# OPS02-BP01 已為資源識別擁有者
<a name="ops_ops_model_def_resource_owners"></a>

工作負載的資源必須已識別變更控制、疑難排解和其他功能的擁有者。系統會為工作負載、帳戶、基礎設施、平台和應用程式指派擁有者。擁有權會使用集中註冊或連接至資源的中繼資料等工具來記錄。元件的商業價值會透露其適用的流程和程序。

 **預期成果：** 
+  資源已使用中繼資料或集中註冊識別擁有者。 
+  團隊成員可識別誰擁有資源。 
+  帳戶會盡可能擁有單一擁有者。 

 **常見的反模式：** 
+  AWS 帳戶 的替代聯絡人未填入。 
+  資源缺少用來識別哪些團隊是其擁有者的標籤。 
+  您有不具備電子郵件對應的 ITSM 佇列。 
+  兩個團隊對於基礎設施的關鍵部件有重疊的擁有權。 

 **建立此最佳實務的優勢：** 
+  有了指派的擁有權，資源的變更控制將是簡單明瞭的。 
+  對問題進行疑難排解時，您將可接洽正確的擁有者。 

 **未建立此最佳實務時的風險暴露等級：**高 

## 實作指引
<a name="implementation-guidance"></a>

 定義擁有權對環境中的資源使用案例的意義。擁有權可表示誰負責監督資源的變更、誰支援疑難排解期間的資源，或財務責任由誰承擔。指定並記錄資源的擁有者，包括名稱、聯絡資訊、組織和團隊。 

 **客戶範例** 

 AnyCompany Retail 將擁有權定義為擁有資源變更和支援的團隊或個人。他們使用 AWS Organizations 來管理其 AWS 帳戶。替代帳戶聯絡人使用群組收件匣進行設定。每個 ITSM 佇列分別對應至一個電子郵件別名。標籤會指出誰擁有 AWS 資源。對於其他平台和基礎設施，他們有 Wiki 頁面會指出擁有權和聯絡資訊。 

 **實作步驟** 

1.  首先為您的組織定義擁有權。擁有權可暗示資源的風險由誰承擔、誰擁有資源的變更，或誰支援疑難排解期間的資源。擁有權也可暗示資源的財務或管理擁有權。 

1.  使用 [AWS Organizations](https://aws.amazon.com/organizations/) 管理帳戶。您可以集中管理帳戶的替代聯絡人。 

   1.  只要使用公司擁有的電子郵件地址和電話號碼作為聯絡資訊，即使聯絡資訊所屬的個人已離職，您仍可存取這些資訊。例如，為帳單、營運和安全建立各別的電子郵件分發清單，在每個作用中 AWS 帳戶 中將這些設定為帳戶、安全和營運聯絡人。即使某人休假、職務變動或離職，仍有多人會收到 AWS 通知並且能有所回應。 

   1.  如果帳戶未由 [AWS Organizations](https://aws.amazon.com/organizations/) 管理，替代帳戶聯絡人可協助 AWS 在必要時聯繫到適當人員。設定帳戶的替代聯絡人，將其指向群組而非個人。 

1.  使用標籤來識別 AWS 資源的擁有者。您可以用個別的標籤指定擁有者及其聯絡資訊。 

   1.  您可以使用 [AWS Config](https://aws.amazon.com/config/) 規則強制資源要有必要的擁有權標籤。 

   1.  如需如何為組織建置標記策略的深入指引，請參閱 [AWS 標記最佳實務白皮書](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)。 

1.  對於其他資源、平台和基礎設施，請建立識別擁有權的文件。此文件應開放給所有團隊成員存取。 

 **實作計劃的工作量：**低。利用帳戶聯絡資訊和標籤指派 AWS 資源的擁有權。對於其他資源，您可以使用 Wiki 表格這類簡單的工具來記錄擁有權與聯絡資訊，或使用 ITSM 工具來對應擁有權。 

## 資源
<a name="resources"></a>

 **相關的最佳實務：** 
+  [OPS02-BP02 已為流程和程序識別擁有者](ops_ops_model_def_proc_owners.md) - 支援資源的流程和程序取決於資源擁有權。 
+  [OPS02-BP04 團隊成員知道他們負責的項目](ops_ops_model_know_my_job.md) - 團隊成員應了解他們是哪些資源的擁有者。 
+  [OPS02-BP05 存在機制用來識別責任和擁有權](ops_ops_model_find_owner.md) - 擁有權必須可使用標籤或帳戶聯絡人等機制來探索。 

 **相關文件：** 
+ [AWS 帳戶管理 - 更新聯絡資訊](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact.html#manage-acct-update-contact-alternate-edit.html)
+ [AWS Config 規則 - Required-Tags](https://docs.aws.amazon.com/config/latest/developerguide/required-tags.html)
+ [AWS Organizations - 更新組織中的替代聯絡人](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_contacts.html)
+  [AWS 標記安全最佳實務白皮書](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) 

 **相關範例：** 
+ [AWS Config 規則 - Amazon EC2 使用必要標籤與有效值](https://github.com/awslabs/aws-config-rules/blob/master/python/ec2_require_tags_with_valid_values.py)

 **相關服務：** 
+  [AWS Config](https://aws.amazon.com/config/) 
+  [AWS Organizations](https://aws.amazon.com/organizations/)