AWS Trusted Advisor 最佳實務檢查項目

Trusted Advisor 最佳實務檢查項目

AWS Trusted Advisor 提供一組豐富的最佳實務檢查項目和建議,共有五個類別:成本優化、安全性、容錯能力、效能和服務限制。

成本優化

看看在您採用 AWS 後,可藉由排除未使用和閒置的資源或承諾預留容量省下多少金錢。

  • Amazon EC2 Reserved Instances Optimization  

    檢查您的 Amazon Elastic Compute Cloud (Amazon EC2) 運算用量記錄,然後計算出部分預付預留執行個體的最佳數量。系統會根據上個月所有合併帳單帳戶中彙總的逐小時用量提出建議值。如需建議值計算方式的詳細資訊,請參閱 Trusted Advisor 常見問答集中的「預留執行個體優化檢查問題」。

    利用預留執行個體,您只需支付很低的一次性費用,即可在該執行個體的小時費率獲得大幅折扣。為了盡可能降低您的成本,帳單系統會自動先套用預留執行個體費率。

  • Low Utilization Amazon EC2 Instances  

    檢查最近 14 天內在任何時間點執行的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,如果每日 CPU 使用率為 10% (含) 以下且網路 I/O 為 5 MB (含) 或以下達 4 天 (含) 以上,將會提醒您注意。執行執行個體會產生每小時用量費用。雖然有些情況可能因設計而導致使用率低,但是您通常可以藉由管理執行個體的數量和規模,來達到成本的降低。

    您可以使用隨需執行個體的現行用量費率,以及執行個體使用率可能過低的預估天數,來計算每月的預估節省。如果您使用預留執行個體或 Spot 執行個體,或者如果執行個體並非整日執行,則實際節省將會有所不同。要取得每日使用率資料,請下載這項檢查的報告。  

  • Idle Load Balancers  

    檢查您的 Elastic Load Balancing 組態是否有未使用中的負載平衡器。已設定的所有負載平衡器都會產生費用。如果負載平衡器沒有關聯的後端執行個體,或是網路流量嚴重受限時,負載平衡器就無法得到有效使用。

  • Underutilized Amazon EBS Volumes  

    檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區組態,並在磁碟區出現使用率過低的情況時發出警告。磁碟區一建立,就會開始收費。如果磁碟區在一段時間內保持未連接狀態或是寫入活動量極低 (不含開機磁碟區),則磁碟區有可能並未使用。

  • Unassociated Elastic IP Addresses  

    檢查是否有彈性 IP 地址 (EIP) 未與執行中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體相關聯。EIP 是針對動態雲端運算設計的靜態 IP 地址。與傳統的靜態 IP 地址不同,EIP 可以藉由將公有 IP 地址重新對應至您帳戶中的另一個執行個體,遮掩執行個體或可用區域的故障。未與執行中執行個體相關聯的 EIP,會強制收取象徵性的費用。

  • Amazon RDS Idle DB Instances  

    檢查您的 Amazon Relational Database Service (Amazon RDS) 組態是否有任何限制的資料庫執行個體。如果資料庫執行個體長時間未連線,您可以刪除該執行個體以降低成本。如果需要持久性儲存空間來儲存執行個體上的資料,您可以選用低成本的做法,譬如拍攝和保留資料庫快照。手動建立的資料庫快照會保留到您刪除為止。 

  • Amazon Route 53 Latency Resource Record Sets  

    檢查是否有 Amazon Route 53 延遲記錄集的設定沒有效率。為了讓 Amazon Route 53 可以將查詢路由至網路延遲最低的區域,您應該為不同區域中的特定網域名稱 (例如 example.com) 建立延遲資源記錄集。如果您只為網域名稱建立一個延遲資源記錄集,所有查詢便會路由至一個區域,您將需要支付根據延遲路由的額外費用,而享受不到好處。 

  • Amazon EC2 Reserved Instance Lease Expiration  

    檢查是否有 Amazon EC2 預留執行個體排定在未來 30 天內執行,或在最近 30 天內已到期。預留執行個體不會自動續約;您可以繼續使用該預留所涵蓋的 EC2 執行個體,但會按照隨需費率收費。新的預留執行個體可以沿用過期執行個體的相同參數,您也可以購買具有不同參數的預留執行個體。


    我們所顯示的預估每月節省,是同一執行個體類型的隨需費率與預留執行個體費率之間的差額。

  • Underutilized Amazon Redshift Clusters  

    檢查您的 Amazon Redshift 組態是否有使用率過低的叢集。如果 Amazon Redshift 叢集長時間沒有連線或 CPU 使用量很低,您可以選用較低成本的做法,例如縮減叢集大小或是關閉叢集並拍攝最終快照。即使您刪除叢集,也會保留最終快照。

安全性

藉由弭平差距、啟用各種不同的 AWS 安全功能,以及檢查您的許可,來提升應用程式的安全性。

  • Security Groups – Specific Ports Unrestricted (免費!)

    檢查安全群組是否有允許不限制存取 (0.0.0.0/0) 特定連接埠的規則。不限制存取會增加惡意活動 (駭客、阻斷服務攻擊、資料損失) 的發生機率。存在最高風險的連接埠會標上紅色旗幟,風險最低的連接埠則標上黃色旗幟。標上綠色旗幟的連接埠通常由需要不限制存取的應用程式所使用,如 HTTP 和 SMTP。


    如果您特意用這種方式設定安全群組,建議您另外使用其他的安全措施,來保護您的基礎設施 (如 IP 平板)。

  • Security Groups – Unrestricted Access

    檢查安全群組是否有允許不限制存取資源的規則。不限制存取會增加惡意活動 (駭客、阻斷服務攻擊、資料損失) 的發生機率。

  • IAM Use (免費!)

    檢查您的 AWS Identity and Access Management (IAM) 使用情況。您可以使用 IAM 在 AWS 中建立使用者、群組和角色,然後可以使用許可來控制 AWS 資源的存取權。

  • Amazon S3 Bucket Permissions (免費!)

    檢查 Amazon Simple Storage Service (Amazon S3) 中是否有開放存取許可的儲存貯體。將「清單」存取權授予每個人的儲存貯體許可,那麼如果有使用者意外地頻繁列出儲存貯體中的物件時,將可能導致費用高於預期。將「上傳/刪除」存取權授予每個人的儲存貯體許可,會因為允許任何人新增、修改或移除儲存貯體中的項目,而產生潛在的安全弱點。這項檢查會查驗明確的儲存貯體許可和關聯的儲存貯體政策是否可能會覆寫儲存貯體許可。

  • MFA on Root Account (免費!)

    檢查您帳戶的密碼政策,如果未啟用密碼政策或是尚未啟用密碼內容要求,將會發出警告。密碼內容要求會強制建立高強度的使用者密碼,因此可以增加 AWS 環境的整體安全性。當您建立或變更密碼政策時,變更會立即適用於新使用者,但不會要求現有使用者變更其密碼。

  • Amazon RDS Security Group Access Risk

    檢查 Amazon Relational Database Service (Amazon RDS) 的安全群組組態,如果有安全群組規則可能授予過度寬鬆的資料庫存取權限,將會發生警告。任何安全群組規則的建議組態為,允許從特定 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組或從特定 IP 地址進行存取。

  • AWS CloudTrail Logging

    檢查 AWS CloudTrail 的使用情況。CloudTrail 提供更高的能見度,並藉由記錄有關 AWS API 對帳戶進行之呼叫的資訊,讓您更能掌握 AWS 帳戶中的活動。舉例來說,您可以使用這些日誌,判斷特定使用者在指定的時間內採取了哪些動作,或是哪些使用者在指定的時間內對特定資源採取了行動。由於 CloudTrail 會將日誌檔提交給 Amazon Simple Storage Service (Amazon S3) 儲存貯體,所以 CloudTrail 必須擁有該儲存貯體的寫入許可。

  • Amazon Route 53 MX and SPF Resource Record Sets

    檢查每個 MX 資源記錄集的 SPF 資源記錄集。SPF (寄件者政策架構) 記錄會發佈有權傳送電子郵件給您網域的伺服器清單,進而偵測並阻擋電子郵件地址詐騙,以協助減少垃圾郵件。

  • ELB Listener Security

    檢查是否有負載平衡器的接聽程式未使用建議的安全組態來進行加密通訊。AWS 建議您使用安全通訊協定 (HTTPS 或 SSL)、最新的安全政策,以及安全的加密方式和通訊協定。當您使用安全的通訊協定進行前端連線 (用戶端至負載平衡器) 時,會在您的用戶端與負載平衡器之間加密要求,藉此提高安全性。Elastic Load Balancing 提供預先定義的安全政策,其中搭配的加密方式和通訊協定均符合 AWS 安全最佳實務。新的組態可供使用時,新版預先定義的政策也會隨之發行。

  • ELB Security Groups  

    檢查負載平衡器的設定是否遺漏安全群組,或允許存取並非針對該負載平衡器設定之連接埠的安全群組。如果將關聯負載平衡器的安全群組刪除,該負載平衡器將無法正常運作。如果安全群組允許存取並非針對該負載平衡器設定的連接埠,則資料損失風險或惡意攻擊風險將會增加。 

  • CloudFront Custom SSL Certificates in the IAM Certificate Store  

    檢查 IAM 憑證存放區中的 CloudFront 備用網域名稱 SSL 憑證,如果憑證過期、即將過期、使用已過期的加密,或未針對分發進行正確設定,將會發出警告。備用網域名稱的自訂憑證到期時,顯示 CloudFront 內容的瀏覽器可能顯示有關網站安全性的警告訊息。Chrome 和 Firefox 等瀏覽器即將淘汰使用 SHA-1 雜湊演算法加密的憑證。如果憑證未包含任何符合原始網域名稱的網域名稱或檢視者要求主機標頭中的網域名稱,則 CloudFront 會將 HTTP 狀態碼 502 (閘道錯誤) 傳回給使用者。

  • CloudFront SSL Certificate on the Origin Server  

    檢查是否有使用中的 IAM 存取金鑰在過去 90 天內並未輪換。定期輪換存取金鑰,可以降低被盜用的金鑰在您不知情的情況下,用於存取資源的機率。就這項檢查而言,上次輪換日期與時間就是建立或最近啟用存取金鑰的時間。存取金鑰號碼和日期取自最近 IAM 憑證報告中的 access_key_1_last_rotated 和 access_key_2_last_rotated 資訊。

  • Exposed Access Keys  

    檢查常用的程式碼儲存庫是否有向公眾公開的存取金鑰,及可能因為存取金鑰被盜用而造成的異常 Amazon Elastic Compute Cloud (Amazon EC2) 用量。存取金鑰由存取金鑰 ID 和對應的私密存取金鑰所組成。存取金鑰若外洩,您的帳戶和其他使用者將因此招致安全風險,並且可能因未經授權的活動和不當使用而導致產生高昂費用,以及違反 AWS 客戶協議。如果您的存取金鑰外洩,請立即採取保護帳戶安全的相關行動。為了進一步保護您的帳戶免於產生高昂的費用,AWS 暫時會限制您建立部分 AWS 資源的功能。這不會讓您的帳戶安全,只是局部限制未經授權而使用可能會收費的項目。注意:這項檢查不保證能找出遭到盜用的存取金鑰或遭到入侵的 EC2 執行個體。存取金鑰與 AWS 資源的安全性,終究是您的責任。

  • Amazon EBS Public Snapshots (免費!)  

    檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區快照的許可設定,如果有任何快照被標示為公用時,將會提醒您注意。當您將快照設為公用時,所有的 AWS 帳戶和使用者都可以存取該快照上的所有資料。如果您想將某個快照與特定的使用者或帳戶共享,請將該快照標示為私有,然後指定您要與其共享快照資料的使用者或帳戶。

  • Amazon RDS Public Snapshots (免費!)  

    檢查 Amazon Relational Database Service (Amazon RDS) 資料庫快照的許可設定,如果有任何快照被標示為公用時,將會提醒您注意。當您將快照設為公用時,所有的 AWS 帳戶和使用者都可以存取該快照上的所有資料。如果您想將某個快照與特定的使用者或帳戶共享,請將該快照標示為私有,然後指定您要與其共享快照資料的使用者或帳戶。

  • IAM Password Policy  

    檢查您帳戶的密碼政策,如果未啟用密碼政策或是尚未啟用密碼內容要求,將會發出警告。密碼內容要求會強制建立高強度的使用者密碼,因此可以增加 AWS 環境的整體安全性。當您建立或變更密碼政策時,變更會立即適用於新使用者,但不會要求現有使用者變更其密碼。

  • IAM Access Key Rotation  

    檢查是否有使用中的 IAM 存取金鑰在過去 90 天內並未輪換。定期輪換存取金鑰,可以降低被盜用的金鑰在您不知情的情況下,用於存取資源的機率。就這項檢查而言,上次輪換日期與時間就是建立或最近啟用存取金鑰的時間。存取金鑰號碼和日期取自最近 IAM 憑證報告中的 access_key_1_last_rotated 和 access_key_2_last_rotated 資訊。

容錯能力

利用自動擴展、運作狀態檢查、異地同步備份以及備份功能,提高您 AWS 應用程式的可用性和備援性。

  • Amazon EBS Snapshots

    檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區 (可用或使用中) 的快照年齡。即使會複寫 Amazon EBS 磁碟區,也可能會發生故障。Amazon Simple Storage Service (Amazon S3) 會保留快照,以提供耐久的儲存和 point-in-time 恢復。

  • Amazon EC2 Availability Zone Balance

    檢查 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體在某個區域中多個可用區域的分散情況。可用區域是多個不同的位置,設計宗旨是為了用於隔離其他可用區域內的故障,並且提供低價、低延遲的網路連線能力,與同區域的其他可用區域連線。您可以藉由在相同區域的多個可用區域中啟動執行個體,協助保護您的應用程式,不受單點故障的影響。

  • Load Balancer Optimization

    檢查您的負載平衡器組態。為了在使用 Elastic Load Balancing 時,協助提高 Amazon Elastic Compute Cloud (EC2) 的容錯能力,建議您在區域的多個可用區域中執行相等數量的執行個體。設定的負載平衡器會產生費用,所以這也是一項成本優化檢查。

  • VPN Tunnel Redundancy

    檢查針對每個 VPN 所啟用的通道數量。VPN 應隨時設有兩個通道,以便在 AWS 端點上發生裝置中斷或計劃性維護時提供備援。對某些硬體來說,一次只會有一個使用中的通道 (請參閱 Amazon Virtual Private Cloud 網路管理員指南)。如果 VPN 沒有使用中的通道,仍會收取 VPN 費用。

  • Auto Scaling Group Resources

    檢查與啟動組態和 Auto Scaling 群組相關聯的資源可用性。已指向可用資源的 Auto Scaling 群組,將無法啟動新的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。經過正確設定的 Auto Scaling 會使 Amazon EC2 執行個體在需求暴增期間無縫增加數量,在需求減弱時則會降低數量。Auto Scaling 群組和啟動組態若指向無法使用的資源,將無法如預期般運作。

  • Amazon RDS Backups

    檢查是否有 Amazon RDS 資料庫執行個體的自動備份。預設會啟用備份,且保留期為 1 天。備份可以降低意外資料損失的風險,並且能進行 point-in-time 恢復。

  • Amazon RDS Multi-AZ

    檢查是否有資料庫執行個體部署在單一可用區域中。異地同步備份部署會同步複寫至不同可用區域中的備用執行個體,可以強化資料庫的可用性。在計劃性的資料庫維護、資料庫執行個體故障或可用區域故障期間,Amazon RDS 將自動容錯移轉到備用執行個體,因此不用管理介入也能很快恢復資料庫操作。由於 Amazon RDS 不支援 Microsoft SQL Server 使用異地同步備份部署,所以這項檢查不會檢查 SQL Server 執行個體。

  • Auto Scaling Group Health Check

    檢查 Auto Scaling 群組的運作狀態檢查組態。如果 Elastic Load Balancing 用於 Auto Scaling 群組,則建議的組態為啟用 Elastic Load Balancing 運作狀態檢查。如果未使用 Elastic Load Balancing 運作狀態檢查,則 Auto Scaling 只能對 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的運作狀態發揮效用,對執行於該執行個體上的應用程式將無法採取任何行動。

  • Amazon S3 Bucket Logging

    檢查 Amazon Simple Storage Service (Amazon S3) 儲存貯體的日誌組態。啟用伺服器存取日誌時,系統會每小時將詳細的存取日誌傳送給您所選擇的儲存貯體。存取日誌記錄包含有關每項要求的詳細資訊,例如要求類型、在要求中指定的資源、處理要求的時間和日期。預設不會啟用儲存貯體日誌;如果您想要執行安全稽核或進一步了解使用者和用量型態,則應該啟用日誌功能。

  • Amazon Route 53 Name Server Delegations  

    檢查是否存在您的網域註冊機構或 DNS 未將正確的 Route 53 名稱伺服器使用於 Amazon Route 53 託管區域的情況。當您建立託管區域時,Route 53 會將委任指派給一組四個名稱伺服器。這些伺服器的名稱分別是 ns-###.awsdns-##.com、.net、.org 和 .co.uk,其中 ### 和 ## 通常是不同的數字。在 Route 53 可以路由對您網域的 DNS 查詢之前,您必須更新註冊機構的名稱伺服器組態,以移除註冊機構所指派的名稱伺服器,並在 Route 53 委派集中新增全部的四個名稱伺服器。為獲得最大的可用性,您必須新增全部的四個 Route 53 名稱伺服器。

  • Amazon Route 53 High TTL Resource Record Sets

    檢查資源記錄集是否可受益於較低的存留時間 (TTL) 值。TTL 是秒數,即 DNS 解析程式快取資源記錄集的時間。當您指定長的 TTL 時,DNS 解析程式會花費更久的時間來要求更新的 DNS 記錄,進而造成重新路由流量而產生不必要的延遲 (例如,DNS 備援移轉偵測到其中一個端點故障並進行回應)。

  • Amazon Route 53 Failover Resource Record Sets

    檢查是否有設定錯誤的 Amazon Route 53 容錯移轉資源記錄集。當 Amazon Route 53 運作狀態檢查判定主要資源的運作狀態不良時,Amazon Route 53 便會以次要備用資源記錄集回應查詢。您必須建立正確設定的主要和次要資源記錄集,才能使容錯移轉能發揮效用。

  • Amazon Route 53 Deleted Health Checks

    檢查是否有與運作狀態檢查相關聯的資源記錄集已遭到刪除。Amazon Route 53 不會阻止您刪除與一或多個資源記錄集相關聯的運作狀態檢查。如果您刪除運作狀態檢查,而沒有更新相關聯的資源記錄集,則系統就無法針對您的 DNS 備援移轉組態,路由 DNS 查詢。這會影響對 DNS 備援移轉組態的 DNS 查詢路由。

  • ELB Connection Draining

    檢查未啟用連接耗盡的負載平衡器。未啟用連接耗盡並且從負載平衡器中移除 (取消登錄) Amazon EC2 執行個體時,負載平衡器會停止將流量路由至該執行個體,並關閉連線。啟用連接耗盡時,負載平衡器會停止傳送新要求到解除登錄的執行個體,但會保持連線開啟,以服務作用中的要求。

  • ELB Cross-Zone Load Balancing

    檢查未啟用跨區域負載平衡的負載平衡器。跨區域負載平衡會均勻分散所有後端執行個體中的要求,無論執行個體位於哪一個可用區域。當用戶端不正確快取 DNS 資訊時,或是您在每個可用區域中的執行個體數量不一時 (例如,您將部分執行個體關閉以進行維護),跨區域負載平衡可以降低流量分布不均的情況。跨區域負載平衡可讓您更輕鬆地跨多個可用區域來部署和管理應用程式。

  • Amazon S3 Bucket Versioning

    檢查是否有未啟用版本控制或版本控制已暫停的 Amazon Simple Storage Service 儲存貯體。啟用版本控制時,您將能夠從使用者動作失誤和應用程式故障中輕鬆恢復。透過版本控制,您可以保留、擷取和還原儲存在儲存貯體中的任何物件的任一版本。您可以使用生命週期規則,藉由自動封存物件到 Glacier 儲存類別或在指定時間過後移除物件,來管理物件的所有版本,以及這些物件的相關成本。您也可以選擇對您的儲存貯體進行任何物件刪除或組態變更時,需要執行多重因素認證 (MFA)。

  • AWS Direct Connect Connection Redundancy

    檢查是否有區域只有一個 AWS Direct Connect 連線。與您的 AWS 資源的連線隨時都應有兩個 Direct Connect 連接組態,以便在裝置無法使用的情況下提供備援。

  • AWS Direct Connect Location Redundancy  

    檢查是否有虛擬私有閘道具有至少在兩個 AWS Direct Connect 連線上未設定的 AWS Direct Connect 虛擬界面 (VIF)。與您的虛擬私有閘道的連線應有跨多個 Direct Connect 連線和位置設定的多個虛擬界面,以便在裝置或位置無法使用的情況下提供備援。

  • AWS Direct Connect Virtual Interface Redundancy

    檢查是否有虛擬私有閘道具有至少在兩個 AWS Direct Connect 連線上未設定的 AWS Direct Connect 虛擬界面 (VIF)。與您的虛擬私有閘道的連線應有跨多個 Direct Connect 連線和位置設定的多個虛擬界面,以便在裝置或位置無法使用的情況下提供備援。

  • Amazon Aurora DB Instance Accessibility

    檢查是否有 Amazon Aurora 資料庫叢集同時有私有和公用執行個體的情況。當主要執行個體故障時,系統便會將複本提升為主要執行個體。如果該複本屬於私有性質,在容錯移轉之後,只具備公用存取權的使用者將無法再連接到資料庫。這是讓叢集中的所有資料庫執行個體擁有相同可存取性的最佳實務。

  • EC2Config Service for EC2 Windows Instances

    檢查 Amazon EC2 Windows 執行個體的 EC2Config 服務,並在 EC2Config 代理器過期或設定錯誤時提醒您。使用最新版的 EC2Config 可啟用並優化端點軟體管理,如 PV 驅動程式檢查可確保使用最新的安全與可靠的端點軟體保持最新狀態。

    注意:這項檢查會顯示有關以下區域中的 EC2 執行個體資訊:維吉尼亞北部 (us-east-1)、加利佛尼亞北部 (us-west-1)、奧勒岡 (us-west-2)、愛爾蘭 (eu-west-1)、聖保羅 (sa-east-1)、東京 (ap-northeast-1)、新加坡 (ap-southeast-1) 和雪梨 (ap-southeast-2)。

  • PV Driver Version for EC2 Windows Instances

    容錯能力

    利用自動擴展、運作狀態檢查、異地同步備份以及備份功能,提高您 AWS 應用程式的可用性和備援性。

    檢查 Amazon EC2 Windows 執行個體的 PV 驅動程式版本,並在發現驅動程式不是最新版本時提醒您。使用最新的 PV 驅動程式有助於優化驅動程式效能,將執行時間問題和安全風險降至最低。

    注意:這項檢查會顯示有關以下區域中的 EC2 執行個體資訊:維吉尼亞北部 (us-east-1)、加利佛尼亞北部 (us-west-1)、奧勒岡 (us-west-2)、愛爾蘭 (eu-west-1)、聖保羅 (sa-east-1)、東京 (ap-northeast-1)、新加坡 (ap-southeast-1) 和雪梨 (ap-southeast-2)。

  • ENA 驅動程式

    檢查 EC2 Windows 執行個體的 AWS ENA 驅動程式版本,然後提醒您驅動程式是否 (a) 已淘汰且不再支援;(b) 已發現問題並淘汰;或者 (c) 有可用的升級。使用最新版本的 AWS ENA 驅動程式,以獲得針對 Windows 優化的 ENA 驅動程式效能,並大幅降低執行時間問題和安全風險。

    注意:這項檢查會顯示有關以下區域中的 EC2 執行個體資訊:維吉尼亞北部 (us-east-1)、加利佛尼亞北部 (us-west-1)、奧勒岡 (us-west-2)、愛爾蘭 (eu-west-1)、聖保羅 (sa-east-1)、東京 (ap-northeast-1)、新加坡 (ap-southeast-1) 和雪梨 (ap-southeast-2)。

  • NVMe 驅動程式

    檢查 EC2 Windows 執行個體的 AWS NVMe 驅動程式版本,然後提醒您驅動程式是否 (a) 已淘汰且不再支援;(b) 已發現問題並淘汰;或者 (c) 有可用的升級。使用最新版本的 AWS NVMe 驅動程式,以獲得針對 Windows 優化的 NVMe 驅動程式效能,並大幅降低執行時間問題和安全風險。

    注意:這項檢查會顯示有關以下區域中的 EC2 執行個體資訊:維吉尼亞北部 (us-east-1)、加利佛尼亞北部 (us-west-1)、奧勒岡 (us-west-2)、愛爾蘭 (eu-west-1)、聖保羅 (sa-east-1)、東京 (ap-northeast-1)、新加坡 (ap-southeast-1) 和雪梨 (ap-southeast-2)。

效能

檢查您的服務限制,藉此確保您充分利用佈建的輸送量並監控利用率過低的執行個體,來改善服務的效能。

  • High Utilization Amazon EC2 Instances

    檢查最近 14 天內在任何時間點執行的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,如果每日 CPU 使用率為 90% (含) 以上超過 4 天 (含) 時,將會提醒您注意。雖然高使用率可能代表優化且穩定效能,但也可能代表某個應用程式沒有足夠的資源。要取得每日 CPU 使用率資料,請下載這項檢查的報告。

  • Amazon EBS 佈建 IOPS (SSD) 磁碟區連接組態

    檢查是否有佈建 IOPS (SSD) 磁碟區連接至未經過 Amazon EBS 優化的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。Amazon Elastic Block Store (Amazon EBS) 中的佈建 IOPS 磁碟區設計為只在連接至經過 EBS 優化的執行個體時才會提供預期中的效能。

  • Large Number of Rules in an EC2 Security Group

    檢查每個 Amazon Elastic Compute Cloud (EC2) 安全群組是否含有超過數量的規則。如果安全群組有大量的規則,效能將會降低。

    如需詳細資訊,請參閱 Amazon EC2 安全群組

  • Large Number of EC2 Security Group Rules Applied to an Instance

    檢查是否有 Amazon Elastic Compute Cloud (EC2) 執行個體有大量的安全群組規則。如果執行個體有大量的規則,效能將會降低。

  • Amazon Route 53 Alias Resource Record Sets

    檢查是否有資源記錄集將 DNS 查詢路由至 AWS 資源;這可能會變更為別名資源記錄集。別名資源記錄集是一種特殊的 Amazon Route 53 記錄類型,它會將 DNS 查詢路由至 AWS 資源 (例如,Elastic Load Balancing 負載平衡器或 Amazon S3 儲存貯體) 或路由至另一個 Route 53 資源記錄集。當您使用別名資源記錄集時,Route 53 會將您的 DNS 查詢路由至 AWS 資源而不收費。

  • Overutilized Amazon EBS Magnetic Volumes

    檢查是否有 Amazon Elastic Block Store (EBS) 磁帶磁碟區可能有使用率過高的情況,以及可從更有效率的組態中獲益。磁帶磁碟區設計用於具有中度或忙碌 I/O 需求的應用程式,並且不保證 IOPS 速率。磁帶磁碟區平均約可提供 100 IOPS,且在最佳情況下能夠迅速增加到數百 IOPS。為獲得一致的高 IOPS,您可以使用佈建 IOPS (SSD) 磁碟區。至於劇增的 IOPS,您可以使用一般用途 (SSD) 磁碟區。

  • Amazon CloudFront Content Delivery Optimization

    檢查是否有這樣的情況:可使用 Amazon CloudFront (即 AWS 全球內容交付服務) 加快從 Amazon Simple Storage Service (Amazon S3) 儲存貯體傳輸資料的速度。當您設定 Amazon CloudFront 交付您的內容時,對您的內容提出的要求會自動路由至快取內容所在的最近節點,藉此方式,以最佳可能的效能,將內容交付給您的使用者。在儲存貯體中儲存的資料傳出的資料傳輸比率高時,將代表您可以透過使用 Amazon CloudFront 交付資料而獲得好處。

  • CloudFront Header Forwarding and Cache Hit Ratio

    檢查 CloudFront 目前從用戶端接收並轉送到您的原始伺服器的 HTTP 要求標頭。某些標頭如 Date 或 User-Agent 等,會大幅降低快取命中率 (從 CloudFront 邊緣快取服務要求的比例)。這會增加對來源的負擔並減少效能,因為 CloudFront 必須將更多的要求轉送到您的來源。

  • Amazon EC2 to EBS Throughput Optimization

    檢查 Amazon EBS 磁碟區的效能是否受到其所連接之 Amazon EC2 執行個體最大輸送容量的影響。為了優化效能,您應確保 EC2 執行個體的最大輸送量大於連接之 EBS 磁碟區的彙總最大輸送量。

  • CloudFront Alternate Domain Names

    檢查 CloudFront 分發的備用網域名稱 DNS 設定是否不正確。如果 CloudFront 分發包括備用網域名稱,則該網域的 DNS 組態必須將 DNS 查詢路由至該分發。

服務限制

檢查服務用量是否超過服務限制的 80%。此值取決於快照,所以您目前的用量可能有所不同。限制和用量資料最多可能需要 24 小時才能反映任何變更。

下表列出 Trusted Advisor 檢查的限制。

服務
限制
Amazon Elastic Compute Cloud
(Amazon EC2)
彈性 IP 地址 (EIP)
預留執行個體 – 購買限制 (按月)
隨需執行個體
Amazon Elastic Block Store
(Amazon EBS)
作用中磁碟區
作用中快照
一般用途 (SSD) 磁碟區儲存 (GiB)
佈建 IOPS
佈建 IOPS (SSD) 磁碟區儲存 (GiB)
磁帶磁碟區儲存 (GiB)
Amazon Kinesis Streams 碎片
Amazon Relational Database Service
(Amazon RDS)
叢集
叢集參數群組
叢集角色
資料庫執行個體
資料庫參數群組
資料庫安全群組
資料庫快照 (每使用者)
事件訂閱
最大授權數 (每個安全群組)
選項群組
僅供讀取複本 (每個主資料)
預留執行個體
儲存配額 (GiB)
子網路群組
每個子網路群組的子網路數
Amazon Simple Email Service
(Amazon SES)
每日傳送份額
Amazon Virtual Private Cloud
(Amazon VPC)
 
彈性 IP 地址 (EIP)
網際網路閘道
VPC
Auto Scaling
Auto Scaling 群組的能力
啟動組態
AWS CloudFormation 堆疊
Elastic Load Balancing (ELB)
作用中負載平衡器
Identity and Access Management (IAM)
群組
執行個體描述檔
政策
角色
伺服器憑證
使用者

注意:僅提供下列 AWS 區域的 EC2 隨需執行個體限制資料:

亞太區域 (東京) [ap-northeast-1]
亞太區域 (新加坡) [ap-southeast-1]
亞太區域 (雪梨) [ap-southeast-2]
歐洲 (愛爾蘭) [eu-west-1]
南美洲 (聖保羅) [sa-east-1]
美國東部 (維吉尼亞北部) [us-east-1]
美國西部 (加利佛尼亞北部) [us-west-1]
美國西部 (奧勒岡) [us-west-2]

注意:Trusted Advisor 目前無法追蹤 EC2 隨需執行個體的區域限制。根據預設,這個限制是每個區域每個帳戶 20 個隨需執行個體。

如果您達到這個區域限制,即使 Trusted Advisor 指出您尚未達到該區域的任何執行個體類型限制,仍然無法啟動新的隨需執行個體。如需 EC2 隨需限制的更多詳細資訊,請參閱我可以在 Amazon EC2 中執行多少個執行個體

我們一直致力於在 Service Limits 檢查中納入更多服務。您的意見回饋對我們非常重要。