COST02-BP05 Implementazione dei controlli di costo

Implementa controlli basati sulle policy dell'organizzazione e gruppi e ruoli definiti. Questi garantiscono che i costi siano sostenuti solo in base ai requisiti dell'organizzazione, ad esempio, controllano l'accesso alle regioni o ai tipi di risorse con le policy AWS Identity and Access Management (IAM).

Livello di rischio associato se questa best practice non fosse adottata: Basso

Guida all'implementazione

Un primo passo comune per implementare i controlli dei costi consiste nell'impostare le notifiche quando si verificano eventi di costi o utilizzo al di fuori delle policy. In questo modo, puoi agire rapidamente e verificare se è necessaria un'azione correttiva, senza limitare o influire negativamente sui carichi di lavoro o sulle nuove attività. Dopo avere appreso i limiti del carico di lavoro e dell'ambiente, puoi applicare la governance. In AWS, le notifiche vengono effettuate con Budget AWS, che consente di definire un budget mensile per i costi, l'utilizzo e gli sconti a fronte di impegni di AWS (Savings Plans e istanze riservate). Puoi creare budget a livello di costo aggregato (ad esempio, tutti i costi) o a un livello più granulare, nel quale includi solo dimensioni specifiche come account membri, servizi, tag o zone di disponibilità.

In secondo luogo, puoi applicare le politiche di governance in AWS tramite AWS Identity and Access Management (IAM) e le policy di controllo dei servizi (SCP) di AWS Organizations. IAM consente di gestire in modo sicuro l'accesso ai servizi e alle risorse AWS. Utilizzando IAM, puoi controllare chi può creare e gestire le risorse AWS, il tipo di risorse che possono essere create e dove possono essere create. Ciò riduce al minimo la creazione di risorse che non sono necessarie. Utilizza i ruoli e i gruppi creati in precedenza e assegna le policy IAM per garantire l'utilizzo corretto. Le SCP offrono il controllo centralizzato sul numero massimo di autorizzazioni disponibili per tutti gli account nella tua organizzazione, assicurando che i tuoi account rimangano entro le linee guida di controllo degli accessi. Le SCP sono disponibili soltanto in un'organizzazione con tutte le funzionalità abilitate e possono essere configurate in modo da rifiutare o consentire operazioni agli account membri per impostazione predefinita. Consulta il whitepaper sul principio della sicurezza secondo il Canone di architettura per ulteriori dettagli sull'implementazione della gestione degli accessi.

La governance può essere implementata anche tramite la gestione delle Service Quotas. Assicurandoti che le quote di servizio siano impostate con spese minime e siano gestite in modo accurato, puoi ridurre al minimo la creazione di risorse che non rientrano nei requisiti della tua organizzazione. Per ottenere questo risultato, devi comprendere la velocità con cui i tuoi requisiti possono cambiare, valutare i progetti in corso (sia la creazione sia la disattivazione di risorse) e considerare la velocità con cui è possibile implementare le modifiche alle quote. Service Quotas possono essere utilizzate per aumentare le quote all'occorrenza.

Passaggi dell'implementazione

Implementa le notifiche sulla spesa: Utilizzando le policy dell'organizzazione definite, crea dei budget AWS per inviare notifiche quando la spesa ricade al di fuori delle policy. Configura più budget dei costi, uno per ogni account, che invia una notifica sulla spesa complessiva dell'account. Quindi configura budget di costo aggiuntivi all'interno di ciascun account per unità più piccole all'interno dell'account. Queste unità variano a seconda della struttura dell'account. Alcuni esempi comuni sono Regioni AWS, carichi di lavoro (tramite i tag) o servizi AWS. Assicurati di configurare un elenco di distribuzione e-mail come destinatario per le notifiche e non un account e-mail di un singolo. Puoi configurare un budget effettivo per quando un importo viene superato oppure utilizzare un budget previsto per la notifica dell'utilizzo previsto.
Implementa i controlli sull'utilizzo: Utilizzando le policy dell'organizzazione definite, implementa policy e ruoli IAM per specificare quali azioni possono eseguire gli utenti e quali non possono eseguire. In una policy AWS possono essere incluse più policy organizzative. Nello stesso modo in cui hai definito le policy, inizia in modo generale e quindi applica controlli più dettagliati a ogni fase. Anche le restrizioni dei servizi sono un controllo efficace sull'utilizzo. Implementa le restrizioni dei servizi corrette su tutti gli account.

Risorse

Documenti correlati:

Esempi correlati:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

COST02-BP04 Implementazione di gruppi e ruoli

COST02-BP06 Monitoraggio del ciclo di vita del progetto