AWS Trusted Advisor 모범 사례 점검 항목

AWS Trusted Advisor 모범 사례 점검 항목

AWS Trusted Advisor는 비용 최적화, 보안, 내결함성,성능 및 서비스 한도라는 5가지 카테고리에 대한 다양한 모범 사례 점검 항목 및 권장 사항을 제공합니다.

비용 최적화

사용되지 않는 유휴 리소스를 제거하거나 예약 용량을 약정하여 AWS에서 비용을 절약할 수 있는 방법을 확인합니다.

  • Amazon EC2 예약 인스턴스 최적화  

    Amazon Elastic Compute Cloud(EC2) 컴퓨팅 사용 기록을 점검하고 최적의 부분 선결제 예약 인스턴스 수를 계산합니다. 모든 통합 결제 계정을 망라하여 집계한 지난달의 시간별 사용량을 기반으로 권장 사항을 제안합니다. 권장 사항의 계산 방법에 대한 자세한 내용은 Trusted Advisor FAQ의 ‘예약 인스턴스 최적화 점검 질문’을 참조하십시오.

    예약 인스턴스를 사용하면 저렴한 일회성 요금을 지불하고 해당 인스턴스에 대해 시간당 요금을 대폭 할인받을 수 있습니다. 결제 시스템은 사용자의 비용을 최소화하기 위해 자동으로 예약 인스턴스 요금을 우선 적용합니다.

  • 사용률이 낮은 Amazon EC2 인스턴스  

    지난 14일 동안 실행된 적이 있는 Amazon Elastic Compute Cloud(EC2) 인스턴스를 점검하여, 4일 이상 일일 CPU 사용률이 10% 이하이고 네트워크 I/O가 5MB 이하였던 경우 사용자에게 알려줍니다. 실행되는 인스턴스에 대해 시간당 사용 요금이 발생합니다. 사용률이 낮도록 설계된 시나리오가 있을 수도 있지만 인스턴스의 수와 크기를 관리하여 비용을 줄일 수 있는 경우가 많습니다.

    온디맨드 인스턴스의 현재 사용률과 인스턴스의 사용률이 낮을 수 있는 것으로 예상되는 일수를 사용하여 예상 월별 비용 절감액을 계산할 수 있습니다. 예약 인스턴스나 스팟 인스턴스를 사용하는 경우 또는 인스턴스가 종일 실행되지 않는 경우에는 실제 절감액이 달라집니다. 일일 사용률 데이터를 보려면 이 점검 항목에 대한 보고서를 다운로드하십시오.  

  • 유휴 상태의 Load Balancer  

    활발하게 사용되지 않는 로드 밸런서에 대한 Elastic Load Balancing 구성을 점검합니다. 구성된 모든 로드 밸런서에서 요금이 발생합니다. 로드 밸런서에 연결된 백엔드 인스턴스가 없거나 네트워크 트래픽이 매우 제한적인 경우에는 로드 밸런서가 효율적으로 사용되지 않습니다.

  • 사용률이 낮은 Amazon EBS 볼륨  

    Amazon Block Store(EBS) 볼륨 구성을 점검하고 볼륨 사용률이 낮은 경우 경고합니다. 볼륨이 생성되면 요금이 부과되기 시작합니다. 볼륨이 연결되지 않은 채로 있거나 일정 기간 동안 쓰기 활동(부트 볼륨 제외)이 매우 적은 경우, 해당 볼륨은 아마도 사용되고 있지 않을 것입니다.

  • 연결되지 않은 탄력적 IP 주소  

    실행되는 Amazon Elastic Compute Cloud(EC2) 인스턴스와 연결되지 않은 탄력적 IP 주소(EIP)를 점검합니다. EIP는 동적 클라우드 컴퓨팅에 적합하게 설계된 고정 IP 주소입니다. 기존의 고정 IP 주소와 달리 EIP는 퍼블릭 IP 주소를 계정 내의 다른 인스턴스로 다시 매핑하여 인스턴스 또는 가용 영역의 장애를 마스킹할 수 있습니다. 실행되는 인스턴스에 연결되지 않은 EIP에 대해서는 약간의 요금이 부과됩니다.

  • Amazon RDS 유휴 DB 인스턴스  

    유휴 상태인 것으로 보이는 DB 인스턴스가 있는지 Amazon Relational Database Service(RDS) 구성을 점검합니다. DB 인스턴스에 오랫동안 연결이 없는 경우 인스턴스를 삭제하여 비용을 줄일 수 있습니다. 인스턴스의 데이터에 영구 스토리지가 필요한 경우 DB 스냅샷을 생성하거나 보존하는 등의 더 저렴한 옵션을 사용할 수 있습니다. 수동으로 생성한 DB 스냅샷은 사용자가 삭제할 때까지 보존됩니다. 

  • Amazon Route 53 지연 시간 리소스 레코드 세트  

    비효율적으로 구성된 Amazon Route 53 지연 시간 레코드 세트를 점검합니다. Amazon Route 53에서 네트워크 지연 시간이 가장 짧은 리전으로 쿼리를 라우팅하도록 하려면 다른 리전에 있는 특정 도메인 이름(예: example.com)에 대한 지연 시간 리소스 레코드 세트를 생성해야 합니다. 도메인 이름에 대한 지연 시간 리소스 레코드 세트를 하나만 생성한 경우 모든 쿼리가 한 리전으로 라우팅됩니다. 이러한 경우 이점을 활용하지 못하며 지연 시간 기반 라우팅에 대한 추가 비용을 지불해야 합니다.  

  • Amazon EC2 예약 인스턴스 임대 만료  

    향후 30일 이내에 만료될 예정이거나 이전 30일 이내에 만료된 Amazon EC2 예약 인스턴스가 있는지 점검합니다. 예약 인스턴스는 자동으로 갱신되지 않습니다. 예약이 적용된 EC2 인스턴스를 중단 없이 계속 사용할 수 있지만 온디맨드 요금이 부과됩니다. 새로운 예약 인스턴스는 만료된 인스턴스와 동일한 파라미터를 가질 수 있으며, 다른 파라미터의 예약 인스턴스를 구입할 수도 있습니다.


    여기에 표시되는 예상 월별 절감액은 동일한 인스턴스 유형에 대한 온디맨드 인스턴스 요금과 예약 인스턴스 요금 간 차이입니다.

  • 사용률이 낮은 Amazon Redshift 클러스터  

    사용률이 낮은 것으로 보이는 클러스터가 있는지 Amazon Redshift 구성을 점검합니다. Amazon RedShift 클러스터가 장기간 연결되지 않았거나 CPU 사용량이 적은 경우, 클러스터 크기를 줄이거나 클러스터를 종료하고 최종 스냅샷을 생성하는 등 좀 더 저렴한 옵션을 사용할 수 있습니다. 최종 스냅샷은 클러스터를 삭제한 후에도 보존됩니다.

보안

결함을 없애고, 다양한 AWS 보안 기능을 사용하며, 권한을 점검하여 애플리케이션 보안을 개선합니다.

  • 보안 그룹 – 제한 없는 특정 포트(무료!)

    특정 포트에 대한 제한 없는 액세스(0.0.0.0/0)를 허용하는 규칙에 대해 보안 그룹을 점검합니다. 제한 없는 액세스는 악의적인 활동(해킹, 서비스 거부 공격, 데이터 손실)의 가능성을 높입니다. 위험성이 가장 높은 포트에는 빨간색 플래그가 지정되고 덜 위험한 포트에는 노란색 플래그가 지정됩니다. 녹색 플래그가 지정된 포트는 일반적으로 HTTP 및 SMTP와 같이 제한 없는 액세스가 필요한 애플리케이션에서 사용합니다.


    의도적으로 이런 방식에 따라 보안 그룹을 구성한 경우 추가적인 보안 조치를 사용하여 IP 테이블 등의 인프라를 보호하는 것이 좋습니다.

  • 보안 그룹 – 제한 없는 액세스

    리소스에 제한 없는 액세스를 허용하는 규칙에 대해 보안 그룹을 점검합니다. 제한 없는 액세스는 악의적인 활동(해킹, 서비스 거부 공격, 데이터 손실)의 가능성을 높입니다.

  • IAM 사용(무료!)

    AWS Identity and Access Management(IAM)의 사용을 점검합니다. IAM을 사용하여 AWS의 사용자, 그룹, 역할을 생성할 수 있고 권한을 사용하여 AWS 리소스에 대한 액세스를 제어할 수 있습니다.

  • Amazon S3 버킷 권한(무료!)

    공개 액세스 권한이 있는 Amazon Simple Storage Service(S3)의 버킷을 점검합니다. 모든 사용자에게 목록 액세스 권한을 부여하는 버킷 권한은 의도하지 않은 사용자가 버킷에 객체를 자주 나열하는 경우 예상보다 높은 요금이 부과될 수 있습니다. 모든 사용자에게 업로드/삭제 액세스 권한을 부여하는 버킷 권한은 누구든지 버킷의 항목을 추가, 수정, 삭제하도록 허용함으로써 잠재적 보안 취약성을 만듭니다. 이 점검 항목은 명시적인 버킷 권한과 해당 버킷 권한을 재정의할 수 있는 관련 버킷 정책을 확인합니다.

  • 루트 계정의 MFA(무료!)

    계정에 대한 암호 정책을 점검하고 암호 정책이 활성화되지 않은 경우 또는 암호 콘텐츠 요구 사항이 활성화되지 않은 경우 경고합니다. 암호 콘텐츠 요구 사항은 강력한 사용자 암호 생성을 적용하여 AWS 환경 전반의 보안을 강화합니다. 암호 정책을 생성하거나 변경하면 변경 사항은 새로운 사용자에게 즉시 적용되지만 기존 사용자가 암호를 변경할 필요는 없습니다.

  • Amazon RDS 보안 그룹 액세스 위험

    Amazon Relational Database Service(RDS)의 보안 그룹 구성을 점검하고 보안 그룹 규칙이 데이터베이스에 대해 지나치게 허용적인 액세스 권한을 부여하는 경우 경고합니다. 모든 보안 그룹 규칙에 권장되는 구성은 특정 Amazon Elastic Compute Cloud(EC2) 보안 그룹 또는 특정 IP 주소로부터의 액세스를 허용하는 것입니다.

  • AWS CloudTrail 로깅

    AWS CloudTrail 사용을 점검합니다. CloudTrail은 AWS 계정에서 이루어진 AWS API 호출에 대한 정보를 기록하여 해당 계정 내 활동에 대한 향상된 가시성을 제공합니다. 이러한 로그를 사용하여 지정된 기간에 특정 사용자가 수행한 작업이 무엇인지, 지정된 기간에 특정 리소스를 사용하여 작업한 사용자가 누구인지 등을 확인할 수 있습니다. CloudTrail은 로그 파일을 Amazon Simple Storage Service(S3) 버킷에 전달하므로, CloudTrail은 해당 버킷에 대한 쓰기 권한이 있어야 합니다.

  • Amazon Route 53 MX 및 SPF 리소스 레코드 세트

    각 MX 리소스 레코드 세트에 대한 SPF 리소스 레코드 세트를 점검합니다. SPF(발신자 정책 프레임워크) 레코드는 도메인에 대해 이메일을 전송할 권한이 있는 서버 목록을 게시합니다. 이를 통해 이메일 주소 스푸핑을 탐지 및 차단하여 스팸을 줄일 수 있습니다.

  • ELB 리스너 보안

    암호화된 통신을 위한 권장 보안 구성을 사용하지 않는 리스너가 있는지 로드 밸런서를 점검합니다. AWS에서는 보안 프로토콜(HTTPS 또는 SSL), 최신 보안 정책, 안전한 암호화 및 프로토콜을 사용하도록 권장합니다. 프런트 엔드 연결(클라이언트에서 로드 밸런서로)에 보안 프로토콜을 사용하는 경우, 클라이언트와 로드 밸런서 간에 요청이 암호화되므로 더욱 안전합니다. Elastic Load Balancing은 AWS 보안 모범 사례를 준수하는 암호화 및 프로토콜과 함께 사전 정의된 보안 정책을 제공합니다. 사전 정의된 정책의 새로운 버전은 새로운 구성이 제공될 때 릴리스됩니다.

  • ELB 보안 그룹  

    로드 밸런서에 포함되지 않은 포트에 대한 액세스를 허용하는 보안 그룹이 구성되어 있거나, 보안 그룹이 누락되어 구성된 로드 밸런서가 있는지 점검합니다. 로드 밸런서에 연결된 보안 그룹이 삭제되는 경우 로드 밸런서는 정상적으로 작동하지 않습니다. 보안 그룹이 로드 밸런서에 포함되지 않은 포트에 대한 액세스를 허용하는 경우, 데이터 손실 또는 악의적 공격의 위험이 증가합니다.  

  • IAM 인증서 스토어의 CloudFront 사용자 지정 SSL 인증서  

    IAM 인증서 스토어의 CloudFront 대체 도메인 이름용 SSL 인증서가 만료되거나, 곧 만료될 예정이거나, 오래된 암호화를 사용하거나, 배포에 대해 올바르게 구성되지 않은 것은 없는지 점검합니다. 대체 도메인 이름용 사용자 지정 인증서가 만료되는 경우, CloudFront 콘텐츠를 표시하는 브라우저가 웹 사이트 보안에 대한 경고 메시지를 표시할 수 있습니다. SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서는 Chrome 및 Firefox와 같은 웹 브라우저에서는 더 이상 사용되지 않습니다. 인증서에 오리진 도메인 이름 또는 최종 사용자 요청의 호스트 헤더에 있는 도메인 이름과 일치하는 도메인 이름이 없는 경우, CloudFront는 HTTP 상태 코드 502(잘못된 게이트웨이)를 사용자에게 반환합니다.

  • 오리진 서버의 CloudFront SSL 인증서  

    지난 90일 동안 교체되지 않은 활성 IAM 액세스 키가 있는지 점검합니다. 액세스 키를 정기적으로 교체하면, 알지 못하는 상태에서 리소스에 액세스하는 데 손상된 키가 사용될 가능성이 줄어듭니다. 이 점검의 경우 마지막 교체 날짜와 시간은 액세스 키가 생성되거나 가장 최근에 활성화된 시간입니다. 액세스 키 번호 및 날짜는 가장 최근 IAM 자격 증명 보고서의 access_key_1_last_rotated 및 access_key_2_last_rotated 정보에서 가져옵니다.

  • 노출된 액세스 키  

    일반에 노출된 액세스 키가 있는지 그리고 손상된 액세스 키로 인해 비정상적으로 사용된 Amazon Elastic Compute Cloud(EC2)가 있는지 널리 사용되는 코드 리포지토리를 점검합니다. 액세스 키는 액세스 키 ID와 해당 비밀 액세스 키로 구성됩니다. 노출된 액세스 키는 사용자 계정 및 다른 사용자에게 보안 위험을 초래하고, 무단 활동 또는 남용으로 인해 과도한 요금이 부과되며, AWS 고객 계약을 위반할 수 있습니다. 액세스 키가 노출되면 즉시 계정을 보호할 수 있는 조치를 취하십시오. AWS는 과도한 요금으로부터 계정을 추가로 보호하기 위해 일부 AWS 리소스를 생성할 수 있는 기능을 일시적으로 제한합니다. 이렇게 해도 계정이 보호되지는 않으며 요금이 발생할 수 있는 무단 사용을 부분적으로 제한할 뿐입니다. 참고: 이 점검 항목이 노출된 액세스 키 또는 손상된 EC2 인스턴스의 식별을 보장하지는 않습니다. 액세스 키 및 AWS 리소스에 대한 안전 및 보안에 대한 책임은 궁극적으로 고객에게 있습니다.

  • Amazon EBS 퍼블릭 스냅샷(무료!)  

    Amazon Elastic Block Store(EBS) 볼륨 스냅샷의 권한 설정을 점검하고 퍼블릭으로 표시된 스냅샷이 있으면 알립니다. 스냅샷을 퍼블릭으로 만들면 모든 AWS 계정 및 사용자에게 해당 스냅샷의 모든 데이터에 대한 액세스 권한을 부여하게 됩니다. 스냅샷을 특정 사용자 또는 계정과 공유하고자 하는 경우, 스냅샷을 프라이빗으로 표시한 다음 스냅샷 데이터를 공유할 사용자 또는 계정을 지정합니다.

  • Amazon RDS 퍼블릭 스냅샷(무료!)  

    Amazon Relational Database Service(RDS) DB 스냅샷의 권한 설정을 점검하고 퍼블릭으로 표시된 스냅샷이 있으면 알립니다. 스냅샷을 퍼블릭으로 만들면 모든 AWS 계정 및 사용자에게 해당 스냅샷의 모든 데이터에 대한 액세스 권한을 부여하게 됩니다. 스냅샷을 특정 사용자 또는 계정과 공유하고자 하는 경우, 스냅샷을 프라이빗으로 표시한 다음 스냅샷 데이터를 공유할 사용자 또는 계정을 지정합니다.

  • IAM 암호 정책  

    계정에 대한 암호 정책을 점검하고 암호 정책이 활성화되지 않은 경우 또는 암호 콘텐츠 요구 사항이 활성화되지 않은 경우 경고합니다. 암호 콘텐츠 요구 사항은 강력한 사용자 암호 생성을 적용하여 AWS 환경 전반의 보안을 강화합니다. 암호 정책을 생성하거나 변경하면 변경 사항은 새로운 사용자에게 즉시 적용되지만 기존 사용자가 암호를 변경할 필요는 없습니다.

  • IAM 액세스 키 교체  

    지난 90일 동안 교체되지 않은 활성 IAM 액세스 키가 있는지 점검합니다. 액세스 키를 정기적으로 교체하면, 알지 못하는 상태에서 리소스에 액세스하는 데 손상된 키가 사용될 가능성이 줄어듭니다. 이 점검의 경우 마지막 교체 날짜와 시간은 액세스 키가 생성되거나 가장 최근에 활성화된 시간입니다. 액세스 키 번호 및 날짜는 가장 최근 IAM 자격 증명 보고서의 access_key_1_last_rotated 및 access_key_2_last_rotated 정보에서 가져옵니다.

내결함성

Auto Scaling, 상태 확인, 다중 AZ 및 백업 기능을 활용하여 AWS 애플리케이션의 가용성과 중복성을 높입니다.

  • Amazon EBS 스냅샷

    사용 가능하거나 사용 중인 Amazon Elastic Block Store(EBS) 볼륨에 대한 스냅샷의 수명을 점검합니다. Amazon EBS 볼륨은 복제되더라도 장애가 발생할 수 있습니다. 스냅샷은 특정 시점으로 복구 및 내구력 있는 스토리지를 위해 Amazon Simple Storage Service(S3)에 보관됩니다.

  • Amazon EC2 가용 영역 밸런싱

    리전 내 가용 영역 전반에 걸쳐 Amazon Elastic Compute Cloud(EC2) 인스턴스의 분산을 점검합니다. 가용 영역은 다른 가용 영역에서 발생한 장애의 영향을 받지 않으며, 동일 리전 내의 다른 가용 영역에 대한 저렴하고 지연 시간이 짧은 네트워크 연결을 제공하도록 설계된 개별 위치입니다. 동일 리전의 여러 가용 영역에서 인스턴스를 시작함으로써 단일 장애 지점으로부터 애플리케이션을 보호할 수 있습니다.

  • Load Balancer 최적화

    Load Balancer 구성을 점검합니다. Elastic Load Balancing을 사용할 때 Amazon Elastic Compute Cloud(EC2)의 내결함성 수준을 높이려면 한 리전의 여러 가용 영역에서 각각 동일한 수의 인스턴스를 실행하는 것이 좋습니다. 구성된 로드 밸런서에는 요금이 발생하므로, 이는 비용 최적화 점검이기도 합니다.

  • VPN 터널 중복성

    각 VPN에 대해 활성화된 터널 수를 점검합니다. VPN은 항상 두 개의 터널로 구성되어 AWS 엔드포인트에 있는 디바이스의 중단이나 예정된 유지 관리에 대비한 적절한 중복성을 제공해야 합니다. 일부 하드웨어의 경우 한 번에 한 개의 터널만 활성화됩니다(Amazon Virtual Private Cloud 네트워크 관리자 안내서 참조). VPN에 활성화된 터널이 없는 경우에도 여전히 VPN에 대한 요금이 적용될 수 있습니다.

  • Auto Scaling 그룹 리소스

    시작 구성 및 Auto Scaling 그룹과 관련된 리소스의 가용성을 점검합니다. 사용할 수 없는 리소스를 가리키는 Auto Scaling 그룹은 새 Amazon Elastic Compute Cloud(EC2) 인스턴스를 시작할 수 없습니다. 적절하게 구성되면 Auto Scaling이 용량에 대한 수요가 급증할 경우 Amazon EC2 인스턴스 수를 원활하게 늘리고 수요가 감소할 경우 자동으로 인스턴스 수를 줄입니다. 사용할 수 없는 리소스를 가리키는 Auto Scaling 그룹 및 시작 구성은 제대로 작동하지 않습니다.

  • Amazon RDS 백업

    Amazon RDS DB 인스턴스의 자동 백업을 점검합니다. 기본적으로 백업은 보존 기간이 1일로 활성화됩니다. 백업은 예기치 못한 데이터 손실의 위험을 줄이고 특정 시점으로 복구를 지원합니다.

  • Amazon RDS 다중 AZ

    단일 가용 영역에 배포된 DB 인스턴스를 점검합니다. 다중 AZ 배포는 다른 가용 영역에 있는 예비 인스턴스로 동기식으로 복제함으로써 데이터베이스 가용성을 향상합니다. 계획된 데이터베이스 유지 관리 또는 DB 인스턴스나 가용 영역의 장애 시 Amazon RDS가 자동으로 예비 인스턴스로 장애 조치하므로 관리자 개입 없이 빠르게 데이터베이스 작업을 재개할 수 있습니다. Amazon RDS는 Microsoft SQL Server에 대한 다중 AZ 배포를 지원하지 않으므로, 이 점검에서는 SQL Server 인스턴스를 확인하지 않습니다.

  • Auto Scaling 그룹 상태 확인

    Auto Scaling 그룹에 대한 상태 확인 구성을 점검합니다. Auto Scaling 그룹에 대해 Elastic Load Balancing을 사용하는 경우 Elastic Load Balancing 상태 확인을 사용하도록 구성하는 것이 좋습니다. Elastic Load Balancing 상태 확인을 사용하지 않으면 Auto Scaling이 Amazon Elastic Compute Cloud(EC2) 인스턴스의 상태에 대해서만 작동하고 인스턴스에서 실행되지 않는 애플리케이션에 대해서는 작동하지 않습니다.

  • Amazon S3 버킷 로깅

    Amazon Simple Storage Service(S3) 버킷의 로깅 구성을 점검합니다. 서버 액세스 로깅이 활성화된 경우 상세한 액세스 로그가 매시간 선택한 버킷으로 전송됩니다. 액세스 로그 레코드는 요청 유형, 요청에 지정된 리소스, 요청이 처리된 시간 및 날짜와 같은 요청에 대한 세부 정보를 포함합니다. 기본적으로 버킷 로깅은 활성화되어 있지 않습니다. 보안 감사를 수행하거나 사용자 및 사용 패턴에 대해 자세히 알아보려면 로깅을 활성화해야 합니다.

  • Amazon Route 53 이름 서버 위임  

    도메인 등록자 또는 DNS가 올바른 Route 53 이름 서버를 사용하지 않는 Amazon Route 53 호스팅 영역이 있는지 점검합니다. 호스팅 영역을 생성하면 Route 53이 4개의 이름 서버의 위임 세트를 할당합니다. 이러한 서버의 이름은 ns-###.awsdns-##.com, .net, .org 및 .co.uk이며, 여기에서 ### 및 ##은 일반적으로 서로 다른 숫자를 나타냅니다. Route 53이 도메인의 DNS 쿼리를 라우팅하려면 등록자의 이름 서버 구성을 업데이트하여 등록자가 할당한 이름 서버를 제거하고 Route 53 위임 세트의 이름 서버 4개를 모두 추가해야 합니다. 가용성을 극대화하려면 4개의 Route 53 이름 서버를 모두 추가해야 합니다.

  • Amazon Route 53 높은 TTL 리소스 레코트 세트

    TTL(Time-To-Live) 값이 더 낮을 때 혜택을 볼 수 있는 리소스 레코드 세트를 점검합니다. TTL은 DNS 확인자가 리소스 레코드 세트를 캐시하는 시간(초)입니다. 긴 TTL을 지정하면 DNS 확인자가 업데이트된 DNS 레코드를 요청하는 데 시간이 더 오래 걸리므로 트래픽을 다시 라우팅할 때 불필요한 지연이 발생할 수 있습니다(예를 들어, DNS 장애 조치가 엔드포인트 중 하나에서 장애를 탐지하고 응답하는 경우).

  • Amazon Route 53 장애 조치 리소스 레코드 세트

    잘못 구성된 Amazon Route 53 장애 조치 리소스 레코드 세트가 있는지 점검합니다. Amazon Route 53 상태 확인에서 기본 리소스가 비정상 상태임을 확인하면 Amazon Route 53에서는 보조 백업 리소스 레코드 세트를 사용해 쿼리에 응답합니다. 장애 조치가 제대로 수행될 수 있도록 올바르게 구성된 기본 리소스 레코드 세트와 보조 리소스 레코드 세트를 생성해야 합니다.

  • Amazon Route 53 삭제된 상태 확인

    삭제된 상태 확인과 연결된 리소스 레코드 세트가 있는지 점검합니다. Amazon Route 53에는 사용자가 하나 이상의 리소스 레코드 세트와 연결된 상태 확인을 삭제하지 않도록 방지하는 기능이 없습니다. 연결된 리소스 레코드 세트를 업데이트하지 않은 채 상태 확인을 삭제한 경우 DNS 장애 조치 구성에 대한 DNS 쿼리 라우팅이 의도한 대로 작동하지 않습니다. 이는 DNS 장애 조치 구성에 대한 DNS 쿼리 라우팅에 영향을 미칩니다.

  • ELB 연결 드레이닝

    연결 드레이닝이 활성화되지 않은 로드 밸런서가 있는지 점검합니다. 연결 드레이닝이 활성화되지 않은 상태에서 로드 밸런서에서 Amazon EC2 인스턴스를 제거(등록 해제)하면, 로드 밸런서가 해당 인스턴스로 트래픽이 라우팅되는 것을 중단하고 연결을 종료합니다. 연결 드레이닝이 활성화되면, 로드 밸런서가 새로운 요청을 등록 해제된 인스턴스로 보내는 것을 중단하지만 활성 요청을 지원하도록 연결을 열어 둡니다.

  • ELB 교차 영역 로드 밸런싱

    교차 영역 로드 밸런싱이 활성화되지 않은 로드 밸런서가 있는지 점검합니다. 교차 영역 로드 밸런싱은 인스턴스가 위치한 가용 영역과 관계없이 요청을 모든 백엔드 인스턴스 전체에 균등하게 분산합니다. 교차 영역 로드 밸런싱은 클라이언트가 DNS 정보를 잘못 캐시하거나 각 가용 영역의 인스턴스 수가 동일하지 않은 경우(예: 유지 관리를 위해 일부 인스턴스를 종료), 트래픽의 불균등한 분산을 줄입니다. 교차 영역 로드 밸런싱을 사용하면 손쉽게 애플리케이션을 여러 가용 영역에 배포하고 관리할 수 있습니다.

  • Amazon S3 버킷 버전 관리

    버전 관리가 활성화되지 않았거나 버전 관리가 중단된 Amazon Simple Storage Service 버킷이 있는지 점검합니다. 버전 관리가 활성화되면, 의도하지 않은 사용자 작업 및 애플리케이션 장애로부터 쉽게 복구할 수 있습니다. 버전 관리를 사용하면 버킷에 저장된 모든 버전의 모든 객체를 보존, 검색 및 복원할 수 있습니다. 수명 주기 규칙을 사용하여 자동으로 객체를 Glacier 스토리지 클래스에 아카이브하거나 지정된 기간이 지난 후에 제거함으로써 객체의 모든 버전 및 관련 비용을 관리할 수 있습니다. 또한, 버킷의 객체 삭제 또는 구성 변경 시 Multi-Factor Authentication(MFA)을 요구하도록 선택할 수 있습니다.

  • AWS Direct Connect 연결 중복성

    하나의 AWS Direct Connect 연결만 사용하는 리전이 있는지 점검합니다. 디바이스를 사용할 수 없을 경우에 대비해 중복성을 제공하려면 AWS 리소스에 대한 연결에는 항상 2개의 Direct Connect 연결이 구성되어 있어야 합니다.

  • AWS Direct Connect 위치 중복성  

    최소한 두 개 이상의 AWS Direct Connect 연결에 구성되지 않은 AWS Direct Connect 가상 인터페이스(VIF)를 사용하는 가상 프라이빗 게이트웨이가 있는지 점검합니다. 디바이스 또는 위치를 사용할 수 없을 경우에 대비해 중복성을 제공하려면 가상 프라이빗 게이트웨이에 대한 연결에는 여러 연결 및 위치에 걸쳐 구성된 여러 가상 인터페이스가 있어야 합니다.

  • AWS Direct Connect 가상 인터페이스 중복성

    최소한 두 개 이상의 AWS Direct Connect 연결에 구성되지 않은 AWS Direct Connect 가상 인터페이스(VIF)를 사용하는 가상 프라이빗 게이트웨이가 있는지 점검합니다. 디바이스 또는 위치를 사용할 수 없을 경우에 대비해 중복성을 제공하려면 가상 프라이빗 게이트웨이에 대한 연결에는 여러 연결 및 위치에 걸쳐 구성된 여러 가상 인터페이스가 있어야 합니다.

  • Amazon Aurora DB 인스턴스 접근성

    Amazon Aurora DB 클러스터에 프라이빗 및 퍼블릭 인스턴스 모두가 있는 경우를 점검합니다. 기본 인스턴스에 장애가 발생하면 복제본이 기본 인스턴스로 승격될 수 있습니다. 해당 복제본이 프라이빗인 경우, 퍼블릭 액세스 권한만 있는 사용자는 장애 조치 후 더 이상 해당 데이터베이스에 연결할 수 없습니다. 클러스터의 모든 DB 인스턴스가 같은 접근성을 갖는 것이 좋습니다.

  • EC2 Windows 인스턴스용 EC2Config 서비스

    EC2 Windows 인스턴스용 EC2Config 서비스를 점검하고 EC2Config 에이전트가 오래되었거나 잘못 구성된 경우 알림을 전송합니다. EC2Config의 최신 버전을 사용하면 PV 드라이버 검사와 같은 엔드포인트 소프트웨어 관리를 지원 및 최적화하여 가장 안전하고 안정적인 엔드포인트 소프트웨어를 최신 상태로 유지할 수 있습니다.

    참고: 이 점검 항목은 버지니아 북부(us-east-1), 캘리포니아 북부(us-west-1), 오리건(us-west-2), 아일랜드(eu-west-1), 상파울루(sa-east-1), 도쿄(ap-northeast-1), 싱가포르(ap-southeast-1) 및 시드니(ap-southeast-2) 리전의 EC2 인스턴스에 대한 정보를 표시합니다.

  • EC2 Windows 인스턴스용 PV 드라이버 버전

    내결함성

    Auto Scaling, 상태 확인, 다중 AZ 및 백업 기능을 활용하여 AWS 애플리케이션의 가용성과 중복성을 높입니다.

    Amazon EC2 Windows 인스턴스용 PV 드라이버 버전을 점검하고 드라이버가 최신 버전이 아니면 알림을 전송합니다. 최신 PV 드라이버를 사용하면 드라이버 성능을 최적화하고 런타임 문제 및 보안 위험을 최소화하는 데 도움이 됩니다.

    참고: 이 점검 항목은 버지니아 북부(us-east-1), 캘리포니아 북부(us-west-1), 오리건(us-west-2), 아일랜드(eu-west-1), 상파울루(sa-east-1), 도쿄(ap-northeast-1), 싱가포르(ap-southeast-1) 및 시드니(ap-southeast-2) 리전의 EC2 인스턴스에 대한 정보를 표시합니다.

  • ENA 드라이버

    EC2 Windows 인스턴스용 AWS ENA 드라이버 버전을 확인한 다음, (a) 드라이버가 폐지되었으며 더 이상 지원되지 않는 경우, (b) 드라이버에 문제가 있음이 확인되어 폐지된 경우 또는 (c) 드라이버에 사용할 수 있는 업그레이드가 제공된 경우, 알림을 전송합니다. Windows용 AWS ENA 드라이버의 최신 버전을 사용하면 ENA 드라이버 성능을 최적화하고 런타임 문제와 보안 위험을 최소화할 수 있습니다.

    참고: 이 점검 항목은 버지니아 북부(us-east-1), 캘리포니아 북부(us-west-1), 오리건(us-west-2), 아일랜드(eu-west-1), 상파울루(sa-east-1), 도쿄(ap-northeast-1), 싱가포르(ap-southeast-1) 및 시드니(ap-southeast-2) 리전의 EC2 인스턴스에 대한 정보를 표시합니다.

  • NVMe 드라이버

    EC2 Windows 인스턴스용 AWS NVMe 드라이버 버전을 확인한 다음, (a) 드라이버가 폐지되었으며 더 이상 지원되지 않는 경우, (b) 드라이버에 문제가 있음이 확인되어 폐지된 경우 또는 (c) 드라이버에 사용할 수 있는 업그레이드가 제공된 경우, 알림을 전송합니다. Windows용 AWS NVMe 드라이버의 최신 버전을 사용하면 NVMe 드라이버 성능을 최적화하고 런타임 문제와 보안 위험을 최소화할 수 있습니다.

    참고: 이 점검 항목은 버지니아 북부(us-east-1), 캘리포니아 북부(us-west-1), 오리건(us-west-2), 아일랜드(eu-west-1), 상파울루(sa-east-1), 도쿄(ap-northeast-1), 싱가포르(ap-southeast-1) 및 시드니(ap-southeast-2) 리전의 EC2 인스턴스에 대한 정보를 표시합니다.

성능

서비스 한도를 점검하고, 프로비저닝된 처리량을 활용하는지 확인하고, 과다 사용되는 인스턴스를 모니터링하여 서비스 성능을 개선합니다.

  • 높은 사용률의 Amazon EC2 인스턴스

    지난 14일 동안 실행된 적이 있는 Amazon Elastic Compute Cloud(EC2) 인스턴스를 점검하고, 4일 이상 일일 CPU 사용률이 90%를 넘은 경우 알립니다. 사용률이 일관되게 높다는 것은 성능이 최적화되어 있고 안정적임을 나타낼 수 있지만 애플리케이션의 리소스가 충분하지 않다는 의미일 수도 있습니다. 일일 CPU 사용률 데이터를 보려면 이 점검 항목에 대한 보고서를 다운로드하십시오.

  • Amazon EBS 프로비저닝된 IOPS(SSD) 볼륨 연결 구성

    Amazon EBS 최적화 인스턴스가 아닌 Amazon Elastic Compute Cloud(EC2) 인스턴스에 연결된 프로비저닝된 IOPS(SSD) 볼륨이 있는지 점검합니다. Amazon Elastic Block Store(EBS)의 프로비저닝된 IOPS 볼륨은 EBS 최적화 인스턴스에 연결된 경우에만 기대 성능을 발휘할 수 있도록 설계되었습니다.

  • EC2 보안 그룹에 있는 많은 수의 규칙

    과도한 수의 규칙이 있는지 각 Amazon Elastic Compute Cloud(EC2) 보안 그룹을 점검합니다. 보안 그룹에 많은 수의 규칙이 있는 경우 성능이 저하될 수 있습니다.

    자세한 내용은 Amazon EC2 보안 그룹을 참조하십시오.

  • 인스턴스에 적용된 많은 수의 EC2 보안 그룹 규칙

    과도한 수의 보안 그룹 규칙이 있는 Amazon Elastic Compute Cloud(EC2) 인스턴스가 있는지 점검합니다. 인스턴스에 많은 수의 규칙이 있는 경우 성능이 저하될 수 있습니다.

  • Amazon Route 53 별칭 리소스 레코드 세트

    DNS 쿼리를 AWS 리소스로 라우팅하는 리소스 레코드 세트가 있는지 점검합니다. 이를 별칭 리소스 레코드 세트로 변경할 수 있습니다. 별칭 리소스 레코드 세트는 DNS 쿼리를 AWS 리소스(예를 들어, Elastic Load Balancing 로드 밸런서 또는 Amazon S3 버킷) 또는 다른 Route 53 리소스 레코드 세트로 라우팅하는 특별한 Amazon Route 53 레코드 유형입니다. 별칭 리소스 레코드 세트를 사용하면 Route 53이 무료로 DNS 쿼리를 AWS 리소스로 라우팅합니다.

  • 과다 사용된 Amazon EBS 마그네틱 볼륨

    과다 사용의 가능성이 있고 좀 더 효율적인 구성으로 혜택을 볼 수 있는 Amazon Elastic Block Store(EBS) 마그네틱 볼륨이 있는지 점검합니다. 마그네틱 볼륨은 중간 또는 버스티 I/O가 요구되는 애플리케이션을 위해 설계되었으며 IOPS 속도는 보장되지 않습니다. 이 볼륨은 평균적으로 약 100IOPS를 제공하며 최대 수백 IOPS까지 버스트할 수 있습니다. 일관되게 높은 IOPS의 경우, 프로비저닝된 IOPS(SSD) 볼륨을 사용할 수 있습니다. 버스티 IOPS의 경우, 범용(SSD) 볼륨을 사용할 수 있습니다.

  • Amazon CloudFront 콘텐츠 전송 최적화

    AWS의 글로벌 콘텐츠 전송 서비스인 Amazon CloudFront를 사용하여 Amazon Simple Storage Service(S3) 버킷에서 전송되는 데이터 속도를 높일 수 있는지 점검합니다. Amazon CloudFront를 구성하여 콘텐츠를 전송하면 콘텐츠가 캐시되는 가장 가까운 엣지로 콘텐츠 요청이 자동 라우팅되므로, 가능한 최상의 성능으로 사용자에게 전송될 수 있습니다. 버킷에 저장된 데이터의 전송률이 높은 경우 데이터 전송 시 Amazon CloudFront를 사용하여 많은 이점을 얻을 수 있습니다.

  • CloudFront 헤더 전달 및 캐시 적중률

    CloudFront가 현재 클라이언트로부터 수신하여 오리진 서버로 전달하는 HTTP 요청 헤더가 있는지 점검합니다. Date 또는 User-Agent와 같은 일부 헤더는 캐시 적중률(CloudFront 엣지 캐시에서 제공되는 요청 비율)을 크게 줄입니다. 따라서 CloudFront가 더 많은 요청을 오리진으로 전달해야 하므로 오리진의 로드가 증가하고 성능이 저하됩니다.

  • EBS에 대한 Amazon EC2 처리량 최적화

    연결된 Amazon EC2 인스턴스의 최대 처리량 용량에 따라 성능에 영향을 받았을 수 있는 Amazon EBS 볼륨이 있는지 점검합니다. 성능을 최적화하려면 EC2 인스턴스의 최대 처리량이 연결된 EBS 볼륨의 최대 집계 처리량보다 커야 합니다.

  • CloudFront 대체 도메인 이름

    DNS 설정이 올바르지 않게 구성된 대체 도메인 이름이 있는지 CloudFront 배포를 점검합니다. CloudFront 배포에 대체 도메인 이름이 포함된 경우, 도메인의 DNS 구성이 DNS 쿼리를 해당 배포로 라우팅해야 합니다.

서비스 한도

서비스 한도의 80%가 넘는 서비스 사용량이 있는지 점검합니다. 값은 스냅샷을 기반으로 하므로 현재 사용량은 다를 수 있습니다. 한도 및 사용량에 변경 사항이 반영되는 데 최대 24시간이 걸릴 수 있습니다.

다음 표에는 Trusted Advisor가 어떠한 한도를 검사하는지 나와 있습니다.

서비스
한도
Amazon Elastic Compute Cloud
(EC2)
탄력적 IP 주소(EIP)
예약 인스턴스 – 구매 한도(월간)
온디맨드 인스턴스
Amazon Elastic Block Store
(EBS)
활성 볼륨
활성 스냅샷
범용(SSD) 볼륨 스토리지(GiB)
프로비저닝된 IOPS
프로비저닝된 IOPS(SSD) 볼륨 스토리지(GiB)
마그네틱 볼륨 스토리지(GiB)
Amazon Kinesis Streams 샤드
Amazon Relational Database Service
(RDS)
클러스터
클러스터 파라미터 그룹
클러스터 역할
DB 인스턴스
DB 파라미터 그룹
DB 보안 그룹
사용자당 DB 스냅샷
이벤트 구독
보안 그룹당 최대 인증
옵션 그룹 수
마스터당 읽기 전용 복제본
예약 인스턴스
스토리지 할당량(GiB)
서브넷 그룹 수
서브넷 그룹 1개당 서브넷 수
Amazon Simple Email Service
(SES)
일일 발신 할당량
Amazon Virtual Private Cloud
(VPC)
 
탄력적 IP 주소(EIP)
인터넷 게이트웨이
VPC
Auto Scaling
생성 및 설정 기능
시작 구성
AWS CloudFormation 스택
Elastic Load Balancing(ELB)
활성 로드 밸런서
Identity and Access Management(IAM)
그룹
인스턴스 프로파일
정책
역할
서버 인증서
사용자

참고: EC2 온디맨드 인스턴스 한도에 대한 데이터는 다음 AWS 리전에서만 제공됩니다.

아시아 태평양(도쿄)[ap-northeast-1]
아시아 태평양(싱가포르)[ap-southeast-1]
아시아 태평양(시드니)[ap-southeast-2]
EU(아일랜드)[eu-west-1]
남아메리카(상파울루)[sa-east-1]
미국 동부(버지니아 북부)[us-east-1]
미국 서부(캘리포니아 북부)[us-west-1]
미국 서부(오레곤)[us-west-2]

참고: 현재 Trusted Advisor는 EC2 온디맨드 인스턴스에 대한 리전별 한도를 추적하지 않습니다. 기본적으로 리전별 계정당 온디맨드 인스턴스 20개가 한도입니다.

이 리전별 한도에 도달한 경우, Trusted Advisor에는 해당 리전 내 인스턴스 유형별 한도에 도달하지 않은 것으로 표시되더라도 새로운 온디맨드 인스턴스를 시작하지 못할 수 있습니다. EC2 온디맨드 한도에 대한 자세한 내용은 Amazon EC2에서 실행할 수 있는 인스턴스 수는 몇 개입니까? 섹션을 참조하십시오.

AWS에서는 서비스 한도 검사에 더 많은 서비스를 포함하도록 지속적인 노력을 기울이고 있습니다. 여러분의 피드백이 큰 도움이 됩니다.