此檢查無法從 Trusted Advisor 主控台的檢視中排除。
如需詳細資訊,請參閱[為何我的 EC2 執行個體未顯示為受管節點,或在 Systems Manager 中顯示「連線中斷」狀態?](https://repost.aws/knowledge-center/systems-manager-ec2-instance-not-appear)。
**其他資源**
[設定 EC2 執行個體的 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已停用具有標籤不變性的 Amazon ECR 儲存庫
**Description**
檢查私有 Amazon ECR 儲存庫是否已開啟映像標籤不變性。
開啟私有 Amazon ECR 儲存庫的映像標籤不變性,以防止映像標籤遭覆寫。這可讓您依賴描述性標籤作為追蹤和唯一識別映像的可靠機制。例如,倘若開啟了映像標籤不變性,則使用者便能可靠地使用映像標籤,將已部署的映像版本與產生此類映像的建置版本建立關聯。
如需詳細資訊,請參閱[映像標籤可變性](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-tag-mutability.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz129`
**來源**
`AWS Config Managed Rule: ecr-private-tag-immutability-enabled`
**警示條件**
黃色:Amazon ECR 私有儲存庫未開啟標籤不變性。
**建議的動作**
開啟 Amazon ECR 私有儲存庫的映像標籤不變性。
如需詳細資訊,請參閱[映像標籤可變性](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-tag-mutability.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已停用具有 Container Insights 的 Amazon ECS 叢集
**Description**
檢查您的 Amazon ECS 叢集是否已開啟 Amazon CloudWatch Container Insights。
CloudWatch Container Insights 會從您的容器化應用程式和微型服務收集、彙總及總結指標和日誌。指標包含 CPU、記憶體、磁碟和網路這類資源的使用率。
如需詳細資訊,請參閱 [Amazon ECS CloudWatch Container Insights](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch-container-insights.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz173`
**來源**
`AWS Config Managed Rule: ecs-container-insights-enabled`
**警示條件**
黃色:Amazon ECS 叢集未啟用容器洞見。
**建議的動作**
開啟 Amazon ECS 叢集上的 CloudWatch Container Insights。
如需詳細資訊,請參閱[使用 Container Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContainerInsights.html)。
**其他資源**
[Amazon ECS CloudWatch Container Insights](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/cloudwatch-container-insights.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用 Amazon ECS 任務日誌記錄
**Description**
檢查日誌組態是否已在作用中的 Amazon ECS 任務定義上設定。
檢查 Amazon ECS 任務定義中的日誌組態可確保容器產生的日誌已正確設定和儲存。如此有助於更快找出問題並進行疑難排解、最佳化效能,以及遵守法規遵循要求。
在預設情況下,擷取的日誌會顯示您在本機執行容器時,通常會在互動式終端機中看見的命令輸出。此 awslog 驅動程式會將這些日誌從 Docker 傳遞至 Amazon CloudWatch Logs。
如需詳細資訊,請參閱[使用 awslogs 日誌驅動程式](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz175`
**來源**
`AWS Config Managed Rule: ecs-task-definition-log-configuration`
**警示條件**
黃色:Amazon ECS 任務定義沒有日誌記錄組態。
**建議的動作**
請考慮在容器定義中指定日誌驅動程式組態,以將日誌資訊傳送至 CloudWatch Logs 或其他日誌記錄驅動程式。
如需詳細資訊,請參閱 [LogConfiguration](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_LogConfiguration.html)。
**其他資源**
請考慮在容器定義中指定日誌驅動程式組態,以將日誌資訊傳送至 CloudWatch Logs 或其他日誌記錄驅動程式。
如需詳細資訊,請參閱[任務定義範例](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/example_task_definitions.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon OpenSearch Service 日誌記錄 CloudWatch 未設定
**Description**
檢查 Amazon OpenSearch Service 網域是否設定為將日誌傳送至 Amazon CloudWatch Logs。
監控日誌對於維護 OpenSearch Service 的可靠性、供應性和效能十分重要。
搜尋慢速日誌、索引慢速日誌和錯誤日誌對於疑難排解工作負載的效能和穩定性問題非常有用。必須啟用這些日誌才能擷取資料。
您可以使用 AWS Config 規則中的 **logTypes** 參數來指定要篩選的日誌類型 (錯誤、搜尋、索引)。
如需詳細資訊,請參閱[監控 Amazon OpenSearch Service 網域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/monitoring.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz184`
**來源**
`AWS Config Managed Rule: opensearch-logs-to-cloudwatch`
**警示條件**
黃色:Amazon OpenSearch Service 沒有使用 Amazon CloudWatch Logs 的日誌記錄組態
**建議的動作**
設定 OpenSearch Service 網域以將日誌發布至 CloudWatch Logs。
如需詳細資訊,請參閱[啟用日誌發布 (主控台)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console)。
**其他資源**
+ [使用 Amazon CloudWatch 監控 OpenSearch Service 叢集指標](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-cloudwatchmetrics.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 叢集中具有異質參數群組的 Amazon RDS 資料庫執行個體
**Description**
建議資料庫叢集中的所有資料庫執行個體都使用相同的資料庫參數群組。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt010`
**警示條件**
黃色:資料庫叢集具有具有異質參數群組的資料庫執行個體。
**建議的動作**
將資料庫執行個體與資料庫叢集中寫入器執行個體相關聯的資料庫參數群組建立關聯。
**其他資源**
當資料庫叢集中的資料庫執行個體使用不同的資料庫參數群組時,資料庫叢集中的資料庫執行個體之間可能會發生容錯移轉或相容性問題的不一致行為。
如需詳細資訊,請參閱[使用參數群組](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithParamGroups.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS 增強型監控已關閉
**Description**
您的資料庫資源未開啟增強型監控。增強型監控針對監控及疑難排解,提供即時的作業系統指標。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt004`
**警示條件**
黃色:Amazon RDS 資源未開啟增強型監控。
**建議的動作**
開啟增強型監控。
**其他資源**
Amazon RDS 的增強型監控可針對資料庫執行個體的運作狀態提供額外的可見性。建議您開啟增強型監控。當資料庫執行個體的增強型監控選項開啟時,它會收集重要的作業系統指標和程序資訊。
如需詳細資訊,請參閱[使用增強型監控來監控 OS 指標](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS Performance Insights 已關閉
**Description**
Amazon RDS Performance Insights 會監控資料庫執行個體負載,以協助您分析和解決資料庫效能問題。建議您開啟 Performance Insights。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt012`
**警示條件**
黃色:Amazon RDS 資源未開啟績效詳情。
**建議的動作**
開啟績效詳情。
**其他資源**
Performance Insights 使用輕量型資料收集方法,不會影響您應用程式的效能。Performance Insights 可協助您快速評估資料庫負載。
如需詳細資訊,請參閱[在 Amazon RDS 上使用 Performance Insights 監控資料庫負載](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PerfInsights.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 建議值
+ 引擎名稱
+ 上次更新時間
## Amazon RDS track\$1counts 參數已關閉
**Description**
當 **track\$1counts** 參數關閉時,資料庫不會收集資料庫活動統計資料。自動清空功能需要這些統計資料才能正常運作。
我們建議您將 **track\$1counts** 參數設定為 1
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt027`
**警示條件**
黃色:資料庫參數群組的 **track\$1counts** 參數已關閉。
**建議的動作**
將 **track\$1counts** 參數設定為 1
**其他資源**
當 **track\$1counts** 參數關閉時,會停用資料庫活動統計資料的收集。自動清空協助程式需要收集的統計資料,才能識別自動清空和自動分析的資料表。
如需詳細資訊,請參閱 [ PostgreSQL 文件網站上的 PostgreSQL 執行期統計資料](https://www.postgresql.org/docs/current/runtime-config-statistics.html#GUC-TRACK-COUNTS)。 PostgreSQL
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ 參數值
+ 建議值
+ 上次更新時間
## Amazon Redshift 叢集稽核日誌記錄
**Description**
檢查您的 Amazon Redshift 叢集是否已開啟資料庫稽核日誌記錄。Amazon Redshift 會記錄您資料庫中連線和使用者活動的相關資訊。
您可以在 AWS Config 規則的 **bucketNames** 參數中指定要比對的所需記錄 Amazon S3 儲存貯體名稱。
如需詳細資訊,請參閱[資料庫稽核日誌記錄](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz134`
**來源**
`AWS Config Managed Rule: redshift-audit-logging-enabled`
**警示條件**
黃色:Amazon Redshift 叢集已停用資料庫稽核日誌記錄
**建議的動作**
開啟 Amazon Redshift 叢集的日誌記錄和監控功能。
如需詳細資訊,請參閱[使用主控台來設定稽核](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html)。
**其他資源**
[在 Amazon Redshift 中記錄和監控](https://docs.aws.amazon.com/redshift/latest/mgmt/security-incident-response.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 已啟用 Amazon S3 存取日誌
**Description**
檢查 Amazon Simple Storage Service 儲存貯體的記錄組態。
啟用伺服器存取記錄會將詳細的每小時存取日誌傳送至指定的 Amazon S3 儲存貯體。存取日誌包含請求詳細資訊,包括類型、指定的資源和處理時間/日期。記錄預設為關閉。客戶應啟用存取記錄,以執行安全稽核或分析使用者行為和使用模式。
記錄最初啟動時,會自動驗證組態。不過未來的修改可能會導致記錄失敗。請注意,目前此檢查不會檢查 Amazon S3 儲存貯體寫入許可。
**檢查 ID**
`c1fd6b96l4`
**警示條件**
+ 黃色:儲存貯體未啟用伺服器存取記錄。
+ 黃色:目標儲存貯體許可不包含根帳戶,因此 Trusted Advisor 無法檢查它。
+ 紅色:目標儲存貯體不存在。
+ 紅色:目標儲存貯體和來源儲存貯體擁有者不同。
+ 綠色:儲存貯體已啟用伺服器存取記錄、目標存在,以及寫入目標的許可存在
**建議的動作**
啟用所有相關 Amazon S3 儲存貯體的伺服器存取記錄。伺服器存取日誌提供稽核線索,可用來了解儲存貯體存取模式並調查可疑活動。在所有適用儲存貯體上啟用記錄功能,可改善 Amazon S3 環境中存取事件的可見性。請參閱[使用主控台啟用記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)和[以程式設計方式啟用記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。
如果目標儲存貯體許可不包含根帳戶,且您想要 Trusted Advisor 來檢查記錄狀態,請將根帳戶新增為承授者。請參閱[編輯儲存貯體許可](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-iam.html)。
如果目標儲存貯體不存在,請選取現有儲存貯體作為目標儲存貯體,或建立新儲存貯體然後加以選取。請參閱[管理儲存貯體記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)。
如果目標和來源儲存貯體的擁有者不同,請將目標儲存貯體變更為與來源儲存貯體有相同擁有者的儲存貯體。請參閱[管理儲存貯體記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)。
**其他資源**
[使用儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html)
[Server access logging (伺服器存取記錄日誌)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)
[伺服器存取日誌格式](https://docs.aws.amazon.com/AmazonS3/latest/userguide/LogFormat.html)
[刪除日誌檔案](https://docs.aws.amazon.com/AmazonS3/latest/userguide/deleting-log-files-lifecycle.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源 ARN
+ 儲存貯體名稱
+ 目標名稱
+ 目標已存在
+ 相同擁有者
+ 已啟用寫入
+ Reason
+ 上次更新時間
## Amazon S3 未啟用事件通知
**Description**
檢查 Amazon S3 事件通知是否已啟用或正確設定為所需的一或多個目的地類型。
Amazon S3 事件通知功能可在 S3 儲存貯體中發生特定事件時傳送通知。Amazon S3 可以將通知訊息傳送至 Amazon SQS 佇列、Amazon SNS 主題和 AWS Lambda 函數。
您可以使用 AWS Config 規則的 **destinationArn** 和 **eventTypes** 參數來指定所需的目的地和事件類型。
如需詳細資訊,請參閱 [Amazon S3 事件通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventNotifications.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz163`
**來源**
`AWS Config Managed Rule: s3-event-notifications-enabled`
**警示條件**
黃色:Amazon S3 未啟用事件通知,或未設定所需的目的地或類型。
**建議的動作**
設定物件和儲存貯體事件的 Amazon S3 事件通知。
如需詳細資訊,請參閱[使用 Amazon S3 主控台啟用和設定事件通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-event-notifications.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon SNS 主題未記錄訊息傳遞狀態
**Description**
檢查 Amazon SNS 主題是否已開啟訊息傳遞狀態日誌記錄。
設定 Amazon SNS 主題來記錄訊息傳遞狀態,以協助提供更好的操作洞察。例如,訊息傳遞日誌記錄會驗證訊息是否已傳遞至特定 Amazon SNS 端點。此外,它還有助於識別從端點傳送的回應。
如需詳細資訊,請參閱 [Amazon SNS 訊息傳遞狀態](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz121`
**來源**
`AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled`
**警示條件**
黃色:Amazon SNS 主題未開啟訊息傳遞狀態日誌記錄。
**建議的動作**
開啟 SNS 主題的訊息傳遞狀態日誌記錄。
如需詳細資訊,請參閱[使用 AWS 管理主控台設定傳遞狀態日誌記錄](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html#topics-attrib)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Amazon VPC (不含流程日誌)
**Description**
檢查系統是否已為 VPC 建立 Amazon Virtual Private Cloud Flow Logs。
您可以使用 AWS Config 規則中的 **trafficType** 參數來指定流量類型。
如需詳細資訊,請參閱[使用 VPC 流量日誌記錄 IP 流量](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz122`
**來源**
`AWS Config Managed Rule: vpc-flow-logs-enabled`
**警示條件**
黃色:VPC 沒有 Amazon VPC 流程日誌。
**建議的動作**
為每個 VPC 建立 VPC 流程日誌。
如需詳細資訊,請參閱[建立流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未啟用存取日誌的 Application Load Balancer 和 Classic Load Balancer
**Description**
檢查 Application Load Balancer 和 Classic Load Balancer 是否已啟用存取日誌。
Elastic Load Balancing 提供存取日誌,可針對傳送到負載平衡器的請求,擷取其詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。您可以使用這些存取日誌來分析流量模式和排除問題。
存取日誌是 Elastic Load Balancing 的選用功能,預設為停用。對負載平衡器啟動存取日誌之後,Elastic Load Balancing 會擷取日誌並存放在您指定的 Amazon S3 儲存貯體中。
您可以在 AWS Config 規則中使用 s3BucketNames 參數來指定要檢查的存取日誌 Amazon S3 儲存貯體。 **s3BucketNames**
如需詳細資訊,請參閱 [Application Load Balancer 的存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html)或 [Classic Load Balancer 的存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz167`
**來源**
`AWS Config Managed Rule: elb-logging-enabled`
**警示條件**
黃色:Application Load Balancer 或 Classic Load Balancer 未啟用存取日誌功能。
**建議的動作**
啟用 Application Load Balancer 和 Classic Load Balancer 的存取日誌。
如需詳細資訊,請參閱[啟用 Application Load Balancer 的存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html)或[啟用 Classic Load Balancer 的存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-access-logs.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## CloudFormation 堆疊通知
**Description**
檢查您的所有 CloudFormation 堆疊是否使用 Amazon SNS 在事件發生時接收通知。
您可以將此檢查設定為使用 AWS Config 規則中的參數來尋找特定的 Amazon SNS 主題 ARNs。
如需詳細資訊,請參閱[設定 CloudFormation堆疊選項](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz111`
**來源**
`AWS Config Managed Rule: cloudformation-stack-notification-check`
**警示條件**
黃色: CloudFormation 堆疊的 Amazon SNS 事件通知未開啟。
**建議的動作**
請確定您的 CloudFormation 堆疊使用 Amazon SNS 在事件發生時接收通知。
監控堆疊事件可協助您快速回應可能改變您 AWS 環境的未經授權動作。
**其他資源**
[當我的 AWS CloudFormation 堆疊進入 ROLLBACK\$1IN\$1PROGRESS 狀態時,我會如何收到電子郵件警示?](https://repost.aws/knowledge-center/cloudformation-rollback-email)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CloudTrail S3 儲存貯體中物件的資料事件記錄
**Description**
檢查至少一個 AWS CloudTrail 線索是否記錄所有 Amazon S3 儲存貯體的 Amazon S3 資料事件。
如需詳細資訊,請參閱[使用 AWS CloudTrail記錄 Amazon S3 API 呼叫](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz166`
**來源**
`AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled`
**警示條件**
未設定 Amazon S3 儲存貯體的黃色事件 AWS CloudTrail 記錄
**建議的動作**
為 Amazon S3 儲存貯體和物件啟用 CloudTrail 事件日誌記錄,以追蹤目標儲存貯體存取權的請求。
如需詳細資訊,請參閱[啟用 S3 儲存貯體和物件的 CloudTrail 事件日誌記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CodeBuild 專案記錄
**Description**
檢查 AWS CodeBuild 專案環境是否使用記錄。日誌記錄選項可以是 Amazon CloudWatch Logs 中的日誌,或指定的 Amazon S3 儲存貯體內建日誌,或兩者皆是。在 CodeBuild 專案中啟用日誌記錄可提供數項好處,例如偵錯和稽核。
您可以使用 AWS Config 規則中的 s3BucketNames 或 CloudWatch 參數,指定用於存放日誌的 Amazon S3 儲存貯體或 CloudWatch Logs 群組名稱。 **s3BucketNames** **cloudWatchGroupNames**
如需詳細資訊,請參閱 [ 監控 AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/monitoring-builds.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz113`
**來源**
`AWS Config Managed Rule: codebuild-project-logging-enabled`
**警示條件**
未啟用黃色: AWS CodeBuild 專案記錄。
**建議的動作**
請確定您的 AWS CodeBuild 專案中已開啟記錄。此檢查無法從 AWS Trusted Advisor 主控台的檢視中排除。
如需詳細資訊,請參閱在 [中記錄和監控 AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/logging-monitoring.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CodeDeploy 啟用自動轉返和監控
**Description**
檢查部署群組是否設定了自動部署復原和附加了警示的部署監視。如果部署期間出現問題,系統會自動回復,而您的應用程式則會保持在穩定狀態
如需詳細資訊,請參閱[使用 CodeDeploy 重新部署和復原部署](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployments-rollback-and-redeploy.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz114`
**來源**
`AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled`
**警示條件**
黃色: AWS CodeDeploy 自動部署復原和部署監控未啟用。
**建議的動作**
設定部署群組,或設定部署在部署失敗或到達您指定的監控閾值時自動轉返。
設定警示以在部署程序期間監控各種指標,例如 CPU 使用率、記憶體用量或網路流量。如果這些指標有任何一個超過特定臨界值,就會觸發警示,且部署會停止或回復。
如需為部署群組設定自動回復和設定警示的相關資訊,請參閱[設定部署群組的進階選項](https://docs.aws.amazon.com/codedeploy/latest/userguide/deployment-groups-configure-advanced-options.html)。
**其他資源**
[什麼是 CodeDeploy?](https://docs.aws.amazon.com/codedeploy/latest/userguide/welcome.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CodeDeploy Lambda 正在使用all-at-once部署組態
**Description**
檢查 AWS Lambda 運算平台的 AWS CodeDeploy 部署群組是否使用all-at-once部署組態。
為了降低 CodeDeploy 中 Lambda 函數部署失敗的風險,最佳實務是使用初期測試或線性部署組態而非預設選項,其中所有流量都會立即從原始 Lambda 函數轉移到更新的函數。
如需詳細資訊,請參閱 [Lambda 函數版本](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html)和[部署組態](https://docs.aws.amazon.com/codedeploy/latest/userguide/primary-components.html#primary-components-deployment-configuration)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz115`
**來源**
`AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled`
**警示條件**
黃色: AWS CodeDeploy Lambda 部署使用all-at-once部署組態,將所有流量一次轉移到更新的 Lambda 函數。
**建議的動作**
針對 Lambda 運算平台使用 CodeDeploy 部署群組的初期測試或線性部署組態。
**其他資源**
[Deployment configuration (部署組態)](https://docs.aws.amazon.com/codedeploy/latest/userguide/primary-components.html#primary-components-deployment-configuration)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Elastic Beanstalk 未設定增強型運作狀態報告
**Description**
檢查 AWS Elastic Beanstalk 環境是否已設定用於增強型運作狀態報告。
Elastic Beanstalk 增強型運作狀態報告提供詳細的效能指標,例如 CPU 使用率、記憶體使用率、網路流量和基礎結構運作狀態資訊,例如執行個體數量和負載平衡器狀態。
如需詳細資訊,請參閱[增強型運作狀態報告與監控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz108`
**來源**
`AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled`
**警示條件**
黃色:Elastic Beanstalk 環境未針對增強型運作狀態報告設定
**建議的動作**
請確定 Elastic Beanstalk 環境已針對增強型運作狀態報告設定。
如需詳細資訊,請參閱[使用 Elastic Beanstalk 主控台啟用增強型運作狀態報告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console)。
**其他資源**
+ [啟用 Elastic Beanstalk 增強型運作狀態報告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html)
+ [增強型運作狀態報告與監控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Elastic Beanstalk 已停用受管平台更新
**Description**
檢查是否已啟用 Elastic Beanstalk 環境和組態範本中的受管平台更新。
AWS Elastic Beanstalk 會定期發行平台更新,以提供修正、軟體更新和新功能。有了受管平台更新,Elastic Beanstalk 可以針對新的修補程式和微幅平台版本自動執行平台更新。
您可以在 AWS Config 規則的 **UpdateLevel** 參數中指定所需的更新層級。
如需詳細資訊,請參閱[更新 Elastic Beanstalk 環境的平台版本](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.platform.upgrade.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz177`
**來源**
`AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled`
**警示條件**
完全未設定黃色: AWS Elastic Beanstalk 受管平台更新,包括次要或修補程式層級。
**建議的動作**
在您的 Elastic Beanstalk 環境中啟用受管平台更新,或在微幅或更新層級予以設定。
如需詳細資訊,請參閱[受管平台更新](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html)。
**其他資源**
+ [啟用 Elastic Beanstalk 增強型運作狀態報告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html)
+ [增強型運作狀態報告與監控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Fargate 平台版本不是最新的
**Description**
檢查 Amazon ECS 是否正在執行最新的 AWS Fargate之平台版本。Fargate 平台版本表示 Fargate 任務基礎結構的特定執行期環境。此為核心與容器執行期版本的結合。全新平台版本會隨著執行期環境的演進而發布。例如,是否有核心或作業系統更新、全新功能、錯誤修正或安全性更新。
如需詳細資訊,請參閱 [Fargate 任務維護](https://docs.aws.amazon.com/AmazonECS/latest/userguide/task-maintenance.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz174`
**來源**
`AWS Config Managed Rule: ecs-fargate-latest-platform-version`
**警示條件**
黃色:Amazon ECS 並未於最新版本的 Fargate 平台上執行。
**建議的動作**
更新至最新版 Fargate 平台版本。
如需詳細資訊,請參閱 [Fargate 任務維護](https://docs.aws.amazon.com/AmazonECS/latest/userguide/task-maintenance.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS Systems Manager 處於不合規狀態的狀態管理員關聯
**Description**
在執行個體上執行 AWS Systems Manager 關聯之後,檢查關聯合規的狀態是 COMPLIANT 還是 NON\$1COMPLIANT。
State Manager 是一種安全且可擴展的組態管理服務 AWS Systems Manager,可將受管節點和其他 AWS 資源維持在您定義的狀態的程序自動化。狀態管理員關聯是您指派給 AWS 資源的組態。組態會定義您要在資源上維護的狀態,因此可協助您達成目標,例如避免 Amazon EC2 執行個體之間的組態漂移。
如需詳細資訊,請參閱 [AWS Systems Manager 狀態管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz147`
**來源**
`AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check`
**警示條件**
黃色: AWS Systems Manager 關聯合規的狀態為 NON\$1COMPLIANT。
**建議的動作**
驗證「狀態管理員」關聯的狀態,然後採取任何必要的行動讓狀態返回 COMPLIANT。
如需詳細資訊,請參閱[關於狀態管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-about.html)。
**其他資源**
[AWS Systems Manager State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未使用 Amazon CloudWatch Logs 設定 CloudTrail 線索
**Description**
檢查 AWS CloudTrail 線索是否設定為將日誌傳送至 CloudWatch Logs。
使用 CloudWatch Logs 監控 CloudTrail 日誌檔案,以便在重大事件於 AWS CloudTrail中擷取時觸發自動回應。
如需詳細資訊,請參閱[使用 CloudWatch Logs 監控 CloudTrail 日誌檔](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz164`
**來源**
`AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled`
**警示條件**
黃色: AWS CloudTrail 未設定 CloudWatch Logs 整合。
**建議的動作**
設定 CloudTrail 線索將日誌事件傳送至 CloudWatch Logs。
如需詳細資訊,請參閱[建立 CloudTrail 事件的 CloudWatch 警示:範例](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## 未針對負載平衡器啟用 Elastic Load Balancing 刪除保護
**Description**
檢查負載平衡器是否已開啟刪除保護。
Elastic Load Balancing 支援 Application Load Balancer、Network Load Balancer 和 Gateway Load Balancer 的刪除保護。啟用刪除保護以避免您的負載平衡器遭意外刪除。當您建立負載平衡器時,預設會關閉刪除保護。如果您的負載平衡器是生產環境的一部分,請考慮啟用刪除保護。
存取日誌是 Elastic Load Balancing 的選用功能,預設為停用。對負載平衡器啟動存取日誌之後,Elastic Load Balancing 會擷取日誌並存放在您指定的 Amazon S3 儲存貯體中。
如需詳細資訊,請參閱 [Application Load Balancer 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection)、[Network Load Balancer 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection),或 [Gateway Load Balancers 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz168`
**來源**
`AWS Config Managed Rule: elb-deletion-protection-enabled`
**警示條件**
黃色:未啟用負載平衡器的刪除保護。
**建議的動作**
開啟 Application Load Balancer、Network Load Balancer 和 Gateway Load Balancer 的刪除保護。
如需詳細資訊,請參閱 [Application Load Balancer 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection)、[Network Load Balancer 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection),或 [Gateway Load Balancers 刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## RDS 資料庫叢集刪除保護檢查
**Description**
檢查 Amazon RDS 資料庫叢集是否已啟用刪除保護。
當叢集設定了刪除保護時,任何使用者皆無法刪除資料庫。
刪除保護適用於所有 AWS 區域中的 Amazon Aurora 和 RDS for MySQL、RDS for MariaDB、RDS for Oracle、RDS for PostgreSQL 和 RDS for SQL Server 資料庫執行個體。
如需詳細資訊,請參閱 [Aurora 叢集的刪除保護](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DeleteCluster.html#USER_DeletionProtection)。
**檢查 ID**
`c18d2gz160`
**來源**
`AWS Config Managed Rule: rds-cluster-deletion-protection-enabled`
**警示條件**
黃色:您有未啟用刪除保護的 Amazon RDS 資料庫叢集。
**建議的動作**
在您建立 Amazon RDS 資料庫叢集時開啟刪除保護。
您可以僅刪除未啟用刪除保護的叢集。啟用刪除保護功能可增加額外的保護層,並避免因意外或非意外刪除資料庫執行個體而導致資料遺失。刪除保護還有助於滿足法規遵循要求,確保業務連續性。
如需詳細資訊,請參閱 [Aurora 叢集的刪除保護](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DeleteCluster.html#USER_DeletionProtection)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**其他資源**
[Aurora 叢集的刪除保護](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_DeleteCluster.html#USER_DeletionProtection)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## RDS 資料庫執行個體自動微幅版本升級檢查
**Description**
檢查 Amazon RDS 資料庫執行個體是否已設定自動微幅版本升級。
為 Amazon RDS 執行個體開啟自動微幅版本升級,以確保資料庫始終執行最新的安全且穩定的版本。微幅升級提供安全性更新、錯誤修正、效能改善,並維持與現有應用程式的相容性。
如需詳細資訊,請參閱[升級資料庫執行個體引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html#USER_UpgradeDBInstance.Upgrading.AutoMinorVersionUpgrades.)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz155`
**來源**
`AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled`
**警示條件**
黃色:RDS 資料庫執行個體未開啟自動微幅版本升級。
**建議的動作**
在建立 Amazon RDS 資料庫執行個體時,開啟自動微幅版本升級。
當您開啟微幅版本升級時,若資料庫版本執行的資料庫引擎微幅版本低於[手動升級引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html#USER_UpgradeDBInstance.Upgrading.AutoMinorVersionUpgrades),則資料庫版本會自動升級。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間