AWS Compliance Tool에 대해 알아보는 시간을 가져봅시다!
AWS Trusted Advisor는 아래 5가지 영역에 대해서 모범사례를 제공해줍니다
Provisioned IOPS 타입의 EBS가 EBS-Optimized를 지원하지 않는 EC2 인스턴스에 연결되어 있다
🛠️ 대안: 해당 EBS 볼륨을 EBS-Optimized를 지원하는 인스턴스로 변경하여 Attach한다
CloudWatch 지표(IOPS 및 처리량 포함)를 고려해 과소 provisioning된 EBS볼륨을 식별 과소 프로비저닝은 애플리케이션의 성능 저하를 발생시킴
🛠️ 대안: 높은 유틸성을 가진 볼륨으로 업그레이드 고려
(전일) "EBS 실제 볼륨 처리량(MB/s) ≥ EC2와 EBS간 스펙처리량의 95%"인 빈도가 50% 초과인 EBS 볼륨이 있다
🛠️ 대안: EBS 볼륨 처리량에 맞춰 EC2 - EBS간 더욱 높은 Throughput을 제공하는 EC2 인스턴스로 상향
Route53에서 "CNAME 형식으로 S3 끝점, CF 배포, ELB 끝점에 연결"된 DNS 레코드가 있다
🛠️ 대안: 연결하려는 주소가 위와 같은 AWS 리소스 끝점일 경우 Alias 형식으로 변경 (비용 및 성능상 이점)
CloudWatch 지표를 고려해 적은 메모리를 가진 Lambda를 식별 과소 프로비저닝은 애플리케이션의 성능 저하를 발생시킴
🛠️ 대안: Lambda function의 메모리 사이즈 업
AWS Well-Architected의 Performance 기반에서 하나 이상의 빨간색 경고가 발생
🛠️ 대안: 경고가 나타난 항목을 개선
"Alternate Domain Names 설정됨 && DNS 레코드가 해당 배포에 미연결된" CloudFront 배포가 있다
🛠️ 대안: DNS 쿼리가 해당 CloudFront 배포로 연결되도록 DNS측 설정을 업데이트
(최근 30일) "총 Data Transfer Out ≥ 월평균 저장량의 25배"인 S3 버킷이 있다 ◎ + 그 양이 10TB 이상
🛠️ 대안: CloudFront을 사용하면 개선된 응답 속도와 비용 이점을 제공하므로 앞단에 CDN 계층 구성을 고려
CloudFront에서 원본으로 전달하는 HTTP 요청 헤더 중 Cache Hit 비율을 심히 저해하는 Header 항목이 있다
🛠️ 대안: 해당 헤더값과 무관하게 동일 객체를 반환해도 되는 환경이라면 CloudFront에서 해당 헤더를 원본에 전달하지 않도록 설정
(최근 14일 중 4일 이상) "일평균 CPU 사용량 ≥ 90%" 인 인스턴스가 있다
🛠️ 대안: 인스턴스 타입을 상향하거나 오토스케일링 구성을 통해 수평적으로 확장
"설정한 Security Group(s)의 모든 룰 갯수 ≥ 50"인 인스턴스가 있다
🛠️ 대안: 인스턴스에 지정된 Security Group(s) 룰 중에서 불필요하거나 중복된 항목을 제거
"설정한 룰의 갯수 ≥ 50"인 Security Group 객체가 있다
🛠️ 대안: 해당 Security Group의 룰 중에서 불필요하거나 중복된 항목을 제거
"EBS-Optimized 인스턴스에 연결 or 일평균 IOPS 중앙값 ≥ 95"인 EBS 마그네틱 볼륨이 있다
🛠️ 대안: 보다 상향된 IOPS 성능 환경을 위해 GP2 또는 Provisioned 타입의 볼륨으로 변경