Operative Exzellenz

Prüft, ob bei Amazon API Gateway CloudWatch Logs auf der gewünschten Protokollierungsebene aktiviert sind.

Aktivieren Sie die CloudWatch Protokollierung für REST API Methoden oder WebSocket API Routen in Amazon API Gateway, um CloudWatch Ausführungsprotokolle für Anfragen zu sammeln, die von Ihnen empfangen wurdenAPIs. Die in den Ausführungsprotokollen enthaltenen Informationen helfen bei der Identifizierung und Behebung von Problemen im Zusammenhang mit IhremAPI.

Sie können die ID der Protokollierungsebene (ERROR,INFO) im loggingLevelParameter in den AWS Config Regeln angeben.

Weitere Informationen zur CloudWatch Anmeldung bei Amazon API Gateway finden Sie in der WebSocket API Dokumentation REST API oder.

c18d2gz125

AWS Config Managed Rule: api-gw-execution-logging-enabled

Gelb: Die CloudWatch Protokollierungseinstellung für die Erfassung von Ausführungsprotokollen ist auf der gewünschten Protokollierungsebene für ein Amazon API Gateway nicht aktiviert.

Aktivieren Sie die CloudWatch Protokollierung für Ausführungsprotokolle für Ihr Amazon API Gateway RESTAPIsoder WebSocket APIsmit der entsprechenden Protokollierungsebene (ERROR,INFO).

Weitere Informationen finden Sie unter Erstellen eines Flow-Protokolls.

Prüft, ob Amazon API Gateway REST APIs AWS X-Ray Tracing aktiviert hat.

Aktivieren Sie das X-Ray-Tracing RESTAPIs, damit API Gateway Aufrufanforderungen mit API Ablaufverfolgungsinformationen abfragen kann. Auf diese Weise können Sie Anfragen verfolgen und analysieren AWS X-Ray , während sie über Ihr API Gateway REST APIs zu den nachgelagerten Diensten gelangen.

Weitere Informationen finden Sie unter Benutzeranfragen bis zur REST APIs Verwendung von X-Ray verfolgen.

c18d2gz126

AWS Config Managed Rule: api-gw-xray-enabled

Gelb: Die Röntgenverfolgung ist für ein API Gateway REST API nicht aktiviert.

Schalten Sie X-Ray Tracing für Ihr API Gateway REST APIs ein.

Weitere Informationen finden Sie unter Einrichtung AWS X-Ray mit API Gateway REST APIs.

Prüft, ob CloudFront Amazon-Distributionen so konfiguriert sind, dass sie Informationen aus Amazon S3-Serverzugriffsprotokollen erfassen. Die Amazon S3 S3-Serverzugriffsprotokolle enthalten detaillierte Informationen zu jeder eingehenden CloudFront Benutzeranfrage.

Sie können den Namen des Amazon S3 S3-Buckets zum Speichern von Serverzugriffsprotokollen mithilfe des BucketNameS3-Parameters in Ihren AWS Config Regeln anpassen.

Weitere Informationen finden Sie unter Konfigurieren und Verwenden von Standardprotokollen (Zugriffsprotokollen).

c18d2gz110

AWS Config Managed Rule: cloudfront-accesslogs-enabled

Gelb: Die CloudFront Amazon-Zugriffsprotokollierung ist nicht aktiviert

Stellen Sie sicher, dass Sie die CloudFront Zugriffsprotokollierung aktivieren, um detaillierte Informationen zu jeder eingehenden Benutzeranfrage zu CloudFront erfassen.

Sie können Standardprotokolle aktivieren, wenn Sie eine Verteilung erstellen oder aktualisieren.

Weitere Informationen finden Sie unter Werte, die Sie beim Erstellen oder Aktualisieren einer Verteilung angeben.

Überprüft, ob Ihre CloudWatch Amazon-Alarmaktion deaktiviert ist.

Sie können AWS CLI die Aktionsfunktion in Ihrem Alarm aktivieren oder deaktivieren. Sie können die Aktionsfunktion auch programmgesteuert deaktivieren oder aktivieren, indem Sie den AWS SDK verwenden. Wenn die Alarmaktionsfunktion ausgeschaltet ist, CloudWatch führt sie in keinem Status (OK, INSUFFICIENT _DATA,ALARM) eine definierte Aktion aus.

c18d2gz109

AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check

Gelb: Die CloudWatch Amazon-Alarmaktion ist nicht aktiviert. In keinem Alarmzustand wird eine Aktion ausgeführt.

Aktivieren Sie Aktionen in Ihren CloudWatch Alarmen, es sei denn, Sie haben einen triftigen Grund, sie zu deaktivieren, z. B. zu Testzwecken.

Wenn der CloudWatch Alarm nicht mehr benötigt wird, löschen Sie ihn, um unnötige Kosten zu vermeiden.

Weitere Informationen finden Sie enable-alarm-actionsin der AWS CLI Befehlsreferenz und unter func (*CloudWatch) EnableAlarmActions in der AWS SDK for Go-Referenz. API

Überprüft, ob die EC2 Amazon-Instances in Ihrem Konto von verwaltet werden AWS Systems Manager.

Systems Manager hilft Ihnen dabei, den aktuellen Status Ihrer EC2 Amazon-Instance und Betriebssystemkonfigurationen zu verstehen und zu kontrollieren. Mit Systems Manager können Sie Softwarekonfigurations- und Bestandsinformationen zu Ihrer Flotte von Instances, einschließlich der darauf installierten Software, erfassen. Auf diese Weise können Sie detaillierte Informationen zu Systemkonfigurationen, Betriebssystem-Patch-Levels, Anwendungskonfigurationen und andere Details zu Ihrer Bereitstellung verfolgen.

Weitere Informationen finden Sie unter Systems Manager für EC2 Instanzen einrichten.

c18d2gz145

AWS Config Managed Rule: ec2-instance-managed-by-systems-manager

Gelb: Die EC2 Amazon-Instances werden nicht von Systems Manager verwaltet.

Konfigurieren Sie Ihre EC2 Amazon-Instance so, dass sie von Systems Manager verwaltet wird.

Diese Prüfung kann nicht aus der Ansicht in der Trusted Advisor Konsole ausgeschlossen werden.

Weitere Informationen finden Sie unter Warum wird meine EC2 Instanz im Systems Manager nicht als verwalteter Knoten angezeigt oder zeigt sie nicht den Status „Verbindung verloren“ an? .

Systems Manager für EC2 Instanzen einrichten

Prüft, ob in einem privaten ECR Amazon-Repository die Unveränderlichkeit von Image-Tags aktiviert ist.

Aktivieren Sie die Unveränderlichkeit von Image-Tags für ein privates ECR Amazon-Repository, um zu verhindern, dass Bild-Tags überschrieben werden. So können Sie beschreibende Tags als zuverlässigen Mechanismus zur Nachverfolgung und eindeutigen Identifizierung von Images nutzen. Wenn beispielsweise die Unveränderlichkeit von Image-Tags aktiviert ist, können Benutzer ein Image-Tag zuverlässig verwenden, um eine bereitgestellte Image-Version mit dem Build zu korrelieren, der das Image erzeugt hat.

Weitere Informationen finden Sie unter Veränderlichkeit der Image-Tags.

c18d2gz129

AWS Config Managed Rule: ecr-private-tag-immutability-enabled

Gelb: In einem ECR privaten Amazon-Repository ist die Tag-Unveränderlichkeit nicht aktiviert.

Aktivieren Sie die Unveränderlichkeit von Image-Tags für Ihre ECR privaten Amazon-Repositorys.

Weitere Informationen finden Sie unter Veränderlichkeit der Image-Tags.

Prüft, ob Amazon CloudWatch Container Insights für Ihre ECS Amazon-Cluster aktiviert ist.

CloudWatch Container Insights sammelt, aggregiert und fasst Metriken und Protokolle aus Ihren containerisierten Anwendungen und Microservices zusammen. Die Metriken umfassen die Auslastung von Ressourcen wie ArbeitsspeicherCPU, Festplatte und Netzwerk.

Weitere Informationen finden Sie unter Amazon ECS CloudWatch Container Insights.

c18d2gz173

AWS Config Managed Rule: ecs-container-insights-enabled

Gelb: Für den ECS Amazon-Cluster sind Container-Insights nicht aktiviert.

Aktivieren Sie CloudWatch Container Insights auf Ihren ECS Amazon-Clustern.

Weitere Informationen finden Sie unter Verwenden von Container Insights.

Einblicke in Amazon ECS CloudWatch Container

Prüft, ob die Protokollkonfiguration für aktive ECS Amazon-Aufgabendefinitionen festgelegt ist.

Durch die Überprüfung der Protokollkonfiguration in Ihren ECS Amazon-Aufgabendefinitionen stellen Sie sicher, dass die von Containern generierten Protokolle ordnungsgemäß konfiguriert und gespeichert sind. Dies hilft Ihnen dabei, Probleme schneller zu identifizieren und zu beheben, die Leistung zu optimieren und Compliance-Anforderungen zu erfüllen.

Standardmäßig zeigen die erfassten Protokolle die Befehlsausgabe an, die Sie normalerweise in einem interaktiven Terminal sehen, wenn Sie den Container lokal ausführen. Der awslogs-Treiber leitet diese Protokolle von Docker an Amazon Logs weiter. CloudWatch

Weitere Informationen finden Sie unter Verwenden des awslogs-Protokolltreibers.

c18d2gz175

AWS Config Managed Rule: ecs-task-definition-log-configuration

Gelb: Die ECS Amazon-Aufgabendefinition hat keine Protokollierungskonfiguration.

Erwägen Sie, die Konfiguration des Protokolltreibers in der Container-Definition anzugeben, um Protokollinformationen an CloudWatch Logs oder einen anderen Protokollierungstreiber zu senden.

Weitere Informationen finden Sie unter LogConfiguration.

Erwägen Sie, die Protokolltreiberkonfiguration in der Container-Definition anzugeben, um Protokollinformationen an CloudWatch Logs oder einen anderen Protokollierungstreiber zu senden.

Weitere Informationen finden Sie unter Beispiel für Aufgabendefinitionen.

Prüft, ob Amazon OpenSearch Service-Domains so konfiguriert sind, dass sie Protokolle an Amazon CloudWatch Logs senden.

Die Überwachung von Protokollen ist entscheidend für die Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung des OpenSearch Service.

Protokolle für langsame Suchen, Protokolle für langsame Indizierung und Fehlerprotokolle sind für die Problembehandlung bei Leistungs- und Stabilitätsproblemen Ihrer Workload nützlich. Diese Protokolle müssen aktiviert sein, um Daten zu erfassen.

Sie können mithilfe des logTypesParameters in Ihren AWS Config Regeln angeben, welche Protokolltypen Sie filtern möchten (Fehler, Suche, Index).

Weitere Informationen finden Sie unter Amazon OpenSearch Service-Domains überwachen.

c18d2gz184

AWS Config Managed Rule: opensearch-logs-to-cloudwatch

Gelb: Amazon OpenSearch Service hat keine Protokollierungskonfiguration mit Amazon CloudWatch Logs

Konfigurieren Sie OpenSearch Service-Domains so, dass sie CloudWatch Protokolle in Logs veröffentlichen.

Weitere Informationen finden Sie unter Aktivieren der Veröffentlichung von Protokollen (Konsole).

Wir empfehlen, dass alle DB-Instances im DB-Cluster dieselbe DB-Parametergruppe verwenden.

c1qf5bt010

Gelb: DB-Cluster haben DB-Instances mit heterogenen Parametergruppen.

Ordnen Sie die DB-Instance der DB-Parametergruppe zu, die der Writer-Instance in Ihrem DB-Cluster zugeordnet ist.

Wenn die DB-Instances in Ihrem DB-Cluster unterschiedliche DB-Parametergruppen verwenden, kann es während eines Failovers zu einem inkonsistenten Verhalten oder zu Kompatibilitätsproblemen zwischen den DB-Instances in Ihrem DB-Cluster kommen.

Weitere Informationen finden Sie unter Arbeiten mit Parametergruppen.

Für Ihre Datenbankressourcen ist Enhanced Monitoring nicht aktiviert. Erweiterte Überwachung bietet Echtzeit-Betriebssystemmetriken für die Überwachung und Fehlerbehebung.

c1qf5bt004

Gelb: Amazon RDS Amazon-Ressourcen ist Enhanced Monitoring nicht aktiviert.

Aktivieren Sie die erweiterte Überwachung.

Enhanced Monitoring for Amazon RDS bietet zusätzlichen Einblick in den Zustand Ihrer DB-Instances. Wir empfehlen, Enhanced Monitoring zu aktivieren. Wenn die Option Enhanced Monitoring für Ihre DB-Instance aktiviert ist, sammelt sie wichtige Betriebssystemmetriken und Prozessinformationen.

Weitere Informationen finden Sie unter Überwachen von Betriebssystem-Metriken mithilfe von „Erweitere Überwachung“.

Amazon RDS Performance Insights überwacht die Auslastung Ihrer DB-Instance, um Sie bei der Analyse und Lösung von Datenbankleistungsproblemen zu unterstützen. Wir empfehlen, Performance Insights zu aktivieren.

c1qf5bt012

Gelb: Amazon RDS Amazon-Ressourcen ist Performance Insights nicht aktiviert.

Aktivieren Sie Performance Insights.

Performance Insights verwendet eine einfache Datenerfassungsmethode, die die Leistung Ihrer Anwendungen nicht beeinträchtigt. Performance Insights hilft Ihnen dabei, die Datenbanklast schnell einzuschätzen.

Weitere Informationen finden Sie unter Überwachen der DB-Auslastung mit Performance Insights bei Amazon RDS.

Wenn der Parameter track_counts ausgeschaltet ist, sammelt die Datenbank keine Statistiken zur Datenbankaktivität. Autovacuum erfordert, dass diese Statistiken korrekt funktionieren.

Wir empfehlen, den Parameter track_counts auf 1 zu setzen

c1qf5bt027

Gelb: Bei DB-Parametergruppen ist der Parameter track_counts ausgeschaltet.

Setzen Sie den Parameter track_counts auf 1

Wenn der Parameter track_counts ausgeschaltet ist, wird die Erfassung von Statistiken zur Datenbankaktivität deaktiviert. Der Autovacuum-Daemon benötigt die gesammelten Statistiken, um die Tabellen für Autovacuum und Autoanalyze zu identifizieren.

Weitere Informationen finden Sie unter Runtime Statistics for Postgre auf der SQL Postgre-Dokumentationswebsite. SQL

Überprüft, ob in Ihren Amazon-Redshift-Clustern die Datenbank-Auditprotokollierung aktiviert ist. Amazon-Redshift-Protokolle stellen Informationen zu Verbindungen und Benutzeraktivitäten in Ihrer Datenbank bereit.

Sie können Ihren gewünschten Amazon S3 S3-Bucket-Namen für die Protokollierung im bucketNamesParameter Ihrer AWS Config Regeln angeben.

Weitere Informationen finden Sie unter Datenbank-Auditprotokollierung.

c18d2gz134

AWS Config Managed Rule: redshift-audit-logging-enabled

Gelb: Bei einem Amazon-Redshift-Cluster ist die Datenbank-Auditprotokollierung deaktiviert

Aktivieren Sie die Protokollierung und Überwachung für Ihre Amazon-Redshift-Cluster.

Weitere Informationen finden Sie unter Konfigurieren von Prüfungen über die Konsole.

Protokollierung und Überwachung in Amazon Redshift

Überprüft die Protokollierungskonfiguration von Amazon Simple Storage Service-Buckets.

Durch die Aktivierung der Serverzugriffsprotokollierung werden stündlich detaillierte Zugriffsprotokolle für einen bestimmten Amazon S3 S3-Bucket bereitgestellt. Zugriffsprotokolle enthalten Anforderungsdetails wie Typ, angegebene Ressourcen und Bearbeitungszeit/Datum. Die Protokollierung ist standardmäßig deaktiviert. Kunden sollten die Zugriffsprotokollierung aktivieren, um Sicherheitsaudits durchzuführen oder Benutzerverhalten und Nutzungsmuster zu analysieren.

Wenn die Protokollierung anfänglich aktiviert ist, wird die Konfiguration automatisch validiert. Zukünftige Änderungen können jedoch zu Protokollierungsfehlern führen. Beachten Sie, dass bei dieser Prüfung derzeit die Schreibberechtigungen für Amazon S3 S3-Buckets nicht untersucht werden.

c1fd6b96l4

Aktivieren Sie die Serverzugriffsprotokollierung für alle relevanten Amazon S3 S3-Buckets. Serverzugriffsprotokolle bieten einen Prüfpfad, anhand dessen Sie die Zugriffsmuster auf Buckets nachvollziehen und verdächtige Aktivitäten untersuchen können. Wenn Sie die Protokollierung für alle zutreffenden Buckets aktivieren, wird der Überblick über Zugriffsereignisse in Ihrer Amazon S3 S3-Umgebung verbessert. Weitere Informationen finden Sie unter Aktivieren der Protokollierung mithilfe der Konsole und Aktivieren der programmgesteuerten Protokollierung.

Wenn die Berechtigungen des Ziel-Buckets das Root-Konto nicht umfassen und Trusted Advisor den Protokollierungsstatus überprüfen soll, fügen Sie das Root-Konto als Empfänger hinzu. Weitere Informationen finden Sie unter Editing Bucket Permissions (Bearbeiten von Bucket-Berechtigungen).

Wenn der Ziel-Bucket nicht existiert, wählen Sie einen vorhandenen Bucket als Ziel aus oder erstellen Sie einen neuen und wählen Sie ihn aus. Weitere Informationen finden Sie unter Managing Bucket Logging (Verwalten der Bucket-Protokollierung).

Wenn das Ziel und die Quelle unterschiedliche Eigentümer haben, ändern Sie den Ziel-Bucket in einen Bucket mit demselben Eigentümer wie der Quell-Bucket. Weitere Informationen finden Sie unter Managing Bucket Logging (Verwalten der Bucket-Protokollierung).

Mit Buckets arbeiten

Server access logging (Server-Zugriffsprotokollierung)

Format des Serverzugriffsprotokolls

Löschen von Protokolldateien

Überprüft, ob Amazon-S3-Ereignisbenachrichtigungen aktiviert oder mit den gewünschten Zielen oder Typen korrekt konfiguriert sind.

Die Amazon-S3-Funktion für Ereignisbenachrichtigungen sendet Benachrichtigungen, wenn bestimmte Ereignisse in Ihren Amazon-S3-Buckets eintreten. Amazon S3 kann Benachrichtigungen an SQS Amazon-Warteschlangen, SNS Amazon-Themen und AWS Lambda Funktionen senden.

Sie können das gewünschte Ziel und die gewünschten Ereignistypen mithilfe der eventTypesParameter destinationArnund Ihrer AWS Config Regeln angeben.

Weitere Informationen finden Sie unter Amazon-S3-Ereignisbenachrichtigungen.

c18d2gz163

AWS Config Managed Rule: s3-event-notifications-enabled

Gelb: Bei Amazon S3 sind keine Ereignisbenachrichtigungen aktiviert oder nicht mit dem gewünschten Ziel oder den gewünschten Typen konfiguriert.

Konfigurieren Sie Amazon-S3-Ereignisbenachrichtigungen für Objekt- und Bucket-Ereignisse.

Weitere Informationen finden Sie unter Aktivieren und Konfigurieren von Ereignis-Benachrichtigungen mit der Amazon-S3-Konsole.

Prüft, ob Amazon SNS Amazon-Themen die Protokollierung des Nachrichtenzustellungsstatus aktiviert ist.

Konfigurieren Sie SNS Amazon-Themen für die Protokollierung des Nachrichtenzustellungsstatus, um bessere betriebliche Einblicke zu erhalten. Beispielsweise überprüft die Protokollierung der Nachrichtenzustellung, ob eine Nachricht an einen bestimmten SNS Amazon-Endpunkt zugestellt wurde. Und es hilft auch bei der Ermittlung der Antwort, die vom Endpunkt gesendet wurde.

Weitere Informationen finden Sie unter Status der SNS Amazon-Nachrichtenzustellung.

c18d2gz121

AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled

Gelb: Die Protokollierung des Nachrichtenzustellungsstatus ist für ein SNS Amazon-Thema nicht aktiviert.

Aktivieren Sie die Protokollierung des Nachrichtenzustellungsstatus für Ihre SNS Themen.

Weitere Informationen finden Sie unter Konfiguration der Zustellungsstatusprotokollierung mit der AWS Management Console.

Prüft, ob Amazon Virtual Private Cloud Flow Logs für a erstellt wurdenVPC.

Sie können den Datenverkehrstyp mithilfe des trafficTypeParameters in Ihren AWS Config Regeln angeben.

Weitere Informationen finden Sie unter IP-Verkehr mithilfe von VPC Flow Logs protokollieren.

c18d2gz122

AWS Config Managed Rule: vpc-flow-logs-enabled

Gelb: VPCs Ich habe keine Amazon VPC Flow Logs.

Erstellen Sie VPC Flow Logs für jedes IhrerVPCs.

Weitere Informationen finden Sie unter Erstellen eines Flow-Protokolls.

Prüft, ob für Application Load Balancer und Classic Load Balancer die Zugriffsprotokollierung aktiviert ist.

Elastic Load Balancing bietet Zugriffsprotokolle, die detaillierte Informationen zu Anforderungen erfassen, die an Ihren Load Balancer gesendet werden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten. Sie können diese Zugriffsprotokolle für die Analyse von Datenverkehrsmustern und zur Problembehebung verwenden.

Zugriffsprotokolle sind ein optionales Feature von Elastic Load Balancing, das standardmäßig deaktiviert ist. Nachdem Sie die Zugriffsprotokolle für Ihren Load Balancer aktiviert haben, erfasst Elastic Load Balancing die Protokolle und speichert sie in dem von Ihnen angegebenen Amazon-S3-Bucket.

Sie können den Amazon S3 S3-Bucket für das Zugriffsprotokoll, den Sie überprüfen möchten, mithilfe des BucketNamess3-Parameters in Ihren AWS Config Regeln angeben.

Weitere Informationen finden Sie unter Zugriffsprotokolle für Ihre Application Load Balancer oder Zugriffsprotokolle für Ihre Classic Load Balancer.

c18d2gz167

AWS Config Managed Rule: elb-logging-enabled

Gelb: Die Funktion für Zugriffsprotokolle ist für einen Application Load Balancer oder einen Classic Load Balancer nicht aktiviert.

Aktivieren Sie die Zugriffsprotokolle für Ihre Application Load Balancer und Classic Load Balancer.

Weitere Informationen finden Sie unter Aktivieren der Zugriffsprotokolle für Ihren Application Load Balancer oder Aktivieren der Zugriffsprotokolle für Ihren Classic Load Balancer.

Überprüft, ob all Ihre AWS CloudFormation Stacks Amazon verwenden, um Benachrichtigungen SNS zu erhalten, wenn ein Ereignis eintritt.

Sie können diese Prüfung so konfigurieren, dass sie ARNs mithilfe von Parametern in Ihren AWS Config Regeln nach einem bestimmten SNS Amazon-Thema sucht.

Weitere Informationen finden Sie unter AWS CloudFormation Stack-Optionen einrichten.

c18d2gz111

AWS Config Managed Rule: cloudformation-stack-notification-check

Gelb: SNS Amazon-Event-Benachrichtigungen für Ihre AWS CloudFormation Stacks sind nicht aktiviert.

Stellen Sie sicher, dass Ihre AWS CloudFormation Stacks Amazon verwendenSNS, um Benachrichtigungen zu erhalten, wenn ein Ereignis eintritt.

Durch die Überwachung von Stack-Ereignissen können Sie schnell auf unbefugte Aktionen reagieren, die Ihre AWS Umgebung verändern könnten.

Wie kann ich eine E-Mail-Benachrichtigung erhalten, wenn mein AWS CloudFormation Stack den Status ROLLBACK _IN_ annimmtPROGRESS?

Prüft, ob mindestens ein AWS CloudTrail Trail Amazon S3 S3-Datenereignisse für all Ihre Amazon S3 S3-Buckets protokolliert.

Weitere Informationen finden Sie unter Protokollieren von Amazon S3 API S3-Aufrufen mit AWS CloudTrail.

c18d2gz166

AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled

Gelb: Die AWS CloudTrail Ereignisprotokollierung für Amazon S3 S3-Buckets ist nicht konfiguriert

Aktivieren Sie die CloudTrail Ereignisprotokollierung für Amazon S3 S3-Buckets und -Objekte, um Anfragen für den Zugriff auf Ziel-Buckets zu verfolgen.

Weitere Informationen finden Sie unter Aktivieren der CloudTrail Ereignisprotokollierung für S3-Buckets und -Objekte.

Prüft, ob die AWS CodeBuild Projektumgebung die Protokollierung verwendet. Bei den Protokollierungsoptionen kann es sich um CloudWatch Protokolle in Amazon Logs oder um in einem bestimmten Amazon S3 S3-Bucket integrierte Protokolle oder beides handeln. Die Aktivierung der Protokollierung in einem CodeBuild Projekt kann mehrere Vorteile bieten, z. B. Debugging und Auditing.

Sie können den Namen des Amazon S3 S3-Buckets oder der CloudWatch Logs-Gruppe zum Speichern der Protokolle angeben, indem Sie den Parameter s3 BucketNames oder cloudWatchGroupNames in Ihren AWS Config Regeln verwenden.

Weitere Informationen finden Sie unter -Überwachung AWS CodeBuild.

c18d2gz113

AWS Config Managed Rule: codebuild-project-logging-enabled

Gelb: Die AWS CodeBuild Projektprotokollierung ist nicht aktiviert.

Stellen Sie sicher, dass die Protokollierung in Ihrem AWS CodeBuild Projekt aktiviert ist. Diese Prüfung kann nicht aus der Ansicht in der AWS Trusted Advisor Konsole ausgeschlossen werden.

Weitere Informationen finden Sie unter Anmelden und Überwachen AWS CodeBuild.

Überprüft, ob die Bereitstellungsgruppe mit automatischem Rollback und automatischer Überwachung der Bereitstellung mit angehängten Alarmen konfiguriert ist. Wenn während einer Bereitstellung etwas schief geht, wird sie automatisch zurückgesetzt und Ihre Anwendung bleibt in einem stabilen Zustand.

Weitere Informationen finden Sie unter Erneute Bereitstellung und Rollback einer Bereitstellung mit. CodeDeploy

c18d2gz114

AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled

Gelb: AWS CodeDeploy Automatisches Rollback und Bereitstellungsüberwachung sind nicht aktiviert.

Konfigurieren Sie eine Bereitstellungsgruppe oder Bereitstellung so, dass sie automatisch zurückgesetzt wird, wenn eine Bereitstellung fehlschlägt oder ein definierter Überwachungsschwellenwert erreicht wird.

Konfigurieren Sie den Alarm so, dass während des Bereitstellungsprozesses verschiedene Messwerte wie CPU Nutzung, Speicherverbrauch oder Netzwerkverkehr überwacht werden. Wenn eine dieser Metriken bestimmte Schwellenwerte überschreitet, werden die Alarme ausgelöst und die Bereitstellung wird gestoppt oder rückgängig gemacht.

Informationen zur Einrichtung automatischer Rollbacks und zur Konfiguration von Alarmen für Ihre Bereitstellungsgruppen finden Sie unter Konfigurieren von erweiterten Optionen für eine Bereitstellungsgruppe.

Was ist CodeDeploy?

Überprüft, ob die AWS CodeDeploy Bereitstellungsgruppe für die AWS Lambda Rechenplattform die all-at-once Bereitstellungskonfiguration verwendet.

Um das Risiko von Bereitstellungsfehlern Ihrer Lambda-Funktionen in zu verringern CodeDeploy, empfiehlt es sich, die kanarische oder lineare Bereitstellungskonfiguration anstelle der Standardoption zu verwenden, bei der der gesamte Datenverkehr von der ursprünglichen Lambda-Funktion auf die aktualisierte Funktion übertragen wird.

Weitere Informationen finden Sie unter Lambda-Funktionsversionen und Bereitstellungskonfiguration.

c18d2gz115

AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled

Gelb: Die AWS CodeDeploy Lambda-Bereitstellung verwendet die all-at-once Bereitstellungskonfiguration, um den gesamten Datenverkehr gleichzeitig auf die aktualisierten Lambda-Funktionen umzuleiten.

Verwenden Sie die kanarische oder lineare Bereitstellungskonfiguration der CodeDeploy Bereitstellungsgruppe für die Lambda-Rechenplattform.

Bereitstellungskonfiguration

Überprüft, ob eine AWS Elastic Beanstalk Umgebung für erweiterte Statusberichte konfiguriert ist.

Die erweiterten Integritätsberichte von Elastic Beanstalk bieten detaillierte Leistungskennzahlen wie CPU Nutzung, Speichernutzung, Netzwerkverkehr und Informationen zum Zustand der Infrastruktur, wie Anzahl der Instances und Load Balancer-Status.

Weitere Informationen finden Sie unter Erweiterte Zustandsberichte und -überwachung.

c18d2gz108

AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled

Gelb: Die Elastic-Beanstalk-Umgebung ist nicht für erweiterte Zustandsberichte konfiguriert

Stellen Sie sicher, dass eine Elastic-Beanstalk-Umgebung für erweiterte Zustandsberichte konfiguriert ist.

Weitere Informationen finden Sie unter Aktivieren der erweiterten Zustandsberichte mit der Elastic-Beanstalk-Konsole.

Prüft, ob verwaltete Plattformupdates in Elastic-Beanstalk-Umgebungen und Konfigurationsvorlagen aktiviert sind.

AWS Elastic Beanstalk veröffentlicht regelmäßig Plattform-Updates, um Korrekturen, Softwareupdates und neue Funktionen bereitzustellen. Mit verwalteten Plattformupdates kann Elastic Beanstalk automatisch Plattformupdates für neue Patch- und Unterversionen der Plattform durchführen.

Sie können die gewünschte Aktualisierungsstufe in den UpdateLevelParametern Ihrer AWS Config Regeln angeben.

Weitere Informationen finden Sie unter Aktualisieren der Plattformversion Ihrer Elastic-Beanstalk-Umgebung.

c18d2gz177

AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled

Gelb: AWS Elastic Beanstalk Verwaltete Plattform-Updates sind überhaupt nicht konfiguriert, auch nicht auf untergeordneter Ebene oder auf Patch-Ebene.

Aktivieren Sie verwaltete Plattformupdates in Ihren Elastic-Beanstalk-Umgebungen oder konfigurieren Sie sie auf Unterversions- oder Update-Ebene.

Weitere Informationen finden Sie unter Verwaltete Plattformupdates.

Prüft, ECS ob Amazon die neueste Plattformversion von ausführt AWS Fargate. Die Fargate-Plattformversion verweist auf eine bestimmte Laufzeitumgebung für die Fargate-Aufgabeninfrastruktur. Es handelt sich um eine Kombination aus der Kernel-Version und den Container-Laufzeitversionen. Neue Plattformversionen werden veröffentlicht, wenn sich die Laufzeitumgebung weiterentwickelt, weil es beispielsweise Kernel- oder Betriebssystem-Updates, neue Funktionen, Bugfixes oder Sicherheitsupdates gibt.

Weitere Informationen finden Sie unter Fargate-Aufgabenwartung.

c18d2gz174

AWS Config Managed Rule: ecs-fargate-latest-platform-version

Gelb: Amazon ECS läuft nicht auf der neuesten Version der Fargate-Plattform.

Aktualisieren Sie auf die neueste Fargate-Plattformversion.

Weitere Informationen finden Sie unter Fargate-Aufgabenwartung.

Überprüft, ob der Status der AWS Systems Manager Assoziation COMPLIANT nach der Ausführung der Zuordnung auf der Instanz COMPLIANT oder NON _ lautet.

State Manager, eine Funktion von AWS Systems Manager, ist ein sicherer und skalierbarer Konfigurationsmanagement-Service, der den Prozess automatisiert, Ihre verwalteten Knoten und andere AWS Ressourcen in einem von Ihnen definierten Zustand zu halten. Eine State Manager-Zuordnung ist eine Konfiguration, die Sie Ihren AWS Ressourcen zuweisen. Die Konfiguration definiert den Status, den Sie auf Ihren Ressourcen beibehalten möchten, sodass Sie das Ziel erreichen können, z. B. um Konfigurationsabweichungen zwischen Ihren EC2 Amazon-Instances zu vermeiden.

Weitere Informationen finden Sie unter AWS Systems Manager State Manager.

c18d2gz147

AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check

Gelb: Der Status der Konformität der AWS Systems Manager Assoziation ist NON _COMPLIANT.

Überprüfen Sie den Status der State Manager-Zuordnungen und ergreifen Sie dann alle erforderlichen Maßnahmen, um den Status wieder herzustellenCOMPLIANT.

Weitere Informationen finden Sie unter Info zu State Manager.

AWS Systems Manager State Manager

Prüft, ob AWS CloudTrail Trails so konfiguriert sind, dass sie CloudWatch Protokolle an Logs senden.

Überwachen CloudTrail Sie Protokolldateien mit CloudWatch Protokollen, um eine automatische Reaktion auszulösen, wenn kritische Ereignisse erfasst werden AWS CloudTrail.

Weitere Informationen finden Sie unter CloudTrail Protokolldateien mit CloudWatch Protokollen überwachen.

c18d2gz164

AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled

Gelb: AWS CloudTrail ist nicht mit der CloudWatch Logs-Integration eingerichtet.

Konfigurieren Sie CloudTrail Trails, um Protokollereignisse an CloudWatch Logs zu senden.

Weitere Informationen finden Sie unter CloudWatch Alarme für CloudTrail Ereignisse erstellen: Beispiele.

Überprüft, ob der Löschschutz für Ihre Load Balancer aktiviert ist.

Elastic Load Balancing unterstützt den Löschschutz für Ihre Application Load Balancer, Network Load Balancer und Gateway Load Balancer. Aktivieren Sie den Löschschutz, um zu verhindern, dass der Load Balancer versehentlich gelöscht wird. Wenn Sie einen Load Balancer erstellen, ist der Löschschutz standardmäßig deaktiviert. Wenn Ihre Load Balancer Teil einer Produktionsumgebung sind, sollten Sie in Erwägung ziehen, den Löschschutz zu aktivieren.

Zugriffsprotokolle sind ein optionales Feature von Elastic Load Balancing, das standardmäßig deaktiviert ist. Nachdem Sie die Zugriffsprotokolle für Ihren Load Balancer aktiviert haben, erfasst Elastic Load Balancing die Protokolle und speichert sie in dem von Ihnen angegebenen Amazon-S3-Bucket.

Weitere Informationen finden Sie unter Application-Load-Balancer-Löschschutz, Network-Load-Balancer-Löschschutz oder Gateway-Load-Balancer-Löschschutz.

c18d2gz168

AWS Config Managed Rule: elb-deletion-protection-enabled

Gelb: Löschschutz ist für einen Load Balancer nicht aktiviert.

Aktivieren Sie den Löschschutz für Application Load Balancer, Network Load Balancer und Gateway Load Balancer.

Weitere Informationen finden Sie unter Application-Load-Balancer-Löschschutz, Network-Load-Balancer-Löschschutz oder Gateway-Load-Balancer-Löschschutz.

Überprüft, ob in Ihren RDS Amazon-DB-Clustern der Löschschutz aktiviert ist.

Wenn Sie für einen DB-Cluster den Löschschutz aktivieren, kann die Datenbank von keinem Benutzer gelöscht werden.

Löschschutz ist für Amazon Aurora und MySQL, RDS für MariaDB, RDS für Oracle, RDS für Postgre SQL und RDS RDS für SQL Server-Datenbank-Instances in allen Regionen verfügbar. AWS

Weitere Informationen finden Sie unter Löschschutz für Aurora-DB-Cluster.

c18d2gz160

AWS Config Managed Rule: rds-cluster-deletion-protection-enabled

Gelb: Sie haben RDS Amazon-DB-Cluster, für die kein Löschschutz aktiviert ist.

Aktivieren Sie den Löschschutz, wenn Sie einen RDS Amazon-DB-Cluster erstellen.

Sie können nur Cluster löschen, für die der Löschschutz nicht aktiviert ist. Durch das Aktivieren des Löschschutzes wird eine zusätzliche Schutzebene hinzugefügt und Datenverlust durch versehentliches oder unbeabsichtigtes Löschen einer Datenbank-Instance vermieden. Der Löschschutz trägt auch dazu bei, gesetzliche Anforderungen zu erfüllen und die Geschäftskontinuität zu gewährleisten.

Weitere Informationen finden Sie unter Löschschutz für Aurora-DB-Cluster.

Löschschutz für Aurora-DB-Cluster

Prüft, ob für RDS Amazon-DB-Instances automatische Upgrades für kleinere Versionen konfiguriert sind.

Aktivieren Sie automatische Upgrades für Nebenversionen für eine RDS Amazon-Instance, um sicherzustellen, dass in der Datenbank immer die neueste sichere und stabile Version ausgeführt wird. Upgrades von Unterversionen bieten Sicherheitsupdates, Bugfixes und Leistungsverbesserungen und gewährleisten die Kompatibilität mit bestehenden Anwendungen.

Weitere Informationen finden Sie unter Upgrade der Engine-Version für eine DB-Instance.

c18d2gz155

AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled

Gelb: Für die RDS DB-Instance sind keine automatischen Upgrades für Nebenversionen aktiviert.

Aktivieren Sie automatische Upgrades für kleinere Versionen, wenn Sie eine RDS Amazon-DB-Instance erstellen.

Wenn Sie automatische Upgrades von Unterversionen aktivieren, wird die Datenbankversion automatisch aktualisiert, wenn sie eine Unterversion der DB-Engine ausführt, die eine niedrigere Versionsnummer hat als in Manuelles Upgraden der Engine-Version.