AWS Trusted Advisor propose des bonnes pratiques (ou vérifications) dans cinq catégories : optimisation des coûts, sécurité, tolérance aux pannes, performances et limites de service. L’état de la vérification est affiché à l’aide d’un code couleur sur la page du tableau de bord :

  • Rouge : action recommandée
  • Jaune : enquête recommandée
  • Vert : aucun problème détecté

Pour chaque vérification, vous pouvez consulter une description détaillée des bonnes pratiques recommandées, un ensemble de critères d’alerte, un guide d’actions à prendre et une liste de ressources utiles sur le sujet.

Sept vérifications Trusted Advisor sont mises à la disposition de tous les clients AWS pour les aider à améliorer la sécurité et les performances : limites de service, permissions S3 Bucket, groupes de sécurité – Ports spécifiques sans restriction, utilisation d'IAM, MFA sur le compte racine, instantanés publics EBS et instantanés publics RDS.

Console2

Découvrez comment réaliser des économies en éliminant les ressources inutilisées ou inactives, ou en vous engageant sur une capacité réservée.

Analyse l'historique de consommation des ressources de calcul Amazon Elastic Compute Cloud (Amazon EC2) et calcule un nombre optimal d'instances réservées aux frais initiaux partiels. Les recommandations sont établies sur la base de l'utilisation heure par heure au cours du dernier mois calendaire, pour tous les comptes de facturation consolidée. Pour en savoir plus sur la manière dont les recommandations sont établies, consultez la section « Reserved Instance Optimization Check Questions » de la FAQ Trusted Advisor.

Grâce aux instances réservées, vous effectuez un paiement unique peu élevé pour bénéficier d'une réduction importante sur les frais horaires d'utilisation de l'instance. Pour réduire au maximum les coûts, le système de facturation applique automatiquement les tarifs des instances réservées en premier.

Analyse les instances Amazon Elastic Compute Cloud (Amazon EC2) qui ont été exécutées au cours des 14 derniers jours et vous avertit en cas d'utilisation quotidienne de CPU inférieure ou égale à 10 % et d'E/S réseaux inférieures ou égales à 5 Mo sur une durée de 4 jours ou plus. Les instances en cours d'exécution génèrent des frais d'utilisation horaires. Bien que certains scénarios imposent un faible niveau d'utilisation de par leur conception, il est souvent possible de réduire vos coûts en agissant sur le nombre et la taille de vos instances.

Les économies mensuelles sont estimées sur la base du taux d'utilisation actuel des instances à la demande et d'une estimation du nombre de jours de sous-exploitation potentielle de l'instance. Le montant réel des économies réalisées peut varier selon les instances utilisées (réservées ou Spot) ou si l'instance ne s'exécute qu'une partie de la journée. Pour obtenir des données sur l'utilisation quotidienne, téléchargez le rapport correspondant à cette vérification.

Analyse la configuration d'Elastic Load Balancing pour identifier les programmes d'équilibrage de charge qui ne sont pas utilisés de façon active. Chaque programme d'équilibrage de charge configuré augmente les frais. Si un programme d'équilibrage de charge n'est pas associé à des instances de back-end ou si le trafic réseau est fortement limité, ce programme n'est pas utilisé de manière efficace.

Analyse les configurations de vos volumes Amazon Elastic Block Store (Amazon EBS) et vous avertit lorsque des volumes semblent être sous-utilisés. Les volumes sont facturés dès leur création. Si un volume reste dissocié ou présente une très faible activité en écriture (à l'exception des volumes de démarrage) pendant un certain temps, cela signifie probablement qu'il est inutilisé.

Recherche les adresses IP élastiques (Elastic IP, EIP) qui ne sont pas associées à une instance Amazon Elastic Compute Cloud (Amazon EC2) en cours d'exécution. Les adresses EIP sont des adresses IP statiques conçues pour le cloud computing dynamique. Contrairement aux adresses IP statiques classiques, les adresses EIP peuvent masquer l'échec d'une instance ou d'une zone de disponibilité en réassociant une adresse IP publique à une autre instance de votre compte. Une somme minime est facturée pour toute adresse EIP qui n'est associée à aucune instance en cours d'exécution.

Analyse la configuration d'Amazon Relational Database Service (Amazon RDS) pour détecter toute instance DB semblant être inactive. Si aucune connexion n'a été effectuée vers une instance DB depuis longtemps, vous pouvez supprimer cette instance pour réduire vos coûts. Si vous avez besoin de stocker les données figurant sur l'instance de manière permanente, vous pouvez opter pour des options plus économiques, par exemple réaliser et conserver un instantané de la base de données. Les instantanés de base de données créés manuellement sont conservés jusqu'à ce que vous décidiez de les supprimer.

Recherche d'éventuels jeux d'enregistrements de ressources de latence Amazon Route 53 dont la configuration n'est pas efficace. Pour permettre à Amazon Route 53 d'acheminer les requêtes vers la région présentant la latence réseau la moins élevée, nous vous conseillons de créer des jeux d'enregistrements de ressources de latence associés à un nom de domaine précis (comme exemple.com) dans différentes régions. Si vous ne créez qu'un seul ensemble d'enregistrements de ressources de latence par nom de domaine, toutes les requêtes seront acheminées vers la même région, ce qui entraînera des frais supplémentaires liés à la latence sans que vous en retiriez aucun avantage. 

Vérifie l'existence d'instances réservées Amazon EC2 arrivant à expiration dans les 30 prochains jours ou arrivés à expiration au cours des 30 derniers jours. Les instances réservées ne se renouvellent pas automatiquement ; vous pouvez continuer à utiliser une instance EC2 couverte par la réservation sans interruption, mais vous serez facturé des frais A la demande. Les nouvelles instances réservées peuvent disposer des mêmes paramètres que les instances expirées, ou vous pouvez acheter des instances réservées disposant de paramètres différents.
Les économies mensuelles estimées que nous présentons correspondent à la différence entre les taux A la demande et Instance réservée pour le même type d’instance.

Contrôle la présence de clusters semblant être sous-utilisés dans votre configuration Amazon Redshift. Si un cluster Amazon Redshift n’a pas eu de connexion durant une période prolongée ou utilise une faible partie du CPU, vous pouvez utiliser des options moins chères, comme diminuer la taille du cluster ou éteindre le cluster et prendre un instantané final. Les instantanés finaux sont retenus même après la suppression de votre cluster.

Améliorez la sécurité de votre application en corrigeant les failles, en activant différentes fonctionnalités de sécurité AWS et en vérifiant vos autorisations.

Analyse les groupes de sécurité pour détecter des règles permettant un accès sans restriction (0.0.0.0/0) à des ports spécifiques. Ce type d'accès accroît les risques d'actions malveillantes (piratage, attaques par déni de service, perte de données). Les ports présentant les risques les plus élevés sont indiqués en rouge, ceux pour lesquels le risque est moins élevé en jaune. Les ports indiqués en vert sont généralement utilisés par des applications imposant un accès sans restriction, par exemple HTTP et SMTP.
Si vous avez volontairement configuré vos groupes de sécurité de cette manière, nous vous recommandons d'appliquer des mesures de sécurité supplémentaires à votre infrastructure (par exemple des tables IP).

Analyse les groupes de sécurité pour détecter des règles permettant un accès sans restriction à une ressource. Ce type d'accès accroît les risques d'actions malveillantes (piratage, attaques par déni de service, perte de données).

Analyse votre utilisation d'AWS Identity and Access Management (IAM). Vous pouvez utiliser IAM pour créer des utilisateurs, des groupes et des rôles dans AWS, ainsi que des autorisations permettant de contrôler l'accès aux ressources AWS.

Recherche les compartiments Amazon Simple Storage Service (Amazon S3) dont les autorisations permettent un libre accès. Les autorisations de compartiments permettant à tous les utilisateurs d'avoir un accès de type Liste peuvent entraîner des coûts plus importants que prévu si les objets présents dans le compartiment sont répertoriés de façon fréquente par des utilisateurs que vous n'aviez pas envisagés. Les autorisations relatives aux compartiments et permettant à tous les utilisateurs d'avoir un accès de type Téléchargement/Suppression génèrent une faille potentielle de sécurité, car n'importe quel utilisateur peut ajouter, modifier ou supprimer des éléments d'un compartiment. Cette vérification examine les autorisations explicites des compartiment et les politiques associées aux compartiments susceptibles d'annuler ces autorisations.

Analyse le compte racine et vous avertit si l'authentification multi-facteurs (Multi-Factor Authentication, MFA) n'est pas activée. Pour une sécurité renforcée, nous vous conseillons de protéger votre compte en activant le système MFA. Il impose aux utilisateurs de saisir un code d'authentification unique depuis leur matériel ou périphérique virtuel MFA avant toute interaction avec la console AWS et les services Web associés.

Analyse la politique de mots de passe de votre compte et vous avertit lorsque celle-ci n'est pas activée ou si les exigences relatives au contenu des mots de passe n'ont pas été activées. Les exigences quant au contenu des mots de passe permettent de renforcer la sécurité globale de votre environnement AWS en imposant la création de mots de passe forts par les utilisateurs. Lorsque vous créez ou modifiez une politique de mots de passe, les nouveaux utilisateurs sont immédiatement soumis à cette politique, mais il n'est pas demandé aux utilisateurs existants de modifier leurs mots de passe.

Analyse les configurations des groupes de sécurité Amazon Relational Database Service (Amazon RDS) et vous avertit lorsqu'une règle de groupe de sécurité est susceptible d'accorder un accès trop vaste à votre base de données. La configuration recommandée pour n'importe quelle règle de groupe de sécurité consiste à autoriser l'accès pour certains groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) ou certaines adresses IP uniquement.

Analyse votre utilisation d'AWS CloudTrail. CloudTrail permet de gagner en visibilité sur l'activité de votre compte AWS en enregistrant des informations relatives aux appels d'API AWS effectués sur le compte. A l'aide de ces fichiers journaux, vous pouvez, par exemple, déterminer quelles actions un utilisateur en particulier a effectuées sur une période donnée, ou quels utilisateurs ont lancé des actions concernant une certaine ressource au cours de la période spécifiée. CloudTrail génère les fichiers journaux dans un compartiment Amazon Simple Storage Service (Amazon S3) et doit donc disposer d'autorisations en écriture pour ce compartiment.

Vérifie qu'un jeu d'enregistrements de ressources SPF existe pour chaque jeu d'enregistrements de ressources MX. Un enregistrement SPF (Sender Policy Framework) publie la liste des serveurs autorisés à envoyer des e-mails pour votre domaine, ce qui contribue à réduire la quantité de courrier indésirable en détectant et bloquant les usurpations d'adresses e-mail.

Contrôle l'existence d'équilibreurs de charge possédant des écouteurs n'utilisant pas de configuration de sécurité recommandée pour les communications cryptées. AWS recommande l’utilisation d’un protocole sécurisé (HTTPS ou SSL), des politiques de sécurité à jour ainsi que des chiffrages et des protocoles sûrs. Lorsque vous utilisez un protocole sûr pour une connexion frontale, (client vers équilibreur de charge), les requêtes sont cryptées entre vos clients et l’équilibreur de charge, ce qui est plus sûr. Elastic Load Balancing fournit des politiques de sécurité prédéfinies contenant des chiffrages et des protocoles respectant les meilleurs pratiques AWS en matière de sécurité. De nouvelles versions des politiques prédéfinies sortent lorsque de nouvelles configurations deviennent disponibles.

Contrôle l'existence d'équilibreurs de charge avec un groupe de sécurité manquant ou donnant accès à des ports non configurés pour cet équilibreur. Si un groupe de sécurité associé à un équilibreur de charge est détecté, l’équilibreur de charge ne fonctionne pas comme prévu. Si un groupe de sécurité permet l’accès à des ports qui ne sont pas configurés pour l’équilibreur de charge, le risque de perte de données ou d’attaques malveillantes augmente.

Contrôle le magasin de certificats IAM à la recherche de certificats SSL de noms de domaines CloudFront alternatifs et vous alerte s’ils arrivent à expiration, arrivent bientôt à expiration, utilisent un chiffrement obsolète ou incorrectement configurés pour leur distribution. Lorsqu’un certificat personnalisé pour un nom de domaine alternatif expire, les navigateurs qui affichent votre contenu CloudFront peuvent afficher un message d’avertissement concernant la sécurité de votre site Web. Les certificats cryptés à l’aide de l’algorithme de hachage SHA-1 sont considérés comme obsolètes par les navigateurs tels que Chrome et Firefox. Si un certificat ne contient pas de noms de domaine correspondant au nom de domaine d’origine ou au nom de domaine de l’en-tête Hôte des requêtes utilisateur, CloudFront retourne un code d’état HTTP 502 (mauvaise passerelle) à l’utilisateur.

Contrôle votre serveur d'origine, à la recherche de certificats SSL arrivés à expiration, sur le point d'expirer ou utilisant un chiffrement obsolète. Si un certificat est expiré, CloudFront répond aux requêtes demandant votre contenu par le code d’état HTTP 502, mauvaise passerelle. Les certificats cryptés à l’aide de l’algorithme de hachage SHA-1 sont considérés comme obsolètes par les navigateurs tels que Chrome et Firefox.

Recherche les clés d’accès IAM actives qui n’ont pas subi de rotation lors des 90 jours précédents. Lorsque vous effectuez la rotation de vos clés d’accès régulièrement, vous réduisez les chances qu’une clé compromise puisse être utilisée à votre insu pour accéder aux ressources. Pour les besoins de cette vérification, la dernière date et heure de rotation correspond au moment où la clé d’accès a été créée ou activée pour la dernière fois. Le numéro et la date de la clé d’accès proviennent des informations access_key_1_last_rotated et access_key_2_last_rotated du rapport de certification IAM le plus récent.

Contrôle les référentiels de code les plus populaires, à la recherche de clés d'accès exposées publiquement et d'utilisations inhabituelles d'Amazon Elastic Compute Cloud (Amazon EC2) pouvant être dues à une clé d'accès compromise. Une clé d’accès est composée d’une ID de clé d’accès et de la clé d’accès secrète associée. Les clés d’accès exposées créent des risques de sécurité pour votre compte et les autres utilisateurs, peuvent occasionner des frais supplémentaires à cause d’activités non autorisées et d’abus et enfreignent l’Accord client AWS. Si votre clé d’accès est exposée, prenez des mesures immédiates pour sécuriser votre compte. Pour protéger davantage votre compte contre des frais excessifs, AWS limite temporairement votre capacité à créer certaines ressources AWS. Cela ne sécurise pas votre compte, mais limite partiellement l’utilisation non autorisée pour laquelle vous pourriez être facturé. Remarque : cette vérification ne garantit pas l’identification des clés d’accès exposées ou des instances EC2 compromises. Vous êtes le seul responsable de la sécurité de vos clés d’accès et de vos ressources AWS.

Vérifie les paramètres de permission pour vos instantanés de volume Amazon Elastic Block Store (Amazon EBS) et vous alerte si des instantanés sont marqués comme étant publics. Lorsque vous rendez un instantané public, vous donnez à tous les comptes et utilisateurs AWS l’accès à toutes les données de l’instantané. Si vous souhaitez partager un instantané avec des utilisateurs ou des comptes précis, marquez-le comme privé, puis spécifiez les utilisateurs ou comptes avec lesquels vous voulez partager les données de l’instantané.

Vérifie les paramètres de permission pour vos instantanés de base de données Amazon Relational Database Service (Amazon RDS) et vous alerte si des instantanés sont marqués comme étant publics. Lorsque vous rendez un instantané public, vous donnez à tous les comptes et utilisateurs AWS l’accès à toutes les données de l’instantané. Si vous souhaitez partager un instantané avec des utilisateurs ou des comptes précis, marquez-le comme privé, puis spécifiez les utilisateurs ou comptes avec lesquels vous voulez partager les données de l’instantané.

Optimisez la disponibilité et la redondance de votre application AWS en tirant parti du dimensionnement automatique, des vérifications de l'état, du déploiement multi-AZ et des capacités de sauvegarde.

Vérifie l'ancienneté des instantanés de volumes Amazon Elastic Block Store (Amazon EBS) (disponibles ou en cours d'utilisation). Même si les volumes Amazon EBS font l'objet de réplications, des défaillances peuvent se produire. Les instantanés sont stockés de manière persistante dans Amazon Simple Storage Service (Amazon S3) pour garantir un stockage durable et permettre la récupération à un instant donné.

Analyse la répartition des instances Amazon Elastic Compute Cloud (Amazon EC2) entre les différentes zones de disponibilité d'une région. Les zones de disponibilité sont des emplacements distincts, qui sont conçus pour être isolés des défaillances survenant dans les autres zones de disponibilité et fournir une connectivité réseau à faible latence et peu coûteuse aux autres zones de disponibilité de la même région. Lancer vos instances sur plusieurs zones de disponibilité au sein d'une même région contribue à protéger vos applications contre le risque de point unique de défaillance.

Vérifie la configuration de vos programmes d'équilibrage de charge. Vous pouvez ainsi augmenter le niveau de tolérance aux pannes sur Amazon Elastic Compute Cloud (EC2) tout en utilisant Elastic Load Balancing ; nous vous recommandons d'exécuter un nombre identique d'instances sur plusieurs zones de disponibilité de la même région. Chaque programme d'équilibrage de charge configuré augmente les frais : cette vérification permet donc également d'optimiser les coûts.

Vérifie le nombre de tunnels actifs pour chacun de vos VPN. Un VPN doit disposer à tout moment de deux tunnels configurés afin de garantir une redondance en cas de panne ou de maintenance programmée des périphériques situés au point de terminaison AWS. Pour certains équipements matériels, seul un tunnel peut être actif (voir le manuel Amazon Virtual Private Cloud Network Administrator Guide). Des frais peuvent s'appliquer à un VPN même s'il ne dispose pas de tunnels actifs.

Vérifie la disponibilité des ressources associées aux configurations de lancement et à vos groupes Auto Scaling. Les groupes Auto Scaling renvoyant vers des ressources indisponibles ne peuvent pas lancer de nouvelles instances Amazon Elastic Compute Cloud (Amazon EC2). Lorsqu'elle est bien configurée, la fonctionnalité Auto Scaling assure une augmentation sans heurts du nombre d'instances Amazon EC2 durant les pics de demande et une diminution automatique lorsque la demande est plus modérée. Les configurations de lancement et les groupes Auto Scaling renvoyant vers des ressources indisponibles ne fonctionnent pas comme prévu.

Recherche les sauvegardes automatisées des instances DB Amazon RDS. Par défaut, la durée de conservation des sauvegardes est de 1 jour. Les sauvegardes réduisent le risque de perte de données et permettent une récupération à un instant donné.

Recherche les instances DB qui sont déployées dans une seule zone de disponibilité (AZ). Les déploiements multi-AZ permettent de renforcer la disponibilité en répliquant les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. En cas de maintenance programmée des bases de données ou de défaillance d'une instance DB ou d'une zone de disponibilité, Amazon RDS effectue un basculement automatique vers l'instance de secours. Les opérations de base de données peuvent ainsi reprendre rapidement, sans intervention de l'administrateur. Amazon RDS ne permet pas le déploiement multi-AZ des instances Microsoft SQL Server ; cette vérification ne prend donc pas en compte ce type d'instances.

Analyse la configuration des vérifications de l'état des groupes Auto Scaling. Si vous utilisez Elastic Load Balancing pour un groupe Auto Scaling, il est recommandé d'activer les vérifications de l'état Elastic Load Balancing. Si aucune vérification de l'état Elastic Load Balancing n'est utilisée, les opérations Auto Scaling peuvent uniquement s'appuyer sur l'état de l'instance Amazon Elastic Compute Cloud (Amazon EC2), et non sur celui de l'application qui s'exécute sur cette instance.

Vérifie la configuration de la connexion aux compartiments Amazon Simple Storage Service (Amazon S3). Lorsque la connexion à l’accès du serveur est activée, les journaux d’accès sont livrés toutes les heures à un compartiment que vous choisissez. Un enregistrement de journal d’accès contient des détails relatifs à chaque demande, tels que le type de requête, ainsi que l'heure et la date auxquelles la demande a été effectuée. Par défaut, la consignation du compartiment n’est pas activée ; vous devez activer la consignation si vous voulez réaliser des audits de sécurité ou en savoir plus sur les utilisateurs et les schémas d’utilisation.

Identifie les zones hébergées Amazon Route 53 pour lesquelles le bureau d'enregistrement de votre domaine ou votre DNS n'utilisent pas les bons serveurs de noms Route 53. Lorsque vous créez une zone hébergée, Route 53 lui attribue un ensemble de délégation composé de quatre serveurs de noms. Les noms de ces serveurs sont ns-###.awsdns-##.com, .net, .org et .co.uk ; ### et ## représentent généralement des nombres différents. Pour que Route 53 puisse acheminer des requêtes DNS vers votre domaine, vous devez mettre à jour la configuration de serveur de nom fournie à votre bureau d'enregistrement en supprimant les serveurs de noms attribués par celui-ci, puis en ajoutant les quatre serveurs de noms composant l'ensemble de délégation Route 53. Pour une disponibilité maximale, assurez-vous d'ajouter tous les serveurs de noms Route 53.

Cette vérification identifie les jeux d'enregistrements de ressources pouvant bénéficier d'une valeur inférieure pour leur durée de vie (TTL). La durée de vie (TTL) est la durée en secondes pendant laquelle les résolveurs DNS gardent en cache un jeu d'enregistrements de ressources. Lorsque vous indiquez une TTL longue, il faut plus longtemps aux résolveurs DNS pour demander des enregistrements DNS mis à jour. Cela peut entraîner des délais superflus de redirection de trafic (par exemple, lorsque le basculement DNS détecte une défaillance au niveau de l'un des points de terminaison et réagit en conséquence).

Recherche d'éventuels jeux d'enregistrements de ressources de basculement Amazon Route 53 mal configurés. Lorsque les vérifications de l'état d'Amazon Route 53 révèlent que les ressources principales sont défectueuses, Amazon Route 53 utilise un jeu d'enregistrements de ressources secondaire pour répondre aux requêtes. Pour que ce basculement fonctionne, vous devez veiller à bien configurer les jeux d'enregistrements de ressources principaux et secondaires.

Recherche d'éventuels jeux d'enregistrements de ressources associés à des vérifications de l'état qui ont été supprimées. Amazon Route 53 ne vous empêche pas de supprimer une vérification de l'état associée à un ou plusieurs jeux d'enregistrements de ressources. Si vous supprimez une vérification de l'état sans mettre à jour les jeux d'enregistrements de ressources associés, l'acheminement des requêtes DNS destinées à votre configuration de basculement DNS ne fonctionnera pas comme prévu. Cela affectera l'acheminement des requêtes DNS destinées à votre configuration de basculement DNS.

Recherche les équilibreurs de charge dont le drainage de la connexion n’est pas activé. Lorsque le drainage de la connexion est désactivé et que vous supprimez (dés-enregistrez) une instance Amazon EC2 d’un équilibreur de charge, l’équilibreur de charge arrête de router le trafic vers cette instance et ferme la connexion. Lorsque le drainage de la connexion est activé, l’équilibreur de charge arrête d’envoyer de nouvelles requêtes à l’instance dés-enregistrée mais garde la connexion ouverte pour servir les requêtes actives.

Recherche les équilibreurs de charge dont l’équilibrage de charge entre zones n’est pas activé. L’équilibrage de charge entre zones distribue les requêtes de manière équitable entre toutes les instances dorsales, quelle que soit la zone de disponibilité des instances. L’équilibrage de charges entre zones réduit la distribution non équitable du trafic lorsque les clients mettent en cache des informations DNS incorrectes ou lorsque vous disposez d’un nombre d’instances inégal dans chaque zone de disponibilité (par exemple, si vous avez désactivé certaines instances pour des raisons de maintenance). L'équilibrage de charge sur plusieurs zones facilite le déploiement et la gestion d'applications sur plusieurs zones de disponibilité.

Contrôle l'existence de compartiments Amazon Simple Storage Service dont le versioning est désactivé ou en suspens. Lorsque le versioning est activé, vous pouvez récupérer facilement les objets perdus suite à des actions involontaires d'utilisateurs et des défaillances d'applications. Le versioning permet de préserver, récupérer et restaurer toutes les versions de chacun des objets stockés dans un compartiment. Vous pouvez utiliser des règles de cycle de vie pour gérer toutes les versions de vos objets et de leurs coûts associés en archivant automatiquement les objets dans la classe de stockage Glacier ou en les supprimant au bout d’une durée définie. Vous pouvez également choisir d’exiger une authentification multi-facteurs pour toute suppression d’objet ou modification de configuration de vos compartiments.

Vérifie s'il existe des régions avec une seule connexion AWS Direct Connect. La connectivité à vos ressources AWS doit disposer de deux connexions Direct Connect configurées en permanence pour fournir une redondance au cas où un appareil est indisponible.

Vérifie s'il existe des régions avec une ou plusieurs connexions AWS Direct Connect et un seul site AWS Direct Connect. La connectivité à vos ressources AWS doit disposer de connexions Direct Connect configurées vers différents emplacements Direct Connect pour fournir une redondance au cas où un emplacement est indisponible.

Vérifie s'il existe des passerelles privées virtuelles dotées d'interfaces virtuelles (VIF) AWS Direct Connect qui ne sont pas configurées sur au moins deux connexions AWS Direct Connect. La connectivité à vos passerelles réseau privé virtuel doit disposer de plusieurs interfaces virtuelles configurées sur plusieurs connexions et emplacements Direct Connect pour fournir une redondance au cas où un appareil ou un emplacement est indisponible.

Recherche les cas où un cluster de base de données Amazon Aurora possède des instances privées et publiques. Lorsque votre instance principale subit une défaillance, une réplique peut être promue instance principale. Si cette réplique est privée, les utilisateurs qui ne disposent que d’un accès public ne pourront plus se connecter à la base de données après la défaillance. Disposer de la même accessibilité pour toutes les instances de base de données dans un même cluster est considéré comme une bonne pratique.

Vérifie le service EC2Config pour les instances Windows Amazon EC2 et vous avertit si l'agent EC2Config est obsolète ou n'est pas configuré correctement. L’utilisation de la dernière version d’EC2Config active et optimise la gestion logicielle du point de terminaison. Le pilote PV effectue des vérifications afin de rester à jour en disposant du logiciel de point de terminaison le plus sûr et le plus fiable.

Remarque : cette vérification affiche des informations pour les instances EC2 des régions suivantes : Virginie du N (us-east-1), Californie du N (us-west-1), Oregon (us-west-2), Irlande (eu-west-1), Sao Paolo (sa-east-1), Tokyo (ap-northeast-1), Singapour (ap-southeast-1) et Sydney (ap-southeast-2).

Vérifie la version du pilote PV pour les instances Windows Amazon EC2 et vous avertit si ce pilote est obsolète. L’utilisation du pilote PV le plus récent contribue à l’optimisation des performances du pilote et à diminuer les problèmes d’exécution et les risques de sécurité.

Remarque : cette vérification affiche des informations pour les instances EC2 des régions suivantes : Virginie du N (us-east-1), Californie du N (us-west-1), Oregon (us-west-2), Irlande (eu-west-1), Sao Paolo (sa-east-1), Tokyo (ap-northeast-1), Singapour (ap-southeast-1) et Sydney (ap-southeast-2).

Améliorez les performances de votre service en vérifiant vos limites de service, en tirant pleinement parti du débit alloué et en repérant les instances surexploitées.

Analyse les instances Amazon Elastic Compute Cloud (Amazon EC2) qui ont été exécutées au cours des 14 derniers jours et vous avertit en cas d'utilisation quotidienne de CPU supérieure à 90 % sur une durée de 4 jours ou plus. Un taux d'utilisation élevé sur une longue durée peut être le signe de performances stables et optimisées, mais cela peut également indiquer qu'une application ne dispose pas des ressources suffisantes. Pour obtenir des données sur l'utilisation quotidienne de la CPU, téléchargez le rapport correspondant à cette vérification.

Recherche les volumes IOPS dimensionnés (SSD) associés à une instance Amazon Elastic Compute Cloud (Amazon EC2) qui n'est pas optimisée pour Amazon EBS. Les volumes IOPS dimensionnés d'Amazon Elastic Block Store (Amazon EBS) sont conçus pour fournir les performances prévues uniquement lorsqu'ils sont associés à une instance optimisée pour EBS.

Analyse chaque groupe de sécurité Amazon Elastic Compute Cloud (EC2) et détecte ceux présentant un nombre de règles trop élevé. Si un groupe de sécurité est associé à un trop grand nombre de règles, ses performances peuvent s'en trouver diminuées.
Pour en savoir plus, consultez la section Amazon EC2 Security Groups.

Recherche les instances Amazon Elastic Compute Cloud (EC2) associées à un grand nombre de règles de groupes de sécurité. Si une instance est associée à un grand nombre de règles, ses performances peuvent s'en trouver diminuées.

Cette vérification identifie les jeux d'enregistrements de ressources acheminant des requêtes DNS vers des ressources AWS, et qui peuvent être transformés en jeux d'enregistrements de ressources alias. Un jeu d'enregistrements de ressources alias est un type d'enregistrement Amazon Route 53 spécifique qui transmet des requêtes DNS à une ressource AWS (par exemple, un programme d'équilibrage de charge Elastic Load Balancing ou un compartiment Amazon S3) ou à un autre jeu d'enregistrements de ressources Route 53. Lorsque vous utilisez des jeux d'enregistrements de ressources alias, Route 53 achemine gratuitement vos requêtes DNS vers des ressources AWS.

Recherche les volumes magnétiques Amazon Elastic Block Store (EBS) susceptibles d'être surexploités et pouvant bénéficier d'une configuration plus efficace. Les volumes magnétiques sont conçus pour les applications à taux d'E/S modérés ou transmis en paquets et le taux d'E/S par seconde n'est pas garanti. Ils fournissent en moyenne 100 opérations d'E/S par seconde, avec la possibilité de transmettre, au mieux, quelques centaines d'opérations d'E/S par seconde en paquets. Pour obtenir des opérations d'E/S cohérentes plus élevées, vous pouvez utiliser un volume d’IOPS provisionnés (SSD). Pour des opérations d'E/S par pic, vous pouvez utiliser un volume à usage général (SSD).

Recherche des cas dans lesquels les transferts de données depuis les compartiments Amazon Simple Storage Service (Amazon S3) pourraient être accélérés en utilisant Amazon CloudFront, le service de diffusion de contenu mondiale d'AWS. Lorsque vous configurez Amazon CloudFront pour diffuser votre contenu, les requêtes concernant ce contenu sont automatiquement acheminées vers l'emplacement périphérique le plus proche où ce contenu est mis en cache. Le contenu est ainsi diffusé aux utilisateurs avec des performances optimales. Si la proportion de transferts de données sortants est particulièrement élevée pour un compartiment, il serait sans doute avantageux d'utiliser Amazon CloudFront pour diffuser les données.

Vérifie les en-têtes de requête HTTP que CloudFront est en train de recevoir depuis le client et transmet à votre serveur d’origine. Certaines en-têtes, telles que Date ou User-Agent, réduisent significativement le taux de succès de cache (la proportion de requêtes qui sont servies depuis un cache périphérique CloudFront). Ce phénomène augmente la charge sur votre serveur d’origine et réduit les performances car CloudFront doit faire suivre plus de requêtes vers votre serveur d’origine.

Contrôle l'existence de volumes Amazon EBS dont les performances pourraient être affectées par le débit maximal de l'instance Amazon EC2 à laquelle ils sont rattachés. Pour optimiser les performances, vous devez vous assurer que le débit maximal d’une instance EC2 est supérieur au débit maximal agrégé des volumes EBS liés.

Contrôle les distributions CloudFront, à la recherche de noms de domaine alternatifs présentant des paramètres DNS incorrects. Si une distribution CloudFront comprend des noms de domaine alternatifs, la configuration DNS pour les domaines doit router les requêtes DNS vers cette distribution.

Recherche les utilisations de services pour lesquels le taux d'utilisation dépasse 80 % des limites autorisées. Les valeurs sont établies à partir d'un instantané : il se peut donc que le niveau d'utilisation actuel soit différent. Il faut parfois compter 24 heures pour que les données relatives aux limites et à l'utilisation prennent en compte les modifications apportées. Pour plus d’informations sur les limites de service vérifiées, voir Questions relatives au contrôle des limites de service.