Verificaciones de prácticas recomendadas de AWS Trusted Advisor

Verificaciones de prácticas recomendadas de Trusted Advisor

AWS Trusted Advisor ofrece un conjunto completo de verificaciones de prácticas recomendadas y recomendaciones en cinco categorías: optimización de costos, seguridad, tolerancia a errores, rendimiento y límites del servicio.

Optimización de costos

Conozca de qué manera puede ahorrar dinero en AWS mediante la eliminación de recursos inactivos o fuera de uso o a través de compromisos de uso de capacidad reservada.

  • Optimización de instancias reservadas de Amazon EC2  

    Se verifica el historial de consumo informático de Amazon Elastic Compute Cloud (Amazon EC2) y se calcula un número óptimo de instancias reservadas con pago parcial inicial. Las recomendaciones se basan en el uso por hora del mes calendario anterior sumado entre todas las cuentas con facturación unificada. Para obtener más información sobre cómo se calcula la recomendación, consulte "Preguntas de verificación de optimización de instancias reservadas" en las preguntas frecuentes sobre Trusted Advisor.

    Con las instancias reservadas, el usuario realiza un pago bajo por única vez para recibir un importante descuento en el cargo por hora de dicha instancia. Para reducir costos, el sistema de facturación primero aplica automáticamente las tarifas de las instancias reservadas.

  • Instancias de Amazon EC2 con bajo nivel de uso  

    Se verifican las instancias de Amazon Elastic Compute Cloud (Amazon EC2) que se encontraban en ejecución en cualquier momento durante los últimos 14 días y se informa si el nivel de uso de CPU diario era del 10 % o menos y si la E/S de red fue de 5 MB o menos durante 4 días o más. La ejecución de instancias genera cargos de uso por hora. Si bien en algunos casos los diseños pueden generar niveles de uso bajos, a menudo es posible reducir los costos mediante la administración del número y el tamaño de las instancias.

    El nivel de ahorro mensual estimado se calcula con la tarifa de uso vigente para las instancias bajo demanda y el número estimado de días durante los cuales la instancia podría utilizarse por debajo de sus capacidades. El nivel de ahorro real variará si utiliza instancias reservadas o de spot, o en caso de que la instancia no se ejecute durante un día completo. Para obtener datos del uso diario, descargue el informe de esta verificación.  

  • Balanceadores de carga inactivos  

    Se verifica la configuración de Elastic Load Balancing de los balanceadores de carga que no se utilizan de manera activa. Todos los balanceadores de carga configurados acumulan cargos. Si un balanceador de carga no tiene instancias backend asociadas o si el tráfico de red está muy limitado, el balanceador no se está utilizando de manera eficaz.

  • Volúmenes de Amazon EBS utilizados por debajo de su capacidad  

    Se verifican las configuraciones del volumen de Amazon Elastic Block Store (Amazon EBS) y se informa si los volúmenes parecieran estar siendo utilizados por debajo de su capacidad. Los cargos empiezan a aplicarse cuando se crea un volumen. Si un volumen permanece sin adjuntarse o presenta una actividad de escritura muy limitada (sin incluir los volúmenes de arranque) durante un período de tiempo, probablemente no se esté utilizando.

  • Direcciones IP elásticas sin asociar  

    Se verifican las direcciones IP elásticas (EIP) sin asociar con una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en ejecución. Las direcciones IP elásticas son direcciones IP estáticas diseñadas para la informática en la nube dinámica. A diferencia de las direcciones IP estáticas tradicionales, las direcciones IP elásticas pueden disimular los errores de una instancia o zona de disponibilidad al reasignar una dirección IP pública a cualquier otra instancia de su cuenta. Se aplica un cargo nominal por una dirección IP elástica que no esté asociada con una instancia en ejecución.

  • Instancias de base de datos inactivas de Amazon RDS  

    Se verifica la configuración de Amazon Relational Database Service (Amazon RDS) de cualquier instancia de base de datos que parezca estar inactiva. Si una instancia de base de datos no tuvo una conexión durante un período de tiempo prolongado, puede eliminar la instancia para reducir costos. Si se necesita almacenamiento persistente de los datos en la instancia, puede utilizar opciones de costo más reducido, como realizar y conservar una instantánea de base de datos. Las instantáneas de base de datos que se creen manualmente se conservarán hasta que se eliminen. 

  • Conjuntos de registros de recursos de latencia de Amazon Route 53  

    Se realizan verificaciones para detectar conjuntos de registros de latencia de Amazon Route 53 que estén configurados de manera ineficaz. Para permitir que Amazon Route 53 direccione consultas a la región con la mínima latencia de red, debe crear conjuntos de registros de recursos de latencia para un nombre de dominio particular (como ejemplo.com) en diferentes regiones. Si solo crea un conjunto de registros de recursos de latencia para un nombre de dominio, todas las consultas se direccionarán a una región, y deberá pagar un precio adicional por el direccionamiento basado en la latencia sin obtener los beneficios.  

  • Amazon EC2 Reserved Instance Lease Expiration  

    Se realizan verificaciones para encontrar instancias reservadas de Amazon EC2 con vencimiento previsto para los próximos 30 días o que se hayan vencido en los 30 días anteriores. Las instancias reservadas no se renuevan automáticamente. Puede continuar usando una instancia EC2 cubierta por la reserva sin interrupción, pero se le cobrarán las tarifas de la modalidad bajo demanda. Las nuevas instancias reservadas pueden tener los mismos parámetros que las vencidas o bien puede comprar instancias reservadas con parámetros diferentes.


    El nivel de ahorro mensual estimado que presentamos es la diferencia entre las tarifas de las instancias bajo demanda y las reservadas para el mismo tipo de instancia.

  • Underutilized Amazon Redshift Clusters  

    Se verifica la configuración de Amazon Redshift para identificar clústeres que se estén utilizando por debajo de sus capacidades. Si un clúster de Amazon Redshift no tuvo una conexión durante un período de tiempo prolongado o está usando una capacidad reducida de CPU, puede utilizar opciones de menor costo, como reducir el tamaño del clúster o cerrar el clúster y tomar una instantánea final. Las instantáneas finales se conservan aunque se elimine el clúster.

Seguridad

Solucione errores, active varias características de seguridad de AWS y examine sus permisos para mejorar el nivel de seguridad de la aplicación.

  • Grupos de seguridad – Puertos específicos con acceso sin restricciones (sin cargo)

    Se verifican los grupos de seguridad para identificar normas que permitan el acceso sin restricciones (0.0.0.0/0) a puertos específicos. El acceso sin restricciones aumenta las probabilidades de que ocurra actividad maliciosa (jaqueos, ataques de denegación de servicio, pérdida de datos). Los puertos con mayor riesgo están marcados en rojo y los de menor riesgo en amarillo. Los puertos marcados en verde suelen ser los que utilizan las aplicaciones que requieren acceso sin restricciones, como HTTP y SMTP.


    Si configuró los grupos de seguridad de esta forma de manera intencional, recomendamos utilizar medidas de seguridad adicionales para proteger la infraestructura (como tablas de IP).

  • Grupos de seguridad – Acceso sin restricciones

    Se verifican los grupos de seguridad para detectar normas que permitan obtener acceso a un recurso sin restricciones. El acceso sin restricciones aumenta las probabilidades de que ocurra actividad maliciosa (jaqueos, ataques de denegación de servicio, pérdida de datos).

  • Uso de IAM (sin cargo)

    Se verifica uso de AWS Identity and Access Management (IAM). Puede utilizar IAM para crear usuarios, grupos y roles en AWS, y puede utilizar permisos para controlar el acceso a los recursos de AWS.

  • Permisos para buckets de Amazon S3 (sin cargo)

    Se verifican los buckets de Amazon Simple Storage Service (Amazon S3) que tengan permisos de acceso libre. Los permisos de bucket que permiten a todas las personas crear listas pueden ocasionar cargos superiores a los esperados si usuarios no deseados incluyen en su lista objetos del bucket con mucha frecuencia. Los permisos de bucket que conceden acceso de carga/eliminación a todas las personas pueden generar riesgos de seguridad potenciales, ya que permiten que cualquiera pueda agregar, modificar o eliminar elementos en un bucket. Con esta verificación se examinan los permisos explícitos de bucket y las políticas de bucket asociadas que podrían invalidar los permisos del bucket.

  • MFA en la cuenta raíz (sin cargo)

    Se verifica la política de contraseñas de la cuenta y se advierte cuando una política no está habilitada. También se indica si no se habilitaron los requisitos de contenido de la contraseña. Los requisitos de contenido de la contraseña aumentan el nivel de seguridad general del entorno de AWS al imponer la creación de contraseñas de usuario seguras. Cuando se crea o se modifica una política de contraseñas, el cambio se aplica de forma inmediata a los usuarios nuevos. Sin embargo, no se obliga a los usuarios existentes a cambiarlas.

  • Riesgo de acceso en grupos de seguridad de Amazon RDS

    Se verifican las configuraciones de los grupos de seguridad de Amazon Relational Database Service (Amazon RDS) y se advierte si alguna norma de grupos de seguridad podría conceder un acceso demasiado permisivo a la base de datos. La configuración recomendada para cualquier regla de grupo de seguridad consiste en permitir el acceso desde grupos de seguridad específicos de Amazon Elastic Compute Cloud (Amazon EC2) o desde una dirección IP concreta.

  • Registros de AWS CloudTrail

    Se verifica el uso de AWS CloudTrail. Mediante el servicio CloudTrail se ofrece mayor visibilidad de la actividad de las cuentas de AWS a través del registro de información sobre las llamadas a las API de AWS que se realizan en la cuenta. Puede usar estos registros para determinar, por ejemplo, qué acciones ha llevado a cabo un usuario determinado durante un período de tiempo concreto o qué usuarios han realizado acciones en un recurso específico durante un período de tiempo determinado. Como se entregan archivos de registro a un bucket de Amazon Simple Storage Service (Amazon S3) mediante CloudTrail, este último debe contar con permisos de escritura en relación con el bucket.

  • Conjuntos de registros de recursos MX y SPF de Amazon Route 53

    Se realizan verificaciones para detectar la presencia de un conjunto de registros de recursos SPF por cada conjunto de registros de recursos MX. Los registros SPF (marco de directivas de remitente) publican una lista de servidores que pueden enviar emails a su dominio, lo que ayuda a reducir el spam mediante la detección y anulación de la suplantación de direcciones de email.

  • Seguridad en relación con los agentes de escucha de ELB

    Se realizan verificaciones para detectar balanceadores de carga con agentes de escucha que no utilicen las configuraciones de seguridad recomendadas para la comunicación cifrada. AWS recomienda utilizar un protocolo seguro (HTTPS o SSL), políticas de seguridad actualizadas y cifradores y protocolos que sean seguros. Cuando utiliza un protocolo seguro para una conexión front-end (cliente a balanceador de carga), las solicitudes se cifran entre los clientes y el balanceador de carga, lo que otorga mayor seguridad. Mediante Elastic Load Balancing se ofrecen políticas de seguridad predefinidas con cifradores y protocolos que respetan las prácticas recomendadas de seguridad de AWS. Se lanzan nuevas versiones de políticas predefinidas a medida que se ponen a disposición nuevas configuraciones.

  • Grupos de seguridad de ELB  

    Se realizan verificaciones para detectar balanceadores de carga configurados con un grupo de seguridad ausente o un grupo de seguridad que permita el acceso a puertos que no están configurados para el balanceador de carga. Si un grupo de seguridad asociado con un balanceador de carga se elimina, el balanceador no funcionará de la manera esperada. Si un grupo de seguridad concede acceso a puertos que no están configurados para el balanceador de carga, se incrementa el riesgo de que ocurra una pérdida de datos o se concreten ataques malintencionados.  

  • Certificados SSL personalizados de CloudFront en el almacén de certificados de IAM  

    Se verifican los certificados SSL para detectar nombres de dominios alternativos de CloudFront en el almacén de certificados de IAM y se alerta si un certificado está vencido, si vencerá pronto, si utiliza un cifrado desactualizado o si no está configurado correctamente para la distribución. Cuando se vence un certificado personalizado para un nombre de dominio alternativo, los navegadores que muestran el contenido de CloudFront podrían presentar un mensaje de advertencia acerca de la seguridad de su sitio web. Los navegadores web como Chrome y Firefox no están aprobando los certificados que se cifran con el algoritmo de hash SHA-1. Si un certificado no incluye ningún nombre de dominio que coincida con el nombre de dominio de origen o el nombre de dominio del encabezado del host de las solicitudes del espectador, se devuelve el código de estatus HTTP 502 (gateway no válida) al usuario mediante CloudFront.

  • Certificado SSL de CloudFront en el servidor de origen  

    Se realizan verificaciones para detectar claves de acceso de IAM activas que no se hayan rotado en los últimos 90 días. Cuando se rotan las claves de acceso de manera habitual, se reducen las probabilidades de que una clave en riesgo se pueda usar sin su conocimiento para obtener acceso a los recursos. A los fines de esta verificación, la fecha y el horario de la última rotación corresponden al momento en el que la clave de acceso se creó o activó por última vez. La fecha y el número de clave de acceso se obtienen a partir de la información access_key_1_last_rotated y access_key_2_last_rotated del informe de credenciales de IAM más reciente.

  • Exposed Access Keys  

    Se verifican los repositorios de código conocidos para identificar claves de acceso que hayan quedado expuestas de forma pública y de las que se haya hecho un uso irregular en Amazon Elastic Compute Cloud (Amazon EC2), lo que podría indicar que la clave de acceso está en riesgo. Una clave de acceso está conformada por un ID de clave de acceso y la clave de acceso secreta correspondiente. Las claves de acceso expuestas (exposed access keys) representan un riesgo para la seguridad de la cuenta y de otros usuarios, puede generar cargos excesivos debido a un abuso o una actividad no autorizada, e infringir el Acuerdo de cliente de AWS. Si su clave de acceso está expuesta, implemente acciones de manera inmediata para proteger su cuenta. Para proteger aún más su cuenta de cargos excesivos, AWS limita temporalmente su capacidad para crear algunos recursos de AWS. La implementación de esta estrategia no implica que su cuenta esté segura, tan solo limita parcialmente el uso no autorizado por el cual se le podría cobrar. Nota: Esta verificación no garantiza la identificación de las claves de acceso expuestas ni de las instancias EC2 en riesgo. Usted es el responsable de la protección y la seguridad de sus recursos de AWS y claves de acceso.

  • Instantáneas públicas de Amazon EBS (sin cargo)  

    Se verifican los ajustes de los permisos para las instantáneas de volúmenes de Amazon Elastic Block Store (Amazon EBS) y se alerta si alguna instantánea está marcada como pública. Cuando una instantánea se hace pública, se permite que todos los usuarios y las cuentas de AWS obtengan acceso a la totalidad de los datos de la instantánea. Si desea compartir una instantánea con cuentas o usuarios específicos, marque la instantánea como privada y, a continuación, determine el usuario o las cuentas con los que desee compartir los datos de la instantánea.

  • Instantáneas públicas de Amazon RDS (sin cargo)  

    Se verifican los ajustes de los permisos para las instantáneas de bases de datos de Amazon Relational Database Service (Amazon RDS) y se alerta si alguna instantánea está marcada como pública. Cuando una instantánea se hace pública, se permite que todos los usuarios y las cuentas de AWS obtengan acceso a la totalidad de los datos de la instantánea. Si desea compartir una instantánea con cuentas o usuarios específicos, marque la instantánea como privada y, a continuación, determine el usuario o las cuentas con los que desee compartir los datos de la instantánea.

  • Política de contraseñas de IAM  

    Se verifica la política de contraseñas de la cuenta y se advierte cuando una política de contraseñas no está habilitada. También se indica si no se habilitaron los requisitos de contenido de la contraseña. Los requisitos de contenido de la contraseña aumentan el nivel de seguridad general del entorno de AWS al imponer la creación de contraseñas de usuario seguras. Cuando se crea o se modifica una política de contraseñas, el cambio se aplica de forma inmediata a los usuarios nuevos. Sin embargo, no se obliga a los usuarios existentes a cambiarlas.

  • Rotación de clave de acceso de IAM  

    Se realizan verificaciones para detectar claves de acceso de IAM activas que no se hayan rotado en los últimos 90 días. Cuando se rotan las claves de acceso de manera habitual, se reducen las probabilidades de que una clave en riesgo se pueda usar sin su conocimiento para obtener acceso a los recursos. A los fines de esta verificación, la fecha y el horario de la última rotación corresponden al momento en el que la clave de acceso se creó o activó por última vez. La fecha y el número de clave de acceso se obtienen a partir de la información access_key_1_last_rotated y access_key_2_last_rotated del informe de credenciales de IAM más reciente.

Tolerancia a errores

Aumente la disponibilidad y redundancia de la aplicación de AWS con las funcionalidades de escalado automático, verificaciones de estado, implementaciones Multi-AZ y respaldo.

  • Instantáneas de Amazon EBS

    Se verifica la antigüedad de las instantáneas de los volúmenes de Amazon Elastic Block Store (Amazon EBS) (disponibles o en uso). Aunque los volúmenes de Amazon EBS se repliquen, pueden producirse errores. Se crean instantáneas persistentes de Amazon Simple Storage Service (Amazon S3) para lograr un almacenamiento duradero y poder realizar recuperaciones a un momento dado.

  • Equilibrio entre zonas de disponibilidad de Amazon EC2

    Se verifica la distribución de instancias de Amazon Elastic Compute Cloud (Amazon EC2) entre zonas de disponibilidad de una región. Las zonas de disponibilidad son regiones diferentes que están diseñadas para estar aisladas de los errores que se produzcan en otras zonas de disponibilidad y para proporcionar conectividad de red de baja latencia y económica a otras zonas de disponibilidad de la misma región. El lanzamiento de instancias en varias zonas de disponibilidad de la misma región puede ayudarlo a proteger sus aplicaciones de un punto único de error.

  • Optimización del balanceador de carga

    Se verifica la configuración del balanceador de carga. Para aumentar el nivel de tolerancia a errores en Amazon Elastic Compute Cloud (EC2) mientras usa Elastic Load Balancing, se recomienda ejecutar el mismo número de instancias en varias zonas de disponibilidad de una región. Un balanceador de carga configurado genera cargos, por lo que también constituye una verificación de la optimización de costos.

  • Redundancia de túneles de VPN

    Se verifica el número de túneles activos para cada VPN. Una VPN debe tener dos túneles configurados en todo momento para ofrecer redundancia en caso de interrupciones o mantenimiento previsto de los dispositivos en el punto de enlace de AWS. En algunos dispositivos de hardware, solo hay un túnel activo a la vez (consulte la Guía para administradores de redes de Amazon Virtual Private Cloud). Si una VPN no tiene ningún túnel activo, es posible que se apliquen cargos a la VPN de todas formas.

  • Recursos del grupo de Auto Scaling

    Se verifica la disponibilidad de los recursos asociados con las configuraciones de lanzamiento y los grupos de Auto Scaling. Los grupos de Auto Scaling que remiten a recursos no disponibles no pueden lanzar nuevas instancias de Amazon Elastic Compute Cloud (Amazon EC2). Cuando la configuración es correcta, Auto Scaling permite que el número de instancias de Amazon EC2 aumente sin problemas durante los picos de demanda y disminuya automáticamente durante la disminución de demanda. Las configuraciones de lanzamiento y los grupos de Auto Scaling que remiten a recursos no disponibles no funcionan de la manera prevista.

  • Copias de seguridad de Amazon RDS

    Se verifica la existencia de copias de seguridad automatizadas de instancias de bases de datos de Amazon RDS. De forma predeterminada, las copias de seguridad se habilitan con un período de retención de 1 día. Las copias de seguridad reducen el riesgo de que se produzcan pérdidas de datos inesperadas, además de permitir la recuperación a un momento dado.

  • Multi-AZ de Amazon RDS

    Se verifica la existencia de instancias de base de datos implementadas en una única zona de disponibilidad. Las implementaciones Multi-AZ mejoran la disponibilidad de la base de datos mediante la replicación síncrona de una instancia en reposo en una zona de disponibilidad distinta. Durante el mantenimiento previsto de la base de datos o ante el surgimiento de un error en una instancia de base de datos o una zona de disponibilidad, Amazon RDS conmuta automáticamente por error a la instancia en reposo a fin de que las operaciones de la base de datos se puedan reanudar rápidamente sin intervención administrativa. Como Amazon RDS no admite la implementación Multi-AZ para Microsoft SQL Server, esta verificación no se puede utilizar para examinar instancias de SQL Server.

  • Verificación de estado del grupo de Auto Scaling

    Se examina la configuración de la verificación de estado de los grupos de Auto Scaling. Si se utiliza Elastic Load Balancing para un grupo de Auto Scaling, la configuración recomendada consiste en habilitar la verificación de estado de Elastic Load Balancing. Si no se utiliza una verificación de estado de Elastic Load Balancing, Auto Scaling solo puede actuar sobre el estado de la instancia de Amazon Elastic Compute Cloud (Amazon EC2) y no sobre la aplicación que se ejecuta en la instancia.

  • Registro de buckets de Amazon S3

    Se verifica la configuración de registros de buckets de Amazon Simple Storage Service (Amazon S3). Cuando se activa el registro de acceso a servidores, se envían registros de acceso detallados una vez por hora a un bucket que usted elija. Un registro de acceso incluye información detallada sobre cada solicitud, como el tipo de solicitud, los recursos especificados en la solicitud y la hora y la fecha en la que se procesó. De manera predeterminada, el registro de buckets no está habilitado. Debe habilitarlo si desea realizar auditorías de seguridad u obtener más información sobre los usuarios y los patrones de uso.

  • Delegaciones de servidores de nombre de Amazon Route 53  

    Se realizan verificaciones para identificar zonas alojadas en Amazon Route 53 en las que el registro de su dominio o el DNS no utilice los servidores de nombres correctos de Route 53. Cuando se crea una zona alojada, Route 53 asigna un conjunto de delegación de cuatro servidores de nombre. Los nombres de dichos servidores son: ns-###.awsdns-##.com, .net, .org y .co.uk, donde ### y ## suelen representar varios números. Para que Route 53 pueda direccionar consultas de DNS a su dominio, deberá actualizar la configuración de servidores de nombre de su registro para quitar los servidores de nombre que el registro haya asignado. Asimismo, deberá agregar los cuatro servidores de nombre incluidos en el conjunto de delegación de Route 53. Para disponer de la máxima disponibilidad, deberá agregar los cuatro servidores de nombre de Route 53.

  • Conjuntos de registros de recursos de TTL alto de Amazon Route 53

    Se realizan verificaciones para detectar conjuntos de registros de recursos que puedan beneficiarse de tener un valor inferior de tiempo de vida (TTL). El valor de TTL indica el número de segundos que un conjunto de registros de recursos permanece en caché conforme a las indicaciones de los solucionadores de nombres de DNS. Si se especifica un tiempo de TTL extenso, los solucionadores de DNS pueden tardar más tiempo en solicitar registros de DNS actualizados, lo que a su vez puede causar demoras innecesarias en el redireccionamiento del tráfico (por ejemplo, cuando la recuperación ante errores a nivel de DNS detecta el error de uno de sus puntos de enlace y actúa en respuesta).

  • Conjuntos de registros de recursos de conmutación por error de Amazon Route 53

    Se realizan verificaciones para identificar los conjuntos de registros de recursos de conmutación por error de Amazon Route 53 que estén mal configurados. Cuando las verificaciones de estado de Amazon Route 53 determinan que el recurso principal funciona incorrectamente, Amazon Route 53 responde a las consultas con un conjunto secundario de registros de recursos de respaldo. Debe crear conjuntos de registros de recursos principales y secundarios correctamente configurados para que la conmutación por error funcione.

  • Verificaciones de estado eliminadas de Amazon Route 53

    Se realizan verificaciones para detectar conjuntos de registros de recursos que estén asociados con verificaciones de estado que se hayan eliminado. Amazon Route 53 no le impide eliminar una verificación de estado asociada con uno o varios conjuntos de registros de recursos. Si elimina una verificación de estado sin actualizar los conjuntos de registros de recursos asociados, el direccionamiento de las consultas de DNS para la configuración de la recuperación ante errores a nivel de DNS no funcionará según lo previsto. Esto afectará al direccionamiento de las consultas de DNS para la configuración de la conmutación por error a nivel de DNS.

  • Connection Draining de ELB

    Se realizan verificaciones para detectar la presencia de balanceadores de carga que no tengan activada la función connection draining. Cuando la función no está activada y usted elimina (quita del registro) una instancia de Amazon EC2 de un balanceador de carga, este deja de direccionar tráfico a dicha instancia y cierra la conexión. Cuando la función está activada, el balanceador de carga deja de enviar solicitudes nuevas a la instancia que se quitó del registro, pero deja la conexión abierta para atender solicitudes activas.

  • Equilibrio de carga entre zonas de ELB

    Se realizan verificaciones para detectar la presencia de balanceadores de carga que no tengan activada la función de equilibrio de carga entre zonas. El equilibrio de carga entre zonas distribuye las solicitudes de manera uniforme entre instancias backend, independientemente de la zona de disponibilidad en la que se encuentren las instancias. El equilibrio de carga entre zonas reduce la distribución desigual del tráfico cuando los clientes almacenan información de DNS en caché de manera incorrecta o cuando existe un número disparejo de instancias en cada zona de disponibilidad (por ejemplo, si ha desmantelado algunas instancias para realizar tareas de mantenimiento). El equilibrio de carga entre zonas facilita la implementación y administración de aplicaciones en varias zonas de disponibilidad.

  • Amazon S3 Bucket Versioning

    Se realizan verificaciones para detectar buckets de Amazon Simple Storage Service que no tengan habilitado el control de versiones o que lo tengan suspendido. Cuando el control de versiones está habilitado, puede recuperarse fácilmente de acciones involuntarias de los usuarios y de los errores de las aplicaciones. El control de versiones le permite conservar, recuperar y restaurar cualquier versión de cualquier objeto almacenado en un bucket. Puede usar reglas de ciclo de vida para administrar todas las versiones de sus objetos así como también los costos asociados mediante el archivo automático de objetos en la clase de almacenamiento de Glacier o su eliminación una vez transcurrido un determinado período de tiempo. También puede exigir el uso de multi-factor authentication (MFA) para cualquier modificación de configuración o eliminación de objetos en sus buckets.

  • Redundancia en conexiones de AWS Direct Connect

    Se realizan verificaciones para detectar regiones que solo tengan una conexión de AWS Direct Connect. A los fines de proveer redundancia en caso de que un dispositivo no esté disponible, la conectividad con recursos de AWS debe tener dos conexiones de Direct Connect configuradas en todo momento.

  • Redundancia de ubicaciones de AWS Direct Connect  

    Se realizan verificaciones para detectar gateways privadas virtuales con interfaces virtuales (VIF) de AWS Direct Connect que no estén configuradas en al menos dos conexiones de AWS Direct Connect. A los fines de proveer redundancia en caso de que un dispositivo o una ubicación no estén disponibles, la conectividad con su gateway privada virtual debe tener varias interfaces virtuales configuradas en varias conexiones y ubicaciones de Direct Connect.

  • Redundancia de interfaces virtuales de AWS Direct Connect

    Se realizan verificaciones para detectar gateways privadas virtuales con interfaces virtuales (VIF) de AWS Direct Connect que no estén configuradas en al menos dos conexiones de AWS Direct Connect. A los fines de proveer redundancia en caso de que un dispositivo o una ubicación no estén disponibles, la conectividad con su gateway privada virtual debe tener varias interfaces virtuales configuradas en varias conexiones y ubicaciones de Direct Connect.

  • Accesibilidad a instancias de bases de datos de Amazon Aurora

    Se realizan verificaciones para detectar casos en los que un clúster de base de datos de Amazon Aurora tenga instancias tanto privadas como públicas. Cuando una instancia principal falla, una réplica se puede convertir en instancias principal. Si dicha réplica es privada, los usuarios que solo tengan acceso público ya no podrán conectarse a la base de datos después de la conmutación por error. Es una práctica recomendada que todas las instancias de bases de datos de un clúster tengan la misma accesibilidad.

  • Servicio EC2Config para instancias EC2 con Windows

    Se realizan verificaciones en el servicio EC2Config para detectar instancias de Amazon EC2 con Windows y se alerta si el agente de EC2Config está desactualizado o configurado incorrectamente. Utilizar la última versión de EC2Config hace posible y optimiza la administración de software de punto de enlace, como verificaciones de controlador de PV, para estar siempre actualizado con el software de punto de enlace más seguro y fiable.

    Nota: La verificación muestra información de instancias EC2 en las siguientes regiones: Norte de Virginia (us-east-1), Norte de California (us-west-1), Oregón (us-west-2), Irlanda (eu-west-1), São Paulo (sa-east-1), Tokio (ap-northeast-1), Singapur (ap-southeast-1) y Sídney (ap-southeast-2).

  • Versión del controlador de PV para las instancias EC2 con Windows

    Tolerancia a errores

    Aumente la disponibilidad y redundancia de la aplicación de AWS con las funcionalidades de escalado automático, comprobaciones de estado, implementaciones Multi-AZ y respaldo.

    Se verifica la versión del controlador de PV para las instancias de Amazon EC2 con Windows y se alerta si el controlador no está actualizado. El uso del controlador de PV más reciente ayuda a optimizar el rendimiento del controlador y reduce los problemas de tiempo de ejecución y los riesgos de seguridad.

    Nota: La verificación muestra información de instancias EC2 en las siguientes regiones: Norte de Virginia (us-east-1), Norte de California (us-west-1), Oregón (us-west-2), Irlanda (eu-west-1), São Paulo (sa-east-1), Tokio (ap-northeast-1), Singapur (ap-southeast-1) y Sídney (ap-southeast-2).

  • Controladores ENA

    Verifica la versión del controlador ENA de AWS para las instancias con Windows de EC2 y, a continuación, le avisa si el controlador (a) es obsoleto y ya no se admite; (b) es obsoleto y tiene errores identificados; o (c) tiene una actualización disponible. El uso de la versión más reciente del controlador ENA de AWS para Windows optimiza el rendimiento del controlador ENA y reduce los errores de tiempo de ejecución y los riesgos de seguridad.

    Nota: La verificación muestra información de instancias EC2 en las siguientes regiones: Norte de Virginia (us-east-1), Norte de California (us-west-1), Oregón (us-west-2), Irlanda (eu-west-1), São Paulo (sa-east-1), Tokio (ap-northeast-1), Singapur (ap-southeast-1) y Sídney (ap-southeast-2).

  • Controlador NVMe

    Verifica la versión del controlador NVMe de AWS para las instancias con Windows de EC2 y, a continuación, le avisa si el controlador (a) es obsoleto y ya no se admite; (b) es obsoleto y tiene errores identificados; o (c) tiene una actualización disponible. El uso de la versión más reciente del controlador NVMe de AWS para Windows optimiza el rendimiento del controlador NVMe y reduce los errores de tiempo de ejecución y los riesgos de seguridad.

    Nota: La verificación muestra información de instancias EC2 en las siguientes regiones: Norte de Virginia (us-east-1), Norte de California (us-west-1), Oregón (us-west-2), Irlanda (eu-west-1), São Paulo (sa-east-1), Tokio (ap-northeast-1), Singapur (ap-southeast-1) y Sídney (ap-southeast-2).

Rendimiento

Aumente el rendimiento del servicio. Para ello, compruebe los límites del servicio, asegúrese de que se beneficia del desempeño aprovisionado y realice monitorizaciones para detectar instancias que se estén utilizando por encima de su capacidad.

  • Instancias de Amazon EC2 de utilización intensa

    Se verifican las instancias de Amazon Elastic Compute Cloud (Amazon EC2) que se encontraban en ejecución en cualquier momento durante los últimos 14 días y le informa si la utilización de CPU diaria superó el 90 % durante 4 días o más. Una utilización intensa sostenida puede indicar un rendimiento continuo y optimizado, pero también puede indicar que una aplicación no tiene recursos suficientes. Para obtener datos de utilización diaria de la CPU, descargue el informe de esta verificación.

  • Configuración de acoplamiento de un volumen de IOPS provisionadas (SSD) de Amazon EBS

    Se realizan verificaciones para detectar volúmenes de IOPS provisionadas que estén acoplados a una instancia de Amazon Elastic Compute Cloud (Amazon EC2) que no esté optimizada para Amazon EBS. Los volúmenes de IOPS aprovisionadas de Amazon Elastic Block Store (Amazon EBS) están diseñados para ofrecer el rendimiento esperado solo cuando están acoplados a una instancia optimizada para EBS.

  • Número elevado de reglas en un grupo de seguridad de EC2

    Se verifica cada grupo de seguridad de Amazon Elastic Compute Cloud (EC2) para detectar un número excesivo de normas. Si un grupo de seguridad tiene un número elevado de normas, el rendimiento puede disminuir.

    Para obtener más información, consulte Grupos de seguridad de Amazon EC2.

  • Número elevado de reglas de grupos de seguridad de EC2 aplicadas a una instancia

    Se realizan verificaciones para detectar instancias de Amazon Elastic Compute Cloud (EC2) que tengan un número elevado de normas de grupos de seguridad. El rendimiento puede disminuir si una instancia tiene un número elevado de reglas.

  • Conjuntos de registros de recursos alias de Amazon Route 53

    Se realizan verificaciones para detectar conjuntos de registros de recursos que direccionen las consultas de DNS a recursos de AWS; pueden cambiarse a conjuntos de registros de recursos con alias. Un conjunto de registros de recursos con alias es un tipo de registro especial de Amazon Route 53 que direcciona las consultas de DNS a un recurso de AWS (por ejemplo, un balanceador de carga de Elastic Load Balancing o un bucket de Amazon S3) o a otro conjunto de registros de recursos de Route 53. Cuando se utilizan conjuntos de registros de recursos alias, Route 53 direcciona las consultas de DNS a recursos de AWS sin cargo.

  • Volúmenes magnéticos de Amazon EBS utilizados por debajo de su capacidad

    Se realizan verificaciones para detectar volúmenes magnéticos de Amazon Elastic Block Store (EBS) que se utilicen potencialmente por debajo de su capacidad y que pueden beneficiarse de una configuración más eficaz. Un volumen magnético está pensado para aplicaciones con requisitos de E/S moderados o en ráfagas, y en las que la velocidad de entrada y salida por segundo (IOPS) no está garantizada. Ofrece aproximadamente 100 IOPS en promedio con una capacidad máxima en ráfagas de cientos de IOPS. Si desea IOPS sistemáticamente mayores, puede usar un volumen de IOPS provisionadas (SSD). Si desea IOPS en ráfagas, puede usar un volumen de uso general (SSD).

  • Optimización de entrega de contenido de Amazon CloudFront

    Se realizan verificaciones para detectar casos en los que la transferencia de datos desde los buckets de Amazon Simple Storage Service (Amazon S3) pueda acelerarse con el uso de Amazon CloudFront, el servicio de entrega de contenido global de AWS. Al configurar Amazon CloudFront para entregar contenido, las solicitudes de contenido se remiten automáticamente a la ubicación de borde más cercana donde el contenido está almacenado en la memoria caché, a fin de que se pueda entregar a los usuarios con el máximo rendimiento posible. Una alta proporción de transferencia de datos a los datos almacenados en el bucket indica que puede beneficiarse de la utilización de Amazon CloudFront para entregar datos.

  • Tasa de aciertos de caché y reenvío de encabezados de CloudFront

    Se verifican los encabezados de las solicitudes HTTP que CloudFront recibe actualmente del cliente y reenvía al servidor de origen. Algunos encabezados, como Date (Fecha) o User-Agent (Usuario-Agente), reducen significativamente la tasa de aciertos de caché (la proporción de solicitudes que se traen a partir de una caché de borde de CloudFront). Este proceso incrementa la carga en el origen y reduce el rendimiento porque CloudFront debe reenviar más solicitudes al origen.

  • Optimización del nivel de procesamiento de Amazon EC2 a EBS

    Se realizan verificaciones para detectar volúmenes de Amazon EBS cuyo rendimiento podría verse afectado por la capacidad de procesamiento máxima de la instancia de Amazon EC2 a la que están adjuntos. A los fines de optimizar el rendimiento, debe garantizar que la capacidad de procesamiento máxima de una instancia EC2 sea mayor que la capacidad de procesamiento máxima combinada de los volúmenes de EBS adjuntos.

  • Nombres de dominio alternativos de CloudFront

    Se realizan verificaciones para detectar distribuciones de CloudFront con nombres de dominios alternativos con una configuración de DNS incorrecta. Si una distribución de CloudFront incluye nombres de dominio alternativos, la configuración de DNS para los dominios debe direccionar consultas de DNS a dicha distribución.

Límites de servicio

Se realizan verificaciones para detectar usos que superen el 80 % del límite del servicio. Los valores se basan en una instantánea, por lo que el uso real puede variar. Los datos de límites y uso pueden tardar hasta 24 horas en reflejar cualquier cambio.

La siguiente tabla indica los límites que se comprueban en Trusted Advisor.

Servicio
Límites
Amazon Elastic Compute Cloud
(Amazon EC2)
Direcciones IP elásticas (EIP)
Instancias reservadas – límite de compra (mensual)
Instancias bajo demanda
Amazon Elastic Block Store
(Amazon EBS)
Volúmenes activos
Snapshots activas
Almacenamiento de volúmenes (GiB) de uso general (SSD)
IOPS aprovisionadas
Almacenamiento de volúmenes (GiB) de IOPS aprovisionadas (SSD)
Almacenamiento de volúmenes magnéticos (GiB)
Amazon Kinesis Streams Fragmentos
Amazon Relational Database Service
(Amazon RDS)
Clústeres
Grupos de parámetros de clúster
Roles de clúster
Instancias de base de datos
Grupos de parámetros de base de datos
Grupos de seguridad de bases de datos
Instantáneas de base de datos por usuario
Suscripciones a eventos
Máximo de autorizaciones por grupo de seguridad
Grupos de opciones
Réplicas de lectura por maestro
Instancias reservadas
Cuota de almacenamiento (GiB)
Grupos de subred
Subredes por grupo de subredes
Amazon Simple Email Service
(Amazon SES)
Cuota de envío diaria
Amazon Virtual Private Cloud
(Amazon VPC)
 
Direcciones IP elásticas (EIP)
Internet gateways
VPC
Auto Scaling
Grupos de Auto Scaling
Configuraciones de lanzamiento
AWS CloudFormation Pilas
Elastic Load Balancing (ELB)
Equilibradores de carga activos
Identity and Access Management (IAM)
Grupos
Perfiles de instancias
Políticas
Roles
Certificados de servidores
Usuarios

Nota: Los datos sobre los límites de las instancias EC2 bajo demanda solo están disponibles en las siguientes regiones de AWS:

Asia Pacífico (Tokio) [ap-northeast-1]
Asia Pacífico (Singapur) [ap-southeast-1]
Asia Pacífico (Sídney) [ap-southeast-2]
UE (Irlanda) [eu-west-1]
América del Sur (São Paulo) [sa-east-1]
EE.UU. Este (Norte de Virginia) [us-east-1]
EE.UU. Oeste (Norte de California) [us-west-1]
EE.UU. Oeste (Oregón) [us-west-2]

Nota: Actualmente, Trusted Advisor no controla los límites regionales para las instancias EC2 bajo demanda. De manera predeterminada, el límite es 20 instancias bajo demanda por cuenta, por región.

En los casos en los que se alcance este límite regional, es posible que no pueda lanzar nuevas instancias bajo demanda aunque Trusted Advisor le indique que no ha alcanzado ninguno de los límites por tipo de instancia en dicha región. Para obtener más información acerca de los límites de las instancias EC2 bajo demanda, consulte ¿Cuántas instancias puedo ejecutar en Amazon EC2?.

Trabajamos sin descanso para incluir más servicios en esta comprobación de límites del servicio. Sus opiniones y comentarios nos son de gran ayuda.