COST02-BP05 实施成本控制 - AWS Well-Architected Framework
实施指导资源

COST02-BP05 实施成本控制

根据组织策略以及定义的组和角色来实施控制。这样可以确保成本只根据组织要求的规定产生,例如,使用 AWS Identity and Access Management(IAM)策略控制用户对区域或资源类型的访问。

未建立此最佳实践暴露的风险等级:

实施指导

实施成本控制的第一步通常是进行相关设置,以便在发生成本或使用量超出组织策略的事件时触发通知。这样,您就可以迅速采取行动,并验证是否需要采取纠正措施,而不会限制工作负载或新活动或对它们产生负面影响。了解工作负载和环境限制后,可以强制实施治理。在 AWS 中,通知是通过 AWS Budgets 执行的,因此您可以定义 AWS 成本、使用量和承诺折扣(Savings Plans 和预留实例)的月度预算。可以在总成本级别(如所有成本)创建预算,也可以在更细粒度的级别创建预算,其中只包含特定的维度,如关联的账户、服务、标记或可用区。

在第二步中,您可以通过 AWS Identity and Access Management (IAM)和 AWS Organizations 服务控制策略 (SCP),在 AWS 中强制实施治理策略。借助 IAM,您可以安全地管理对 AWS 服务和资源的访问。您可以使用 IAM 控制谁能创建和管理 AWS 资源、可创建的资源类型以及可在何处创建。这样可以最大限度地减少创建不必要的资源。使用先前创建的角色和组,并分配 IAM 策略 以强制实施正确的使用量。SCP 用于集中管控组织中所有账户的最大可用权限,以确保您的账户始终在访问控制准则允许的范围内。SCP 仅在启用了所有功能的组织中可用,并且您可以将 SCP 配置为默认情况下拒绝或允许对成员账户执行操作。请参阅 《Well-Architected 安全性支柱》白皮书 以了解有关实施访问管理的更多详细信息。

还可以通过管理服务限额来实施治理。通过确保为服务配额设置最低开销并进行准确维护,您可以最大限度地减少组织要求以外的资源创建。要实现这一点,您必须了解要求的改变速度、了解正在进行的项目(资源的创建和停用),以及影响可以实施的限额更改速度的因素。服务限额 可用于在必要时增加配额。

实施步骤

  • 实施支出通知: 使用定义的组织策略,制定 AWS 预算,当支出超出策略时发出通知。配置多个成本预算,每个账户一个,这样可通知您账户总支出。然后,在每个账户中,为该账户内的较小单元配置额外的成本预算。这些单元因您的账户结构而异。一些常见示例有 AWS 区域、工作负载(使用标签)或 AWS 服务。确保将电子邮件通讯组列表配置为通知的收件人,而不是个人的电子邮件账户。可以为超出金额的情况配置实际预算,或者使用预测预算通知预测使用量。

  • 实施使用量控制: 使用定义的组织策略,实施 IAM 策略和角色,指定用户可执行的操作和无法执行的操作。一个 AWS 策略中可能包含多个组织策略。采用定义策略时所用的方式,首先大致进行,然后在每一步施加更细粒度的控制。服务限制也是一种有效的使用量控制措施。对所有账户实施正确的服务限制。

资源

相关文档:

相关示例: