# OPS02-BP01 确定资源所有者
<a name="ops_ops_model_def_resource_owners"></a>

工作负载的资源必须具有已确定的所有者，以便实现变更控制、故障排除和其他功能。为工作负载、账户、基础设施、平台和应用程序分配所有者。使用集中登记册或附加到资源的元数据等工具记录所有权。组件的商业价值指明应用于它们的流程和程序。

 **期望结果：** 
+  使用元数据或集中登记册确定资源所有者。 
+  团队成员可以确定谁拥有资源。 
+  在可能的情况下，账户只有一个所有者。 

 **常见反模式：** 
+  未填入 AWS 账户 的备用联系人。 
+  资源缺少用于标识哪些团队拥有它们的标记。 
+  您的 ITSM 队列没有电子邮件映射。 
+  两个团队对一个关键基础设施的所有权出现重叠。 

 **建立此最佳实践的好处：** 
+  通过分配所有权，资源的变更控制变得非常简单。 
+  在排查问题时，您可以让适合的所有者参与进来。 

 **在未建立这种最佳实践的情况下暴露的风险等级：**高 

## 实施指导
<a name="implementation-guidance"></a>

 定义所有权对于环境中的资源使用案例的意义。所有权表示谁监督资源的变更、在排查故障时对资源提供支持或谁在财务上负责。指定并记录资源所有者，包括名称、联系信息、组织和团队。 

 **客户示例** 

 AnyCompany Retail 将所有权定义为控制资源变更和支持的团队或个人。他们利用 AWS Organizations 来管理其 AWS 账户。使用组收件箱配置账户备用联系人。每个 ITSM 队列映射到一个电子邮件别名。标签确定谁拥有 AWS 资源。对于其他平台和基础设施，他们有 Wiki 页面，其中确定了所有权和联系信息。 

 **实施步骤** 

1.  首先定义组织的所有权。所有权意味着谁承担资源的风险、谁控制对资源的变更，或在排查故障时谁为资源提供支持。所有权还意味着资源的财务或管理所有权。 

1.  使用 [AWS Organizations](https://aws.amazon.com/organizations/) 来管理账户。您可以集中管理账户的备用联系人。 

   1.  联系信息使用公司拥有的电子邮件地址和电话号码，即使它们所属的个人不再是公司的员工，您仍可以访问它们。例如，为账单、运营和安全性创建单独的电子邮件分发列表，并在各个活跃的 AWS 账户 中将它们配置为账单、安全性和运营联系人。有多个人会收到 AWS 通知，所以即使有人在度假、变更角色或离开公司，也有其他人能够作出回复。 

   1.  如果一个账户未由 [AWS Organizations](https://aws.amazon.com/organizations/) 管理，则在需要时，备用账户联系人可帮助 AWS 与相关人员联系。将账户的备用联系人配置为指向群组而不是指向个人。 

1.  使用标签来识别 AWS 资源的所有者。您可以用单独的标签指定所有者及其联系信息。 

   1.  您可以使用 [AWS Config](https://aws.amazon.com/config/) 规则强制使资源具有所需的所有权标签。 

   1.  有关如何为组织构建标记策略的深入指导，请参阅 [AWS 标记最佳实践白皮书](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)。 

1.  对于其他资源、平台和基础设施，创建用于标识所有权的文档。所有团队成员应该都可以访问此文档。 

 **实施计划的工作量级别：**低。利用账户联系信息和标签来分配 AWS 资源的所有权。对于其他资源，您可以使用像 Wiki 中的表格这样简单的东西来记录所有权和联系信息，或使用 ITSM 工具来映射所有权。 

## 资源
<a name="resources"></a>

 **相关最佳实践：** 
+  [OPS02-BP02 确定流程和程序所有者](ops_ops_model_def_proc_owners.md) - 用于支持资源的流程和程序取决于资源所有权。 
+  [OPS02-BP04 团队成员知道自己的责任](ops_ops_model_know_my_job.md) - 团队成员应了解他们是哪些资源的所有者。 
+  [OPS02-BP05 制定用于确定责任和所有权的机制](ops_ops_model_find_owner.md) - 可以使用标签或账户联系人等机制来发现所有权。 

 **相关文档：** 
+ [AWS 账户管理 - 更新联系信息](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact.html#manage-acct-update-contact-alternate-edit.html)
+ [AWS Config 规则 - 必需的标签](https://docs.aws.amazon.com/config/latest/developerguide/required-tags.html)
+ [AWS Organizations - 更新组织中的备用联系人](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_contacts.html)
+  [AWS 标记最佳实践白皮书](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) 

 **相关示例：** 
+ [AWS Config 规则 - 带有必需标签和有效值的 Amazon EC2](https://github.com/awslabs/aws-config-rules/blob/master/python/ec2_require_tags_with_valid_values.py)

 **相关服务：** 
+  [AWS Config](https://aws.amazon.com/config/) 
+  [AWS Organizations](https://aws.amazon.com/organizations/)