容錯能力

檢查您的 Application Load Balancer 是否設定為使用多個可用區域 (AZ)。AZ 是明顯與其他區域中的故障隔絕開來的地點。在相同區域中的多個 AZs 中設定負載平衡器，以協助改善工作負載可用性。

c1dfprch08

黃色：ALB位於單一 AZ 中。

綠色：ALB有兩個或更多單AZs。

請確定您的負載平衡器已設定至少兩個可用區域。

如需詳細資訊，請參閱《Application Load Balancer 的可用區域》。

如需詳細資訊，請參閱下列 文件：

檢查 Amazon Aurora MySQL 叢集是否已啟用回溯。

Amazon Aurora MySQL 叢集回溯是一項功能，可讓您將 Aurora 資料庫叢集還原至上一個時間點，而無需建立新叢集。它可讓您將資料庫復原到保留期間內的特定時間點，而無需從快照還原。

您可以在 AWS Config 規則的 BacktrackWindowInHours 參數中調整回溯時段 （小時）。

如需詳細資訊，請參閱恢復 Aurora 資料庫叢集。

c18d2gz131

AWS Config Managed Rule: aurora-mysql-backtracking-enabled

黃色：未啟用 Amazon Aurora MySQL 叢集回溯。

開啟 Amazon Aurora MySQL 叢集的回溯。

如需詳細資訊，請參閱恢復 Aurora 資料庫叢集。

回溯 Aurora 資料庫叢集

檢查是否有 Amazon Aurora 資料庫叢集同時具備私有執行個體和公有執行個體。

如果主要資料庫執行個體失敗，可將複本提升為主要執行個體。如果該複本是私有的，則只具公有存取權的使用者在容錯移轉後將無法再連線至資料庫。建議叢集中的所有資料庫執行個體都具有相同的存取性。

xuy7H1avtl

黃色：Aurora 資料庫叢集中的執行個體具有不同的可存取性 (混合公有和私有)。

修改資料庫叢集中執行個體的 Publicly Accessible 設定，使其全部為公有或私有。如需詳細資訊，請參閱修改執行 MySQL 資料庫引擎的資料庫執行個體的 MyWord 執行個體說明。 SQL

Aurora 資料庫叢集的容錯能力

檢查原始伺服器群組是否已針對 Amazon CloudFront 中包含兩個原始伺服器的分佈進行設定。

如需詳細資訊，請參閱使用 CloudFront 原始伺服器容錯移轉最佳化高可用性。

c18d2gz112

AWS Config Managed Rule: cloudfront-origin-failover-enabled

黃色：未啟用 Amazon CloudFront 原始伺服器容錯移轉。

請確定您開啟 CloudFront 分發的原始伺服器容錯移轉功能，以協助確保內容交付的高可用性給最終使用者。當您開啟此功能時，如果主要原始伺服器無法使用，流量會自動路由到備份原始伺服器。如此能讓潛在的停機時間降至最低，並確保內容的持續可用性。

檢查基礎模型已使用客戶受管金鑰加密之端點的 AWS Key Management Service (AWS KMS) 金鑰許可。如果客戶管理的金鑰已停用、或金鑰政策已變更而改變了 Amazon Comprehend 允許的權限，則端點可用性可能會受到影響。

Cm24dfsM13

紅色：如果客戶管理金鑰已停用，或金鑰政策已變更，從而改變了對 Amazon Comprehend 的存取權限。

如果客戶管理金鑰已停用，建議您啟用金鑰。如需詳細資訊，請參閱啟用金鑰。如果金鑰政策已變更，而且您想要繼續使用端點，建議您更新 AWS KMS 金鑰政策。如需詳細資訊，請參閱變更金鑰政策。

AWS KMS 許可

檢查是否有 Amazon DocumentDB 叢集設定為單一可用區域。

在單一可用區架構中執行 Amazon DocumentDB 工作負載並不足以處理高度關鍵的工作負載，從元件故障中復原可能需要最多 10 分鐘。客戶應在其他可用區域中部署複本執行個體，以確保在維護期間、執行個體故障、元件故障或可用區域故障期間的可用性。

c15vnddn2x

黃色：Amazon DocumentDB 叢集的執行個體位於少於三個可用區域。

綠色：Amazon DocumentDB 叢集的執行個體位於三個可用區域。

如果您的應用程式需要高可用性，請修改資料庫執行個體以使用複本執行個體啟用多可用區域。請參閱 Amazon DocumentDB 高可用性和複寫

了解 Amazon DocumentDB 叢集容錯能力

區域與可用區域

檢查是否為 Amazon DynamoDB 資料表啟用了時間點復原。

時間點復原有助於保護您的 DynamoDB 資料表免遭意外寫入或刪除操作。有了時間點復原，就無需為建立、維護或排程隨需備份而煩惱。時間點復原可將該資料表還原到過去 35 天內的任何時間點。DynamoDB 維護您資料表的增量備份。

如需詳細資訊，請參閱 DynamoDB 的 Point-in-time 復原。

c18d2gz138

AWS Config Managed Rule: dynamodb-pitr-enabled

您的 DynamoDB 資料表未啟用黃色： Point-in-time 復原。

在 Amazon DynamoDB 中開啟 point-in-time 復原，以持續備份您的資料表資料。

如需詳細資訊，請參閱 Point-in-time 復原：運作方式。

DynamoDB 的Point-in-time 復原

檢查 Amazon DynamoDB 資料表是否為 AWS Backup 計劃的一部分。

AWS Backup 為 DynamoDB 資料表提供增量備份，可擷取自上次備份以來所做的變更。在 AWS Backup 計劃中包含 DynamoDB 資料表有助於保護您的資料免受意外資料遺失情況的影響，並自動化備份程序。這可以為 DynamoDB 資料表提供可靠且可擴展的備份解決方案，協助確保您寶貴的資料獲得妥善保護，並可視需要進行復原。

如需詳細資訊，請參閱使用 建立 DynamoDB 資料表的備份 AWS Backup

c18d2gz107

AWS Config Managed Rule: dynamodb-in-backup-plan

黃色： AWS Backup 計劃中不包含 Amazon DynamoDB 資料表。

確保您的 Amazon DynamoDB 資料表是 AWS Backup 計劃的一部分。

排程備份

什麼是 AWS Backup？

使用 AWS Backup 主控台建立備份計劃

檢查備份計劃中是否存在 Amazon EBS 磁碟區 AWS Backup。

在 AWS Backup 計劃中包含 Amazon EBS 磁碟區，以自動定期備份存放在這些磁碟區上的資料。如此可保護您不受資料遺失的影響，讓資料管理更加輕鬆，並可在需要時進行資料復原。備份計畫有助於確保您的資料安全，且您能夠滿足應用程式和服務復原時間和點目標 (RTO/RPO)。

如需詳細資訊，請參閱建立備份計畫

c18d2gz106

AWS Config Managed Rule: ebs-in-backup-plan

黃色：Amazon EBS 磁碟區不包含在 AWS Backup 計劃中。

請確定您的 Amazon EBS 磁碟區是 AWS Backup 計劃的一部分。

使用 AWS Backup 主控台建立備份計劃

什麼是 AWS Backup？

開始使用 3：建立排程備份

檢查 Amazon EBS 磁碟區的快照使用時間 （可用或使用中）。即使複寫 Amazon EBS 磁碟區，也會發生失敗。快照是持久的 toAmazon S3，用於持久儲存和 point-in-time 復原。

H7IgTzjTYb

每週或每月建立磁碟區快照。如需詳細資訊，請參閱建立 Amazon EBS 快照。

若要自動建立 EBS 快照，您可以考慮使用 AWS Backup或 Amazon Data Lifecycle Manager。

Amazon Elastic Block Store (Amazon EBS)

Amazon EBS 快照

AWS Backup

Amazon Data Lifecycle Manager

檢查與 Classic Load Balancer 相關聯的 Amazon EC2 Auto Scaling 群組是否使用 Elastic Load Balancing 運作狀態檢查。Auto Scaling 群組的預設運作狀態檢查僅是 Amazon EC2 狀態檢查。如果執行個體未通過這些運作狀態檢查，則會標記為運作狀態不佳並予以終止。Amazon EC2 Auto Scaling 會啟動新的替換執行個體。Elastic Load Balancing 運作狀態檢查會定期監控 Amazon EC2 執行個體，以偵測和終止運作狀態不佳的執行個體，然後啟動新的執行個體。

如需詳細資訊，請參閱新增 Elastic Load Balancing 運作狀態檢查。

c18d2gz104

AWS Config Managed Rule: autoscaling-group-elb-healthcheck-required

黃色：連接至 Classic Load Balancer 的 Amazon EC2 Auto Scaling 群組尚未啟用 Elastic Load Balancing 運作狀態檢查。

確保與 Classic Load Balancer 關聯的 Auto Scaling 群組使用 Elastic Load Balancing 運作狀態檢查。

Elastic Load Balancing 運作狀態檢查報告負載平衡器是否運作狀態良好且可用於處理請求。如此可確保應用程式的高可用性。

如需詳細資訊，請參閱將 Elastic Load Balancing 運作狀態檢查新增至 Auto Scaling 群組

檢查是否針對使用多個執行個體類型的 Amazon EC2 Auto Scaling 群組啟用容量重新平衡。

使用容量重新平衡設定 Amazon EC2 Auto Scaling 群組有助於確保 Amazon EC2 執行個體平均分佈於可用區域，無論執行個體類型和購買選項為何。它使用與群組相關聯的目標追蹤政策，例如 CPU 使用率或網路流量。

如需詳細資訊，請參閱具備多個執行個體類型及購買選項的 Auto Scaling 群組。

AWS Config c18d2gz103

AWS Config 受管規則： autoscaling-capacity-rebalancing

黃色：未啟用 Amazon EC2 Auto Scaling 群組容量重新平衡。

確保為使用多個執行個體類型的 Amazon EC2 Auto Scaling 群組啟用容量重新平衡。

如需詳細資訊，請參閱啟用容量重新平衡 (主控台)

檢查 Amazon EC2 Auto Scaling 群組是否部署在多個可用區域中，或指定的可用區域數量下限。在多個可用區域中部署 Amazon EC2 執行個體，以確保高可用性。

您可以使用 AWS Config 規則中的 minAvailibilityZones 參數來調整可用區域數量下限。

如需詳細資訊，請參閱具備多個執行個體類型及購買選項的 Auto Scaling 群組。

c18d2gz101

AWS Config Managed Rule: autoscaling-multiple-az

紅色：Amazon EC2 Auto Scaling 群組未設定多個 AZs，或不符合指定的 AZs 數目下限。

請確定您的 Amazon EC2 Auto Scaling 群組已設定多個 AZs。在多個可用區域中部署 Amazon EC2 執行個體，以確保高可用性。

使用啟動範本建立 Auto Scaling 群組

使用啟動組態建立 Auto Scaling 群組

檢查 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體在區域中可用區域的分佈。

可用區域為不同位置，可以隔離其他可用區域的故障。這為同一區域中其他可用區域提供實惠、低延遲的網路連線能力。藉由在同一區域的多個可用區域中啟動執行個體，您可以保護應用程式免於發生單點故障情形。

wuy7G1zxql

在多個可用區域之間平均平衡 Amazon EC2 執行個體。您可以手動啟動執行個體來執行此操作或使用 Auto Scaling 來自動執行此操作。如需詳細資訊，請參閱啟動您的執行個體和平衡您的 Auto Scaling 群組負載。

檢查是否已針對 yourAmazon EC2 Word執行個體啟用詳細監控。

Amazon EC2 詳細監控提供更頻繁的指標，以一分鐘為間隔發佈，而不是 Amazon EC2 基本監控中使用的五分鐘間隔。啟用 Amazon EC2 的詳細監控可協助您更好地管理 Amazon EC2 資源，以便您可以找到趨勢並更快地採取行動。

如需詳細資訊，請參閱基本監控和詳細監控。

AWS Config c18d2gz144

AWS Config 受管規則：ec2-instance-detailed-monitoring-enabled

黃色：Amazon EC2 執行個體未啟用詳細監控。

開啟 Amazon EC2 執行個體的詳細監控，以增加 Amazon EC2 指標資料發佈至 Amazon CloudWatch 的頻率 （從 5 分鐘到 1 分鐘的間隔）。

檢查以封鎖模式使用 AWS日誌記錄驅動程式設定的 Amazon ECS 任務定義。在封鎖模式中設定的驅動程式會危及系統的可用性。

c1dvkm4z6b

黃色：awslogs 驅動程式記錄組態參數模式設定為封鎖或遺失。缺少模式參數表示預設封鎖組態。

綠色：Amazon ECS 任務定義未使用 awslogs 驅動程式，或 awslogs 驅動程式設定為非封鎖模式。

若要降低可用性風險，請考慮將任務定義 AWS日誌驅動程式組態從封鎖變更為非封鎖。使用非封鎖模式時，您必須設定 max-buffer-size 參數的值。如需組態參數的詳細資訊和指引，請參閱 。請參閱在日誌 AWS容器日誌驅動程式中使用非封鎖模式防止日誌遺失

使用 AWS 日誌日誌驅動程式

選擇容器記錄選項以避免背壓

在 AWS Logs 容器日誌驅動程式中使用非封鎖模式防止日誌遺失

檢查您的服務組態是否使用單一可用區域 (AZ)。

AZ 是明顯與其他區域中的故障隔絕開來的地點。這支援在相同 AZs 之間以低成本、低延遲的網路連線 AWS 區域。透過在相同區域中的多個 AZs 中啟動執行個體，您可以協助保護應用程式免受單一故障點的影響。

c1z7dfpz01

在不同的 AZ 中為服務至少再建立一個任務。

Amazon ECS 容量和可用性

檢查您的 Amazon ECS 服務是否根據可用區域 (AZ) 使用分散置放策略。此策略會將任務分散到相同 的可用區域， AWS 區域 並有助於保護您的應用程式免受單一故障點的影響。

對於在 Amazon ECS 服務中執行的任務，分散是預設的任務置放策略。

此檢查還會驗證分散是否為已啟用置放策略清單中的第一個策略或唯一策略。

c1z7dfpz02

啟用分散任務置放策略，將任務分散到多個 AZs。確認依可用區域分散是所有已啟用任務置放策略的第一個策略，或是唯一使用的策略。如果您選擇管理 AZ 置放，則可以在另一個 AZ 中使用鏡像服務來減輕這些風險。

Amazon ECS 任務置放策略

檢查掛載目標是否存在於 Amazon EFS 檔案系統的多個可用區域中。

可用區域是明顯與其他區域中的故障隔絕開來的地點。透過在 AWS 區域中的多個地理位置分隔可用區域中建立掛載目標，您可以為 Amazon EFS 檔案系統實現最高層級的可用性和耐久性。

c1dfprch01

對於使用單區域儲存類別的 EFS 檔案系統，我們建議您將備份還原至新的檔案系統，以建立新的使用標準儲存類別的檔案系統。然後在多個可用區域中建立掛載目標。

對於使用標準儲存類別的 EFS 檔案系統，我們建議您在多個可用區域中建立掛載目標。

檢查 Amazon EFS 檔案系統是否包含在備份計劃中 AWS Backup。

AWS Backup 是統一備份服務，旨在簡化備份的建立、遷移、還原和刪除，同時改善報告和稽核。

如需詳細資訊，請參閱備份 Amazon EFS 檔案系統。

c18d2gz117

AWS Config Managed Rule: EFS_IN_BACKUP_PLAN

紅色：Amazon EFS 不包含在 AWS Backup 計劃中。

確保您的 Amazon EFS 檔案系統包含在 AWS Backup 計畫中，以防止意外的資料遺失或資料損毀。

備份您的 Amazon EFS 檔案系統

Amazon EFS Backup and Restore using AWS Backup。

檢查在單一可用區域 (AZ) 中部署的 ElastiCache 叢集。如果 Multi-AZ 在叢集中處於非作用中狀態，則此檢查會提醒您。

在多個 AZs 中部署可透過非同步複寫至不同 AZ 中的唯讀複本來增強 ElastiCache 叢集可用性。進行計劃叢集維護或主要節點無法使用時， ElastiCache 會自動將複本提升為主要節點。此容錯移轉允許繼續執行叢集寫入操作，而且不需要管理員介入。

ECHdfsQ402

在與主碎片不同的可用區域中，為每個碎片至少建立一個複本。

如需詳細資訊，請參閱使用多可用區將 in ElastiCache (Redis OSS) 停機時間降至最低。

檢查 Amazon ElastiCache (Redis OSS) 叢集是否已開啟自動備份，以及快照保留期是否超過指定或 15 天預設限制。啟用自動備份時， ElastiCache 會每日建立叢集的備份。

您可以使用 AWS Config 規則的 snapshotRetentionPeriod 參數來指定所需的快照保留限制。

如需詳細資訊，請參閱備份和還原 for ElastiCache (Redis OSS)。

c18d2gz178

AWS Config Managed Rule: elasticache-redis-cluster-automatic-backup-check

紅色：Amazon ElastiCache (Redis OSS) 叢集未開啟自動備份，或快照保留期低於限制。

確定 Amazon ElastiCache (Redis OSS) 叢集已開啟自動備份，且快照保留期超過指定的或 15 天預設限制。自動備份可協助防止資料遺失。如果發生失敗，您可以建立新的叢集，從最新的備份還原您的資料。

如需詳細資訊，請參閱備份和還原 for ElastiCache (Redis OSS)。

如需詳細資訊，請參閱排程自動備份。

檢查是否有 MemoryDB 叢集部署在單一可用區域 (AZ) 中。如果 Multi-AZ 在叢集中處於非作用中狀態，則此檢查會提醒您。

在多個 AZs 中的部署會透過非同步複寫至不同 AZ 中的唯讀複本來增強 MemoryDB 叢集可用性。進行計畫的叢集維護或主節點無法使用時，MemoryDB 會自動將複本提升為主節點。此容錯移轉允許繼續執行叢集寫入操作，而且不需要管理員介入。

MDBdfsQ401

在與主碎片不同的可用區域中，為每個碎片至少建立一個複本。

如需詳細資訊，請參閱在 Minimizing downtime in MemoryDB with Multi-AZ (使用 Multi-AZ 將 MemoryDB 中的停機時間降至最低)。

檢查 Managed Streaming for Kafka (MSK) 叢集的代理程式未指派超過建議的分割區數量。

Cmsvnj8vf1

遵循 MSK 建議的最佳實務來擴展 MSK 叢集或刪除任何未使用的分割區。

檢查 Amazon AZs 佈建叢集的可用區域 (MSK) 數量。Amazon MSK 叢集由數個代理程式組成，這些代理程式可共同運作並分配資料和負載。在 2-AZ 叢集中的維護或代理程式問題期間，生產可能會中斷。

90046ff5b5

若要提高叢集的可用性，您可以在 3 個AZs設定中建立另一個叢集。然後將現有叢集遷移至您建立的新叢集。您可以使用 Amazon MSK 複寫進行此遷移。

Amazon MSK 高可用性

Amazon MSK 遷移

檢查 Amazon OpenSearch Service 網域是否已設定至少三個資料節點，且 ZoneAwarenessEnabled 為 true。在啟用 ZoneAwarenessEnabled 的情況下，Amazon OpenSearch Service 可確保每個主碎片及其對應的複本都配置在不同可用區域中。

如需詳細資訊，請參閱在 Amazon OpenSearch Service 中設定多可用區域網域。

c18d2gz183

AWS Config Managed Rule: opensearch-data-node-fault-tolerance

黃色：Amazon OpenSearch Service 網域設定為少於三個資料節點。

確定 Amazon OpenSearch Service 網域至少設定三個資料節點。設定多可用區域網域，透過在相同區域內的三個可用區域配置節點和複寫資料，來增強 Amazon OpenSearch Service 叢集的可用性。如此可避免在發生節點和資料中心 (AZ) 故障的情況下造成資料遺失，且將停機時間降到最低。

如需詳細資訊，請參閱在三個可用區域中部署，以增加 Amazon OpenSearch Service 的可用性。

檢查 Amazon RDS 資料庫執行個體的自動備份。

備份功能預設為啟用，保留期間為一天。備份可降低意外資料遺失的風險，並允許 for point-in-time 復原。

opQPADkZvH

紅色：資料庫執行個體的備份保留期間設為 0 天。

根據應用程式的需求，將自動化資料庫執行個體備份的保留期間設為 1 到 35 天。請參閱使用自動備份。

Amazon RDS 入門

將至少另一個資料庫執行個體新增至資料庫叢集，以改善可用性和效能。

c1qf5bt011

黃色：資料庫叢集只有一個資料庫執行個體。

將讀取器資料庫執行個體新增至資料庫叢集。

在目前的組態中，讀取和寫入操作都會使用一個資料庫執行個體。您可以新增另一個資料庫執行個體，以允許讀取重新分發和容錯移轉選項。

如需詳細資訊，請參閱 Amazon Aurora 的高可用性。

資料庫叢集目前位於單一可用區域中。使用多個可用區域來改善可用性。

c1qf5bt007

黃色：資料庫叢集在同一可用區域中具有所有執行個體。

將資料庫執行個體新增至資料庫叢集中的多個可用區域。

建議您將資料庫執行個體新增至資料庫叢集中的多個可用區域。將資料庫執行個體新增至多個可用區域可改善資料庫叢集的可用性。

如需詳細資訊，請參閱 Amazon Aurora 的高可用性。

在您的資料庫叢集之中，所有讀取器執行個體都位於相同的可用區域。建議您將 Reader 執行個體分散到資料庫叢集中的多個可用區域。

分佈會增加資料庫的可用性，並透過減少用戶端和資料庫之間的網路延遲來改善回應時間。

c1qf5bt018

紅色：資料庫叢集在相同的可用區域中具有讀取器執行個體。

將讀取器執行個體分散到多個可用區域。

可用區域 (AZs) 是彼此不同的位置，可在每個 AWS 區域內發生中斷時提供隔離。我們建議您將資料庫叢集中的主要執行個體和讀取器執行個體分散到多個 AZs，以改善資料庫叢集的可用性。您可以在建立叢集API時 AWS Management Console AWS CLI，使用 或 Amazon RDS 來建立多可用區域叢集。您可以透過新增讀取器執行個體並指定不同的 AZ，將現有的 Aurora 叢集修改為多可用區域叢集。

如需詳細資訊，請參閱 Amazon Aurora 的高可用性。

檢查您的 Amazon RDS 資料庫執行個體是否已啟用增強型監控。

Amazon RDS 增強型監控為您的資料庫執行個體執行所在的作業系統 (OS) 提供即時指標。您可以在 Amazon RDS 主控台上檢視 Amazon RDS 資料庫執行個體的所有系統指標和程序資訊。此外，您還可以自訂儀表板。透過增強型監控，您可以近乎即時地查看 Amazon RDS 執行個體操作狀態，讓您更快地回應操作問題。

您可以使用 AWS Config 規則的 monitoringInterval 參數來指定所需的監控間隔。

如需詳細資訊，請參閱增強型監視概觀和增強型監控中的 OS 指標。

c18d2gz158

AWS Config Managed Rule: rds-enhanced-monitoring-enabled

黃色：您的 Amazon RDS 資料庫執行個體未啟用增強型監控，或未設定所需的間隔。

為您的 Amazon RDS 資料庫執行個體啟用增強型監控，以改善 Amazon RDS 執行個體操作狀態的可見性。

如需詳細資訊，請參閱使用增強型監控來監控 OS 指標。

增強型監控中的作業系統指標

資料庫執行個體未開啟 Amazon RDS 儲存體自動擴展。當資料庫工作負載增加時，RDS Storage 自動擴展會在零停機時間的情況下自動擴展儲存容量。

c1qf5bt013

紅色：資料庫執行個體未開啟儲存體自動擴展。

開啟具有指定最大儲存閾值的 Amazon RDS 儲存體自動擴展。

當資料庫工作負載增加時，Amazon RDS 儲存體自動擴展儲存容量，零停機時間。儲存體自動擴展會監控儲存體用量，並在用量接近佈建儲存體容量時自動擴展容量。您可以指定 Amazon RDS 可配置給資料庫執行個體的儲存體上限。儲存體自動擴展無需額外費用。您只需為配置給資料庫執行個體的 Amazon RDS 資源支付費用。建議您開啟 Amazon RDS 儲存體自動擴展。

如需詳細資訊，請參閱使用 Amazon RDS 儲存體自動擴展自動管理容量。

建議您使用多可用區部署。多可用區部署可增強資料庫執行個體的可用性和耐久性。

c1qf5bt019

黃色：資料庫執行個體未使用多可用區部署。

為受影響的資料庫執行個體設定多可用區域。

在 Amazon RDS Multi-AZ 部署中，Amazon RDS 會自動建立主要資料庫執行個體，並將資料複寫至不同可用區域中的執行個體。當 Amazon RDS 偵測到故障時，會自動容錯移轉至待命執行個體，而不需要手動介入。

如需詳細資訊，請參閱 定價。

檢查 CloudWatch 指標 DiskQueueDepth 是否顯示 RDS 執行個體資料庫儲存體的佇列寫入數量已增加到建議操作調查的層級。

Cmsvnj8db3

請考慮移至支援讀取/寫入特性的執行個體和儲存磁碟區。

檢查 Word 資料庫執行個體的 RDS Word FreeStorageSpace CloudWatch 指標是否已低於操作上合理的閾值。

Cmsvnj8db2

使用 Amazon RDS 管理主控台、Amazon RDS API或 RDS 命令列介面，為在可用儲存體上執行不足的 AWS 資料庫執行個體擴展儲存空間。

當 log_output 設定為 TABLE 時，使用的儲存空間會比 log_output 設定為 FILE 時多。建議您將 參數設定為 FILE，以避免達到儲存體大小限制。

c1qf5bt023

黃色：資料庫參數群組的 log_output 參數設定為 TABLE。

將 log_output 參數值設定為資料庫參數群組中的 FILE。

如需詳細資訊，請參閱 MySQL 資料庫日誌檔案。

您的資料庫執行個體遇到已知問題：在 MySQL 版本低於 8.0.26 且 row_format 設定為 COMPACT 或 REDUNDANT 的 MyWord 版本中建立的資料表，當索引超過 767 個位元組時，無法存取且無法復原。

建議您將 innodb_default_row_format 參數值設定為 DYNAMIC。

c1qf5bt036

紅色：資料庫參數群組對 innodb_default_row_format 參數設定不安全。

將 innodb_default_row_format 參數設定為 DYNAMIC。

當建立 MySQL 版本低於 8.0.26 且 row_format 設定為 COMPACT 或 REDUNDANT 的資料表時，不會強制執行建立索引，索引鍵字首小於 767 個位元組。資料庫重新啟動後，無法存取或復原這些資料表。

如需詳細資訊，請參閱 MySQL 文件網站上的 MyWord 8.0.26 (2021-07-20 中的變更，一般可用性）n。SQL

資料庫執行個體的 innodb_flush_log_at_trx_commit 參數值不是安全值。此參數控制提交操作至磁碟的持續性。

建議您將 innodb_flush_log_at_trx_commit 參數設定為 1。

c1qf5bt030

黃色：資料庫參數群組的 innodb_flush_log_at_trx_commit 設定為 1 以外的 。

將 innodb_flush_log_at_trx_commit 參數值設定為 1

將日誌緩衝區儲存至耐用儲存體時，資料庫交易是耐用的。不過，儲存到磁碟會影響效能。根據 innodb_flush_log_at_trx_commit 參數的值設定，日誌寫入和儲存至磁碟的行為可能會有所不同。

如需詳細資訊，請參閱設定 Amazon RDS for MySQL 參數的最佳實務，第 1 部分：與效能相關的參數。

針對每個資料庫帳戶能同時連線的數量上限，您的資料庫執行個體設定值很低。

我們建議將 max_user_connections 參數設定為大於 5 的數字。

c1qf5bt034

黃色：資料庫參數群組的 max_user_connections 設定錯誤。

將 max_user_connections 參數的值增加到大於 5 的數字。

max_user_connections 設定控制 MySQL 使用者帳戶允許的同時連線數量上限。達到此連線限制會導致 Amazon RDS 執行個體管理操作失敗，例如備份、修補和參數變更。

如需詳細資訊，請參閱 MySQL 文件網站上的設定帳戶資源限制。

檢查是否有資料庫執行個體部署在單一可用區域 (AZ) 中。

Multi-AZ 部署會同步複寫至不同可用區域中的備用執行個體，以增強資料庫的可用性。在計劃資料庫維護期間，或資料庫執行個體或可用區域的失敗期間，Amazon RDS 會自動容錯移轉至待命。此容錯移轉可讓資料庫作業快速恢復，無需系統管理介入。由於 Amazon RDS 不支援 Microsoft SQL Server 的多可用區部署，因此此檢查不會檢查 SQL Server 執行個體。

f2iK5R6Dep

黃色：資料庫執行個體部署在單一可用區域。

如果您的應用程式需要高可用性，請修改資料庫執行個體以啟用 Multi-AZ 部署。請參閱高可用性 (Multi-AZ)。

區域與可用區域

檢查您的 Amazon RDS 資料庫執行個體是否包含在備份計畫中 AWS Backup。

AWS Backup 是完全受管的備份服務，可讓您輕鬆集中和自動化跨 AWS 服務備份資料。

在備份計畫中包含您的 Amazon RDS 資料庫執行個體對於法規合規義務、災難復原、資料保護的業務政策以及業務連續性目標至關重要。

如需詳細資訊，請參閱什麼是 AWS Backup？。

c18d2gz159

AWS Config Managed Rule: rds-in-backup-plan

黃色：搭配 的備份計畫中不包含 Amazon RDS 資料庫執行個體 AWS Backup。

將 Amazon RDS 資料庫執行個體納入備份計畫 AWS Backup。

如需詳細資訊，請參閱 Amazon RDS Backup and Restore Using AWS Backup。

指派資源至備份計畫

您的資料庫執行個體具有可寫入模式的僅供讀取複本，允許用戶端進行更新。

建議您將 read_only 參數設定為 TrueIfReplica，讓僅供讀取複本不會處於可寫入模式。

c1qf5bt035

黃色：資料庫參數群組會開啟僅供讀取複本的可寫入模式。

將 read_only 參數值設定為 TrueIfReplica。

read_only 參數控制從用戶端到資料庫執行個體的寫入許可。此參數的預設值為 TrueIfReplica。對於複本執行個體，TrueIfReplica 會將唯讀值設定為 ON (1)，並停用用戶端的任何寫入活動。對於主要/寫入器執行個體，TrueIfReplica 會將值設定為 OFF (0)，並啟用執行個體用戶端的寫入活動。當以可寫入模式開啟僅供讀取複本時，此執行個體中儲存的資料可能會與主要執行個體分開，從而導致複寫錯誤。

如需詳細資訊，請參閱 MySQL 文件網站上的設定 Amazon RDS for MySQL 參數的最佳實務，第 2 部分：與複寫相關的參數。

資料庫資源上已停用自動備份。自動化備份可啟用資料庫執行個體的 point-in-time 復原。

c1qf5bt001

紅色：Amazon RDS 資源未開啟自動備份

開啟保留期最長為 14 天的自動備份。

自動化備份可啟用資料庫執行個體的 point-in-time 復原。建議您開啟自動備份。當您開啟資料庫執行個體的自動備份時，Amazon RDS 會在您偏好的備份時段內，每天自動執行資料的完整備份。當資料庫執行個體有更新時，備份會擷取交易日誌。您可以免費取得備份儲存體，使其達到資料庫執行個體的儲存體大小。

如需詳細資訊，請參閱下列資源：

在資料庫執行個體中確認交易遞交之前，不會強制執行二進位日誌與磁碟的同步。

建議您將 sync_binlog 參數值設定為 1。

c1qf5bt031

黃色：資料庫參數群組已關閉同步二進位記錄。

將 sync_binlog 參數設定為 1。

sync_binlog 參數控制 MySQL 如何將二進位日誌推送至磁碟。當此參數的值設定為 1 時，會在遞交交易之前開啟磁碟的二進位日誌同步。當此參數的值設定為 0 時，會關閉對磁碟的二進位日誌同步。通常，MySQL 伺服器依賴作業系統將二進位日誌推送到定期類似於其他檔案的磁碟。設定為 0 的 sync_binlog 參數值可以增強效能。不過，在電源故障或作業系統當機期間，伺服器會遺失所有未同步到二進位日誌的遞交交易。

如需詳細資訊，請參閱設定 Amazon RDS for MySQL 參數的最佳實務，第 2 部分：與複寫相關的參數。

檢查您的 Amazon RDS 資料庫叢集是否已啟用多可用區域複寫。

Multi-AZ 資料庫叢集在三個不同的可用區域中有一個寫入器資料庫執行個體和兩個讀取器資料庫。Multi-AZ 資料庫叢集相較於 Multi-AZ 部署，可提供高可用性、增加讀取工作負載的容量以及更低的延遲。

如需詳細資訊，請參閱建立 Multi-AZ 資料庫叢集。

c18d2gz161

AWS Config Managed Rule: rds-cluster-multi-az-enabled

黃色：您的 Amazon RDS 資料庫叢集未設定多可用區複寫

當您建立 Amazon RDS 資料庫叢集時，請開啟多可用區域資料庫叢集部署。

如需詳細資訊，請參閱建立 Multi-AZ 資料庫叢集。

Multi-AZ 資料庫叢集部署

檢查您的 Amazon RDS 資料庫執行個體是否已設定多可用區域待命複本。

Amazon RDS Multi-AZ 透過將資料複製到不同可用區域中的待命複本，為資料庫執行個體提供高可用性和耐久性。如此可提供自動容錯移轉、改善效能並增強資料耐久性。在多可用區域資料庫執行個體部署中，Amazon RDS 會自動佈建並維護不同可用區域中的同步待命複本。主要資料庫執行個體會跨可用區域，同步複寫到待命複本，提供資料備援並且降低系統備份時的延遲遽增發生等功能。執行具有高可用性的資料庫執行個體，可在規劃好的系統維護期間增強可用性。它還有助於在資料庫執行個體失敗和可用區域中斷時保護資料庫。

如需詳細資訊，請參閱 Multi-AZ 資料庫執行個體部署。

c18d2gz156

AWS Config Managed Rule: rds-multi-az-support

黃色：Amazon RDS 資料庫執行個體未設定多可用區域複本。

當您建立 Amazon RDS 資料庫執行個體時，請開啟多可用區域部署。

此檢查無法從 Trusted Advisor 主控台的檢視中排除。

Multi-AZ 資料庫執行個體部署

檢查過去一週內， ReplicaLag 資料庫執行個體的 RDS CloudWatch Word指標是否超過操作上合理的閾值。

ReplicaLag 指標會測量僅供讀取複本在主要執行個體後面的秒數。當對僅供讀取複本進行的非同步更新無法跟上主要資料庫執行個體上發生的更新時，就會發生複寫延遲。如果主要執行個體發生故障，如果 ReplicaLag 高於操作上合理的閾值，讀取複本可能會遺失資料。

Cmsvnj8db1

ReplicaLag 會增加超過營運安全層級的幾個可能原因。例如，它可能是最近 replaced/launched replica instances from older backups and these replicas requiring substantial time to “catch-up” to the primary database instance and live transactions. This ReplicaLag may dwindle over time as catch-up occurs. Another example could be that the transaction velocity able to be achieved on the primary database instance is higher than the replication process or replica infrastructure is able to match. This ReplicaLag may grow over time as replication fails to keep pace with the primary database performance. Finally, the workload may be bursty throughout different periods of the day/month/etc 所造成。 偶爾會導致 ReplicaLag 落後。您的團隊應調查哪些可能的根本原因導致資料庫的 high ReplicaLag ，並可能變更資料庫執行個體類型或工作負載的其他特性，以確保複本上的資料連續性符合您的需求。

關閉 synchronous_commit 參數時，資料庫當機時可能會遺失資料。資料庫的耐久性有風險。

建議您開啟 synchronous_commit 參數。

c1qf5bt026

紅色：資料庫參數群組已關閉 synchronous_commit 參數。

在資料庫參數群組中開啟 synchronous_commit 參數。

synchronous_commit 參數定義在資料庫伺服器傳送成功通知給用戶端之前，完成寫入前記錄 (WAL) 程序。此遞交稱為非同步遞交，因為用戶端會在 WAL 將交易儲存在磁碟之前確認遞交。如果關閉 synchronous_commit 參數，則交易可能會遺失，資料庫執行個體耐久性可能會受到影響，而且資料可能會在資料庫當機時遺失。

如需詳細資訊，請參閱 MySQL 資料庫日誌檔案。

檢查您的 Amazon Redshift 叢集是否已啟用自動化快照。

Amazon Redshift 會自動取得增量快照，以追蹤自上一個自動快照以來對叢集的變更。自動快照會保留所有需要的資料以從快照還原叢集。若要停用自動快照，請將保留期間設定為 zero (零)。您無法停用 RA3 節點類型的自動快照。

您可以使用 AWS Config 規則的 MinRetentionPeriod 和 MaxRetentionPeriod 參數來指定所需的最短和最長保留期。

Amazon Redshift 快照和備份

c18d2gz135

AWS Config Managed Rule: redshift-backup-enabled

紅色：Amazon Redshift 並未在所需的保留期間內設定自動快照。

確定您的 Amazon Redshift 叢集已啟用自動化快照。

如需詳細資訊，請參閱使用主控台管理快照。

Amazon Redshift 快照和備份

如需詳細資訊，請參閱使用備份。

檢查是否有資源記錄集與已刪除的運作狀態檢查相關聯。

Route 53 不會阻止您刪除與一或多個資源記錄集相關聯的運作狀態檢查。如果您在未更新相關資源記錄集的情況下刪除運作狀態檢查，則 DNS 容錯移轉組態的 DNS 查詢路由將無法如預期運作。

AWS 服務建立的託管區域不會出現在您的檢查結果中。

Cb877eB72b

黃色：資源記錄集與已刪除的運作狀態檢查相關聯。

建立新的運作狀態檢查，並將其與資源記錄集建立關聯。請參閱建立、更新和刪除運作狀態檢查和將運作狀態檢查新增到資源記錄集。

檢查是否有 Amazon Route 53 容錯移轉資源記錄集設定錯誤。

Amazon Route 53 運作狀態檢查判斷主要資源運作狀況不良時，Amazon Route 53 會以次要備份資源記錄集回應查詢。您必須建立正確設定的主要和次要資源記錄集，容錯移轉才能運作。

AWS 服務建立的託管區域不會出現在您的檢查結果中。

b73EEdD790

如果遺失容錯移轉資源集，請建立對應的資源記錄集。請參閱建立容錯移轉資源記錄集。

如果您的資源記錄集與相同的運作狀態檢查相關聯，請為每個記錄集建立個別的運作狀態檢查。請參閱建立、更新和刪除運作狀態檢查。

Amazon Route 53 運作狀態檢查和 DNS 容錯移轉

檢查資源記錄集，這些資源記錄集可以從較低的 time-to-live (TTL) 值中受益。

TTL 是 DNS 解析程式快取資源記錄集的秒數。當您指定長 TTL 時，DNS 解析程式需要更長的時間來請求更新的 DNS 記錄，這可能會導致重新路由流量不必要的延遲 （例如，當 DNS 容錯移轉偵測到並回應其中一個端點的失敗時）。此檢查只會查看具有容錯移轉政策的記錄，或是否有相關聯的運作狀態檢查。

AWS 服務建立的託管區域不會出現在您的檢查結果中。

C056F80cR3

為列出的資源記錄集輸入 60 秒的 TTL 值。如需詳細資訊，請參閱使用資源記錄集。

Amazon Route 53 運作狀態檢查和 DNS 容錯移轉

檢查網域註冊商或 DNS 未使用正確 Route 53 名稱伺服器的 Amazon Route 53 託管區域。

建立託管區域時，Route 53 會指派一組四個名稱伺服器。這些伺服器的名稱為 ns-###.awsdns-##.com、.net、.org 和 .co.uk，其中 ### 以及 ## 通常代表不同的數字。在 Route 53 可以路由網域的 DNS 查詢之前，您必須更新註冊商的名稱伺服器組態，以移除註冊商指派的名稱伺服器。接下來，您必須在 Route 53 委派集中新增全部四個名稱伺服器。為了提供最高的可用性，您必須新增全部四個 Route 53 名稱伺服器。

AWS 服務建立的託管區域不會出現在您的檢查結果中。

cF171Db240

黃色：託管區域中您網域的註冊商未使用委派集中全部四個 Route 53 名稱伺服器。

使用註冊商或網域的目前 DNS 服務新增或更新名稱伺服器記錄，以包含 Route 53 委派集中的所有四個名稱伺服器。若要尋找這些值，請參閱取得託管區域的名稱伺服器。如需有關新增或更新名稱伺服器記錄的詳細資訊，請參閱建立和遷移網域與子網域至 Amazon Route 53。

使用託管區域

檢查您的服務組態是否在至少兩個可用區域 (AZs) 中指定 IP 地址，以進行備援。AZ 是明顯與其他區域中的故障隔絕開來的地點。透過在相同區域中的多個 AZs 中指定 IP 地址，您可以協助保護應用程式免受單一故障點的影響。

Chrv231ch1

在至少兩個可用區域中指定 IP 地址以進行備援。

檢查 Amazon Simple Storage Service (Amazon S3) 儲存貯體的記錄組態。

啟用伺服器存取記錄功能時，每小時都會將詳細的存取日誌傳送至您選擇的儲存貯體。存取日誌記錄包含每個請求的詳細資訊，例如請求類型、請求中指定的資源，以及處理請求的時間與日期。儲存貯體金鑰預設為未啟用。如果您想要執行安全稽核或進一步了解使用者和使用模式，請啟用記錄功能。

一開始啟用記錄功能時，系統會自動驗證組態。不過未來的修改可能會導致記錄失敗。這項檢查會檢查明確的 Amazon S3 儲存貯體許可，但不會檢查可能覆寫儲存貯體許可的相關聯儲存貯體政策。

BueAdJ7NrP

為大多數儲存貯體啟用儲存貯體記錄功能。請參閱使用主控台啟用記錄和以程式設計方式啟用記錄。

如果目標儲存貯體許可不包含根帳戶，且 Trusted Advisor 您想要檢查記錄狀態，請將根帳戶新增為受讓者。請參閱編輯儲存貯體許可。

如果目標儲存貯體不存在，請選取現有儲存貯體作為目標儲存貯體，或建立新儲存貯體然後加以選取。請參閱管理儲存貯體記錄。

如果目標和來源儲存貯體的擁有者不同，請將目標儲存貯體變更為與來源儲存貯體有相同擁有者的儲存貯體。請參閱管理儲存貯體記錄。

如果日誌交付者沒有目標儲存貯體的寫入許可 (未啟用寫入)，請將上傳/刪除許可授予給日誌交付群組。請參閱編輯儲存貯體許可。

檢查您的跨區域複寫、相同區域複寫或兩者是否均已啟用 Amazon S3 儲存貯體複寫規則。

複寫是在同一或不同 AWS 區域中跨儲存貯體自動、非同步地複製物件。複寫會將來源儲存貯體中新建立的物件和物件更新複製至目的地儲存貯體。使用 Amazon S3 儲存貯體複寫來協助改善應用程式和資料儲存的彈性與法規遵循。

如需詳細資訊，請參閱複製物件。

c18d2gz119

AWS Config Managed Rule: s3-bucket-replication-enabled

黃色：跨區域複寫、相同區域複寫或兩者皆未啟用 Amazon S3 儲存貯體複寫規則。

開啟 Amazon S3 儲存貯體複寫規則來改善應用程式和資料儲存的彈性與法規遵循。

如需詳細資訊，請參閱檢視備份工作和復原點及設定複寫。

逐步解說：設定複寫的範例

檢查是否有 Amazon Simple Storage Service 儲存貯體未啟用或已暫停版本控制功能。

啟用版本控制功能時，您可以輕鬆復原失誤的使用者動作和應用程式故障。版本控制功能可用來保留、擷取和恢復儲存貯體中所存放任何物件的任何版本。透過自動將物件封存至 Glacier 儲存類別，您可以使用生命週期規則來管理物件的所有版本及其相關成本。您也可以設定規則，在指定的期間過後移除物件的版本。您也可以針對儲存貯體的任何物件刪除或組態變更要求多重要素驗證 (MFA)。

啟用版本控制功能後無法停用。但是可以暫停此功能，防止建立物件的新版本。使用版本控制功能可能會增加 Simple Storage Service (Amazon S3) 的成本，因為您需為同一個物件支付多個版本的儲存費用。

R365s2Qddf

在大多數儲存貯體上啟用儲存貯體版本控制，防止意外刪除或覆寫。請參閱使用版本控制和以程式設計方式啟用版本控制。

如果已暫停儲存貯體版本控制，請考慮重新啟用版本控制。如需有關使用暫停版本控制之儲存貯體中的物件的詳細資訊，請參閱管理暫停版本控制之儲存貯體中的物件。

啟用或暫停版本控制後，您可以定義生命週期組態規則，將某些物件版本標記為過期，或永久移除不需要的物件版本。如需詳細資訊，請參閱物件生命週期管理。

當儲存貯體的版本控制狀態變更或刪除物件版本時，MFA Delete 需要額外的身分驗證。這會要求使用者輸入憑證和經批准的驗證裝置提供的代碼。如需詳細資訊，請參閱MFA刪除。

使用儲存貯體

檢查您的負載平衡器 (應用程式、網路和閘道負載平衡器) 是否設定了跨多個可用區域的子網路。

您可以在 AWS Config 規則的 minAvailabilityZones 參數中指定所需的最低可用區域。

如需詳細資訊，請參閱 Application Load Balancer 的可用區域、可用區域 - Network Load Balancer，以及建立 Gateway Load Balancer。

c18d2gz169

AWS Config Managed Rule: elbv2-multiple-az

黃色：在少於兩個可用區域中設定子網路的應用程式、網路或閘道負載平衡器。

使用跨多個可用區域的子網路來設定您的應用程式、網路和閘道負載平衡器。

Application Load Balancer 的可用區域

可用區域 (Elastic Load Balancing)

建立 Gateway Load Balancer

檢查是否有足夠的可用 IPs 保留在目標子網路中。當 Auto Scaling Group 達到其大小上限且需要啟動其他執行個體時，擁有足夠的可用 IPs 將有所幫助。

Cjxm268ch1

增加可用 IP 地址的數量

檢查 Auto Scaling 群組的運作狀態檢查組態。

如果 Auto Scaling 群組使用 Elastic Load Balancing，建議的組態是啟用 Elastic Load Balancing 運作狀態檢查。如果未使用 Elastic Load Balancing 運作狀態檢查，Auto Scaling 只能對 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的運作狀態採取行動。Auto Scaling 不會對執行個體上執行的應用程式執行作業。

CLOG40CDO8

如果 Auto Scaling 群組具有相關的負載平衡器，但未啟用 Elastic Load Balancing 運作狀態檢查，請參閱將 Elastic Load Balancing 運作狀態檢查新增至您的 Auto Scaling 群組。

如果已啟用 Elastic Load Balancing 運作狀態檢查，但 Auto Scaling 群組沒有相關聯的負載平衡器，請參閱設定自動擴展和負載平衡應用程式。

Amazon EC2 Auto Scaling 使用者指南

檢查與啟動組態和 Auto Scaling 群組相關聯資源的可用性。

指向不可用資源的 Auto Scaling 群組無法啟動新的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。當正確設定時，Auto Scaling 會導致 Amazon EC2 執行個體的數量在需求尖峰期間無縫增加，並在需求波動期間自動減少。若 Auto Scaling 群組和啟動組態指向無法使用的資源，便無法如預期運作。

8CNsSllI5v

如果負載平衡器已刪除，您可以建立新的負載平衡器或目標群組，然後將其關聯至 Auto Scaling 群組，或建立不帶負載平衡器的新 Auto Scaling 群組。如需有關建立帶新負載平衡器的新 Auto Scaling 群組的詳細資訊，請參閱設定自動擴展和負載平衡應用程式。如需有關建立不帶負載平衡器的新 Auto Scaling 群組的詳細資訊，請參閱 Auto Scaling 入門 (使用主控台) 中的「建立 Auto Scaling 群組」。

如果已刪除 AMI，請使用有效的 AMI 建立新的啟動範本或啟動範本版本，並將其與 Auto Scaling 群組建立關聯。請參閱 Auto Scaling 入門 (使用主控台)中的「建立啟動組態」。

如果啟動範本指定參考無效 Amazon Machine Image (AMI) ID 或包含無效參數的 AWS Systems Manager 參數，請檢閱啟動範本以更新有效參數，或在 AWS Systems Manager 參數存放區中進行適當的變更。如需詳細資訊，請參閱 Amazon AMI Auto Scaling 使用者指南IDs中的使用 AWS Systems Manager 參數而非 Word。 EC2 Auto Scaling

檢查在單一可用區域 (AZ) 中執行 HSM 執行個體的叢集。如果您的叢集存在沒有最新備份的風險，則此檢查會提醒您。

hc0dfs7601

在不同的可用區域中為叢集至少再建立一個執行個體。

的最佳實務 AWS CloudHSM

檢查 AWS Direct Connect 用於將內部部署連接至每個 Direct Connect 閘道或虛擬私有閘道的 彈性。

如果有任何 Direct Connect 閘道或虛擬私有閘道未設定至少兩個不同 Direct Connect 位置的虛擬介面，則此檢查會提醒您。缺乏位置彈性可能會導致維護期間意外停機、光纖切割、裝置故障或完整的位置故障。

c1dfpnchv2

紅色：Direct Connect 閘道或虛擬私有閘道是在單一 Direct Connect 裝置上設定一或多個虛擬介面。

黃色：Direct Connect 閘道或虛擬私有閘道是在單一 Direct Connect 位置中，透過跨多個 Direct Connect 裝置的虛擬介面進行設定。

綠色：Direct Connect 閘道或虛擬私有閘道是透過跨兩個或多個不同 Direct Connect 位置的虛擬介面設定。

若要建置 Direct Connect 位置彈性，您可以設定 Direct Connect 閘道或虛擬私有閘道，以連線至至少兩個不同的 Direct Connect 位置。如需詳細資訊，請參閱AWS Direct Connect 彈性建議。

AWS Direct Connect 彈性建議

AWS Direct Connect 容錯移轉測試

檢查 AWS Lambda 函數是否使用無效字母佇列設定。

無效字母佇列是 的一項功能 AWS Lambda ，可讓您擷取和分析失敗的事件，提供相應處理這些事件的方法。您的程式碼可能會引發例外狀況、逾時或記憶體不足，導致 Lambda 函數的非同步執行失敗。無效字母佇列會儲存來自失敗調用的訊息，提供一種方式來處理訊息並疑難排解這些故障情況。

您可以使用 AWS Config 規則中的 dlqArns 參數來指定要檢查的無效字母佇列資源。

如需詳細資訊，請參閱無效字母佇列。

c18d2gz182

AWS Config Managed Rule: lambda-dlq-check

黃色： AWS Lambda 函數未設定無效字母佇列。

請確定您的 AWS Lambda 函數已設定無效字母佇列，以控制所有失敗的非同步調用的訊息處理。

如需詳細資訊，請參閱無效字母佇列。

檢查您帳戶中的 Lambda 函數是否已針對非同步調用設定 On Failure 事件目的地或 Dead Letter Queue (DLQ)，以便將來自失敗調用的記錄路由至目的地以進行進一步調查或處理。

c1dfprch05

請設定失敗事件目的地或 DLQ，讓您的 Lambda 函數將失敗調用和其他詳細資訊傳送至其中一個可用的目的地 AWS 服務，以便進一步偵錯或處理。

檢查在單一可用區域中易受服務中斷影響的啟用 VPC 的 Lambda 函數的 $LATEST 版本。最佳實務是啟用 VPC 的函數連接至多個可用區域，以獲得高可用性。

L4dfs2Q4C6

黃色：啟用 VPC 的 Lambda 函數的 $LATEST 版本會連接至單一可用區域中的子網路。

設定存取 VPC 的函數時，請選擇多個可用區域中的子網路，以確保高可用性。

檢查 Outposts Racks 餘額。這會評估客戶 Outposts 執行個體是否部署在多個 Outposts 機架或單一 Outpost 機架。單一 Outposts 機架會針對涉及單一機架的問題建立單一故障點 （例如環境故障）。這些案例可以透過在多個機架之間部署前哨來緩解。

c243hjzrhn

如果您正在執行生產工作負載 AWS Outposts，則最佳實務是使用下列彈性架構。單一 AWS Outposts 機架會建立單一失敗點。考慮將第二個 AWS Outposts 機架新增至該位置，其容量足以容納容錯移轉事件，然後將工作負載分散到各個機架。

失敗模式 4：機架或資料中心

檢查應用程式中的應用程式元件 (AppComponent) 是否無法復原。如果 a AppComponent 在中斷事件的情況下未復原，您可能會遇到未知的資料遺失和系統停機時間。

RH23stmM04

Red： AppComponent 無法復原。

為確保您的 AppComponent 可復原，請檢閱並實作復原建議，然後執行新的評估。如需檢閱彈性建議的詳細資訊，請參閱其他資源。

檢閱彈性建議

AWS Resilience Hub 概念

AWS Resilience Hub 使用者指南

檢查復原中心是否有不符合政策定義的復原時間目標 (RTO) 和復原點目標 (RPO) 的應用程式。如果您的應用程式不符合您在 Resilience Hub 中為應用程式設定的 RTO 和 RPO 目標，則檢查會提醒您。

RH23stmM02

登入 Resilience Hub 主控台並檢閱建議，讓您的應用程式符合 RTO 和 RPO 目標。

Resilience Hub 概念

檢查您是否已在 Resilience Hub 中對應用程式執行評估。如果您的彈性分數低於特定值，則此檢查會提醒您。

RH23stmM01

登入 Resilience Hub 主控台並為您的應用程式執行評估。檢閱建議以提高彈性分數。

Resilience Hub 概念

檢查自上次執行應用程式評估之後經過多少時間。如果您在指定天數內未執行應用程式評估，此檢查會提醒您。

RH23stmM03

登入 Resilience Hub 主控台並為您的應用程式執行評估。

Resilience Hub 概念

檢查每個 AWS Site-to-Site VPN作用中的通道數量。

VPN 應始終設定兩個通道。這會在 AWS 端點中斷或計劃維護裝置時提供備援。對於某些硬體，一次只會有一個通道處於作用中狀態。如果 VPN 沒有作用中通道，則 VPN 的費用可能仍然適用。

如需詳細資訊，請參閱什麼是 Site-to-SiteAWS VPN？

c18d2gz123

AWS Config Managed Rule: vpc-vpn-2-tunnels-up

黃色：A Site-to-Site VPN 至少有一個通道 DOWN。

確定已針對 VPN 連線設定兩個通道。而且，如果您的硬體支援它，那麼請確保兩個通道均處於作用中狀態。如果您不再需要 VPN 連線，請將其刪除以避免費用。

如需詳細資訊，請參閱您的客戶閘道裝置和 AWS Knowledge Center 上提供的內容。

檢查可靠性支柱中工作負載的高風險問題 (HRIs)。此檢查是根據您的 AWS-Well Architected 評論。您的檢查結果取決於您是否使用 完成工作負載評估 AWS Well-Architected.

Wxdfp4B1L4

AWS Well-Architected 在工作負載評估期間偵測到高風險問題。解決這些問題，可能有機會降低風險和節省成本。登入 AWS Well-Architected 工具，檢閱答案並採取行動，解決待處理的問題。

檢查 Classic Load Balancer 是否跨越多個可用區域 (AZs)。

負載平衡器會將傳入的應用程式流量分散到多個可用區域中的多個 Amazon EC2 執行個體。根據預設，負載平衡器橫跨您為負載平衡器啟用的可用區域平均分派流量。如果一個可用區域發生中斷情形，負載平衡器節點會自動將請求轉送到一或多個可用區域中運作狀態良好的已註冊執行個體。

您可以使用 AWS Config 規則中的 minAvailabilityZones 參數來調整可用區域數量下限

如需詳細資訊，請參閱什麼是 Classic Load Balancer？。

c18d2gz154

AWS Config Managed Rule: clb-multiple-az

黃色：Classic Load Balancer 未設定多可用區，或不符合指定的AZs數下限。

請確定您的 Classic Load Balancer 已設定多個可用區域。將負載平衡器跨多個 AZs 擴展，以確保您的應用程式具有高可用性。

如需詳細資訊，請參閱教學課程：建立 Classic Load Balancer。

檢查未啟用連線耗盡的 Classic 負載平衡器。

未啟用連線耗盡，且您從 Classic 負載平衡器取消註冊 Amazon EC2 執行個體時，Classic 負載平衡器會停止將流量路由至該執行個體，並關閉連線。啟用連線耗盡時，Classic 負載平衡器會停止傳送新請求至已取消註冊的執行個體，但保持連線開啟，以服務作用中的請求。

7qGXsKIUw

啟用 Classic 負載平衡器的連線耗盡。如需詳細資訊，請參閱 Connection Draining (連接耗盡) 和 Enable or Disable Connection Draining for Your Load Balancer (為您的負載平衡器啟用或停用連接耗盡功能)。

彈性負載平衡概念

檢查 Application Load Balancer (AZs)、Network Load Balancer (NLB) 和 Gateway Load Balancer (GWLB) 的可用區域 (ALB) 的目標分佈。

此檢查不包括下列項目：

b92b83d667

為了提高彈性，請確定您的目標群組在 AZs 中有相同數量的目標。

Application Load Balancer 的目標群組

使用 Application Load Balancer 目標群組註冊目標

檢查您的 Gateway Load Balancer (GWLB) 端點是否設定為來自另一個可用區域 (AZ) 的路由目的地。

Gateway Load Balancer 端點會將網路流量轉送至 Gateway Load Balancer 後方的防火牆設備，以進行檢查。每個 Gateway Load Balancer 端點都會在指定的 AZ 內運作，並且僅在該 AZ 中建立備援。因此，特定 AZ 中的任何資源都必須在相同的 AZ 中使用 Gateway Load Balancer 端點。這可確保 Gateway Load Balancer 端點或其 AZ 的任何潛在中斷都不會影響您在其他 AZ 中的資源。

528d6f5ee7

檢查子網路的 AZ，並設定其路由表，以透過相同 AZ 中的 Gateway Load Balancer 端點路由流量。

如果 AZ 中沒有 Gateway Load Balancer 端點，請建立新的端點，然後路由子網路流量。

如果您有與不同 AZs 中子網路關聯的相同路由表，則此路由表與位於與 Gateway Load Balancer 端點相同 AZ 中的子網路保持關聯。對於其他 AZ 中的子網路，您可以接著將個別路由表與路由關聯到此 AZ 中的 Gateway Load Balancer 端點。

最佳實務是為 Amazon VPC 中的架構變更選擇維護時段。

檢查您的負載平衡器組態。

為了在使用 Elastic Load Balancing 時協助提高 Amazon Elastic Compute Cloud (Amazon EC2) 中的容錯程度，建議在區域中多個可用區域執行相同數量的執行個體。設定完畢的負載平衡器會產生費用，因此這也是一項成本最佳化檢查。

iqdCTZKCUp

請確保您的負載平衡器指向至少兩個可用區域內作用中和運作狀態良好的執行個體。如需詳細資訊，請參閱新增可用區域。

如果您的負載平衡器是設定用於沒有運作狀態良好執行個體的可用區域，或是可用區域間中的執行個體的分佈不均衡，請判斷是否這些可用區域都是需要的。請省略任何不必要的可用區域，並確保在剩餘的可用區域之間均衡分配執行個體。如需更多詳細資訊，請參閱移除可用區域。

檢查您的 NAT Gateways 是否設定了可用區域 (AZ) 獨立性。

NAT Gateway 可讓您私有子網路中的資源使用 NAT Gateway 的 IP 地址安全地連線至子網路外的服務，並捨棄任何主動提供的傳入流量。每個 NAT Gateway 都會在指定的可用區域 (AZ) 內運作，並且僅在該 AZ 中建立備援。因此，您在特定 AZ 中的資源應該在相同的 AZ 中使用 NAT Gateway，這樣 NAT Gateway 或其 AZ 的任何潛在中斷就不會影響您在其他 AZ 中的資源。

c1dfptbg10

請檢查子網路的 AZ，並透過相同 AZ 中的 NAT Gateway 路由流量。

如果 AZ 中沒有 NATGW，請建立一個 ，然後路由子網路流量。

如果您有與不同 AZs 中子網路關聯的相同路由表，請將此路由表與位於與 NAT Gateway 相同 AZ 中的子網路，以及與其他 AZ 中子網路相關聯的子網路保持關聯，請將個別路由表與此其他 AZ 中 NAT Gateway 的路由建立關聯。

建議您為 Amazon VPC 中的架構變更選擇維護時段。

檢查您的 AWS Network Firewall 端點是否設定為來自另一個可用區域 (AZ) 的路由目的地。

網路防火牆端點會將網路流量轉送至網路防火牆進行檢查。每個 Network Firewall 端點都在指定的 AZ 內操作，並且僅在該 AZ 中建立冗餘。您在特定 AZ 中的資源應該在相同的 AZ 中使用網路防火牆端點。這可確保網路防火牆端點或其 AZ 的任何潛在中斷都不會影響您在其他 AZ 中的資源。源自不同 AZ 進行流量檢查的網路流量會產生跨 AZ 資料傳輸費用。最佳實務是確保特定 AZ 中的所有資源都使用相同 AZ 中的網路防火牆，以避免跨 AZ 資料費用。

7040ea389a

檢查子網路的 AZ，並透過相同 AZ 中的網路防火牆端點路由流量。

如果 AZ 中沒有網路防火牆端點，則建立新的網路防火牆，並透過它路由子網路流量。

如果相同路由表在不同 AZs 中的多個子網路之間建立關聯，則此路由表會與位於與網路防火牆端點相同 AZ 中的子網路保持關聯。對於其他 AZs 中的子網路，請將單獨的路由表與該 AZ 中網路防火牆端點的路由建立關聯。

最佳實務是為 Amazon VPC 中的架構變更選擇維護時段。

相同 內的資料傳輸 AWS 區域

了解資料傳輸費用

可用區域獨立性

實作防火牆的高階步驟

建立防火牆

AWS Well-Architected Tool - 使用隔板架構來限制影響範圍

檢查您的網路防火牆是否設定為針對防火牆端點使用多個可用區域 (AZ)。

AZ 是隔離其他區域中故障的不同位置。如果網路防火牆端點僅部署在 1 個 AZ 中，則可能是單一故障點，並且可以使用網路防火牆進行流量檢查，從其他 AZs 損害工作負載。最佳實務是在相同區域中的多個 AZs 中設定網路防火牆，以改善工作負載可用性。

c2vlfg0gqd

請確定您的 Network Firewall 已設定至少兩個 AZs 用於生產工作負載。

的 VPC 子網路組態AWS Network Firewall

建立防火牆

可用區域

AWS Well-Architected Tool - 將工作負載部署到多個位置

共用服務 VPC 中的設備

檢查跨區域負載平衡是否已在 Network Load Balancer 上啟用。

跨區域負載平衡有助於在不同可用區域中的執行個體之間維持連入流量的均勻分佈。這樣可防止負載平衡器將所有流量路由到相同可用區域中的執行個體，這可能會導致流量分佈不均和潛在的超載問題。在單一可用區域故障的情況下，此功能也會自動將流量路由到其他可用區域中運作狀態良好的執行個體，有助於提升應用程式的可靠性。

如需詳細資訊，請參閱跨區域負載平衡。

c18d2gz105

AWS Config Managed Rule: nlb-cross-zone-load-balancing-enabled

確保跨區域負載平衡是否已在 Network Load Balancer 上啟用。

跨區域負載平衡 (Network Load Balancer)

檢查面向網際網路的網路Load Balancer (NLB) 是否使用私有子網路設定。必須在公有子網路中設定面向網際網路的 Network Load Balancer (NLB)，才能接收流量。公有子網路定義為具有網際網路閘道直接路由的子網路。如果子網路設定為私有，則其可用區域 (AZ) 不會接收流量，這可能會導致可用性問題。

c1dfpnchv4

紅色：使用一或多個私有子網路設定 NLB

綠色：未為面向網際網路的 NLB 設定私有子網路

確認在面向網際網路的負載平衡器中設定的子網路是公有的。公有子網路定義為具有網際網路閘道直接路由的子網路。使用下列其中一個選項：

檢查您的 Network Load Balancer 是否設定為使用多個可用區域 (AZ)。AZ 是明顯與其他區域中的故障隔絕開來的地點。在相同區域中的多個 AZs 中設定負載平衡器，以協助改善工作負載可用性。

c1dfprch09

黃色：NLB位於單一 AZ 中。

綠色：NLB有兩個或更多單AZs。

請確定您的負載平衡器已設定至少兩個可用區域。

如需詳細資訊，請參閱下列 文件：

檢查 Incident Manager 複寫集的組態是否使用多個 AWS 區域 來支援區域容錯移轉和回應。對於由 CloudWatch 警示或 EventBridge 事件建立的事件，Invent Manager 會在 AWS 區域 與警示或事件規則相同的 中建立事件。如果該區域暫時無法使用 Incident Manager，則系統會嘗試在複製集的另一個區域中建立事件。如果複製集僅包含一個區域，則系統無法在 Incident Manager 無法使用時建立事件記錄。

cIdfp1js9r

至少新增一個區域至複寫集。

如需詳細資訊，請參閱跨區域事件管理。

檢查網路模式是否透過單一可用區域 (AZ) 路由您的輸出網路流量。

AZ 是明顯與其他區域中的任何影響隔絕開來的地點。透過將服務分散到多個 AZs，您可以限制 AZ 失敗的爆量半徑。

c1dfptbg11

如果您的應用程式需要高可用性，請考慮實作多可用區域架構來獲得更高的可用性。

檢查您的 AWS PrivateLink VPC 介面端點是否設定為使用多個可用區域 (AZ)。AZ 是明顯與其他區域中的故障隔絕開來的地點。這支援相同 AWS 區域中 AZs 之間的廉價、低延遲網路連線。當您建立介面端點時，請選取多個 AZs 中的子網路，以協助保護應用程式免於單一故障點。

c1dfprch10

黃色：VPC 端點位於單一 AZ 中。

綠色：VPC 端點至少有兩個 AZs。

請確定您的 VPC 介面端點已設定至少兩個可用區域。

如需詳細資訊，請參閱下列 文件：

檢查每個 Site-to-Site 作用中的通道數量VPNs。

VPN 應始終設定兩個通道。如此一來可在 AWS 端點的服務中斷時或進行預定的裝置維護期間提供備援功能。對於某些硬體，一次只會有一個通道處於作用中狀態。如果 VPN 沒有作用中通道，則 VPN 的費用可能仍然適用。如需詳細資訊，請參閱 AWS Site-to-SiteVPN 使用者指南。

S45wrEXrLz

請確定已為您的 VPN 連線設定兩個通道，而且您的硬體支援此通道時，這兩個通道都處於作用中狀態。如果您不再需要 VPN 連線，則可以將其刪除以避免費用。如需詳細資訊，請參閱您的客戶閘道裝置或刪除 Site-to-Site VPN連線。

檢查 Amazon MQ for ActiveMQ 代理程式是否已為多個可用區域中的作用中/待命的代理程式設定高可用性。

c1t3k8mqv1

建立具有作用中/待命部署模式的新代理程式。

檢查 Amazon MQ for RabbitMQ 代理程式是否已為多個可用區域中的叢集執行個體設定高可用性。

c1t3k8mqv2

建立具有叢集部署模式的新代理程式。