Vérifications des bonnes pratiques AWS Trusted Advisor

Vérifications des bonnes pratiques Trusted Advisor

AWS Trusted Advisor propose un large ensemble de vérifications des bonnes pratiques et de recommandations dans cinq catégories : optimisation des coûts, sécurité, tolérance aux pannes, performances et limites de service.

Optimisation des coûts

Découvrez comment réaliser des économies en éliminant les ressources inutilisées ou inactives, ou en vous engageant sur une capacité réservée.

  • Optimisation des instances réservées Amazon EC2  

    Analyse l'historique de consommation des ressources de calcul Amazon Elastic Compute Cloud (Amazon EC2) et calcule un nombre optimal d'instances réservées aux frais initiaux partiels. Les recommandations sont établies sur la base de l'utilisation heure par heure au cours du dernier mois calendaire, pour tous les comptes de facturation consolidée. Pour en savoir plus sur la manière dont les recommandations sont établies, consultez la section « Reserved Instance Optimization Check Questions » de la FAQ Trusted Advisor.

    Grâce aux instances réservées, vous effectuez un paiement unique peu élevé pour bénéficier d'une réduction importante sur les frais horaires d'utilisation de l'instance. Pour réduire au maximum les coûts, le système de facturation applique automatiquement les tarifs des instances réservées en premier.

  • Instances Amazon EC2 sous-exploitées  

    Analyse les instances Amazon Elastic Compute Cloud (Amazon EC2) qui ont été exécutées au cours des 14 derniers jours et vous avertit en cas d'utilisation quotidienne de CPU inférieure ou égale à 10 % et d'E/S réseaux inférieures ou égales à 5 Mo sur une durée de 4 jours ou plus. Les instances en cours d'exécution génèrent des frais d'utilisation horaires. Bien que certains scénarios imposent un faible niveau d'utilisation de par leur conception, il est souvent possible de réduire vos coûts en agissant sur le nombre et la taille de vos instances.

    Les économies mensuelles sont estimées sur la base du taux d'utilisation actuel des instances à la demande et d'une estimation du nombre de jours de sous-exploitation potentielle de l'instance. Le montant réel des économies réalisées peut varier selon les instances utilisées (réservées ou Spot) ou si l'instance ne s'exécute qu'une partie de la journée. Pour obtenir des données sur l'utilisation quotidienne, téléchargez le rapport correspondant à cette vérification.  

  • Programmes Elastic Load Balancer inactifs  

    Analyse la configuration d'Elastic Load Balancing pour identifier les programmes d'équilibrage de charge qui ne sont pas utilisés de façon active. Chaque programme d'équilibrage de charge configuré augmente les frais. Si un programme d'équilibrage de charge n'est pas associé à des instances de back-end ou si le trafic réseau est fortement limité, ce programme n'est pas utilisé de manière efficace.

  • Volumes Amazon EBS sous-exploités  

    Analyse les configurations de vos volumes Amazon Elastic Block Store (Amazon EBS) et vous avertit lorsque des volumes semblent être sous-utilisés. Les volumes sont facturés dès leur création. Si un volume reste dissocié ou présente une très faible activité en écriture (à l'exception des volumes de démarrage) pendant un certain temps, cela signifie probablement qu'il est inutilisé.

  • Adresses IP élastiques non attribuées  

    Recherche les adresses IP élastiques (Elastic IP, EIP) qui ne sont pas associées à une instance Amazon Elastic Compute Cloud (Amazon EC2) en cours d'exécution. Les adresses EIP sont des adresses IP statiques conçues pour le cloud computing dynamique. Contrairement aux adresses IP statiques classiques, les adresses EIP peuvent masquer l'échec d'une instance ou d'une zone de disponibilité en réassociant une adresse IP publique à une autre instance de votre compte. Une somme minime est facturée pour toute adresse EIP qui n'est associée à aucune instance en cours d'exécution.

  • Instances DB Amazon RDS inactives  

    Analyse la configuration d'Amazon Relational Database Service (Amazon RDS) pour détecter toute instance DB semblant être inactive. Si aucune connexion n'a été effectuée vers une instance DB depuis longtemps, vous pouvez supprimer cette instance pour réduire vos coûts. Si vous avez besoin de stocker les données figurant sur l'instance de manière permanente, vous pouvez opter pour des options plus économiques, par exemple réaliser et conserver un instantané de la base de données. Les instantanés de base de données créés manuellement sont conservés jusqu'à ce que vous décidiez de les supprimer. 

  • Jeux d'enregistrements de ressources de latence pour Amazon Route 53  

    Recherche d'éventuels jeux d'enregistrements de ressources de latence Amazon Route 53 dont la configuration n'est pas efficace. Pour permettre à Amazon Route 53 d'acheminer les requêtes vers la région présentant la latence réseau la moins élevée, nous vous conseillons de créer des jeux d'enregistrements de ressources de latence associés à un nom de domaine précis (comme exemple.com) dans différentes régions. Si vous ne créez qu'un seul ensemble d'enregistrements de ressources de latence par nom de domaine, toutes les requêtes seront acheminées vers la même région, ce qui entraînera des frais supplémentaires liés à la latence sans que vous en retiriez aucun avantage.  

  • Expiration des instances réservées Amazon EC2  

    Vérifie l'existence d'instances réservées Amazon EC2 arrivant à expiration dans les 30 prochains jours ou arrivés à expiration au cours des 30 derniers jours. Les instances réservées ne se renouvellent pas automatiquement ; vous pouvez continuer à utiliser une instance EC2 couverte par la réservation sans interruption, mais vous serez facturé des frais A la demande. Les nouvelles instances réservées peuvent disposer des mêmes paramètres que les instances expirées, ou vous pouvez acheter des instances réservées disposant de paramètres différents.


    Les économies mensuelles estimées que nous présentons correspondent à la différence entre les taux A la demande et Instance réservée pour le même type d’instance.

  • Clusters Amazon Redshift sous-exploités  

    Contrôle la présence de clusters semblant être sous-utilisés dans votre configuration Amazon Redshift. Si un cluster Amazon Redshift n’a pas eu de connexion durant une période prolongée ou utilise une faible partie du CPU, vous pouvez utiliser des options moins chères, comme diminuer la taille du cluster ou éteindre le cluster et prendre un instantané final. Les instantanés finaux sont retenus même après la suppression de votre cluster.

Sécurité

Améliorez la sécurité de votre application en corrigeant les failles, en activant différentes fonctionnalités de sécurité AWS et en vérifiant vos autorisations.

  • Groupes de sécurité – Ports spécifiques sans restriction (gratuit !)

    Analyse les groupes de sécurité pour détecter des règles permettant un accès sans restriction (0.0.0.0/0) à des ports spécifiques. Ce type d'accès accroît les risques d'actions malveillantes (piratage, attaques par déni de service, perte de données). Les ports présentant les risques les plus élevés sont indiqués en rouge, ceux pour lesquels le risque est moins élevé en jaune. Les ports indiqués en vert sont généralement utilisés par des applications imposant un accès sans restriction, par exemple HTTP et SMTP.


    Si vous avez volontairement configuré vos groupes de sécurité de cette manière, nous vous recommandons d'appliquer des mesures de sécurité supplémentaires à votre infrastructure (par exemple des tables IP).

  • Groupes de sécurité – Accès sans restriction

    Analyse les groupes de sécurité pour détecter des règles permettant un accès sans restriction à une ressource. Ce type d'accès accroît les risques d'actions malveillantes (piratage, attaques par déni de service, perte de données).

  • Utilisation d’IAM (gratuit !)

    Analyse votre utilisation d'AWS Identity and Access Management (IAM). Vous pouvez utiliser IAM pour créer des utilisateurs, des groupes et des rôles dans AWS, ainsi que des autorisations permettant de contrôler l'accès aux ressources AWS.

  • Autorisations relatives aux compartiments Amazon S3 (gratuit !)

    Recherche les compartiments Amazon Simple Storage Service (Amazon S3) dont les autorisations permettent un libre accès. Les autorisations de compartiments permettant à tous les utilisateurs d'avoir un accès de type Liste peuvent entraîner des coûts plus importants que prévu si les objets présents dans le compartiment sont répertoriés de façon fréquente par des utilisateurs que vous n'aviez pas envisagés. Les autorisations relatives aux compartiments et permettant à tous les utilisateurs d'avoir un accès de type Téléchargement/Suppression génèrent une faille potentielle de sécurité, car n'importe quel utilisateur peut ajouter, modifier ou supprimer des éléments d'un compartiment. Cette vérification examine les autorisations explicites des compartiment et les politiques associées aux compartiments susceptibles d'annuler ces autorisations.

  • MFA sur le compte racine (gratuit !)

    Analyse la politique de mots de passe de votre compte et vous avertit lorsque celle-ci n'est pas activée ou si les exigences relatives au contenu des mots de passe n'ont pas été activées. Les exigences quant au contenu des mots de passe permettent de renforcer la sécurité globale de votre environnement AWS en imposant la création de mots de passe forts par les utilisateurs. Lorsque vous créez ou modifiez une politique de mots de passe, les nouveaux utilisateurs sont immédiatement soumis à cette politique, mais il n'est pas demandé aux utilisateurs existants de modifier leurs mots de passe.

  • Risque lié à l'accès aux groupes de sécurité Amazon RDS

    Analyse les configurations des groupes de sécurité Amazon Relational Database Service (Amazon RDS) et vous avertit lorsqu'une règle de groupe de sécurité est susceptible d'accorder un accès trop vaste à votre base de données. La configuration recommandée pour n'importe quelle règle de groupe de sécurité consiste à autoriser l'accès pour certains groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) ou certaines adresses IP uniquement.

  • Journalisation AWS CloudTrail

    Analyse votre utilisation d'AWS CloudTrail. CloudTrail permet de gagner en visibilité sur l'activité de votre compte AWS en enregistrant des informations relatives aux appels d'API AWS effectués sur le compte. A l'aide de ces fichiers journaux, vous pouvez, par exemple, déterminer quelles actions un utilisateur en particulier a effectuées sur une période donnée, ou quels utilisateurs ont lancé des actions concernant une certaine ressource au cours de la période spécifiée. CloudTrail génère les fichiers journaux dans un compartiment Amazon Simple Storage Service (Amazon S3) et doit donc disposer d'autorisations en écriture pour ce compartiment.

  • Jeux d'enregistrements de ressources MX et SPF pour Amazon Route 53

    Vérifie qu'un jeu d'enregistrements de ressources SPF existe pour chaque jeu d'enregistrements de ressources MX. Un enregistrement SPF (Sender Policy Framework) publie la liste des serveurs autorisés à envoyer des e-mails pour votre domaine, ce qui contribue à réduire la quantité de courrier indésirable en détectant et bloquant les usurpations d'adresses e-mail.

  • Sécurité des écouteurs ELB

    Contrôle l'existence d'équilibreurs de charge possédant des écouteurs n'utilisant pas de configuration de sécurité recommandée pour les communications cryptées. AWS recommande l’utilisation d’un protocole sécurisé (HTTPS ou SSL), des politiques de sécurité à jour ainsi que des chiffrages et des protocoles sûrs. Lorsque vous utilisez un protocole sûr pour une connexion frontale, (client vers équilibreur de charge), les requêtes sont cryptées entre vos clients et l’équilibreur de charge, ce qui est plus sûr. Elastic Load Balancing fournit des politiques de sécurité prédéfinies contenant des chiffrages et des protocoles respectant les meilleurs pratiques AWS en matière de sécurité. De nouvelles versions des politiques prédéfinies sortent lorsque de nouvelles configurations deviennent disponibles.

  • Groupes de sécurité ELB  

    Contrôle l'existence d'équilibreurs de charge avec un groupe de sécurité manquant ou donnant accès à des ports non configurés pour cet équilibreur. Si un groupe de sécurité associé à un équilibreur de charge est détecté, l’équilibreur de charge ne fonctionne pas comme prévu. Si un groupe de sécurité permet l’accès à des ports qui ne sont pas configurés pour l’équilibreur de charge, le risque de perte de données ou d’attaques malveillantes augmente.  

  • Certificats SSL personnalisés CloudFront dans le magasin de certificats IAM  

    Contrôle le magasin de certificats IAM à la recherche de certificats SSL de noms de domaines CloudFront alternatifs et vous alerte s’ils arrivent à expiration, arrivent bientôt à expiration, utilisent un chiffrement obsolète ou incorrectement configurés pour leur distribution. Lorsqu’un certificat personnalisé pour un nom de domaine alternatif expire, les navigateurs qui affichent votre contenu CloudFront peuvent afficher un message d’avertissement concernant la sécurité de votre site Web. Les certificats cryptés à l’aide de l’algorithme de hachage SHA-1 sont considérés comme obsolètes par les navigateurs tels que Chrome et Firefox. Si un certificat ne contient pas de noms de domaine correspondant au nom de domaine d’origine ou au nom de domaine de l’en-tête Hôte des requêtes utilisateur, CloudFront retourne un code d’état HTTP 502 (mauvaise passerelle) à l’utilisateur.

  • Certificat SSL CloudFront sur le serveur d’origine  

    Recherche les clés d’accès IAM actives qui n’ont pas subi de rotation lors des 90 jours précédents. Lorsque vous effectuez la rotation de vos clés d’accès régulièrement, vous réduisez les chances qu’une clé compromise puisse être utilisée à votre insu pour accéder aux ressources. Pour les besoins de cette vérification, la dernière date et heure de rotation correspond au moment où la clé d’accès a été créée ou activée pour la dernière fois. Le numéro et la date de la clé d’accès proviennent des informations access_key_1_last_rotated et access_key_2_last_rotated du rapport de certification IAM le plus récent.

  • Clés d’accès exposées  

    Contrôle les référentiels de code les plus populaires, à la recherche de clés d'accès exposées publiquement et d'utilisations inhabituelles d'Amazon Elastic Compute Cloud (Amazon EC2) pouvant être dues à une clé d'accès compromise. Une clé d’accès est composée d’une ID de clé d’accès et de la clé d’accès secrète associée. Les clés d’accès exposées créent des risques de sécurité pour votre compte et les autres utilisateurs, peuvent occasionner des frais supplémentaires à cause d’activités non autorisées et d’abus et enfreignent l’Accord client AWS. Si votre clé d’accès est exposée, prenez des mesures immédiates pour sécuriser votre compte. Pour protéger davantage votre compte contre des frais excessifs, AWS limite temporairement votre capacité à créer certaines ressources AWS. Cela ne sécurise pas votre compte, mais limite partiellement l’utilisation non autorisée pour laquelle vous pourriez être facturé. Remarque : cette vérification ne garantit pas l’identification des clés d’accès exposées ou des instances EC2 compromises. Vous êtes le seul responsable de la sécurité de vos clés d’accès et de vos ressources AWS.

  • Instantanés publics Amazon EBS (gratuit !)  

    Vérifie les paramètres de permission pour vos instantanés de volume Amazon Elastic Block Store (Amazon EBS) et vous alerte si des instantanés sont marqués comme étant publics. Lorsque vous rendez un instantané public, vous donnez à tous les comptes et utilisateurs AWS l’accès à toutes les données de l’instantané. Si vous souhaitez partager un instantané avec des utilisateurs ou des comptes précis, marquez-le comme privé, puis spécifiez les utilisateurs ou comptes avec lesquels vous voulez partager les données de l’instantané.

  • Instantanés publics Amazon RDS (gratuit !)  

    Vérifie les paramètres de permission pour vos instantanés de base de données Amazon Relational Database Service (Amazon RDS) et vous alerte si des instantanés sont marqués comme étant publics. Lorsque vous rendez un instantané public, vous donnez à tous les comptes et utilisateurs AWS l’accès à toutes les données de l’instantané. Si vous souhaitez partager un instantané avec des utilisateurs ou des comptes précis, marquez-le comme privé, puis spécifiez les utilisateurs ou comptes avec lesquels vous voulez partager les données de l’instantané.

  • Politique de mots de passe IAM  

    Analyse la politique de mots de passe de votre compte et vous avertit lorsque celle-ci n'est pas activée ou si les exigences relatives au contenu des mots de passe n'ont pas été activées. Les exigences quant au contenu des mots de passe permettent de renforcer la sécurité globale de votre environnement AWS en imposant la création de mots de passe forts par les utilisateurs. Lorsque vous créez ou modifiez une politique de mots de passe, les nouveaux utilisateurs sont immédiatement soumis à cette politique, mais il n'est pas demandé aux utilisateurs existants de modifier leurs mots de passe.

  • Rotation des clés d’accès IAM  

    Recherche les clés d’accès IAM actives qui n’ont pas subi de rotation lors des 90 jours précédents. Lorsque vous effectuez la rotation de vos clés d’accès régulièrement, vous réduisez les chances qu’une clé compromise puisse être utilisée à votre insu pour accéder aux ressources. Pour les besoins de cette vérification, la dernière date et heure de rotation correspond au moment où la clé d’accès a été créée ou activée pour la dernière fois. Le numéro et la date de la clé d’accès proviennent des informations access_key_1_last_rotated et access_key_2_last_rotated du rapport de certification IAM le plus récent.

Tolérance aux pannes

Optimisez la disponibilité et la redondance de votre application AWS en tirant parti du dimensionnement automatique, des vérifications de l'état, du déploiement multi-AZ et des capacités de sauvegarde.

  • Instantanés Amazon EBS

    Vérifie l'ancienneté des instantanés de volumes Amazon Elastic Block Store (Amazon EBS) (disponibles ou en cours d'utilisation). Même si les volumes Amazon EBS font l'objet de réplications, des défaillances peuvent se produire. Les instantanés sont stockés de manière persistante dans Amazon Simple Storage Service (Amazon S3) pour garantir un stockage durable et permettre la récupération à un instant donné.

  • Équilibre des zones de disponibilité Amazon EC2

    Analyse la répartition des instances Amazon Elastic Compute Cloud (Amazon EC2) entre les différentes zones de disponibilité d'une région. Les zones de disponibilité sont des emplacements distincts, qui sont conçus pour être isolés des défaillances survenant dans les autres zones de disponibilité et fournir une connectivité réseau à faible latence et peu coûteuse aux autres zones de disponibilité de la même région. Lancer vos instances sur plusieurs zones de disponibilité au sein d'une même région contribue à protéger vos applications contre le risque de point unique de défaillance.

  • Optimisation des équilibreurs de charge

    Vérifie la configuration de vos programmes d'équilibrage de charge. Vous pouvez ainsi augmenter le niveau de tolérance aux pannes sur Amazon Elastic Compute Cloud (EC2) tout en utilisant Elastic Load Balancing ; nous vous recommandons d'exécuter un nombre identique d'instances sur plusieurs zones de disponibilité de la même région. Chaque programme d'équilibrage de charge configuré augmente les frais : cette vérification permet donc également d'optimiser les coûts.

  • Redondance du tunnel VPN

    Vérifie le nombre de tunnels actifs pour chacun de vos VPN. Un VPN doit disposer à tout moment de deux tunnels configurés afin de garantir une redondance en cas de panne ou de maintenance programmée des périphériques situés au point de terminaison AWS. Pour certains équipements matériels, seul un tunnel peut être actif (voir le Guide de l’administrateur réseau Amazon Virtual Private Cloud Network). Des frais peuvent s'appliquer à un VPN même s'il ne dispose pas de tunnels actifs.

  • Ressources du groupe Auto Scaling

    Vérifie la disponibilité des ressources associées aux configurations de lancement et à vos groupes Auto Scaling. Les groupes Auto Scaling renvoyant vers des ressources indisponibles ne peuvent pas lancer de nouvelles instances Amazon Elastic Compute Cloud (Amazon EC2). Lorsqu'elle est bien configurée, la fonctionnalité Auto Scaling assure une augmentation sans heurts du nombre d'instances Amazon EC2 durant les pics de demande et une diminution automatique lorsque la demande est plus modérée. Les configurations de lancement et les groupes Auto Scaling renvoyant vers des ressources indisponibles ne fonctionnent pas comme prévu.

  • Sauvegardes Amazon RDS

    Recherche les sauvegardes automatisées des instances DB Amazon RDS. Par défaut, la durée de conservation des sauvegardes est de 1 jour. Les sauvegardes réduisent le risque de perte de données et permettent une récupération à un instant donné.

  • Déploiements multi-AZ Amazon RDS

    Recherche les instances DB qui sont déployées dans une seule zone de disponibilité (AZ). Les déploiements multi-AZ permettent de renforcer la disponibilité en répliquant les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. En cas de maintenance programmée des bases de données ou de défaillance d'une instance DB ou d'une zone de disponibilité, Amazon RDS effectue un basculement automatique vers l'instance de secours. Les opérations de base de données peuvent ainsi reprendre rapidement, sans intervention de l'administrateur. Amazon RDS ne permet pas le déploiement multi-AZ des instances Microsoft SQL Server ; cette vérification ne prend donc pas en compte ce type d'instances.

  • Vérification de l'état des groupes Auto Scaling

    Analyse la configuration des vérifications de l'état des groupes Auto Scaling. Si vous utilisez Elastic Load Balancing pour un groupe Auto Scaling, il est recommandé d'activer les vérifications de l'état Elastic Load Balancing. Si aucune vérification de l'état Elastic Load Balancing n'est utilisée, les opérations Auto Scaling peuvent uniquement s'appuyer sur l'état de l'instance Amazon Elastic Compute Cloud (Amazon EC2), et non sur celui de l'application qui s'exécute sur cette instance.

  • Journalisation pour les compartiments Amazon S3

    Vérifie la configuration de la connexion aux compartiments Amazon Simple Storage Service (Amazon S3). Lorsque la connexion à l’accès du serveur est activée, les journaux d’accès sont livrés toutes les heures à un compartiment que vous choisissez. Un enregistrement de journal d’accès contient des détails relatifs à chaque demande, tels que le type de requête, ainsi que l'heure et la date auxquelles la demande a été effectuée. Par défaut, la consignation du compartiment n’est pas activée ; vous devez activer la consignation si vous voulez réaliser des audits de sécurité ou en savoir plus sur les utilisateurs et les schémas d’utilisation.

  • Délégation du serveur de noms Amazon Route 53  

    Identifie les zones hébergées Amazon Route 53 pour lesquelles le bureau d'enregistrement de votre domaine ou votre DNS n'utilisent pas les bons serveurs de noms Route 53. Lorsque vous créez une zone hébergée, Route 53 lui attribue un ensemble de délégation composé de quatre serveurs de noms. Les noms de ces serveurs sont ns-###.awsdns-##.com, .net, .org et .co.uk ; ### et ## représentent généralement des nombres différents. Pour que Route 53 puisse acheminer des requêtes DNS vers votre domaine, vous devez mettre à jour la configuration de serveur de nom fournie à votre bureau d'enregistrement en supprimant les serveurs de noms attribués par celui-ci, puis en ajoutant les quatre serveurs de noms composant l'ensemble de délégation Route 53. Pour une disponibilité maximale, assurez-vous d'ajouter tous les serveurs de noms Route 53.

  • Jeux d'enregistrements de ressources TTL Amazon Route 53

    Cette vérification identifie les jeux d'enregistrements de ressources pouvant bénéficier d'une valeur inférieure pour leur durée de vie (TTL). La durée de vie (TTL) est la durée en secondes pendant laquelle les résolveurs DNS gardent en cache un jeu d'enregistrements de ressources. Lorsque vous indiquez une TTL longue, il faut plus longtemps aux résolveurs DNS pour demander des enregistrements DNS mis à jour. Cela peut entraîner des délais superflus de redirection de trafic (par exemple, lorsque le basculement DNS détecte une défaillance au niveau de l'un des points de terminaison et réagit en conséquence).

  • Jeux d'enregistrements de ressources de basculement pour Amazon Route 53

    Recherche d'éventuels jeux d'enregistrements de ressources de basculement Amazon Route 53 mal configurés. Lorsque les vérifications de l'état d'Amazon Route 53 révèlent que les ressources principales sont défectueuses, Amazon Route 53 utilise un jeu d'enregistrements de ressources secondaire pour répondre aux requêtes. Pour que ce basculement fonctionne, vous devez veiller à bien configurer les jeux d'enregistrements de ressources principaux et secondaires.

  • Vérifications de l'état supprimées pour Amazon Route 53

    Recherche d'éventuels jeux d'enregistrements de ressources associés à des vérifications de l'état qui ont été supprimées. Amazon Route 53 ne vous empêche pas de supprimer une vérification de l'état associée à un ou plusieurs jeux d'enregistrements de ressources. Si vous supprimez une vérification de l'état sans mettre à jour les jeux d'enregistrements de ressources associés, l'acheminement des requêtes DNS destinées à votre configuration de basculement DNS ne fonctionnera pas comme prévu. Cela affectera l'acheminement des requêtes DNS destinées à votre configuration de basculement DNS.

  • Drainage de la connexion ELB

    Recherche les équilibreurs de charge dont le drainage de la connexion n’est pas activé. Lorsque le drainage de la connexion est désactivé et que vous supprimez (dés-enregistrez) une instance Amazon EC2 d’un équilibreur de charge, l’équilibreur de charge arrête de router le trafic vers cette instance et ferme la connexion. Lorsque le drainage de la connexion est activé, l’équilibreur de charge arrête d’envoyer de nouvelles requêtes à l’instance dés-enregistrée mais garde la connexion ouverte pour servir les requêtes actives.

  • Équilibrage de charge entre zones ELB

    Recherche les équilibreurs de charge dont l’équilibrage de charge entre zones n’est pas activé. L’équilibrage de charge entre zones distribue les requêtes de manière équitable entre toutes les instances dorsales, quelle que soit la zone de disponibilité des instances. L’équilibrage de charges entre zones réduit la distribution non équitable du trafic lorsque les clients mettent en cache des informations DNS incorrectes ou lorsque vous disposez d’un nombre d’instances inégal dans chaque zone de disponibilité (par exemple, si vous avez désactivé certaines instances pour des raisons de maintenance). L'équilibrage de charge sur plusieurs zones facilite le déploiement et la gestion d'applications sur plusieurs zones de disponibilité.

  • Versioning des compartiments Amazon S3

    Contrôle l'existence de compartiments Amazon Simple Storage Service dont le versioning est désactivé ou en suspens. Lorsque le versioning est activé, vous pouvez récupérer facilement les objets perdus suite à des actions involontaires d'utilisateurs et des défaillances d'applications. Le versioning permet de préserver, récupérer et restaurer toutes les versions de chacun des objets stockés dans un compartiment. Vous pouvez utiliser des règles de cycle de vie pour gérer toutes les versions de vos objets et de leurs coûts associés en archivant automatiquement les objets dans la classe de stockage Glacier ou en les supprimant au bout d’une durée définie. Vous pouvez également choisir d’exiger une authentification multi-facteurs pour toute suppression d’objet ou modification de configuration de vos compartiments.

  • Redondance de connexion AWS Direct Connect

    Vérifie s'il existe des régions avec une seule connexion AWS Direct Connect. La connectivité à vos ressources AWS doit disposer de deux connexions Direct Connect configurées en permanence pour fournir une redondance au cas où un appareil est indisponible.

  • Redondance de site AWS Direct Connect  

    Vérifie s'il existe des passerelles privées virtuelles dotées d'interfaces virtuelles (VIF) AWS Direct Connect qui ne sont pas configurées sur au moins deux connexions AWS Direct Connect. La connectivité à vos passerelles réseau privé virtuel doit disposer de plusieurs interfaces virtuelles configurées sur plusieurs connexions et emplacements Direct Connect pour fournir une redondance au cas où un appareil ou un emplacement est indisponible.

  • Redondance d'interface virtuelle AWS Direct Connect

    Vérifie s'il existe des passerelles privées virtuelles dotées d'interfaces virtuelles (VIF) AWS Direct Connect qui ne sont pas configurées sur au moins deux connexions AWS Direct Connect. La connectivité à vos passerelles réseau privé virtuel doit disposer de plusieurs interfaces virtuelles configurées sur plusieurs connexions et emplacements Direct Connect pour fournir une redondance au cas où un appareil ou un emplacement est indisponible.

  • Accessibilité de l'instance de base de données Amazon Aurora

    Recherche les cas où un cluster de base de données Amazon Aurora possède des instances privées et publiques. En cas de défaillance d’une instance primaire, un réplica peut être promu au rang d’instance primaire. Si ce réplica est privé, les utilisateurs ne disposant que d’un accès public ne pourront plus se connecter à la base de données après le basculement. Disposer de la même accessibilité pour toutes les instances de base de données dans un même cluster est considéré comme une bonne pratique.

  • Service EC2Config pour les instances Windows EC2

    Vérifie le service EC2Config pour les instances Windows Amazon EC2 et vous avertit si l'agent EC2Config est obsolète ou n'est pas configuré correctement. L’utilisation de la dernière version d’EC2Config active et optimise la gestion logicielle du point de terminaison. Le pilote PV effectue des vérifications afin de rester à jour en disposant du logiciel de point de terminaison le plus sûr et le plus fiable.

    Remarque : cette vérification affiche des informations pour les instances EC2 des régions suivantes : Virginie du N (us-east-1), Californie du N (us-west-1), Oregon (us-west-2), Irlande (eu-west-1), Sao Paolo (sa-east-1), Tokyo (ap-northeast-1), Singapour (ap-southeast-1) et Sydney (ap-southeast-2).

  • Version du pilote PV pour les instances Windows EC2

    Tolérance aux pannes

    Optimisez la disponibilité et la redondance de votre application AWS en tirant parti du dimensionnement automatique, des vérifications de l'état, du déploiement multi-AZ et des capacités de sauvegarde.

    Vérifie la version du pilote PV pour les instances Windows Amazon EC2 et vous avertit si ce pilote est obsolète. L’utilisation du pilote PV le plus récent contribue à l’optimisation des performances du pilote et à diminuer les problèmes d’exécution et les risques de sécurité.

    Remarque : cette vérification affiche des informations pour les instances EC2 des régions suivantes : Virginie du N. (us-east-1), Californie du N. (us-west-1), Oregon (us-west-2), Irlande (eu-west-1), Sao Paolo (sa-east-1), Tokyo (ap-northeast-1), Singapour (ap-southeast-1) et Sydney (ap-southeast-2).

  • ENA Drivers

    Vérifie la version du pilote AWS ENA pour les instances Windows EC2 et vous avertit si le pilote (a) est obsolète et non pris en charge ; (b) est obsolète avec des problèmes identifiés ; ou (c) peut être mis à niveau vers une nouvelle version. La dernière version du pilote AWS ENA pour Windows permet d’optimiser les performances du pilote ENA et de minimiser les problèmes d’exécution ainsi que les risques liés à la sécurité.

    Remarque : cette vérification affiche des informations pour les instances EC2 des régions suivantes : Virginie du N. (us-east-1), Californie du N. (us-west-1), Oregon (us-west-2), Irlande (eu-west-1), Sao Paolo (sa-east-1), Tokyo (ap-northeast-1), Singapour (ap-southeast-1) et Sydney (ap-southeast-2).

  • NVMe Driver

    Vérifie la version du pilote AWS NVMe pour les instances Windows EC2 et vous avertit si le pilote (a) est obsolète et non pris en charge ; (b) est obsolète avec des problèmes identifiés ; ou (c) peut être mis à niveau vers une nouvelle version. La dernière version du pilote AWS NVMe pour Windows permet d’optimiser les performances du pilote NVMe et de minimiser les problèmes d’exécution ainsi que les risques liés à la sécurité.

    Remarque : cette vérification affiche des informations pour les instances EC2 des régions suivantes : Virginie du N (us-east-1), Californie du N (us-west-1), Oregon (us-west-2), Irlande (eu-west-1), Sao Paolo (sa-east-1), Tokyo (ap-northeast-1), Singapour (ap-southeast-1) et Sydney (ap-southeast-2).

Performances

Améliorez les performances de votre service en vérifiant vos limites de service, en tirant pleinement parti du débit alloué et en repérant les instances surexploitées.

  • Instances Amazon EC2 surexploitées

    Analyse les instances Amazon Elastic Compute Cloud (Amazon EC2) qui ont été exécutées au cours des 14 derniers jours et vous avertit en cas d'utilisation quotidienne de CPU supérieure à 90 % sur une durée de 4 jours ou plus. Un taux d'utilisation élevé sur une longue durée peut être le signe de performances stables et optimisées, mais cela peut également indiquer qu'une application ne dispose pas des ressources suffisantes. Pour obtenir des données sur l'utilisation quotidienne de la CPU, téléchargez le rapport correspondant à cette vérification.

  • Configuration de l'association des volumes IOPS dimensionnés (SSD) Amazon EBS

    Recherche les volumes IOPS dimensionnés (SSD) associés à une instance Amazon Elastic Compute Cloud (Amazon EC2) qui n'est pas optimisée pour Amazon EBS. Les volumes IOPS dimensionnés d'Amazon Elastic Block Store (Amazon EBS) sont conçus pour fournir les performances prévues uniquement lorsqu'ils sont associés à une instance optimisée pour EBS.

  • Prolifération des règles de groupes de sécurité EC2

    Analyse chaque groupe de sécurité Amazon Elastic Compute Cloud (EC2) et détecte ceux présentant un nombre de règles trop élevé. Si un groupe de sécurité est associé à un trop grand nombre de règles, ses performances peuvent s'en trouver diminuées.

    Pour en savoir plus, consultez la section Amazon EC2 Security Groups.

  • Prolifération des règles de groupes de sécurité EC2 appliquées à une instance

    Recherche les instances Amazon Elastic Compute Cloud (EC2) associées à un grand nombre de règles de groupes de sécurité. Si une instance est associée à un grand nombre de règles, ses performances peuvent s'en trouver diminuées.

  • Jeux d'enregistrements de ressources d’alias pour Amazon Route 53

    Cette vérification identifie les jeux d'enregistrements de ressources acheminant des requêtes DNS vers des ressources AWS, et qui peuvent être transformés en jeux d'enregistrements de ressources alias. Un jeu d'enregistrements de ressources alias est un type d'enregistrement Amazon Route 53 spécifique qui transmet des requêtes DNS à une ressource AWS (par exemple, un programme d'équilibrage de charge Elastic Load Balancing ou un compartiment Amazon S3) ou à un autre jeu d'enregistrements de ressources Route 53. Lorsque vous utilisez des jeux d'enregistrements de ressources alias, Route 53 achemine gratuitement vos requêtes DNS vers des ressources AWS.

  • Volumes magnétiques Amazon EBS surexploités

    Recherche les volumes magnétiques Amazon Elastic Block Store (EBS) susceptibles d'être surexploités et pouvant bénéficier d'une configuration plus efficace. Les volumes magnétiques sont conçus pour les applications à taux d'E/S modérés ou transmis en paquets et le taux d'E/S par seconde n'est pas garanti. Ils fournissent en moyenne 100 opérations d'E/S par seconde, avec la possibilité de transmettre, au mieux, quelques centaines d'opérations d'E/S par seconde en paquets. Pour obtenir des opérations d'E/S cohérentes plus élevées, vous pouvez utiliser un volume d’IOPS provisionnés (SSD). Pour des opérations d'E/S par pic, vous pouvez utiliser un volume à usage général (SSD).

  • Optimisation de la diffusion de contenu Amazon CloudFront

    Recherche des cas dans lesquels les transferts de données depuis les compartiments Amazon Simple Storage Service (Amazon S3) pourraient être accélérés en utilisant Amazon CloudFront, le service de diffusion de contenu mondiale d'AWS. Lorsque vous configurez Amazon CloudFront pour diffuser votre contenu, les requêtes concernant ce contenu sont automatiquement acheminées vers l'emplacement périphérique le plus proche où ce contenu est mis en cache. Le contenu est ainsi diffusé aux utilisateurs avec des performances optimales. Si la proportion de transferts de données sortants est particulièrement élevée pour un compartiment, il serait sans doute avantageux d'utiliser Amazon CloudFront pour diffuser les données.

  • Transmission des en-têtes CloudFront et taux de succès de cache

    Vérifie les en-têtes de requête HTTP que CloudFront est en train de recevoir depuis le client et transmet à votre serveur d’origine. Certaines en-têtes, telles que Date ou User-Agent, réduisent significativement le taux de succès de cache (la proportion de requêtes qui sont servies depuis un cache périphérique CloudFront). Ce phénomène augmente la charge sur votre serveur d’origine et réduit les performances car CloudFront doit faire suivre plus de requêtes vers votre serveur d’origine.

  • Optimisation du débit Amazon EC2 vers EBS

    Contrôle l'existence de volumes Amazon EBS dont les performances pourraient être affectées par le débit maximal de l'instance Amazon EC2 à laquelle ils sont rattachés. Pour optimiser les performances, vous devez vous assurer que le débit maximal d’une instance EC2 est supérieur au débit maximal agrégé des volumes EBS liés.

  • Noms de domaine alternatifs CloudFront

    Contrôle les distributions CloudFront, à la recherche de noms de domaine alternatifs présentant des paramètres DNS incorrects. Si une distribution CloudFront comprend des noms de domaine alternatifs, la configuration DNS pour les domaines doit router les requêtes DNS vers cette distribution.

Limites de service

Recherche les utilisations de services pour lesquels le taux d'utilisation dépasse 80 % des limites autorisées. Les valeurs sont établies à partir d'un instantané : il se peut donc que le niveau d'utilisation actuel soit différent. Il faut parfois compter 24 heures pour que les données relatives aux limites et à l'utilisation prennent en compte les modifications apportées.

Le tableau suivant indique les restrictions que Trusted Advisor contrôle.

Service
Limites
Amazon Elastic Compute Cloud
(Amazon EC2)
Adresses IP élastiques
Instances réservées – limite d'achat (mensuelle)
Instances à la demande
Amazon Elastic Block Store
(Amazon EBS)
Volumes actifs
Instantanés actifs
Stockage sur volume à usage standard (SSD) (Gio)
IOPS provisionnés
Stockage sur volume IOPS dimensionné (SSD) (Gio)
Stockage sur volume magnétique (Gio)
Amazon Kinesis Streams Partitions
Amazon Relational Database Service
(Amazon RDS)
Clusters
Groupes de paramètres de cluster
Rôles de cluster
Instances DB
Groupes de paramètres DB
Groupes de sécurité DB
Instantanés DB par utilisateur
Abonnements aux événements
Autorisations maximales par groupe de sécurité
Groupes d'options
Réplicas en lecture par expert
Instances réservées
Quota de stockage (Gio)
Groupes de sous-réseaux
Sous-réseaux par groupe de sous-réseaux
Amazon Simple Email Service
(Amazon SES)
Quota d'envoi quotidien
Amazon Virtual Private Cloud
(Amazon VPC)
 
Adresses IP élastiques
Passerelles Internet
VPC
Auto Scaling
Groupes Auto Scaling
Configurations de lancement
AWS CloudFormation Piles
Elastic Load Balancing (ELB)
Programmes d'équilibrage de charge actifs
Identity and Access Management (IAM)
Groupes
Profils d'instance
Stratégies
Rôles
Certificats de serveur
Utilisateurs

Remarque : les données pour les limites d'instances à la demande EC2 sont uniquement disponibles pour les régions AWS suivantes :

Asie-Pacifique (Tokyo) [ap-northeast-1]
Asie-Pacifique (Singapour) [ap-southeast-1]
Asie-Pacifique (Sydney) [ap-southeast-2]
UE (Irlande) [eu-west-1]
Amérique du Sud (São Paulo) [sa-east-1]
USA Est (Virginie du Nord) [us-east-1]
USA Ouest (Californie du Nord) [us-west-1]
USA Ouest (Oregon) [us-west-2]

Remarque : Trusted Advisor ne suit actuellement pas les limites régionales pour les instances à la demande EC2. Par défaut, cette limite est de 20 instances à la demande par compte et par région.

Dans les cas où vous avez atteint cette limite régionale, vous risquez de ne pas être en mesure de lancer de nouvelles instances à la demande, même si Trusted Advisor indique que vous n'avez atteint aucune de vos limites de type par instance dans cette région. Pour en savoir plus sur les limites à la demande EC2, reportez-vous à la section Combien d'instances puis-je exécuter dans Amazon EC2 ?.

Nous veillons à inclure constamment de nouveaux services dans la vérification Service Limits. Vos commentaires nous sont très utiles.