AWS 环境优化诊断 - 使用 Trusted Advisor 进行最佳实践检查
详解使用 AWS Trusted Advisor 进行环境自动诊断。介绍成本优化、安全性、容错性、性能和服务限制 5 个类别的检查项目及活用方法。
Trusted Advisor 概述与 5 大诊断类别
AWS Trusted Advisor 是根据最佳实践自动诊断 AWS 环境的服务。基于数千个 AWS 账户的运营数据提供推荐建议,识别成本削减、安全强化和可用性提升的机会。诊断分为 5 个类别。成本优化方面,检测未使用或低使用率的资源(EC2、RDS、EBS、Elastic IP、Redshift),并提示具体的削减金额。安全方面,检查 S3 存储桶的公开设置、安全组过度开放的端口、根账户未启用 MFA、IAM 访问密钥轮换等。容错性方面,确认 EBS 快照未创建、RDS 未启用多可用区、Auto Scaling 组的可用区分布等。性能方面,检测 EC2 实例的高使用率、CloudFront 的优化空间等。服务限制方面,监控各服务的配额使用率,对达到限制 80% 的项目发出警告。
支持计划对检查范围的影响
Trusted Advisor 的检查范围因支持计划而异。Basic/Developer 计划仅可使用 6 项核心安全检查和服务限制检查。核心安全检查包括 S3 存储桶访问权限、安全组无限制访问(0.0.0.0/0)、IAM 使用状况、根账户 MFA、EBS 公开快照和 RDS 公开快照 6 项。Business 计划(月费 100 美元起)或 Enterprise 计划(月费 15,000 美元起)可访问全部 300 多项检查,并可通过 AWS Support API 进行程序化访问。仅成本优化检查就经常能发现超过支持计划月费的削减金额,升级到 Business 计划是投资回报率较高的举措。
成本优化检查实践
Trusted Advisor 的成本优化检查在提示推荐建议的同时给出具体的削减金额。介绍主要检查项目和典型检测示例。EC2 低使用率实例检测过去 14 天 CPU 使用率低于 10% 的实例,推荐缩减规格或停止。空闲 RDS 实例检测过去 7 天无连接的实例。未关联的 Elastic IP 地址检测未关联到 EC2 的 EIP(未使用的 EIP 每个约 3.6 美元/月)。未使用的 EBS 卷检测未挂载到任何实例的卷。Savings Plans 和 Reserved Instance 推荐基于过去的使用模式建议最优购买方案。这些检查结果可导出为 CSV,作为定期成本审查的输入数据。 在规划云运维最佳实践的运营设计时,相关书籍(Amazon)可供参考。
自动化与 Organizations 集成
Trusted Advisor 通过与 EventBridge 的集成,可将检查结果的变化作为事件检测。例如,当检测到新的安全警告时通过 SNS 发送通知,或使用 Lambda 执行自动修复操作。 ```bash # Trusted Advisor チェック結果の取得 (Business/Enterprise プラン) aws support describe-trusted-advisor-checks \ --language ja \ --region us-east-1 \ --query 'checks[?category==`cost_optimizing`].{id:id,name:name}' # 特定チェックの結果を取得 aws support describe-trusted-advisor-check-result \ --check-id Qch7DwouX1 \ --language ja \ --region us-east-1 ``` 通过与 AWS Organizations 的集成,可在组织视图中集中汇总所有账户的 Trusted Advisor 结果。从管理账户的仪表板可以横向确认哪些账户有哪些推荐建议,高效推进整个组织的成本优化和安全改进。请注意 Trusted Advisor 的 API 仅在 us-east-1 区域可用。
Trusted Advisor Priority 与 TAM 协作
Trusted Advisor Priority 是 Enterprise Support 计划可用的功能,提供由 AWS 技术客户经理 (TAM) 策划的优先级推荐。按优先级顺序显示组织范围的风险,可从影响最大的改进项目开始应对。与标准 Trusted Advisor 检查将所有项目平铺列出不同,Priority 由 TAM 根据客户环境特性判断重要性,明确应对顺序。通过 EventBridge 构建使用 Lambda 的自动修复工作流(如释放未使用的 EIP、阻止可公开访问的 S3 存储桶),无需人工干预即可持续维护最佳实践。
总结 - Trusted Advisor 的活用指南
AWS Trusted Advisor 是自动诊断 AWS 环境的成本、安全性、容错性、性能和服务限制的服务。Basic 计划也可免费使用 6 项核心安全检查,Business 计划及以上解锁全部 300 多项检查和 API 访问。成本优化检查提示具体削减金额、服务限制的预警以及 EventBridge 集成的自动化是主要活用要点。建议定期确认 Trusted Advisor 的结果,作为月度成本审查或季度安全审计的输入数据。