AWS Trusted Advisor
从成本、安全、性能、容错和服务配额五个维度自动诊断 AWS 环境,基于最佳实践提供改进建议的服务
概述
AWS Trusted Advisor 是一项自动诊断服务,从成本优化、安全性、性能、容错性和服务配额五个维度检查 AWS 环境,基于最佳实践提供具体的改进建议。帮助发现未使用的资源、安全漏洞、性能瓶颈和可靠性风险,是 AWS 环境持续优化的起点。
五个维度的诊断如何防止遗漏
成本优化维度检查未使用的 EC2 实例、未关联的 EIP、低利用率的 RDS、过期的预留实例等浪费。安全维度检查开放的安全组端口、未启用 MFA 的 root 账户、公开的 S3 存储桶、过期的 IAM 密钥等风险。性能维度检查高利用率的 EC2(需要升级)、未优化的 EBS 卷类型、CloudFront 配置等。容错维度检查单 AZ 部署的 RDS、未启用跨区域复制的关键数据、ELB 健康检查配置等。服务配额维度检查接近上限的配额(VPC 数、EC2 实例数等)。Basic 和 Developer 支持计划可访问核心检查(约 7 项),Business 和 Enterprise 支持计划可访问全部检查(约 115 项)。
Priority 与 API 实现运维自动化
Trusted Advisor Priority 是 Enterprise 支持计划的功能,AWS 技术客户经理(TAM)根据账户情况优先排序建议,标记最需要关注的项目。Priority 建议包含具体的修复步骤和预期收益。Trusted Advisor API(通过 AWS Support API)允许程序化获取检查结果,构建自动化运维流程。典型模式:定期调用 API → 检测新的警告 → 自动创建 Jira 工单 → 分配给对应团队。与 EventBridge 集成可在检查状态变化时触发自动化操作。Organizations 视图在管理账户中汇总所有成员账户的 Trusted Advisor 结果,提供组织级别的优化全景。
作为成本削减起点的实务活用
Trusted Advisor 最直接的价值是成本削减。实务中的活用方法:每月初检查成本优化维度的新建议,按预期节省金额排序处理。常见的高价值发现包括:未使用的 EIP(每个每月约 3.6 美元)、停止但未终止的 EC2 的 EBS 卷(持续计费)、过大的 RDS 实例(可降级)、未使用的 NAT Gateway(每小时 0.045 美元)。安全维度的建议应作为合规检查的补充——Trusted Advisor 发现的安全问题通常是低垂果实,修复成本低但风险高。与 Config 和 Security Hub 配合使用可构建多层安全检查体系。注意 Trusted Advisor 的检查间隔为数小时,不适合实时监控,实时需求应使用 CloudWatch 和 Config Rules。