O AWS Trusted Advisor funciona como seu perito em nuvem personalizado e ajuda a configurar os recursos seguindo as melhores práticas. O AWS Trusted Advisor inspeciona seu ambiente AWS e faz recomendações quando há oportunidades para economizar dinheiro, melhorar o desempenho e a confiabilidade do sistema, ou corrigir falhas de segurança. O AWS Trusted Advisor abrange os principais serviços da AWS e gerou mais de 1 milhão de recomendações a clientes, ajudando-os a alcançar mais de 140 milhões de dólares em reduções de custos em 2013. Saiba mais sobre como o Trusted Advisor funciona lendo as perguntas frequentes.

O Trusted Advisor está disponível para clientes com suporte aos níveis Business e Enterprise, e suas recomendações de melhores práticas podem ser integradas a seu aplicativo com a API do AWS Support. Por que contratar um consultor de nuvem? Comece a usar o AWS Trusted Advisor hoje!

reInvent_vid_270x98px
1:36:08
Trusted Advisor @ Re:Invent 2013


ta_dashboard_site

O AWS Trusted Advisor fornece as melhores práticas em quatro categorias: otimização de custo, segurança, tolerância a falhas, e melhoria de desempenho. Você pode usar mais de 30 verificações do Trusted Advisor para monitorar e melhorar a implementação do Amazon EC2, Elastic Load Balancing, Amazon EBS, Amazon S3, Auto Scaling, IAM, Amazon RDS, Route 53 e outros serviços. Você pode exibir o status geral de seu recurso AWS e a estimativa de economia no painel. Os recursos que você suprimiu são ignorados em futuros relatórios para fornecer uma visão mais precisa da integridade do seu aplicativo. Saiba mais sobre como a função suprimir funciona lendo as perguntas frequentes.


Veja como você pode economizar na AWS ao eliminar recursos não usados e ociosos ou fazendo compromissos de capacidade reservada.

Verifica o histórico de consumo de computação do Amazon Elastic Compute Cloud (Amazon EC2) e calcula um número apropriado de instâncias reservadas de utilização pesada. As recomendações são baseadas no uso horário do mês anterior no calendário agregado por todas as contas de faturamento consolidadas. Para obter mais informações sobre como a recomendação é calculada, consulte "Reserved Instance Optimization Check Questions" nas Trusted Advisor FAQs.

Com as instâncias reservadas, você paga uma pequena taxa única e recebe um desconto significativo sobre a cobrança horária de utilização da instância. Para minimizar os seus custos, o sistema de faturamento aplica as taxas de instância reservada primeiro automaticamente.

Verifica as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) que estavam em execução em qualquer momento durante os últimos 14 dias e alerta se a utilização diária de CPU foi de 10% ou menor e a E/S de rede foi de 5 MB ou menos por 4 ou mais dias. Instâncias em execução geram cobranças de uso por hora. Apesar de alguns cenários poderem resultar em baixa utilização intencionalmente, geralmente você pode diminuir os seus custos gerenciando o número e tamanho das suas instâncias.

As economias mensais estimadas são calculadas usando a taxa atual de uso para instâncias on-demand e o número estimado de dias que a instância pode ser subutilizada. As economias reais serão variáveis se você estiver usando instâncias reservadas ou spot, ou se a instância não estiver sendo executada por um dia inteiro. Para obter dados diários de utilização, faça o download do relatório para esta checagem.

Verifica a sua configuração de Elastic Load Balancing para localizar load balancers que não estão sendo usados ativamente. Todo load balancer configurado gera cobranças. Se um load balancer não tem instâncias associadas de back-end ou se o tráfego de rede é muito baixo, não está sendo utilizado efetivamente.

Este item verifica as configurações do volume do Amazon Elastic Block Store (Amazon EBS) e alerta quando os volumes parecem estar sendo subutilizados. As cobranças iniciam quando um volume é criado. Se um volume permanecer não vinculado ou tiver muito pouca atividade de gravação (excluindo-se volumes de inicialização) por um período de tempo, o volume provavelmente não está sendo usado.

Procura por endereços de Elastic IP (EIPs) que não estão associados a uma instância em execução do Amazon Elastic Compute Cloud (Amazon EC2). Os EIPs são endereços de IP estáticos projetados para computação dinâmica em nuvem. Diferente dos endereços tradicionais estáticos de IP, os EIPs podem mascarar a falha de uma instância ou zona de disponibilidade mapeando novamente o endereço IP público para outra instância na sua conta. Uma cobrança nominal é gerada para um EIP que não está associado a nenhuma instância em execução.

Procura na configuração do Amazon Relational Database Service (Amazon RDS) por quaisquer instâncias de banco de dados que aparentam estar ociosas. Se uma instância de banco de dados não realizou uma conexão por um período de tempo estendido, a instância pode ser desligada para reduzir custos. Se o armazenamento persistente é necessário para os dados na instância, podem ser utilizadas opções de custo mais baixo como extrair e reter um snapshot do banco de dados. Snapshots de bancos de dados criados manualmente são retidos até que sejam excluídos.

Aprimore a segurança do seu aplicativo ao preencher as lacunas, habilitando vários recursos de segurança da AWS e analisando suas permissões.

Procura nos grupos de segurança por regras que permitem acesso irrestrito (0.0.0.0/0) para portas específicas. O acesso irrestrito aumenta as oportunidades para atividade maliciosa (hacking, ataques de negação de serviço, perda de dados). As portas com maiores riscos são marcadas em vermelho, e as com menos risco são marcadas em amarelo. As portas marcadas em verde são tipicamente utilizadas por aplicativos que necessitam de acesso irrestrito, como o HTTP e SMTP.
Se você configurou os seus grupos de segurança dessa forma intencionalmente, recomendamos o uso de medidas adicionais de segurança para proteger a sua infraestrutura (como tabelas de IP).

Procura em grupos de segurança por regras que permitem acesso irrestrito a um recurso. O acesso irrestrito aumenta as oportunidades para atividade maliciosa (hacking, ataques de negação de serviço, perda de dados).

Verifica o uso do AWS Identity and Access Management (IAM). Você pode usar o IAM para criar usuários, grupos e funções no AWS, e pode usar permissões para controlar o acesso aos recursos da AWS.

Procura por buckets no Amazon Simple Storage Service (Amazon S3) que têm permissões de acesso abertas. As permissões de bucket que concedem acesso de lista a todos podem resultar em cobranças acima do esperado se objetos no bucket forem listados por usuários indesejados com muita frequência. As permissões de bucket que concedem acesso de upload/exclusão para todos criam vulnerabilidades de segurança em potencial ao permitir que qualquer pessoa adicione, modifique ou remova itens em um bucket. Esta verificação examina permissões explícitas de buckets, mas não examina políticas associadas de buckets que podem se sobrepor às permissões do bucket.

Verifica a conta root e alerta se a autenticação multifator (MFA) não está habilitada. Para mais segurança, recomendamos que proteja a sua conta usando a MFA, que requer que o usuário insira um código único de autenticação do seu dispositivo físico ou virtual de MFA ao interagir com o console da AWS e websites associados.

Verifica a política de senhas da conta e alerta quando uma política de senhas não está habilitada, ou se os requisitos de conteúdo de senhas não foram ativados. Os requisitos de conteúdo de senhas aumentam a segurança em geral do seu ambiente AWS impondo a criação de senhas de usuário fortes. Quando você criar ou alterar uma política de senha, a alteração será aplicada imediatamente para novos usuários, mas não forçará usuários existentes a mudarem suas senhas.

Verifica as configurações de grupo de segurança do Amazon Relational Database Service (Amazon RDS) e alerta quando uma regra de grupo de segurança pode autorizar um acesso excessivamente permissivo ao seu banco de dados. A configuração recomendada para qualquer regra de grupo de segurança é permitir acesso de grupos de segurança específicos do Amazon Elastic Compute Cloud (Amazon EC2) ou de um endereço IP específico.

Aumente a disponibilidade e a redundância do seu aplicativo AWS para usufruir dos recursos de Auto Scaling, verificações da condição, multi-AZ de disponibilidade e back-up.

Verifica a idade dos snapshots dos volumes (disponíveis ou em uso) do Amazon Elastic Block Store (Amazon EBS). Apesar de os volumes do Amazon EBS serem replicados, falhas podem ocorrer. Os snapshots são persistidos no Amazon Simple Storage Service (Amazon S3) para o armazenamento durável e recuperação pontual.

Verifica a distribuição das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) entre as zonas de disponibilidade em uma região. As zonas de disponibilidade são locações distintas projetadas para serem isoladas das falhas em outras zonas de disponibilidade e fornecerem conectividade de rede barata e de baixa latência com outras zonas de disponibilidade na mesma região. Ao lançar instâncias em várias zonas de disponibilidade dentro da mesma região, você pode ajudar a proteger seus aplicativos contra um ponto único de falha.

Verifica a configuração do load balancer. Para ajudar a elevar o nível de tolerância a falhas no Amazon Elastic Compute Cloud (EC2) ao utilizar o Elastic Load Balancing, recomendamos a execução do mesmo número de instâncias em várias zonas de disponibilidade de uma região. Um load balancer configurado gera cobranças, portanto esta é também uma verificação de otimização de custos.

Verifica o número de túneis que estão ativos para cada uma das VPNs. Uma VPN deveria ter dois túneis configurados em todos os momentos para fornecer redundância no caso de queda de serviço ou manutenção planejada dos dispositivos no endpoint da AWS. Em alguns hardwares, apenas um túnel fica ativo por vez (veja o Amazon Virtual Private Cloud Network Administrator Guide). Se uma VPN não tem túneis ativos, as cobranças da VPN ainda podem ser aplicadas.

Verifica a disponibilidade de recursos associados com configurações de execução e os grupos de Auto Scaling. Grupos de Auto Scaling que apontam para recursos indisponíveis não podem executar novas instâncias do Amazon Elastic Compute Cloud (Amazon EC2). Quando configurado de forma apropriada, o Auto Scaling aumenta transparentemente o número de instâncias do Amazon EC2 durante picos de demanda e o diminui automaticamente durante quedas de demanda. Os grupos de Auto Scaling e configurações de execução que apontam para recursos indisponíveis não funcionam da forma pretendida.

Verifica por backups automatizados de instâncias de banco de dados do Amazon RDS. Por padrão, backups são habilitados com um período de retenção de 1 dia. Realizar backups reduz o risco de perda inesperada de dados e permite a recuperação a partir de um determinado ponto.

Procura por instâncias de banco de dados que estão implementadas em uma única zona de disponibilidade. As implementações Multi-AZ aprimoram a disponibilidade dos bancos de dados com a replicação síncrona para uma instância em espera em uma zona de disponibilidade diferente. Durante a manutenção planejada de banco de dados ou falha em uma instância de banco de dados ou zona de disponibilidade, o Amazon RDS automaticamente recupera a instância em espera para que as operações de banco de dados possam continuar rapidamente sem intervenção administrativa. Como o Amazon RDS não oferece suporte à implantação Multi-AZ para o Microsoft SQL Server, esta verificação não examina instâncias SQL Server.

Examina a configuração de verificações de saúde dos grupos de Auto Scaling. Se o Elastic Load Balancing está sendo utilizado para um grupo de Auto Scaling, a configuração recomendada é a de habilitar uma verificação de saúde do Elastic Load Balancing. Se uma verificação de saúde do Elastic Load Balancing não é utilizada, o Auto Scaling pode agir somente de acordo com a saúde da instância do Amazon Elastic Compute Cloud (Amazon EC2) e não do aplicativo que está em execução na instância.

Verifica a configuração dos buckets do Amazon Simple Storage Service (Amazon S3) que têm o registro de log de acesso ao servidor habilitado. Quando o registro em log for habilitado inicialmente, a configuração será automaticamente validada; no entanto, modificações futuras poderão resultar em falhas no registro em log. Essa verificação examina permissões explícitas de buckets do Amazon S3, mas não examina políticas associadas dos buckets que podem se sobrepor às permissões do bucket.

Verifica a existência de zonas hospedadas no Amazon Route 53 para as quais o registro do domínio ou o DNS não está usando os servidores de nome corretos do Route 53. Quando você cria uma zona hospedada, o Route 53 atribui um conjunto de delegações com quatro servidores de nome. Os nomes desses servidores são ns-###.awsdns-##.com, .net, .org e .co.uk, onde ### e ## normalmente representam números diferentes. Antes que o Route 53 possa encaminhar consultas de DNS para o seu domínio, você deve atualizar a configuração de servidor de nome do registro para remover os servidores de nome atribuídos e adicionar todos os quatro servidores de nome no conjunto de delegação do Route 53. Para obter a máxima disponibilidade, você deve adicionar todos os quatro servidores de nome do Route 53.

Verifica os conjuntos de registros de recurso que podem se beneficiar de um valor de time-to-live (TTL) maior. O TTL é o número de segundos que um conjunto de registros de recurso é armazenado em cache pelos resolvedores de DNS. Quando você especifica um TTL longo, os resolvedores de DNS demoram mais para solicitar registros de DNS atualizados, o que pode causar demora desnecessária para reencaminhar o tráfego (por exemplo, quando o DNS Failover detecta e responde a uma falha de um dos endpoints).

Aprimore o desempenho do seu serviço ao verificar seus limites de serviço, assegurar que usufrui do rendimento provisionado e monitorar instâncias utilizadas em excesso.

Verifica as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) que estavam em execução em qualquer momento durante os últimos 14 dias e alerta caso a utilização diária de CPU ultrapassou 90% em 4 ou mais dias. A alta utilização constante pode ser um indicador de desempenho otimizado e consistente, mas também pode indicar que um aplicativo não conta com recursos suficientes. Para obter dados diários de utilização de CPU, faça o download do relatório desta verificação.

Procura por utilização acima de 80% do limite do serviço. Os valores são baseados em um snapshot, portanto a sua utilização atual pode ser diferente. Os dados de limite e de uso podem levar até 24 horas para refletir as alterações. Em alguns casos, o seu uso pode ser maior do que o limite indicado por um determinado período.

Procura por volumes de IOPS provisionadas anexados a uma instância do Amazon Elastic Compute Cloud (EC2) não otimizada para o Amazon EBS. Os volumes de IOPS provisionadas do Amazon Elastic Block Store (Amazon EBS) são projetados para oferecer o desempenho esperado apenas quando são anexados a uma instância otimizada para o EBS.

Verifica cada grupo de segurança do Amazon Elastic Compute Cloud (EC2) por um número excessivo de regas. Se um grupo de segurança contém um número grande de regras, o desempenho pode cair.
Para obter mais informações, consulte grupos de segurança do Amazon EC2.

Verifica por instâncias do Amazon Elastic Compute Cloud (EC2) que contêm um grande número de regras de grupo de segurança. O desempenho pode cair se uma instância tem um número alto de regras.

Verifica os conjuntos de registros de recurso que encaminham as pesquisas de DNS aos recursos da AWS; esses conjuntos de registros de recurso podem ser alterados para alias. Um conjunto de registros de recurso alias é um tipo de registro especial do Amazon Route 53 que encaminha as consultas de DNS a um recurso da AWS (por exemplo, um load balancer do Elastic Load Balancing ou um bucket do Amazon S3) ou a outro conjunto de registros de recurso do Route 53. Quando você usa conjuntos de registro de recurso alias, o Route 53 encaminha suas consultas DNS aos recursos da AWS gratuitamente.

Verifica os volumes padrão do Amazon Elastic Block Store (EBS) que são potencialmente sobre utilizados e podem se beneficiar de uma configuração mais eficiente. Um volume padrão do Amazon EBS é projetado para aplicativos com requisitos de E/S moderados ou intermitentes, e a taxa de IOPS não é garantida. Fornece uma média aproximada de 100 IOPS, com uma capacidade intermitente com base no melhor esforço de até centenas de IOPS. Para IOPS consistentemente maiores, é possível unir vários volumes padrão ou usar um volume de IOPS provisionadas, que pode oferecer até 4.000 IOPS. Um volume de IOPS provisionadas é projetado para entregar dentro de 10% do desempenho especificado de IOPS durante 99,9% do tempo em que está anexado a uma instância otimizada para EBS do Amazon EC2.

Procura por casos em que a transferência de dados de buckets do Amazon Simple Storage Service (Amazon S3) poderia ser acelerada usando o Amazon CloudFront, o serviço de entrega de conteúdo global da AWS. Ao configurar o Amazon CloudFront para entregar o seu conteúdo, as solicitações pelo conteúdo são automaticamente direcionadas para o ponto de presença mais próximo em que o conteúdo está cacheado, de forma que ele possa ser entregue aos seus usuários com o melhor desempenho possível. Uma taxa alta de transferência de saída dos dados no bucket indica que seria possível se beneficiar do uso do Amazon CloudFront para entregar os dados.