COST02-BP05 Implementación de controles de costes

Aplique controles basados en las políticas de la organización y en grupos y roles definidos. De este modo se certifica que los costes solo se producen según los requisitos de la organización: por ejemplo, controlar el acceso a regiones o tipos de recursos con políticas de AWS Identity and Access Management (IAM).

Nivel de riesgo expuesto si no se establece esta práctica recomendada: Bajo

Guía para la implementación

Un primer paso común en la implementación de los controles de costes es establecer notificaciones cuando se producen eventos de costes o de uso fuera de las políticas de la organización. Esto le permite actuar con rapidez y verificar si es necesaria una acción correctiva, sin restringir ni afectar negativamente a las cargas de trabajo o a la nueva actividad. Una vez que conozca los límites de la carga de trabajo y del entorno, podrá aplicar la gobernanza. En AWS, las notificaciones se realizan con AWS Budgets, lo que le permite definir un presupuesto mensual para sus costes, uso y descuentos por compromiso (Savings Plans e Instancias reservadas) de AWS. Puede crear presupuestos en un nivel de coste agregado (por ejemplo, todos los costes), o en un nivel más detallado en el que incluya solo dimensiones específicas como, por ejemplo, cuentas vinculadas, servicios, etiquetas o zonas de disponibilidad.

Como segundo paso, puede aplicar las políticas de gobernanza en AWS a través de AWS Identity and Access Management (IAM) y políticas de control de servicios (SCP) de AWS Organizations. IAM le permite administrar de forma segura el acceso a los servicios y recursos de AWS. Mediante IAM, puede controlar quién puede crear y administrar los recursos de AWS, el tipo de recursos que se pueden crear y dónde se pueden crear. De este modo, se minimiza la creación de recursos que no son necesarios. Utilice los roles y grupos creados anteriormente y asigne las políticas de IAM para imponer el uso correcto. SCP ofrece un control centralizado de los permisos máximos disponibles para todas las cuentas de su organización, lo que garantiza que sus cuentas cumplan sus directrices de control de acceso. Las SCP están disponibles solo en una organización que tenga todas las características activadas. Puede configurar las SCP para denegar o permitir acciones en las cuentas de los miembros de forma predeterminada. Consulte el documento técnico Pilar de seguridad de Well-Architected para obtener más detalles sobre cómo implementar la administración del acceso.

La gobernanza también puede implementarse a través de la administración de Service Quotas. Al garantizar que Service Quotas se ha configurado con los gastos generales mínimos y se mantenga correctamente, puede minimizar la creación de recursos que no necesite su organización. Para lograrlo, debe conocer la velocidad del cambio de sus requisitos, comprender los proyectos en curso (tanto la creación como la retirada de recursos) y tener en cuenta la rapidez con la que se pueden implementar los cambios de cuota. Service Quotas se puede usar para aumentar las cuotas cuando sea necesario.

Pasos para la aplicación

Implementar notificaciones sobre el gasto: Mediante el uso de las políticas definidas por su organización, cree presupuestos de AWS para proporcionar notificaciones cuando el gasto no cumpla las políticas. Configure varios presupuestos de costes, uno para cada cuenta, que le notifique el gasto global de la cuenta. A continuación, configure presupuestos de costes adicionales en cada cuenta para unidades más pequeñas en ella. Estas unidades varían en función de la estructura de la cuenta. Algunos ejemplos comunes son las Regiones de AWS, las cargas de trabajo (mediante etiquetas) o los servicios de AWS. Configure una lista de distribución de correo electrónico como destinatario de las notificaciones y no una cuenta de correo electrónico individual. Puede configurar un presupuesto real en caso de que se supere una cantidad o utilizar un presupuesto previsto para notificar sobre el uso previsto.
Implementar controles de uso: Mediante las políticas de organización definidas, implemente políticas y roles de IAM para especificar qué acciones pueden realizar los usuarios y cuáles no. En una política de AWS pueden incluirse múltiples políticas organizativas. De la misma manera en que ha definido las políticas, empiece de manera amplia y, a continuación, aplique controles más detallados en cada paso. Los límites de servicio son también un control eficaz del uso. Implemente los límites de servicio correctos en todas las cuentas.

Recursos

Documentos relacionados:

Ejemplos relacionados:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

COST02-BP04 Implementar grupos y roles

COST02-BP06 Controlar el ciclo de vida de los proyectos