Best practice operative perAWSPilastro dell'affidabilità del quadro Well-Architected - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative perAWSPilastro dell'affidabilità del quadro Well-Architected

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di bonifica. I Conformance Pack, come modelli di esempio, non sono progettati per garantire pienamente la conformità con uno standard di governance o conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra il Well-Architected Framework Reliability Pillar di Amazon Web Services e le regole gestite di AWS Ciascuna regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più principi di progettazione del pilastro. Una categoria Well-Architected Framework può essere correlata a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Questo Conformance Pack è stato convalidato daAWSSecurity Assurance Services LLC (AWSSAS), che è un team di Payment Card Industry Qualified Security Assessors (QSA), HITRUST Certified Common Security Framework Practitioners (CCSFP) e professionisti della conformità certificati per fornire indicazioni e valutazioni per vari quadri di settore.AWS I professionisti SAS hanno progettato questo Conformance Pack per consentire a un cliente di allinearsi a un sottoinsieme dei principi di progettazione di Well-Architected Framework Reliability Pillar.

Regione AWS:Tutto supportatoRegioni AWStranne Medio Oriente (Bahrain)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
REL-1 Modalità di gestione delle quote e dei vincoli di servizio? Per le architetture dei carichi di lavoro basate su cloud, esistono quote di servizio (che sono anche definite limiti di servizio). Queste quote esistono per impedire il provisioning accidentale di più risorse di quelle necessarie e per limitare i tassi di richiesta sulle operazioni API in modo da proteggere i servizi da abusi. Esistono anche vincoli di risorse, ad esempio la velocità con cui è possibile spingere i bit verso il basso su un cavo in fibra ottica o la quantità di spazio di archiviazione su un disco fisico.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura supportata da ciascuna tabella. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa di AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
REL-1 Modalità di gestione delle quote e dei vincoli di servizio? Per le architetture dei carichi di lavoro basate su cloud, esistono quote di servizio (che sono anche definite limiti di servizio). Queste quote esistono per impedire il provisioning accidentale di più risorse di quelle necessarie e per limitare i tassi di richiesta sulle operazioni API in modo da proteggere i servizi da abusi. Esistono anche vincoli di risorse, ad esempio la velocità con cui è possibile spingere i bit verso il basso su un cavo in fibra ottica o la quantità di spazio di archiviazione su un disco fisico.

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a baseline del numero di richieste che la funzione sta eseguendo in un dato momento.
REL-1 Modalità di gestione delle quote e dei vincoli di servizio? Per le architetture dei carichi di lavoro basate su cloud, esistono quote di servizio (che sono anche definite limiti di servizio). Queste quote esistono per impedire il provisioning accidentale di più risorse di quelle necessarie e per limitare i tassi di richiesta sulle operazioni API in modo da proteggere i servizi da abusi. Esistono anche vincoli di risorse, ad esempio la velocità con cui è possibile spingere i bit verso il basso su un cavo in fibra ottica o la quantità di spazio di archiviazione su un disco fisico.

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
REL-2 Come pianifichi la topologia di rete? I carichi di lavoro spesso esistono in più ambienti. Questi includono diversi ambienti cloud (sia pubblicamente accessibili che privati) e possibilmente l'infrastruttura del data center esistente. I piani devono includere considerazioni di rete come la connettività intra e tra sistema, la gestione degli indirizzi IP pubblici, la gestione degli indirizzi IP privati e la risoluzione dei nomi di dominio.

vpc-vpn-2-tunnels-up

I tunnel Site-to-Site VPN ridondanti possono essere implementati per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.
REL-2 Come pianifichi la topologia di rete? I carichi di lavoro spesso esistono in più ambienti. Questi includono diversi ambienti cloud (sia pubblicamente accessibili che privati) e possibilmente l'infrastruttura del data center esistente. I piani devono includere considerazioni di rete come la connettività intra e tra sistema, la gestione degli indirizzi IP pubblici, la gestione degli indirizzi IP privati e la risoluzione dei nomi di dominio.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini Service) sono all'interno di Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi all'interno di Amazon VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
REL-2 Come pianifichi la topologia di rete? I carichi di lavoro spesso esistono in più ambienti. Questi includono diversi ambienti cloud (sia pubblicamente accessibili che privati) e possibilmente l'infrastruttura del data center esistente. I piani devono includere considerazioni di rete come la connettività intra e tra sistema, la gestione degli indirizzi IP pubblici, la gestione degli indirizzi IP privati e la risoluzione dei nomi di dominio.

ec2-instances-in-vpc

Distribuisci istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
REL-2 Come pianifichi la topologia di rete? I carichi di lavoro spesso esistono in più ambienti. Questi includono diversi ambienti cloud (sia pubblicamente accessibili che privati) e possibilmente l'infrastruttura del data center esistente. I piani devono includere considerazioni di rete come la connettività intra e tra sistema, la gestione degli indirizzi IP pubblici, la gestione degli indirizzi IP privati e la risoluzione dei nomi di dominio.

lambda-inside-vpc

Distribuisci le funzioni di AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non è necessario disporre di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
REL-6 Come si monitorano le risorse del carico di lavoro? I registri e le metriche sono strumenti potenti per ottenere informazioni dettagliate sullo stato del tuo carico di lavoro. È possibile configurare il carico di lavoro per monitorare registri e metriche e inviare notifiche quando le soglie vengono superate o si verificano eventi significativi. Il monitoraggio consente al carico di lavoro di riconoscere quando vengono superate le soglie di prestazioni ridotte o si verificano guasti, in modo che possa essere ripristinato automaticamente in risposta.

autoscaling-group-elb-healthcheck-required

I controlli dello stato di Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la manutenzione di capacità e disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ping, effettua tentativi di connessione o invia richieste per testare l'integrità delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
REL-6 Come si monitorano le risorse del carico di lavoro? I registri e le metriche sono strumenti potenti per ottenere informazioni dettagliate sullo stato del tuo carico di lavoro. È possibile configurare il carico di lavoro per monitorare registri e metriche e inviare notifiche quando le soglie vengono superate o si verificano eventi significativi. Il monitoraggio consente al carico di lavoro di riconoscere quando vengono superate le soglie di prestazioni ridotte o si verificano guasti, in modo che possa essere ripristinato automaticamente in risposta.

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato di AWS Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
REL-6 Come si monitorano le risorse del carico di lavoro? I registri e le metriche sono strumenti potenti per ottenere informazioni dettagliate sullo stato del tuo carico di lavoro. È possibile configurare il carico di lavoro per monitorare registri e metriche e inviare notifiche quando le soglie vengono superate o si verificano eventi significativi. Il monitoraggio consente al carico di lavoro di riconoscere quando vengono superate le soglie di prestazioni ridotte o si verificano guasti, in modo che possa essere ripristinato automaticamente in risposta.

cloudwatch-alarm-action-check

AmazonCloudWatchallarmi avvisi quando una metrica supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionObbligatorio Config impostazione predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
REL-6 Come si monitorano le risorse del carico di lavoro? I registri e le metriche sono strumenti potenti per ottenere informazioni dettagliate sullo stato del tuo carico di lavoro. È possibile configurare il carico di lavoro per monitorare registri e metriche e inviare notifiche quando le soglie vengono superate o si verificano eventi significativi. Il monitoraggio consente al carico di lavoro di riconoscere quando vengono superate le soglie di prestazioni ridotte o si verificano guasti, in modo che possa essere ripristinato automaticamente in risposta.

ec2-instance-detailed-monitoring-enabled

Abilita questa regola per migliorare il monitoraggio delle istanze Amazon Elastic Compute Cloud (Amazon EC2) nella console Amazon EC2, in cui vengono visualizzati dei grafici di monitoraggio con un periodo di 1 minuto per l'istanza.
REL-6 Come si monitorano le risorse del carico di lavoro? I registri e le metriche sono strumenti potenti per ottenere informazioni dettagliate sullo stato del tuo carico di lavoro. È possibile configurare il carico di lavoro per monitorare registri e metriche e inviare notifiche quando le soglie vengono superate o si verificano eventi significativi. Il monitoraggio consente al carico di lavoro di riconoscere quando vengono superate le soglie di prestazioni ridotte o si verificano guasti, in modo che possa essere ripristinato automaticamente in risposta.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. Questi includono elenchi di IP dannosi e il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente cloud AWS.
REL-6 Come si monitorano le risorse del carico di lavoro? I registri e le metriche sono strumenti potenti per ottenere informazioni dettagliate sullo stato del tuo carico di lavoro. È possibile configurare il carico di lavoro per monitorare registri e metriche e inviare notifiche quando le soglie vengono superate o si verificano eventi significativi. Il monitoraggio consente al carico di lavoro di riconoscere quando vengono superate le soglie di prestazioni ridotte o si verificano guasti, in modo che possa essere ripristinato automaticamente in risposta.

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
REL-6 Come si monitorano le risorse del carico di lavoro? I registri e le metriche sono strumenti potenti per ottenere informazioni dettagliate sullo stato del tuo carico di lavoro. È possibile configurare il carico di lavoro per monitorare registri e metriche e inviare notifiche quando le soglie vengono superate o si verificano eventi significativi. Il monitoraggio consente al carico di lavoro di riconoscere quando vengono superate le soglie di prestazioni ridotte o si verificano guasti, in modo che possa essere ripristinato automaticamente in risposta.

rds-enhanced-monitoring-enabled

Abilita Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
REL-6 Come si monitorano le risorse del carico di lavoro? I registri e le metriche sono strumenti potenti per ottenere informazioni dettagliate sullo stato del tuo carico di lavoro. È possibile configurare il carico di lavoro per monitorare registri e metriche e inviare notifiche quando le soglie vengono superate o si verificano eventi significativi. Il monitoraggio consente al carico di lavoro di riconoscere quando vengono superate le soglie di prestazioni ridotte o si verificano guasti, in modo che possa essere ripristinato automaticamente in risposta.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza provenienti da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
REL-7 Come si progetta il carico di lavoro per adattarsi ai cambiamenti della domanda? Un carico di lavoro scalabile fornisce elasticità per aggiungere o rimuovere automaticamente le risorse in modo che corrispondano strettamente alla domanda corrente in un determinato momento.

dynamodb-autoscaling-enabled

La funzione Auto Scaling Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In questo modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione.
REL-7 Come si progetta il carico di lavoro per adattarsi ai cambiamenti della domanda? Un carico di lavoro scalabile fornisce elasticità per aggiungere o rimuovere automaticamente le risorse in modo che corrispondano strettamente alla domanda corrente in un determinato momento.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
REL-8 Modalità di implementazione del cambiamento? Sono necessarie modifiche controllate per distribuire nuove funzionalità e per garantire che i carichi di lavoro e l'ambiente operativo eseguano software noto e possano essere applicati patch o sostituiti in modo prevedibile. Se queste modifiche sono incontrollate, rende difficile prevedere l'effetto di queste modifiche o risolvere i problemi che si presentano a causa di esse.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
REL-8 Modalità di implementazione del cambiamento? Sono necessarie modifiche controllate per distribuire nuove funzionalità e per garantire che i carichi di lavoro e l'ambiente operativo eseguano software noto e possano essere applicati patch o sostituiti in modo prevedibile. Se queste modifiche sono incontrollate, rende difficile prevedere l'effetto di queste modifiche o risolvere i problemi che si presentano a causa di esse.

rds-automatic-minor-version-upgrade abilitato

Abilita gli aggiornamenti automatici delle versioni secondarie sulle istanze di Amazon Relational Database Service (RDS) per garantire che siano installati gli ultimi aggiornamenti della versione secondaria del Relational Database Management System (RDBMS), che possono includere patch di sicurezza e correzioni di bug.
REL-8 Modalità di implementazione del cambiamento? Sono necessarie modifiche controllate per distribuire nuove funzionalità e per garantire che i carichi di lavoro e l'ambiente operativo eseguano software noto e possano essere applicati patch o sostituiti in modo prevedibile. Se queste modifiche sono incontrollate, rende difficile prevedere l'effetto di queste modifiche o risolvere i problemi che si presentano a causa di esse.

ec2-managedinstance-patch-compliance-status-check

Abilita questa regola per aiutare nell'identificazione e nella documentazione delle vulnerabilità Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se la conformità delle patch dell'istanza Amazon EC2 in AWS Systems Manager come richiesto dalle politiche e dalle procedure dell'organizzazione.
REL-9 Come si eseguono il backup dei dati? Eseguire il backup di dati, applicazioni e configurazione per soddisfare i requisiti relativi agli obiettivi RTO (Recovery Time Objective) e agli obiettivi del punto di ripristino (RPO).

db-instance-backup-enabled

La funzionalità di backup di Amazon RDS crea backup dei database e dei registri delle transazioni. Amazon RDS crea automaticamente uno snapshot del volume di storage dell'istanza database, eseguendo il backup dell'intera istanza database. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
REL-9 Come si eseguono il backup dei dati? Eseguire il backup di dati, applicazioni e configurazione per soddisfare i requisiti relativi agli obiettivi RTO (Recovery Time Objective) e agli obiettivi del punto di ripristino (RPO).

dynamic odb-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
REL-9 Come si eseguono il backup dei dati? Eseguire il backup di dati, applicazioni e configurazione per soddisfare i requisiti relativi agli obiettivi RTO (Recovery Time Objective) e agli obiettivi del punto di ripristino (RPO).

dynamodb-pitr-enabled

Abilitare questa regola per verificare che le informazioni siano state eseguite il backup. Mantiene inoltre i backup garantendo chepoint-in-timeIl ripristino è abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella negli ultimi 35 giorni.
REL-9 Come si eseguono il backup dei dati? Eseguire il backup di dati, applicazioni e configurazione per soddisfare i requisiti relativi agli obiettivi RTO (Recovery Time Objective) e agli obiettivi del punto di ripristino (RPO).

ebs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) siano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
REL-9 Come si eseguono il backup dei dati? Eseguire il backup di dati, applicazioni e configurazione per soddisfare i requisiti relativi agli obiettivi RTO (Recovery Time Objective) e agli obiettivi del punto di ripristino (RPO).

efs-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che i file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
REL-9 Come si eseguono il backup dei dati? Eseguire il backup di dati, applicazioni e configurazione per soddisfare i requisiti relativi agli obiettivi RTO (Recovery Time Objective) e agli obiettivi del punto di ripristino (RPO).

elasticache-redis-cluster-automatic-backup-check

Quando i backup automatici sono abilitati, AmazonElastiCachecrea quotidianamente un backup del cluster. Il backup può essere mantenuto per un numero di giorni come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, è possibile creare un nuovo cluster, che ripristina i dati dal backup più recente.
REL-9 Come si eseguono il backup dei dati? Eseguire il backup di dati, applicazioni e configurazione per soddisfare i requisiti relativi agli obiettivi RTO (Recovery Time Objective) e agli obiettivi del punto di ripristino (RPO).

rds-in-backup-plan

Per aiutare con i processi di backup dei dati, assicurati che le istanze Amazon Relational Database Service (Amazon RDS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su regole. Questa soluzione semplifica la gestione dei backup e consente di soddisfare tutte le tue esigenze di backup e i requisiti di conformità.
REL-9 Come si eseguono il backup dei dati? Eseguire il backup di dati, applicazioni e configurazione per soddisfare i requisiti relativi agli obiettivi RTO (Recovery Time Objective) e agli obiettivi del punto di ripristino (RPO).

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon Simple Storage Service) (Amazon S3) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
REL-9 Come si eseguono il backup dei dati? Eseguire il backup di dati, applicazioni e configurazione per soddisfare i requisiti relativi agli obiettivi RTO (Recovery Time Objective) e agli obiettivi del punto di ripristino (RPO).

ebs-optimized-instance

Un'istanza ottimizzata in Amazon Elastic Block Store (Amazon EBS) offre una capacità aggiuntiva dedicata per le operazioni di I/O Amazon EBS. Questa ottimizzazione offre le prestazioni più efficienti per i volumi EBS, riducendo al minimo i conflitti tra le operazioni di I/O di Amazon EBS e l'altro traffico proveniente dall'istanza.
REL-9 Come si eseguono il backup dei dati? Eseguire il backup di dati, applicazioni e configurazione per soddisfare i requisiti relativi agli obiettivi RTO (Recovery Time Objective) e agli obiettivi del punto di ripristino (RPO).

redshift-backup-enabled

*Per aiutare con i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Redshift esegue periodicamente l'acquisizione degli snapshot del cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB per nodo di modifiche dei dati o qualsiasi altra cosa si verifica per prima.
REL-9 Come si eseguono il backup dei dati? Eseguire il backup di dati, applicazioni e configurazione per soddisfare i requisiti relativi agli obiettivi RTO (Recovery Time Objective) e agli obiettivi del punto di ripristino (RPO).

s3-bucket-versioning-enabled

Il controllo delle versioni bucket Amazon Simple Storage Service (Amazon Simple Storage Service) aiuta a mantenere più varianti di un oggetto nello stesso bucket Amazon S3. Usa il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni consente il facile recupero da operazioni involontarie dell'utente e guasti dell'applicazione.
REL-10 Come si utilizza l'isolamento dei guasti per proteggere il carico di lavoro? I limiti isolati da guasti limitano l'effetto di un errore all'interno di un carico di lavoro a un numero limitato di componenti. I componenti al di fuori del limite non sono influenzati dal guasto. Utilizzando più limiti isolati da guasti, è possibile limitare l'impatto sul carico di lavoro.

elb-cross-zone-load-balancing-abilitato

Abilita il bilanciamento del carico tra zone per i tuoi Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ciascuna zona di disponibilità abilitata. Migliora inoltre la capacità della tua applicazione di gestire la perdita di una o più istanze.
REL-10 Come si utilizza l'isolamento dei guasti per proteggere il carico di lavoro? I limiti isolati da guasti limitano l'effetto di un errore all'interno di un carico di lavoro a un numero limitato di componenti. I componenti al di fuori del limite non sono influenzati dal guasto. Utilizzando più limiti isolati da guasti, è possibile limitare l'impatto sul carico di lavoro.

rds-multi-az-support

Il supporto Multi-AZ in Amazon Relational Database Service (Amazon RDS) offre una maggiore disponibilità e durata per le istanze di database. Quando esegui il provisioning di un'istanza di database Multi-AZ, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati in un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su un'infrastruttura fisicamente distinta e indipendente ed è progettata per essere altamente affidabile. In caso di guasto all'infrastruttura, Amazon RDS esegue un failover automatico sullo standby in modo da poter riprendere le operazioni del database non appena il failover è stato completato.
REL-10 Come si utilizza l'isolamento dei guasti per proteggere il carico di lavoro? I limiti isolati da guasti limitano l'effetto di un errore all'interno di un carico di lavoro a un numero limitato di componenti. I componenti al di fuori del limite non sono influenzati dal guasto. Utilizzando più limiti isolati da guasti, è possibile limitare l'impatto sul carico di lavoro.

dynamodb-autoscaling-enabled

La funzione Auto Scaling Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. In questo modo una tabella o un indice secondario globale può aumentare la capacità di lettura/scrittura assegnata per gestire improvvisi aumenti di traffico, senza alcuna limitazione.
REL-10 Come si utilizza l'isolamento dei guasti per proteggere il carico di lavoro? I limiti isolati da guasti limitano l'effetto di un errore all'interno di un carico di lavoro a un numero limitato di componenti. I componenti al di fuori del limite non sono influenzati dal guasto. Utilizzando più limiti isolati da guasti, è possibile limitare l'impatto sul carico di lavoro.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
REL-10 Come si utilizza l'isolamento dei guasti per proteggere il carico di lavoro? I limiti isolati da guasti limitano l'effetto di un errore all'interno di un carico di lavoro a un numero limitato di componenti. I componenti al di fuori del limite non sono influenzati dal guasto. Utilizzando più limiti isolati da guasti, è possibile limitare l'impatto sul carico di lavoro.

rds-instance-deletion-protection-enabled

Assicurati che le istanze Amazon Relational Database Service (Amazon RDS) abbiano abilitata la protezione da eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
REL-10 Come si utilizza l'isolamento dei guasti per proteggere il carico di lavoro? I limiti isolati da guasti limitano l'effetto di un errore all'interno di un carico di lavoro a un numero limitato di componenti. I componenti al di fuori del limite non sono influenzati dal guasto. Utilizzando più limiti isolati da guasti, è possibile limitare l'impatto sul carico di lavoro.

s3-bucket-default-lock-enabled

Assicurati che il bucket Amazon Simple Storage Service (Amazon S3) abbia il blocco abilitato, per impostazione predefinita. Poiché i dati sensibili possono esistere a riposo nei bucket S3, applica i blocchi degli oggetti a riposo per proteggere tali dati.
REL-10 Come si utilizza l'isolamento dei guasti per proteggere il carico di lavoro? I limiti isolati da guasti limitano l'effetto di un errore all'interno di un carico di lavoro a un numero limitato di componenti. I componenti al di fuori del limite non sono influenzati dal guasto. Utilizzando più limiti isolati da guasti, è possibile limitare l'impatto sul carico di lavoro.

vpc-vpn-2-tunnels-up

I tunnel Site-to-Site VPN ridondanti possono essere implementati per ottenere requisiti di resilienza. Utilizza due tunnel per garantire la connettività nel caso una delle connessioni Site-to-Site VPN non sia disponibile. Per evitare la perdita di connettività, nel caso in cui il gateway del cliente non sia disponibile, puoi configurare una seconda connessione Site-to-Site VPN al Amazon Virtual Private Cloud (Amazon VPC) e al gateway virtuale privato utilizzando un secondo gateway del cliente.

Modello

Il modello è disponibile suGitHub: Best practice operative per AWS Well-Architected Reliability Pillar.