Controlli best practice di AWS Trusted Advisor

Controlli best practice di AWS Trusted Advisor

AWS Trusted Advisor offre un set completo di controlli best practice e consigli applicabili a cinque categorie: costi, ottimizzazione, sicurezza, tolleranza ai guasti, prestazioni e limiti di servizio.

Ottimizzazione dei costi

Scopri come puoi risparmiare su AWS eliminando risorse inutilizzate o inattive o acquistando capacità riservata.

  • Ottimizzazione delle istanze riservate di Amazon EC2  

    Verifica lo storico del consumo di elaborazione di Amazon Elastic Compute Cloud (Amazon EC2) e calcola il numero ottimale di istanze riservate a pagamento anticipato parziale. Le raccomandazioni si basano sull’utilizzo ora per ora del mese precedente accumulato su tutti gli account a fatturazione consolidata. Per ulteriori informazioni su come viene calcolata la raccomandazione, consulta le domande frequenti (FAQ) su Trusted Advisor.

    Con le istanze riservate, si paga una tariffa ridotta una-tantum, ottenendo un notevole sconto sulla tariffa oraria per quell'istanza. Per minimizzare i costi, il sistema di fatturazione applica automaticamente per prime le tariffe per le istanze riservate.

  • Utilizzo basso delle istanze Amazon EC2  

    Verifica le istanze di Amazon Elastic Compute Cloud (Amazon EC2) che sono state in esecuzione durante gli ultimi 14 giorni e ti avvisa se l’utilizzo quotidiano della CPU è stato inferiore al 10% e se l'I/O di rete è stato inferiore a 5 MB per più di 4 giorni. L’esecuzione di istanze genera costi di utilizzo orario. Sebbene alcuni scenari possano comportare intrinsecamente un utilizzo basso, spesso è possibile diminuire i costi grazie alla gestione del numero e delle dimensioni delle istanze.

    I costi mensili stimati vengono calcolati in base alla tariffa di utilizzo corrente per le istanze on demand e il numero stimato di giorni dell’istanza può essere sottoutilizzato. I risparmi effettivi variano a seconda che si usino istanze riservate o istanze spot o se l’istanza non è in esecuzione per un giorno intero. Per ottenere i dati di utilizzo quotidiano, scarica il report per questo controllo.  

  • Sistemi di bilanciamento del carico inattivi  

    Verifica nella tua configurazione di Elastic Load Balancing la presenza di sistemi di bilanciamento del carico inutilizzati. Qualsiasi sistema di bilanciamento del carico configurato aumenta i costi. Se un sistema di bilanciamento del carico non è associato a istanze di back-end o se il traffico di rete è drasticamente limitato, il sistema di bilanciamento del carico non viene utilizzato in modo efficiente.

  • Volumi di Amazon EBS sottoutilizzati  

    Verifica le configurazioni dei tuoi volumi di Amazon Elastic Block Store (Amazon EBS) e ti avverte quando un volume ha bassi livelli di utilizzo. I costi iniziano a essere addebitati quando viene creato un volume. Se un volume non è collegato o ha un’attività di scrittura molto bassa (esclusi i volumi di avvio) per un determinato periodo di tempo, il volume probabilmente non è utilizzato.

  • Indirizzi IP elastici non associati  

    Verifica gli indirizzi IP elastici (EIP) che non sono associati a un’istanza di Amazon Elastic Compute Cloud (Amazon EC2) in esecuzione. Gli EIP sono indirizzi IP statici concepiti per il cloud computing dinamico. Diversamente dai tradizionali indirizzi IP statici, gli EIP possono ovviare al guasto di un’istanza o di una zona di disponibilità rimappando un indirizzo IP pubblico con un’altra istanza nel tuo account. Per un EIP che non è associato a un’istanza in esecuzione viene applicato un costo nominale.

  • Istanze DB inattive di Amazon RDS  

    Verifica la configurazione di Amazon Relational Database Service (Amazon RDS) per identificare istanze DB inattive. Se un’istanza DB non ha avuto una connessione per un periodo di tempo prolungato, è possibile eliminare l’istanza per ridurre i costi. Se occorre storage persistente per i dati nell’istanza, si possono usare opzioni meno costose, ad esempio effettuando e conservando uno snapshot DB. Gli snapshot DB creati manualmente si conservano finché non vengono eliminati. 

  • Set di record di risorse di latenza di Amazon Route 53  

    Verifica la presenza di set di record di risorse di latenza di Amazon Route 53 configurati in modo non efficiente. Per consentire ad Amazon Route 53 di instradare le query alla regione con latenza di rete più bassa, occorre creare set di record di risorse di latenza per un nome di dominio particolare (come esempio.com) in diverse regioni. Se si crea un solo set di record di risorse di latenza per un nome di dominio, tutte le query vengono istradate verso una sola regione e si incorre in costi supplementari per l’instradamento basato sulla latenza senza ottenerne i vantaggi.  

  • Istanze riservate Amazon EC2 in scadenza  

    Verifica la presenza di istanze riservate Amazon EC2 in scadenza nei 30 giorni successivi o che sono scadute nei 30 giorni precedenti. Le istanze riservate non vengono rinnovate automaticamente, perciò è possibile continuare a utilizzare un’istanza EC2 coperta dalla prenotazione senza interruzione, tuttavia verranno applicate le tariffe on demand. Delle nuove istanze riservate possono avere gli stessi parametri di quelle scadute oppure si possono acquistare istanze riservate con parametri diversi.


    I risparmi mensili stimati che mostriamo consistono nella differenza fra le tariffe on demand e quelle per le istanze riservate per lo stesso tipo di istanza.

  • Cluster Amazon Redshift sottoutilizzati  

    Verifica la presenza di cluster configurati in Amazon Redshift con bassi livelli di utilizzo. Se un cluster Amazon Redshift non ha avuto una connessione per un periodo di tempo prolungato o usa una quantità ridotta di CPU, è possibile ridurre i costi riducendo il cluster o arrestandolo e prendendo uno snapshot finale. Gli snapshot finali vengono conservati anche dopo che il cluster è stato eliminato.

Sicurezza

Migliora la sicurezza della tua applicazione colmando le lacune, abilitando varie funzionalità di sicurezza ed esaminando le autorizzazioni.

  • Gruppi di sicurezza – Porte specifiche non limitate (gratis!)

    Verifica se i gruppi di sicurezza hanno regole che consentono un accesso privo di limitazioni (0.0.0.0/0) a porte specifiche. L’accesso privo di limitazioni aumenta la vulnerabilità ad attività dannose, come gli attacchi degli hacker, gli attacchi di forza bruta e la perdita di dati. Le porte a maggiore rischio sono contrassegnate in rosso e quelle a rischio inferiore in giallo. Le porte contrassegnate in verde sono di solito usate da applicazioni che necessitano accesso senza limitazioni, come HTTP e SMTP.


    Se hai configurato intenzionalmente i tuoi gruppi di sicurezza in questo modo, ti consigliamo di usare misure di sicurezza aggiuntive per proteggere la tua infrastruttura (come le tabelle IP).

  • Gruppi di sicurezza – Accessi senza limitazioni

    Verifica se i gruppi di sicurezza hanno regole che consentono un accesso privo di limitazioni a una risorsa. L’accesso privo di limitazioni aumenta la vulnerabilità ad attività dannose, come gli attacchi degli hacker, gli attacchi di forza bruta e la perdita di dati.

  • Utilizzo di IAM (gratis!)

    Verifica l’utilizzo di AWS Identity and Access Management (IAM) Si può usare IAM per creare utenti, gruppi e ruoli in AWS e si possono usare autorizzazioni per controllare l’accesso alle risorse AWS.

  • Autorizzazioni sui bucket Amazon S3 (gratis!)

    Verifica i bucket in Amazon Simple Storage Service (Amazon S3) che hanno autorizzazioni di accesso libero. Le autorizzazioni sui bucket che conferiscono a tutti l’accesso agli elenchi possono comportare addebiti più elevati del previsto se gli oggetti nel bucket sono visualizzati ad alta frequenza da utenti non previsti. Le autorizzazioni sui bucket che conferiscono a tutti l’accesso con permesso di caricare ed eliminare possono creare potenziali vulnerabilità di sicurezza consentendo a tutti di aggiungere, modificare o rimuovere elementi nel bucket. Questo controllo esamina le autorizzazioni esplicite sul bucket e le policy di bucket associate che possono sostituire le autorizzazioni sul bucket.

  • MFA sull’account root (gratis!)

    Verifica la policy di password per il tuo account e ti avverte quando non è abilitata una policy di password o non sono stati abilitati i requisiti di contenuto di password. I requisiti di contenuto di password aumentano la sicurezza generale del tuo ambiente AWS rendendo obbligatoria la creazione di password forti. Quando si crea o si modifica la policy di password, la modifica viene applicata subito per i nuovi utenti ma non obbliga gli utenti esistenti a cambiare la password.

  • Rischio di accesso dei gruppi di sicurezza di Amazon RDS

    Verifica le configurazioni dei gruppi di sicurezza per Amazon Relational Database Service (Amazon RDS) e avverte quando la regola di un gruppo di sicurezza conferisce un accesso troppo permissivo a un database. La configurazione consigliata per qualsiasi regola di gruppo di sicurezza è di consentire l’accesso da gruppi di sicurezza specifici di Amazon Elastic Compute Cloud (Amazon EC2) o da un indirizzo IP specifico.

  • Generazione dei log di AWS CloudTrail

    Verifica il tuo utilizzo di AWS CloudTrail. CloudTrail fornisce una maggiore visibilità sull’attività nel tuo account AWS mediante la registrazione di informazioni sulle chiamate API di AWS sul tuo account. Puoi usare questi log per determinare, ad esempio, quali azioni ha intrapreso un particolare utente oppure quali utenti hanno intrapreso azioni su una risorsa particolare durante un periodo di tempo specificato. Poiché CloudTrail distribuisce file di log a un bucket Amazon Simple Storage Service (Amazon S3), deve avere autorizzazioni di scrittura per il bucket.

  • Set di record di risorse MX e SPF di Amazon Route 53

    Verifica il set di record di risorse SPF per ciascun set di record di risorse MX. Un record SPF (sender policy framework) pubblica un elenco di server autorizzati a inviare e-mail per il tuo dominio, consentendo di ridurre lo spam mediante la rilevazione e l’interruzione dello spoofing di indirizzi e-mail.

  • Protezione per listener di ELB

    Verifica la presenza di sistemi di bilanciamento del carico con listener che non impiegano le configurazioni di sicurezza consigliate per la comunicazione crittografata. AWS consiglia di utilizzare un protocollo di protezione (HTTPS or SSL), policy di sicurezza aggiornate e crittografia e protocolli sicuri. Quando si utilizza un protocollo sicuro per una connessione front-end (client a sistema di bilanciamento del carico), le richieste vengono crittografate fra i client e il sistema di bilanciamento del carico, che è più sicuro. Elastic Load Balancing fornisce policy di sicurezza predefinite con crittografia e protocolli conformi alle best practice di sicurezza di AWS. Non appena sono disponibili nuove configurazioni, vengono rilasciate nuove versioni delle policy predefinite.

  • Gruppi di sicurezza ELB  

    Verifica la presenza di sistemi di bilanciamento del carico con gruppi di sicurezza mancanti o con gruppi di sicurezza che consentono l'accesso a porte non configurate per il sistema di bilanciamento del carico. Se viene eliminato un gruppo di sicurezza associato a un sistema di bilanciamento del carico, questo non funziona come previsto. Se un gruppo di sicurezza consente l’accesso a porte non configurate per il sistema di bilanciamento del carico, aumenta il rischio di perdita di dati o di attacchi dannosi.  

  • Certificati SSL personalizzati di CloudFront nello store di certificati di IAM  

    Verifica nello store di certificati di IAM la presenza di certificati SSL per nomi di dominio alternativi di CloudFront che sono scaduti, con scadenza imminente, che impiegano standard di crittografia obsoleti o che non sono configurati correttamente per la distribuzione. Quando un certificato personalizzato per un nome di dominio alternativo è scaduto, i browser che visualizzano i contenuti di CloudFront possono mostrare un messaggio di preavviso sulla sicurezza del tuo sito Web. I certificati crittografati con l’algoritmo hash SHA-1 sono dichiarati obsoleti dai browser Web come Chrome e Firefox. Se un certificato non contiene nomi di dominio che corrispondono al nome di dominio di origine o al nome di dominio nell’intestazione host delle richieste di visualizzazione, CloudFront restituisce all’utente un codice di stato HTTP 502 (gateway non valido).

  • Certificato SSL di CloudFront sul server di origine  

    Verifica la presenza di chiavi di accesso che non sono state modificate negli ultimi 90 giorni. Con la rotazione regolare delle chiavi di accesso, riduci la probabilità che una chiave compromessa possa essere usata a tua insaputa per accedere alle risorse. Ai fini di questo controllo, l’ultima data e ora di rotazione corrispondono a quando la chiave di accesso è stata creata o attivata l’ultima volta. Il numero e la data della chiave di accesso vengono dalle informazioni access_key_1_last_rotated e access_key_2_last_rotated nel report più recente delle credenziali IAM.

  • Chiavi di accesso con visibilità pubblica  

    Verifica la presenza, nei repository di codice più utilizzati, di chiavi di accesso con visibilità pubblica e controlla che l'utilizzo di Amazon Elastic Compute Cloud (Amazon EC2) non presenti irregolarità provocate da chiavi di accesso compromesse. Una chiave di accesso consiste in un ID di chiave di accesso e nella chiave di accesso segreta corrispondente. Le chiavi di accesso con visibilità pubblica rappresentano un rischio per il tuo account e per gli altri utenti, può risultare in costi eccessivi dovuti ad attività non autorizzata o uso illecito e violare il contratto con il cliente di AWS. Se la tua chiave di accesso è stata resa pubblica, devi prendere misure immediate per proteggere il tuo account. Per proteggere ulteriormente il tuo account da costi eccessivi, AWS limita provvisoriamente la tua capacità di creare alcune risorse AWS. Questo non protegge il tuo account, ma limita parzialmente l’uso non autorizzato delle risorse che potrebbero esserti addebitate. Nota: questa verifica non garantisce l’identificazione di chiavi di accesso con visibilità pubblica o di istanze EC2 compromesse. Il cliente è l’unico responsabile della sicurezza e della protezione delle proprie chiavi di accesso e delle proprie risorse AWS.

  • Snapshot pubblici di Amazon EBS (gratis!)  

    Verifica le impostazioni di autorizzazione per gli snapshot di volumi di Amazon Elastic Block Store (Amazon EBS) e avverte se vi sono snapshot contrassegnati come pubblici. Quando si contrassegna uno snapshot come pubblico, si conferisce accesso a tutti gli account AWS e a tutti gli utenti al tutti i dati nello snapshot. Per condividere uno snapshot con utenti o account particolari, conviene contrassegnare lo shapshot come privato e poi specificare gli utenti o gli account con cui si vogliono condividere i dati dello snapshot.

  • Snapshot pubblici di Amazon RDS (gratis!)  

    Verifica le impostazioni di autorizzazione per gli snapshot di volumi di Amazon Relational Database Service (Amazon RDS) e avverte se vi sono snapshot contrassegnati come pubblici. Quando si contrassegna uno snapshot come pubblico, si conferisce accesso a tutti gli account AWS e a tutti gli utenti al tutti i dati nello snapshot. Per condividere uno snapshot con utenti o account particolari, conviene contrassegnare lo shapshot come privato e poi specificare gli utenti o gli account con cui si vogliono condividere i dati dello snapshot.

  • Policy di password IAM  

    Verifica la policy di password per il tuo account e ti avverte quando non è abilitata una policy di password o non sono stati abilitati i requisiti di contenuto di password. I requisiti di contenuto di password aumentano la sicurezza generale del tuo ambiente AWS rendendo obbligatoria la creazione di password forti. Quando si crea o si modifica la policy di password, la modifica viene applicata subito per i nuovi utenti ma non obbliga gli utenti esistenti a cambiare la password.

  • Rotazione di chiavi di accesso IAM  

    Verifica la presenza di chiavi di accesso che non sono state ruotate negli ultimi 90 giorni. Con la rotazione regolare delle chiavi di accesso, riduci la probabilità che una chiave compromessa possa essere usata a tua insaputa per accedere alle risorse. Ai fini di questo controllo, l’ultima data e ora di rotazione corrispondono a quando la chiave di accesso è stata creata o attivata l’ultima volta. Il numero e la data della chiave di accesso vengono dalle informazioni access_key_1_last_rotated e access_key_2_last_rotated nel report più recente delle credenziali IAM.

Tolleranza ai guasti

Aumenta la disponibilità e la ridondanza della tua applicazione AWS grazie all’Auto Scaling, ai controlli dello stato, a Multi-AZ e alle capacità di backup.

  • Snapshot Amazon EBS

    Verifica l’età degli snapshot dei volumi di Amazon Elastic Block Store (Amazon EBS) (disponibili o in uso). Anche se i volumi di Amazon EBS vengono replicati, possono verificarsi dei guasti. Gli snapshot sono memorizzati in modo persistente in Amazon Simple Storage Service (Amazon S3) per storage durevole e ripristino point-in-time.

  • Equilibrio delle zone di disponibilità di Amazon EC2

    Verifica la distribuzione delle istanze di Amazon Elastic Compute Cloud (Amazon EC2) nelle zone di disponibilità di una regione. Le zone di disponibilità sono ubicazioni separate sviluppate per essere isolate da guasti in altre zone di disponibilità e offrono una connettività di rete economica e a bassa latenza con altre zone di disponibilità nella stessa regione. Avviando istanze in più zone di disponibilità nella stessa regione, puoi proteggere le tue applicazioni da un singolo punto di errore.

  • Ottimizzazione del sistema di bilanciamento del carico

    Verifica la configurazione del sistema di bilanciamento del carico. Per aumentare il livello di tolleranza ai guasti in Amazon Elastic Compute Cloud (EC2) quando si usa Elastic Load Balancing, consigliamo di eseguire un numero uguale di istanze su più zone di disponibilità in una regione. Un sistema di bilanciamento del carico configurato aumenta i costi, perciò questo permette anche l’ottimizzazione dei costi.

  • Ridondanza dei tunnel VPN

    Verifica il numero di tunnel attivi per ciascuna delle tue VPN. Una VPN deve avere due tunnel configurati in qualsiasi momento per fornire ridondanza in caso di guasto o di manutenzione pianificata dei dispositivi dell’endpoint AWS. Per certi tipi di hardware, solo un tunnel alla volta è attivo (vedi Amazon Virtual Private Cloud Network Administrator Guide). I costi per la VPN possono essere addebitati anche se una VPN non ha tunnel attivi.

  • Risorse dei gruppi Auto Scaling

    Verifica la disponibilità di risorse associate con configurazioni di avvio e con i tuoi gruppi Auto Scaling. I gruppi Auto Scaling che puntano su risorse non disponibili non possono avviare nuove istanze di Amazon Elastic Compute Cloud (Amazon EC2). Quando è configurato correttamente, Auto Scaling aumenta in modo lineare il numero delle istanze di Amazon EC2 durante i picchi di domanda e lo diminuisce in periodi di scarsa attività. I gruppi Auto Scaling e le configurazioni di avvio che puntano su risorse non disponibili non funzionano come previsto.

  • Backup di Amazon RDS

    Verifica i backup automatizzati delle istanze database di Amazon RDS Di default, i backup sono abilitati per un periodo di conservazione di 1 giorno. I backup riducono il rischio di perdite di dati inattese e consentono il ripristino point-in-time.

  • Multi-AZ di Amazon RDS

    Verifica la presenza di istanze di database che sono distribuite in una singola zona di disponibilità. Le implementazioni Multi-AZ ottimizzano la disponibilità del database mediante la replica sincrona in un’istanza in standby in una zona di disponibilità diversa. Durante la manutenzione programmata del database o un guasto dell'istanza DB o nella zona di disponibilità, Amazon RDS esegue automaticamente il failover verso le risorse di standby, consentendo una rapida ripresa delle attività senza l'intervento di un amministratore. Poiché Amazon RDS non supporta l’implementazione Multi-AZ per Microsoft SQL Server, questo controllo non analizza le istanze SQL Server.

  • Controllo dei gruppi Auto Scaling

    Analizza la configurazione di controllo per i gruppi Auto Scaling. Se Elastic Load Balancing è usato per un gruppo Auto Scaling, la configurazione consigliata è l’abilitazione di un controllo Elastic Load Balancing. Se non viene usato un controllo di stato Elastic Load Balancing, Auto Scaling può agire solo sullo stato dell’istanza Amazon Elastic Compute Cloud (Amazon EC2) e non sull’applicazione che esegue l’istanza.

  • Registrazione di log in bucket Amazon S3

    Verifica la configurazione della registrazione di log dei bucket di Amazon Simple Storage Service (Amazon S3). Quando è abilitata la registrazione di log degli accessi al server, vengono distribuiti log di accesso dettagliati ogni ora a un bucket da te definito. Un record dei log di accesso contiene i dettagli di ciascuna richiesta, quali il tipo di richiesta, le risorse specificate e l’ora e la data in cui la richiesta è stata elaborata. Come impostazione predefinita, la registrazione di log del bucket non è abilitata e va abilitata se si desidera effettuare audit di sicurezza o ottenere maggiori informazioni sugli utenti e sui modelli di utilizzo.

  • Deleghe per il server dei nomi di Amazon Route 53  

    Verifica la presenza di hosted zone di Amazon Route 53 per le quali il tuo registrar di dominio o DNS non usa i server dei nomi Route 53 giusti. Quando si crea una hosted zone, Route 53 assegna un gruppo di delega di quattro server dei nomi. I nomi di questi server sono ns-###.awsdns-##.com, .net, .org, e .co.uk, dove ### e ## rappresentano di solito numeri diversi.. Prima che Route 53 possa instradare le query DNS per un dominio, occorre aggiornare la configurazione dei server dei nomi per eliminare i server dei nomi assegnati dal registrar e aggiungere i quattro server dei nomi nel gruppo di delega di Route 53. Per una disponibilità ottimizzata, vanno aggiunti tutti e quattro i server dei nomi di Route 53.

  • Set di record di risorse di TTL elevata di Amazon Route 53

    Verifica la presenza di gruppi di record di risorse che possono trarre vantaggi da un valore TTL (time-to-live) più basso. TTL è il numero di secondi durante il quale un gruppo di record di risorse è memorizzato nella cache dai resolver DNS. Quando si specifica un TTL lungo, i risolver DNS impiegano più tempo a richiedere record DNS aggiornati, il che può causare ritardi inutili nella redistribuzione del traffico (ad esempio, quando il failover DNS rileva e risponde a un guasto di uno degli endpoint).

  • Set di record di risorse di failover di Amazon Route 53

    Verifica la presenza di gruppi di record di risorse di failover di Amazon Route 53 non correttamente configurati. Quando i controlli di stato di Amazon Route 53 determinano che la risorsa primaria è danneggiata, Amazon Route 53 risponde alle query con un gruppo secondario di record di risorse di backup. Perché il failover funzioni, occorre che i gruppi di record delle risorse primarie e secondarie siano configurati correttamente.

  • Controlli di stato eliminati di Amazon Route 53

    Verifica la presenza di gruppi di record di risorse associati a controlli di stato che sono stati eliminati. Amazon Route 53 non impedisce di eliminare un controllo di stato associato a uno o più gruppi di record di risorse. Se si elimina un controllo di stato senza aggiornare i gruppi di record di risorse associati, l’instradamento delle query DNS per la configurazione di failover non funzionerà come previsto. Questo influenzerà l'instradamento delle query DNS per la configurazione di failover DNS.

  • Esaurimento della connessione ELB

    Verifica la presenza di sistemi di bilanciamento del carico per i quali l’esaurimento della connessione non è abilitato. Quanto l’esaurimento della connessione non è abilitato e si rimuove (annulla la registrazione) di un’istanza Amazon EC2 da un sistema di bilanciamento del carico, questo smette di instradare il traffico verso quell’istanza e interrompe la connessione. Quanto l’esaurimento della connessione è abilitato, il sistema di bilanciamento del carico smette di inviare nuove richieste all’istanza di cui è stata annullata la registrazione ma mantiene la connessione aperta per elaborare richieste attive.

  • Bilanciamento del carico su più zone ELB

    Verifica la presenza di sistemi di bilanciamento del carico per i quali il bilanciamento del carico su più zone non è abilitato. Il bilanciamento del carico su più zone distribuisce richieste in modo uniforme su tutte le istanze di back-end, indipendentemente dalla zona di disponibilità nella quale si trovano le istanze Il bilanciamento del carico su più zone riduce la distribuzione irregolare del traffico quando i client memorizzano nella cache le informazioni DNS in modo sbagliato o quando le zone di disponibilità presentano un numero ineguale di istanze (ad esempio, se alcune istanze sono state interrotte per manutenzione). Quando questa funzione è attiva, è più semplice distribuire e gestire applicazioni su più zone di disponibilità.

  • Funzione Versioni multiple per i bucket Amazon

    Verifica la presenza di bucket Amazon Simple Storage Service con la funzione Versioni multiple disattivata o in sospeso. Quando la funzione Versioni multiple è abilitata, è possibile il semplice recupero sia in seguito ad azioni involontarie dell'utente sia in seguito a guasti dell'applicazione. La funzione Versioni multiple consente di conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato in un bucket. Si possono usare regole del ciclo di vita per gestire tutte le versioni degli oggetti nonché i costi ad essi associati archiviando automaticamente gli oggetti nella classe di storage Glacier o eliminandoli dopo un periodo di tempo specificato. Si può anche utilizzare l’autenticazione a più fattori (MFA) per eliminare oggetti o modificare la configurazione dei bucket.

  • Ridondanza di connessione di AWS Direct Connect

    Verifica la presenza di regioni con una sola connessione AWS Direct Connect. La connettività con le risorse AWS deve avere due connessioni Direct Connect configurate in qualsiasi momento per fornire ridondanza nel caso in cui un dispositivo non sia disponibile.

  • Ridondanza di struttura di AWS Direct Connect  

    Verifica la presenza di gateway privati virtuali con interfacce virtuali (VIF) di AWS Direct Connect non configurate con almeno due connessioni AWS Direct Connect. La connettività con un gateway virtuale privato deve avere più interfacce virtuali configurate su più connessioni Direct Connect e ubicazioni per fornire ridondanza nel caso in cui un dispositivo o un’ubicazione non sia disponibile.

  • Ridondanza di interfaccia virtuale di AWS Direct Connect:

    Verifica la presenza di gateway privati virtuali con interfacce virtuali (VIF) di AWS Direct Connect non configurate con almeno due connessioni AWS Direct Connect. La connettività con un gateway virtuale privato deve avere più interfacce virtuali configurate su più connessioni Direct Connect e ubicazioni per fornire ridondanza nel caso in cui un dispositivo o un’ubicazione non sia disponibile.

  • Accessibilità alle istanze di Amazon Aurora DB

    Verifica la presenza di casi in cui un cluster DB di Amazon Aurora ha istanze sia private sia pubbliche. Nel caso di un guasto dell’istanza primaria, una replica può sostituirla. nel caso in cui si tratti di una replica privata, gli utenti che hanno solo un accesso pubblico non potranno più collegarsi al database dopo il failover. Per tutte le istanze database in un cluster, è una best practice avere la stessa accessibilità.

  • Servizio EC2Config per istanze Windows di EC2

    Controlla il servizio EC2Config per istanze Windows di Amazon EC2 e avvisa se l'agente di EC2Config non è aggiornato o non è configurato correttamente. La versione più recente di EC2Config abilita e ottimizza la gestione del software di endpoint, come ad esempio i controlli del driver PV, per restare aggiornati con il software di endpoint più sicuro e affidabile.

    Nota: questo controllo visualizza le informazioni sulle istanze EC2 nelle regioni seguenti: Virginia settentrionale (us-east-1), California settentrionale (us-west-1), Oregon (us-west-2), Irlanda (eu-west-1), San Paolo (sa-east-1), Tokyo (ap-northeast-1), Singapore (ap-southeast-1), e Sydney (ap-southeast-2).

  • Versione del driver PV per istanze Windows di EC2

    Tolleranza ai guasti

    Aumenta la disponibilità e la ridondanza della tua applicazione AWS grazie all’Auto Scaling, ai controlli dello stato, a Multi-AZ e alle capacità di backup.

    Controlla la versione del driver PV per istanze Windows di Amazon EC2 e avvisa se il driver non è aggiornato. La versione più recente del driver PV ottimizza le prestazioni del driver e riduce al minimo i problemi di runtime e i rischi di sicurezza.

    Nota: questo controllo visualizza le informazioni sulle istanze EC2 nelle regioni seguenti: Virginia settentrionale (us-east-1), California settentrionale (us-west-1), Oregon (us-west-2), Irlanda (eu-west-1), San Paolo (sa-east-1), Tokyo (ap-northeast-1), Singapore (ap-southeast-1), e Sydney (ap-southeast-2).

  • Driver ENA

    Monitora la versione del driver ENA di AWS per le istanze EC2 per Windows, quindi avvisa l'utente nel caso in cui il driver (a) sia obsoleto e non sia più supportato; (b) sia diventato obsoleto con problemi identificati; o (c) presenti un aggiornamento disponibile. L'utilizzo della versione più recente del driver ENA di AWS per Windows ne ottimizza le prestazioni e riduce al minimo i problemi di runtime e i rischi per la sicurezza.

    Nota: questo controllo visualizza le informazioni sulle istanze EC2 nelle regioni seguenti: Virginia settentrionale (us-east-1), California settentrionale (us-west-1), Oregon (us-west-2), Irlanda (eu-west-1), San Paolo (sa-east-1), Tokyo (ap-northeast-1), Singapore (ap-southeast-1), e Sydney (ap-southeast-2).

  • DRIVER mvmE

    Monitora la versione del driver NVMe di AWS per le istanze EC2 per Windows, quindi avvisa l'utente nel caso in cui il driver (a) sia obsoleto e non sia più supportato; (b) sia diventato obsoleto con problemi identificati; o (c) presenti un aggiornamento disponibile. L'utilizzo della versione più recente del driver NVMe di AWS per Windows ottimizza le prestazioni del driver ENA e riduce al minimo i problemi di runtime e i rischi per la sicurezza.

    Nota: questo controllo visualizza le informazioni sulle istanze EC2 nelle regioni seguenti: Virginia settentrionale (us-east-1), California settentrionale (us-west-1), Oregon (us-west-2), Irlanda (eu-west-1), San Paolo (sa-east-1), Tokyo (ap-northeast-1), Singapore (ap-southeast-1), e Sydney (ap-southeast-2).

Prestazioni

Migliora le prestazioni del tuo servizio con il controllo delle limitazioni di servizio, per sfruttare il throughput assegnato e monitorare le istanze sovrautilizzate.

  • Utilizzo elevato delle istanze Amazon EC2

    Verifica le istanze di Amazon Elastic Compute Cloud (Amazon EC2) che sono state in esecuzione durante gli ultimi 14 giorni e ti avvisa se l’utilizzo quotidiano della CPU ha superato il 90% per più di 4 giorni. Un utilizzo elevato uniforme può indicare prestazioni ottimizzate e stabili ma può anche significare che un’applicazione non ha risorse sufficienti. Per ottenere i dati di utilizzo quotidiano della CPU, scarica il report per questo controllo.

  • Configurazione dei collegamenti dei volumi Provisioned IOPS (SSD) di Amazon EBS

    Verifica la presenza di volumi Provisioned IOPS (SSD) collegati a un’istanza di Amazon Elastic Compute Cloud (Amazon EC2) non ottimizzata per Amazon EBS. I volumi Provisioned IOPS nell’Amazon Elastic Block Store (Amazon EBS) sono progettati per fornire le prestazioni previste solo quando sono collegati a un’istanza ottimizzata EBS.

  • Grande numero di regole in un gruppo di sicurezza EC2

    Verifica in ciascun gruppo di Amazon Elastic Compute Compute (EC2) la presenza di un numero eccessivo di regole. Se un gruppo di sicurezza contiene un grande numero di regole, le prestazioni possono essere ridotte.

    Per ulteriori informazioni, consulta la pagina gruppi di sicurezza di Amazon EC2.

  • Grande numero di regole di un gruppo di sicurezza EC2 applicato a un’istanza

    Verifica le istanze di Amazon Elastic Compute Cloud (EC2) che hanno un grande numero di regole di gruppo di sicurezza. Se un’istanza contiene un grande numero di regole, le prestazioni possono essere ridotte.

  • Set di record di risorse di alias di Amazon Route 53

    Verifica i set di record di risorse che instradano le query DNS alle risorse AWS; queste possono essere trasformate in set di record di risorse di alias. Un set di record di risorse di alias è un tipo speciale i record Amazon Route 53 che instrada le query DNS verso una risorsa AWS (ad esempio, un sistema di bilanciamento del carico Elastic Load Balancing o un bucket Amazon S3) o verso un altro set di record di risorse di Route 53. Quando si usano i set di record di risorse di alias, Route 53 instrada gratuitamente le query DNS verso le risorse AWS.

  • Volumi Magnetic di Amazon EBS sovrautilizzati

    Verifica la presenza di volumi Magnetic di Amazon Elastic Block Store (EBS) potenzialmente sovrautilizzati che possono trarre vantaggio da una configurazione più efficiente. Un volume Magnetic è progettato per applicazioni con requisiti I/O moderati o espandibili e il tasso di IOPS non è garantito. Fornisce in media circa 100 IOPS, con la possibilità semplificata di espandere le prestazioni fino a diverse centinaia di IOPS. Per ottenere IOPS più elevate in modo uniforme, si può usare un volume Provisioned IOPS (SSD). Per IOPS espandibili, si può usare un volume di utilizzo generale.

  • Ottimizzazione della distribuzione di contenuti di Amazon CloudFront

    Verifica i casi in cui il trasferimento dati dai bucket di Amazon Simple Storage Service (Amazon S3) può essere accelerato usando Amazon CloudFront, il servizio di distribuzione di contenuti globali di AWS. Quando si configura Amazon CloudFront per distribuire contenuti, le richieste di contenuti vengono instradate automaticamente all’edge location più vicina dove i contenuti vengono memorizzati nella cache in modo da essere distribuiti agli utenti con le migliori prestazioni possibile. Un elevato rapporto di trasferimento dati a partire dai dati memorizzati nel bucket indica che Amazon CloudFront può migliorarne il trasferimento.

  • Inoltro di intestazioni e hit rate della cache di CloudFront

    Verifica le intestazioni delle richieste HTTP che CloudFront attualmente riceve dal client e inoltra al server di origine. Alcune intestazioni, quali Date o User Agent, riducono notevolmente la hit rate della cache (la proporzione di richieste servite da una cache edge di CloudFront). Questo aumenta il carico sull’origine e riduce le prestazioni in quanto CloudFront deve inoltrare più richieste all’origine.

  • Ottimizzazione throughput da Amazon EC2 a EBS

    Verifica la presenza di volumi Amazon EBS le cui prestazioni potrebbero essere limitate dalla capacità di throughput massima dell'istanza Amazon EC2 a cui sono collegati. Per ottimizzare le prestazioni, occorre assicurarsi che il throughput massimo di un’istanza EC2 sia maggiore del throughput massimo aggregato dei volumi EBS collegati.

  • Nomi di dominio alternativi di CloudFront

    Verifica tra le distribuzioni CloudFront la presenza di nomi di dominio alternativi con impostazioni DNS configurate non correttamente. Se una distribuzione CloudFront include nomi di dominio alternati, la configurazione DNS dei domini deve instradare query DNS a quella distribuzione.

Limitazioni di servizio

Verifica un utilizzo del servizio che supera dell’80% i limiti di servizio. I valori di basano su uno snapshot, quindi l’uso attuale potrebbe essere diverso. Le modifiche apportate al limite e ai dati di utilizzo potrebbero essere visibili a partire dalle 24 ore successive.

La tabella che segue mostra i limiti dei controlli di Trusted Advisor.

Servizio
Limiti
Amazon Elastic Compute Cloud
(Amazon EC2)
Elastic IP Address (EIP)
Istanze riservate – limite di acquisto (mensile)
Istanze on demand
Amazon Elastic Block Store
(Amazon EBS)
Volumi attivi
Snapshot attive
Storage volume di utilizzo generale (SSD) (GiB)
Provisioned IOPS
Storage volume Provisioned IOPS (SSD) (GiB)
Storage volume magnetico (GiB)
Amazon Kinesis Streams Shard
Amazon Relational Database Service
(Amazon RDS)
Cluster
Gruppi di parametri di cluster
Ruoli di cluster
Istanze DB
Gruppi di parametri di DB
Gruppi di sicurezza DB
Snapshot DB per ciascun utente
Abbonamenti a eventi
Autorizzazioni massime per ciascun gruppo di sicurezza
Gruppi di opzioni
Repliche di lettura per master
Istanze riservate
Quota storage (GiB)
Gruppi di sottoreti
Sottoreti per gruppo di sottoreti
Amazon Simple Email Service
(Amazon SES)
Quota invii giornalieri
Amazon Virtual Private Cloud
(Amazon VPC)
 
Elastic IP Address (EIP)
Gateway Internet
Cloud privati virtuali di
Auto Scaling
Gruppi di Auto Scaling
Configurazioni di avvio
AWS CloudFormation Stack
Elastic Load Balancing (ELB)
Sistemi di bilanciamento del carico attivi
Identity and Access Management (IAM)
Gruppi
Profili istanza
Policy
Ruoli
Certificati server
Utenti

Nota: i limiti di servizio relativi ai dati delle istanze on demand di EC2 sono disponibili solo nelle seguenti regioni AWS:

Asia Pacifico (Tokyo) [ap-northeast-1]
Asia Pacifico (Singapore) [ap-southeast-1]
Asia Pacifico (Sydney) [ap-southeast-2]
UE (Irlanda) [eu-west-1]
Sud America (San Paolo) [sa-east-1]
Stati Uniti orientali (Virginia settentrionale) [us-east-1]
Stati Uniti occidentali (California settentrionale) [us-west-1]
Stati Uniti occidentali (Oregon) [us-west-2]

Nota: Trusted Advisor non monitora i limiti regionali per le istanze on demand di EC2. Di default, il limite è impostato a 20 istanze on demand per account in ciascuna regione.

Nei casi in cui questo limite viene raggiunto a livello di regione, potrebbe non essere possibile lanciare nuove istanze on demand anche se Trusted Advisor indica che i limiti basati sul tipo di istanza per la stessa regione non sono ancora stati superati. Per ulteriori informazioni sui limiti per le istanze on demand di EC2, consulta la domanda Quante istanze è possibile eseguire in Amazon EC2?.

Lavoriamo costantemente per includere altri servizi nel controllo dei Limiti di servizio. Il feedback dell'utente è di grande utilità per noi.