Verificações de melhores práticas do AWS Trusted Advisor

Verificações de melhores práticas do Trusted Advisor

O AWS Trusted Advisor oferece um conjunto sofisticado de verificações de melhores práticas e recomendações em cinco categorias: Cost Optimization, Security, Fault Tolerance, Performance e Service Limits.

Cost Optimization

Veja como você pode economizar na AWS ao eliminar recursos não usados e ociosos ou fazendo compromissos de capacidade reservada.

  • Amazon EC2 Reserved Instances Optimization  

    Verifica o histórico de consumo de computação do Amazon Elastic Compute Cloud (Amazon EC2) e calcula um número apropriado de instâncias reservadas de pagamento adiantado parcial. As recomendações são baseadas no uso horário do mês anterior no calendário agregado por todas as contas de faturamento consolidadas. Para obter mais informações sobre como a recomendação é calculada, consulte “Perguntas de verificação de otimização de instância reservada” nas perguntas frequentes sobre o Trusted Advisor.

    Com as instâncias reservadas, você paga uma pequena taxa única e recebe um desconto significativo sobre a cobrança horária de utilização da instância. Para minimizar os seus custos, o sistema de faturamento aplica as taxas de instância reservada primeiro automaticamente.

  • Low Utilization Amazon EC2 Instances  

    Verifica as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) que estavam em execução em qualquer momento durante os últimos 14 dias e alerta se a utilização diária de CPU foi de 10% ou menor e a E/S de rede foi de 5 MB ou menos por 4 ou mais dias. Instâncias em execução geram cobranças de uso por hora. Apesar de alguns cenários poderem resultar em baixa utilização intencionalmente, geralmente você pode diminuir os seus custos gerenciando o número e tamanho das suas instâncias.

    As economias mensais estimadas são calculadas usando a taxa atual de uso para instâncias sob demanda e o número estimado de dias que a instância pode ser subutilizada. As economias reais serão variáveis se você estiver usando instâncias reservadas ou spot, ou se a instância não estiver sendo executada por um dia inteiro. Para obter dados diários de utilização, faça download do relatório desta verificação.  

  • Idle Load Balancers  

    Verifica a sua configuração de Elastic Load Balancing para localizar load balancers que não estão sendo usados ativamente. Todo load balancer configurado gera cobranças. Se um load balancer não tem instâncias associadas de back-end ou se o tráfego de rede é muito baixo, não está sendo utilizado efetivamente.

  • Underutilized Amazon EBS Volumes  

    Este item verifica as configurações do volume do Amazon Elastic Block Store (Amazon EBS) e alerta quando os volumes parecem estar sendo subutilizados. As cobranças iniciam quando um volume é criado. Se um volume permanecer não vinculado ou tiver muito pouca atividade de gravação (excluindo-se volumes de inicialização) por um período, o volume provavelmente não está sendo usado.

  • Unassociated Elastic IP Addresses  

    Procura por endereços de Elastic IP (EIPs) que não estão associados a uma instância em execução do Amazon Elastic Compute Cloud (Amazon EC2). Os EIPs são endereços IP estáticos projetados para computação dinâmica em nuvem. Diferente dos endereços tradicionais estáticos de IP, os EIPs podem mascarar a falha de uma instância ou zona de disponibilidade mapeando novamente o endereço IP público para outra instância na sua conta. Uma cobrança nominal é gerada para um EIP que não está associado a nenhuma instância em execução.

  • Amazon RDS Idle DB Instances  

    Procura na configuração do Amazon Relational Database Service (Amazon RDS) por quaisquer instâncias de banco de dados que aparentam estar ociosas. Se uma instância de banco de dados não realizou uma conexão por um período estendido, a instância pode ser excluída para reduzir custos. Se o armazenamento persistente é necessário para os dados na instância, podem ser utilizadas opções de custo mais baixo como extrair e reter um DB snapshot. DB snapshots criados manualmente são retidos até que sejam excluídos. 

  • Amazon Route 53 Latency Resource Record Sets  

    Procura por conjuntos de registros de latência do Amazon Route 53 com configuração ineficiente. Para que o Amazon Route 53 possa encaminhar consultas para a região com a latência de rede mais baixa, devem ser criados conjuntos de registros de recurso de latência para o nome de domínio específico (como exemplo.com) em diferentes regiões. Caso seja criado apenas um conjunto de registros de recurso de latência para o nome de domínio, todas as consultas serão roteadas para uma mesma região, e você pagará a mais pelo roteamento baseado em latência, sem obter os benefícios.  

  • Amazon EC2 Reserved Instance Lease Expiration  

    Busca por instâncias reservadas do Amazon EC2 que tenham sido programadas para expirar nos próximos 30 dias ou tenham expirado nos 30 dias anteriores. As instâncias reservadas não são renovadas automaticamente. Você pode continuar a usar uma instância do EC2 coberta pela reserva sem interrupções, mas serão cobradas as taxas sob demanda. Instâncias reservadas novas podem ter os mesmos parâmetros que as expiradas, ou você pode comprar instâncias reservadas com parâmetros diferentes.


    As economias mensais estimadas que mostramos são a diferença entre as taxas de instâncias sob demanda e reservadas para o mesmo tipo de instância.

  • Underutilized Amazon Redshift Clusters  

    Verifica a configuração do Amazon Redshift em busca de clusters que pareçam estar subutilizados. Se um cluster do Amazon Redshift não tiver uma conexão por um período longo, ou estiver usando uma baixa quantidade de CPU, você poderá usar opções de menor custo, como reduzir o tamanho do cluster ou desligá-lo e obter um snapshot final. Os snapshots finais são retidos, mesmo após a exclusão do cluster.

Security

Aprimore a segurança do seu aplicativo eliminando lacunas, habilitando vários recursos de segurança da AWS e analisando suas permissões.

  • Security Groups – Specific Ports Unrestricted (gratuito)

    Procura nos grupos de segurança por regras que permitem acesso irrestrito (0.0.0.0/0) para portas específicas. O acesso irrestrito aumenta as oportunidades para atividade maliciosa (hacking, ataques de negação de serviço, perda de dados). As portas com maiores riscos são marcadas em vermelho, e as com menos risco são marcadas em amarelo. As portas marcadas em verde são tipicamente utilizadas por aplicativos que necessitam de acesso irrestrito, como o HTTP e SMTP.


    Se você configurou os seus grupos de segurança dessa forma intencionalmente, recomendamos o uso de medidas adicionais de segurança para proteger a sua infraestrutura (como tabelas de IP).

  • Security Groups – Unrestricted Access

    Procura em grupos de segurança por regras que permitem acesso irrestrito a um recurso. O acesso irrestrito aumenta as oportunidades para atividade maliciosa (hacking, ataques de negação de serviço, perda de dados).

  • IAM Use (gratuito)

    Verifica o uso do AWS Identity and Access Management (IAM). Você pode usar o IAM para criar usuários, grupos e funções no AWS, e pode usar permissões para controlar o acesso aos recursos da AWS.

  • Amazon S3 Bucket Permissions (gratuito)

    Procura por buckets no Amazon Simple Storage Service (Amazon S3) que têm permissões de acesso abertas. As permissões de bucket que concedem acesso de lista a todos podem resultar em cobranças acima do esperado se objetos no bucket forem listados por usuários indesejados com muita frequência. As permissões de bucket que concedem acesso de carregamento/exclusão para todos criam potencial de vulnerabilidades de segurança ao permitir que qualquer pessoa adicione, modifique ou remova itens em um bucket. Esta verificação examina permissões explícitas de buckets e as políticas associadas de buckets que podem substituir as permissões do bucket.

  • MFA on Root Account (gratuito)

    Verifica a política de senhas da conta e alerta quando uma política de senhas não está habilitada, ou se os requisitos de conteúdo de senhas não foram ativados. Os requisitos de conteúdo de senhas aumentam a segurança em geral do seu ambiente AWS impondo a criação de senhas de usuário fortes. Quando você criar ou alterar uma política de senha, a alteração será aplicada imediatamente para novos usuários, mas não forçará usuários existentes a mudarem suas senhas.

  • Amazon RDS Security Group Access Risk

    Verifica as configurações de grupo de segurança do Amazon Relational Database Service (Amazon RDS) e alerta quando uma regra de grupo de segurança pode autorizar um acesso excessivamente permissivo ao seu banco de dados. A configuração recomendada para qualquer regra de grupo de segurança é permitir acesso de grupos de segurança específicos do Amazon Elastic Compute Cloud (Amazon EC2) ou de um endereço IP específico.

  • AWS CloudTrail Logging

    Verifica o seu uso do AWS CloudTrail. O CloudTrail oferece mais visibilidade sobre as atividades na sua conta da AWS registrando informações sobre as chamadas de APIs da AWS executadas na conta. Esses registros de log podem ser usados para determinar, por exemplo, que ações um usuário específico executou em um determinado período ou que usuários executaram ações em um recurso específico durante um determinado período. Como o CloudTrail entrega arquivos de registro de log em um bucket do Amazon Simple Storage Service (Amazon S3), o CloudTrail precisa de permissões de escrita no bucket.

  • Amazon Route 53 MX and SPF Resource Record Sets

    Verifica a existência de um conjunto de registros de recurso SPF para cada conjunto de registros MX. Um registro SPF (estrutura de política de remetente) publica uma lista de servidores autorizados a enviar e-mail pelo seu domínio, ajudando a reduzir o spam ao detectar e interromper falsificações de endereços de e-mail.

  • ELB Listener Security

    Busca load balancers com listeners que não usam as configurações de segurança recomendadas para a comunicação criptografada. A AWS recomenda o uso de um protocolo seguro (HTTPS ou SSL), políticas de segurança atualizadas e cifras e protocolos seguros. Quando você usa um protocolo seguro para uma conexão com o front-end (cliente para load balancer), as solicitações são criptografadas entre os clientes e o load balancer, o que é mais seguro. O Elastic Load Balancing oferece políticas de segurança predefinidas com cifras e protocolos que seguem as melhores práticas de segurança da AWS. Novas versões de políticas predefinidas são lançadas assim que novas configurações são disponibilizadas.

  • ELB Security Groups  

    Procura por load balancers configurados com um grupo de segurança ausente ou que permite acesso a portas que não estejam configuradas para o load balancer. Se um grupo de segurança associado a um load balancer for excluído, o load balancer não funcionará da forma esperada. Se um grupo de segurança permitir acesso a portas que não estão configuradas para o load balancer, o risco de perda de dados ou ataques mal-intencionados aumentará.  

  • CloudFront Custom SSL Certificates in the IAM Certificate Store  

    Verifica os certificados SSL em busca de nomes de domínio alternativos do CloudFront no armazenamento de certificados do IAM e alerta caso tenham expirado, estejam prestes a expirar, usem uma criptografia ultrapassada ou não estejam configurados corretamente para a distribuição. Quando um certificado personalizado para um domínio alternativo expira, os navegadores que exibem o conteúdo do CloudFront podem mostrar uma mensagem, avisando sobre a segurança do site. Certificados criptografados usando o algoritmo de hashing SHA-1 estão sendo considerados obsoletos por navegadores como Chrome e Firefox. Se um certificado não tiver nenhum nome de domínio que corresponda ao Origin Domain Name ou ao nome de domínio no cabeçalho Host de solicitações dos visualizadores, o CloudFront retornará um código de status HTTP 502 (gateway incorreto) ao usuário.

  • CloudFront SSL Certificate on the Origin Server  

    Busca chaves de acesso ativas do IAM que não foram trocadas nos últimos 90 dias. Quando você troca regularmente as chaves de acesso, reduz a chance de que uma chave comprometida seja usada sem o seu conhecimento para acessar recursos. Para as finalidades desta verificação, a data e a hora da última troca é o momento em que a chave de acesso foi criada ou ativada mais recentemente. O número e a data da chave de acesso são obtidos das informações access_key_1_last_rotated e access_key_2_last_rotated no relatório mais recente de credenciais do IAM.

  • Exposed Access Keys  

    Verifica repositórios de código populares para encontrar chaves de acesso que foram expostas ao público e para uso irregular do Amazon Elastic Compute Cloud (Amazon EC2) que pode ser o resultado de uma chave de acesso comprometida. Uma chave de acesso consiste em um ID de chave de acesso e a chave de acesso secreta correspondente. As chaves de acesso expostas são um risco à segurança da sua conta e aos outros usuários, podem gerar cobrança excessiva resultante de atividades ou abuso não autorizados e violam o Contrato do Cliente da AWS. Se a sua chave de acesso for exposta, tome medidas imediatas para proteger a sua conta. Para obter proteção adicional contra cobranças excessivas na sua conta, a AWS limita temporariamente sua capacidade de criar alguns recursos da AWS. Essa limitação não torna a sua conta segura, apenas limita parcialmente o uso não autorizado pelo qual você poderia ser cobrado. Observação: essa verificação não garante a identificação das chaves de acesso expostas nem das instâncias do EC2 comprometidas. Você é o responsável final pela segurança e proteção de suas chaves de acesso e seus recursos da AWS.

  • Amazon EBS Public Snapshots (gratuito)  

    Verifica as configurações de permissões de snapshots de volume do Amazon Elastic Block Store (Amazon EBS) e alerta se qualquer um deles está marcado como público. Quando você torna um snapshot público, todas as contas e usuários da AWS podem acessar os dados desse snapshot. Se você quiser compartilhar um snapshot com determinados usuários e contas, marque-os como privados e especifique o usuário ou as contas com as quais deseja compartilhar o snapshot.

  • Amazon RDS Public Snapshots (gratuito)  

    Verifica as configurações de permissões de DB snapshots do Amazon Relational Database Service (Amazon RDS) e alerta se qualquer um deles está marcado como público. Quando você torna um snapshot público, todas as contas e usuários da AWS podem acessar os dados desse snapshot. Se você quiser compartilhar um snapshot com determinados usuários e contas, marque-os como privados e especifique o usuário ou as contas com as quais deseja compartilhar o snapshot.

  • IAM Password Policy  

    Verifica a política de senhas da conta e alerta quando uma política de senhas não está habilitada, ou se os requisitos de conteúdo de senhas não foram ativados. Os requisitos de conteúdo de senhas aumentam a segurança em geral do seu ambiente AWS impondo a criação de senhas de usuário fortes. Quando você criar ou alterar uma política de senha, a alteração será aplicada imediatamente para novos usuários, mas não forçará usuários existentes a mudarem suas senhas.

  • IAM Access Key Rotation  

    Busca chaves de acesso ativas do IAM que não foram trocadas nos últimos 90 dias. Quando você troca regularmente as chaves de acesso, reduz a chance de que uma chave comprometida seja usada sem o seu conhecimento para acessar recursos. Para as finalidades desta verificação, a data e a hora da última troca é o momento em que a chave de acesso foi criada ou ativada mais recentemente. O número e a data da chave de acesso são obtidos das informações access_key_1_last_rotated e access_key_2_last_rotated no relatório mais recente de credenciais do IAM.

Fault Tolerance

Aumente a disponibilidade e a redundância de aplicativos da AWS usando os recursos de Auto Scaling, verificações de integridade, multi-AZ e backup.

  • Amazon EBS Snapshots

    Verifica a idade dos snapshots dos volumes (disponíveis ou em uso) do Amazon Elastic Block Store (Amazon EBS). Apesar de os volumes do Amazon EBS serem replicados, falhas podem ocorrer. Os snapshots são persistidos no Amazon Simple Storage Service (Amazon S3) para o armazenamento resiliente e recuperação point-in-time.

  • Amazon EC2 Availability Zone Balance

    Verifica a distribuição das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) entre as zonas de disponibilidade em uma região. As zonas de disponibilidade são locações distintas projetadas para serem isoladas das falhas em outras zonas de disponibilidade e fornecerem conectividade de rede barata e de baixa latência com outras zonas de disponibilidade na mesma região. Ao lançar instâncias em várias zonas de disponibilidade dentro da mesma região, você pode ajudar a proteger seus aplicativos contra um ponto único de falha.

  • Load Balancer Optimization

    Verifica a configuração do load balancer. Para ajudar a elevar o nível de tolerância a falhas no Amazon Elastic Compute Cloud (EC2) ao utilizar o Elastic Load Balancing, recomendamos a execução do mesmo número de instâncias em várias zonas de disponibilidade de uma região. Um load balancer configurado gera cobranças, portanto esta é também uma verificação de otimização de custos.

  • VPN Tunnel Redundancy

    Verifica o número de túneis que estão ativos para cada uma das VPNs. Uma VPN deveria ter dois túneis configurados em todos os momentos para fornecer redundância no caso de queda de serviço ou manutenção planejada dos dispositivos no endpoint da AWS. Em alguns hardwares, apenas um túnel fica ativo por vez (veja o Guia do administrador de redes do Amazon Virtual Private Cloud). Se uma VPN não tem túneis ativos, as cobranças da VPN ainda podem ser aplicadas.

  • Auto Scaling Group Resources

    Verifica a disponibilidade de recursos associados com configurações de execução e os grupos de Auto Scaling. Grupos de Auto Scaling que apontam para recursos indisponíveis não podem executar novas instâncias do Amazon Elastic Compute Cloud (Amazon EC2). Quando configurado de forma apropriada, o Auto Scaling aumenta transparentemente o número de instâncias do Amazon EC2 durante picos de demanda e o diminui automaticamente durante quedas de demanda. Os grupos de Auto Scaling e configurações de execução que apontam para recursos indisponíveis não funcionam da forma pretendida.

  • Amazon RDS Backups

    Verifica por backups automatizados de instâncias de banco de dados do Amazon RDS. Por padrão, backups são habilitados com um período de retenção de 1 dia. Realizar backups reduz o risco de perda inesperada de dados e permite a recuperação point-in-time.

  • Amazon RDS Multi-AZ

    Procura por instâncias de banco de dados que estão implementadas em uma única zona de disponibilidade. As implementações Multi-AZ aprimoram a disponibilidade dos bancos de dados com a replicação síncrona para uma instância em espera em uma zona de disponibilidade diferente. Durante a manutenção planejada de banco de dados ou falha em uma instância de banco de dados ou zona de disponibilidade, o Amazon RDS automaticamente recupera a instância em espera para que as operações de banco de dados possam continuar rapidamente sem intervenção administrativa. Como o Amazon RDS não oferece suporte à implantação Multi-AZ para o Microsoft SQL Server, esta verificação não examina instâncias SQL Server.

  • Auto Scaling Group Health Check

    Examina a configuração de verificações de integridade dos grupos de Auto Scaling. Se o Elastic Load Balancing está sendo utilizado para um grupo de Auto Scaling, a configuração recomendada é a de habilitar uma verificação de integridade do Elastic Load Balancing. Se uma verificação de integridade do Elastic Load Balancing não é utilizada, o Auto Scaling pode agir somente de acordo com a integridade da instância do Amazon Elastic Compute Cloud (Amazon EC2) e não do aplicativo que está em execução na instância.

  • Amazon S3 Bucket Logging

    Verifica a configuração de registro em log do Amazon Simple Storage Service (Amazon S3). Quando o registro em log de acesso ao servidor está habilitado, os logs de acesso detalhados são entregues a cada hora a um bucket escolhido. Um registros de log de acesso contém detalhes sobre cada solicitação, tais como o tipo, os recursos especificados na solicitação e a data e hora em que foi processada. Por padrão, o registro em log de buckets não está habilitado. Você deve habilitar o registro em log se quiser executar auditorias de segurança ou saber mais sobre usuários e padrões de uso.

  • Amazon Route 53 Name Server Delegations  

    Verifica a existência de zonas hospedadas no Amazon Route 53 para as quais o registro do domínio ou o DNS não está usando os servidores de nome corretos do Route 53. Quando você cria uma zona hospedada, o Route 53 atribui um conjunto de delegações com quatro servidores de nome. Os nomes desses servidores são ns-###.awsdns-##.com, .net, .org e .co.uk, onde ### e ## normalmente representam números diferentes. Antes que o Route 53 possa encaminhar consultas de DNS para o seu domínio, você deve atualizar a configuração de servidor de nome do registro para remover os servidores de nome atribuídos e adicionar todos os quatro servidores de nome no conjunto de delegação do Route 53. Para obter a máxima disponibilidade, você deve adicionar todos os quatro servidores de nome do Route 53.

  • Amazon Route 53 High TTL Resource Record Sets

    Verifica os conjuntos de registros de recurso que podem se beneficiar de um valor de time-to-live (TTL) maior. O TTL é o número de segundos que um conjunto de registros de recurso é armazenado em cache pelos resolvedores de DNS. Quando você especifica um TTL longo, os resolvedores de DNS demoram mais para solicitar registros de DNS atualizados, o que pode causar demora desnecessária para rotear novamente o tráfego (por exemplo, quando o failover de DNS detecta e responde a uma falha de um dos endpoints).

  • Amazon Route 53 Failover Resource Record Sets

    Procura por conjuntos de registros de recurso de failover configurados incorretamente no Amazon Route 53. Quando as verificações de integridade do Amazon Route 53 determinam que um recurso primário não está saudável, o Amazon Route 53 passa a responder às consultas com um conjunto de registros de recurso secundários de backup. Devem ser criados e corretamente configurados conjuntos de registros de recurso primário e secundário para o failover funcionar.

  • Amazon Route 53 Deleted Health Checks

    Procura por conjuntos de registros de recurso associados a verificações de integridade que foram excluídas. O Amazon Route 53 não evita a exclusão de verificações de integridade associadas a um ou mais conjuntos de registro de recurso. Caso uma verificação de integridade seja excluída sem a atualização dos conjuntos de registro de recurso associados, o roteamento de consultas de DNS para a configuração de failover de DNS não funcionará como planejado. Isso afetará o roteamento de consultas de DNS para a sua configuração de failover de DNS.

  • ELB Connection Draining

    Busca load balancers que não estão com a diminuição de conexão habilitada. Quando a diminuição de conexão não está habilitada e você remove (cancela o registro) de uma instância do Amazon EC2 de um load balancer, o load balancer deixa de rotear tráfego para essa instância e fecha a conexão. Quando a diminuição de conexão está habilitada, o load balancer deixa de enviar novas solicitações à instância com o registro cancelado, mas mantém a conexão aberta para atender às solicitações ativas.

  • ELB Cross-Zone Load Balancing

    Busca load balancers que não estão com load balancing entre zonas habilitado. O load balancing entre zonas distribui uniformemente solicitações entre todas as instâncias de back-end, independentemente da zona de disponibilidade em que estão. O load balancing entre zonas reduz a distribuição desigual de tráfego quando os clientes armazenam informações de DNS em cache de forma incorreta, ou quando você tem um número desigual de instâncias em cada zona de disponibilidade (por exemplo, se algumas instâncias foram interrompidas para manutenção). O balanceamento de carga entre zonas facilita implantar e gerenciar aplicativos entre várias zonas de disponibilidade.

  • Amazon S3 Bucket Versioning

    Verifica se há buckets do Amazon Simple Storage Service cujo versionamento está suspenso ou não está ativado. Quando o versionamento está habilitado, você pode recuperar facilmente ações acidentais de usuários e falhas de aplicativos. O versionamento permite preservar, recuperar e restaurar todas as versões de cada objeto armazenado em um bucket. Você pode usar regras de ciclo de vida para gerenciar todas as versões dos objetos, bem como seus custos associados, arquivando automaticamente objetos na categoria de armazenamento Glacier ou removendo-os após um determinado período. Também é possível optar por exigir autenticação multifator (MFA) para qualquer exclusão de objeto ou alteração de configuração nos buckets.

  • AWS Direct Connect Connection Redundancy

    Procura por regiões que têm apenas uma conexão do AWS Direct Connect. A conectividade a recursos da AWS deve sempre ter duas conexões do Direct Connect configuradas para proporcionar redundância quando um dispositivo está indisponível.

  • AWS Direct Connect Location Redundancy  

    Procura por gateways privados virtuais com interfaces virtuais do AWS Direct Connect (VIFs) que não foram configuradas em pelo menos duas conexões do AWS Direct Connect. A conectividade para um gateway privado virtual deve ter várias interfaces virtuais configuradas em diversas conexões e locais do Direct Connect para oferecer redundância caso um dispositivo ou local fique indisponível.

  • AWS Direct Connect Virtual Interface Redundancy

    Procura por gateways privados virtuais com interfaces virtuais do AWS Direct Connect (VIFs) que não foram configuradas em pelo menos duas conexões do AWS Direct Connect. A conectividade para um gateway privado virtual deve ter várias interfaces virtuais configuradas em diversas conexões e locais do Direct Connect para oferecer redundância caso um dispositivo ou local fique indisponível.

  • Amazon Aurora DB Instance Accessibility

    Busca casos em que um cluster de banco de dados do Amazon Aurora tem instâncias privadas e públicas. Quando a instância principal falha, uma réplica poderá ser promovida para instância primária. Se essa réplica for privada, os usuários que têm apenas acesso público não conseguirão mais se conectar ao banco de dados após o failover. Uma melhor prática para todas as instâncias de banco de dados em um cluster é que todas tenham o mesmo tipo de acesso.

  • EC2Config Service for EC2 Windows Instances

    Verifica o EC2Config Service para instâncias Windows do Amazon EC2 e alerta se o agente EC2Config estiver desatualizado ou configurado de maneira incorreta. O uso da versão mais recente do EC2Config habilita e otimiza o gerenciamento de software de endpoint, como verificações de drivers de PV, para manter a atualização do software de endpoint com as versões mais seguras e confiáveis.

    Observação: esta verificação exibe informações para instâncias do EC2 nas seguintes regiões: Norte da Virgínia (us-east-1), Norte da Califórnia (us-west-1), Oregon (us-west-2), Irlanda (eu-west-1), São Paulo (sa-east-1), Tóquio (ap-northeast-1), Cingapura (ap-southeast-1) e Sydney (ap-southeast-2).

  • PV Driver Version for EC2 Windows Instances

    Fault Tolerance

    Aumente a disponibilidade e a redundância de aplicativos da AWS usando os recursos de Auto Scaling, verificações de integridade, multi-AZ e backup.

    Verifica a versão do driver de PV para instâncias Windows do Amazon EC2 e alerta se o driver não estiver atualizado. O uso do mais recente driver de PV ajuda a otimizar a performance do driver e minimizar problemas e riscos de segurança em tempo de execução.

    Observação: esta verificação exibe informações para instâncias do EC2 nas seguintes regiões: Norte da Virgínia (us-east-1), Norte da Califórnia (us-west-1), Oregon (us-west-2), Irlanda (eu-west-1), São Paulo (sa-east-1), Tóquio (ap-northeast-1), Cingapura (ap-southeast-1) e Sydney (ap-southeast-2).

  • ENA Drivers

    Verifica a versão do driver AWS ENA para instâncias do EC2 Windows e alerta se o driver (a) estiver obsoleto e não tiver mais suporte; (b) estiver obsoleto com problemas identificados ou (c) tiver uma atualização disponível. O uso da versão mais recente do driver AWS ENA para Windows otimiza a performance do driver ENA e minimiza problemas de tempo de execução e riscos de segurança.

    Observação: esta verificação exibe informações para instâncias do EC2 nas seguintes regiões: Norte da Virgínia (us-east-1), Norte da Califórnia (us-west-1), Oregon (us-west-2), Irlanda (eu-west-1), São Paulo (sa-east-1), Tóquio (ap-northeast-1), Cingapura (ap-southeast-1) e Sydney (ap-southeast-2).

  • NVMe Driver

    Verifica a versão do driver AWS NVMe para instâncias do EC2 Windows e alerta se o driver (a) estiver obsoleto e não tiver mais suporte; (b) estiver obsoleto com problemas identificados ou (c) tiver uma atualização disponível. O uso da versão mais recente do driver AWS NVMe para Windows otimiza a performance do driver NVMe e minimiza problemas de tempo de execução e riscos de segurança.

    Observação: esta verificação exibe informações para instâncias do EC2 nas seguintes regiões: Norte da Virgínia (us-east-1), Norte da Califórnia (us-west-1), Oregon (us-west-2), Irlanda (eu-west-1), São Paulo (sa-east-1), Tóquio (ap-northeast-1), Cingapura (ap-southeast-1) e Sydney (ap-southeast-2).

Performance

Aprimore a performance do serviço verificando os Service Limits, garantindo o uso do throughput provisionado e monitorando instâncias com uso excessivo.

  • High Utilization Amazon EC2 Instances

    Verifica as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) que estavam em execução em qualquer momento durante os últimos 14 dias e alerta caso a utilização diária de CPU ultrapassou 90% em 4 ou mais dias. A alta utilização constante pode ser um indicador de performance otimizado e consistente, mas também pode indicar que um aplicativo não conta com recursos suficientes. Para obter dados diários de utilização de CPU, faça download do relatório desta verificação.

  • Amazon EBS Provisioned IOPS (SSD) Volume Attachment Configuration

    Procura por volumes de IOPS provisionadas (SSD) anexados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2) não otimizada para Amazon EBS. Os volumes de IOPS provisionadas do Amazon Elastic Block Store (Amazon EBS) são projetados para oferecer a performance esperada apenas quando são anexados a uma instância otimizada para EBS.

  • Large Number of Rules in an EC2 Security Group

    Verifica cada grupo de segurança do Amazon Elastic Compute Cloud (EC2) por um número excessivo de regas. Se um grupo de segurança contém um número grande de regras, a performance pode cair.

    Para obter mais informações, consulte Grupos de segurança do Amazon EC2.

  • Large Number of EC2 Security Group Rules Applied to an Instance

    Verifica por instâncias do Amazon Elastic Compute Cloud (EC2) que contêm um grande número de regras de grupo de segurança. A performance pode cair se uma instância tem um número alto de regras.

  • Amazon Route 53 Alias Resource Record Sets

    Verifica os conjuntos de registros de recurso que encaminham as pesquisas de DNS aos recursos da AWS; esses conjuntos de registros de recurso podem ser alterados para alias. Um conjunto de registros de recurso alias é um tipo de registro especial do Amazon Route 53 que encaminha as consultas de DNS a um recurso da AWS (por exemplo, um load balancer do Elastic Load Balancing ou um bucket do Amazon S3) ou a outro conjunto de registros de recurso do Route 53. Quando você usa conjuntos de registro de recurso alias, o Route 53 encaminha suas consultas DNS aos recursos da AWS gratuitamente.

  • Overutilized Amazon EBS Magnetic Volumes

    Verifica os volumes magnéticos do Amazon Elastic Block Store (EBS) que são potencialmente sobre utilizados e podem se beneficiar de uma configuração mais eficiente. Um volume magnético é projetado para aplicativos com requisitos de E/S moderados ou intermitentes, e a taxa IOPS não é garantida. Fornece uma média aproximada de 100 IOPS, com uma capacidade intermitente com base no melhor esforço de até centenas de IOPS. Para obter IOPS mais altas de forma consistente, você pode usar um volume de IOPS provisionadas (SSD). Para picos de IOPS, você pode usar um volume de uso geral (SSD).

  • Amazon CloudFront Content Delivery Optimization

    Procura por casos em que a transferência de dados de buckets do Amazon Simple Storage Service (Amazon S3) poderia ser acelerada usando o Amazon CloudFront, o serviço de entrega de conteúdo global da AWS. Ao configurar o Amazon CloudFront para entregar o seu conteúdo, as solicitações pelo conteúdo são automaticamente direcionadas para o ponto de presença mais próximo em que o conteúdo está cacheado, de forma que ele possa ser entregue aos seus usuários com a melhor performance possível. Uma taxa alta de transferência de dados para fora no bucket indica que seria possível se beneficiar do uso do Amazon CloudFront para entregar os dados.

  • CloudFront Header Forwarding and Cache Hit Ratio

    Verifica os cabeçalhos de solicitação HTTP recebidos no momento do cliente pelo CloudFront e os encaminha ao servidor de origem. Alguns cabeçalhos, como Date ou User-Agent, reduzem consideravelmente a taxa de acerto do cache (a proporção de solicitações atendidas por um ponto de presença de cache do CloudFront). Essa redução aumenta a carga na origem e prejudica a performance, pois o CloudFront deve encaminhar mais solicitações para a origem.

  • Amazon EC2 to EBS Throughput Optimization

    Procura por volumes do Amazon EBS cuja performance possa ser afetada pela funcionalidade da throughput máximo da instância do Amazon EC2 à qual eles estão anexados. Para otimizar a performance, você deve garantir que o throughput máximo de uma instância do EC2 é maior que o throughput máximo agregado dos volumes do EBS anexados.

  • CloudFront Alternate Domain Names

    Verifica distribuições do CloudFront em busca de nomes de domínio alternativos com definições de DNS configuradas incorretamente. Se uma distribuição do CloudFront inclui nomes de domínio alternativos, a configuração do DNS dos domínios deve encaminhar consultas de DNS para essa distribuição.

Service Limits

Procura por utilização de serviços acima de 80% do service limit. Os valores são baseados em um snapshot, portanto a sua utilização atual pode ser diferente. Os dados de limite e de uso podem levar até 24 horas para refletir as alterações.

A tabela a seguir mostra os limites que o Trusted Advisor verifica.

Serviço
Limites
Amazon Elastic Compute Cloud
(Amazon EC2)
Endereços Elastic IP (EIPs)
Instâncias reservadas – limite de compra (mensal)
Instâncias sob demanda
Amazon Elastic Block Store
(Amazon EBS)
Volumes ativos
Snapshots ativos
Armazenamento (GiB) em volumes de uso geral (SSD)
IOPS provisionadas
Armazenamento (GiB) em volumes de IOPS provisionadas (SSD)
Armazenamento (GiB) em volumes magnéticos
Amazon Kinesis Streams Estilhaços
Amazon Relational Database Service
(Amazon RDS)
Clusters
Grupos de parâmetros de cluster
Funções de cluster
Instâncias do banco de dados
Grupos de parâmetros do banco de dados
Grupos de segurança do banco de dados
Snapshots do banco de dados por usuário
Inscrições em eventos
Máximo de autenticações por security group
Grupos de opções
Réplicas de leitura por principal
Instâncias reservadas
Cota de armazenamento (GiB)
Grupos de sub-redes
Sub-redes por grupo de sub-redes
Amazon Simple Email Service
(Amazon SES)
Cota de envio diário
Amazon Virtual Private Cloud
(Amazon VPC)
 
Endereços Elastic IP (EIPs)
Gateways de Internet
VPCs
Auto Scaling
grupos de Auto Scaling
Configurações de execução
AWS CloudFormation Pilhas
Elastic Load Balancing (ELB)
Load balancers ativos
Identity and Access Management (IAM)
Grupos
Perfis da instância
Políticas
Funções
Certificados do servidor
Usuários

Observação: os dados para os limites de instâncias sob demanda do EC2 estão disponíveis apenas para estas regiões da AWS:

Ásia-Pacífico (Tóquio) [ap-northeast-1]
Ásia-Pacífico (Cingapura) [ap-southeast-1]
Ásia-Pacífico (Sydney) [ap-southeast-2]
UE (Irlanda) [eu-west-1]
América do Sul (São Paulo) [sa-east-1]
Leste dos EUA (Norte da Virgínia) [us-east-1]
Oeste dos EUA (Norte da Califórnia) [us-west-1]
Oeste dos EUA (Oregon) [us-west-2]

Observação: no momento, o Trusted Advisor não rastreia limites regionais de instâncias sob demanda do EC2. Por padrão, esse limite é 20 instâncias sob demanda por conta e por região.

Se você atingir esse limite regional, poderá ser impedido de iniciar novas instâncias sob demanda, mesmo que o Trusted Advisor indique que você ainda não atingiu nenhum limite por tipo de instância nessa região. Para obter mais detalhes sobre os limites das instâncias sob demanda do EC2, consulte Quantas instâncias posso executar no Amazon EC2.

Estamos trabalhando constantemente para incluir mais serviços na verificação de Service Limits. Seus comentários são muito úteis para nós.