Optimisation des coûts

Découvrez comment réaliser des économies dans AWS en éliminant les ressources inutilisées ou inactives, ou en vous engageant sur une capacité réservée.

Optimisation des instances réservées Amazon EC2

Une partie importante de l'utilisation d'AWS consiste à équilibrer l'achat de votre instance réservée (IR) et l'utilisation de votre instance à la demande. Cette vérification fournit des recommandations sur les IR qui permettront de réduire les coûts liés à l'utilisation des instances à la demande.

Nous générons ces recommandations en analysant votre utilisation à la demande au cours des 30 derniers jours, puis en classant cette utilisation dans des catégories admissibles pour les réservations. Nous simulons ensuite chaque combinaison de réservations dans la catégorie d'utilisation générée afin d'identifier le nombre optimal de chaque type d'IR à acheter pour maximiser vos économies. Cette vérification couvre les recommandations basées sur les instances réservées standard avec option de paiement initial partiel. Les recommandations de cette vérification ne sont disponibles que pour le compte de règlement.

Pour en savoir plus sur cette recommandation, consultez Questions relatives à la vérification de l'optimisation des instances réservées dans les questions fréquentes (FAQ) Trusted Advisor.

Instances Amazon EC2 sous-exploitées

Analyse les instances Amazon Elastic Compute Cloud (Amazon EC2) qui ont été exécutées au cours des 14 derniers jours et vous avertit en cas d'utilisation quotidienne du processeur inférieure ou égale à 10 % et d'E/S réseaux inférieures ou égales à 5 Mo sur une durée de 4 jours ou plus. Les instances en cours d'exécution génèrent des frais d'utilisation horaires. Bien que certains scénarios imposent un faible niveau d'utilisation de par leur conception, il est souvent possible de réduire vos coûts en agissant sur le nombre et la taille de vos instances.

Les économies mensuelles sont estimées sur la base du taux d'utilisation actuel des instances à la demande et d'une estimation du nombre de jours de sous-exploitation potentielle de l'instance. Le montant réel des économies réalisées peut varier selon les instances utilisées (réservées ou Spot) ou si l'instance ne s'exécute qu'une partie de la journée. Pour obtenir des données sur l'utilisation quotidienne, téléchargez le rapport correspondant à cette vérification.  

Équilibreurs de charge inactifs

Analyse la configuration d'Elastic Load Balancing pour identifier les programmes d'équilibrage de charge qui ne sont pas utilisés de façon active. Chaque programme d'équilibrage de charge configuré augmente les frais. Si un équilibreur de charge n'est pas associé à des instances de back-end ou si le trafic réseau est fortement limité, ce programme n'est pas utilisé de manière efficace. Cette vérification vérifie actuellement le type Classic Load Balancer au sein du service ELB service. Elle n'inclut pas les autres types ELB (Application Load Balancer, Network Load Balancer).

Volumes Amazon EBS sous-exploités

Analyse les configurations de vos volumes Amazon Elastic Block Store (Amazon EBS) et vous avertit lorsque des volumes semblent être sous-utilisés. Les volumes sont facturés dès leur création. Si un volume reste dissocié ou présente une très faible activité en écriture (à l'exception des volumes de démarrage) pendant un certain temps, cela signifie probablement qu'il est inutilisé.

Adresses IP élastiques non attribuées

Recherche les adresses IP élastiques (Elastic IP, EIP) qui ne sont pas associées à une instance Amazon Elastic Compute Cloud (Amazon EC2) en cours d'exécution. Les adresses EIP sont des adresses IP statiques conçues pour le cloud computing dynamique. Contrairement aux adresses IP statiques classiques, les adresses EIP peuvent masquer l'échec d'une instance ou d'une zone de disponibilité en réassociant une adresse IP publique à une autre instance de votre compte. Une somme minime est facturée pour toute adresse EIP qui n'est associée à aucune instance en cours d'exécution.

Instances DB Amazon RDS inactives

Analyse la configuration d'Amazon Relational Database Service (Amazon RDS) pour détecter toute instance DB semblant être inactive. Si aucune connexion n'a été effectuée vers une instance DB depuis longtemps, vous pouvez supprimer cette instance pour réduire vos coûts. Si vous avez besoin de stocker les données figurant sur l'instance de manière permanente, vous pouvez opter pour des options plus économiques, par exemple réaliser et conserver un instantané de la base de données. Les instantanés de base de données créés manuellement sont conservés jusqu'à ce que vous décidiez de les supprimer. 

Jeux d'enregistrements de ressources de latence pour Amazon Route 53

Recherche d'éventuels jeux d'enregistrements de ressources de latence Amazon Route 53 dont la configuration n'est pas efficace. Pour permettre à Amazon Route 53 d'acheminer les requêtes vers la région présentant la latence réseau la moins élevée, nous vous conseillons de créer des jeux d'enregistrements de ressources de latence associés à un nom de domaine précis (comme exemple.com) dans différentes régions. Si vous ne créez qu'un seul ensemble d'enregistrements de ressources de latence par nom de domaine, toutes les requêtes seront acheminées vers la même région, ce qui entraînera des frais supplémentaires liés à la latence sans que vous en retiriez aucun avantage.  

Expiration des instances réservées Amazon EC2

Vérifie l'existence d'instances réservées Amazon EC2 arrivant à expiration dans les 30 prochains jours ou arrivés à expiration au cours des 30 derniers jours. Les instances réservées ne se renouvellent pas automatiquement ; vous pouvez continuer à utiliser une instance EC2 couverte par la réservation sans interruption, mais vous serez facturé des frais A la demande. Les nouvelles instances réservées peuvent disposer des mêmes paramètres que les instances expirées, ou vous pouvez acheter des instances réservées disposant de paramètres différents. Les économies mensuelles estimées que nous présentons correspondent à la différence entre les taux À la demande et Instance réservée pour le même type d'instance.

Clusters Amazon Redshift sous-exploités

Contrôle la présence de clusters semblant être sous-utilisés dans votre configuration Amazon Redshift. Si un cluster Amazon Redshift n’a pas eu de connexion durant une période prolongée ou utilise une faible partie du CPU, vous pouvez utiliser des options moins chères, comme diminuer la taille du cluster ou éteindre le cluster et prendre un instantané final. Les instantanés finaux sont retenus même après la suppression de votre cluster.

Savings Plan

Vérifie votre utilisation d'EC2, de Fargate et de Lambda au cours des 30 derniers jours et fournit des recommandations d'achat Savings Plan (plan d'épargne), ce qui vous permet, en contrepartie de l'acquisition d'un volume spécifique mesuré en USD/heure, de bénéficier de remises pendant un ou trois ans. Elles proviennent d'AWS Cost Explorer, qui peut être utilisé pour obtenir des informations plus détaillées sur les recommandations ou pour souscrire un savings plan. Ces recommandations doivent être considérées comme une alternative à vos recommandations d'IR, et choisir d'agir pleinement sur les deux séries de recommandations résulterait probablement en un engagement excessif. Cette vérification n'est pas disponible pour les comptes liés à la facturation consolidée. Les recommandations de cette vérification ne sont disponibles que pour le compte de règlement.

Optimisation des nœuds réservés Amazon ElastiCache

Votre utilisation d'ElastiCache est examinée afin de vous suggérer l'acquisition de nœuds réservés pour réduire les coûts d'utilisation à la demande. AWS génère ces recommandations en analysant votre utilisation À la demande au cours des 30 derniers jours. Nous simulons ensuite chaque combinaison de réservations dans la catégorie d'utilisation générée afin d'identifier le meilleur nombre de chaque type de Nœud réservé à acheter pour maximiser vos économies. Cette vérification couvre les recommandations basées sur une option de paiement initial partiel avec un engagement d'un an ou de trois ans. Cette vérification n'est pas disponible pour les comptes liés à la facturation consolidée. Les recommandations de cette vérification ne sont disponibles que pour le compte de règlement.

Optimisation des nœuds réservés Amazon Redshift

Votre utilisation de RedShift est examinée afin de vous suggérer l'acquisition de Nœuds réservés pour réduire les coûts à la demande. AWS génère ces recommandations en analysant votre utilisation À la demande au cours des 30 derniers jours. Nous simulons ensuite chaque combinaison de réservations dans la catégorie d'utilisation générée afin d'identifier le meilleur nombre de chaque type de Nœuds réservés à acheter pour maximiser vos économies. Cette vérification couvre les recommandations basées sur une option de paiement initial partiel avec un engagement d'un an ou de trois ans. Cette vérification n'est pas disponible pour les comptes liés à la facturation consolidée. Les recommandations de cette vérification ne sont disponibles que pour le compte de règlement. 

Optimisation des instances réservées Amazon Relational Database Service (RDS)

Votre utilisation de RDS est examinée afin de vous suggérer l'acquisition d'Instances réservées pour réduire les coûts à la demande. AWS génère ces recommandations en analysant votre utilisation À la demande au cours des 30 derniers jours. Nous simulons ensuite chaque combinaison de réservations dans la catégorie d'utilisation générée afin d'identifier le meilleur nombre de chaque type d'Instance réservée à acheter pour maximiser vos économies. Cette vérification couvre les recommandations basées sur une option de paiement initial partiel avec un engagement d'un an ou de trois ans. Cette vérification n'est pas disponible pour les comptes liés à la facturation consolidée. Les recommandations de cette vérification ne sont disponibles que pour le compte de règlement.

Optimisation des instances réservées Amazon Elasticsearch

Votre utilisation d'Elasticsearch est examinée afin de vous suggérer l'acquisition d'instances réservées pour réduire les coûts d'utilisation à la demande. AWS génère ces recommandations en analysant votre utilisation À la demande au cours des 30 derniers jours. Nous simulons ensuite chaque combinaison de réservations dans la catégorie d'utilisation générée afin d'identifier le meilleur nombre de chaque type d'Instance réservée à acheter pour maximiser vos économies. Cette vérification couvre les recommandations basées sur une option de paiement initial partiel avec un engagement d'un an ou de trois ans. Cette vérification n'est pas disponible pour les comptes liés à la facturation consolidée. Les recommandations de cette vérification ne sont disponibles que pour le compte de règlement.

Fonctions AWS Lambda présentant des taux d'erreur élevés

Recherche les fonctions Lambda présentant des taux d'erreur élevés qui peuvent entraîner des coûts élevés. Lambda facture en fonction du nombre de requêtes et du temps d'exécution agrégé de votre fonction. Les erreurs dans les fonctions peuvent entraîner de nouvelles tentatives qui engagent des frais supplémentaires.

Remarque : les résultats de cette vérification sont actualisés automatiquement plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Les modifications peuvent apparaître simplement au bout de quelques heures.

Fonctions AWS Lambda présentant des délais d'expiration excessifs

Recherche les fonctions Lambda présentant des délais d'expiration élevés qui peuvent entraîner des coûts élevés. Lambda facture en fonction du temps d'exécution et du nombre de requêtes de votre fonction. Les délais d'expiration des fonctions proviennent des erreurs des fonctions qui peuvent entraîner de nouvelles tentatives, ce qui génère des frais supplémentaires pour les requêtes et le temps d'exécution.

Remarque : les résultats de cette vérification sont actualisés automatiquement plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Les modifications peuvent apparaître simplement au bout de quelques heures.

Sécurité

Améliorez la sécurité de votre application en corrigeant les failles, en activant différentes fonctionnalités de sécurité AWS et en vérifiant vos autorisations.

Groupes de sécurité – Ports spécifiques sans restriction (gratuit)

Analyse les groupes de sécurité pour détecter des règles permettant un accès sans restriction (0.0.0.0/0) à des ports spécifiques. Ce type d'accès accroît les risques d'actions malveillantes (piratage, attaques par déni de service, perte de données). Les ports présentant les risques les plus élevés sont indiqués en rouge, ceux pour lesquels le risque est moins élevé en jaune. Les ports indiqués en vert sont généralement utilisés par des applications imposant un accès sans restriction, par exemple HTTP et SMTP.

Si vous avez volontairement configuré vos groupes de sécurité de cette manière, nous vous recommandons d'appliquer des mesures de sécurité supplémentaires à votre infrastructure (par exemple des tables IP).

Groupes de sécurité – Accès sans restriction

Analyse les groupes de sécurité pour détecter des règles permettant un accès sans restriction à une ressource. Ce type d'accès accroît les risques d'actions malveillantes (piratage, attaques par déni de service, perte de données).

Utilisation d'AWS IAM (gratuit)

Analyse votre utilisation d'AWS Identity and Access Management (IAM). Vous pouvez utiliser IAM pour créer des utilisateurs, des groupes et des rôles dans AWS, ainsi que des autorisations permettant de contrôler l'accès aux ressources AWS.

Autorisations relatives aux compartiments Amazon S3 (gratuit)

Recherche les compartiments Amazon Simple Storage Service (Amazon S3) dont les autorisations permettent un libre accès. Les autorisations de compartiments permettant à tous les utilisateurs d'avoir un accès de type Liste peuvent entraîner des coûts plus importants que prévu si les objets présents dans le compartiment sont répertoriés de façon fréquente par des utilisateurs que vous n'aviez pas envisagés. Les autorisations relatives aux compartiments et permettant à tous les utilisateurs d'avoir un accès de type Téléchargement/Suppression génèrent une faille potentielle de sécurité, car n'importe quel utilisateur peut ajouter, modifier ou supprimer des éléments d'un compartiment. Cette vérification examine les autorisations explicites des compartiment et les politiques associées aux compartiments susceptibles d'annuler ces autorisations.

Authentification multi-facteurs sur le compte racine (gratuit)

Analyse le compte racine et vous avertit si l'authentification multi-facteurs (Multi-Factor Authentication, MFA) n'est pas activée. Pour une sécurité renforcée, nous vous conseillons de protéger votre compte en activant le système MFA. Il impose aux utilisateurs de saisir un code d'authentification unique depuis leur matériel ou périphérique virtuel MFA avant toute interaction avec la console AWS et les services Web associés.

Risque lié à l'accès aux groupes de sécurité Amazon RDS

Analyse les configurations des groupes de sécurité Amazon Relational Database Service (Amazon RDS) et vous avertit lorsqu'une règle de groupe de sécurité est susceptible d'accorder un accès trop vaste à votre base de données. La configuration recommandée pour les règles de groupe de sécurité consiste à autoriser l'accès à partir de certains groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) ou de certaines adresses IP uniquement.

Journalisation AWS CloudTrail

Analyse votre utilisation d'AWS CloudTrail. CloudTrail permet de gagner en visibilité sur l'activité de votre compte AWS en enregistrant des informations relatives aux appels d'API AWS effectués sur le compte. A l'aide de ces fichiers journaux, vous pouvez, par exemple, déterminer quelles actions un utilisateur en particulier a effectuées sur une période donnée, ou quels utilisateurs ont lancé des actions concernant une certaine ressource au cours de la période spécifiée. CloudTrail génère les fichiers journaux dans un compartiment Amazon Simple Storage Service (Amazon S3) et doit donc disposer d'autorisations en écriture pour ce compartiment.

Jeux d'enregistrements de ressources SPF et Amazon Route 53

Vérifie qu'un jeu d'enregistrements de ressources SPF existe pour chaque jeu d'enregistrements de ressources MX. Un enregistrement SPF (Sender Policy Framework) publie la liste des serveurs autorisés à envoyer des e-mails pour votre domaine, ce qui contribue à réduire la quantité de courrier indésirable en détectant et bloquant les usurpations d'adresses e-mail.

Sécurité des écouteurs ELB

Contrôle l'existence d'équilibreurs de charge possédant des écouteurs n'utilisant pas de configuration de sécurité recommandée pour les communications chiffrées. AWS recommande l’utilisation d’un protocole sécurisé (HTTPS ou SSL), des politiques de sécurité à jour ainsi que des chiffrages et des protocoles sûrs. Lorsque vous utilisez un protocole sûr pour une connexion frontale, (client vers équilibreur de charge), les requêtes sont cryptées entre vos clients et l’équilibreur de charge, ce qui est plus sûr. Elastic Load Balancing fournit des politiques de sécurité prédéfinies contenant des chiffrages et des protocoles respectant les meilleurs pratiques AWS en matière de sécurité. De nouvelles versions des stratégies prédéfinies sortent lorsque de nouvelles configurations deviennent disponibles. Cette vérification vérifie actuellement le type Classic Load Balancer au sein du service ELB service. Elle n'inclut pas les autres types ELB (Application Load Balancer, Network Load Balancer).

Groupes de sécurité ELB

Contrôle l'existence d'équilibreurs de charge avec un groupe de sécurité manquant ou donnant accès à des ports non configurés pour cet équilibreur de charge. Si un groupe de sécurité associé à un équilibreur de charge est détecté, l’équilibreur de charge ne fonctionne pas comme prévu. Si un groupe de sécurité permet l'accès à des ports qui ne sont pas configurés pour l'équilibreur de charge, le risque de perte de données ou d'attaques malveillantes augmente. Cette vérification vérifie actuellement le type Classic Load Balancer au sein du service ELB service. Elle n'inclut pas les autres types ELB (Application Load Balancer, Network Load Balancer).

Certificats SSL personnalisés Amazon CloudFront dans le magasin de certificats IAM

Contrôle le magasin de certificats IAM à la recherche de certificats SSL de noms de domaines CloudFront alternatifs et vous alerte s'ils arrivent à expiration, arrivent bientôt à expiration, utilisent un chiffrement obsolète ou incorrectement configurés pour leur distribution. Lorsqu’un certificat personnalisé pour un nom de domaine alternatif expire, les navigateurs qui affichent votre contenu CloudFront peuvent afficher un message d’avertissement concernant la sécurité de votre site Web. Les certificats cryptés à l’aide de l’algorithme de hachage SHA-1 sont considérés comme obsolètes par les navigateurs tels que Chrome et Firefox. Si un certificat ne contient pas de noms de domaine correspondant au nom de domaine d'origine ou au nom de domaine de l'en-tête Hôte des requêtes utilisateur, CloudFront retourne un code d'état HTTP 502 (mauvaise passerelle) à l'utilisateur.

Certificat SSL Amazon CloudFront sur le serveur d'origine

Examine les distributions d'origines personnalisées CloudFront de l'utilisateur, et vérifie si les certificats d'origine sont correctement configurés. Un certificat mal configuré est un certificat qui expire dans les 7 prochains jours, qui a déjà expiré ou qui utilise un algorithme de signature faible SHA1.

Exposed Access Keys

Contrôle les référentiels de code les plus populaires, à la recherche de clés d'accès exposées publiquement et d'utilisations inhabituelles d'Amazon Elastic Compute Cloud (Amazon EC2) pouvant être dues à une clé d'accès compromise. Une clé d’accès est composée d’une ID de clé d’accès et de la clé d’accès secrète associée. Les clés d’accès exposées créent des risques de sécurité pour votre compte et les autres utilisateurs, peuvent occasionner des frais supplémentaires à cause d’activités non autorisées et d’abus et enfreignent l’Accord client AWS. Si votre clé d’accès est exposée, prenez des mesures immédiates pour sécuriser votre compte. Pour protéger davantage votre compte contre des frais excessifs, AWS limite temporairement votre capacité à créer certaines ressources AWS. Cela ne sécurise pas votre compte, mais limite partiellement l'utilisation non autorisée pour laquelle vous pourriez être facturé. 

Remarque : cette vérification ne garantit pas l'identification Exposed Access Keys ou des instances EC2 compromises. Vous êtes le seul responsable de la sécurité de vos clés d'accès et de vos ressources AWS.

Instantanés publics Amazon EBS (gratuit)

Vérifie les paramètres de permission pour vos instantanés de volume Amazon Elastic Block Store (Amazon EBS) et vous alerte si des instantanés sont marqués comme étant publics. Lorsque vous rendez un instantané public, vous donnez à tous les comptes et utilisateurs AWS l’accès à toutes les données de l’instantané. Si vous souhaitez partager un instantané avec des utilisateurs ou des comptes précis, marquez-le comme privé, puis spécifiez les utilisateurs ou comptes avec lesquels vous voulez partager les données de l'instantané.

Instantanés publics Amazon RDS (gratuit)

Vérifie les paramètres de permission pour vos instantanés de base de données Amazon Relational Database Service (Amazon RDS) et vous alerte si des instantanés sont marqués comme étant publics. Lorsque vous rendez un instantané public, vous donnez à tous les comptes et utilisateurs AWS l’accès à toutes les données de l’instantané. Si vous souhaitez partager un instantané avec des utilisateurs ou des comptes précis, marquez-le comme privé, puis spécifiez les utilisateurs ou comptes avec lesquels vous voulez partager les données de l'instantané.

Stratégie de mots de passe AWS IAM

Analyse la stratégie de mots de passe de votre compte et vous avertit lorsque celle-ci n'est pas activée ou si les exigences relatives au contenu des mots de passe n'ont pas été activées. Les exigences quant au contenu des mots de passe permettent de renforcer la sécurité globale de votre environnement AWS en imposant la création de mots de passe forts par les utilisateurs. Lorsque vous créez ou modifiez une stratégie de mots de passe, les nouveaux utilisateurs sont immédiatement soumis à cette stratégie, mais il n'est pas demandé aux utilisateurs existants de modifier leur mot de passe.

Rotation des clés d'accès AWS IAM

Recherche les clés d'accès IAM actives qui n'ont pas subi de rotation lors des 90 jours précédents. Lorsque vous effectuez la rotation de vos clés d’accès régulièrement, vous réduisez les chances qu’une clé compromise puisse être utilisée à votre insu pour accéder aux ressources. Pour les besoins de cette vérification, la dernière date et heure de rotation correspond au moment où la clé d’accès a été créée ou activée pour la dernière fois. Le numéro et la date de la clé d'accès proviennent des informations access_key_1_last_rotated et access_key_2_last_rotated du rapport de certification IAM le plus récent.

Fonctions AWS Lambda utilisant des environnements d'exécution obsolètes

Recherche les fonctions Lambda qui sont configurées pour utiliser un environnement d'exécution sur le point d'être obsolète ou qui l'est déjà. Les environnements d'exécution ne sont pas éligibles pour les mises à jour de sécurité ou le support technique.

Remarque : les résultats de cette vérification sont actualisés automatiquement plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Les modifications peuvent apparaître simplement au bout de quelques heures.

Tolérance aux pannes

Optimisez la disponibilité et la redondance de votre application AWS en tirant parti du dimensionnement automatique (Auto Scaling), des vérifications de l'état, du déploiement multi-AZ et des capacités de sauvegarde.

Instantanés Amazon EBS

Vérifie l'ancienneté des instantanés de volumes Amazon Elastic Block Store (Amazon EBS) (disponibles ou en cours d'utilisation). Même si les volumes Amazon EBS font l'objet de réplications, des défaillances peuvent se produire. Les instantanés sont stockés de manière persistante dans Amazon Simple Storage Service (Amazon S3) pour garantir un stockage durable et permettre la récupération à un instant donné.

Équilibre des zones de disponibilité Amazon EC2

Analyse la répartition des instances Amazon Elastic Compute Cloud (Amazon EC2) entre les différentes zones de disponibilité d'une région. Les zones de disponibilité sont des emplacements distincts, qui sont conçus pour être isolés des défaillances survenant dans les autres zones de disponibilité et fournir une connectivité réseau à faible latence et peu coûteuse aux autres zones de disponibilité de la même région. Lancer vos instances sur plusieurs zones de disponibilité au sein d'une même région contribue à protéger vos applications contre le risque de point unique de défaillance.

Optimisation des équilibreurs de charge

Vérifie la configuration de vos programmes d'équilibrage de charge. Vous pouvez ainsi augmenter le niveau de tolérance aux pannes sur Amazon Elastic Compute Cloud (EC2) tout en utilisant Elastic Load Balancing ; nous vous recommandons d'exécuter un nombre identique d'instances sur plusieurs zones de disponibilité de la même région. Chaque programme d'équilibrage de charge configuré augmente les frais : cette vérification permet donc également d'optimiser les coûts.

Redondance du tunnel VPN

Vérifie le nombre de tunnels actifs pour chacun de vos VPN. Un VPN doit disposer à tout moment de deux tunnels configurés afin de garantir une redondance en cas de panne ou de maintenance programmée des périphériques situés au point de terminaison AWS. Pour certains équipements matériels, seul un tunnel peut être actif (voir le Guide de l’administrateur réseau Amazon Virtual Private Cloud Network). Des frais peuvent s'appliquer à un VPN même s'il ne dispose pas de tunnels actifs.

Ressources du groupe Auto Scaling

Vérifie la disponibilité des ressources associées aux configurations de lancement et à vos groupes Auto Scaling. Les groupes Auto Scaling renvoyant vers des ressources indisponibles ne peuvent pas lancer de nouvelles instances Amazon Elastic Compute Cloud (Amazon EC2). Lorsqu'elle est bien configurée, la fonctionnalité Auto Scaling assure une augmentation sans heurts du nombre d'instances Amazon EC2 durant les pics de demande et une diminution automatique lorsque la demande est plus modérée. Les configurations de lancement et les groupes Auto Scaling renvoyant vers des ressources indisponibles ne fonctionnent pas comme prévu.

Sauvegardes Amazon RDS

Recherche les sauvegardes automatisées des instances DB Amazon RDS. Par défaut, la durée de conservation des sauvegardes est de 1 jour. Les sauvegardes réduisent le risque de perte de données et permettent une récupération à un instant donné.

Déploiements multi-AZ Amazon RDS

Recherche les instances DB qui sont déployées dans une seule zone de disponibilité (AZ). Les déploiements multi-AZ permettent de renforcer la disponibilité en répliquant les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. En cas de maintenance programmée des bases de données ou de défaillance d'une instance DB ou d'une zone de disponibilité, Amazon RDS effectue un basculement automatique vers l'instance de secours. Les opérations de base de données peuvent ainsi reprendre rapidement, sans intervention de l'administrateur. Amazon RDS ne permet pas le déploiement multi-AZ des instances Microsoft SQL Server ; cette vérification ne prend donc pas en compte ce type d'instances.

Vérification de l'état des groupes Auto Scaling

Analyse la configuration des vérifications de l'état des groupes Auto Scaling. Si vous utilisez Elastic Load Balancing pour un groupe Auto Scaling, il est recommandé d'activer les vérifications de l'état Elastic Load Balancing. Si aucune vérification de l'état Elastic Load Balancing n'est utilisée, les opérations Auto Scaling peuvent uniquement s'appuyer sur l'état de l'instance Amazon Elastic Compute Cloud (Amazon EC2), et non sur celui de l'application qui s'exécute sur cette instance.

Journalisation pour les compartiments Amazon S3

Vérifie la configuration de la connexion aux compartiments Amazon Simple Storage Service (Amazon S3). Lorsque la connexion à l’accès du serveur est activée, les journaux d’accès sont livrés toutes les heures à un compartiment que vous choisissez. Un enregistrement de journal d’accès contient des détails relatifs à chaque demande, tels que le type de requête, ainsi que l'heure et la date auxquelles la demande a été effectuée. Par défaut, la consignation du compartiment n'est pas activée ; vous devez activer la consignation si vous voulez réaliser des audits de sécurité ou en savoir plus sur les utilisateurs et les schémas d'utilisation.

Délégation du serveur de noms Amazon Route 53

Identifie les zones hébergées Amazon Route 53 pour lesquelles le bureau d'enregistrement de votre domaine ou votre DNS n'utilisent pas les bons serveurs de noms Route 53. Lorsque vous créez une zone hébergée, Route 53 lui attribue un ensemble de délégation composé de quatre serveurs de noms. Les noms de ces serveurs sont ns-###.awsdns-##.com, .net, .org et .co.uk ; ### et ## représentent généralement des nombres différents. Pour que Route 53 puisse acheminer des requêtes DNS vers votre domaine, vous devez mettre à jour la configuration de serveur de nom fournie à votre bureau d'enregistrement en supprimant les serveurs de noms attribués par celui-ci, puis en ajoutant les quatre serveurs de noms composant l'ensemble de délégation Route 53. Pour une disponibilité maximale, assurez-vous d'ajouter tous les serveurs de noms Route 53.

Jeux d'enregistrements de ressources TTL Amazon Route 53

Cette vérification identifie les jeux d'enregistrements de ressources pouvant bénéficier d'une valeur inférieure pour leur durée de vie (TTL). La durée de vie (TTL) est la durée en secondes pendant laquelle les résolveurs DNS gardent en cache un jeu d'enregistrements de ressources. Lorsque vous indiquez une TTL longue, il faut plus longtemps aux résolveurs DNS pour demander des enregistrements DNS mis à jour. Cela peut entraîner des délais superflus de redirection de trafic (par exemple, lorsque le basculement DNS détecte une défaillance au niveau de l'un des points de terminaison et réagit en conséquence).

Jeux d'enregistrements de ressources de basculement pour Amazon Route 53

Recherche d'éventuels jeux d'enregistrements de ressources de basculement Amazon Route 53 mal configurés. Lorsque les vérifications de l'état d'Amazon Route 53 révèlent que les ressources principales sont défectueuses, Amazon Route 53 utilise un jeu d'enregistrements de ressources secondaire pour répondre aux requêtes. Pour que ce basculement fonctionne, vous devez veiller à bien configurer les jeux d'enregistrements de ressources principaux et secondaires.

Vérifications de l'état supprimées pour Amazon Route 53

Recherche d'éventuels jeux d'enregistrements de ressources associés à des vérifications de l'état qui ont été supprimées. Amazon Route 53 ne vous empêche pas de supprimer une vérification de l'état associée à un ou plusieurs jeux d'enregistrements de ressources. Si vous supprimez une vérification de l'état sans mettre à jour les jeux d'enregistrements de ressources associés, l'acheminement des requêtes DNS destinées à votre configuration de basculement DNS ne fonctionnera pas comme prévu. Cela affectera l'acheminement des requêtes DNS destinées à votre configuration de basculement DNS.

Drainage de la connexion ELB

Recherche les équilibreurs de charge dont le drainage de la connexion n'est pas activé. Lorsque le drainage de la connexion est désactivé et que vous supprimez (dés-enregistrez) une instance Amazon EC2 d’un équilibreur de charge, l’équilibreur de charge arrête de router le trafic vers cette instance et ferme la connexion. Lorsque le drainage de la connexion est activé, l'équilibreur de charge arrête d'envoyer de nouvelles requêtes à l'instance dés-enregistrée mais garde la connexion ouverte pour servir les requêtes actives. Cette vérification vérifie actuellement le type Classic Load Balancer au sein du service ELB service. Elle n'inclut pas les autres types ELB (Application Load Balancer, Network Load Balancer).

Équilibrage de charge entre zones ELB

Recherche les équilibreurs de charge dont l'équilibrage entre zones n'est pas activé. L’équilibrage de charge entre zones distribue les requêtes de manière équitable entre toutes les instances dorsales, quelle que soit la zone de disponibilité des instances. L’équilibrage de charges entre zones réduit la distribution non équitable du trafic lorsque les clients mettent en cache des informations DNS incorrectes ou lorsque vous disposez d’un nombre d’instances inégal dans chaque zone de disponibilité (par exemple, si vous avez désactivé certaines instances pour des raisons de maintenance). L'équilibrage de charge sur plusieurs zones facilite le déploiement et la gestion d'applications sur plusieurs zones de disponibilité. Cette vérification vérifie actuellement le type Classic Load Balancer au sein du service ELB service. Elle n'inclut pas les autres types ELB (Application Load Balancer, Network Load Balancer).

Gestion des versions des compartiments Amazon S3

Contrôle l'existence de compartiments Amazon Simple Storage Service dont la gestion des versions est désactivée ou en suspens. Lorsque le versioning est activé, vous pouvez récupérer facilement les objets perdus suite à des actions involontaires d'utilisateurs et des défaillances d'applications. Le versioning permet de préserver, récupérer et restaurer toutes les versions de chacun des objets stockés dans un compartiment. Vous pouvez utiliser des règles de cycle de vie pour gérer toutes les versions de vos objets et de leurs coûts associés en archivant automatiquement les objets dans la classe de stockage Glacier ou en les supprimant au bout d’une durée définie. Vous pouvez également choisir d'exiger une authentification multi-facteurs pour toute suppression d'objet ou modification de configuration de vos compartiments.

Redondance de connexion AWS Direct Connect

Vérifie s'il existe des régions avec une seule connexion AWS Direct Connect. La connectivité à vos ressources AWS doit disposer de deux connexions Direct Connect configurées en permanence pour fournir une redondance au cas où un appareil est indisponible.

Redondance de point d'accès AWS Direct Connect

Vérifie s'il existe des passerelles réseau privé virtuelles dotées d'interfaces virtuelles (VIF) AWS Direct Connect qui ne sont pas configurées sur au moins deux connexions AWS Direct Connect. La connectivité à votre passerelle réseau privé virtuel doit disposer de plusieurs interfaces virtuelles configurées sur plusieurs connexions et emplacements Direct Connect pour fournir une redondance au cas où un appareil ou un emplacement est indisponible.

Redondance d'interface virtuelle AWS Direct Connect

Vérifie s'il existe des passerelles réseau privé virtuelles dotées d'interfaces virtuelles (VIF) AWS Direct Connect qui ne sont pas configurées sur au moins deux connexions AWS Direct Connect. La connectivité à votre passerelle réseau privé virtuel doit disposer de plusieurs interfaces virtuelles configurées sur plusieurs connexions et emplacements Direct Connect pour fournir une redondance au cas où un appareil ou un emplacement est indisponible.

Accessibilité de l'instance de base de données Amazon Aurora

Recherche les cas où un cluster de base de données Amazon Aurora possède des instances privées et publiques. Lorsque votre instance principale subit une défaillance, une réplique peut être promue instance principale. Si cette réplique est privée, les utilisateurs qui ne disposent que d’un accès public ne pourront plus se connecter à la base de données après la défaillance. Disposer de la même accessibilité pour toutes les instances de base de données dans un même cluster est considéré comme une bonne pratique.

Service EC2Config pour les instances Windows EC2

Vérifie le service EC2Config pour les instances Windows Amazon EC2 et vous avertit si l'agent EC2Config est obsolète ou n'est pas configuré correctement. L’utilisation de la dernière version d’EC2Config active et optimise la gestion logicielle du point de terminaison. Le pilote PV effectue des vérifications afin de rester à jour en disposant du logiciel de point de terminaison le plus sûr et le plus fiable.

Remarque : cette vérification affiche des informations pour les instances EC2 des régions suivantes : Virginie du Nord (us-east-1), Californie du Nord (us-west-1), Oregon (us-west-2), Irlande (eu-west-1), Sao Paolo (sa-east-1), Tokyo (ap-northeast-1), Singapour (ap-southeast-1) et Sydney (ap-southeast-2).

Fonctions AWS Lambda activées sur VPC sans redondance multi-AZ

Recherche les fonctions activées sur VPC qui sont vulnérables aux interruptions de service dans une zone de disponibilité unique. Pour une grande disponibilité, il est recommandé de connecter les fonctions activées sur VPC à plusieurs zones de disponibilité.

Remarque : les résultats de cette vérification sont actualisés automatiquement plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Les modifications peuvent apparaître simplement au bout de quelques heures.

Performances

Améliorez les performances de votre service en vérifiant vos limites de service, en tirant pleinement parti du débit alloué et en repérant les instances surexploitées.

Instances Amazon EC2 surexploitées

Analyse les instances Amazon Elastic Compute Cloud (Amazon EC2) qui ont été exécutées au cours des 14 derniers jours et vous avertit en cas d'utilisation quotidienne de CPU supérieure à 90 % sur une durée de 4 jours ou plus. Un taux d'utilisation élevé sur une longue durée peut être le signe de performances stables et optimisées, mais cela peut également indiquer qu'une application ne dispose pas des ressources suffisantes. Pour obtenir des données sur l'utilisation quotidienne de la CPU, téléchargez le rapport correspondant à cette vérification.

Configuration de l'association des volumes IOPS provisionnés (SSD) Amazon EBS

Recherche les volumes IOPS provisionnés (SSD) associés à une instance Amazon Elastic Compute Cloud (Amazon EC2) qui n'est pas optimisée pour Amazon EBS. Les volumes IOPS provisionnés d'Amazon Elastic Block Store (Amazon EBS) sont conçus pour fournir les performances prévues uniquement lorsqu'ils sont associés à une instance optimisée pour EBS.

Prolifération des règles de groupes de sécurité EC2

Analyse chaque groupe de sécurité Amazon Elastic Compute Cloud (EC2) et détecte ceux présentant un nombre de règles trop élevé. Si un groupe de sécurité est associé à un trop grand nombre de règles, ses performances peuvent s'en trouver affectées.

Pour en savoir plus, consultez Groupes de sécurité Amazon EC2.

Prolifération des règles de groupes de sécurité EC2 appliquées à une instance

Recherche les instances Amazon Elastic Compute Cloud (EC2) associées à un grand nombre de règles de groupes de sécurité. Si une instance est associée à un grand nombre de règles, ses performances peuvent s'en trouver diminuées.

Jeux d'enregistrements de ressources d'alias pour Amazon Route 53

Cette vérification identifie les jeux d'enregistrements de ressources acheminant des requêtes DNS vers des ressources AWS, et qui peuvent être transformés en jeux d'enregistrements de ressources alias. Un jeu d'enregistrements de ressources alias est un type d'enregistrement Amazon Route 53 spécifique qui transmet des requêtes DNS à une ressource AWS (par exemple, un programme d'équilibrage de charge Elastic Load Balancing ou un compartiment Amazon S3) ou à un autre jeu d'enregistrements de ressources Route 53. Lorsque vous utilisez des jeux d'enregistrements de ressources alias, Route 53 achemine gratuitement vos requêtes DNS vers des ressources AWS.

Volumes magnétiques Amazon EBS surexploités

Recherche les volumes magnétiques Amazon Elastic Block Store (EBS) susceptibles d'être surexploités et pouvant bénéficier d'une configuration plus efficace. Les volumes magnétiques sont conçus pour les applications à taux d'E/S modérés ou transmis en paquets et le taux d'E/S par seconde n'est pas garanti. Ils fournissent en moyenne 100 opérations d'E/S par seconde, avec la possibilité de transmettre, au mieux, quelques centaines d'opérations d'E/S par seconde en paquets. Pour obtenir des opérations d'E/S cohérentes plus élevées, vous pouvez utiliser un volume d’IOPS provisionnés (SSD). Pour des opérations d'E/S par pic, vous pouvez utiliser un volume à usage général (SSD).

Optimisation de la diffusion de contenu Amazon CloudFront

Recherche des cas dans lesquels les transferts de données depuis les compartiments Amazon Simple Storage Service (Amazon S3) pourraient être accélérés en utilisant Amazon CloudFront, le service de diffusion de contenu mondiale d'AWS. Lorsque vous configurez Amazon CloudFront pour diffuser votre contenu, les requêtes concernant ce contenu sont automatiquement acheminées vers l'emplacement périphérique le plus proche où ce contenu est mis en cache. Le contenu est ainsi diffusé aux utilisateurs avec des performances optimales. Si la proportion de transferts de données sortants est particulièrement élevée pour un compartiment, il serait sans doute avantageux d'utiliser Amazon CloudFront pour diffuser les données.

Transmission des en-têtes Amazon CloudFront et taux de succès de cache

Vérifie les en-têtes de requête HTTP que CloudFront est en train de recevoir depuis le client et transmet à votre serveur d'origine. Certaines en-têtes, telles que Date ou User-Agent, réduisent significativement le taux de succès de cache (la proportion de requêtes qui sont servies depuis un cache périphérique CloudFront). Ce phénomène augmente la charge sur votre serveur d'origine et réduit les performances car CloudFront doit faire suivre plus de requêtes vers votre serveur d'origine.

Optimisation du débit Amazon EC2 vers Amazon EBS

Contrôle l'existence de volumes Amazon EBS dont les performances pourraient être affectées par le débit maximal de l'instance Amazon EC2 à laquelle ils sont rattachés. Pour optimiser les performances, vous devez vous assurer que le débit maximal d'une instance EC2 est supérieur au débit maximal agrégé des volumes EBS liés.

Noms de domaine alternatifs Amazon CloudFront

Contrôle les distributions CloudFront, à la recherche de noms de domaine alternatifs présentant des paramètres DNS incorrects. Si une distribution CloudFront comprend des noms de domaine alternatifs, la configuration DNS pour les domaines doit router les requêtes DNS vers cette distribution.

Limites de service

Recherche les utilisations de services pour lesquels le taux d'utilisation dépasse 80 % des limites autorisées. Les valeurs sont établies à partir d'un instantané : il se peut donc que le niveau d'utilisation actuel soit différent. Il faut parfois compter 24 heures pour que les données relatives aux limites et à l'utilisation prennent en compte les modifications apportées.

Le tableau suivant indique les restrictions que Trusted Advisor contrôle.

Service
Limites
Amazon DynamoDB
(DynamoDB
Capacité en lecture
Capacité en écriture
Amazon Elastic Block Store
(Amazon EBS)

Instantanés actifs
Volume de stockage de l'objectif général SSD (gp3) (disponible pour IAD, BJS et GovCloud)
Volume de stockage des IOPS provisionnés SSD (io2) (disponible uniquement pour IAD. Les volumes de type io2 ne sont pas disponibles dans GovCloud ou en Chine)
Stockage sur volume magnétique (standard)
Stockage sur volume HDD à froid (sc1)
Stockage sur volume HDD à débit optimisé (st1)

Amazon Elastic Compute Cloud
(Amazon EC2)
Adresses IP élastiques
Instances réservées – limite d'achat (mensuelle)
Instances à la demande
Amazon Kinesis Streams Partitions
Amazon Relational Database Service
(Amazon RDS)
Clusters
Groupes de paramètres de cluster
Rôles de cluster
Instances DB
Groupes de paramètres DB
Groupes de sécurité DB
Instantanés DB par utilisateur
Abonnements aux événements
Autorisations maximales par groupe de sécurité
Groupes d'options
Réplicas en lecture par expert
Instances réservées
Quota de stockage (Gio)
Groupes de sous-réseaux
Sous-réseaux par groupe de sous-réseaux
Amazon Route 53
(Route 53)
Zones hébergées par compte
Nombre maximum de vérifications de l'état par compte
Ensembles de délégations réutilisables par compte
Stratégies de trafic par compte
Instances de stratégie de trafic par compte
Amazon Simple Email Service
(Amazon SES)
Quota d'envoi quotidien
Amazon Virtual Private Cloud
(Amazon VPC)
 
Adresses IP élastiques
Passerelles Internet
VPC
Auto Scaling
Groupes Auto Scaling
Configurations de lancement
AWS CloudFormation Piles
Elastic Load Balancing (ELB)
Application Load Balancer
Network Load Balancer
Classic Load Balancer
Identity and Access Management (IAM)
Groupes
Profils d'instance
Stratégies
Rôles
Certificats de serveur
Utilisateurs

Remarque : Si vous atteignez le quota de service pour une Région AWS, vous pouvez demander une augmentation à partir de la console Service Quotas. En savoir plus