COST02-BP05 Implementar controles de custos

Implemente controles baseados nas políticas da organização e nas funções e grupos definidos. Isso garante que os custos sejam gerados somente conforme definido pelos requisitos da organização: por exemplo, controle o acesso a regiões ou tipos de recursos com políticas do AWS Identity and Access Management (IAM).

Nível de risco exposto se esta prática recomendada não for estabelecida: Baixo

Orientação de implementação

Uma primeira etapa comum na implementação de controles de custo é configurar notificações quando eventos de custo ou uso ocorrerem fora das políticas da organização. Isso permite que você aja rapidamente e verifique se é necessária uma ação corretiva, sem restringir ou afetar negativamente cargas de trabalho ou novas atividades. Depois de conhecer os limites da carga de trabalho e do ambiente, você pode impor a governança. Na AWS, as notificações são realizadas com AWS Budgets, o que permite definir um orçamento mensal para seus custos, uso e descontos de compromisso da AWS (Savings Plans e instâncias reservadas). Você pode criar orçamentos em um nível de custo agregado (por exemplo, todos os custos) ou em um nível mais granular, onde você inclui apenas dimensões específicas, como contas vinculadas, serviços, tags ou zonas de disponibilidade.

Como segunda etapa, você pode aplicar políticas de governança na AWS por meio do AWS Identity and Access Management (IAM) e Políticas de controle de serviço (SCP) do AWS Organizations. O IAM permite gerenciar com segurança o acesso aos serviços e recursos da AWS. Usando o IAM, você pode controlar quem pode criar e gerenciar recursos da AWS, os tipos de recursos que podem ser criados e onde eles podem ser criados. Isso minimiza a criação de recursos que não são necessários. Use as funções e os grupos criados anteriormente e atribua políticas do IAM para impor o uso correto. A SCP oferece controle central sobre o número máximo de permissões disponíveis para todas as contas na sua organização, garantindo que suas contas permaneçam dentro das diretrizes de controle de acesso. As SCPs estão disponíveis somente em uma organização com todos os recursos habilitados, e você pode configurar as SCPs para negar ou permitir ações para contas membro por padrão. Consulte o whitepaper sobre o Pilar Segurança do Well-Architected para obter mais detalhes sobre a implementação do gerenciamento de acesso.

A governança também pode ser implementada por meio do gerenciamento do Service Quotas. Ao garantir que o Service Quotas seja configurado com o mínimo de sobrecarga e mantido com precisão, você pode minimizar a criação de recursos fora dos requisitos da sua organização. Para conseguir isso, você deve entender a rapidez com que seus requisitos podem mudar, compreender projetos em andamento (criação e desativação de recursos) e considerar a rapidez com que as alterações de cota podem ser implementadas. O Service Quotas pode ser usado para aumentar suas cotas quando necessário.

Etapas da implementação

Implementar notificações sobre gastos: Usando as políticas da organização definidas, crie orçamentos da AWS para fornecer notificações quando os gastos estiverem fora de suas políticas. Configure vários orçamentos de custos, um para cada conta, que o notifica sobre os gastos gerais da conta. Em seguida, configure orçamentos de custos adicionais dentro de cada conta para unidades menores dentro da conta. Essas unidades variam de acordo com a estrutura da sua conta. Alguns exemplos comuns são Regiões da AWS, workloads (usando tags) ou serviços da AWS. Configure uma lista de distribuição de e-mails como o destinatário das notificações, e não uma conta de e-mail de uma pessoa. Você pode configurar um orçamento real para quando um valor for ultrapassado ou usar um orçamento previsto para notificar sobre o uso previsto.
Implementar controles de uso: Usando as políticas da organização definidas, implemente políticas e perfis do IAM para especificar quais ações os usuários podem e não podem executar. Várias políticas organizacionais podem ser incluídas em uma política da AWS. Da mesma forma que você definiu políticas, comece amplamente e, em seguida, aplique controles mais granulares em cada etapa. Os limites de serviço também são um controle eficaz do uso. Implemente os limites de serviço corretos em todas as suas contas.

Recursos

Documentos relacionados:

Exemplos relacionados:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

COST02-BP04 Implemente grupos e funções

COST02-BP06 Acompanhe o ciclo de vida do projeto