COST02-BP05 Implementieren von Kostenkontrollen
Implementieren Sie Kontrollmechanismen, die auf den Organisationsrichtlinien sowie auf definierten Gruppen und Rollen basieren. Damit wird sichergestellt, dass nur Kosten im Rahmen der festgelegten Organisationsanforderungen anfallen, z. B. durch Steuerung des Zugriffs auf Regionen oder Ressourcentypen.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Ein häufiger erster Schritt bei der Implementierung von Kostenkontrollen ist die Einrichtung von Benachrichtigungen, wenn im Zusammenhang mit Kosten oder Nutzung Ereignisse auftreten, die den Richtlinien nicht entsprechen. Auf diese Weise können Sie schnell agieren und überprüfen, ob Korrekturmaßnahmen erforderlich sind, ohne dass Workloads oder neue Aktivitäten eingeschränkt oder beeinträchtigt werden. Nachdem Sie die Limits für Workloads und Umgebung kennen, können Sie die Governance erzwingen. Mit AWS Budgets
Wenn Sie die Budgetlimits mit AWS Budgets eingerichtet haben, können Sie mit AWS Cost Anomaly Detection
Sie können Governance-Richtlinien in AWS durch AWS Identity and Access Management
Über die Verwaltung von AWS Service Quotas können Sie ebenfalls Governance implementieren. Indem Sie sicherstellen, dass Service Quotas mit minimalem Overhead definiert und ordnungsgemäß verwaltet werden, können Sie die Ressourcenerstellung über die Geschäftsanforderungen hinaus minimieren. Dazu müssen Sie nachvollziehen, wie schnell sich Ihre Anforderungen ändern können, Sie müssen die derzeit ausgeführten Projekte kennen – in Bezug auf die Erstellung und die Deaktivierung von Ressourcen – und berücksichtigen, wie schnell Kontingentänderungen implementiert werden können. Service Quotas können bei Bedarf eingesetzt werden, um Ihre Kontingente zu erhöhen.
Implementierungsschritte
-
Implementieren von Benachrichtigungen zu Ausgaben: Erstellen Sie mithilfe Ihrer definierten Organisationsrichtlinien AWS Budgets
, um Benachrichtigungen zu erhalten, wenn Ausgaben außerhalb Ihrer Richtlinien liegen. Konfigurieren Sie mehrere Kostenbudgets, eines für jedes Konto, um über die allgemeinen Kontoausgaben informiert zu werden. Konfigurieren Sie zusätzliche Kostenbudgets innerhalb jedes Kontos für kleinere Einheiten innerhalb des Kontos. Diese Einheiten variieren je nach Kontenstruktur. Einige gängige Beispiele sind AWS-Regionen, Workloads (mithilfe von Tags) oder AWS-Services. Konfigurieren Sie eine E-Mail-Verteilerliste als Empfänger für Benachrichtigungen, nicht das E-Mail-Konto einer Person. Sie können ein tatsächliches Budget für den Fall konfigurieren, dass ein Betrag überschritten wird, oder ein prognostiziertes Budget zur Benachrichtigung über die prognostizierte Nutzung verwenden. Sie können auch AWS-Budgetaktionen vorkonfigurieren, die bestimmte IAM- oder SCP-Richtlinien erzwingen, oder Amazon EC2- oder Amazon RDS-Ziel-Instances beenden. Budgetaktionen werden entweder automatisch ausgeführt oder erfordern eine Workflow-Genehmigung. -
Implementieren von Benachrichtigungen zu ungewöhnlichen Ausgaben: Mit AWS Cost Anomaly Detection
können Sie unerwartete Kosten in Ihrer Organisation reduzieren und die Ursachen potenzieller ungewöhnlicher Ausgaben analysieren. Wenn Sie eine Kostenüberwachung zum Identifizieren ungewöhnlicher Ausgaben mit der angegebenen Granularität erstellen und Benachrichtigungen in AWS Cost Anomaly Detection konfigurieren, erhalten Sie eine Warnung, wenn eine ungewöhnliche Ausgabe erkannt wird. So können Sie die Ursache der Unregelmäßigkeit analysieren und erhalten Informationen zu den Auswirkungen auf Ihre Kosten. Verwenden Sie AWS Cost Categories beim Konfigurieren von AWS Cost Anomaly Detection, um zu ermitteln, welches Projekt- oder Geschäftseinheitsteam die Ursache der unerwartete Kosten analysieren und zeitnah die erforderlichen Maßnahmen ergreifen kann. -
Implementieren von Nutzungskontrollen: Implementieren Sie mithilfe Ihrer definierten Organisationsrichtlinien IAM-Richtlinien und -Rollen, um anzugeben, welche Aktionen Benutzer ausführen dürfen und welche nicht. In einer AWS-Richtlinie können mehrere Organisationsrichtlinien enthalten sein. Gehen Sie auf die gleiche Art und Weise vor, wie Sie Richtlinien definiert haben. Beginnen Sie umfassend und wenden dann bei jedem Schritt detailliertere Kontrollen an. Service Limits sind auch eine effektive Kontrolle der Nutzung. Implementieren Sie die richtigen Service Limits für alle Ihre Konten.
Ressourcen
Zugehörige Dokumente:
Zugehörige Videos:
Zugehörige Beispiele:
-
Example IAM access management policies (IAM-Beispielrichtlinien für die Zugriffsverwaltung)
-
AWS Budgets Actions
(AWS-Budget-Aktionen) -
Create IAM Policy to control access to Amazon EC2 resources using Tags
(Erstellen von IAM-Richtlinien zum Steuern des Zugriffs auf EC2-Ressourcen mithilfe von Tags) -
Restrict the access of IAM Identity to specific Amazon EC2 resources
(Einschränken des Zugriffs von IAM-Identitäten auf bestimmte EC2-Ressourcen) -
Create an IAM Policy to restrict Amazon EC2 usage by family
(Erstellen einer IAM-Richtlinie zum Einschränken des EC2-Zugriffs durch Familien) -
Well-Architected Labs: Steuerung der Kosten und Nutzung (Stufe 100)
-
Well-Architected Labs: Steuerung der Kosten und Nutzung (Stufe 200)
-
Slack integrations for Cost Anomaly Detection using AWS Chatbot
(Slack-Integrationen für AWS Cost Anomaly Detection mit AWS Chatbot)