COST02-BP05 Implementieren von Kostenkontrollen

Implementieren Sie Kontrollmechanismen, die auf den Organisationsrichtlinien sowie auf definierten Gruppen und Rollen basieren. Damit wird sichergestellt, dass die Kosten den Rahmen der festgelegten Organisationsanforderungen nicht sprengen. Mithilfe von AWS Identity and Access Management-Richtlinien (IAM) können Sie beispielsweise den Zugriff auf Regionen oder Ressourcentypen steuern.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Niedrig

Implementierungsleitfaden

Ein häufiger erster Schritt bei der Implementierung von Kostenkontrollen ist die Einrichtung von Benachrichtigungen, wenn Kosten- oder Nutzungsereignisse außerhalb der Richtlinien der Organisation auftreten. Auf diese Weise können Sie schnell agieren und überprüfen, ob Korrekturmaßnahmen erforderlich sind, ohne Workloads oder neue Aktivitäten einzuschränken oder negativ zu beeinflussen. Nachdem Sie die Workload- und Umgebungslimits kennen, können Sie Governance erzwingen. In AWS werden Benachrichtigungen mit AWS Budgets durchgeführt. So können Sie ein monatliches Budget für Ihre AWS-Kosten, die Nutzung und an feste Kapazität gebundene Rabatte (Savings Plans und Reserved Instances) definieren. Sie können Budgets auf aggregierter Kostenebene (z. B. alle Kosten) oder auf einer detaillierteren Ebene erstellen, in der Sie nur bestimmte Dimensionen wie verknüpfte Konten, Services, Tags oder Availability Zones einschließen.

In einem zweiten Schritt können Sie Governance-Richtlinien in AWS über AWS Identity and Access Management (IAM) und AWS Organizations Service-Kontrollrichtlinien (Service Control Policies, SCP)durchsetzen. Mit IAM können Sie den Zugriff auf AWS-Services und -Ressourcen sicher verwalten. Mit IAM können Sie steuern, wer AWS-Ressourcen erstellen und verwalten kann, welche Art von Ressourcen erstellt werden kann und wo sie erstellt werden können. Dadurch wird die Erstellung von Ressourcen minimiert, die nicht erforderlich sind. Verwenden Sie die zuvor erstellten Rollen und Gruppen und weisen Sie IAM-Richtlinien zu, um die korrekte Nutzung zu erzwingen. SCP bietet eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für alle Konten in Ihrem Unternehmen und stellt sicher, dass Ihre Konten die Vorgaben Ihrer Zugriffskontrollrichtlinien erfüllen. SCPs sind nur in einem Unternehmen verfügbar, für das alle Funktionen aktiviert sind, und Sie können die SCPs so konfigurieren, dass sie Aktionen für Mitgliedskonten standardmäßig verweigern oder zulassen. Weitere Informationen zur Implementierung der Zugriffsverwaltung finden Sie im Well-Architected Whitepaper zur Säule "Sicherheit" .

Über die Verwaltung von Service Quotas können Sie außerdem Governance implementieren. Indem Sie sicherstellen, dass Service Quotas mit minimalem Overhead definiert und ordnungsgemäß verwaltet werden, können Sie die Ressourcenerstellung über die Geschäftsanforderungen hinaus minimieren. Dazu müssen Sie nachvollziehen, wie schnell sich Ihre Anforderungen ändern können. Sie müssen die derzeit ausgeführten Projekte kennen (in Bezug auf die Erstellung und die Deaktivierung von Ressourcen) und berücksichtigen, wie schnell Kontingentänderungen implementiert werden können. Service Quotas können bei Bedarf verwendet werden, um Ihre Kontingente zu erhöhen.

Implementierungsschritte

Implementieren von Benachrichtigungen zu Ausgaben: Erstellen Sie mithilfe Ihrer definierten Organisationsrichtlinien AWS-Budgets, um Benachrichtigungen zu erhalten, wenn Ausgaben außerhalb Ihrer Richtlinien liegen. Konfigurieren Sie mehrere Kostenbudgets, eines für jedes Konto, das Sie über die allgemeinen Kontoausgaben informiert. Konfigurieren Sie dann zusätzliche Kostenbudgets innerhalb jedes Kontos für kleinere Einheiten innerhalb des Kontos. Diese Einheiten variieren je nach Kontenstruktur. Einige gängige Beispiele sind AWS-Regionen, Workloads (mithilfe von Tags) oder AWS-Services. Stellen Sie sicher, dass Sie eine E-Mail-Verteilerliste als Empfänger für Benachrichtigungen konfigurieren und nicht das E-Mail-Konto einer Person. Sie können ein tatsächliches Budget für den Fall konfigurieren, dass ein Betrag überschritten wird, oder ein prognostiziertes Budget zur Benachrichtigung über die prognostizierte Nutzung verwenden.
Implementieren von Nutzungskontrollen: Implementieren Sie mithilfe Ihrer definierten Organisationsrichtlinien IAM-Richtlinien und -Rollen, um anzugeben, welche Aktionen Benutzer ausführen und welche sie nicht ausführen können. In einer AWS-Richtlinie können mehrere Organisationsrichtlinien enthalten sein. Gehen Sie auf die gleiche Art und Weise vor, wie Sie Richtlinien definiert haben. Beginnen Sie umfassend und wenden dann bei jedem Schritt detailliertere Kontrollen an. Service Limits sind auch eine effektive Kontrolle der Nutzung. Implementieren Sie die richtigen Service Limits für alle Ihre Konten.

Ressourcen

Zugehörige Dokumente:

Zugehörige Beispiele:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

COST02-BP04 Implementieren von Gruppen und Rollen

COST02-BP06 Verfolgen des Projektlebenszyklus