AWS Trusted Advisor 提供了以下四种类别的最佳实践(或检查项目):成本优化安全容错能力性能提升。通过使用控制面板页面中的色彩编码可以显示检查项目的状态:

红色:推荐的操作

黄色:推荐的调查

绿色:未检测到问题

对于每一个检查项目,您可以查看推荐的最佳实践的详细说明、一组警报标准、操作指南和与主题有关的一系列实用资源。

两个 Trusted Advisor 检查项目提供给所有的 AWS 客户,帮助改进安全性和性能:服务限制和安全组 – 特定端口不受限制。

0040768916_1418430940_TA_Dashboard_EN-CN

查看如何通过去除未使用的和闲置的资源或承诺预留容量来节省 AWS 投资。

检查与运行的 Amazon Elastic Compute Cloud (Amazon EC2) 实例不相关的弹性 IP 地址 (EIP)。EIP 是专用于动态云计算的静态 IP 地址。与传统静态 IP 地址不同,EIP 可以通过将公用 IP 地址重新映射到账户中的其他实例来掩盖实例或可用区域的故障。将对与运行的实例不相关的 EIP 进行象征性收费。


通过关闭缺口、启用各种 AWS 安全功能以及检查权限,提高应用程序的安全性。

检查安全组中允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。不受限制的访问将增加发生恶意活动(非法访问、拒绝服务攻击、数据丢失)的机会。高风险的端口标记为红色,低风险的端口标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用,例如 HTTP 和 SMTP。

如果您有意以此方式设置安全组,我们建议您使用其他安全措施来保护基础设施(例如 IP 表)。

检查安全组中允许对资源进行不受限制访问的规则。不受限制的访问将增加发生恶意活动(非法访问、拒绝服务攻击、数据丢失)的机会。

检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限的存储桶。如果存储桶中的对象是由无意用户高频列出的,则授予每个人访问列表权限的存储桶权限可能会导致高于预期的费用。为每个人授予“Upload/Delete”访问权限的存储段权限可能会因添加、修改或删除存储段中的项目而造成潜在安全漏洞。此检查将审查显式存储桶权限,但不审查可能替代存储桶权限的相关存储桶策略。


利用自动扩展、运行状况检查、多可用区域以及备份功能,提升您的 AWS 应用程序的可用性和冗余。

检查 Amazon Elastic Block Store (Amazon EBS) 卷(可用或使用中)的快照年龄。即使复制了 Amazon EBS 卷,仍可能发生故障。快照一直存放于 Amazon Simple Storage Service (Amazon S3),用于持久存储和时间点恢复。

检查 Amazon Elastic Compute Cloud (Amazon EC2) 实例在某地区内跨可用区域的分布情况。可用区域是专用于隔离其他可用区域内故障的不同位置,可向相同地区中的其他可用区域提供低延迟的廉价网络连接。通过在同一地区内的多个可用区域启动实例,您可以保护应用程序免于单点故障的影响。

检查您的负载均衡器配置。为了提升使用 Elastic Load Balancing 时的 Amazon Elastic Compute Cloud (EC2) 容错水平,我们建议在某地区内跨多可用区域运行相同数量的实例。经过配置的负载均衡器会产生费用,所以这也是一项成本优化检查。

检查启用了服务器访问记录的 Amazon Simple Storage Service (Amazon S3) 存储桶的配置。当日志记录开始启用时,系统会自动验证该配置;但随后的修改可能会导致日志记录故障。此检查将审查显式 Amazon S3 存储桶权限,但不审查可能替代存储桶权限的相关存储桶策略。


通过检查服务限制、确保充分利用已调配吞吐量和监控过度利用实例,来提升服务的性能。

检查在过去 14 天内的任何时间运行的 Amazon Elastic Compute Cloud (Amazon EC2) 实例,如果在 4 天或更多天内每日 CPU 使用率为 90% 或以上,则将向您发出警告。持续的高使用率可能表示优化、稳定的性能,但也可能表示应用程序拥有的资源不足。若要获取每日 CPU 使用率数据,请下载此检查的报告。

检查超过服务限制的 80% 的使用量。这些值基于快照,所以您的当前使用量可能有差异。限额和使用数据最多可能需要 24 小时才能反映变化。在有些情况下,一段时间内您的使用量可能要高于规定的限制。

检查附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例且未针对 Amazon EBS 优化的预置 IOPS 卷。Amazon Elastic Block Store (Amazon EBS) 中的预置 IOPS 卷的设计目的是,仅在它们附加到针对 EBS 优化的实例时提供预期的性能。

检查每个 Amazon Elastic Compute Cloud (EC2) 安全组的过量规则。如果安全组有大量规则,性能可能会降级。有关更多信息,请参阅 Amazon EC2 Security Groups

检查拥有大量安全组规则的 Amazon Elastic Compute Cloud (EC2) 实例。如果实例有大量规则,性能可能会降级。

检查 Amazon Elastic Block Store (EBS) 磁卷是否存在过度使用的问题,以及是否可以从更高效的配置中获益。磁卷设计用于应用程序具有适度或突发 I/O 需求的情况,无法保证 IOPS 速率。它平均提供约 100 IOPS,最大能激增至数百 IOPS。如果要持续应对较高的 IOPS,您可以切换到通用 (SSD) 卷或使用预配置 IOPS (SSD) 卷,这可以实现最高 4000 IOPS。预设置 IOPS (SSD) 卷能够在附加到针对 Amazon EBS 优化的 Amazon EC2 实例时,在 99.9% 的时间内提供 10% 以内的指定 IOPS 性能。