AWS - Trusted Advisor Enum

Reading time: 5 minutes

AWS - Trusted Advisor Enum

AWS Trusted Advisor 概要

Trusted Advisorは、AWSアカウントを最適化するための推奨事項を提供するサービスで、AWSのベストプラクティスに沿っています。これは複数のリージョンで動作するサービスです。Trusted Advisorは、主に4つのカテゴリで洞察を提供します。

1. コスト最適化: 経費を削減するためのリソースの再構成方法を提案します。
2. パフォーマンス: 潜在的なパフォーマンスのボトルネックを特定します。
3. セキュリティ: 脆弱性や弱いセキュリティ構成をスキャンします。
4. フォールトトレランス: サービスの回復力とフォールトトレランスを向上させるための実践を推奨します。

Trusted Advisorの包括的な機能は、AWSビジネスまたはエンタープライズサポートプランでのみアクセス可能です。これらのプランがない場合、アクセスは主にパフォーマンスとセキュリティに焦点を当てた6つのコアチェックに制限されます。

通知とデータの更新

• Trusted Advisorはアラートを発行できます。
• チェックからアイテムを除外できます。
• データは24時間ごとに更新されます。ただし、最後の更新から5分後に手動で更新することも可能です。

チェックの内訳

カテゴリコア

1. コスト最適化
2. セキュリティ
3. フォールトトレランス
4. パフォーマンス
5. サービス制限
6. S3バケットの権限

コアチェック

ビジネスまたはエンタープライズサポートプランを持たないユーザーに制限されています：

1. セキュリティグループ - 特定のポートが無制限
2. IAMの使用
3. ルートアカウントのMFA
4. EBSのパブリックスナップショット
5. RDSのパブリックスナップショット
6. サービス制限

セキュリティチェック

主にセキュリティ脅威の特定と修正に焦点を当てたチェックのリスト：

• 高リスクポートのセキュリティグループ設定
• セキュリティグループの無制限アクセス
• S3バケットへのオープンな書き込み/リストアクセス
• ルートアカウントでのMFAの有効化
• RDSのセキュリティグループの許容度
• CloudTrailの使用
• Route 53 MXレコードのSPFレコード
• ELBのHTTPS設定
• ELBのセキュリティグループ
• CloudFrontの証明書チェック
• IAMアクセスキーのローテーション（90日）
• アクセスキーの露出（例：GitHub上）
• EBSまたはRDSスナップショットの公開可視性
• 弱いまたは存在しないIAMパスワードポリシー

AWS Trusted Advisorは、確立されたベストプラクティスに基づいて、AWSサービスの最適化、パフォーマンス、セキュリティ、フォールトトレランスを確保するための重要なツールとして機能します。

参考文献

• https://cloudsecdocs.com/aws/services/logging/other/#trusted-advisor