Bewährte AWS Trusted Advisor-Methoden (Prüfungen)

AWS Trusted Advisor bewährte Prüfungs-Methoden

AWS Trusted Advisor stellt eine Vielzahl an Prüfungen zu bewährten Methoden sowie Empfehlungen in fünf Kategorien bereit: Kostenoptimierung, Sicherheit, Fehlertoleranz, Leistung und Servicelimits.

Kostenoptimierung

Zeigt, wie Sie in AWS Geld sparen können, indem Sie nicht verwendete Ressourcen oder solche im Leerlauf deaktivieren oder reservierte Kapazität buchen.

  • Amazon EC2 Reserved Instances-Optimierung  

    Überprüft Ihre bisherige Nutzung von Amazon Elastic Compute Cloud (Amazon EC2) und berechnet eine optimale Anzahl von Reserved Instances mit teilweiser Vorauszahlung. Empfehlungen basieren auf der zusammengefassten stündlichen Nutzung aller Konten mit konsolidierter Fakturierung im vorherigen Kalendermonat. Weitere Informationen zur Berechnung dieser Empfehlung finden Sie unter "Fragen zur Prüfung der Reserved Instance-Optimierung" in den häufig gestellten Fragen zu Trusted Advisor.

    Bei Reserved Instances zahlen Sie eine geringe einmalige Gebühr und erhalten dafür einen beachtlichen Rabatt auf den für die Instance anfallenden Stundentarif. Zur Minimierung Ihrer Kosten wendet das Fakturierungssystem automatisch zuerst die Reserved Instance-Tarife an.

  • Amazon EC2-Instances mit geringer Auslastung  

    Überprüft die Amazon Elastic Compute Cloud (Amazon EC2)-Instances, die in den letzten 14 Tagen zu beliebigen Zeiten ausgeführt wurden, und benachrichtigt Sie, wenn an mindestens 4 Tagen die tägliche CPU-Auslastung maximal 10 % und der Netzwerk-E/A-Durchsatz maximal 5 MB betrug. Ausgeführte Instances erzeugen stündliche Nutzungsgebühren. Wenngleich es bei einigen Szenarien absichtlich zu einer geringen Nutzung kommt, können Sie oft Ihre Kosten senken, indem Sie Anzahl und Größe Ihre Instances anpassen.

    Geschätzte monatliche Einsparungen werden anhand der derzeitigen Nutzungsrate von On-Demand-Instances und der geschätzten Anzahl von Tagen berechnet, an denen die Instance ggf. nicht ausgelastet ist. Wenn Sie Reserved oder Spot-Instances nutzen oder die Instance nicht den ganzen Tag verwenden, sind die tatsächlichen Einsparungen unterschiedlich. Um Daten zur täglichen Nutzung abzurufen, laden Sie den Bericht zu dieser Prüfung herunter.  

  • Load Balancer im Leerlauf  

    Prüft Ihre Elastic Load Balancing-Konfiguration auf Load Balancer, die nicht aktiv genutzt werden. Für alle konfigurierten Load Balancer fallen Gebühren an. Wenn einem Load Balancer keine Back-End-Instances zugeordnet sind oder der Netzwerkdatenverkehr schwerwiegend eingeschränkt ist, wird der Load Balancer nicht effektiv genutzt.

  • Nicht ausgelastete Amazon EBS-Volumes  

    Prüft Konfigurationen von Amazon Elastic Block Store (Amazon EBS)-Volumes und warnt, wenn Volumes anscheinend unausgelastet sind. Sobald ein Volume erstellt ist, beginnen Gebühren anzufallen. Wenn ein EBS-Volume längere Zeit nicht zugeordnet wurde oder eine sehr niedrige Schreibaktivität aufweist (mit Ausnahme von Start-Volumes), wird das Volume wahrscheinlich nicht genutzt.

  • Nicht zugeordnete Elastic IP-Adressen  

    Prüft auf Elastic IP-Adressen (EIPs), die keiner ausgeführten Amazon Elastic Compute Cloud (Amazon EC2)-Instance zugeordnet sind. EIPs sind statische IP-Adressen, die für dynamisches Cloud Computing entwickelt wurden. Anders als bei herkömmlichen statischen IP-Adressen können Sie mit Elastic IP-Adressen den Ausfall einer Instance oder Availability Zone maskieren, indem Sie eine öffentlichen IP-Adressen einer anderen Instance in Ihrem Konto neu zuordnen. Für eine EIP, die keiner ausgeführten Instance zugeordnet ist, wird eine Schutzgebühr erhoben.

  • Amazon RDS-DB-Instances im Leerlauf  

    Prüft Ihre Konfiguration von Amazon Relational Database Service (Amazon RDS) auf DB-Instances, die im Leerlauf zu sein scheinen. Wenn für eine DB-Instance über einen längeren Zeitraum keine Verbindung bestand, können Sie die Instance zur Kostensenkung löschen. Wenn für die Daten in der Instance eine persistente Speicherung erforderlich ist, können Sie kostengünstigere Optionen wählen, z. B. das Erstellen und Aufbewahren eines DB-Snapshots. Manuell erstellte DB-Snapshots werden aufbewahrt, bis Sie sie löschen. 

  • Amazon Route 53-Latenz-Ressourcendatensätze  

    Prüft auf ineffizient konfigurierte Amazon Route 53-Latenz-Datensätze. Damit Amazon Route 53 in der Lage ist, Abfragen an die Region mit der geringsten Netzwerklatenz weiterzuleiten, sollten Sie Latenz-Ressourcendatensätzen für einen bestimmten Domain-Namen (z. B. example.com) in verschiedenen Regionen erstellen. Wenn Sie nur einen Latenz-Ressourcendatensatz für einen Domain-Namen erstellen, werden alle Abfragen an eine Region weitergeleitet, und Sie zahlen zusätzliche Gebühren für latenzbasiertes Routing, ohne in den Genuss der Vorteile zu kommen.  

  • Amazon EC2 Reserved Instance Lease Expiration  

    Prüft auf Amazon EC2 Reserved Instances, die laut Zeitplan innerhalb der nächsten 30 Tage ablaufen oder in den vorangegangenen 30 Tagen abgelaufen sind. Reserved Instances werden nicht automatisch verlängert. Jedoch können Sie unterbrechungsfrei mit einer durch die Reservierung abgedeckten EC2-Instance fortfahren. Allerdings werden hierfür On-Demand-Tarife berechnet. Die neuen Reserved Instances können die Parameter der abgelaufenen Instances übernehmen, oder Sie können Reserved Instances mit anderen Parametern erwerben.


    Die angegebenen monatlichen Ersparnisse sind geschätzt. Grundlage sind jeweils die On-Demand- und Reserved Instance-Tarife für den gleichen Instance-Typ.

  • Underutilized Amazon Redshift Clusters  

    Prüft Ihre Konfiguration von Amazon Redshift auf Cluster, die nicht ausgelastet zu sein scheinen. Wenn für einen Amazon Redshift-Cluster über einen längeren Zeitraum keine Verbindung bestand oder der Cluster nur wenig Prozessorleistung benötigt, können Sie günstigere Optionen wählen, beispielsweise den Cluster herunterskalieren oder einen letzten Snapshot des Clusters erstellen und den Cluster dann entfernen. Dieser Snapshot bleibt auch beim Löschen des Clusters erhalten.

Sicherheit

Steigern Sie die Sicherheit Ihrer Anwendung, indem Sie Sicherheitslücken schließen, verschiedene AWS-Sicherheitsfunktionen aktivieren und Berechtigungen überprüfen.

  • Sicherheitsgruppen – Uneingeschränkter Zugriff auf bestimmte Ports (kostenlos)

    Prüft Sicherheitsgruppen auf Regeln, die einen uneingeschränkten Zugriff (0.0.0.0/0) auf bestimmte Ports zulassen. Bei einem uneingeschränkten Zugriff bieten sich Möglichkeiten für böswillige Aktivitäten (d. h. Eindringversuche, Denial-of-Service-Angriffe, Datenverlust). Die Ports mit dem höchsten Risiko sind rot, die mit niedrigerem Risiko gelb markiert. Grün markierte Ports werden in der Regel von Anwendungen genutzt, die einen uneingeschränkten Zugriff benötigen, z. B. HTTP und SMTP.


    Wenn Sie Ihre Sicherheitsgruppen absichtlich so konfiguriert haben, empfehlen wir, weitere Sicherheitsmaßnahmen zum Schutz Ihrer Infrastruktur (z. B. IP-Tabellen) zu ergreifen.

  • Sicherheitsgruppen – Uneingeschränkter Zugriff

    Prüft Sicherheitsgruppen auf Regeln, die einen uneingeschränkten Zugriff auf eine Ressource zulassen. Bei einem uneingeschränkten Zugriff bieten sich Möglichkeiten für böswillige Aktivitäten (d. h. Eindringversuche, Denial-of-Service-Angriffe, Datenverlust).

  • IAM-Nutzung (kostenlos)

    Prüft Ihre Nutzung von AWS Identity and Access Management (IAM). Mithilfe von IAM können Sie in AWS Benutzer, Gruppen und Rollen anlegen und mittels Berechtigungen ihren Zugriff auf AWS-Ressourcen steuern.

  • Amazon S3-Bucket-Berechtigungen (kostenlos)

    Prüft in Amazon Simple Storage Service (Amazon S3) auf Buckets mit offenen Zugriffsberechtigungen. Bucket-Berechtigungen, die allen Benutzern den Zugriff "Auflisten" gewähren, können höhere Gebühren als erwartet verursachen, wenn Objekte im Bucket von nicht vorgesehenen Benutzern mit hoher Häufigkeit aufgelistet werden. Bucket-Berechtigungen, die allen Benutzern den Zugriff "Hochladen/Löschen" gewähren, sorgen für potenzielle Sicherheitslücken, da alle Benutzer in einem Bucket Elemente hinzufügen, ändern oder entfernen können. Diese Prüfung untersucht explizite Bucket-Berechtigungen wie auch die zugehörigen Bucket-Richtlinien, die möglicherweise Bucket-Berechtigungen außer Kraft setzen.

  • MFA für Root-Konto (kostenlos)

    Prüft die Kennwortrichtlinie für Ihr Konto und warnt, wenn eine Kennwortrichtlinie nicht aktiviert ist oder Vorgaben für den Kennwortinhalt nicht erfüllt sind. Durch Vorgaben für den Kennwortinhalt wird die allgemeine Sicherheit Ihrer AWS-Umgebung erhöht, indem die Erstellung sehr sicherer Benutzerkennwörter erzwungen wird. Wenn Sie eine Kennwortrichtlinie erstellen oder ändern, gilt diese für neue Benutzer sofort. Vorhandene Benutzer müssen allerdings ihre Kennwörter nicht ändern.

  • Zugriffsrisiko für Amazon RDS-Sicherheitsgruppen

    Prüft Konfigurationen von Amazon Relational Database Service (Amazon RDS)-Sicherheitsgruppen und warnt, wenn eine Sicherheitsgruppenregel u. U. einen Zugriff mit zu weitreichenden Berechtigungen für Ihre Datenbank erteilt. Die empfohlene Konfiguration für Sicherheitsgruppenregeln ist, bestimmten Amazon Elastic Compute Cloud (Amazon EC2)-Sicherheitsgruppen oder einer bestimmten IP-Adresse Zugriff zu gewähren.

  • AWS CloudTrail-Protokollierung

    Prüft Ihre Nutzung von AWS CloudTrail. CloudTrail bietet erhöhte Transparenz der Aktivitäten in Ihrem AWS-Konto, indem Informationen über die im Konto erfolgten AWS-API-Aufrufe aufgezeichnet werden. Diese Protokolle können Sie beispielsweise verwenden, um zu ermitteln, welche Aktionen ein bestimmter Benutzer in einem bestimmten Zeitraum durchgeführt hat, oder welche Benutzer in einem bestimmten Zeitraum Aktionen für eine bestimmte Ressource durchgeführt haben. Da CloudTrail Protokolldateien in einem Amazon Simple Storage Service (Amazon S3)-Bucket bereitstellt, muss CloudTrail über Schreibrechte für den Bucket verfügen.

  • Amazon Route 53 MX- und SPF Ressourcendatensätze

    Prüft, ob für jeden MX-Ressourcendatensatz ein SPF-Ressourcendatensatz vorhanden ist. Ein SPF-Datensatz (Sender Policy Framework) veröffentlicht eine Liste mit Servern, die für den Versand von E-Mail für Ihre Domain autorisiert sind. Dies hilft, Spam zu reduzieren, indem E-Mail-Adressen-Spoofing erkannt und gestoppt wird.

  • ELB-Listener – Sicherheit

    Prüft auf Load Balancer mit Listenern, deren Sicherheitskonfiguration nicht den Empfehlungen für verschlüsselte Kommunikation folgt. AWS empfiehlt die Verwendung eines sicheren Protokolls (HTTPS oder SSL), aktuelle Sicherheitsrichtlinien und sichere Verschlüsselungen. Wenn Sie für Front-end-Verbindungen (Client zu Load Balancer) ein sicheres Protokoll verwenden, werden Anforderungen zwischen Ihren Clients und dem Load Balancer verschlüsselt, was wesentlich sicherer ist. Elastic Load Balancing stellt vordefinierte Sicherheitsrichtlinien bereit, deren Verschlüsselungen und Protokolle den bewährten Sicherheitsmethoden von AWS entsprechen. Mit der Verfügbarkeit neuer Konfigurationen werden auch neue Versionen dieser vordefinierten Richtlinien bereitgestellt.

  • ELB-Sicherheitsgruppen  

    Prüft auf Load Balancer, die mit einer fehlenden Sicherheitsgruppe oder mit einer Sicherheitsgruppe konfiguriert sind, die Zugriff auf nicht für den Load Balancer konfigurierte Ports zulässt. Wenn eine einem Load Balancer zugeordnete Sicherheitsgruppe gelöscht wird, erfüllt der Load Balancer nicht mehr die erwartete Funktion. Wenn eine Sicherheitsgruppe Zugriff auf Ports zulässt, die nicht für den Load Balancer konfiguriert sind, steigt das Risiko eines Datenverlusts oder böswilliger Angriffe.  

  • Benutzerdefinierte SSL-Zertifikate für CloudFront im IAM-Zertifikatspeicher  

    Prüft auf SSL-Zertifikate für alternative CloudFront-Domain-Namen im IAM-Zertifikatspeicher und warnt Sie, wenn diese abgelaufen sind, demnächst ablaufen, eine veraltete Verschlüsselung verwenden oder nicht ordnungsgemäß für die Verteilung konfiguriert sind. Wenn ein benutzerdefiniertes Zertifikat für einen alternativen Domain-Namen abläuft, geben Browser, in denen Ihre CloudFront-Inhalte angezeigt werden, möglicherweise eine Sicherheitswarnung zu Ihrer Website aus. Zertifikate, die mit dem Hashing-Algorithmus SHA-1 verschlüsselt sind, werden von Webbrowsern wie Chrome und Firefox nicht mehr unterstützt. Wenn ein Zertifikat keine Domain-Namen enthält, die mit dem Domain-Namen des Ursprungs oder dem Domain-Namen im Host-Header der Viewer-Anforderungen übereinstimmen, gibt CloudFront dem Benutzer den HTTP-Statuscode 502 (ungültiges Gateway) zurück.

  • SSL-Zertifikat für CloudFront auf dem Ursprungsserver  

    Durchsucht die benutzerdefinierten Ursprungsdaten der CloudFront-Benutzerdistributionen und überprüft, ob die Ursprungszertifikate ordnungsgemäß konfiguriert sind. Das falsch konfigurierte Zertifikat ist ein Zertifikat, das innerhalb der nächsten 7 Tage abläuft oder bereits einen SHA1-Algorithmus für schwache Signaturen verwendet.

  • Exposed Access Keys  

    Prüft gängige Code-Repositorys auf Zugriffsschlüssel, die an die Öffentlichkeit gelangt sind, sowie auf die irreguläre Verwendung der Amazon Elastic Compute Cloud (Amazon EC2), die das Ergebnis eines kompromittierten Zugriffsschlüssels sein könnte. Ein Zugriffsschlüssel besteht aus einer Zugriffsschlüssel-ID und dem zugehörigen geheimen Zugriffsschlüssel. Exponierte Zugriffsschlüssel sind ein Sicherheitsrisiko für Ihr Konto und andere Benutzer. Sie können zu Unsummen an Kosten aufgrund nicht autorisierter Aktivitäten oder Missbräuchen führen und verletzen zudem die AWS-Kundenvereinbarung. Wenn Ihr Zugriffsschlüssel an die Öffentlichkeit gelangt ist, sind dringende Maßnahmen geboten. Um Ihr Konto vor übermäßigen Kosten zu schützen, schränkt AWS Ihre Möglichkeiten zur Erstellung bestimmter AWS-Ressourcen vorübergehend ein. Dadurch wird Ihr Konto jedoch nicht sicher. Es begrenzt nur teilweise die unzulässige Nutzung Ihres Kontos, für die Ihnen andernfalls enorme Kosten entstehen könnten. Hinweis: Durch diese Prüfung kann die Erkennung exponierter Zugriffsschlüssel oder kompromittierter EC2-Instances nicht garantiert werden. Letztendlich sind Sie verantwortlich für die Sicherheit und den Schutz Ihrer Zugriffsschlüssel und AWS-Ressourcen.

  • Öffentliche Amazon EBS-Snapshots (kostenlos)  

    Überprüft die Berechtigungseinstellungen für die Snapshots Ihrer Amazon Elastic Block Store (Amazon EBS)-Volumes und warnt Sie, wenn Snapshots als öffentlich markiert sind. Auf die Daten eines öffentlich gemachten Snapshots haben alle AWS-Konten und -Benutzer Zugriff. Wenn Sie einen Snapshot mit bestimmten Benutzern oder Konten austauschen möchten, markieren Sie den Snapshot als privat und geben Sie dann die Benutzer oder Konten an, für die Sie die Snapshot-Daten freigeben möchten.

  • Öffentliche Amazon RDS-Snapshots (kostenlos)  

    Überprüft die Berechtigungseinstellungen für Ihre Amazon Relational Database Service (Amazon RDS)-DB-Snapshots und warnt Sie, wenn Snapshots als öffentlich markiert sind. Auf die Daten eines öffentlich gemachten Snapshots haben alle AWS-Konten und -Benutzer Zugriff. Wenn Sie einen Snapshot mit bestimmten Benutzern oder Konten austauschen möchten, markieren Sie den Snapshot als privat und geben Sie dann die Benutzer oder Konten an, für die Sie die Snapshot-Daten freigeben möchten.

  • IAM Password Policy  

    Prüft die Kennwortrichtlinie für Ihr Konto und warnt, wenn eine Kennwortrichtlinie nicht aktiviert ist oder Vorgaben für den Kennwortinhalt nicht erfüllt sind. Durch Vorgaben für den Kennwortinhalt wird die allgemeine Sicherheit Ihrer AWS-Umgebung erhöht, indem die Erstellung sehr sicherer Benutzerkennwörter erzwungen wird. Wenn Sie eine Kennwortrichtlinie erstellen oder ändern, gilt diese für neue Benutzer sofort. Vorhandene Benutzer müssen allerdings ihre Kennwörter nicht ändern.

  • IAM-Zugriffsschlüssel-Rotation  

    Prüft auf aktive IAM-Zugriffsschlüssel, die innerhalb der letzten 90 Tage nicht rotiert wurden. Durch regelmäßige Rotation Ihrer Zugriffsschlüssel verringern Sie das Risiko, dass mithilfe eines kompromittierten Schlüssels ohne Ihres Wissens ein Zugriff auf Ihre Ressourcen erfolgt. Als Datum und Uhrzeit der letzten Rotation gilt für diese Prüfung der Erstellungs- bzw. letzte Aktivierungszeitpunkt des Zugriffsschlüssels. Nummer und Datum eines Zugriffsschlüssels werden den Informationen "access_key_1_last_rotated" und "access_key_2_last_rotated" des aktuellsten IAM-Berichts zu den Anmeldedaten entnommen.

Fehlertoleranz

Steigern Sie die Verfügbarkeit und Redundanz Ihrer AWS-Anwendung mithilfe von Auto Scaling, Zustandsprüfungen, mehrerer Availability Zones und Sicherungsfunktionen.

  • Amazon EBS-Snapshots

    Prüft das Alter der Snapshots Ihrer (verfügbaren oder verwendeten) Amazon Elastic Block Store (Amazon EBS)-Volumes. Auch wenn Amazon EBS-Volumes repliziert werden, können Ausfälle vorkommen. Snapshots werden in Amazon Simple Storage Service (Amazon S3) für eine zeitpunktbezogene Wiederherstellung dauerhaft gespeichert.

  • Amazon EC2 Availability Zone-Verteilung

    Prüft die Verteilung von Amazon Elastic Compute Cloud (Amazon EC2)-Instances auf Availability Zones in einer Region. Availability Zones sind eigenständige Standorte, die so konzipiert sind, dass sie von Fehlern in anderen Availability Zones isoliert sind. Sie bieten eine kostengünstige Netzwerkverbindung mit kurzer Latenz mit anderen Availability Zones in derselben Region. Durch das Starten von Instances in mehreren Availability Zones in derselben Region können Sie Ihre Anwendungen vor einer einzelnen Fehlerstelle schützen.

  • Load Balancer-Optimierung

    Prüft Ihre Load Balancer-Konfiguration. Zum Steigern des Grads an Fehlertoleranz in Amazon Elastic Compute Cloud (EC2) bei Verwenden von Elastic Load Balancing empfehlen wir die Ausführung einer gleichmäßigen Anzahl von Instances in mehreren Availability Zones in einer bestimmten Region. Für einen konfigurierten Load Balancer fallen Gebühren an, sodass es sich auch um eine Prüfung zur Kostenoptimierung handelt.

  • VPN Tunnel-Redundanz

    Prüft die Anzahl der Tunnel, die für jedes Ihrer VPNs aktiv ist. Für ein VPN müssen stets zwei Tunnel konfiguriert sein, um bei Ausfällen oder geplanten Wartungen der Geräte am AWS-Endpunkt Redundanz zu bieten. Bei einigen Geräten ist immer nur ein Tunnel aktiv (siehe Amazon Virtual Private Cloud Network Administrator Guide). Falls ein VPN keine aktiven Tunnel hat, können dennoch Gebühren für das VPN anfallen.

  • Auto Scaling-Gruppenressourcen

    Prüft die Verfügbarkeit von Ressourcen, die Ihren Startkonfigurationen oder Auto Scaling-Gruppen zugeordnet sind. Auto Scaling-Gruppen, die auf nicht verfügbare Ressourcen zeigen, können nicht zum Starten neuer Amazon Elastic Compute Cloud (Amazon EC2)-Instances dienen. Bei ordnungsgemäßer Konfiguration sorgt Auto Scaling dafür, dass die Anzahl von Amazon EC2-Instances bei Bedarfsspitzen erhöht und bei Bedarfsflauten automatisch verringert wird. Auto Scaling-Gruppen und Startkonfigurationen, die auf nicht verfügbare Ressourcen zeigen, funktionieren nicht wie vorgesehen.

  • Amazon RDS-Sicherungen

    Prüft auf automatisierte Sicherungen von Amazon RDS-DB-Instances. Sicherungen sind standardmäßig mit einer Aufbewahrungsdauer von 1 Tag aktiviert. Sicherungen reduzieren das Risiko unerwarteter Datenverluste und ermöglichen zeitpunktbezogene Wiederherstellungen.

  • Amazon RDS – Multi-AZ

    Prüft auf DB-Instances, die in einer einzelnen Availability Zone bereitgestellt sind. Multi-AZ-Bereitstellungen erhöhen die Datenbankverfügbarkeit durch die synchrone Replikation von Daten auf eine Standby-Instance in einer anderen Availability Zone. Im Fall einer geplanten Datenbankwartung oder eines Ausfalls einer DB-Instance oder Availability Zone führt Amazon RDS automatisch ein Failover auf die Standby-Instance durch, sodass der Datenbankbetrieb schnell und ohne Verwaltungsaufwand fortgesetzt werden kann. Da Amazon RDS nicht die Multi-AZ-Bereitstellung von Microsoft SQL Server unterstützt, werden keine SQL Server-Instances geprüft.

  • Auto Scaling-Gruppenzustandsprüfung

    Führt eine Zustandsprüfung der Konfiguration von Auto Scaling-Gruppen durch. Falls Elastic Load Balancing für eine Auto Scaling-Gruppe verwendet wird, ist die empfohlene Konfiguration das Aktivieren einer Elastic Load Balancing-Zustandsprüfung. Falls keine Elastic Load Balancing-Zustandsprüfung verwendet wird, kann Auto Scaling nur auf den Zustand der Amazon Elastic Compute Cloud (Amazon EC2)-Instance und nicht auf die Anwendung reagieren, die in der Instance ausgeführt wird.

  • Amazon S3-Bucket-Protokollierung

    Prüft die Konfiguration der Amazon Simple Storage Service (Amazon S3)-Bucket-Protokollierung. Wenn die Serverzugriffsprotokollierung aktiviert ist, werden dem von Ihnen gewählten Bucket stündlich ausführliche Zugriffsprotokolle zugestellt. Ein Zugriffsprotokolldatensatz enthält Details zu einzelnen Anforderungen wie den Anforderungstyp, die in der Anforderung verwendeten Ressourcen sowie Datum und Uhrzeit der Anforderungsverarbeitung. Die Bucket-Protokollierung ist standardmäßig nicht aktiviert. Sie sollte jedoch aktiviert sein, wenn Sie Sicherheitsprüfungen durchführen oder mehr über die Benutzer und deren Nutzungsmuster erfahren möchten.

  • Amazon Route 53 Name Server Delegations  

    Prüft auf von Amazon Route 53 gehostete Zonen, bei denen Ihre Domain-Registrierungsstelle oder Ihr DNS nicht die ordnungsgemäßen Route 53-Namensserver verwendet. Wenn Sie eine gehostete Zone erstellen, weist Route 53 eine Delegierungsgruppe von vier Namensservern zu. Die Namen dieser Server lauten ns-###.awsdns-##.com, .net, .org und .co.uk, wobei ### und ## unterschiedliche Nummern darstellen. Ehe Route 53 DNS-Abfragen zu Ihrer Domain leiten kann, müssen Sie die Namensserverkonfiguration Ihrer Registrierungsstelle ändern. Sie müssen die von der Registrierungsstelle zugewiesenen Namen entfernen und alle vier Namensserver in der Route 53-Delegierungsgruppe hinzufügen. Zur Maximierung der Verfügbarkeit müssen Sie alle vier Route 53-Namensserver hinzufügen.

  • Amazon Route 53 High TTL Resource Record Sets

    Prüft auf Ressourcendatensätze, die von einem niedrigeren TTL-Wert (Time-to-live) profitieren können. TTL ist die Anzahl der Sekunden, die ein Ressourcendatensatz von DNS-Auflösungsmodulen im Cache gespeichert wird. Bei Angabe eines hohen TTL-Werts brauchen DNS-Auflösungsmodule länger, um aktualisierte DNS-Datensätze anzufordern. Das kann zu unnötigen Verzögerungen bei der Umleitung von Datenverkehr führen (z. B. wenn DNS Failover den Ausfall eines Ihrer Endpunkte erkennt und darauf reagiert).

  • Amazon Route 53 – Failover-Ressourcendatensätze

    Prüft auf falsch konfigurierte Amazon Route 53-Failover-Ressourcendatensätze. Wenn bei Amazon Route 53-Zustandsprüfungen festgestellt wird, dass die primäre Ressource instabil ist, antwortet Amazon Route 53 auf Anfragen mit einem sekundären, Sicherungs-Ressourcendatensatz. Sie müssen korrekt konfigurierte primäre und sekundäre Ressourcendatensätze erstellen, damit das Failover funktioniert.

  • Amazon Route 53 – Gelöschte Zustandsprüfungen

    Prüft auf Ressourcendatensätze, die gelöschten Zustandsprüfungen zugeordnet sind. Amazon Route 53 hindert Sie nicht am Löschen einer Zustandsprüfung, die einer oder mehreren Ressourcendatensätzen zugeordnet ist. Wenn Sie eine Zustandsprüfung löschen, ohne die zugehörigen Ressourcendatensätze zu aktualisieren, funktioniert, das Routing von DNS-Abfragen für Ihre DNS-Failover-Konfiguration nicht wie beabsichtigt. Dies beeinträchtigt das Routing von DNS-Abfragen für Ihre DNS-Failover-Konfiguration.

  • ELB-Connection Draining

    Prüft auf Load Balancer, für die kein Connection Draining aktiviert ist. Wenn Sie eine Amazon EC2-Instance ohne aktiviertem Connection Draining auf dem Load Balancer deregistrieren, leitet der Load Balancer keinen Datenverkehr mehr an diese Instance und er schließt die Verbindung in diesem Fall sofort. Bei aktiviertem Connection Draining sendet der Load Balancer der deregistrierten Instance zwar ebenfalls keine neuen Anforderungen mehr zu, er hält die Verbindung jedoch offen, damit die bereits übertragenen Anforderungen noch verarbeitet werden können.

  • Zonenübergreifender ELB-Lastausgleich

    Prüft auf Load Balancer, für die kein zonenübergreifender Lastausgleich aktiviert ist. Zonenübergreifender Lastausgleich verteilt Anforderungen gleichmäßig und unabhängig von den Availability Zones der Instances auf alle Back-end-Instances. Dadurch verringert der zonenübergreifende Lastausgleich die ungleichmäßige Verteilung des Datenverkehrs, wenn die DNS-Informationen auf den Clients nicht korrekt im Cache gespeichert werden oder wenn Ihre Instances nicht gleichmäßig auf die einzelnen Availability Zones aufgeteilt sind (häufig ist dies der Fall, wenn Instances zu Wartungszwecken heruntergefahren wurden). Zonenübergreifender Lastausgleich vereinfacht den Einsatz und die Verwaltung von Anwendungen über mehrere Availability Zones hinweg.

  • Amazon S3 Bucket Versioning

    Prüft auf Amazon Simple Storage Service-Buckets, für die keine Versionierung aktiviert ist oder deren Versionierung ausgesetzt ist. Bei aktivierter Versionierung ist die Wiederherstellung nach unbeabsichtigten Nutzeraktionen oder Anwendungsausfällen problemlos möglich. Versionierung ermöglicht Ihnen, sämtliche Versionen aller in einem Bucket gespeicherten Objekte zu speichern, abzurufen oder wiederherzustellen. Mit Lebenszyklusregeln können Sie alle Versionen Ihrer Objekte wie auch deren Kosten verwalten, indem Sie die Objekte in der Glacier-Speicherklasse archivieren oder sie nach einer gewissen Zeit entfernen. Hier können Sie für Objektlöschungen oder Konfigurationsänderungen an Ihren Buckets auch eine Multi-Factor Authentication (MFA) anfordern.

  • AWS Direct Connect-Verbindungsredundanz

    Prüft auf Regionen mit nur einer AWS Direct Connect-Verbindung. Für eine zuverlässige Konnektivität mit Ihren AWS-Ressourcen sollten immer zwei Direct Connect-Verbindungen konfiguriert sein. Dies bietet Redundanz für den Fall, dass ein Gerät nicht zur Verfügung steht.

  • AWS Direct Connect-Standortredundanz  

    Prüft auf Virtual Private Gateways mit virtuellen AWS Direct Connect-Schnittstellen (VIF), die nur für eine AWS Direct Connect-Verbindung konfiguriert sind. Für eine zuverlässige Konnektivität mit Ihrem Virtual Private Gateway sollten über mehrere Direct Connect-Verbindungen und -Standorte mehrere virtuelle Schnittstellen konfiguriert sein. Dies bietet Redundanz für den Fall, dass ein Gerät oder Standort nicht zur Verfügung steht.

  • AWS Direct Connect-Redundanz für virtuelle Schnittstellen

    Prüft auf virtuelle private Gateways mit virtuellen AWS Direct Connect-Schnittstellen (VIF), die nur für eine AWS Direct Connect-Verbindung konfiguriert sind. Für eine zuverlässige Konnektivität mit Ihrem Virtual Private Gateway sollten über mehrere Direct Connect-Verbindungen und -Standorte mehrere virtuelle Schnittstellen konfiguriert sein. Dies bietet Redundanz für den Fall, dass ein Gerät oder Standort nicht zur Verfügung steht.

  • Amazon Aurora DB-Instance-Zugänglichkeit

    Prüft auf Fälle, in denen ein Amazon Aurora-Datenbankcluster sowohl private als auch öffentliche Instances enthält. Wenn Ihre primäre Instance ausfällt, kann eine Replik hochgestuft und als primäre Instance verwendet werden. Falls diese Replik aber privat ist, können sich Benutzer, die nur über öffentlichen Zugriff verfügen, nach dem Failover nicht mehr mit der Datenbank verbinden. Als bewährte Methode sollten Sie für alle DB-Instances in einem Cluster die gleiche Art des Zugriffs (öffentlich oder privat) einrichten.

  • EC2Config-Service für EC2-Windows-Instances

    Überprüft den EC2Config-Service für Amazon EC2-Windows-Instances und warnt Sie, wenn der EC2Config-Agent veraltet oder falsch konfiguriert ist. Nur durch Verwendung der aktuellsten EC2Config-Version kann die Softwareverwaltung auf den Endpunkten optimal durchgeführt werden. Dies betrifft beispielsweise PV-Treiberprüfungen, die sicherstellen, dass die neueste und damit sicherste und zuverlässigste Endpunktsoftware verwendet wird.

    Hinweis: Diese Prüfung zeigt Informationen für EC2-Instances in den folgenden AWS-Regionen an: Nord-Virginia (us-east-1), Nordkalifornien (us-west-1), Oregon (us-west-2), Irland (eu-west-1), Sao Paolo (sa-east-1), Tokio (ap-northeast-1), Singapur (ap-southeast-1) und Sydney (ap-southeast-2).

  • PV-Treiberversion für EC2-Windows-Instances

    Fehlertoleranz

    Steigern Sie die Verfügbarkeit und Redundanz Ihrer AWS-Anwendung mithilfe von Auto Scaling, Zustandsprüfungen, mehrerer Availability Zones und Sicherungsfunktionen.

    Überprüft die Version des PV-Treibers für Amazon EC2-Windows-Instances und warnt Sie, wenn der Treiber nicht aktuell ist. Durch Verwendung der aktuellsten PV-Treiberversion optimieren Sie die Treiberleistung und minimieren Sie Laufzeitprobleme und Sicherheitsrisiken.

    Hinweis: Diese Prüfung zeigt Informationen für EC2-Instances in den folgenden AWS-Regionen an: Nord-Virginia (us-east-1), Nordkalifornien (us-west-1), Oregon (us-west-2), Irland (eu-west-1), Sao Paolo (sa-east-1), Tokio (ap-northeast-1), Singapur (ap-southeast-1) und Sydney (ap-southeast-2).

  • ENA-Treiber

    Überprüft die AWS ENA-Treiberversion für EC2-Windows-Instances und warnt Sie dann, wenn der Treiber (a) veraltet ist und nicht mehr unterstützt wird, (b) veraltet ist und bekannte Probleme aufweist oder (c) aktualisiert werden kann. Die Verwendung der neuesten Version des AWS ENA-Treibers für Windows optimiert die Leistung des ENA-Treibers und minimiert Laufzeitprobleme und Sicherheitsrisiken.

    Hinweis: Diese Prüfung zeigt Informationen für EC2-Instances in den folgenden AWS-Regionen an: Nord-Virginia (us-east-1), Nordkalifornien (us-west-1), Oregon (us-west-2), Irland (eu-west-1), Sao Paolo (sa-east-1), Tokio (ap-northeast-1), Singapur (ap-southeast-1) und Sydney (ap-southeast-2).

  • NVMe-Treiber

    Überprüft die AWS NVMe-Treiberversion für EC2-Windows-Instances und warnt Sie dann, wenn der Treiber (a) veraltet ist und nicht mehr unterstützt wird, (b) veraltet ist und bekannte Probleme aufweist oder (c) aktualisiert werden kann. Die Verwendung der neuesten Version des AWS NVMe-Treibers für Windows optimiert die Leistung des NVMe-Treibers und minimiert Laufzeitprobleme und Sicherheitsrisiken.

    Hinweis: Diese Prüfung zeigt Informationen für EC2-Instances in den folgenden AWS-Regionen an: Nord-Virginia (us-east-1), Nordkalifornien (us-west-1), Oregon (us-west-2), Irland (eu-west-1), Sao Paolo (sa-east-1), Tokio (ap-northeast-1), Singapur (ap-southeast-1) und Sydney (ap-southeast-2).

Leistung

Verbessern Sie die Leistung Ihres Service, indem Sie Ihre Servicelimits überprüfen, sicherstellen, dass Sie in den Genuss des bereitgestellten Durchsatzes kommen, und eine Überwachung auf überlastete Instances vornehmen.

  • Amazon EC2-Instances mit hoher Auslastung

    Überprüft die Amazon Elastic Compute Cloud (Amazon EC2)-Instances, die in den letzten 14 Tagen zu beliebigen Zeiten ausgeführt wurden, und benachrichtigt Sie, wenn an mindestens 4 Tagen die tägliche CPU-Auslastung über 90 % betrug. Eine durchgängig hohe Auslastung kann ein Zeichen einer optimierten, gleichmäßigen Leistung, aber auch ein Hinweis darauf sein, dass einer Anwendung nicht genug Ressourcen zur Verfügung stehen. Um Daten zur täglichen CPU-Auslastung abzurufen, laden Sie den Bericht zu dieser Prüfung herunter.

  • Amazon EBS – Bereitgestellte IOPS-Volumes (SSDs) – Zuordnungskonfiguration

    Prüft auf bereitgestellte IOPS-Volumes (SSDs), die einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance zugeordnet sind, die nicht für Amazon EBS optimiert ist. Bereitgestellte IOPS-Volumes in Amazon Elastic Block Store (Amazon EBS) liefern nur dann die erwartete Leistung, wenn sie einer für EBS optimierten Instance zugeordnet sind.

  • Große Anzahl von Regeln in einer EC2-Sicherheitsgruppe

    Prüft Amazon Elastic Compute Cloud (EC2)-Sicherheitsgruppen auf eine übermäßige Anzahl von Regeln. Die Leistung kann beeinträchtigt werden, wenn eine Sicherheitsgruppe viele Regeln aufweist.

    Weitere Informationen finden Sie unter Amazon EC2-Sicherheitsgruppen.

  • Viele für eine EC2-Instance geltende EC2-Sicherheitsgruppenregeln

    Prüft auf Amazon Elastic Compute Cloud (EC2)-Instances mit vielen Sicherheitsgruppenregeln. Die Leistung kann beeinträchtigt werden, wenn für eine Instance viele Regeln gelten.

  • Amazon Route 53 Alias Resource Record Sets

    Prüft auf Ressourcendatensätze, die DNS-Abfragen zu AWS-Ressourcen weiterleiten. Diese können in Alias-Ressourcendatensätze geändert werden. Ein Alias-Ressourcendatensatz ist ein spezieller Amazon Route 53-Datensatztyp, der DNS-Abfragen zu einer AWS-Ressource weiterleitet (z. B. zu Elastic Load Balancing Load Balancer oder einem Amazon S3-Bucket) oder einen anderen Route 53-Ressourcendatensatz. Bei Verwendung von Alias-Ressourcendatensätzen leitet Route 53 Ihre DNS-Abfragen kostenlos an AWS-Ressourcen weiter.

  • Überlastete Amazon EBS Magnetic-Volumes

    Prüft auf Amazon Elastic Block Store (EBS) Magnetic-Volumes, die möglicherweise überlastet sind und von einer effizienteren Konfiguration profitieren könnten. Ein Magnetic-Volume ist für Anwendungen mit mittleren oder stoßweise hohen E/A-Anforderungen ausgelegt, wobei die IOPS-Rate nicht gewährleistet ist. Standard-Volumes bieten durchschnittlich ca. 100 IOPS (E/As pro Sekunde) und eine Höchstleistung von Hunderten von IOPS. Für durchgehend höhere IOPS können Sie ein bereitgestelltes IOPS-Volume (SSD) verwenden. Für stoßweise hohe IOPS können Sie ein Standard-Volume (SSD) verwenden.

  • Amazon CloudFront – Optimierung der Inhaltsbereitstellung

    Prüft auf Fälle, bei denen die Datenübertragung aus Amazon Simple Storage Service (Amazon S3)-Buckets mit Amazon CloudFront, dem globalen AWS-Service für die Bereitstellung von Inhalten, beschleunigt werden könnte. Wenn Sie Amazon CloudFront für die Bereitstellung Ihrer Inhalte konfigurieren, werden Anforderungen Ihrer Inhalte automatisch in den Cache des nächstgelegenen Edge-Standort weitergeleitet, sodass die Bereitstellung der Inhalte mit der bestmöglichen Leistung erfolgt. Ein hohes Verhältnis ausgehender Datenübertragungen an die im Bucket gespeicherten Daten ist ein Hinweis, dass Sie von Amazon CloudFront zur Bereitstellung der Daten profitieren könnten.

  • CloudFront-Header-Weiterleitung und Cache-Trefferrate

    Prüft die HTTP-Anforderungsheader, die CloudFront aktuell vom Client empfängt und an Ihren Ursprungsserver weiterleitet. Einige Header wie "Date" oder "User-Agent" reduzieren die Cache-Trefferrate (Prozentsatz der Anforderungen, die aus einem CloudFront-Edge-Cache bedient werden können) erheblich. Da CloudFront in diesem Fall mehr Anforderungen an den Ursprungsserver weiterleiten muss, erhöht sich dadurch die Last Ihres Ursprungsservers und die Leistung lässt nach.

  • Amazon EC2-zu-EBS-Durchsatzoptimierung

    Prüft auf Amazon EBS-Volumes, deren Leistung möglicherweise durch den maximalen Durchsatz der verbundenen Amazon EC2-Instance beeinträchtigt wird. Zur Leistungsoptimierung sollten Sie sicherstellen, dass der maximale Durchsatz einer EC2-Instance größer als der aggregierte maximale Durchsatz der verbundenen EBS-Volumes ist.

  • Alternative Domain-Namen für CloudFront

    Prüft CloudFront-Verteilungen auf alternative Domain-Namen mit falsch konfigurierten DNS-Einstellungen. Wenn eine CloudFront-Verteilung alternative Domain-Namen enthält, muss die DNS-Konfiguration der Domains DNS-Abfragen an diese Verteilung weiterleiten.

Servicelimits

Prüft auf eine Servicenutzung, die bei über 80 % des Servicelimits liegt. Werte basieren auf einem Snapshot, sodass Ihre derzeitige Nutzung ggf. unterschiedlich ist. Die Übernahme von Änderungen an Limit- und Nutzungsdaten kann bis zu 24 Stunden dauern.

In der folgenden Tabelle sind die Einschränkungen aufgelistet, die ein Trusted Advisor überprüft.

Service
Einschränkungen
Amazon DynamoDB
(DynamoDB
Lesekapazität
Schreibkapazität
Amazon Elastic Block Store
(Amazon EBS)
Aktive Volumes
Aktive Snapshots
Volume-Speicher (GiB) für Standard-Volumes (SSD)
Bereitgestellte E/A pro Sekunde
Bereitgestellter IOPS (SSD) Volume-Speicher (GiB)
Magnetischer Volume-Speicher (GiB)
Amazon Elastic Compute Cloud
(Amazon EC2)
Elastische IP-Adressen (EIPs)
Reserved Instances – Erwerbsgrenze (monatlich)
On-Demand-Instances
Amazon Kinesis Streams Shards
Amazon Relational Database Service
(Amazon RDS)
Cluster
Cluster-Parametergruppen
Cluster-Rollen
DB-Instances
DB-Parametergruppen
DB-Sicherheitsgruppen
DB-Snapshots pro Nutzer
Veranstaltungsabonnements
Maximale Autorisierung pro Sicherheitsgruppe
Optionsgruppen
Read Replicas pro Master
Reserved Instances
Speicherkontingent (GiB)
Subnetzgruppen
Subnetze pro Subnetzgruppe
Amazon Route 53
(Route 53)
Gehostete Zonen pro Konto
Max. Gesundheitschecks pro Konto
Wiederverwendbare Delegationssätze pro Konto
Datenverkehrsrichtlinien pro Konto
Datenverkehrsrichtlinien-Instances pro Konto
Amazon Simple Email Service
(Amazon SES)
Täglich versendetes Kontingent
Amazon Virtual Private Cloud
(Amazon VPC)
 
Elastische IP-Adressen (EIPs)
Internet-Gateways
VPCs
Auto Scaling
Auto Scaling-Gruppen
Konfigurationen starten
AWS CloudFormation Stacks
Elastic Load Balancing (ELB)
Aktive Load Balancer
Identity and Access Management (IAM)
Gruppen
Instance-Profile
Richtlinien
Rollen
Serverzertifikate
Benutzer

Hinweis: Daten für EC2 On-Demand-Instance-Limits sind nur für folgende AWS-Regionen verfügbar:

Asien-Pazifik (Tokio) [ap-northeast-1]
Asien-Pazifik (Singapur) [ap-southeast-1]
Asien-Pazifik (Sydney) [ap-southeast-2]
EU (Irland) [eu-west-1]
Südamerika (São Paulo) [sa-east-1]
USA Ost (Nord-Virginia) [us-east-1]
USA West (Nordkalifornien) [us-west-1]
USA West (Oregon) [us-west-2]

Hinweis: In Trusted Advisor werden regionale Begrenzungen für EC2 On-Demand-Instances derzeit nicht nachverfolgt. Standardmäßig beträgt diese Begrenzung 20 On-Demand-Instances pro Konto und Region.

Wenn Sie diese regionale Begrenzung erreicht haben, können Sie möglicherweise keine neuen On-Demand-Instances starten, obwohl laut Trusted Advisor noch keine Begrenzung pro Instance-Type für die entsprechende Region erreicht ist. Weitere Details zu Begrenzungen für EC2 On-Demand-Instances finden Sie unter Wie viele Instances kann ich mit Amazon EC2 ausführen?

Wir arbeiten ständig daran, weitere Services in die Prüfung für Service-Limits aufzunehmen. Ihr Feedback ist dabei für uns sehr hilfreich.