Trusted Advisorは、ユーザーのAWSアカウント環境の状態を自動的にチェックして回り、ベストプラクティスに対してどうであったかを示すアドバイスをレポートする。
コスト最適化
- コスト最適化では、無駄なコストが発生していないかがチェックされる。
- 具体的にどれくらい月額コストが下がるかという金額も計算される。
主な項目は以下。
使用率の低いEC2インスタンス
使用率が低いということは、たとえば次の状態が考えられる。
- 使っていないのに起動中のインスタンスがある。
- 検証やテストで使って終了を忘れているインスタンスがある。
- 過剰に高いスペックのインスタンスがある。
リザーブドインスタンスの最適化
- EC2の利用状況をチェックして、リザーブドインスタンスを購入したほうがコスト最適化に繋がるかどうかをレポートする。
- レポートに上がってきた内容で1年または3年の継続が見込めるときと、リザーブドインスタンスを購入することでコストが最適化される。
- 購入済みのリザーブドインスタンスについても、有効期限が切れる30日前からアラート対象になる。リザーブドインスタンスは延長できないので、継続する場合の新規購入忘れも防げる。
パフォーマンス
システムのパフォーマンスを定価させる原因はいくつかあり、その原因となる設定や選択がされていないかがチェックされる。主な項目は以下。
使用率の高いEC2インスタンス
コスト最適化とは逆で、使用率の高いインスタンスをチェックする。EC2に実装している処理に対してリソースが不足している可能性があり、システムのパフォーマンスが良い状態でない場合、対象の処理が最も早く完了するインスタンスタイプに変更することが推奨される。
セキュリティグループルールの増大
セキュリティグループのルールが多いとそれだけネットワークトラフィックが制御されることになる。このアラートが発生した場合は、ルールをまとめることができないか、対象のインスタンスにそれだけのポートを必要とする機能を多くインストールしていないか、インスタンスを分けることはできないか、を検討する。
コンテンツ配信の最適化
CloudFrontにキャッシュを持つことで、S3から直接配信するよりもパフォーマンスが向上する。また、キャッシュがどれだけ使われているかを示すヒット率についてもチェックされる。
セキュリティ
セキュリティリスクのある環境になっていないかをチェックする。主な項目は以下。
S3バケットのアクセス許可
意図していなく誰でもアクセスできるS3バケットがないかチェックする。
セキュリティグループの開かれたポート
リスクの高い特定のポートが、送信元無制限でアクセス許可されているセキュリティグループをピックアップする。
パブリックなスナップショット
EBSやRDSのスナップショットは他の特定のアカウントに共有することができる。アカウントを特定せずに公開共有することもできる。公開設定になっている場合は通知される。
ルートアカウントのMFA、IAMの使用
ルートアカウントをチェックし、Multi-Factor Authentication (MFA) が有効になっていない場合は警告する。また、AWS Identity and Access Management (IAM)の使用状況をチェックする。
フォールトトレランス(耐障害性)
耐障害性が低い状態がないかチェックして、耐障害性を高めるためのアドバイスを提供する。主な項目は以下。
EBSのスナップショット
EBSのスナップショットが作成されていない、または最後に作成されてから時間が経過したことがチェックされる。
EC2、ELBの最適化
複数のアベイラビリティゾーンでバランス良く配置されているかがチェックされる。ELBではクロスゾーン負荷分散やConnection Draining(セッション完了を待ってから切り離す機能)が無効になっているロードバランサーがないかもチェックされる。
RDSのマルチAZ
マルチAZになっていないデータベースインスタンスがチェックされる。
サービス制限
- AWSアカウントを作った最初の時点では、いくつかのサービス制限がある。これはソフトリミットと呼ばれるもので、この制限がある理由は主に「誤った操作による意図しない請求を回避する」「不正アクセスによる意図しない請求を回避する」の2つ。サービス制限を上回りそうな予定がある場合は、事前にAWSへ申請を行っておく必要がある。
- サービス制限では、制限に近づいたサービスがアラート報告される。
AWS関連の記事を以下にまとめました。ぜひご覧ください!