COST02-BP03 Implementazione di una struttura di account

Implementa una struttura di account che si adatta alla tua organizzazione. Questo aiuta a ripartire e gestire i costi in tutta la tua organizzazione.

Livello di rischio associato se questa best practice non fosse adottata: Alto

Guida all'implementazione

AWS presenta una struttura degli account ad albero, con un account principale (il padre, precedentemente detto account di pagamento) e vari account collegati (i figli, noti come account membri). Una best practice è di avere sempre almeno un account principale con un account membro, indipendentemente dalle dimensioni o dall'utilizzo dell'organizzazione. Tutte le risorse del carico di lavoro devono risiedere solo all'interno degli account membri.

Non esiste una risposta giusta o sbagliata in merito al numero di account AWS che bisognerebbe creare. Valuta i tuoi modelli operativi e di costo attuali e futuri per assicurarti che la struttura dei tuoi account AWS rispecchi quella della tua organizzazione. Alcune aziende creano molteplici account AWS per motivi aziendali, ad esempio:

È richiesto l'isolamento amministrativo e/o fiscale e di fatturazione tra unità aziendali o centri di costo o carichi di lavoro specifici.
Le restrizioni dei servizi AWS sono impostate in modo che risultino specifiche per determinati carichi di lavoro.
Esiste un requisito per l'isolamento e la separazione tra carichi di lavoro e risorse.

All'interno di AWS Organizations, la fatturazione consolidata crea il costrutto tra uno o più account membri e l'account di gestione. Gli account membri consentono di isolare e distinguere i costi e l'utilizzo per gruppi. Una pratica comune è quella di avere account membri separati per ciascuna unità aziendale (come finanza, marketing e vendite), per il ciclo di vita di ciascun ambiente (come sviluppo, test e produzione) o per ciascun carico di lavoro (carico di lavoro a, b e c), e poi aggregare questi account membri tramite la fatturazione consolidata.

La fatturazione consolidata consente di accorpare i pagamenti di più account membri AWS sotto un unico account principale e, al tempo stesso, di fornire comunque visibilità all'attività di ciascun account membro. Poiché i costi e l'utilizzo vengono aggregati nell'account di gestione, questo consente di massimizzare gli sconti per volume di servizio e di massimizzare l'utilizzo degli sconti a fronte di impegni (Savings Plans e istanze riservate) per ottenere gli sconti più elevati.

AWS Control Tower può impostare e configurare rapidamente più account AWS, garantendo una governance in linea con i requisiti della tua organizzazione.

Passaggi dell'implementazione

Definisci i requisiti di separazione: I requisiti di separazione sono una combinazione di più fattori, tra cui sicurezza, affidabilità e costrutti finanziari. Analizza ciascun fattore in ordine e specifica se il carico di lavoro o l'ambiente del carico di lavoro deve essere separato da altri carichi di lavoro. La sicurezza garantisce il rispetto dei requisiti di accesso e dei dati. L'affidabilità garantisce la gestione dei limiti, in modo che gli ambienti e i carichi di lavoro non influiscano sugli altri. I costrutti finanziari garantiscono separazione finanziaria e responsabilità rigorose. Esempi comuni di separazione sono i carichi di lavoro di produzione e test eseguiti in account separati o l'utilizzo di un account separato in modo che i dati di fatturazione possano essere forniti a un'organizzazione di terze parti.
Definisci i requisiti di raggruppamento: I requisiti per il raggruppamento non sostituiscono i requisiti di separazione, ma vengono utilizzati a supporto della gestione. Raggruppa ambienti o carichi di lavoro simili che non richiedono separazione. Un esempio di questo è costituito dal raggruppamento di più ambienti di test o sviluppo da uno o più carichi di lavoro.
Definisci la struttura dell'account: Utilizzando queste separazioni e questi raggruppamenti, specifica un account per ogni gruppo e assicurati che i requisiti di separazione siano mantenuti. Questi account sono i tuoi account membri o collegati. Raggruppando questi account membri in un unico account di gestione/di pagamento, puoi combinare l'utilizzo, che consente maggiori sconti per volume su tutti gli account e fornisce una singola fattura per tutti gli account. È possibile separare i dati di fatturazione e fornire a ciascun account membro una visualizzazione individuale dei dati di fatturazione. Se un account membro non deve avere i dati di utilizzo o di fatturazione visibili a qualsiasi altro account, oppure se è necessaria una fattura separata da parte di AWS, definisci più account di gestione/di pagamento. In questo caso, ogni account membro ha il proprio account di gestione/di pagamento. Le risorse devono sempre essere collocate negli account membri o collegati. Gli account di gestione/di pagamento devono essere utilizzati solo per la gestione.

Risorse

Documenti correlati:

Esempi correlati:

Divisione della CUR e condivisione dell'accesso

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

COST02-BP02 Implementazione di obiettivi e target

COST02-BP04 Implementazione di gruppi e ruoli