Excellence opérationnelle

Vérifie si les CloudWatch journaux sont activés sur Amazon API Gateway au niveau de journalisation souhaité.

Activez la CloudWatch journalisation des REST API méthodes ou des WebSocket API itinéraires dans Amazon API Gateway afin de collecter les journaux d'exécution dans les CloudWatch journaux des demandes reçues par votreAPIs. Les informations contenues dans les journaux d'exécution permettent d'identifier et de résoudre les problèmes liés à votreAPI.

Vous pouvez spécifier l'ID du niveau de journalisation (ERROR,INFO) dans le loggingLevelparamètre des AWS Config règles.

Reportez-vous à la WebSocket API documentation REST API ou à la documentation pour plus d'informations sur la CloudWatch connexion à Amazon API Gateway.

c18d2gz125

AWS Config Managed Rule: api-gw-execution-logging-enabled

Jaune : le paramètre de CloudWatch journalisation pour la collecte des journaux d'exécution n'est pas activé au niveau de journalisation souhaité pour Amazon API Gateway.

Activez la CloudWatch journalisation pour les journaux d'exécution pour votre Amazon API Gateway RESTAPIsou WebSocket APIsavec le niveau de journalisation approprié (ERROR,INFO).

Pour plus d'informations, voir Création d'un journal de flux.

Vérifie si le AWS X-Ray suivi est activé sur Amazon API Gateway RESTAPIs.

Activez le suivi X-Ray pour permettre REST APIs à API Gateway d'échantillonner les demandes d'APIinvocation avec des informations de suivi. Cela vous permet de suivre et d'analyser les demandes AWS X-Ray au fur et à mesure qu'elles transitent par votre API passerelle REST APIs vers les services en aval.

Pour plus d'informations, consultez la section Suivi des demandes des utilisateurs jusqu'à REST APIs l'utilisation de X-Ray.

c18d2gz126

AWS Config Managed Rule: api-gw-xray-enabled

Jaune : le traçage par rayons X n'est pas activé pour une API passerelle RESTAPI.

Activez le X-Ray Tracing pour votre API Gateway RESTAPIs.

Pour plus d'informations, consultez la section Configuration AWS X-Ray avec API Gateway REST APIs.

Vérifie si les CloudFront distributions Amazon sont configurées pour capturer des informations à partir des journaux d'accès au serveur Amazon S3. Les journaux d'accès au serveur Amazon S3 contiennent des informations détaillées sur chaque demande d'utilisateur CloudFront reçue.

Vous pouvez ajuster le nom du compartiment Amazon S3 pour stocker les journaux d'accès au serveur, en utilisant le BucketName paramètre S3 dans vos AWS Config règles.

Pour plus d'informations, voir Configuration et utilisation des journaux standard (journaux d'accès).

c18d2gz110

AWS Config Managed Rule: cloudfront-accesslogs-enabled

Jaune : la journalisation des CloudFront accès Amazon n'est pas activée

Assurez-vous d'activer la journalisation des CloudFront accès pour recueillir des informations détaillées sur chaque demande d'utilisateur CloudFront reçue.

Vous pouvez activer les journaux standard lorsque vous créez ou mettez à jour une distribution.

Pour plus d'informations, voir Valeurs que vous spécifiez lorsque vous créez ou mettez à jour une distribution.

Vérifie si votre action d' CloudWatch alarme Amazon est désactivée.

Vous pouvez utiliser le AWS CLI pour activer ou désactiver la fonction d'action de votre alarme. Vous pouvez également désactiver ou activer par programme la fonction d'action à l'aide du AWS SDK. Lorsque la fonction d'action d'alarme est désactivée, CloudWatch elle n'exécute aucune action définie dans aucun état (OK, INSUFFICIENT _DATA,ALARM).

c18d2gz109

AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check

Jaune : l'action CloudWatch d'alarme Amazon n'est pas activée. Aucune action n'est effectuée, quel que soit l'état d'alarme.

Activez les actions dans vos CloudWatch alarmes, sauf si vous avez une raison valable de les désactiver, par exemple à des fins de test.

Si l' CloudWatch alarme n'est plus nécessaire, supprimez-la pour éviter des coûts inutiles.

Pour plus d'informations, voir enable-alarm-actionsdans la référence des AWS CLI commandes et func (*CloudWatch) EnableAlarmActions dans la API référence AWS SDK for Go.

Vérifie si les EC2 instances Amazon de votre compte sont gérées par AWS Systems Manager.

Systems Manager vous aide à comprendre et à contrôler l'état actuel de votre EC2 instance Amazon et de vos configurations de système d'exploitation. Avec Systems Manager, vous pouvez collecter des informations de configuration logicielle et d'inventaire concernant votre flotte d'instances, y compris les logiciels installés sur celles-ci. Cela vous permet de suivre de très près la configuration système, les niveaux de correctifs du système d'exploitation, les configurations des applications et d'obtenir d'autres informations concernant votre déploiement.

Pour plus d'informations, consultez la section Configuration de Systems Manager pour les EC2 instances.

c18d2gz145

AWS Config Managed Rule: ec2-instance-managed-by-systems-manager

Jaune : Les EC2 instances Amazon ne sont pas gérées par Systems Manager.

Configurez votre EC2 instance Amazon pour qu'elle soit gérée par Systems Manager.

Cette vérification ne peut pas être exclue de la vue dans la Trusted Advisor console.

Pour plus d'informations, consultez Pourquoi mon EC2 instance ne s'affiche-t-elle pas en tant que nœud géré ou affiche-t-elle le statut « Connexion perdue » dans Systems Manager ? .

Configuration de Systems Manager pour les EC2 instances

Vérifie si l'immuabilité des balises d'image est activée dans un ECR dépôt Amazon privé.

Activez l'immuabilité des balises d'image pour un ECR référentiel Amazon privé afin d'empêcher le remplacement des balises d'image. Cela vous permet de vous appuyer sur les balises descriptives en tant que mécanisme fiable pour suivre et identifier des images de manière unique. Par exemple, si l'immuabilité des balises d'image est activée, les utilisateurs peuvent utiliser une balise d'image de manière fiable pour corréler une version d'image déployée avec le générateur qui a produit cette image.

Pour plus d'informations, voir Mutabilité des balises d'image.

c18d2gz129

AWS Config Managed Rule: ecr-private-tag-immutability-enabled

Jaune : l'immuabilité des balises n'est pas activée dans un dépôt ECR privé Amazon.

Activez l'immuabilité des balises d'image pour vos référentiels ECR privés Amazon.

Pour plus d'informations, voir Mutabilité des balises d'image.

Vérifie si Amazon CloudWatch Container Insights est activé pour vos ECS clusters Amazon.

CloudWatch Container Insights collecte, agrège et résume les métriques et les journaux de vos applications conteneurisées et de vos microservices. Les métriques incluent l'utilisation de ressources telles que la mémoireCPU, le disque et le réseau.

Pour plus d'informations, consultez Amazon ECS CloudWatch Container Insights.

c18d2gz173

AWS Config Managed Rule: ecs-container-insights-enabled

Jaune : Container Insights n'est pas activé sur le ECS cluster Amazon.

Activez CloudWatch Container Insights sur vos ECS clusters Amazon.

Pour plus d'informations, voir Utilisation de Container Insights.

Informations sur les ECS CloudWatch conteneurs Amazon

Vérifie si la configuration du journal est définie sur les définitions de ECS tâches Amazon actives.

La vérification de la configuration des journaux dans vos définitions de ECS tâches Amazon garantit que les journaux générés par les conteneurs sont correctement configurés et stockés. Cela permet d'identifier et de résoudre les problèmes plus rapidement, d'optimiser les performances et de répondre aux exigences de conformité.

Par défaut, les journaux qui sont capturés affichent la sortie de commande qui s'affiche normalement dans un terminal interactif si vous exécutez le conteneur localement. Le pilote awslogs transmet ces journaux de Docker à Amazon Logs. CloudWatch

Pour plus d'informations, voir Utilisation du pilote de journalisation awslogs.

c18d2gz175

AWS Config Managed Rule: ecs-task-definition-log-configuration

Jaune : la définition de ECS tâche Amazon n'a pas de configuration de journalisation.

Envisagez de spécifier la configuration du pilote de journal dans la définition du conteneur pour envoyer les informations de journal à CloudWatch Logs ou à un autre pilote de journalisation.

Pour plus d'informations, consultez LogConfiguration.

Envisagez de spécifier la configuration du pilote de journal dans la définition du conteneur pour envoyer les informations de journal à CloudWatch Logs ou à un autre pilote de journalisation.

Pour plus d'informations, voir Exemples de définitions de tâches.

Vérifie si les domaines Amazon OpenSearch Service sont configurés pour envoyer des journaux à Amazon CloudWatch Logs.

La surveillance des journaux est essentielle pour maintenir la fiabilité, la disponibilité et les performances du OpenSearch Service.

Les journaux lents de recherche, les journaux lents d'indexation et les journaux d'erreurs permettent de résoudre les problèmes de performances et de stabilité de votre charge de travail. Ces journaux doivent être activés pour permettre la capture de données.

Vous pouvez spécifier les types de journaux que vous souhaitez filtrer (erreur, recherche, index) à l'aide du logTypesparamètre de vos AWS Config règles.

Pour plus d'informations, consultez la section Surveillance des domaines Amazon OpenSearch Service.

c18d2gz184

AWS Config Managed Rule: opensearch-logs-to-cloudwatch

Jaune : Amazon OpenSearch Service n'a pas de configuration de journalisation avec Amazon CloudWatch Logs

Configurez les domaines de OpenSearch service pour publier les CloudWatch journaux dans Logs.

Pour plus d'informations, voir Activation de la publication des journaux (console).

Nous recommandons que toutes les instances de base de données du cluster de base de données utilisent le même groupe de paramètres de base de données.

c1qf5bt010

Jaune : les clusters de base de données contiennent des instances de base de données avec des groupes de paramètres hétérogènes.

Associez l'instance de base de données au groupe de paramètres de base de données associé à l'instance d'écriture dans votre cluster de base de données.

Lorsque les instances de base de données de votre cluster de base de données utilisent différents groupes de paramètres de base de données, il peut y avoir un comportement incohérent lors d'un basculement ou des problèmes de compatibilité entre les instances de base de données de votre cluster de base de données.

Pour plus d'informations, veuillez consulter Utilisation des groupes de paramètres.

La surveillance améliorée n'est pas activée sur les ressources de votre base de données. La surveillance améliorée fournit des métriques de système d'exploitation en temps réel pour la surveillance et le dépannage.

c1qf5bt004

Jaune : la surveillance améliorée n'est pas activée sur les RDS ressources Amazon.

Activez la surveillance améliorée.

La surveillance améliorée pour Amazon RDS fournit une visibilité supplémentaire sur l'état de vos instances de base de données. Nous vous recommandons d'activer la surveillance améliorée. Lorsque l'option Enhanced Monitoring est activée pour votre instance de base de données, elle collecte des métriques vitales du système d'exploitation et des informations de processus.

Pour plus d'informations, voir Surveillance des métriques du système d'exploitation à l'aide de la surveillance améliorée.

Amazon RDS Performance Insights surveille la charge de votre instance de base de données pour vous aider à analyser et à résoudre les problèmes de performance des bases de données. Nous vous recommandons d'activer Performance Insights.

c1qf5bt012

Jaune : Performance Insights n'est pas activé dans les RDS ressources Amazon.

Activer l'option Performance Insights.

Performance Insights utilise une méthode de collecte de données légère qui n'a aucun impact sur les performances de vos applications. Performance Insights vous aide à évaluer rapidement la charge de la base de données.

Pour plus d'informations, consultez la section Surveillance de la charge de base de données avec Performance Insights sur Amazon RDS.

Lorsque le paramètre track_counts est désactivé, la base de données ne collecte pas les statistiques d'activité de la base de données. Autovacuum a besoin de ces statistiques pour fonctionner correctement.

Nous vous recommandons de définir le paramètre track_counts sur 1

c1qf5bt027

Jaune : le paramètre track_counts est désactivé pour les groupes de paramètres de base de données.

Définissez le paramètre track_counts sur 1

Lorsque le paramètre track_counts est désactivé, il désactive la collecte des statistiques d'activité de la base de données. Le démon autovacuum a besoin des statistiques collectées pour identifier les tables pour autovacuum et autoanalysis.

Pour plus d'informations, consultez la section Statistiques d'exécution pour Postgre SQL sur le site Web de documentation de SQL Postgre.

Vérifie si la journalisation des audits de base de données est activée sur vos clusters Amazon Redshift. Amazon Redshift consigne dans un journal les informations sur les connexions et les activités de l'utilisateur dans votre base de données.

Vous pouvez spécifier le nom de compartiment Amazon S3 de journalisation souhaité pour qu'il corresponde au bucketNamesparamètre de vos AWS Config règles.

Pour plus d'informations, voir Journalisation des audits de base de données.

c18d2gz134

AWS Config Managed Rule: redshift-audit-logging-enabled

Jaune : la journalisation des audits de base de données est désactivée dans un cluster Amazon Redshift.

Activez la journalisation et la surveillance pour vos clusters Amazon Redshift.

Pour plus d'informations, voir Configuration des audits à l'aide de la console.

Journalisation et surveillance dans Amazon Redshift

Vérifie la configuration de journalisation des buckets Amazon Simple Storage Service.

L'activation de la journalisation des accès au serveur fournit des journaux d'accès horaires détaillés à un compartiment Amazon S3 spécifié. Les journaux d'accès contiennent les détails des demandes, notamment le type, les ressources spécifiées et l'heure/la date de traitement. La journalisation est désactivée par défaut. Les clients doivent activer la journalisation des accès pour effectuer des audits de sécurité ou analyser le comportement des utilisateurs et les modèles d'utilisation.

Lorsque la journalisation est initialement activée, la configuration est automatiquement validée. Toutefois, les modifications futures peuvent entraîner des échecs de journalisation. Notez qu'à l'heure actuelle, cette vérification n'examine pas les autorisations d'écriture du compartiment Amazon S3.

c1fd6b96l4

Activez la journalisation des accès au serveur pour tous les compartiments Amazon S3 pertinents. Les journaux d'accès au serveur fournissent une piste d'audit qui peut être utilisée pour comprendre les modèles d'accès aux compartiments et enquêter sur les activités suspectes. L'activation de la journalisation sur tous les compartiments applicables améliorera la visibilité des événements d'accès dans votre environnement Amazon S3. Consultez Enabling Logging Using the Console (Activation de la journalisation à l'aide de la console) et Enabling Logging Programmatically (Activation de la journalisation par programmation).

Si les autorisations du compartiment cible n'incluent pas le compte racine et que vous souhaitez que Trusted Advisor vérifie le statut de la journalisation, ajoutez le compte racine en tant que bénéficiaire. Voir Editing Bucket Permissions (Modification des autorisations de compartiment).

Si le compartiment cible n'existe pas, sélectionnez un compartiment existant en tant que cible ou créez-en un nouveau et sélectionnez-le. Voir Managing Bucket Logging (Gestion de la journalisation des compartiments).

Si la cible et la source n'ont pas les mêmes propriétaires, remplacez le compartiment cible par un compartiment ayant le même propriétaire que le compartiment source. Voir Managing Bucket Logging (Gestion de la journalisation des compartiments).

Travailler avec des seaux

Server access logging (Journalisation des accès au serveur)

Format du journal d'accès au serveur

Suppression des fichiers journaux

Vérifie si les notifications d'événements Amazon S3 sont activées ou correctement configurées avec la destination ou les types souhaités.

Vous pouvez utiliser la fonctionnalité Notifications d'événements Amazon S3 pour recevoir des notifications lorsque certains événements se produisent dans votre compartiment Amazon S3. Amazon S3 peut envoyer des messages de notification aux SQS files d'attente, aux SNS rubriques Amazon et aux AWS Lambda fonctions Amazon.

Vous pouvez spécifier la destination et les types d'événements souhaités à l'aide des eventTypesparamètres destinationArnet de vos AWS Config règles.

Pour plus d'informations, voir Notifications d'événements Amazon S3.

c18d2gz163

AWS Config Managed Rule: s3-event-notifications-enabled

Jaune : les notifications d'événements d'Amazon S3 ne sont pas activées ou ne sont pas configurées avec la destination ou les types souhaités.

Configurez les notifications d'événements Amazon S3 pour les événements liés aux objets et aux compartiments.

Pour plus d'informations, voir Activation et configuration des notifications d'événements à l'aide de la console Amazon S3.

Vérifie si la journalisation de l'état de livraison des messages est activée dans les SNS rubriques Amazon.

Configurez les SNS rubriques Amazon pour enregistrer l'état de livraison des messages afin de fournir de meilleures informations opérationnelles. Par exemple, l'enregistrement de la livraison des messages vérifie si un message a été remis à un point de SNS terminaison Amazon en particulier. Elle permet également d'identifier la réponse envoyée par le point de terminaison.

Pour plus d'informations, consultez l'état de livraison des SNS messages Amazon.

c18d2gz121

AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled

Jaune : l'enregistrement du statut de livraison des messages n'est pas activé pour un SNS sujet Amazon.

Activez l'enregistrement de l'état de livraison des messages pour vos SNS sujets.

Pour plus d'informations, voir Configuration de la journalisation de l'état de livraison à l'aide de la console AWS de gestion.

Vérifie si les journaux de flux Amazon Virtual Private Cloud sont créés pour unVPC.

Vous pouvez spécifier le type de trafic à l'aide du trafficTypeparamètre de vos AWS Config règles.

Pour plus d'informations, consultez la section Enregistrement du trafic IP à l'aide des journaux de VPC flux.

c18d2gz122

AWS Config Managed Rule: vpc-flow-logs-enabled

Jaune : je VPCs n'ai pas Amazon VPC Flow Logs.

Créez des journaux de VPC flux pour chacun de vosVPCs.

Pour plus d'informations, voir Création d'un journal de flux.

Vérifie si la journalisation d'accès est activée pour les Application Load Balancers et les Classic Load Balancers.

Elastic Load Balancing fournit des journaux d'accès qui capturent des informations détaillées sur les demandes envoyées à votre équilibreur de charge. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. Vous pouvez utiliser ces journaux d'accès pour analyser les modèles de trafic et résoudre des problèmes.

Les journaux d'accès sont une fonctionnalité facultative d'Elastic Load Balancing qui est désactivée par défaut. Une fois que vous avez activé les journaux d'accès pour votre équilibreur de charge, Elastic Load Balancing capture les journaux et les stocke dans le compartiment Amazon S3 que vous spécifiez.

Vous pouvez spécifier le paquet Amazon S3 du journal d'accès que vous souhaitez vérifier à l'aide du BucketNames paramètre s3 de vos AWS Config règles.

Pour plus d'informations, voir Journalisation d'accès pour votre Application Load Balancer ou Journalisation d'accès pour votre Classic Load Balancer.

c18d2gz167

AWS Config Managed Rule: elb-logging-enabled

Jaune : la fonctionnalité de journalisation d'accès n'est pas activée pour un Application Load Balancer ou un Classic Load Balancer.

Activez la journalisation d'accès pour les Application Load Balancers et les Classic Load Balancers.

Pour plus d'informations, voir Activation de la journalisation d'accès pour votre Application Load Balancer ou Activation de la journalisation d'accès pour votre Classic Load Balancer.

Vérifie si toutes vos AWS CloudFormation piles utilisent Amazon SNS pour recevoir des notifications lorsqu'un événement se produit.

Vous pouvez configurer cette vérification pour rechercher un SNS sujet Amazon spécifique à ARNs l'aide des paramètres de vos AWS Config règles.

Pour plus d'informations, consultez la section Définition des options de AWS CloudFormation pile.

c18d2gz111

AWS Config Managed Rule: cloudformation-stack-notification-check

Jaune : les notifications SNS d'événements Amazon pour vos AWS CloudFormation piles ne sont pas activées.

Assurez-vous que vos AWS CloudFormation piles utilisent Amazon SNS pour recevoir des notifications lorsqu'un événement se produit.

La surveillance des événements liés à la pile vous permet de réagir rapidement aux actions non autorisées susceptibles de modifier votre AWS environnement.

Comment puis-je recevoir une alerte par e-mail lorsque mon AWS CloudFormation stack passe au statut ROLLBACK _IN_ ? PROGRESS

Vérifie si au moins un AWS CloudTrail suivi enregistre les événements de données Amazon S3 pour tous vos compartiments Amazon S3.

Pour plus d'informations, consultez la section Journalisation des API appels Amazon S3 à l'aide de AWS CloudTrail.

c18d2gz166

AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled

Jaune : la journalisation des AWS CloudTrail événements pour les compartiments Amazon S3 n'est pas configurée

Activez la journalisation des CloudTrail événements pour les compartiments et les objets Amazon S3 afin de suivre les demandes d'accès au compartiment cible.

Pour plus d'informations, consultez Activation de la journalisation des CloudTrail événements pour les compartiments et objets S3.

Vérifie si l'environnement AWS CodeBuild du projet utilise la journalisation. Les options de journalisation peuvent être des CloudWatch journaux dans Amazon Logs, des journaux intégrés à un compartiment Amazon S3 spécifique, ou les deux. L'activation de la connexion à un CodeBuild projet peut apporter plusieurs avantages, tels que le débogage et l'audit.

Vous pouvez spécifier le nom du compartiment ou du groupe de CloudWatch journaux Amazon S3 pour stocker les journaux, en utilisant le paramètre s3 BucketNames ou cloudWatchGroupNames dans vos AWS Config règles.

Pour de plus amples informations, veuillez consulter la section relative à la surveillance AWS CodeBuild.

c18d2gz113

AWS Config Managed Rule: codebuild-project-logging-enabled

Jaune : la journalisation AWS CodeBuild du projet n'est pas activée.

Assurez-vous que la journalisation est activée dans votre AWS CodeBuild projet. Cette vérification ne peut pas être exclue de la vue dans la AWS Trusted Advisor console.

Pour plus d'informations, consultez la section Connexion et surveillance AWS CodeBuild.

Vérifie si la restauration et la surveillance automatiques du déploiement avec les alarmes attachées sont activées pour le groupe de déploiement. En cas de problème lors d'un déploiement, celui-ci est automatiquement restauré et votre application reste dans un état stable.

Pour plus d'informations, consultez Redéployer et annuler un déploiement avec CodeDeploy.

c18d2gz114

AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled

Jaune : l'annulation AWS CodeDeploy automatique du déploiement et la surveillance du déploiement ne sont pas activées.

Configurez un groupe de déploiement ou un déploiement pour être annulés automatiquement lorsqu'un déploiement échoue, ou lorsqu'une limite de surveillance que vous spécifiez est atteinte.

Configurez l'alarme pour surveiller diverses mesures, telles que CPU l'utilisation, l'utilisation de la mémoire ou le trafic réseau, pendant le processus de déploiement. Si l'une de ces métriques dépasse certaines limites, les alarmes se déclenchent et le déploiement est arrêté ou annulé.

Pour plus d'informations sur la configuration des annulations automatiques et des alarmes pour vos groupes de déploiement, voir Configuration des options avancées pour un groupe de déploiement.

Qu'est-ce que c'est CodeDeploy ?

Vérifie si le groupe AWS CodeDeploy de déploiement de la plate-forme de AWS Lambda calcul utilise la configuration de all-at-once déploiement.

Pour réduire le risque d'échec du déploiement de vos fonctions Lambda dans CodeDeploy, il est recommandé d'utiliser la configuration de déploiement Canary ou linéaire au lieu de l'option par défaut selon laquelle tout le trafic est transféré de la fonction Lambda d'origine vers la fonction mise à jour en une fois.

Pour plus d'informations, voir Versions des fonctions Lambda et Configuration du déploiement.

c18d2gz115

AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled

Jaune : le déploiement AWS CodeDeploy Lambda utilise la configuration de all-at-once déploiement pour transférer simultanément tout le trafic vers les fonctions Lambda mises à jour.

Utilisez la configuration de déploiement Canary ou Linear du groupe de CodeDeploy déploiement pour la plate-forme de calcul Lambda.

Configuration de déploiement

Vérifie si un AWS Elastic Beanstalk environnement est configuré pour des rapports de santé améliorés.

Les rapports de santé améliorés d'Elastic Beanstalk fournissent des indicateurs de performance détaillés, CPU tels que l'utilisation, l'utilisation de la mémoire, le trafic réseau et les informations sur l'état de l'infrastructure, telles que le nombre d'instances et l'état de l'équilibreur de charge.

Pour plus d'informations, voir Rapports d'intégrité améliorés et surveillance.

c18d2gz108

AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled

Jaune : les rapports d'intégrité améliorés ne sont pas configurés dans l'environnement Elastic Beanstalk.

Vérifiez que des rapports d'intégrité améliorés sont configurés dans un environnement Elastic Beanstalk.

Pour plus d'informations, voir Activation des rapports d'intégrité améliorés à l'aide de la console Elastic Beanstalk.

Vérifie si les mises à jour de plateforme gérées dans les environnements Elastic Beanstalk et les modèles de configuration sont activées.

AWS Elastic Beanstalk publie régulièrement des mises à jour de plate-forme pour fournir des correctifs, des mises à jour logicielles et de nouvelles fonctionnalités. Grâce aux mises à jour de plateforme gérées, Elastic Beanstalk peut automatiquement mettre à jour la plateforme lorsque de nouvelles versions de correctifs ou de nouvelles versions mineures sont disponibles.

Vous pouvez spécifier le niveau de mise à jour souhaité dans les UpdateLevelparamètres de vos AWS Config règles.

Pour plus d'informations, voir Mise à jour de la version de la plateforme de votre environnement Elastic Beanstalk.

c18d2gz177

AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled

Jaune : les mises à jour de plateforme AWS Elastic Beanstalk gérées ne sont pas du tout configurées, y compris au niveau des correctifs ou des correctifs.

Activez les mises à jour de plateforme gérées dans vos environnements Elastic Beanstalk ou configurez les mises à jour de version mineure ou de version corrective.

Pour plus d'informations, voir Mises à jour de plateforme gérées.

Vérifie si Amazon ECS utilise la dernière version de la plateforme de AWS Fargate. Les versions de plateforme Fargate font référence à un environnement d'exécution spécifique pour l'infrastructure de tâche Fargate. Il s'agit d'une combinaison de la version du noyau et de la version d'exécution du conteneur. De nouvelles versions de plateforme sont publiées au fur et à mesure de l'évolution de l'environnement d'exécution, par exemple, si des mises à jour, de nouvelles fonctionnalités, des corrections de bugs ou des mises à jour de sécurité sont apportées au noyau ou au système d'exploitation.

Pour plus d'informations, voir Maintenance des tâches Fargate.

c18d2gz174

AWS Config Managed Rule: ecs-fargate-latest-platform-version

Jaune : Amazon ne ECS fonctionne pas sur la dernière version de la plateforme Fargate.

Effectuez une mise à jour vers la dernière version de la plateforme Fargate.

Pour plus d'informations, voir Maintenance des tâches Fargate.

Vérifie si le statut de conformité de l' AWS Systems Manager association est COMPLIANT ou NON _ COMPLIANT après l'exécution de l'association sur l'instance.

State Manager, une fonctionnalité de AWS Systems Manager, est un service de gestion de configuration sécurisé et évolutif qui automatise le processus de maintien de vos nœuds gérés et AWS des autres ressources dans un état que vous définissez. Une association State Manager est une configuration que vous attribuez à vos AWS ressources. La configuration définit l'état que vous souhaitez conserver sur vos ressources, afin de vous aider à atteindre l'objectif, par exemple en évitant les dérives de configuration entre vos EC2 instances Amazon.

Pour plus d'informations, voir Gestionnaire d'états AWS Systems Manager.

c18d2gz147

AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check

Jaune : le statut de conformité de l' AWS Systems Manager association est NON _COMPLIANT.

Validez le statut des associations State Manager, puis prenez les mesures nécessaires pour rétablir le statut àCOMPLIANT.

Pour plus d'informations, voir À propos du gestionnaire d'états.

Gestionnaire d’états AWS Systems Manager

Vérifie si les AWS CloudTrail sentiers sont configurés pour envoyer des CloudWatch journaux à Logs.

Surveillez les fichiers CloudTrail CloudWatch journaux à l'aide des journaux pour déclencher une réponse automatique lorsque des événements critiques sont capturés AWS CloudTrail.

Pour plus d'informations, consultez la section Surveillance des fichiers CloudTrail journaux à l'aide de CloudWatch journaux.

c18d2gz164

AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled

Jaune : n' AWS CloudTrail est pas configuré avec l'intégration CloudWatch des journaux.

Configurez les CloudTrail traces pour envoyer les événements du journal à CloudWatch Logs.

Pour plus d'informations, voir Création d' CloudWatch alarmes pour CloudTrail des événements : exemples.

Vérifie si la protection contre les suppressions est activée pour vos équilibreurs de charge.

Elastic Load Balancing prend en charge la protection contre la suppression pour vos Application Load Balancers, Network Load Balancers et Gateway Load Balancers. Activez la protection contre la suppression pour protéger votre équilibreur de charge contre toute suppression accidentelle. La protection contre la suppression est désactivée par défaut lorsque vous créez un équilibreur de charge. Si vos équilibreurs de charge font partie d'un environnement de production, activez la protection contre la suppression.

Les journaux d'accès sont une fonctionnalité facultative d'Elastic Load Balancing qui est désactivée par défaut. Une fois que vous avez activé les journaux d'accès pour votre équilibreur de charge, Elastic Load Balancing capture les journaux et les stocke dans le compartiment Amazon S3 que vous spécifiez.

Pour plus d'informations, voir Protection des Application Load Balancers contre la suppression, Protection des Network Load Balancers contre la suppression ou Protection des Gateway Load Balancers contre la suppression.

c18d2gz168

AWS Config Managed Rule: elb-deletion-protection-enabled

Jaune : la protection contre la suppression n'est pas activée pour un équilibreur de charge.

Activez la protection contre la suppression pour vos Application Load Balancers, Network Load Balancers et Gateway Load Balancers.

Pour plus d'informations, voir Protection des Application Load Balancers contre la suppression, Protection des Network Load Balancers contre la suppression ou Protection des Gateway Load Balancers contre la suppression.

Vérifie si la protection contre la suppression est activée sur vos clusters Amazon RDS DB.

Lorsque la protection contre la suppression est configurée pour un cluster, la base de données ne peut être supprimée par aucun utilisateur.

La protection contre la suppression est disponible pour Amazon Aurora et RDS MySQL, RDS pour MariaDB, pour Oracle RDSRDS, pour SQL Postgre RDS et SQL pour les instances de base de données Server dans toutes les régions. AWS

Pour plus d'informations, voir Protection des clusters Aurora contre la suppression.

c18d2gz160

AWS Config Managed Rule: rds-cluster-deletion-protection-enabled

Jaune : vous avez des clusters Amazon RDS DB pour lesquels la protection contre la suppression n'est pas activée.

Activez la protection contre la suppression lorsque vous créez un RDS cluster de bases de données Amazon.

Vous pouvez uniquement supprimer les clusters pour lesquels la protection contre la suppression est désactivée. L'activation de la protection contre la suppression ajoute une couche de protection supplémentaire et évite les pertes de données dues à une suppression accidentelle ou non accidentelle d'une instance de base de données. La protection contre la suppression permet également de répondre aux exigences de conformité réglementaire et d'assurer la continuité des activités.

Pour plus d'informations, voir Protection des clusters Aurora contre la suppression.

Protection des clusters Aurora contre la suppression

Vérifie si les mises à niveau automatiques des versions mineures des instances Amazon RDS DB sont configurées.

Activez les mises à niveau automatiques des versions mineures pour une RDS instance Amazon afin de vous assurer que la base de données exécute toujours la dernière version sécurisée et stable. Les mises à niveau mineures fournissent des mises à jour de sécurité, des corrections de bogues, des améliorations des performances et garantissent la compatibilité avec les applications existantes.

Pour plus d'informations, voir Mise à niveau de la version d'un moteur d'instance de base de données.

c18d2gz155

AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled

Jaune : les mises à niveau automatiques des versions mineures ne sont pas activées sur l'RDSinstance de base de données.

Activez les mises à niveau automatiques des versions mineures lorsque vous créez une RDS instance de base de données Amazon.

Lorsque vous activez la mise à niveau de version mineure, la version de la base de données est automatiquement mise à niveau si elle exécute une version mineure du moteur de base de données antérieure à la version de mise à niveau manuelle du moteur.