Bewährte AWS Trusted Advisor-Methoden (Prüfungen)

Zeigt, wie Sie in AWS Geld sparen können, indem Sie nicht verwendete Ressourcen oder solche im Leerlauf deaktivieren oder reservierte Kapazität buchen.

Bei der Nutzung von AWS kommt es zu einem Großteil darauf an, die am besten geeigneten Reserved Instances (RI) für Ihre Verwendung von On-Demand-Instances zu kaufen. Diese Prüfung gibt Ihnen Empfehlungen an die Hand, mit welchen RIs Sie Ihre Kosten für die Verwendung von On-Demand-Instances senken können.

Die Empfehlungen basieren auf Ihrer On-Demand-Nutzung der letzten 30 Tage, die anschließend unter Betrachtung passender Reservierungen kategorisiert wird. Anschließend wird jede Reservierungskombination in der generierten Nutzungskategorie simuliert, um die optimale Anzahl jedes RI-Typs zu ermitteln und maximale Kosteneinsparung zu erreichen. Diese Prüfung umfasst Empfehlungen, die auf Standard Reserved Instances mit der Möglichkeit teilweiser Vorauszahlung basieren. Die Empfehlungen für diese Prüfung sind nur im Zahlungskonto verfügbar.

Weitere Informationen zu dieser Empfehlung finden Sie unter Fragen zur Prüfung der Reserved-Instance-Optimierung in den häufig gestellten Fragen zu Trusted Advisor.

Überprüft die Amazon Elastic Compute Cloud (Amazon EC2)-Instances, die in den letzten 14 Tagen zu beliebigen Zeiten ausgeführt wurden, und benachrichtigt Sie, wenn an mindestens 4 Tagen die tägliche CPU-Auslastung maximal 10 % und der Netzwerk-E/A-Durchsatz maximal 5 MB betrug. Ausgeführte Instances erzeugen stündliche Nutzungsgebühren. Wenngleich es bei einigen Szenarien absichtlich zu einer geringen Nutzung kommt, können Sie oft Ihre Kosten senken, indem Sie Anzahl und Größe Ihre Instances anpassen.

Geschätzte monatliche Einsparungen werden anhand der derzeitigen Nutzungsrate von On-Demand-Instances und der geschätzten Anzahl von Tagen berechnet, an denen die Instance ggf. nicht ausgelastet ist. Wenn Sie Reserved oder Spot-Instances nutzen oder die Instance nicht den ganzen Tag verwenden, sind die tatsächlichen Einsparungen unterschiedlich. Um Daten zur täglichen Nutzung abzurufen, laden Sie den Bericht zu dieser Prüfung herunter.  

Prüft Ihre Elastic Load Balancing-Konfiguration auf Load Balancer, die nicht aktiv genutzt werden. Für alle konfigurierten Load Balancer fallen Gebühren an. Wenn einem Load Balancer keine Back-End-Instances zugeordnet sind oder der Netzwerkdatenverkehr schwerwiegend eingeschränkt ist, wird der Load Balancer nicht effektiv genutzt. Dieser Check prüft derzeit nur den Typ Classic Load Balancer innerhalb des ELB-Dienstes. Andere ELB-Typen (Application Load Balancer, Network Load Balancer) sind nicht enthalten.

Prüft Konfigurationen von Amazon Elastic Block Store (Amazon EBS)-Volumes und warnt, wenn Volumes anscheinend unausgelastet sind. Sobald ein Volume erstellt ist, beginnen Gebühren anzufallen. Wenn ein EBS-Volume längere Zeit nicht zugeordnet wurde oder eine sehr niedrige Schreibaktivität aufweist (mit Ausnahme von Start-Volumes), wird das Volume wahrscheinlich nicht genutzt.

Prüft auf Elastic IP-Adressen (EIPs), die keiner ausgeführten Amazon Elastic Compute Cloud (Amazon EC2)-Instance zugeordnet sind. EIPs sind statische IP-Adressen, die für dynamisches Cloud Computing entwickelt wurden. Anders als bei herkömmlichen statischen IP-Adressen können Sie mit Elastic IP-Adressen den Ausfall einer Instance oder Availability Zone maskieren, indem Sie eine öffentlichen IP-Adressen einer anderen Instance in Ihrem Konto neu zuordnen. Für eine EIP, die keiner ausgeführten Instance zugeordnet ist, wird eine Schutzgebühr erhoben.

Prüft Ihre Konfiguration von Amazon Relational Database Service (Amazon RDS) auf DB-Instances, die im Leerlauf zu sein scheinen. Wenn für eine DB-Instance über einen längeren Zeitraum keine Verbindung bestand, können Sie die Instance zur Kostensenkung löschen. Wenn für die Daten in der Instance eine persistente Speicherung erforderlich ist, können Sie kostengünstigere Optionen wählen, z. B. das Erstellen und Aufbewahren eines DB-Snapshots. Manuell erstellte DB-Snapshots werden aufbewahrt, bis Sie sie löschen. 

Prüft auf ineffizient konfigurierte Amazon Route 53-Latenz-Datensätze. Damit Amazon Route 53 in der Lage ist, Abfragen an die Region mit der geringsten Netzwerklatenz weiterzuleiten, sollten Sie Latenz-Ressourcendatensätzen für einen bestimmten Domain-Namen (z. B. example.com) in verschiedenen Regionen erstellen. Wenn Sie nur einen Latenz-Ressourcendatensatz für einen Domain-Namen erstellen, werden alle Abfragen an eine Region weitergeleitet, und Sie zahlen zusätzliche Gebühren für latenzbasiertes Routing, ohne in den Genuss der Vorteile zu kommen.  

Prüft auf Amazon EC2 Reserved Instances, die laut Zeitplan innerhalb der nächsten 30 Tage ablaufen oder in den vorangegangenen 30 Tagen abgelaufen sind. Reserved Instances werden nicht automatisch verlängert. Jedoch können Sie unterbrechungsfrei mit einer durch die Reservierung abgedeckten EC2-Instance fortfahren. Allerdings werden hierfür On-Demand-Tarife berechnet. Die neuen Reserved Instances können die Parameter der abgelaufenen Instances übernehmen, oder Sie können Reserved Instances mit anderen Parametern erwerben. Die angegebenen monatlichen Ersparnisse sind geschätzt. Grundlage sind jeweils die On-Demand- und Reserved Instance-Tarife für den gleichen Instance-Typ.

Prüft Ihre Konfiguration von Amazon Redshift auf Cluster, die nicht ausgelastet zu sein scheinen. Wenn für einen Amazon Redshift-Cluster über einen längeren Zeitraum keine Verbindung bestand oder der Cluster nur wenig Prozessorleistung benötigt, können Sie günstigere Optionen wählen, beispielsweise den Cluster herunterskalieren oder einen letzten Snapshot des Clusters erstellen und den Cluster dann entfernen. Dieser Snapshot bleibt auch beim Löschen des Clusters erhalten.

Prüft Ihre Nutzung von EC2, Fargate und Lambda in den letzten 30 Tagen und bietet Savings Plan-Kaufempfehlungen, die es Ihnen ermöglichen, ein konsistentes Nutzungsvolumen zu vereinbaren (gemessen in USD/Std. mit 1-jähriger oder 3-jähriger Laufzeit) und im Gegenzug von Preisnachlässen zu profitieren. Diese stammen aus dem AWS Cost Explorer, der genutzt werden kann, um detailiertere Informationen zu den Empfehlungen zu erhalten oder um einen Savings Plan zu kaufen. Diese Empfehlungen sollten als Alternative zu Ihren RI-Empfehlungen angesehen werden. Es wäre wahrscheinlich eine zu große Belastung, beiden Empfehlungen voll nachzukommen. Diese Prüfung ist nicht verfügbar für Konten, die mit konsolidierter Fakturierung verknüpft sind. Die Empfehlungen für diese Prüfung sind nur im Zahlungskonto verfügbar.

Prüft Ihre Nutzung von ElastiCache und bietet Kaufempfehlungen für Reserved Nodes, um Sie bei der Verringerung der Kosten zu unterstützen, die durch die On-Demand-Nutzung von ElastiCache entstehen. AWS erstellt diese Empfehlungen durch Analyse Ihrer On-Demand-Nutzung in den letzten 30 Tagen. Anschließend wird jede Reservierungskombination in der generierten Nutzungskategorie simuliert, um die optimale Anzahl jedes Reserved Node-Typs an zu ermitteln und maximale Kosteneinsparung zu erreichen. Diese Prüfung umfasst Empfehlungen, die auf der Zahlungsoption "Teilweise Vorauszahlung" mit 1-jähriger Laufzeit oder 3-jähriger Laufzeit basieren. Diese Prüfung ist nicht verfügbar für Konten, die mit konsolidierter Fakturierung verknüpft sind. Die Empfehlungen für diese Prüfung sind nur im Zahlungskonto verfügbar.

Prüft Ihre Nutzung von RedShift und bietet Kaufempfehlungen für Reserved Nodes, um Sie bei der Verringerung der Kosten zu unterstützen, die durch die On-Demand-Nutzung von RedShift entstehen. AWS erstellt diese Empfehlungen durch Analyse Ihrer On-Demand-Nutzung in den letzten 30 Tagen. Anschließend wird jede Reservierungskombination in der generierten Nutzungskategorie simuliert, um die optimale Anzahl jedes Reserved Node-Typs zu ermitteln und maximale Kosteneinsparung zu erreichen. Diese Prüfung umfasst Empfehlungen, die auf der Zahlungsoption "Teilweise Vorauszahlung" mit 1-jähriger Laufzeit oder 3-jähriger Laufzeit basieren. Diese Prüfung ist nicht verfügbar für Konten, die mit konsolidierter Fakturierung verknüpft sind. Die Empfehlungen für diese Prüfung sind nur im Zahlungskonto verfügbar. 

Prüft Ihre Nutzung von RDS und bietet Kaufempfehlungen für Reserved Instances, um Sie bei der Verringerung der Kosten zu unterstützen, die durch die On-Demand-Nutzung von RDS entstehen. AWS erstellt diese Empfehlungen durch Analyse Ihrer On-Demand-Nutzung in den letzten 30 Tagen. Anschließend wird jede Reservierungskombination in der generierten Nutzungskategorie simuliert, um die optimale Anzahl jedes RI-Typs zu ermitteln und maximale Kosteneinsparung zu erreichen. Diese Prüfung umfasst Empfehlungen, die auf der Zahlungsoption "Teilweise Vorauszahlung" mit 1-jähriger Laufzeit oder 3-jähriger Laufzeit basieren. Diese Prüfung ist nicht verfügbar für Konten, die mit konsolidierter Fakturierung verknüpft sind. Die Empfehlungen für diese Prüfung sind nur im Zahlungskonto verfügbar.

Prüft Ihre Nutzung von Elasticsearch und bietet Kaufempfehlungen für Reserved Instances, um Sie bei der Verringerung der Kosten zu unterstützen, die durch die On-Demand-Nutzung von Elasticsearch entstehen. AWS erstellt diese Empfehlungen durch Analyse Ihrer On-Demand-Nutzung in den letzten 30 Tagen. Anschließend wird jede Reservierungskombination in der generierten Nutzungskategorie simuliert, um die optimale Anzahl jedes RI-Typs zu ermitteln und maximale Kosteneinsparung zu erreichen. Diese Prüfung umfasst Empfehlungen, die auf der Zahlungsoption "Teilweise Vorauszahlung" mit 1-jähriger Laufzeit oder 3-jähriger Laufzeit basieren. Diese Prüfung ist nicht verfügbar für Konten, die mit konsolidierter Fakturierung verknüpft sind. Die Empfehlungen für diese Prüfung sind nur im Zahlungskonto verfügbar.

Prüft auf Lambda-Funktionen mit hohen Fehlerraten, die hohe Kosten verursachen können. Lambda berechnet Kosten basierend auf der Anzahl der Anfragen und der aggregierten Ausführungszeit für Ihre Funktion. Funktionsfehler können Wiederholungsversuche verursachen, die zusätzliche Gebühren verursachen.

Hinweis: Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert und Aktualisierungsanfragen sind nicht zulässig. Es kann einige Stunden dauern, bis die Änderungen angezeigt werden.

Prüft auf Lambda-Funktionen mit hohen Zeitbeschränkungsraten, die hohe Kosten verursachen können. Lambda berechnet Kosten basierend auf der Ausführungszeit für Ihre Funktion und der Anzahl der Anfragen für Ihre Funktion. Funktionszeitüberschreitungen führen zu Funktionsfehlern, die Wiederholungen verursachen können, die zusätzliche Gebühren für Anforderung und Ausführungszeit verursachen.

Hinweis: Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert und Aktualisierungsanfragen sind nicht zulässig. Es kann einige Stunden dauern, bis die Änderungen angezeigt werden.

Steigern Sie die Sicherheit Ihrer Anwendung, indem Sie Sicherheitslücken schließen, verschiedene AWS-Sicherheitsfunktionen aktivieren und Berechtigungen überprüfen.

Prüft Sicherheitsgruppen auf Regeln, die einen uneingeschränkten Zugriff (0.0.0.0/0) auf bestimmte Ports zulassen. Bei einem uneingeschränkten Zugriff bieten sich Möglichkeiten für böswillige Aktivitäten (d. h. Eindringversuche, Denial-of-Service-Angriffe, Datenverlust). Die Ports mit dem höchsten Risiko sind rot, die mit niedrigerem Risiko gelb markiert. Grün markierte Ports werden in der Regel von Anwendungen genutzt, die einen uneingeschränkten Zugriff benötigen, z. B. HTTP und SMTP.

Wenn Sie Ihre Sicherheitsgruppen absichtlich so konfiguriert haben, empfehlen wir, weitere Sicherheitsmaßnahmen zum Schutz Ihrer Infrastruktur (z. B. IP-Tabellen) zu ergreifen.

Prüft Sicherheitsgruppen auf Regeln, die einen uneingeschränkten Zugriff auf eine Ressource zulassen. Bei einem uneingeschränkten Zugriff bieten sich Möglichkeiten für böswillige Aktivitäten (d. h. Eindringversuche, Denial-of-Service-Angriffe, Datenverlust).

Prüft Ihre Nutzung von AWS Identity and Access Management (IAM). Mithilfe von IAM können Sie in AWS Benutzer, Gruppen und Rollen anlegen und mittels Berechtigungen ihren Zugriff auf AWS-Ressourcen steuern.

Prüft in Amazon Simple Storage Service (Amazon S3) auf Buckets mit offenen Zugriffsberechtigungen. Bucket-Berechtigungen, die allen Benutzern den Zugriff "Auflisten" gewähren, können höhere Gebühren als erwartet verursachen, wenn Objekte im Bucket von nicht vorgesehenen Benutzern mit hoher Häufigkeit aufgelistet werden. Bucket-Berechtigungen, die allen Benutzern den Zugriff "Hochladen/Löschen" gewähren, sorgen für potenzielle Sicherheitslücken, da alle Benutzer in einem Bucket Elemente hinzufügen, ändern oder entfernen können. Diese Prüfung untersucht explizite Bucket-Berechtigungen wie auch die zugehörigen Bucket-Richtlinien, die möglicherweise Bucket-Berechtigungen außer Kraft setzen.

Prüft das Root-Konto und warnt, wenn die Multi-Factor Authentication (MFA) nicht aktiviert ist. Für ein höheres Maß an Sicherheit wird empfohlen, Ihr Konto mit MFA zu schützen. Benutzer werden dann bei der Interaktion mit der AWS-Konsole und dazugehörigen Websites zum Eingeben eines eindeutigen Authentifizierungscodes über ihr MFA-Gerät oder virtuelles Gerät aufgefordert.

Prüft Konfigurationen von Amazon Relational Database Service (Amazon RDS)-Sicherheitsgruppen und warnt, wenn eine Sicherheitsgruppenregel u. U. einen Zugriff mit zu weitreichenden Berechtigungen für Ihre Datenbank erteilt. Die empfohlene Konfiguration für Sicherheitsgruppenregeln sieht vor, bestimmten Amazon Elastic Compute Cloud (Amazon EC2)-Sicherheitsgruppen oder einer bestimmten IP-Adresse Zugriff zu gewähren.

Prüft Ihre Nutzung von AWS CloudTrail. CloudTrail bietet erhöhte Transparenz der Aktivitäten in Ihrem AWS-Konto, indem Informationen über die im Konto erfolgten AWS-API-Aufrufe aufgezeichnet werden. Diese Protokolle können Sie beispielsweise verwenden, um zu ermitteln, welche Aktionen ein bestimmter Benutzer in einem bestimmten Zeitraum durchgeführt hat, oder welche Benutzer in einem bestimmten Zeitraum Aktionen für eine bestimmte Ressource durchgeführt haben. Da CloudTrail Protokolldateien in einem Amazon Simple Storage Service (Amazon S3)-Bucket bereitstellt, muss CloudTrail über Schreibrechte für den Bucket verfügen.

Prüft, ob für jeden MX-Ressourcendatensatz ein SPF-Ressourcendatensatz vorhanden ist. Ein SPF-Datensatz (Sender Policy Framework) veröffentlicht eine Liste mit Servern, die für den Versand von E-Mail für Ihre Domain autorisiert sind. Dies hilft, Spam zu reduzieren, indem E-Mail-Adressen-Spoofing erkannt und gestoppt wird.

Prüft auf Load Balancer mit Listenern, deren Sicherheitskonfiguration nicht den Empfehlungen für verschlüsselte Kommunikation folgt. AWS empfiehlt die Verwendung eines sicheren Protokolls (HTTPS oder SSL), aktuelle Sicherheitsrichtlinien und sichere Verschlüsselungen. Wenn Sie für Front-end-Verbindungen (Client zu Load Balancer) ein sicheres Protokoll verwenden, werden Anforderungen zwischen Ihren Clients und dem Load Balancer verschlüsselt, was wesentlich sicherer ist. Elastic Load Balancing stellt vordefinierte Sicherheitsrichtlinien bereit, deren Verschlüsselungen und Protokolle den bewährten Sicherheitsmethoden von AWS entsprechen. Mit der Verfügbarkeit neuer Konfigurationen werden auch neue Versionen dieser vordefinierten Richtlinien bereitgestellt. Dieser Check prüft derzeit nur den Typ Classic Load Balancer innerhalb des ELB-Dienstes. Andere ELB-Typen (Application Load Balancer, Network Load Balancer) sind nicht enthalten.

Prüft auf Load Balancer, die mit einer fehlenden Sicherheitsgruppe oder mit einer Sicherheitsgruppe konfiguriert sind, die Zugriff auf nicht für den Load Balancer konfigurierte Ports zulässt. Wenn eine einem Load Balancer zugeordnete Sicherheitsgruppe gelöscht wird, erfüllt der Load Balancer nicht mehr die erwartete Funktion. Wenn eine Sicherheitsgruppe Zugriff auf Ports zulässt, die nicht für den Load Balancer konfiguriert sind, steigt das Risiko eines Datenverlusts oder böswilliger Angriffe. Dieser Check prüft derzeit nur den Typ Classic Load Balancer innerhalb des ELB-Dienstes. Andere ELB-Typen (Application Load Balancer, Network Load Balancer) sind nicht enthalten.

Prüft auf SSL-Zertifikate für alternative CloudFront-Domain-Namen im IAM-Zertifikatspeicher und warnt Sie, wenn diese abgelaufen sind, demnächst ablaufen, eine veraltete Verschlüsselung verwenden oder nicht ordnungsgemäß für die Verteilung konfiguriert sind. Wenn ein benutzerdefiniertes Zertifikat für einen alternativen Domain-Namen abläuft, geben Browser, in denen Ihre CloudFront-Inhalte angezeigt werden, möglicherweise eine Sicherheitswarnung zu Ihrer Website aus. Zertifikate, die mit dem Hashing-Algorithmus SHA-1 verschlüsselt sind, werden von Webbrowsern wie Chrome und Firefox nicht mehr unterstützt. Wenn ein Zertifikat keine Domain-Namen enthält, die mit dem Domain-Namen des Ursprungs oder dem Domain-Namen im Host-Header der Viewer-Anforderungen übereinstimmen, gibt CloudFront dem Benutzer den HTTP-Statuscode 502 (ungültiges Gateway) zurück.

Durchsucht die benutzerdefinierten Ursprungsdaten der CloudFront-Benutzerdistributionen und überprüft, ob die Ursprungszertifikate ordnungsgemäß konfiguriert sind. Das falsch konfigurierte Zertifikat ist ein Zertifikat, das innerhalb der nächsten 7 Tage abläuft oder bereits einen SHA1-Algorithmus für schwache Signaturen verwendet.

Prüft gängige Code-Repositorys auf Zugriffsschlüssel, die an die Öffentlichkeit gelangt sind, sowie auf die irreguläre Verwendung der Amazon Elastic Compute Cloud (Amazon EC2), die das Ergebnis eines kompromittierten Zugriffsschlüssels sein könnte. Ein Zugriffsschlüssel besteht aus einer Zugriffsschlüssel-ID und dem zugehörigen geheimen Zugriffsschlüssel. Exponierte Zugriffsschlüssel sind ein Sicherheitsrisiko für Ihr Konto und andere Benutzer. Sie können zu Unsummen an Kosten aufgrund nicht autorisierter Aktivitäten oder Missbräuchen führen und verletzen zudem die AWS-Kundenvereinbarung. Wenn Ihr Zugriffsschlüssel an die Öffentlichkeit gelangt ist, sind dringende Maßnahmen geboten. Um Ihr Konto vor übermäßigen Kosten zu schützen, schränkt AWS Ihre Möglichkeiten zur Erstellung bestimmter AWS-Ressourcen vorübergehend ein. Dadurch wird Ihr Konto jedoch nicht sicher. Es begrenzt nur teilweise die unzulässige Nutzung Ihres Kontos, für die Ihnen andernfalls enorme Kosten entstehen könnten. 

Hinweis: Durch diese Prüfung kann die Erkennung exponierter Zugriffsschlüssel oder kompromittierter EC2-Instances nicht garantiert werden. Letztendlich sind Sie verantwortlich für die Sicherheit und den Schutz Ihrer Zugriffsschlüssel und AWS-Ressourcen.

Überprüft die Berechtigungseinstellungen für die Snapshots Ihrer Amazon Elastic Block Store (Amazon EBS)-Volumes und warnt Sie, wenn Snapshots als öffentlich markiert sind. Auf die Daten eines öffentlich gemachten Snapshots haben alle AWS-Konten und -Benutzer Zugriff. Wenn Sie einen Snapshot mit bestimmten Benutzern oder Konten austauschen möchten, markieren Sie den Snapshot als privat und geben Sie dann die Benutzer oder Konten an, für die Sie die Snapshot-Daten freigeben möchten.

Überprüft die Berechtigungseinstellungen für Ihre Amazon Relational Database Service (Amazon RDS)-DB-Snapshots und warnt Sie, wenn Snapshots als öffentlich markiert sind. Auf die Daten eines öffentlich gemachten Snapshots haben alle AWS-Konten und -Benutzer Zugriff. Wenn Sie einen Snapshot mit bestimmten Benutzern oder Konten austauschen möchten, markieren Sie den Snapshot als privat und geben Sie dann die Benutzer oder Konten an, für die Sie die Snapshot-Daten freigeben möchten.

Prüft die Kennwortrichtlinie für Ihr Konto und warnt, wenn eine Kennwortrichtlinie nicht aktiviert ist oder Vorgaben für den Kennwortinhalt nicht erfüllt sind. Durch Vorgaben für den Kennwortinhalt wird die allgemeine Sicherheit Ihrer AWS-Umgebung erhöht, indem die Erstellung sehr sicherer Benutzerkennwörter erzwungen wird. Wenn Sie eine Kennwortrichtlinie erstellen oder ändern, gilt diese für neue Benutzer sofort. Vorhandene Benutzer müssen allerdings ihre Kennwörter nicht ändern.

Prüft auf aktive IAM-Zugriffsschlüssel, die innerhalb der letzten 90 Tage nicht rotiert wurden. Durch regelmäßige Rotation Ihrer Zugriffsschlüssel verringern Sie das Risiko, dass mithilfe eines kompromittierten Schlüssels ohne Ihres Wissens ein Zugriff auf Ihre Ressourcen erfolgt. Als Datum und Uhrzeit der letzten Rotation gilt für diese Prüfung der Erstellungs- bzw. letzte Aktivierungszeitpunkt des Zugriffsschlüssels. Nummer und Datum eines Zugriffsschlüssels werden den Informationen "access_key_1_last_rotated" und "access_key_2_last_rotated" des aktuellsten IAM-Berichts zu den Anmeldedaten entnommen.

Prüft auf Lambda-Funktionen, die für die Verwendung einer Laufzeit konfiguriert sind, die sich der Veraltung nähert oder veraltet ist. Veraltete Laufzeiten haben keinen Anspruch auf Sicherheitsupdates oder technischen Support.

Hinweis: Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert und Aktualisierungsanfragen sind nicht zulässig. Es kann einige Stunden dauern, bis die Änderungen angezeigt werden.

Steigern Sie die Verfügbarkeit und Redundanz Ihrer AWS-Anwendung mithilfe von Auto Scaling, Zustandsprüfungen, mehrerer Availability Zones und Sicherungsfunktionen.

Prüft das Alter der Snapshots Ihrer (verfügbaren oder verwendeten) Amazon Elastic Block Store (Amazon EBS)-Volumes. Auch wenn Amazon EBS-Volumes repliziert werden, können Ausfälle vorkommen. Snapshots werden in Amazon Simple Storage Service (Amazon S3) für eine zeitpunktbezogene Wiederherstellung dauerhaft gespeichert.

Prüft die Verteilung von Amazon Elastic Compute Cloud (Amazon EC2)-Instances auf Availability Zones in einer Region. Availability Zones sind eigenständige Standorte, die so konzipiert sind, dass sie von Fehlern in anderen Availability Zones isoliert sind. Sie bieten eine kostengünstige Netzwerkverbindung mit kurzer Latenz mit anderen Availability Zones in derselben Region. Durch das Starten von Instances in mehreren Availability Zones in derselben Region können Sie Ihre Anwendungen vor einer einzelnen Fehlerstelle schützen.

Prüft Ihre Load Balancer-Konfiguration. Zum Steigern des Grads an Fehlertoleranz in Amazon Elastic Compute Cloud (EC2) bei Verwenden von Elastic Load Balancing empfehlen wir die Ausführung einer gleichmäßigen Anzahl von Instances in mehreren Availability Zones in einer bestimmten Region. Für einen konfigurierten Load Balancer fallen Gebühren an, sodass es sich auch um eine Prüfung zur Kostenoptimierung handelt.

Prüft die Anzahl der Tunnel, die für jedes Ihrer VPNs aktiv ist. Für ein VPN müssen stets zwei Tunnel konfiguriert sein, um bei Ausfällen oder geplanten Wartungen der Geräte am AWS-Endpunkt Redundanz zu bieten. Bei einigen Geräten ist immer nur ein Tunnel aktiv (siehe Amazon Virtual Private Cloud Network Administrator Guide). Falls ein VPN keine aktiven Tunnel hat, können dennoch Gebühren für das VPN anfallen.

Prüft die Verfügbarkeit von Ressourcen, die Ihren Startkonfigurationen oder Auto Scaling-Gruppen zugeordnet sind. Auto Scaling-Gruppen, die auf nicht verfügbare Ressourcen zeigen, können nicht zum Starten neuer Amazon Elastic Compute Cloud (Amazon EC2)-Instances dienen. Bei ordnungsgemäßer Konfiguration sorgt Auto Scaling dafür, dass die Anzahl von Amazon EC2-Instances bei Bedarfsspitzen erhöht und bei Bedarfsflauten automatisch verringert wird. Auto Scaling-Gruppen und Startkonfigurationen, die auf nicht verfügbare Ressourcen zeigen, funktionieren nicht wie vorgesehen.

Prüft auf automatisierte Sicherungen von Amazon RDS-DB-Instances. Sicherungen sind standardmäßig mit einer Aufbewahrungsdauer von 1 Tag aktiviert. Sicherungen reduzieren das Risiko unerwarteter Datenverluste und ermöglichen zeitpunktbezogene Wiederherstellungen.

Prüft auf DB-Instances, die in einer einzelnen Availability Zone bereitgestellt sind. Multi-AZ-Bereitstellungen erhöhen die Datenbankverfügbarkeit durch die synchrone Replikation von Daten auf eine Standby-Instance in einer anderen Availability Zone. Im Fall einer geplanten Datenbankwartung oder eines Ausfalls einer DB-Instance oder Availability Zone führt Amazon RDS automatisch ein Failover auf die Standby-Instance durch, sodass der Datenbankbetrieb schnell und ohne Verwaltungsaufwand fortgesetzt werden kann. Da Amazon RDS nicht die Multi-AZ-Bereitstellung von Microsoft SQL Server unterstützt, werden keine SQL Server-Instances geprüft.

Führt eine Zustandsprüfung der Konfiguration von Auto Scaling-Gruppen durch. Falls Elastic Load Balancing für eine Auto Scaling-Gruppe verwendet wird, ist die empfohlene Konfiguration das Aktivieren einer Elastic Load Balancing-Zustandsprüfung. Falls keine Elastic Load Balancing-Zustandsprüfung verwendet wird, kann Auto Scaling nur auf den Zustand der Amazon Elastic Compute Cloud (Amazon EC2)-Instance und nicht auf die Anwendung reagieren, die in der Instance ausgeführt wird.

Prüft die Konfiguration der Amazon Simple Storage Service (Amazon S3)-Bucket-Protokollierung. Wenn die Serverzugriffsprotokollierung aktiviert ist, werden dem von Ihnen gewählten Bucket stündlich ausführliche Zugriffsprotokolle zugestellt. Ein Zugriffsprotokolldatensatz enthält Details zu einzelnen Anforderungen wie den Anforderungstyp, die in der Anforderung verwendeten Ressourcen sowie Datum und Uhrzeit der Anforderungsverarbeitung. Die Bucket-Protokollierung ist standardmäßig nicht aktiviert. Sie sollte jedoch aktiviert sein, wenn Sie Sicherheitsprüfungen durchführen oder mehr über die Benutzer und deren Nutzungsmuster erfahren möchten.

Prüft auf von Amazon Route 53 gehostete Zonen, bei denen Ihre Domain-Registrierungsstelle oder Ihr DNS nicht die ordnungsgemäßen Route 53-Namensserver verwendet. Wenn Sie eine gehostete Zone erstellen, weist Route 53 eine Delegierungsgruppe von vier Namensservern zu. Die Namen dieser Server lauten ns-###.awsdns-##.com, .net, .org und .co.uk, wobei ### und ## unterschiedliche Nummern darstellen. Ehe Route 53 DNS-Abfragen zu Ihrer Domain leiten kann, müssen Sie die Namensserverkonfiguration Ihrer Registrierungsstelle ändern. Sie müssen die von der Registrierungsstelle zugewiesenen Namen entfernen und alle vier Namensserver in der Route 53-Delegierungsgruppe hinzufügen. Zur Maximierung der Verfügbarkeit müssen Sie alle vier Route 53-Namensserver hinzufügen.

Prüft auf Ressourcendatensätze, die von einem niedrigeren TTL-Wert (Time-to-live) profitieren können. TTL ist die Anzahl der Sekunden, die ein Ressourcendatensatz von DNS-Auflösungsmodulen im Cache gespeichert wird. Bei Angabe eines hohen TTL-Werts brauchen DNS-Auflösungsmodule länger, um aktualisierte DNS-Datensätze anzufordern. Das kann zu unnötigen Verzögerungen bei der Umleitung von Datenverkehr führen (z. B. wenn DNS Failover den Ausfall eines Ihrer Endpunkte erkennt und darauf reagiert).

Prüft auf falsch konfigurierte Amazon Route 53-Failover-Ressourcendatensätze. Wenn bei Amazon Route 53-Zustandsprüfungen festgestellt wird, dass die primäre Ressource instabil ist, antwortet Amazon Route 53 auf Anfragen mit einem sekundären, Sicherungs-Ressourcendatensatz. Sie müssen korrekt konfigurierte primäre und sekundäre Ressourcendatensätze erstellen, damit das Failover funktioniert.

Prüft auf Ressourcendatensätze, die gelöschten Zustandsprüfungen zugeordnet sind. Amazon Route 53 hindert Sie nicht am Löschen einer Zustandsprüfung, die einer oder mehreren Ressourcendatensätzen zugeordnet ist. Wenn Sie eine Zustandsprüfung löschen, ohne die zugehörigen Ressourcendatensätze zu aktualisieren, funktioniert, das Routing von DNS-Abfragen für Ihre DNS-Failover-Konfiguration nicht wie beabsichtigt. Dies beeinträchtigt das Routing von DNS-Abfragen für Ihre DNS-Failover-Konfiguration.

Prüft auf Load Balancer, für die kein Connection Draining aktiviert ist. Wenn Sie eine Amazon EC2-Instance ohne aktiviertem Connection Draining auf dem Load Balancer deregistrieren, leitet der Load Balancer keinen Datenverkehr mehr an diese Instance und er schließt die Verbindung in diesem Fall sofort. Bei aktiviertem Connection Draining sendet der Load Balancer der deregistrierten Instance zwar ebenfalls keine neuen Anforderungen mehr zu, er hält die Verbindung jedoch offen, damit die bereits übertragenen Anforderungen noch verarbeitet werden können. Dieser Check prüft derzeit nur den Typ Classic Load Balancer innerhalb des ELB-Dienstes. Andere ELB-Typen (Application Load Balancer, Network Load Balancer) sind nicht enthalten.

Prüft auf Load Balancer, für die kein zonenübergreifender Lastausgleich aktiviert ist. Zonenübergreifender Lastausgleich verteilt Anforderungen gleichmäßig und unabhängig von den Availability Zones der Instances auf alle Back-end-Instances. Dadurch verringert der zonenübergreifende Lastausgleich die ungleichmäßige Verteilung des Datenverkehrs, wenn die DNS-Informationen auf den Clients nicht korrekt im Cache gespeichert werden oder wenn Ihre Instances nicht gleichmäßig auf die einzelnen Availability Zones aufgeteilt sind (häufig ist dies der Fall, wenn Instances zu Wartungszwecken heruntergefahren wurden). Zonenübergreifender Lastausgleich vereinfacht den Einsatz und die Verwaltung von Anwendungen über mehrere Availability Zones hinweg. Dieser Check prüft derzeit nur den Typ Classic Load Balancer innerhalb des ELB-Dienstes. Andere ELB-Typen (Application Load Balancer, Network Load Balancer) sind nicht enthalten.

Prüft auf Amazon Simple Storage Service-Buckets, für die keine Versionierung aktiviert ist oder deren Versionierung ausgesetzt ist. Bei aktivierter Versionierung ist die Wiederherstellung nach unbeabsichtigten Nutzeraktionen oder Anwendungsausfällen problemlos möglich. Versionierung ermöglicht Ihnen, sämtliche Versionen aller in einem Bucket gespeicherten Objekte zu speichern, abzurufen oder wiederherzustellen. Mit Lebenszyklusregeln können Sie alle Versionen Ihrer Objekte wie auch deren Kosten verwalten, indem Sie die Objekte in der Glacier-Speicherklasse archivieren oder sie nach einer gewissen Zeit entfernen. Hier können Sie für Objektlöschungen oder Konfigurationsänderungen an Ihren Buckets auch eine Multi-Factor Authentication (MFA) anfordern.

Prüft auf Regionen mit nur einer AWS Direct Connect-Verbindung. Für eine zuverlässige Konnektivität mit Ihren AWS-Ressourcen sollten immer zwei Direct Connect-Verbindungen konfiguriert sein. Dies bietet Redundanz für den Fall, dass ein Gerät nicht zur Verfügung steht.

Prüft auf virtuelle private Gateways mit virtuellen AWS Direct Connect-Schnittstellen (VIF), die nur für eine AWS Direct Connect-Verbindung konfiguriert sind. Für eine zuverlässige Konnektivität mit Ihrem Virtual Private Gateway sollten über mehrere Direct Connect-Verbindungen und -Standorte mehrere virtuelle Schnittstellen konfiguriert sein. Dies bietet Redundanz für den Fall, dass ein Gerät oder Standort nicht zur Verfügung steht.

Prüft auf virtuelle private Gateways mit virtuellen AWS Direct Connect-Schnittstellen (VIF), die nur für eine AWS Direct Connect-Verbindung konfiguriert sind. Für eine zuverlässige Konnektivität mit Ihrem Virtual Private Gateway sollten über mehrere Direct Connect-Verbindungen und -Standorte mehrere virtuelle Schnittstellen konfiguriert sein. Dies bietet Redundanz für den Fall, dass ein Gerät oder Standort nicht zur Verfügung steht.

Prüft auf Fälle, in denen ein Amazon Aurora-Datenbankcluster sowohl private als auch öffentliche Instances enthält. Wenn Ihre primäre Instance ausfällt, kann eine Replik hochgestuft und als primäre Instance verwendet werden. Falls diese Replik aber privat ist, können sich Benutzer, die nur über öffentlichen Zugriff verfügen, nach dem Failover nicht mehr mit der Datenbank verbinden. Als bewährte Methode sollten Sie für alle DB-Instances in einem Cluster die gleiche Art des Zugriffs (öffentlich oder privat) einrichten.

Überprüft den EC2Config-Service für Amazon EC2-Windows-Instances und warnt Sie, wenn der EC2Config-Agent veraltet oder falsch konfiguriert ist. Nur durch Verwendung der aktuellsten EC2Config-Version kann die Softwareverwaltung auf den Endpunkten optimal durchgeführt werden. Dies betrifft beispielsweise PV-Treiberprüfungen, die sicherstellen, dass die neueste und damit sicherste und zuverlässigste Endpunktsoftware verwendet wird.

Hinweis: Diese Prüfung zeigt Informationen für EC2-Instances in den folgenden AWS-Regionen an: Nord-Virginia (us-east-1), Nordkalifornien (us-west-1), Oregon (us-west-2), Irland (eu-west-1), Sao Paolo (sa-east-1), Tokio (ap-northeast-1), Singapur (ap-southeast-1) und Sydney (ap-southeast-2).

Prüft auf VPC-aktivierte Lambda-Funktionen, die anfällig für Serviceunterbrechungen in einer einzelnen Availability Zone sind. Es wird empfohlen, dass VPC-fähige Funktionen mit mehreren Verfügbarkeitszonen verbunden sind, um eine hohe Verfügbarkeit zu gewährleisten.

Hinweis: Die Ergebnisse dieser Prüfung werden mehrmals täglich automatisch aktualisiert und Aktualisierungsanfragen sind nicht zulässig. Es kann einige Stunden dauern, bis die Änderungen angezeigt werden.

Verbessern Sie die Leistung Ihres Service, indem Sie Ihre Servicelimits überprüfen, sicherstellen, dass Sie in den Genuss des bereitgestellten Durchsatzes kommen, und eine Überwachung auf überlastete Instances vornehmen.

Überprüft die Amazon Elastic Compute Cloud (Amazon EC2)-Instances, die in den letzten 14 Tagen zu beliebigen Zeiten ausgeführt wurden, und benachrichtigt Sie, wenn an mindestens 4 Tagen die tägliche CPU-Auslastung über 90 % betrug. Eine durchgängig hohe Auslastung kann ein Zeichen einer optimierten, gleichmäßigen Leistung, aber auch ein Hinweis darauf sein, dass einer Anwendung nicht genug Ressourcen zur Verfügung stehen. Um Daten zur täglichen CPU-Auslastung abzurufen, laden Sie den Bericht zu dieser Prüfung herunter.

Prüft auf bereitgestellte IOPS-Volumes (SSDs), die einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance zugeordnet sind, die nicht für Amazon EBS optimiert ist. Bereitgestellte IOPS-Volumes in Amazon Elastic Block Store (Amazon EBS) liefern nur dann die erwartete Leistung, wenn sie einer für EBS optimierten Instance zugeordnet sind.

Prüft Amazon Elastic Compute Cloud (EC2)-Sicherheitsgruppen auf eine übermäßige Anzahl von Regeln. Wenn eine Sicherheitsgruppe viele Regeln aufweist, kann dadurch die Leistung beeinträchtigt werden.

Weitere Informationen finden Sie unter Amazon-EC2-Sicherheitsgruppen.

Prüft auf Amazon Elastic Compute Cloud (EC2)-Instances mit vielen Sicherheitsgruppenregeln. Die Leistung kann beeinträchtigt werden, wenn für eine Instance viele Regeln gelten.

Prüft auf Ressourcendatensätze, die DNS-Abfragen zu AWS-Ressourcen weiterleiten. Diese können in Alias-Ressourcendatensätze geändert werden. Ein Alias-Ressourcendatensatz ist ein spezieller Amazon Route 53-Datensatztyp, der DNS-Abfragen zu einer AWS-Ressource weiterleitet (z. B. zu Elastic Load Balancing Load Balancer oder einem Amazon S3-Bucket) oder einen anderen Route 53-Ressourcendatensatz. Bei Verwendung von Alias-Ressourcendatensätzen leitet Route 53 Ihre DNS-Abfragen kostenlos an AWS-Ressourcen weiter.

Prüft auf Amazon Elastic Block Store (EBS) Magnetic-Volumes, die möglicherweise überlastet sind und von einer effizienteren Konfiguration profitieren könnten. Ein Magnetic-Volume ist für Anwendungen mit mittleren oder stoßweise hohen E/A-Anforderungen ausgelegt, wobei die IOPS-Rate nicht gewährleistet ist. Standard-Volumes bieten durchschnittlich ca. 100 IOPS (E/As pro Sekunde) und eine Höchstleistung von Hunderten von IOPS. Für durchgehend höhere IOPS können Sie ein bereitgestelltes IOPS-Volume (SSD) verwenden. Für stoßweise hohe IOPS können Sie ein Standard-Volume (SSD) verwenden.

Prüft auf Fälle, bei denen die Datenübertragung aus Amazon Simple Storage Service (Amazon S3)-Buckets mit Amazon CloudFront, dem globalen AWS-Service für die Bereitstellung von Inhalten, beschleunigt werden könnte. Wenn Sie Amazon CloudFront für die Bereitstellung Ihrer Inhalte konfigurieren, werden Anforderungen Ihrer Inhalte automatisch in den Cache des nächstgelegenen Edge-Standort weitergeleitet, sodass die Bereitstellung der Inhalte mit der bestmöglichen Leistung erfolgt. Ein hohes Verhältnis ausgehender Datenübertragungen an die im Bucket gespeicherten Daten ist ein Hinweis, dass Sie von Amazon CloudFront zur Bereitstellung der Daten profitieren könnten.

Prüft die HTTP-Anforderungsheader, die CloudFront aktuell vom Client empfängt und an Ihren Ursprungsserver weiterleitet. Einige Header wie "Date" oder "User-Agent" reduzieren die Cache-Trefferrate (Prozentsatz der Anforderungen, die aus einem CloudFront-Edge-Cache bedient werden können) erheblich. Da CloudFront in diesem Fall mehr Anforderungen an den Ursprungsserver weiterleiten muss, erhöht sich dadurch die Last Ihres Ursprungsservers und die Leistung lässt nach.

Prüft auf Amazon EBS-Volumes, deren Leistung möglicherweise durch den maximalen Durchsatz der verbundenen Amazon EC2-Instance beeinträchtigt wird. Zur Leistungsoptimierung sollten Sie sicherstellen, dass der maximale Durchsatz einer EC2-Instance größer als der aggregierte maximale Durchsatz der verbundenen EBS-Volumes ist.

Prüft CloudFront-Verteilungen auf alternative Domain-Namen mit falsch konfigurierten DNS-Einstellungen. Wenn eine CloudFront-Verteilung alternative Domain-Namen enthält, muss die DNS-Konfiguration der Domains DNS-Abfragen an diese Verteilung weiterleiten.

Prüft auf eine Servicenutzung, die bei über 80 % des Servicelimits liegt. Werte basieren auf einem Snapshot, sodass Ihre derzeitige Nutzung ggf. unterschiedlich ist. Die Übernahme von Änderungen an Limit- und Nutzungsdaten kann bis zu 24 Stunden dauern.

In der folgenden Tabelle sind die Einschränkungen aufgelistet, die ein Trusted Advisor überprüft.

Beachten Sie:Wenn Sie das Servicekontingent für eine AWS-Region erreicht haben, können sie von der Servicekontingent-Konsole eine Erhöhung anfordern. Weitere Informationen