AWS - Trusted Advisor Enum

AWS - Trusted Advisor Enum

AWS Trusted Advisorの概要

Trusted Advisorは、AWSアカウントを最適化するための推奨事項を提供し、AWSのベストプラクティスに合致するサービスです。このサービスは複数のリージョンで運用されます。Trusted Advisorは、以下の4つの主要カテゴリで洞察を提供します:

1. コスト最適化: リソースを再構築して費用を削減する方法を提案します。

2. パフォーマンス: 潜在的なパフォーマンスのボトルネックを特定します。

3. セキュリティ: 脆弱性やセキュリティ設定の弱点をスキャンします。

4. 耐障害性: サービスの弾力性と耐障害性を向上させるためのプラクティスを推奨します。

Trusted Advisorの包括的な機能は、AWSビジネスまたはエンタープライズサポートプランでのみアクセス可能です。これらのプランがない場合、アクセスは主にパフォーマンスとセキュリティに焦点を当てた6つのコアチェックに制限されます。

通知とデータの更新

• Trusted Advisorはアラートを発行できます。

• チェックからアイテムを除外することができます。

• データは24時間ごとに更新されます。ただし、最後の更新後5分後に手動で更新することも可能です。

チェックの詳細

カテゴリコア

1. コスト最適化

2. セキュリティ

3. 耐障害性

4. パフォーマンス

5. サービス制限

6. S3バケットのアクセス許可

コアチェック

ビジネスまたはエンタープライズサポートプランを持たないユーザーに制限されます:

1. セキュリティグループ - 特定のポートが無制限

2. IAMの使用

3. ルートアカウントでのMFA

4. EBSパブリックスナップショット

5. RDSパブリックスナップショット

6. サービス制限

セキュリティチェック

主にセキュリティ脅威を特定し修正することに焦点を当てたチェックのリスト:

• ハイリスクポートのセキュリティグループ設定

• セキュリティグループの無制限アクセス

• S3バケットへの書き込み/リストアクセスのオープン

• ルートアカウントでのMFA有効化

• RDSセキュリティグループの許容性

• CloudTrailの使用

• Route 53 MXレコードのSPFレコード

• ELBのHTTPS構成

• ELB用のセキュリティグループ

• CloudFrontの証明書チェック

• IAMアクセスキーのローテーション（90日）

• アクセスキーの公開（例: GitHub上）

• EBSまたはRDSスナップショットの公開可視性

• 弱いまたは存在しないIAMパスワードポリシー

AWS Trusted Advisorは、確立されたベストプラクティスに基づいて、AWSサービスの最適化、パフォーマンス、セキュリティ、耐障害性を確保するための重要なツールとして機能します。

参考文献

• https://cloudsecdocs.com/aws/services/logging/other/#trusted-advisor