COST02-BP05 Implementación de controles de costes

Aplique controles basados en las políticas de la organización y en grupos y roles definidos. De este modo se certifica que los costes solo se producen según los requisitos de la organización, como controlar el acceso a regiones o tipos de recursos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: Mediana

Guía para la implementación

Un primer paso común en la implementación de los controles de costes es establecer notificaciones cuando se producen eventos de costes o de uso fuera de las políticas. Puede actuar con rapidez y verificar si es necesaria una acción correctiva, sin restringir ni afectar negativamente a las cargas de trabajo o a la nueva actividad. Una vez que conozca los límites de la carga de trabajo y del entorno, podrá aplicar la gobernanza. AWS Budgets le permite establecer notificaciones y definir presupuestos mensuales para sus costes, uso y descuentos por compromiso de AWS (Savings Plans e Instancias reservadas). Puede crear presupuestos en un nivel de coste agregado (por ejemplo, todos los costes), o en un nivel más detallado en el que incluya solo dimensiones específicas como, por ejemplo, cuentas vinculadas, servicios, etiquetas o zonas de disponibilidad.

Una vez que haya establecido los límites de su presupuesto con AWS Budgets, utilice AWS Cost Anomaly Detection para reducir el coste imprevisto. AWS Cost Anomaly Detection es un servicio de administración de costes que utiliza machine learning para supervisar continuamente su coste y uso, así como para detectar gastos inusuales. Le ayuda a identificar los gastos anómalos y las causas que los originan para que pueda adoptar medidas rápidamente. En primer lugar, cree un monitor de costes en AWS Cost Anomaly Detection, y, a continuación, elija su preferencia de alerta mediante el establecimiento de un umbral en dólares (como una alerta sobre anomalías con un impacto superior a 1000 USD). Una vez que reciba las alertas, podrá analizar la causa raíz que provoca la anomalía y el impacto en los costes. También puede supervisar y realizar sus propios análisis de anomalías en AWS Cost Explorer.

Aplique las políticas de gobernanza en AWS mediante AWS Identity and Access Management y las políticas de control de servicios (SCP) de AWS Organizations. IAM le permite administrar de forma segura el acceso a los servicios y recursos de AWS. Mediante IAM, puede controlar quién puede crear o administrar los recursos de AWS, el tipo de recursos que se pueden crear y dónde se pueden crear. Esto minimiza la posibilidad de que se creen recursos fuera de la política definida. Utilice los roles y grupos creados anteriormente y asigne las políticas de IAM para aplicar el uso correcto. La SCP ofrece un control centralizado de los permisos máximos disponibles para todas las cuentas de su organización, lo que mantiene sus cuentas según las directrices de control de acceso. Las SCP están disponibles solo en una organización que tenga todas las características activadas. Puede configurar las SCP para denegar o permitir acciones en las cuentas de los miembros de forma predeterminada. Para obtener más detalles sobre la implementación de la administración del acceso, consulte el documento técnico Pilar de seguridad de Well-Architected.

La gobernanza también puede implementarse a través de la administración de las cuotas de servicio de AWS. Si garantiza que las cuotas de servicio se configuran con los gastos generales mínimos y se mantienen correctamente, puede minimizar la creación de recursos que no necesite su organización. Para lograrlo, debe conocer la velocidad con la que pueden cambiar sus requisitos, comprender los proyectos en curso (tanto la creación como la retirada de recursos) y tener en cuenta la rapidez con la que se pueden implementar los cambios de cuota. Las cuotas de servicio se pueden usar para aumentar las cuotas cuando sea necesario.

Pasos para la aplicación

• Implementar notificaciones sobre el gasto: mediante el uso de las políticas definidas por su organización, cree AWS Budgets para recibir notificaciones cuando el gasto no cumpla las políticas. Configure varios presupuestos de costes, uno para cada cuenta, que le notifiquen el gasto global de la cuenta. Configure presupuestos de costes adicionales en cada cuenta para unidades más pequeñas en ella. Estas unidades varían en función de la estructura de la cuenta. Algunos ejemplos comunes son las Regiones de AWS, las cargas de trabajo (mediante etiquetas) o los servicios de AWS. Configure una lista de distribución de correo electrónico como destinatario de las notificaciones y no una cuenta de correo electrónico individual. Puede configurar un presupuesto real en caso de que se supere una cantidad o utilizar un presupuesto previsto para notificar el uso previsto. También puede preconfigurar acciones presupuestarias de AWS que pueden aplicar políticas de IAM o SCP específicas, o detener las instancias Amazon EC2 y Amazon RDS de destino. Las acciones presupuestarias se pueden ejecutar automáticamente o requerir la aprobación del flujo de trabajo.

• Implementar notificaciones sobre el gasto anómalo: use AWS Cost Anomaly Detection para reducir los costes sorpresa en su organización y analizar la causa raíz del posible gasto anómalo. Una vez que haya creado la supervisión de costes para identificar los gastos inusuales con el detalle que especifique y haya configurado las notificaciones en AWS Cost Anomaly Detection, le enviará una alerta cuando se detecten gastos inusuales. Esto le permitirá analizar el origen de la anomalía y comprender el impacto en el coste. Utilice las categorías de costes de AWS durante la configuración de AWS Cost Anomaly Detection para identificar qué equipo de proyecto o de unidad de negocio puede analizar la causa raíz del coste inesperado y tomar las medidas necesarias a tiempo.

• Implementar controles de uso: mediante las políticas de organización definidas, implemente políticas y roles de IAM para especificar qué acciones pueden realizar los usuarios y cuáles no. En una política de AWS pueden incluirse múltiples políticas organizativas. De la misma manera en que ha definido las políticas, empiece de manera amplia y, a continuación, aplique controles más detallados en cada paso. Los límites de servicio son también un control eficaz del uso. Implemente los límites de servicio correctos en todas las cuentas.

Recursos

Documentos relacionados:

• Políticas administradas de AWS para las funciones del trabajo

• Estrategia de facturación de varias cuentas de AWS

• Controlar el acceso a las Regiones de AWS mediante políticas de IAM

• AWS Budgets

• AWS Cost Anomaly Detection

• Controle los costes de AWS

Vídeos relacionados:

• How can I use AWS Budgets to track my spending and usage (Como puedo usar AWS Budgets para hacer un seguimiento de mis gastos y el uso)

Ejemplos relacionados:

• Políticas de administración de acceso de IAM de ejemplo

• Políticas de control de servicios de ejemplo

• AWS Budgets Actions (Acciones de AWS Budgets)

• Create IAM Policy to control access to Amazon EC2 resources using Tags (Crear una política de IAM para controlar el acceso a los recursos de Amazon EC2 mediante etiquetas)

• Restrict the access of IAM Identity to specific Amazon EC2 resources (Restringir el acceso de la identidad de IAM a recursos de Amazon EC2 específicos)

• Create an IAM Policy to restrict Amazon EC2 usage by family (Crear una política de IAM para restringir el uso de Amazon EC2 por familia)

• Well-Architected Labs: Cost and Usage Governance (Level 100) (Laboratorios de Well-Architected: gobernanza de coste y uso [nivel 100])

• Well-Architected Labs: Cost and Usage Governance (Level 200) (Laboratorios de Well-Architected: gobernanza de coste y uso [nivel 200])

• Slack integrations for Cost Anomaly Detection using AWS Chatbot (Integraciones de Slack para Cost Anomaly Detection mediante AWS Chatbot)