こんにちは。サービス開発室の武田です。
AWS Trusted AdvisorはAWS環境を継続的に評価し、ベストプラクティスを維持するための推奨事項を提示します。独自に収集するデータだけでなく、情報ソースとしてSecurity Hubなどと統合されていましが、今回新しくAWS Configとも統合されました。
それによって新しく64個のチェック項目が追加されました。
サポートされる条件
今回追加された項目は、すべてのAWSアカウントでサポートされるわけではありません。次の2つの条件を満たす必要があります。
- ビジネス、エンタープライズ On-Ramp、エンタープライズ、いずれかのサポートプラン契約
- 対応するAWS Config マネージドルールの有効化
新しく追加された項目
追加項目が64個と多いので、カテゴリ別にまとめてみました。
コスト最適化
コスト最適化では、次に5個が追加されました。
| 項目 | AWS Config マネージドルール |
|---|---|
| Amazon EC2 インスタンスが 30 日間にわたって停止しています | ec2-stopped-instance |
| Amazon ECR リポジトリでライフサイクルポリシーが設定されていません | ecr-private-lifecycle-policy-configured |
| Amazon S3 バケットのライフサイクルポリシーが設定されています | s3-lifecycle-policy-check |
| Amazon S3 バージョン対応バケットでライフサイクルポリシーが設定されていません | s3-version-lifecycle-policy-check |
| アカウントは AWS Organizations の一部ではありません | account-part-of-organizations |
パフォーマンス
パフォーマンスでは次の6個が追加されました。
| 項目 | AWS Config マネージドルール |
|---|---|
| Amazon DynamoDB Auto Scaling が有効になっていません | dynamodb-autoscaling-enabled |
| Amazon EBS 最適化が有効になっていません | ebs-optimized-instance |
| Amazon EC2 Auto Scaling グループが起動テンプレートに関連付けられていません | autoscaling-launch-template |
| Amazon ECS メモリのハード制限 | ecs-task-definition-memory-hard-limit |
| AWS Lambda 関数で同時実行数の制限が設定されていません | lambda-concurrency-check |
| EC2 仮想化タイプは準仮想です | ec2-paravirtual-instance-check |
セキュリティ
セキュリティでは次の3個が追加されました。
| 項目 | AWS Config マネージドルール |
|---|---|
| Amazon CloudWatch のロググループの保持期間が 365 日未満です | cw-loggroup-retention-period-check |
| Amazon VPC ピアリング接続で DNS 解決が無効になっています | vpc-peering-dns-resolution-check |
| AWS Backup ボールトには復旧時点の削除を防ぐためのリソースベースのポリシーがありません | backup-recovery-point-manual-deletion-disabled |
耐障害性
耐障害性では次の23個が追加されました。
| 項目 | AWS Config マネージドルール |
|---|---|
| Amazon Aurora MySQL クラスターのバックトラッキングが有効になっていません | aurora-mysql-backtracking-enabled |
| Amazon CloudFront オリジンフェイルオーバー | cloudfront-origin-failover-enabled |
| Amazon DynamoDB のポイントインタイムリカバリ | dynamodb-pitr-enabled |
| Amazon DynamoDB テーブルがバックアッププランに含まれていません | dynamodb-in-backup-plan |
| Amazon EBS は AWS Backup プランに含まれていません | ebs-in-backup-plan |
| Amazon EC2 Auto Scaling グループでは ELB ヘルスチェックが有効になっていません | autoscaling-group-elb-healthcheck-required |
| Amazon EC2 Auto Scaling グループでキャパシティの再調整が有効になっています | autoscaling-capacity-rebalancing |
| Amazon EC2 Auto Scaling グループの複数のアベイラビリティーゾーン | autoscaling-multiple-az |
| Amazon EC2 の詳細モニタリングが有効になっていません | ec2-instance-detailed-monitoring-enabled |
| Amazon EFS は AWS Backup プランに含まれていません | efs-in-backup-plan |
| Amazon ElastiCache Redis クラスターの自動バックアップ | elasticache-redis-cluster-automatic-backup-check |
| Amazon OpenSearch Service ドメインのデータノードが 2 つ以下です | opensearch-data-node-fault-tolerance |
| Amazon RDS DB インスタンスの拡張モニタリングが有効になっていません | rds-enhanced-monitoring-enabled |
| Amazon RDS は AWS Backup プランに含まれていません | rds-in-backup-plan |
| Amazon Redshift クラスターの自動スナップショット | redshift-backup-enabled |
| Amazon S3 バケットでレプリケーションが有効になっていません | s3-bucket-replication-enabled |
| Application Load Balancer, Network Load Balancer、および Gateway Load Balancer が複数のアベイラビリティーゾーンにまたがっていません | elbv2-multiple-az |
| AWS Lambda 関数でデッドレターキューが設定されていません | lambda-dlq-check |
| AWS Site-to-Site VPN には少なくとも 1 つの [DOWN] ステータスのトンネルがあります | vpc-vpn-2-tunnels-up |
| Classic Load Balancer で複数の AZ が設定されていません | clb-multiple-az |
| Network Load Balancer のクロスロードバランシング | nlb-cross-zone-load-balancing-enabled |
| RDS DB クラスターでマルチ AZ レプリケーションが有効になっていません | rds-cluster-multi-az-enabled |
| RDS マルチ AZ スタンバイインスタンスが有効になっていません | rds-multi-az-support |
サービスの制限
サービスの制限では追加はありません。
運用上の優秀性
運用上の優秀性では次の27個が追加されました。
| 項目 | AWS Config マネージドルール |
|---|---|
| Amason S3 でイベント通知が有効になっていません | s3-event-notifications-enabled |
| Amazon API Gateway REST API で X-Ray トレースが有効になっていません | api-gw-xray-enabled |
| Amazon API Gateway は実行ログをログ記録していません | api-gw-execution-logging-enabled |
| Amazon CloudFront アクセスログが設定されています | cloudfront-accesslogs-enabled |
| Amazon CloudWatch アラームアクションが無効になっています | cloudwatch-alarm-action-enabled-check |
| Amazon EC2 インスタンスは AWS Systems Manager によって管理されていません | ec2-instance-managed-by-systems-manager |
| Amazon ECR リポジトリでタグのイミュータビリティが無効になっています | ecr-private-tag-immutability-enabled |
| Amazon ECS クラスターで Container Insights が無効になっています。 | ecs-container-insights-enabled |
| Amazon ECS タスクのログ記録が有効になっていません | ecs-task-definition-log-configuration |
| Amazon OpenSearch Service で CloudWatch を利用したログ記録が設定されていません | opensearch-logs-to-cloudwatch |
| Amazon Redshift クラスターの監査ログ記録 | redshift-audit-logging-enabled |
| Amazon SNS トピックがメッセージ配信ステータスをログ記録しません | sns-topic-message-delivery-notification-enabled |
| Amazon VPC にフローログがありません | vpc-flow-logs-enabled |
| Application Load Balancer および Classic Load Balancer でアクセスログが有効になっていません | ELB_LOGGING_ENABLED |
| AWS CloudFormation スタック通知 | cloudformation-stack-notification-check |
| AWS CodeBuild プロジェクトのログ記録 | codebuild-project-logging-enabled |
| AWS CodeDeploy Lambda はオールアットワンスデプロイ設定を使用しています | codedeploy-lambda-allatonce-traffic-shift-disabled |
| AWS CodeDeploy の自動ロールバックとモニタリングが有効になっています | codedeploy-auto-rollback-monitor-enabled |
| AWS Elastic Beanstalk でマネージドプラットフォーム更新が無効になっています | elastic-beanstalk-managed-updates-enabled |
| AWS Elastic Beanstalk 拡張ヘルスレポートが設定されていません | beanstalk-enhanced-health-reporting-enabled |
| AWS Fargate のプラットフォームバージョンが最新ではありません | ecs-fargate-latest-platform-version |
| AWS Systems Manager State Manager の関連付けのステータスが非準拠になっています | ec2-managedinstance-association-compliance-status-check |
| CloudTrail 証跡は Amazon CloudWatch Logs を利用して設定されていません | cloud-trail-cloud-watch-logs-enabled |
| Elastic Load Balancing の削除保護がロードバランサーのために有効になっていません | elb-deletion-protection-enabled |
| RDS DB インスタンスの自動マイナーバージョンアップグレードのチェック | rds-automatic-minor-version-upgrade-enabled |
| RDS DB クラスターの削除保護のチェック | rds-cluster-deletion-protection-enabled |
| S3 バケット内のオブジェクトについての AWS CloudTrail データイベントのログ記録 | cloudtrail-s3-dataevents-enabled |
まとめ
Trusted AdvisorがConfigと統合され、チェックされる項目が増えました。利用するためにはサポートプランなど満たすべき要件がありますので、注意してください。
3
