Lista de verificação de práticas recomendadas do AWS Trusted Advisor

Veja como você pode economizar na AWS ao eliminar recursos não usados e ociosos ou fazendo compromissos de capacidade reservada.

Uma parte significativa do uso da AWS envolve o balanceamento da compra de Instâncias reservadas (RI) em relação ao uso de Instâncias sob demanda. Essa verificação fornece recomendações sobre quais RIs ajudarão a reduzir os custos acumulados com o uso de Instâncias sob demanda.

Geramos essas recomendações analisando seu Uso sob demanda nos últimos 30 dias e, em seguida, categorizando esse uso em categorias elegíveis para reservas. Em seguida, simulamos todas as combinações de reservas na categoria gerada de uso, a fim de identificar o melhor número de cada tipo de RI para comprar e maximizar as suas economias. Essa verificação abrange recomendações baseadas em Instâncias padrão reservadas com opção de pagamento adiantado parcial. As recomendações para essa verificação estão disponíveis apenas para a conta que paga.

Para obter mais informações sobre essa recomendação, consulte Perguntas sobre verificação de otimização de instâncias reservadas, nas Perguntas frequentes do Trusted Advisor.

Verifica as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) que estavam em execução em qualquer momento durante os últimos 14 dias e alerta se a utilização diária de CPU foi de 10% ou menor e a E/S de rede foi de 5 MB ou menos por 4 ou mais dias. Instâncias em execução geram cobranças de uso por hora. Apesar de alguns cenários poderem resultar em baixa utilização intencionalmente, geralmente você pode diminuir os seus custos gerenciando o número e tamanho das suas instâncias.

As economias mensais estimadas são calculadas usando a taxa atual de uso para instâncias sob demanda e o número estimado de dias que a instância pode ser subutilizada. As economias reais serão variáveis se você estiver usando instâncias reservadas ou spot, ou se a instância não estiver sendo executada por um dia inteiro. Para obter dados diários de utilização, faça download do relatório desta verificação.  

Verifica a sua configuração de Elastic Load Balancing para localizar load balancers que não estão sendo usados ativamente. Todo load balancer configurado gera cobranças. Se um load balancer não tem instâncias associadas de back-end ou se o tráfego de rede é muito baixo, não está sendo utilizado efetivamente. Atualmente, essa verificação analisa apenas o tipo Classic Load Balancer dentro do serviço ELB. Ela não inclui outros tipos de ELB (Application Load Balancer, Network Load Balancer).

Este item verifica as configurações do volume do Amazon Elastic Block Store (Amazon EBS) e alerta quando os volumes parecem estar sendo subutilizados. As cobranças iniciam quando um volume é criado. Se um volume permanecer não vinculado ou tiver muito pouca atividade de gravação (excluindo-se volumes de inicialização) por um período, o volume provavelmente não está sendo usado.

Procura por endereços de Elastic IP (EIPs) que não estão associados a uma instância em execução do Amazon Elastic Compute Cloud (Amazon EC2). Os EIPs são endereços IP estáticos projetados para computação dinâmica em nuvem. Diferente dos endereços tradicionais estáticos de IP, os EIPs podem mascarar a falha de uma instância ou zona de disponibilidade mapeando novamente o endereço IP público para outra instância na sua conta. Uma cobrança nominal é gerada para um EIP que não está associado a nenhuma instância em execução.

Procura na configuração do Amazon Relational Database Service (Amazon RDS) por quaisquer instâncias de banco de dados que aparentam estar ociosas. Se uma instância de banco de dados não realizou uma conexão por um período estendido, a instância pode ser excluída para reduzir custos. Se o armazenamento persistente é necessário para os dados na instância, podem ser utilizadas opções de custo mais baixo como extrair e reter um DB snapshot. DB snapshots criados manualmente são retidos até que sejam excluídos. 

Procura por conjuntos de registros de latência do Amazon Route 53 com configuração ineficiente. Para que o Amazon Route 53 possa encaminhar consultas para a região com a latência de rede mais baixa, devem ser criados conjuntos de registros de recurso de latência para o nome de domínio específico (como exemplo.com) em diferentes regiões. Caso seja criado apenas um conjunto de registros de recurso de latência para o nome de domínio, todas as consultas serão roteadas para uma mesma região, e você pagará a mais pelo roteamento baseado em latência, sem obter os benefícios.  

Busca por instâncias reservadas do Amazon EC2 que tenham sido programadas para expirar nos próximos 30 dias ou tenham expirado nos 30 dias anteriores. As instâncias reservadas não são renovadas automaticamente. Você pode continuar a usar uma instância do EC2 coberta pela reserva sem interrupções, mas serão cobradas as taxas sob demanda. Instâncias reservadas novas podem ter os mesmos parâmetros que as expiradas, ou você pode comprar instâncias reservadas com parâmetros diferentes. As economias mensais estimadas que mostramos são a diferença entre as taxas de instâncias sob demanda e reservadas para o mesmo tipo de instância.

Verifica a configuração do Amazon Redshift em busca de clusters que pareçam estar subutilizados. Se um cluster do Amazon Redshift não tiver uma conexão por um período longo, ou estiver usando uma baixa quantidade de CPU, você poderá usar opções de menor custo, como reduzir o tamanho do cluster ou desligá-lo e obter um snapshot final. Os snapshots finais são retidos, mesmo após a exclusão do cluster.

Verifica o uso do EC2, Fargate e Lambda nos últimos 30 dias e fornece recomendações de compra de Savings Plans, permitindo que você se comprometa com um valor de uso consistente medido em USD/hora por um período de um ou três anos em troca de taxas com desconto. Essas recomendações são provenientes do AWS Cost Explorer, que pode ser usado para obter informações mais detalhadas sobre recomendações ou para comprar um Savings Plan. Essas recomendações devem ser consideradas uma alternativa às suas recomendações de RI, e optar por trabalhar integralmente em ambos os conjuntos de recomendações provavelmente resultará em excesso de compromisso. Essa verificação não está disponível para contas vinculadas no faturamento consolidado. As recomendações para essa verificação estão disponíveis apenas para a conta que paga.

Verifica seu uso do ElastiCache e fornece recomendações sobre a compra de nós reservados para ajudar a reduzir os custos incorridos com o uso do ElastiCache On-Demand. A AWS gera essas recomendações analisando seu Uso sob demanda nos últimos 30 dias. Em seguida, simulamos todas as combinações de reservas na categoria gerada de uso, a fim de identificar o melhor número de cada tipo de Nó reservado para comprar e maximizar as suas economias. Essa verificação abrange recomendações com base na opção de pagamento adiantado parcial com compromisso de 1 ou 3 anos. Essa verificação não está disponível para contas vinculadas no faturamento consolidado. As recomendações para essa verificação estão disponíveis apenas para a conta que paga.

Verifica seu uso do RedShift e fornece recomendações sobre a compra de nós reservados para ajudar a reduzir os custos incorridos com o uso do RedShift On-Demand. A AWS gera essas recomendações analisando seu Uso sob demanda nos últimos 30 dias. Em seguida, simulamos todas as combinações de reservas na categoria gerada de uso, a fim de identificar o melhor número de cada tipo de Nós reservados para comprar e maximizar as suas economias. Essa verificação abrange recomendações com base na opção de pagamento adiantado parcial com compromisso de 1 ou 3 anos. Essa verificação não está disponível para contas vinculadas no faturamento consolidado. As recomendações para essa verificação estão disponíveis apenas para a conta que paga. 

Verifica o uso do RDS e fornece recomendações sobre a compra de Instâncias reservadas para ajudar a reduzir os custos acumulados com o uso do RDS sob demanda. A AWS gera essas recomendações analisando seu Uso sob demanda nos últimos 30 dias. Em seguida, simulamos todas as combinações de reservas na categoria gerada de uso, a fim de identificar o melhor número de cada tipo de Instância reservada para comprar e maximizar as suas economias. Essa verificação abrange recomendações com base na opção de pagamento adiantado parcial com compromisso de 1 ou 3 anos. Essa verificação não está disponível para contas vinculadas no faturamento consolidado. As recomendações para essa verificação estão disponíveis apenas para a conta que paga.

Verifica seu uso do Elasticsearch e fornece recomendações sobre a compra de instância reservadas para ajudar a reduzir os custos incorridos com o uso do Elasticsearch On-Demand. A AWS gera essas recomendações analisando seu Uso sob demanda nos últimos 30 dias. Em seguida, simulamos todas as combinações de reservas na categoria gerada de uso, a fim de identificar o melhor número de cada tipo de Instância reservada para comprar e maximizar as suas economias. Essa verificação abrange recomendações com base na opção de pagamento adiantado parcial com compromisso de 1 ou 3 anos. Essa verificação não está disponível para contas vinculadas no faturamento consolidado. As recomendações para essa verificação estão disponíveis apenas para a conta que paga.

Verifica as funções Lambda com altas taxas de erro que podem resultar em alto custo. Cobranças Lambda baseadas no número de solicitações e no tempo acumulado de execução para sua função. Erros de função podem causar novas tentativas que causarão cobranças adicionais.

Observação: Os resultados dessa verificação são atualizados automaticamente várias vezes por dia, e solicitações de atualização não são permitidas. Pode levar algumas horas para as mudanças aparecerem.

Verifica as funções Lambda com altas taxas de limite de tempo que podem resultar em alto custo. Cobranças Lambda baseadas no tempo de execução e número de solicitações para sua função. Limites de tempo de função resultam em erros de função que podem causar novas tentativas, que criam novas cobranças de solicitação e tempo de execução.

Observação: Os resultados dessa verificação são atualizados automaticamente várias vezes por dia, e solicitações de atualização não são permitidas. Pode levar algumas horas para as mudanças aparecerem.

Aprimore a segurança do seu aplicativo eliminando lacunas, habilitando vários recursos de segurança da AWS e analisando suas permissões.

Procura nos grupos de segurança por regras que permitem acesso irrestrito (0.0.0.0/0) para portas específicas. O acesso irrestrito aumenta as oportunidades para atividade maliciosa (hacking, ataques de negação de serviço, perda de dados). As portas com maiores riscos são marcadas em vermelho, e as com menos risco são marcadas em amarelo. As portas marcadas em verde são tipicamente utilizadas por aplicativos que necessitam de acesso irrestrito, como o HTTP e SMTP.

Se você configurou os seus grupos de segurança dessa forma intencionalmente, recomendamos o uso de medidas adicionais de segurança para proteger a sua infraestrutura (como tabelas de IP).

Procura em grupos de segurança por regras que permitem acesso irrestrito a um recurso. O acesso irrestrito aumenta as oportunidades para atividade maliciosa (hacking, ataques de negação de serviço, perda de dados).

Verifica o uso do AWS Identity and Access Management (IAM). Você pode usar o IAM para criar usuários, grupos e funções no AWS, e pode usar permissões para controlar o acesso aos recursos da AWS.

Procura por buckets no Amazon Simple Storage Service (Amazon S3) que têm permissões de acesso abertas. As permissões de bucket que concedem acesso de lista a todos podem resultar em cobranças acima do esperado se objetos no bucket forem listados por usuários indesejados com muita frequência. As permissões de bucket que concedem acesso de carregamento/exclusão para todos criam potencial de vulnerabilidades de segurança ao permitir que qualquer pessoa adicione, modifique ou remova itens em um bucket. Esta verificação examina permissões explícitas de buckets e as políticas associadas de buckets que podem substituir as permissões do bucket.

Verifica a conta root e alerta se a autenticação multifator (MFA) não está habilitada. Para mais segurança, recomendamos que proteja a sua conta usando a MFA, que requer que o usuário insira um código único de autenticação do seu dispositivo físico ou virtual de MFA ao interagir com o Console AWS e sites associados.

Verifica as configurações de grupo de segurança do Amazon Relational Database Service (Amazon RDS) e alerta quando uma regra de grupo de segurança pode autorizar um acesso excessivamente permissivo ao seu banco de dados. A configuração recomendada para qualquer regra de grupo de segurança é permitir acesso de grupos de segurança específicos do Amazon Elastic Compute Cloud (Amazon EC2) ou de um endereço IP específico.

Verifica o seu uso do AWS CloudTrail. O CloudTrail oferece mais visibilidade sobre as atividades na sua conta da AWS registrando informações sobre as chamadas de APIs da AWS executadas na conta. Esses registros de log podem ser usados para determinar, por exemplo, que ações um usuário específico executou em um determinado período ou que usuários executaram ações em um recurso específico durante um determinado período. Como o CloudTrail entrega arquivos de registro de log em um bucket do Amazon Simple Storage Service (Amazon S3), o CloudTrail precisa de permissões de escrita no bucket.

Verifica a existência de um conjunto de registros de recurso SPF para cada conjunto de registros MX. Um registro SPF (estrutura de política de remetente) publica uma lista de servidores autorizados a enviar e-mail pelo seu domínio, ajudando a reduzir o spam ao detectar e interromper falsificações de endereços de e-mail.

Busca load balancers com listeners que não usam as configurações de segurança recomendadas para a comunicação criptografada. A AWS recomenda o uso de um protocolo seguro (HTTPS ou SSL), políticas de segurança atualizadas e cifras e protocolos seguros. Quando você usa um protocolo seguro para uma conexão com o front-end (cliente para load balancer), as solicitações são criptografadas entre os clientes e o load balancer, o que é mais seguro. O Elastic Load Balancing oferece políticas de segurança predefinidas com cifras e protocolos que seguem as melhores práticas de segurança da AWS. Novas versões de políticas predefinidas são lançadas assim que novas configurações são disponibilizadas. Atualmente, essa verificação analisa apenas o tipo Classic Load Balancer dentro do serviço ELB. Ela não inclui outros tipos de ELB (Application Load Balancer, Network Load Balancer).

Procura por load balancers configurados com um grupo de segurança ausente ou que permite acesso a portas que não estejam configuradas para o load balancer. Se um grupo de segurança associado a um load balancer for excluído, o load balancer não funcionará da forma esperada. Se um grupo de segurança permitir acesso a portas que não estão configuradas para o load balancer, o risco de perda de dados ou ataques mal-intencionados aumentará. Atualmente, essa verificação analisa apenas o tipo Classic Load Balancer dentro do serviço ELB. Ela não inclui outros tipos de ELB (Application Load Balancer, Network Load Balancer).

Verifica os certificados SSL em busca de nomes de domínio alternativos do CloudFront no armazenamento de certificados do IAM e alerta caso tenham expirado, estejam prestes a expirar, usem uma criptografia ultrapassada ou não estejam configurados corretamente para a distribuição. Quando um certificado personalizado para um domínio alternativo expira, os navegadores que exibem o conteúdo do CloudFront podem mostrar uma mensagem, avisando sobre a segurança do site. Certificados criptografados usando o algoritmo de hashing SHA-1 estão sendo considerados obsoletos por navegadores como Chrome e Firefox. Se um certificado não tiver nenhum nome de domínio que corresponda ao Origin Domain Name ou ao nome de domínio no cabeçalho Host de solicitações dos visualizadores, o CloudFront retornará um código de status HTTP 502 (gateway incorreto) ao usuário.

Examina as origens personalizadas das distribuições do CloudFront do usuário e verifica se os certificados de origem estão configurados corretamente. Um certificado mal configurado é um certificado que expirará nos próximos sete dias, que já expirou ou que está usando um algoritmo de assinatura fraca SHA1.

Verifica repositórios de código populares para encontrar chaves de acesso que foram expostas ao público e para uso irregular do Amazon Elastic Compute Cloud (Amazon EC2) que pode ser o resultado de uma chave de acesso comprometida. Uma chave de acesso consiste em um ID de chave de acesso e a chave de acesso secreta correspondente. As chaves de acesso expostas são um risco à segurança da sua conta e aos outros usuários, podem gerar cobrança excessiva resultante de atividades ou abuso não autorizados e violam o Contrato do Cliente da AWS. Se a sua chave de acesso for exposta, tome medidas imediatas para proteger a sua conta. Para obter proteção adicional contra cobranças excessivas na sua conta, a AWS limita temporariamente sua capacidade de criar alguns recursos da AWS. Essa limitação não torna a sua conta segura, apenas limita parcialmente o uso não autorizado pelo qual você poderia ser cobrado. 

Observação: essa verificação não garante a identificação das chaves de acesso expostas nem das instâncias do EC2 comprometidas. Você é o responsável final pela segurança e proteção de suas chaves de acesso e seus recursos da AWS.

Verifica as configurações de permissões de snapshots de volume do Amazon Elastic Block Store (Amazon EBS) e alerta se qualquer um deles está marcado como público. Quando você torna um snapshot público, todas as contas e usuários da AWS podem acessar os dados desse snapshot. Se você quiser compartilhar um snapshot com determinados usuários e contas, marque-os como privados e especifique o usuário ou as contas com as quais deseja compartilhar o snapshot.

Verifica as configurações de permissões de DB snapshots do Amazon Relational Database Service (Amazon RDS) e alerta se qualquer um deles está marcado como público. Quando você torna um snapshot público, todas as contas e usuários da AWS podem acessar os dados desse snapshot. Se você quiser compartilhar um snapshot com determinados usuários e contas, marque-os como privados e especifique o usuário ou as contas com as quais deseja compartilhar o snapshot.

Verifica a política de senhas da conta e alerta quando uma política de senhas não está habilitada, ou se os requisitos de conteúdo de senhas não foram ativados. Os requisitos de conteúdo de senhas aumentam a segurança em geral do seu ambiente AWS impondo a criação de senhas de usuário fortes. Quando você criar ou alterar uma política de senha, a alteração será aplicada imediatamente para novos usuários, mas não forçará usuários existentes a mudarem suas senhas.

Busca chaves de acesso ativas do IAM que não foram trocadas nos últimos 90 dias. Quando você troca regularmente as chaves de acesso, reduz a chance de que uma chave comprometida seja usada sem o seu conhecimento para acessar recursos. Para as finalidades desta verificação, a data e a hora da última troca é o momento em que a chave de acesso foi criada ou ativada mais recentemente. O número e a data da chave de acesso são obtidos das informações access_key_1_last_rotated e access_key_2_last_rotated no relatório mais recente de credenciais do IAM.

Verifica funções Lambda que foram configuradas para usar um ambiente de execução que está se tornando obsoleto ou se tornou obsoleto. Ambientes de execução obsoletos não são elegíveis para atualizações de segurança ou suporte técnico.

Observação: Os resultados dessa verificação são atualizados automaticamente várias vezes por dia, e solicitações de atualização não são permitidas. Pode levar algumas horas para as mudanças aparecerem.

Aumente a disponibilidade e a redundância de aplicativos da AWS usando os recursos de Auto Scaling, verificações de integridade, multi-AZ e backup.

Verifica a idade dos snapshots dos volumes (disponíveis ou em uso) do Amazon Elastic Block Store (Amazon EBS). Apesar de os volumes do Amazon EBS serem replicados, falhas podem ocorrer. Os snapshots são persistidos no Amazon Simple Storage Service (Amazon S3) para o armazenamento resiliente e recuperação point-in-time.

Verifica a distribuição das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) entre as zonas de disponibilidade em uma região. As zonas de disponibilidade são locações distintas projetadas para serem isoladas das falhas em outras zonas de disponibilidade e fornecerem conectividade de rede barata e de baixa latência com outras zonas de disponibilidade na mesma região. Ao lançar instâncias em várias zonas de disponibilidade dentro da mesma região, você pode ajudar a proteger seus aplicativos contra um ponto único de falha.

Verifica a configuração do load balancer. Para ajudar a elevar o nível de tolerância a falhas no Amazon Elastic Compute Cloud (EC2) ao utilizar o Elastic Load Balancing, recomendamos a execução do mesmo número de instâncias em várias zonas de disponibilidade de uma região. Um load balancer configurado gera cobranças, portanto esta é também uma verificação de otimização de custos.

Verifica o número de túneis que estão ativos para cada uma das VPNs. Uma VPN deveria ter dois túneis configurados em todos os momentos para fornecer redundância no caso de queda de serviço ou manutenção planejada dos dispositivos no endpoint da AWS. Em alguns hardwares, apenas um túnel fica ativo por vez (veja o Guia do administrador de redes do Amazon Virtual Private Cloud). Se uma VPN não tem túneis ativos, as cobranças da VPN ainda podem ser aplicadas.

Verifica a disponibilidade de recursos associados com configurações de execução e os grupos de Auto Scaling. Grupos de Auto Scaling que apontam para recursos indisponíveis não podem executar novas instâncias do Amazon Elastic Compute Cloud (Amazon EC2). Quando configurado de forma apropriada, o Auto Scaling aumenta transparentemente o número de instâncias do Amazon EC2 durante picos de demanda e o diminui automaticamente durante quedas de demanda. Os grupos de Auto Scaling e configurações de execução que apontam para recursos indisponíveis não funcionam da forma pretendida.

Verifica por backups automatizados de instâncias de banco de dados do Amazon RDS. Por padrão, backups são habilitados com um período de retenção de 1 dia. Realizar backups reduz o risco de perda inesperada de dados e permite a recuperação point-in-time.

Procura por instâncias de banco de dados que estão implementadas em uma única zona de disponibilidade. As implementações Multi-AZ aprimoram a disponibilidade dos bancos de dados com a replicação síncrona para uma instância em espera em uma zona de disponibilidade diferente. Durante a manutenção planejada de banco de dados ou falha em uma instância de banco de dados ou zona de disponibilidade, o Amazon RDS automaticamente recupera a instância em espera para que as operações de banco de dados possam continuar rapidamente sem intervenção administrativa. Como o Amazon RDS não oferece suporte à implantação Multi-AZ para o Microsoft SQL Server, esta verificação não examina instâncias SQL Server.

Examina a configuração de verificações de integridade dos grupos de Auto Scaling. Se o Elastic Load Balancing está sendo utilizado para um grupo de Auto Scaling, a configuração recomendada é a de habilitar uma verificação de integridade do Elastic Load Balancing. Se uma verificação de integridade do Elastic Load Balancing não é utilizada, o Auto Scaling pode agir somente de acordo com a integridade da instância do Amazon Elastic Compute Cloud (Amazon EC2) e não do aplicativo que está em execução na instância.

Verifica a configuração de registro em log do Amazon Simple Storage Service (Amazon S3). Quando o registro em log de acesso ao servidor está habilitado, os logs de acesso detalhados são entregues a cada hora a um bucket escolhido. Um registros de log de acesso contém detalhes sobre cada solicitação, tais como o tipo, os recursos especificados na solicitação e a data e hora em que foi processada. Por padrão, o registro em log de buckets não está habilitado. Você deve habilitar o registro em log se quiser executar auditorias de segurança ou saber mais sobre usuários e padrões de uso.

Verifica a existência de zonas hospedadas no Amazon Route 53 para as quais o registro do domínio ou o DNS não está usando os servidores de nome corretos do Route 53. Quando você cria uma zona hospedada, o Route 53 atribui um conjunto de delegações com quatro servidores de nome. Os nomes desses servidores são ns-###.awsdns-##.com, .net, .org e .co.uk, onde ### e ## normalmente representam números diferentes. Antes que o Route 53 possa encaminhar consultas de DNS para o seu domínio, você deve atualizar a configuração de servidor de nome do registro para remover os servidores de nome atribuídos e adicionar todos os quatro servidores de nome no conjunto de delegação do Route 53. Para obter a máxima disponibilidade, você deve adicionar todos os quatro servidores de nome do Route 53.

Verifica os conjuntos de registros de recurso que podem se beneficiar de um valor de time-to-live (TTL) maior. O TTL é o número de segundos que um conjunto de registros de recurso é armazenado em cache pelos resolvedores de DNS. Quando você especifica um TTL longo, os resolvedores de DNS demoram mais para solicitar registros de DNS atualizados, o que pode causar demora desnecessária para rotear novamente o tráfego (por exemplo, quando o failover de DNS detecta e responde a uma falha de um dos endpoints).

Procura por conjuntos de registros de recurso de failover configurados incorretamente no Amazon Route 53. Quando as verificações de integridade do Amazon Route 53 determinam que um recurso primário não está saudável, o Amazon Route 53 passa a responder às consultas com um conjunto de registros de recurso secundários de backup. Devem ser criados e corretamente configurados conjuntos de registros de recurso primário e secundário para o failover funcionar.

Procura por conjuntos de registros de recurso associados a verificações de integridade que foram excluídas. O Amazon Route 53 não evita a exclusão de verificações de integridade associadas a um ou mais conjuntos de registro de recurso. Caso uma verificação de integridade seja excluída sem a atualização dos conjuntos de registro de recurso associados, o roteamento de consultas de DNS para a configuração de failover de DNS não funcionará como planejado. Isso afetará o roteamento de consultas de DNS para a sua configuração de failover de DNS.

Busca load balancers que não estão com a diminuição de conexão habilitada. Quando a diminuição de conexão não está habilitada e você remove (cancela o registro) de uma instância do Amazon EC2 de um load balancer, o load balancer deixa de rotear tráfego para essa instância e fecha a conexão. Quando a diminuição de conexão está habilitada, o load balancer deixa de enviar novas solicitações à instância com o registro cancelado, mas mantém a conexão aberta para atender às solicitações ativas. Atualmente, essa verificação analisa apenas o tipo Classic Load Balancer dentro do serviço ELB. Ela não inclui outros tipos de ELB (Application Load Balancer, Network Load Balancer).

Busca load balancers que não estão com load balancing entre zonas habilitado. O load balancing entre zonas distribui uniformemente solicitações entre todas as instâncias de back-end, independentemente da zona de disponibilidade em que estão. O load balancing entre zonas reduz a distribuição desigual de tráfego quando os clientes armazenam informações de DNS em cache de forma incorreta, ou quando você tem um número desigual de instâncias em cada zona de disponibilidade (por exemplo, se algumas instâncias foram interrompidas para manutenção). O balanceamento de carga entre zonas facilita implantar e gerenciar aplicativos entre várias zonas de disponibilidade. Atualmente, essa verificação analisa apenas o tipo Classic Load Balancer dentro do serviço ELB. Ela não inclui outros tipos de ELB (Application Load Balancer, Network Load Balancer).

Verifica se há buckets do Amazon Simple Storage Service cujo versionamento está suspenso ou não está ativado. Quando o versionamento está habilitado, você pode recuperar facilmente ações acidentais de usuários e falhas de aplicativos. O versionamento permite preservar, recuperar e restaurar todas as versões de cada objeto armazenado em um bucket. Você pode usar regras de ciclo de vida para gerenciar todas as versões dos objetos, bem como seus custos associados, arquivando automaticamente objetos na categoria de armazenamento Glacier ou removendo-os após um determinado período. Também é possível optar por exigir autenticação multifator (MFA) para qualquer exclusão de objeto ou alteração de configuração nos buckets.

Procura por regiões que têm apenas uma conexão do AWS Direct Connect. A conectividade a recursos da AWS deve sempre ter duas conexões do Direct Connect configuradas para proporcionar redundância quando um dispositivo está indisponível.

Procura por gateways privados virtuais com interfaces virtuais do AWS Direct Connect (VIFs) que não foram configuradas em pelo menos duas conexões do AWS Direct Connect. A conectividade para um gateway privado virtual deve ter várias interfaces virtuais configuradas em diversas conexões e locais do Direct Connect para oferecer redundância caso um dispositivo ou local fique indisponível.

Procura por gateways privados virtuais com interfaces virtuais do AWS Direct Connect (VIFs) que não foram configuradas em pelo menos duas conexões do AWS Direct Connect. A conectividade para um gateway privado virtual deve ter várias interfaces virtuais configuradas em diversas conexões e locais do Direct Connect para oferecer redundância caso um dispositivo ou local fique indisponível.

Busca casos em que um cluster de banco de dados do Amazon Aurora tem instâncias privadas e públicas. Quando a instância primária falha, uma réplica pode ser promovida para instâncias primária. Se essa réplica é privada, os usuários que têm apenas acesso público não conseguem mais se conectar ao banco de dados após o failover. Uma melhor prática para todas as instâncias de banco de dados em um cluster é que todas tenham o mesmo tipo de acesso.

Verifica o EC2Config Service para instâncias Windows do Amazon EC2 e alerta se o agente EC2Config estiver desatualizado ou configurado de maneira incorreta. O uso da versão mais recente do EC2Config habilita e otimiza o gerenciamento de software de endpoint, como verificações de drivers de PV, para manter a atualização do software de endpoint com as versões mais seguras e confiáveis.

Observação: esta verificação exibe informações para instâncias do EC2 nas seguintes regiões: Norte da Virgínia (us-east-1), Norte da Califórnia (us-west-1), Oregon (us-west-2), Irlanda (eu-west-1), São Paulo (sa-east-1), Tóquio (ap-northeast-1), Cingapura (ap-southeast-1) e Sydney (ap-southeast-2).

Verifica se há funções do Lambda habilitadas para VPC que são vulneráveis à interrupção de serviços em uma única zona de disponibilidade. Recomendamos que funções habilitadas para VPC sejam conectadas a várias zonas de disponibilidade para obter alta disponibilidade.

Observação: Os resultados dessa verificação são atualizados automaticamente várias vezes por dia, e solicitações de atualização não são permitidas. Pode levar algumas horas para as mudanças aparecerem.

Aprimore a performance do serviço verificando os Service Limits, garantindo o uso do throughput provisionado e monitorando instâncias com uso excessivo.

Verifica as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) que estavam em execução em qualquer momento durante os últimos 14 dias e alerta caso a utilização diária de CPU ultrapassou 90% em 4 ou mais dias. A alta utilização constante pode ser um indicador de performance otimizado e consistente, mas também pode indicar que um aplicativo não conta com recursos suficientes. Para obter dados diários de utilização de CPU, faça download do relatório desta verificação.

Procura por volumes de IOPS provisionadas (SSD) anexados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2) não otimizada para Amazon EBS. Os volumes de IOPS provisionadas do Amazon Elastic Block Store (Amazon EBS) são projetados para oferecer a performance esperada apenas quando são anexados a uma instância otimizada para EBS.

Verifica cada grupo de segurança do Amazon Elastic Compute Cloud (EC2) por um número excessivo de regas. Se um grupo de segurança contém um número grande de regras, a performance pode cair.

Para obter mais informações, consulte Grupos de segurança do Amazon EC2.

Verifica por instâncias do Amazon Elastic Compute Cloud (EC2) que contêm um grande número de regras de grupo de segurança. A performance pode cair se uma instância tem um número alto de regras.

Verifica os conjuntos de registros de recurso que encaminham as pesquisas de DNS aos recursos da AWS; esses conjuntos de registros de recurso podem ser alterados para alias. Um conjunto de registros de recurso alias é um tipo de registro especial do Amazon Route 53 que encaminha as consultas de DNS a um recurso da AWS (por exemplo, um load balancer do Elastic Load Balancing ou um bucket do Amazon S3) ou a outro conjunto de registros de recurso do Route 53. Quando você usa conjuntos de registro de recurso alias, o Route 53 encaminha suas consultas DNS aos recursos da AWS gratuitamente.

Verifica os volumes magnéticos do Amazon Elastic Block Store (EBS) que são potencialmente sobre utilizados e podem se beneficiar de uma configuração mais eficiente. Um volume magnético é projetado para aplicativos com requisitos de E/S moderados ou intermitentes, e a taxa IOPS não é garantida. Fornece uma média aproximada de 100 IOPS, com uma capacidade intermitente com base no melhor esforço de até centenas de IOPS. Para obter IOPS mais altas de forma consistente, você pode usar um volume de IOPS provisionadas (SSD). Para picos de IOPS, você pode usar um volume de uso geral (SSD).

Procura por casos em que a transferência de dados de buckets do Amazon Simple Storage Service (Amazon S3) poderia ser acelerada usando o Amazon CloudFront, o serviço de entrega de conteúdo global da AWS. Ao configurar o Amazon CloudFront para entregar o seu conteúdo, as solicitações pelo conteúdo são automaticamente direcionadas para o ponto de presença mais próximo em que o conteúdo está cacheado, de forma que ele possa ser entregue aos seus usuários com a melhor performance possível. Uma taxa alta de transferência de dados para fora no bucket indica que seria possível se beneficiar do uso do Amazon CloudFront para entregar os dados.

Verifica os cabeçalhos de solicitação HTTP recebidos no momento do cliente pelo CloudFront e os encaminha ao servidor de origem. Alguns cabeçalhos, como Date ou User-Agent, reduzem consideravelmente a taxa de acerto do cache (a proporção de solicitações atendidas por um ponto de presença de cache do CloudFront). Essa redução aumenta a carga na origem e prejudica a performance, pois o CloudFront deve encaminhar mais solicitações para a origem.

Procura por volumes do Amazon EBS cuja performance possa ser afetada pela funcionalidade da throughput máximo da instância do Amazon EC2 à qual eles estão anexados. Para otimizar a performance, você deve garantir que o throughput máximo de uma instância do EC2 é maior que o throughput máximo agregado dos volumes do EBS anexados.

Verifica distribuições do CloudFront em busca de nomes de domínio alternativos com definições de DNS configuradas incorretamente. Se uma distribuição do CloudFront inclui nomes de domínio alternativos, a configuração do DNS dos domínios deve encaminhar consultas de DNS para essa distribuição.

Procura por utilização de serviços acima de 80% do service limit. Os valores são baseados em um snapshot, portanto a sua utilização atual pode ser diferente. Os dados de limite e de uso podem levar até 24 horas para refletir as alterações.

A tabela a seguir mostra os limites que o Trusted Advisor verifica.

Observação: caso você obtenha uma cota de serviço para uma região da AWS, pode solicitar um aumento do console do Service Quotas. Saiba mais