Keunggulan Operasional

Memeriksa apakah Amazon API Gateway mengaktifkan CloudWatch Log pada tingkat logging yang diinginkan.

Aktifkan CloudWatch pencatatan untuk REST API metode atau WebSocket API rute di Amazon API Gateway untuk mengumpulkan log eksekusi di CloudWatch Log untuk permintaan yang diterima oleh AndaAPIs. Informasi yang terkandung dalam log eksekusi membantu mengidentifikasi dan memecahkan masalah yang terkait dengan Anda. API

Anda dapat menentukan ID level logging (ERROR,INFO) dalam loggingLevelparameter dalam AWS Config aturan.

Lihat REST API atau WebSocket API dokumentasi untuk informasi selengkapnya tentang CloudWatch masuk ke Amazon API Gateway.

c18d2gz125

AWS Config Managed Rule: api-gw-execution-logging-enabled

Kuning: Pengaturan CloudWatch logging untuk pengumpulan log eksekusi tidak diaktifkan pada tingkat logging yang diinginkan untuk Amazon API Gateway.

Aktifkan CloudWatch logging untuk log eksekusi untuk Amazon API Gateway Anda RESTAPIsatau WebSocket APIsdengan tingkat logging yang sesuai (ERROR,INFO).

Untuk informasi selengkapnya, lihat Membuat log alur

Memeriksa apakah Amazon API Gateway REST APIs telah mengaktifkan AWS X-Ray penelusuran.

Aktifkan penelusuran X-Ray REST APIs untuk memungkinkan API Gateway mengambil sampel permintaan API pemanggilan dengan informasi jejak. Ini memungkinkan Anda memanfaatkan AWS X-Ray untuk melacak dan menganalisis permintaan saat mereka melakukan perjalanan melalui API Gateway Anda REST APIs ke layanan hilir.

Untuk informasi selengkapnya, lihat Menelusuri permintaan pengguna untuk REST APIs menggunakan X-Ray.

c18d2gz126

AWS Config Managed Rule: api-gw-xray-enabled

Kuning: Penelusuran X-Ray tidak dihidupkan untuk API Gateway RESTAPI.

Aktifkan penelusuran X-Ray untuk API Gateway REST APIs Anda.

Untuk informasi selengkapnya, lihat Menyiapkan AWS X-Ray dengan API Gateway REST APIs.

Memeriksa apakah CloudFront distribusi Amazon dikonfigurasi untuk menangkap informasi dari log akses server Amazon S3. Log akses server Amazon S3 berisi informasi terperinci tentang setiap permintaan pengguna yang CloudFront diterima.

Anda dapat menyesuaikan nama bucket Amazon S3 untuk menyimpan log akses server, menggunakan BucketName parameter S3 dalam aturan Anda. AWS Config

Untuk informasi selengkapnya, lihat Mengkonfigurasi dan menggunakan log standar (log akses).

c18d2gz110

AWS Config Managed Rule: cloudfront-accesslogs-enabled

Kuning: Pencatatan CloudFront akses Amazon tidak diaktifkan

Pastikan Anda mengaktifkan pencatatan CloudFront akses untuk menangkap informasi terperinci tentang setiap permintaan pengguna yang CloudFront diterima.

Anda dapat mengaktifkan log standar saat membuat atau memperbarui distribusi.

Untuk informasi selengkapnya, lihat Nilai yang Anda tentukan saat membuat atau memperbarui distribusi.

Memeriksa apakah tindakan CloudWatch alarm Amazon Anda dalam status dinonaktifkan.

Anda dapat menggunakan AWS CLI untuk mengaktifkan atau menonaktifkan fitur tindakan di alarm Anda. Atau, Anda dapat menonaktifkan atau mengaktifkan fitur tindakan secara terprogram menggunakan. AWS SDK Ketika fitur tindakan alarm dimatikan, CloudWatch tidak melakukan tindakan yang ditentukan dalam status apa pun (OK, INSUFFICIENT _DATA,ALARM).

c18d2gz109

AWS Config Managed Rule: cloudwatch-alarm-action-enabled-check

Kuning: Tindakan CloudWatch alarm Amazon tidak diaktifkan. Tidak ada tindakan yang dilakukan dalam keadaan alarm apa pun.

Aktifkan tindakan di CloudWatch alarm Anda kecuali Anda memiliki alasan yang sah untuk menonaktifkannya, seperti untuk tujuan pengujian.

Jika CloudWatch alarm tidak lagi diperlukan, hapus untuk menghindari biaya yang tidak perlu.

Untuk informasi selengkapnya, lihat enable-alarm-actionsdi AWS CLI Command Reference dan func (*CloudWatch) EnableAlarmActions di AWS SDK untuk Go API Reference.

Memeriksa apakah EC2 instans Amazon di akun Anda dikelola oleh AWS Systems Manager.

Systems Manager membantu Anda memahami dan mengontrol status saat ini EC2 instans Amazon dan konfigurasi OS Anda. Dengan Systems Manager, Anda dapat mengumpulkan konfigurasi perangkat lunak dan informasi inventaris tentang armada instans Anda, termasuk perangkat lunak yang diinstal padanya. Ini memungkinkan Anda untuk melacak konfigurasi sistem terperinci, tingkat patch OS, konfigurasi aplikasi, dan detail lainnya tentang penerapan Anda.

Untuk informasi selengkapnya, lihat Menyiapkan Systems Manager untuk EC2 instance.

c18d2gz145

AWS Config Managed Rule: ec2-instance-managed-by-systems-manager

Kuning: EC2 Instans Amazon tidak dikelola oleh Systems Manager.

Konfigurasikan EC2 instans Amazon Anda agar dikelola oleh Systems Manager.

Pemeriksaan ini tidak dapat dikecualikan dari tampilan di Trusted Advisor konsol.

Untuk informasi selengkapnya, lihat Mengapa EC2 instance saya tidak ditampilkan sebagai node terkelola atau menampilkan status “Koneksi hilang” di Systems Manager? .

Menyiapkan Systems Manager untuk EC2 instans

Memeriksa apakah ECR repositori Amazon pribadi mengaktifkan kekekalan tag gambar.

Aktifkan kekekalan tag gambar untuk ECR repositori Amazon pribadi untuk mencegah tag gambar ditimpa. Ini memungkinkan Anda mengandalkan tag deskriptif sebagai mekanisme yang andal untuk melacak dan mengidentifikasi gambar secara unik.Misalnya, jika kekekalan tag gambar diaktifkan, pengguna dapat menggunakan tag gambar dengan andal untuk mengkorelasikan versi gambar yang diterapkan dengan build yang menghasilkan gambar tersebut.

Untuk informasi selengkapnya, lihat Mutabilitas tag gambar.

c18d2gz129

AWS Config Managed Rule: ecr-private-tag-immutability-enabled

Kuning: Repositori ECR pribadi Amazon tidak mengaktifkan kekekalan tag.

Aktifkan kekekalan tag gambar untuk repositori ECR pribadi Amazon Anda.

Untuk informasi selengkapnya, lihat Mutabilitas tag gambar.

Memeriksa apakah Amazon CloudWatch Container Insights diaktifkan untuk ECS klaster Amazon Anda.

CloudWatch Container Insights mengumpulkan, mengumpulkan, dan merangkum metrik dan log dari aplikasi dan layanan mikro dalam kontainer Anda. Metrik termasuk pemanfaatan untuk sumber daya sepertiCPU, memori, disk, dan jaringan.

Untuk informasi selengkapnya, lihat Amazon ECS CloudWatch Container Insights.

c18d2gz173

AWS Config Managed Rule: ecs-container-insights-enabled

Kuning: ECS Cluster Amazon tidak mengaktifkan wawasan kontainer.

Aktifkan CloudWatch Wawasan Kontainer di ECS kluster Amazon Anda.

Untuk informasi selengkapnya, lihat Menggunakan Wawasan Kontainer.

ECS CloudWatch Wawasan Kontainer Amazon

Memeriksa apakah konfigurasi log disetel pada definisi ECS tugas Amazon yang aktif.

Memeriksa konfigurasi log dalam definisi ECS tugas Amazon Anda memastikan bahwa log yang dihasilkan oleh kontainer dikonfigurasi dan disimpan dengan benar. Ini membantu mengidentifikasi dan memecahkan masalah dengan lebih cepat, mengoptimalkan kinerja, dan memenuhi persyaratan kepatuhan.

Secara default, log yang diambil menunjukkan output perintah yang biasanya Anda lihat di terminal interaktif jika Anda menjalankan kontainer secara lokal. Driver awslogs meneruskan log ini dari Docker ke Amazon Logs. CloudWatch

Untuk informasi selengkapnya, lihat Menggunakan driver log awslogs.

c18d2gz175

AWS Config Managed Rule: ecs-task-definition-log-configuration

Kuning: Definisi ECS tugas Amazon tidak memiliki konfigurasi logging.

Pertimbangkan untuk menentukan konfigurasi driver log dalam definisi kontainer untuk mengirim informasi CloudWatch log ke Log atau driver logging yang berbeda.

Untuk informasi lebih lanjut, lihat LogConfiguration.

Pertimbangkan untuk menentukan konfigurasi driver log dalam definisi kontainer untuk mengirim informasi CloudWatch log ke Log atau driver logging yang berbeda.

Untuk informasi selengkapnya, lihat Contoh definisi tugas.

Memeriksa apakah domain OpenSearch Layanan Amazon dikonfigurasi untuk mengirim log ke CloudWatch Log Amazon.

Log pemantauan sangat penting untuk menjaga keandalan, ketersediaan, dan kinerja OpenSearch Layanan.

Cari log lambat, pengindeksan log lambat, dan log kesalahan berguna untuk memecahkan masalah kinerja dan stabilitas beban kerja Anda. Log ini perlu diaktifkan untuk menangkap data.

Anda dapat menentukan jenis log mana yang ingin Anda filter (kesalahan, pencarian, indeks) menggunakan logTypesparameter dalam AWS Config aturan Anda.

Untuk informasi selengkapnya, lihat Memantau domain OpenSearch Layanan Amazon.

c18d2gz184

AWS Config Managed Rule: opensearch-logs-to-cloudwatch

Kuning: OpenSearch Layanan Amazon tidak memiliki konfigurasi logging dengan Amazon CloudWatch Logs

Konfigurasikan domain OpenSearch Layanan untuk mempublikasikan log ke CloudWatch Log.

Untuk informasi selengkapnya, lihat Mengaktifkan penerbitan log (konsol).

Kami merekomendasikan bahwa semua instance DB di cluster DB menggunakan grup parameter DB yang sama.

c1qf5bt010

Kuning: Cluster DB memiliki instance DB dengan kelompok parameter heterogen.

Kaitkan instans DB dengan grup parameter DB yang terkait dengan instance penulis di cluster DB Anda.

Ketika instans DB di cluster DB Anda menggunakan grup parameter DB yang berbeda, mungkin ada perilaku yang tidak konsisten selama masalah failover atau kompatibilitas antara instans DB di cluster DB Anda.

Untuk informasi selengkapnya, lihat Bekerja dengan grup parameter.

Sumber daya database Anda tidak mengaktifkan Enhanced Monitoring. Pemantauan yang Ditingkatkan menyediakan metrik sistem operasi waktu nyata untuk pemantauan dan pemecahan masalah.

c1qf5bt004

Kuning: RDS Sumber daya Amazon tidak mengaktifkan Enhanced Monitoring.

Aktifkan Pemantauan yang Ditingkatkan.

Pemantauan yang Ditingkatkan untuk Amazon RDS memberikan visibilitas tambahan tentang kesehatan instans DB Anda. Kami menyarankan Anda mengaktifkan Enhanced Monitoring. Ketika opsi Enhanced Monitoring diaktifkan untuk instans DB Anda, opsi ini mengumpulkan metrik sistem operasi penting dan informasi proses.

Untuk informasi selengkapnya, lihat Memantau metrik OS dengan Enhanced Monitoring.

Amazon RDS Performance Insights memantau pemuatan instans DB untuk membantu Anda menganalisis dan menyelesaikan masalah performa database. Kami menyarankan Anda mengaktifkan Performance Insights.

c1qf5bt012

Kuning: RDS Sumber daya Amazon tidak mengaktifkan Performance Insights.

Mengaktifkan Wawasan Performa.

Performance Insights menggunakan metode pengumpulan data ringan yang tidak memengaruhi kinerja aplikasi Anda. Performance Insights membantu Anda menilai beban database dengan cepat.

Untuk informasi selengkapnya, lihat Memantau pemuatan DB dengan Performance Insights di Amazon. RDS

Ketika parameter track_counts dimatikan, database tidak mengumpulkan statistik aktivitas database. Autovacuum membutuhkan statistik ini untuk berfungsi dengan benar.

Kami menyarankan Anda mengatur parameter track_counts ke 1

c1qf5bt027

Kuning: Grup parameter DB memiliki parameter track_counts dimatikan.

Setel parameter track_counts ke 1

Ketika parameter track_counts dimatikan, ia menonaktifkan pengumpulan statistik aktivitas database. Daemon autovacuum membutuhkan statistik yang dikumpulkan untuk mengidentifikasi tabel untuk autovacuum dan autoanalysis.

Untuk informasi lebih lanjut, lihat Statistik Run-time untuk Postgre SQL di situs web dokumentasi SQL Postgre.

Memeriksa apakah klaster Amazon Redshift Anda mengaktifkan pencatatan audit database. Amazon Redshift mencatat informasi tentang koneksi dan aktivitas pengguna di database Anda.

Anda dapat menentukan nama bucket Amazon S3 logging yang diinginkan agar sesuai dengan bucketNamesparameter aturan Anda AWS Config .

Untuk informasi selengkapnya, lihat Pencatatan audit database.

c18d2gz134

AWS Config Managed Rule: redshift-audit-logging-enabled

Kuning: Cluster Amazon Redshift menonaktifkan pencatatan audit basis data

Aktifkan pencatatan dan pemantauan untuk klaster Amazon Redshift Anda.

Untuk informasi selengkapnya, lihat Mengonfigurasi audit menggunakan konsol.

Pencatatan dan pemantauan di Amazon Redshift

Memeriksa konfigurasi logging bucket Amazon Simple Storage Service.

Mengaktifkan pencatatan akses server memberikan log akses per jam yang terperinci ke bucket Amazon S3 yang ditentukan. Log akses berisi detail permintaan termasuk jenis, sumber daya yang ditentukan, dan waktu/tanggal pemrosesan. Logging dimatikan secara default. Pelanggan harus mengaktifkan pencatatan akses untuk melakukan audit keamanan atau menganalisis perilaku pengguna dan pola penggunaan.

Ketika logging awalnya diaktifkan, konfigurasi secara otomatis divalidasi. Namun, modifikasi future dapat mengakibatkan kegagalan logging. Perhatikan bahwa saat ini pemeriksaan ini tidak memeriksa izin menulis bucket Amazon S3.

c1fd6b96l4

Aktifkan pencatatan akses server untuk semua bucket Amazon S3 yang relevan. Log akses server menyediakan jejak audit yang dapat digunakan untuk memahami pola akses bucket dan menyelidiki aktivitas yang mencurigakan. Mengaktifkan logging pada semua bucket yang berlaku akan meningkatkan visibilitas ke peristiwa akses di seluruh lingkungan Amazon S3 Anda. Lihat Mengaktifkan Pencatatan Menggunakan Konsol dan Mengaktifkan Pencatatan Secara Terprogram.

Jika izin bucket target tidak menyertakan akun root dan Anda Trusted Advisor ingin memeriksa status logging, tambahkan akun root sebagai penerima hibah. Lihat Mengedit Izin Bucket.

Jika bucket target tidak ada, pilih bucket yang sudah ada sebagai target atau buat bucket baru dan pilih bucket tersebut. Lihat Mengelola Bucket Logging.

Jika target dan sumber memiliki pemilik yang berbeda, ubah bucket target menjadi bucket yang memiliki pemilik yang sama dengan bucket sumber. Lihat Mengelola Bucket Logging.

Bekerja dengan ember

Pencatatan akses server

Format log akses server

Menghapus file log

Memeriksa apakah Pemberitahuan Acara Amazon S3 diaktifkan atau dikonfigurasi dengan benar dengan tujuan atau jenis yang diinginkan.

Fitur Pemberitahuan Acara Amazon S3 mengirimkan pemberitahuan saat peristiwa tertentu terjadi di bucket Amazon S3 Anda. Amazon S3 dapat mengirim pesan notifikasi ke SQS antrian Amazon, topik SNS Amazon, dan fungsi. AWS Lambda

Anda dapat menentukan tujuan dan jenis acara yang Anda inginkan menggunakan destinationArndan eventTypesparameter AWS Config aturan Anda.

Untuk informasi selengkapnya, lihat Pemberitahuan Acara Amazon S3.

c18d2gz163

AWS Config Managed Rule: s3-event-notifications-enabled

Kuning: Amazon S3 tidak mengaktifkan Pemberitahuan Acara, atau tidak dikonfigurasi dengan tujuan atau jenis yang diinginkan.

Konfigurasikan Notfiikasi Acara Amazon S3 untuk peristiwa objek dan bucket.

Untuk informasi selengkapnya, lihat Mengaktifkan dan mengonfigurasi notifikasi peristiwa menggunakan konsol Amazon S3.

Memeriksa apakah SNS topik Amazon mengaktifkan pencatatan status pengiriman pesan.

Konfigurasikan SNS topik Amazon untuk mencatat status pengiriman pesan agar membantu memberikan wawasan operasional yang lebih baik. Misalnya, pencatatan pengiriman pesan memverifikasi apakah pesan dikirim ke titik SNS akhir Amazon tertentu. Dan, ini juga membantu mengidentifikasi respons yang dikirim dari titik akhir.

Untuk informasi selengkapnya, lihat status pengiriman SNS pesan Amazon.

c18d2gz121

AWS Config Managed Rule: sns-topic-message-delivery-notification-enabled

Kuning: Pencatatan status pengiriman pesan tidak diaktifkan untuk SNS topik Amazon.

Aktifkan pencatatan status pengiriman pesan untuk SNS topik Anda.

Untuk informasi selengkapnya, lihat Mengonfigurasi pencatatan status pengiriman menggunakan Konsol AWS Manajemen.

Memeriksa apakah Amazon Virtual Private Cloud Flow Log dibuat untuk fileVPC.

Anda dapat menentukan jenis lalu lintas menggunakan trafficTypeparameter dalam AWS Config aturan Anda.

Untuk informasi selengkapnya, lihat Mencatat lalu lintas IP menggunakan VPC Flow Logs.

c18d2gz122

AWS Config Managed Rule: vpc-flow-logs-enabled

Kuning: VPCs tidak memiliki Amazon VPC Flow Logs.

Buat VPC Flow Logs untuk masing-masingVPCs.

Untuk informasi selengkapnya, lihat Membuat log alur

Memeriksa apakah Application Load Balancers dan Classic Load Balancers mengaktifkan akses logging.

Elastic Load Balancing memberikan log akses yang mengambil informasi mendetail tentang permintaan yang dikirim ke penyeimbang beban Anda. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. Anda dapat menggunakan log akses ini untuk menganalisis pola lalu lintas dan memecahkan masalah.

Log akses adalah fitur opsional Elastic Load Balancing yang dinonaktifkan secara default. Setelah mengaktifkan log akses untuk penyeimbang beban, Elastic Load Balancing menangkap log dan menyimpannya di bucket Amazon S3 yang Anda tentukan.

Anda dapat menentukan log akses Amazon S3 bucket yang ingin Anda periksa menggunakan BucketNames parameter s3 dalam aturan Anda. AWS Config

Untuk informasi selengkapnya, lihat Log akses untuk Application Load Balancer atau log Access untuk Classic Load Balancer Anda.

c18d2gz167

AWS Config Managed Rule: elb-logging-enabled

Kuning: Fitur log akses tidak diaktifkan untuk Application Load Balancer atau Classic Load Balancer.

Aktifkan log akses untuk Application Load Balancers dan Classic Load Balancer Anda.

Untuk informasi selengkapnya, lihat Mengaktifkan log akses untuk Application Load Balancer atau Aktifkan log akses untuk Classic Load Balancer Anda.

Memeriksa apakah semua AWS CloudFormation tumpukan Anda menggunakan Amazon SNS untuk menerima pemberitahuan ketika suatu peristiwa terjadi.

Anda dapat mengonfigurasi pemeriksaan ini untuk mencari SNS topik Amazon tertentu ARNs menggunakan parameter dalam AWS Config aturan Anda.

Untuk informasi selengkapnya, lihat Mengatur opsi AWS CloudFormation tumpukan.

c18d2gz111

AWS Config Managed Rule: cloudformation-stack-notification-check

Kuning: Pemberitahuan SNS acara Amazon untuk AWS CloudFormation tumpukan Anda tidak diaktifkan.

Pastikan AWS CloudFormation tumpukan Anda menggunakan Amazon SNS untuk menerima pemberitahuan saat peristiwa terjadi.

Memantau peristiwa tumpukan membantu Anda merespons dengan cepat tindakan tidak sah yang dapat mengubah lingkungan Anda AWS .

Bagaimana saya bisa menerima peringatan email ketika AWS CloudFormation tumpukan saya memasuki status ROLLBACK _IN_? PROGRESS

Memeriksa apakah setidaknya satu AWS CloudTrail jejak mencatat peristiwa data Amazon S3 untuk semua bucket Amazon S3 Anda.

Untuk informasi selengkapnya, lihat Mencatat API panggilan Amazon S3 menggunakan. AWS CloudTrail

c18d2gz166

AWS Config Managed Rule: cloudtrail-s3-dataevents-enabled

Kuning: pencatatan AWS CloudTrail peristiwa untuk bucket Amazon S3 tidak dikonfigurasi

Aktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek Amazon S3 untuk melacak permintaan akses bucket target.

Untuk informasi selengkapnya, lihat Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek S3.

Memeriksa apakah lingkungan AWS CodeBuild proyek menggunakan logging. Opsi logging dapat berupa log di Amazon CloudWatch Log, atau dibangun di bucket Amazon S3 tertentu, atau keduanya. Mengaktifkan logging dalam CodeBuild proyek dapat memberikan beberapa manfaat seperti debugging dan audit.

Anda dapat menentukan nama bucket Amazon S3 atau grup CloudWatch Log untuk menyimpan log, menggunakan parameter s3 BucketNames atau cloudWatchGroupNames dalam aturan Anda. AWS Config

Untuk informasi selengkapnya, lihat Monitoring AWS CodeBuild.

c18d2gz113

AWS Config Managed Rule: codebuild-project-logging-enabled

Kuning: pencatatan AWS CodeBuild proyek tidak diaktifkan.

Pastikan pencatatan diaktifkan di AWS CodeBuild proyek Anda. Pemeriksaan ini tidak dapat dikecualikan dari tampilan di AWS Trusted Advisor konsol.

Untuk informasi selengkapnya, lihat Logging dan monitoring in AWS CodeBuild.

Memeriksa apakah grup penyebaran dikonfigurasi dengan rollback penerapan otomatis dan pemantauan penerapan dengan alarm terpasang. Jika ada yang tidak beres selama penerapan, itu secara otomatis diputar kembali, dan aplikasi Anda tetap dalam keadaan stabil

Untuk informasi selengkapnya, lihat Menerapkan ulang dan memutar kembali penerapan dengan. CodeDeploy

c18d2gz114

AWS Config Managed Rule: codedeploy-auto-rollback-monitor-enabled

Kuning: rollback penerapan AWS CodeDeploy otomatis dan pemantauan penerapan tidak diaktifkan.

Konfigurasikan grup penerapan atau penerapan untuk memutar kembali secara otomatis saat penerapan gagal atau saat ambang batas pemantauan yang Anda tentukan terpenuhi.

Konfigurasikan alarm untuk memantau berbagai metrik, seperti CPU penggunaan, penggunaan memori, atau lalu lintas jaringan, selama proses penyebaran. Jika salah satu metrik ini melebihi ambang batas tertentu, alarm akan memicu, dan penerapan dihentikan atau diputar kembali.

Untuk informasi tentang mengatur rollback otomatis dan mengonfigurasi alarm untuk grup penerapan Anda, lihat Mengonfigurasi opsi lanjutan untuk grup penerapan.

Apa itu CodeDeploy?

Memeriksa apakah grup AWS CodeDeploy penerapan untuk platform AWS Lambda komputasi menggunakan konfigurasi all-at-once penerapan.

Untuk mengurangi risiko kegagalan penerapan fungsi CodeDeploy Lambda Anda, sebaiknya gunakan konfigurasi canary atau linear deployment alih-alih opsi default di mana semua lalu lintas digeser dari fungsi Lambda asli ke fungsi yang diperbarui sekaligus.

Untuk informasi selengkapnya, lihat Versi fungsi Lambda dan konfigurasi Deployment.

c18d2gz115

AWS Config Managed Rule: codedeploy-lambda-allatonce-traffic-shift-disabled

Kuning: Penerapan AWS CodeDeploy Lambda menggunakan konfigurasi all-at-once penerapan untuk mengalihkan semua lalu lintas ke fungsi Lambda yang diperbarui sekaligus.

Gunakan konfigurasi penyebaran Canary atau Linear dari grup CodeDeploy penerapan untuk platform komputasi Lambda.

Konfigurasi penyebaran

Memeriksa apakah AWS Elastic Beanstalk lingkungan dikonfigurasi untuk pelaporan kesehatan yang ditingkatkan.

Pelaporan kesehatan yang disempurnakan Elastic Beanstalk memberikan metrik kinerja terperinci, CPU seperti penggunaan, penggunaan memori, lalu lintas jaringan, dan informasi kesehatan infrastruktur, seperti jumlah instans dan status penyeimbang beban.

Untuk informasi lebih lanjut, lihat Pelaporan dan pemantauan kesehatan yang ditingkatkan.

c18d2gz108

AWS Config Managed Rule: beanstalk-enhanced-health-reporting-enabled

Kuning: Lingkungan Elastic Beanstalk tidak dikonfigurasi untuk pelaporan kesehatan yang ditingkatkan

Pastikan bahwa lingkungan Elastic Beanstalk dikonfigurasi untuk pelaporan kesehatan yang ditingkatkan.

Untuk informasi selengkapnya, lihat Mengaktifkan pelaporan kesehatan yang disempurnakan menggunakan konsol Elastic Beanstalk.

Memeriksa apakah pembaruan platform terkelola di lingkungan Elastic Beanstalk dan templat konfigurasi diaktifkan.

AWS Elastic Beanstalk secara teratur merilis pembaruan platform untuk memberikan perbaikan, pembaruan perangkat lunak, dan fitur baru. Dengan pembaruan platform terkelola, Elastic Beanstalk dapat secara otomatis melakukan pembaruan platform untuk patch baru dan versi platform minor.

Anda dapat menentukan tingkat pembaruan yang Anda inginkan dalam UpdateLevelparameter AWS Config aturan Anda.

Untuk informasi selengkapnya, lihat Memperbarui versi platform lingkungan Elastic Beanstalk Anda.

c18d2gz177

AWS Config Managed Rule: elastic-beanstalk-managed-updates-enabled

Kuning: pembaruan platform AWS Elastic Beanstalk terkelola tidak dikonfigurasi sama sekali, termasuk pada tingkat minor atau patch.

Aktifkan pembaruan platform terkelola di lingkungan Elastic Beanstalk Anda, atau konfigurasikan pada tingkat minor atau pembaruan.

Untuk informasi selengkapnya, lihat Pembaruan platform terkelola.

Memeriksa ECS apakah Amazon menjalankan versi platform terbaru AWS Fargate. Versi platform Fargate mengacu pada lingkungan runtime tertentu untuk infrastruktur tugas Fargate. Ini adalah kombinasi dari kernel dan versi runtime container. Versi platform baru dirilis saat lingkungan runtime berkembang. Misalnya, jika ada pembaruan kernel atau sistem operasi, fitur baru, perbaikan bug, atau pembaruan keamanan.

Untuk informasi lebih lanjut, lihat Pemeliharaan tugas Fargate.

c18d2gz174

AWS Config Managed Rule: ecs-fargate-latest-platform-version

Kuning: Amazon ECS tidak berjalan pada versi terbaru dari platform Fargate.

Perbarui ke versi platform Fargate terbaru.

Untuk informasi lebih lanjut, lihat Pemeliharaan tugas Fargate.

Memeriksa apakah status kepatuhan AWS Systems Manager asosiasi adalah COMPLIANT atau NON _ COMPLIANT setelah eksekusi asosiasi pada instance.

State Manager, kemampuan AWS Systems Manager, adalah layanan manajemen konfigurasi yang aman dan terukur yang mengotomatiskan proses menjaga node terkelola dan AWS sumber daya lainnya dalam keadaan yang Anda tentukan. Asosiasi Manajer Negara adalah konfigurasi yang Anda tetapkan ke AWS sumber daya Anda. Konfigurasi menentukan status yang ingin Anda pertahankan pada sumber daya Anda, sehingga membantu Anda mencapai target, seperti menghindari drift konfigurasi di seluruh instans Amazon Anda. EC2

Untuk informasi selengkapnya, lihat Manajer AWS Systems Manager Negara.

c18d2gz147

AWS Config Managed Rule: ec2-managedinstance-association-compliance-status-check

Kuning: Status kepatuhan AWS Systems Manager asosiasi adalah NON _COMPLIANT.

Validasi status asosiasi Manajer Negara, dan kemudian ambil tindakan yang diperlukan untuk mengembalikan status kembali. COMPLIANT

Untuk informasi selengkapnya, lihat Tentang Manajer Negara.

AWS Systems Manager State Manager

Memeriksa apakah AWS CloudTrail jejak dikonfigurasi untuk mengirim log ke CloudWatch Log.

Pantau file CloudTrail CloudWatch Log dengan Log untuk memicu respons otomatis saat peristiwa penting ditangkap AWS CloudTrail.

Untuk informasi selengkapnya, lihat Memantau File CloudTrail Log dengan CloudWatch Log.

c18d2gz164

AWS Config Managed Rule: cloud-trail-cloud-watch-logs-enabled

Kuning: AWS CloudTrail tidak diatur dengan integrasi CloudWatch Log.

Konfigurasikan CloudTrail jejak untuk mengirim peristiwa log ke CloudWatch Log.

Untuk informasi selengkapnya, lihat Membuat CloudWatch alarm untuk CloudTrail acara: contoh.

Memeriksa apakah perlindungan penghapusan diaktifkan untuk penyeimbang beban Anda.

Elastic Load Balancing mendukung perlindungan penghapusan untuk Application Load Balancers, Network Load Balancers, dan Gateway Load Balancer Anda. Aktifkan perlindungan penghapusan untuk mencegah penyeimbang beban Anda dari penghapusan yang tidak disengaja. Perlindungan penghapusan dimatikan secara default saat Anda membuat penyeimbang beban. Jika penyeimbang beban Anda adalah bagian dari lingkungan produksi, maka pertimbangkan untuk mengaktifkan perlindungan penghapusan.

Log akses adalah fitur opsional Elastic Load Balancing yang dinonaktifkan secara default. Setelah mengaktifkan log akses untuk penyeimbang beban, Elastic Load Balancing menangkap log dan menyimpannya di bucket Amazon S3 yang Anda tentukan.

Untuk informasi selengkapnya, lihat Perlindungan Penghapusan Application Load Balancer, Perlindungan PenghapusanNetwork Load Balancers, atau Perlindungan Penghapusan Gateway Load Balancer.

c18d2gz168

AWS Config Managed Rule: elb-deletion-protection-enabled

Kuning: Perlindungan penghapusan tidak diaktifkan untuk penyeimbang beban.

Aktifkan perlindungan penghapusan untuk Application Load Balancers, Network Load Balancers, dan Gateway Load Balancers.

Untuk informasi selengkapnya, lihat Perlindungan Penghapusan Application Load Balancer, Perlindungan PenghapusanNetwork Load Balancers, atau Perlindungan Penghapusan Gateway Load Balancer.

Memeriksa apakah klaster Amazon RDS DB Anda mengaktifkan perlindungan penghapusan.

Ketika cluster dikonfigurasi dengan perlindungan penghapusan, database tidak dapat dihapus oleh pengguna mana pun.

Perlindungan penghapusan tersedia untuk Amazon Aurora RDS dan untuk My, untuk MariaDBSQL, RDS untuk Oracle, untuk SQL PostgreRDS, dan untuk instance database RDS Server di semua Wilayah. RDS SQL AWS

Untuk informasi selengkapnya, lihat Perlindungan penghapusan untuk klaster Aurora.

c18d2gz160

AWS Config Managed Rule: rds-cluster-deletion-protection-enabled

Kuning: Anda memiliki kluster Amazon RDS DB yang tidak mengaktifkan perlindungan penghapusan.

Aktifkan perlindungan penghapusan saat Anda membuat klaster Amazon RDS DB.

Anda hanya dapat menghapus klaster yang tidak mengaktifkan perlindungan penghapusan. Mengaktifkan perlindungan penghapusan menambahkan lapisan perlindungan tambahan dan menghindari kehilangan data dari penghapusan instance database yang tidak disengaja atau tidak disengaja. Perlindungan penghapusan juga membantu memenuhi persyaratan kepatuhan peraturan dan memastikan kelangsungan bisnis.

Untuk informasi selengkapnya, lihat Perlindungan penghapusan untuk klaster Aurora.

Perlindungan penghapusan untuk cluster Aurora

Memeriksa apakah instans Amazon RDS DB memiliki peningkatan versi minor otomatis yang dikonfigurasi.

Aktifkan upgrade versi minor otomatis untuk RDS instans Amazon untuk memastikan bahwa database selalu menjalankan versi aman dan stabil terbaru. Peningkatan kecil menyediakan pembaruan keamanan, perbaikan bug, peningkatan kinerja, dan menjaga kompatibilitas dengan aplikasi yang ada.

Untuk informasi selengkapnya, lihat Memutakhirkan versi mesin instans DB.

c18d2gz155

AWS Config Managed Rule: rds-automatic-minor-version-upgrade-enabled

Kuning: Instans RDS DB tidak mengaktifkan upgrade versi minor otomatis.

Aktifkan upgrade versi minor otomatis saat Anda membuat instans Amazon RDS DB.

Ketika Anda mengaktifkan upgrade versi minor, versi database secara otomatis meng-upgrade jika menjalankan versi minor dari mesin DB yang lebih rendah dari versi manual upgrade mesin.