Excelencia operativa

Comprueba si Amazon API Gateway tiene CloudWatch los registros activados en el nivel de registro deseado.

Active el CloudWatch registro de REST API métodos o WebSocket API rutas en Amazon API Gateway para recopilar los registros de ejecución en CloudWatch los registros de las solicitudes que recibaAPIs. La información contenida en los registros de ejecución ayuda a identificar y solucionar problemas relacionados con su API ejecución.

Puede especificar el ID del nivel de registro (ERROR,INFO) en el loggingLevelparámetro de las AWS Config reglas.

Consulte nuestra WebSocket API documentación para obtener más información sobre cómo CloudWatch iniciar sesión en Amazon API Gateway. REST API

c18d2gz125

AWS Config Managed Rule: api-gw-execution-logging-enabled

Amarillo: la configuración de CloudWatch registro para la recopilación de registros de ejecución no está habilitada en el nivel de registro deseado para Amazon API Gateway.

Active el CloudWatch registro de los registros de ejecución de su Amazon API Gateway RESTAPIso WebSocket APIscon el nivel de registro adecuado (ERROR,INFO).

Para obtener más información, consulte Creación de un registro de flujo

Comprueba si Amazon API Gateway REST APIs tiene activado AWS X-Ray el rastreo.

Active el rastreo de X-Ray REST APIs para permitir que API Gateway API muestree las solicitudes de invocación con información de rastreo. Esto le permite aprovechar para rastrear y analizar las solicitudes AWS X-Ray a medida que viajan a través de su API Gateway REST APIs hacia los servicios posteriores.

Para obtener más información, consulte Rastrear las solicitudes de los usuarios para REST APIs usar X-Ray.

c18d2gz126

AWS Config Managed Rule: api-gw-xray-enabled

Amarillo: el rastreo de rayos X no está activado en un API Gateway RESTAPI.

Activa el rastreo de rayos X en tu API Gateway RESTAPIs.

Para obtener más información, consulte Configuración AWS X-Ray con API Gateway REST APIs.

Comprueba si CloudFront las distribuciones de Amazon están configuradas para capturar información de los registros de acceso al servidor Amazon S3. Los registros de acceso al servidor Amazon S3 contienen información detallada sobre cada solicitud de usuario que CloudFront recibe.

Puede ajustar el nombre del bucket de Amazon S3 para almacenar los registros de acceso al servidor mediante el BucketName parámetro S3 de sus AWS Config reglas.

Para obtener más información, consulte Configuración y uso de registros estándar (registros de acceso).

c18d2gz110

AWS Config Managed Rule: cloudfront-accesslogs-enabled

Amarillo: el registro de CloudFront acceso a Amazon no está activado

Asegúrese de activar el registro de CloudFront acceso para recopilar información detallada sobre cada solicitud de usuario que CloudFront reciba.

Puede habilitar los registros estándar cuando crea o actualiza una distribución.

Para obtener más información, consulte Valores que especifica cuando crea o actualiza una distribución.

Comprueba si la acción CloudWatch de alarma de Amazon está desactivada.

Puedes utilizarla AWS CLI para activar o desactivar la función de acción de tu alarma. O bien, puede deshabilitar o habilitar la función de acción mediante programación mediante el AWS SDK. Cuando la función de acción de alarma está desactivada, CloudWatch no realiza ninguna acción definida en ningún estado (OK, INSUFFICIENT _DATA,ALARM).

c18d2gz109

AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check

Amarillo: la acción de CloudWatch alarma de Amazon no está habilitada. No se lleva a cabo ninguna acción en ningún estado de alarma.

Activa las acciones en tus CloudWatch alarmas a menos que tengas un motivo válido para desactivarlas, por ejemplo, con fines de prueba.

Si la CloudWatch alarma ya no es necesaria, elimínela para evitar incurrir en costes innecesarios.

Para obtener más información, consulte enable-alarm-actionsen la Referencia de AWS CLI comandos y func (*CloudWatch) EnableAlarmActions en la Referencia de AWS SDK for GoAPI.

Comprueba si las EC2 instancias de Amazon de tu cuenta están gestionadas por AWS Systems Manager.

Systems Manager le ayuda a comprender y controlar el estado actual de su EC2 instancia de Amazon y de las configuraciones del sistema operativo. Con Systems Manager, puede recopilar información de configuración e inventario del software sobre su flota de instancias, incluido el software instalado en ellas. Esto permite realizar un seguimiento detallado de la configuración del sistema, los niveles de parches del sistema operativo, las configuraciones de las aplicaciones y otros detalles sobre su implementación.

Para obtener más información, consulte Configuración de Systems Manager para EC2 instancias.

c18d2gz145

AWS Config Managed Rule: ec2-instance-managed-by-systems-manager

Amarillo: Systems Manager no administra las EC2 instancias de Amazon.

Configure su EC2 instancia de Amazon para que la gestione Systems Manager.

Esta comprobación no se puede excluir de la vista de la Trusted Advisor consola.

Para obtener más información, consulte ¿Por qué mi EC2 instancia no se muestra como nodo gestionado o muestra el estado «Conexión perdida» en Systems Manager? .

Configuración de Systems Manager para EC2 instancias

Comprueba si un ECR repositorio privado de Amazon tiene activada la inmutabilidad de las etiquetas de imagen.

Activa la inmutabilidad de las etiquetas de imagen en un ECR repositorio privado de Amazon para evitar que se sobrescriban las etiquetas de imagen. Esto permite confiar en las etiquetas descriptivas como un mecanismo fiable para rastrear e identificar las imágenes de forma única. Por ejemplo, si la inmutabilidad de las etiquetas de imagen está activada, los usuarios pueden utilizar una etiqueta de imagen de forma fiable para correlacionar una versión de la imagen implementada con la versión que produjo dicha imagen.

Para obtener más información, consulte Mutabilidad de etiquetas de imagen.

c18d2gz129

AWS Config Managed Rule: ecr-private-tag-immutability-enabled

Amarillo: un repositorio ECR privado de Amazon no tiene activada la inmutabilidad de etiquetas.

Activa la inmutabilidad de las etiquetas de imagen en tus repositorios ECR privados de Amazon.

Para obtener más información, consulte Mutabilidad de etiquetas de imagen.

Comprueba si Amazon CloudWatch Container Insights está activado en tus ECS clústeres de Amazon.

CloudWatch Container Insights recopila, agrega y resume las métricas y los registros de sus aplicaciones y microservicios en contenedores. Las métricas incluyen la utilización de recursos como la memoriaCPU, el disco y la red.

Para obtener más información, consulte Amazon ECS CloudWatch Container Insights.

c18d2gz173

AWS Config Managed Rule: ecs-container-insights-enabled

Amarillo: el ECS clúster de Amazon no tiene habilitada la información sobre contenedores.

Activa CloudWatch Container Insights en tus ECS clústeres de Amazon.

Para obtener más información, consulte Uso de la Información de contenedores.

Información sobre ECS CloudWatch contenedores de Amazon

Comprueba si la configuración de registro está establecida en las definiciones de ECS tareas de Amazon activas.

Al comprobar la configuración de los registros en las definiciones de ECS tareas de Amazon, te aseguras de que los registros generados por los contenedores estén correctamente configurados y almacenados. Esto ayuda a identificar y solucionar los problemas con mayor rapidez, a optimizar el rendimiento y a cumplir los requisitos de conformidad.

De forma predeterminada, los registros que se capturan muestran la salida del comando que aparecería normalmente en un terminal interactivo si el contenedor se ejecutara localmente. El controlador awslogs pasa estos registros de Docker a Amazon Logs. CloudWatch

Para obtener más información, consulte Uso del controlador de registros awslogs.

c18d2gz175

AWS Config Managed Rule: ecs-task-definition-log-configuration

Amarillo: la definición de ECS tareas de Amazon no tiene una configuración de registro.

Considere la posibilidad de especificar la configuración del controlador de registro en la definición del contenedor para enviar la información de registro a CloudWatch Logs o a un controlador de registro diferente.

Para obtener más información, consulte LogConfiguration.

Considere la posibilidad de especificar la configuración del controlador de registro en la definición del contenedor para enviar la información de registro a CloudWatch Logs o a un controlador de registro diferente.

Para obtener más información, consulte Ejemplificación de definiciones de tareas.

Comprueba si los dominios OpenSearch de Amazon Service están configurados para enviar registros a Amazon CloudWatch Logs.

La supervisión de los registros es fundamental para mantener la fiabilidad, la disponibilidad y el rendimiento del OpenSearch Servicio.

Los registros lentos de búsqueda, los registros lentos de índice y los registros de errores son útiles para la solución de problemas de rendimiento y estabilidad de la carga de trabajo. Estos registros deben estar habilitados para capturar datos.

Puede especificar los tipos de registro que desea filtrar (error, búsqueda, índice) mediante el logTypesparámetro de sus AWS Config reglas.

Para obtener más información, consulta Supervisión de los dominios OpenSearch de Amazon Service.

c18d2gz184

AWS Config Managed Rule: opensearch-logs-to-cloudwatch

Amarillo: Amazon OpenSearch Service no tiene una configuración de registro con Amazon CloudWatch Logs

Configure los dominios de OpenSearch servicio para publicar CloudWatch registros en Logs.

Para obtener más información, consulte Habilitación de la publicación de registros (consola).

Recomendamos que todas las instancias de base de datos del clúster de base de datos utilicen el mismo grupo de parámetros de base de datos.

c1qf5bt010

Amarillo: los clústeres de bases de datos contienen las instancias de base de datos con grupos de parámetros heterogéneos.

Asocie la instancia de base de datos con el grupo de parámetros de base de datos asociado a la instancia de escritura de su clúster de base de datos.

Cuando las instancias de base de datos de su clúster de base de datos utilizan diferentes grupos de parámetros de base de datos, puede producirse un comportamiento incoherente durante una conmutación por error o problemas de compatibilidad entre las instancias de base de datos de su clúster de base de datos.

Para obtener más información, consulte Trabajo con los grupos de parámetros.

Los recursos de la base de datos no tienen activada la monitorización mejorada. El monitoreo mejorado proporciona métricas del sistema operativo en tiempo real para el monitoreo y la solución de problemas.

c1qf5bt004

Amarillo: RDS los recursos de Amazon no tienen activada la monitorización mejorada.

Active la monitorización mejorada

La supervisión mejorada para Amazon RDS proporciona una visibilidad adicional del estado de sus instancias de base de datos. Le recomendamos que active la supervisión mejorada. Cuando la opción de supervisión mejorada está activada para su instancia de base de datos, recopila las métricas fundamentales del sistema operativo y la información del proceso.

Para obtener más información sobre la supervisión mejorada de Amazon RDS, consulte Supervisión de las métricas del SO con la supervisión mejorada.

Amazon RDS Performance Insights monitorea la carga de sus instancias de base de datos para ayudarle a analizar y resolver los problemas de rendimiento de las bases de datos. Le recomendamos que active Información de rendimiento.

c1qf5bt012

Amarillo: RDS los recursos de Amazon no tienen Performance Insights activado.

Activar Información de rendimiento.

Performance Insights utiliza un método de recopilación de datos ligero que no afecta al rendimiento de las aplicaciones. Performance Insights le ayuda a evaluar rápidamente la carga de la base de datos.

Para obtener más información, consulte Supervisión de la carga de bases de datos con Performance Insights en Amazon RDS.

Cuando el parámetro track_counts está desactivado, la base de datos no recopila las estadísticas de actividad de la base de datos. Autovacuum necesita estas estadísticas para funcionar correctamente.

Se recomienda establecer el parámetro track_counts en 1

c1qf5bt027

Amarillo: los grupos de parámetros de base de datos tienen el parámetro track_counts desactivado.

Establezca el parámetro track_counts en 1

Cuando el parámetro track_counts está desactivado, se deshabilita la recopilación de estadísticas de actividad de la base de datos. El daemon del autovacuum requiere las estadísticas recopiladas para identificar las tablas de autovacuum y autoanalyze.

Para obtener más información, consulte Estadísticas en tiempo de ejecución de Postgre en el sitio web de documentación de Postgre SQL. SQL

Comprueba si los clústeres de Amazon Redshift tienen habilitado el registro de auditoría de bases de datos. Amazon Redshift registra información acerca de las conexiones y las actividades del usuario en la base de datos.

Puede especificar el nombre del bucket de Amazon S3 de registro que desee para que coincida con el bucketNamesparámetro de sus AWS Config reglas.

Para obtener más información, consulte Registro de auditoría de la base de datos.

c18d2gz134

AWS Config Managed Rule: redshift-audit-logging-enabled

Amarillo: un clúster de Amazon Redshift tiene deshabilitado el registro de auditoría de bases de datos

Habilite el registro y el monitoreo de los clústeres de Amazon Redshift.

Para obtener más información, consulte Configuración de la auditoría mediante la consola.

Registro y monitoreo en Amazon Redshift

Comprueba la configuración de registro de los depósitos de Amazon Simple Storage Service.

La activación del registro de acceso al servidor proporciona registros de acceso detallados por hora a un bucket de Amazon S3 específico. Los registros de acceso contienen detalles de la solicitud, incluidos el tipo, los recursos especificados y la fecha y hora de procesamiento. El registro está desactivado de forma predeterminada. Los clientes deben activar el registro de acceso para realizar auditorías de seguridad o analizar el comportamiento y los patrones de uso de los usuarios.

Cuando el registro se activa inicialmente, la configuración se valida automáticamente. No obstante, las modificaciones futuras pueden dar lugar a errores de registro. Tenga en cuenta que, actualmente, esta comprobación no examina los permisos de escritura en el bucket de Amazon S3.

c1fd6b96l4

Active el registro de acceso al servidor para todos los buckets de Amazon S3 relevantes. Los registros de acceso al servidor proporcionan un registro de auditoría que se puede utilizar para comprender los patrones de acceso a los buckets e investigar actividades sospechosas. La activación del registro en todos los buckets aplicables mejorará la visibilidad de los eventos de acceso en su entorno Amazon S3. Consulte Habilitación del registro con la consola y Habilitación de registros mediante programación.

Si los permisos del bucket de destino no incluyen la cuenta raíz y quiere que Trusted Advisor compruebe el estado de registro, agregue la cuenta raíz como beneficiario. Consulte Edición de permisos de bucket.

Si el bucket de destino no existe, seleccione un bucket existente como destino o cree uno nuevo y selecciónelo. Consulte Administración del registro de buckets.

Si el origen y el destino tienen propietarios diferentes, cambie el bucket de destino por uno que tenga el mismo propietario que el bucket de origen. Consulte Administración del registro de buckets.

¿Trabajando con cubos

Server access logging (Registro de acceso del servidor)

Formato de registro de acceso al servidor

Eliminar archivos de registro

Comprueba si las notificaciones de eventos de Amazon S3 están habilitadas o están configuradas correctamente con el destino o los tipos deseados.

La característica de notificaciones de eventos de Amazon S3 envía avisos cuando se producen ciertos eventos en los buckets de S3. Amazon S3 puede enviar mensajes de notificación a las SQS colas, los SNS temas y AWS Lambda las funciones de Amazon.

Puede especificar el destino y los tipos de eventos que desee utilizando los eventTypesparámetros destinationArny parámetros de sus AWS Config reglas.

Para obtener más información, consulte Notificaciones de eventos de Amazon S3.

c18d2gz163

AWS Config Managed Rule: s3-event-notifications-enabled

Amarillo: Amazon S3 no tiene habilitadas las notificaciones de eventos o no está configurada con el destino o los tipos deseados.

Configure las notificaciones de eventos de Amazon S3 para los eventos de objetos y buckets.

Para obtener más información, consulte Habilitación y configuración de notificaciones de eventos mediante la consola de Amazon S3.

Comprueba si SNS los temas de Amazon tienen activado el registro del estado de entrega de los mensajes.

Configura SNS los temas de Amazon para registrar el estado de entrega de los mensajes a fin de proporcionar una mejor perspectiva operativa. Por ejemplo, el registro de entrega de mensajes verifica si un mensaje se entregó a un SNS punto final de Amazon en particular. Además, ayuda a identificar la respuesta enviada desde el punto de conexión.

Para obtener más información, consulta el estado de entrega de los SNS mensajes de Amazon.

c18d2gz121

AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled

Amarillo: el registro del estado de entrega de mensajes no está activado para un SNS tema de Amazon.

Activa el registro del estado de entrega de los mensajes en tus SNS temas.

Para obtener más información, consulte Configurar el registro del estado de la entrega mediante la consola AWS de administración.

Comprueba si los registros de flujo de Amazon Virtual Private Cloud se han creado para unVPC.

Puede especificar el tipo de tráfico mediante el trafficTypeparámetro de sus AWS Config reglas.

Para obtener más información, consulte Registrar el tráfico IP mediante registros VPC de flujo.

c18d2gz122

AWS Config Managed Rule: vpc-flow-logs-enabled

Amarillo: VPCs no tienen Amazon VPC Flow Logs.

Cree registros VPC de flujo para cada uno de susVPCs.

Para obtener más información, consulte Creación de un registro de flujo

Comprueba si los equilibradores de carga de aplicaciones y los equilibradores de carga clásicos tienen habilitados los registros de acceso.

Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre las solicitudes enviadas al equilibrador de carga. Cada registro contiene distintos datos, como el momento en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de solicitud y las respuestas del servidor. Puede utilizar estos registros de acceso para analizar los patrones de tráfico y solucionar problemas.

El registro de acceso es una característica opcional de Elastic Load Balancing que está desactivada de forma predeterminada. Una vez que se ha habilitado el registro de acceso del equilibrador de carga, Elastic Load Balancing captura los registros y los almacena en el bucket de Amazon S3 que haya especificado.

Puede especificar el registro de acceso (bucket) de Amazon S3 que quiere comprobar mediante el BucketNames parámetro s3 de sus AWS Config reglas.

Para obtener más información, consulte Registros de acceso del equilibrador de carga de aplicación o Registros de acceso del equilibrador de carga clásico.

c18d2gz167

AWS Config Managed Rule: elb-logging-enabled

Amarillo: la característica de registros de acceso no está habilitada para un equilibrador de carga de aplicación ni un equilibrador de carga clásico.

Habilite los registros de acceso para los equilibradores de carga de aplicaciones y equilibradores de carga clásicos.

Para obtener más información, consulte Habilitación de los registros de acceso del equilibrador de carga de aplicación o Habilitación de los registros de acceso del equilibrador de carga clásico.

Comprueba si todas tus AWS CloudFormation pilas utilizan Amazon SNS para recibir notificaciones cuando se produce un evento.

Puedes configurar esta comprobación para buscar un SNS tema específico de Amazon ARNs mediante los parámetros de tus AWS Config reglas.

Para obtener más información, consulta Cómo configurar las opciones de AWS CloudFormation pila.

c18d2gz111

AWS Config Managed Rule: cloudformation-stack-notification-check

Amarillo: las notificaciones de SNS eventos de Amazon para tus AWS CloudFormation stacks no están activadas.

Asegúrate de que tus AWS CloudFormation pilas usen Amazon SNS para recibir notificaciones cuando se produzca un evento.

La supervisión de los eventos de la pila le ayuda a responder rápidamente a las acciones no autorizadas que puedan alterar su AWS entorno.

¿Cómo puedo recibir una alerta por correo electrónico cuando mi AWS CloudFormation pila entre en estado ROLLBACK _IN_PROGRESS?

Comprueba si al menos una AWS CloudTrail ruta registra los eventos de datos de Amazon S3 para todos sus buckets de Amazon S3.

Para obtener más información, consulte Registrar API llamadas de Amazon S3 mediante AWS CloudTrail.

c18d2gz166

AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled

Amarillo: el registro de AWS CloudTrail eventos para los buckets de Amazon S3 no está configurado

Habilite el registro de CloudTrail eventos para los buckets y objetos de Amazon S3 para realizar un seguimiento de las solicitudes de acceso al bucket de destino.

Para obtener más información, consulte Habilitar el registro de CloudTrail eventos para buckets y objetos de S3.

Comprueba si el entorno AWS CodeBuild del proyecto utiliza el registro. Las opciones de registro pueden ser registros en Amazon CloudWatch Logs, integrados en un bucket de Amazon S3 específico, o ambos. Habilitar el registro en un CodeBuild proyecto puede ofrecer varios beneficios, como la depuración y la auditoría.

Puede especificar el nombre del bucket o grupo de CloudWatch registros de Amazon S3 para almacenar los registros mediante el parámetro s3 BucketNames o cloudWatchGroupNames de sus AWS Config reglas.

Para obtener más información, consulte Monitorización de AWS CodeBuild.

c18d2gz113

AWS Config Managed Rule: codebuild-project-logging-enabled

Amarillo: el registro de AWS CodeBuild proyectos no está activado.

Asegúrese de que el registro esté activado en su AWS CodeBuild proyecto. Esta comprobación no se puede excluir de la vista de la AWS Trusted Advisor consola.

Para obtener más información, consulte Inicio de sesión y supervisión AWS CodeBuild.

Comprueba si el grupo de implementación está configurado con la reversión automática de la implementación y el monitoreo de la implementación con alarmas asociadas. Si algo sale mal durante una implementación, esta se revierte automáticamente y la aplicación permanece en un estado estable

Para obtener más información, consulte Reimplementar y revertir una implementación con. CodeDeploy

c18d2gz114

AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled

Amarillo: la reversión AWS CodeDeploy automática de la implementación y la supervisión de la implementación no están habilitadas.

Configure un grupo de implementación o una implementación para que se restauren automáticamente si una implementación produce un error o si se supera un umbral de monitoreo que haya especificado.

Configure la alarma para monitorear varias métricas, como el CPU uso, el uso de memoria o el tráfico de red, durante el proceso de implementación. Si alguna de estas métricas supera ciertos umbrales, las alarmas se activan y la implementación se detiene o se revierte.

Para obtener información sobre cómo configurar las reversiones automáticas y las alarmas para sus grupos de implementación, consulte Configuración de opciones avanzadas para un grupo de implementación.

¿Qué es CodeDeploy?

Comprueba si el grupo de AWS CodeDeploy despliegue de la plataforma de AWS Lambda cómputo utiliza la configuración all-at-once de despliegue.

Para reducir el riesgo de que se produzcan errores en el despliegue de las funciones de Lambda CodeDeploy, se recomienda utilizar la configuración de despliegue lineal o canario en lugar de la opción predeterminada, en la que todo el tráfico se desplaza de la función Lambda original a la función actualizada a la vez.

Para obtener más información, consulte Versiones de la función de Lambda y Configuración de implementación.

c18d2gz115

AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled

Amarillo: la implementación de AWS CodeDeploy Lambda usa la configuración de all-at-once implementación para transferir todo el tráfico a las funciones de Lambda actualizadas de una sola vez.

Utilice la configuración de despliegue Canary o Linear del grupo de CodeDeploy despliegue para la plataforma de cómputo Lambda.

Configuración de implementación

Comprueba si un AWS Elastic Beanstalk entorno está configurado para mejorar los informes de estado.

Los informes de estado mejorados de Elastic Beanstalk proporcionan métricas de rendimiento detalladas, CPU como el uso, el uso de la memoria, el tráfico de red y la información del estado de la infraestructura, como el número de instancias y el estado del balanceador de carga.

Para obtener más información, consulte Informes y monitoreo de estado mejorados.

c18d2gz108

AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled

Amarillo: el entorno de Elastic Beanstalk no está configurado para informes de estado mejorados

Compruebe si el entorno de Elastic Beanstalk está configurado para informes de estado mejorados.

Para obtener más información, consulte Habilitación de informes de estado mejorados mediante la consola de Elastic Beanstalk.

Comprueba si las actualizaciones de la plataforma administradas en las plantillas de configuración y los entornos de Elastic Beanstalk están habilitadas.

AWS Elastic Beanstalk publica periódicamente actualizaciones de la plataforma para proporcionar correcciones, actualizaciones de software y nuevas funciones. Con las actualizaciones de la plataforma administradas, Elastic Beanstalk puede hacer actualizaciones de la plataforma automáticamente para nuevos parches y versiones secundarias de la plataforma.

Puede especificar el nivel de actualización que desee en los UpdateLevelparámetros de sus AWS Config reglas.

Para obtener más información, consulte Actualización de la versión de la plataforma del entorno de Elastic Beanstalk.

c18d2gz177

AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled

Amarillo: las actualizaciones AWS Elastic Beanstalk gestionadas de la plataforma no están configuradas en absoluto, ni siquiera a nivel secundario o de parche.

Habilite las actualizaciones de la plataforma administradas en sus entornos de Elastic Beanstalk o configúrelas en un nivel secundario o de actualización.

Para obtener más información, consulte Actualizaciones de la plataforma administradas.

Comprueba si Amazon ECS ejecuta la última versión de la plataforma de AWS Fargate. La versión de la plataforma de Fargate hace referencia a un entorno en tiempo de ejecución específico para la infraestructura de tareas de Fargate. Se trata de una combinación de la versión del kernel y la versión del tiempo de ejecución del contenedor. Se publican nuevas versiones de la plataforma a medida que evoluciona el entorno de tiempo de ejecución. Por ejemplo, si hay actualizaciones del kernel o del sistema operativo, características nuevas, correcciones de errores o actualizaciones de seguridad.

Para obtener más información, consulte Mantenimiento de las tareas de Fargate.

c18d2gz174

AWS Config Managed Rule: ecs-fargate-latest-platform-version

Amarillo: Amazon no ECS utiliza la última versión de la plataforma Fargate.

Actualice a la versión de la plataforma Fargate más reciente.

Para obtener más información, consulte Mantenimiento de las tareas de Fargate.

Comprueba si el estado de conformidad de la AWS Systems Manager asociación es COMPLIANT o NON _ COMPLIANT después de la ejecución de la asociación en la instancia.

State Manager, una capacidad de AWS Systems Manager, es un servicio de administración de configuración seguro y escalable que automatiza el proceso de mantener los nodos administrados y otros AWS recursos en el estado que usted defina. Una asociación de administradores de estado es una configuración que se asigna a AWS los recursos. La configuración define el estado que desea mantener en sus recursos, por lo que le ayuda a alcanzar el objetivo, por ejemplo, a evitar desviaciones de configuración en sus instancias de AmazonEC2.

Para obtener más información, consulte Systems Manager de AWS Systems Manager.

c18d2gz147

AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check

Amarillo: el estado de conformidad de la AWS Systems Manager asociación es NON _COMPLIANT.

Valide el estado de las asociaciones de administradores estatales y, a continuación, tome las medidas necesarias para devolverle el estadoCOMPLIANT.

Para obtener más información, consulte Acerca de Systems Manager.

AWS Systems Manager State Manager

Comprueba si los AWS CloudTrail senderos están configurados para enviar CloudWatch registros a Logs.

Supervise los archivos de CloudTrail registro con CloudWatch registros para activar una respuesta automática cuando se recopilen eventos críticos AWS CloudTrail.

Para obtener más información, consulte Supervisión de archivos de CloudTrail registro con CloudWatch registros.

c18d2gz164

AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled

Amarillo: no AWS CloudTrail está configurado con la integración de CloudWatch Logs.

Configure CloudTrail las rutas para enviar los eventos de registro a CloudWatch los registros.

Para obtener más información, consulte Creación de CloudWatch alarmas para CloudTrail eventos: ejemplos.

Comprueba si la protección contra eliminación está activada para los equilibradores de carga.

Elastic Load Balancing admite la protección contra eliminación de los equilibradores de carga de aplicaciones, los equilibradores de carga de red y los equilibradores de carga de la puerta de enlace. Para evitar que el equilibrador de carga se elimine por error, habilite la protección contra eliminación. La protección contra eliminación se desactiva de forma predeterminada cuando crea un equilibrador de carga. Si sus equilibradores de carga forman parte de un entorno de producción, considere activar la protección contra eliminación.

El registro de acceso es una característica opcional de Elastic Load Balancing que está desactivada de forma predeterminada. Una vez que se ha habilitado el registro de acceso del equilibrador de carga, Elastic Load Balancing captura los registros y los almacena en el bucket de Amazon S3 que haya especificado.

Para obtener más información, consulte Protección contra eliminación de equilibradores de carga de aplicación, Protección contra eliminación de equilibradores de carga de red o Protección contra eliminación de equilibradores de carga de la puerta de enlace.

c18d2gz168

AWS Config Managed Rule: elb-deletion-protection-enabled

Amarillo: la protección contra eliminación no está habilitada para un equilibrador de carga.

Active los equilibradores de carga de aplicaciones, los equilibradores de carga de red y los equilibradores de carga de la puerta de enlace.

Para obtener más información, consulte Protección contra eliminación de equilibradores de carga de aplicación, Protección contra eliminación de equilibradores de carga de red o Protección contra eliminación de equilibradores de carga de la puerta de enlace.

Comprueba si los clústeres de Amazon RDS DB tienen habilitada la protección contra eliminaciones.

Cuando se configura la protección contra eliminación para un clúster, ningún usuario podrá eliminar la base de datos.

La protección contra la eliminación está disponible para Amazon Aurora y RDS MySQL, RDS MariaDB, Oracle RDSRDS, SQL Postgre RDS y SQL para las instancias de bases de datos de servidores en todas las regiones. AWS

Para obtener más información, consulte Protección contra eliminación para clústeres de Aurora.

c18d2gz160

AWS Config Managed Rule: rds-cluster-deletion-protection-enabled

Amarillo: tiene clústeres de Amazon RDS DB que no tienen habilitada la protección de eliminación.

Active la protección contra la eliminación al crear un clúster de Amazon RDS DB.

Solo puede eliminar clústeres que no tengan habilitada la protección contra eliminación. Cuando habilita la protección contra eliminación, se agrega una capa de protección adicional y se evita la pérdida de datos por la eliminación accidental o no accidental de una instancia de base de datos. La protección contra eliminación también ayuda a cumplir los requisitos de conformidad normativa y a garantizar la continuidad empresarial.

Para obtener más información, consulte Protección contra eliminación para clústeres de Aurora.

Protección contra eliminación para clústeres de Aurora

Comprueba si las instancias de Amazon RDS DB tienen configuradas las actualizaciones automáticas de las versiones secundarias.

Activa las actualizaciones automáticas de las versiones secundarias de una RDS instancia de Amazon para asegurarte de que la base de datos siempre ejecute la última versión segura y estable. Las actualizaciones secundarias proporcionan actualizaciones de seguridad, correcciones de errores y mejoras de rendimiento y mantienen la compatibilidad con las aplicaciones existentes.

Para obtener más información, consulte Cómo actualizar la versión del motor de la instancia de base de datos.

c18d2gz155

AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled

Amarillo: la RDS instancia de base de datos no tiene activadas las actualizaciones automáticas de las versiones secundarias.

Active las actualizaciones automáticas de las versiones secundarias al crear una instancia de Amazon RDS DB.

Cuando activa la actualización de la versión secundaria, la versión de la base de datos se actualiza automáticamente si ejecuta una versión secundaria del motor de bases de datos menor que la versión de actualización manual del motor.