COST02-BP05 Mettre en œuvre des contrôles de coûts

Mettez en œuvre des contrôles reposant sur des politiques organisationnelles et les groupes et rôles définis. Il s'agit de s'assurer que les coûts encourus sont toujours conformes aux exigences de l'entreprise : par exemple, le contrôle d'accès aux régions ou aux types de ressources avec les politiques AWS Identity and Access Management (IAM).

Niveau de risque exposé si cette bonne pratique n'est pas respectée : Faible

Directives d'implémentation

Une première étape commune dans la mise en œuvre des contrôles des coûts consiste à mettre en place des notifications lorsque des événements liés aux coûts ou à l'utilisation excédant le cadre des politiques organisationnelles se produisent. Cela vous permet d'agir rapidement et de vérifier si une action corrective est nécessaire, sans restreindre ou affecter négativement les charges de travail ou la nouvelle activité. Une fois que vous connaissez les limites de la charge de travail et de l'environnement, vous pouvez appliquer la gouvernance. Dans AWS, les notifications sont effectuées avec AWS Budgets, qui vous permet de définir un budget mensuel pour vos coûts AWS, votre utilisation et vos réductions sur engagement (Savings Plans et Instances réservées). Vous pouvez créer des budgets à un niveau de coût global (par exemple, tous les coûts), ou à un niveau plus précis où vous n'incluez que des dimensions spécifiques telles que les comptes, services, balises ou zones de disponibilité liés.

En guise de deuxième étape, vous pouvez appliquer des politiques de gouvernance dans AWS via AWS Identity and Access Management (IAM) et les politiques de contrôle des services (SCP) AWS Organizations.. IAM vous permet de gérer en toute sécurité l'accès aux services et ressources AWS. Avec IAM, vous pouvez contrôler qui peut créer et gérer les ressources AWS, le type de ressources qui peuvent être créées et où elles peuvent être créées. Cela réduit la création de ressources qui ne sont pas nécessaires. Utilisez les rôles et groupes créés précédemment et affectez des stratégies IAM pour encadrer une utilisation correcte. Une politique SCP offre un contrôle central des autorisations maximales disponibles pour tous les comptes de votre organisation, garantissant que vos comptes restent dans les limites de vos directives de contrôle d'accès. Les politiques SCP ne sont disponibles que dans une organisation dont toutes les fonctionnalités sont activées. Vous pouvez configurer les politiques SCP pour qu'elles refusent ou autorisent par défaut les actions des comptes membres. Reportez-vous au livre blanc du pilier Sécurité du cadre Well-Architected pour en savoir plus sur l'implémentation de la gestion des accès.

La gouvernance peut également être mise en œuvre grâce à la gestion des Service Quotas. En vous assurant que les quotas de service sont fixés avec un coût minimum et maintenus avec précision, vous pouvez minimiser la création de ressources en dehors des exigences de votre organisation. Pour ce faire, vous devez comprendre la rapidité avec laquelle vos besoins peuvent changer et les projets en cours (tant la création que la mise hors service des ressources) et tenir compte de la rapidité avec laquelle les changements de quotas peuvent être mis en œuvre. Les Service Quotas peuvent être utilisés pour augmenter vos quotas, si nécessaire.

Étapes d'implémentation

Mettre en œuvre des notifications sur les dépenses : À l'aide des politiques organisationnelles que vous avez définies, créez des budgets AWS pour fournir des notifications lorsque les dépenses sortent des seuils fixés. Définissez plusieurs budgets de coûts, un pour chaque compte, pour vous informer des dépenses globales du compte. Ensuite, définissez des budgets de coûts supplémentaires dans chaque compte pour les unités plus petites du compte. Ces unités varient en fonction de la structure de votre compte. Quelques exemples courants sont les Régions AWS, les charges de travail (avec les balises) ou les services AWS. Veillez à définir une liste de distribution d'e-mails comme destinataire des notifications, et non pas le compte e-mail d'une personne. Vous pouvez définir un budget réel pour le cas où un montant est dépassé, ou utiliser un budget prévisionnel pour notifier l'utilisation prévue.
Mettre en œuvre des contrôles sur l'utilisation : À l'aide des politiques organisationnelles que vous avez définies, mettez en œuvre des politiques et des rôles IAM pour spécifier les actions que les utilisateurs peuvent et ne peuvent pas effectuer. Plusieurs politiques organisationnelles peuvent être incluses dans une politique AWS. De la même manière que vous avez défini les politiques, commencez de manière générale et appliquez ensuite des contrôles plus fins à chaque étape. Les limites de service constituent également un contrôle efficace de l'utilisation. Mettez en œuvre les limites de service correctes sur tous vos comptes.

Ressources

Documents connexes :

Exemples connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

COST02-BP04 Mettre en œuvre des groupes et des rôles

COST02-BP06 Suivre le cycle de vie du projet