COST02-BP05 Implemente controles de costos

Implemente controles basados en las políticas de la organización y en los grupos y los roles definidos. De este modo, se certifica que los costos solo se producen según los requisitos de la organización, como controlar el acceso a regiones o tipos de recursos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Un primer paso común en la implementación de los controles de costos es establecer notificaciones cuando se producen eventos de costos o de uso fuera de las políticas. Puede actuar con rapidez y verificar si es necesaria una acción correctiva, sin restringir ni afectar negativamente a las cargas de trabajo o la nueva actividad. Una vez que conozca los límites de la carga de trabajo y del entorno, podrá reforzar la gobernanza. AWS Budgetsle permite configurar notificaciones y definir presupuestos mensuales para sus descuentos en AWS costos, uso y compromiso (Savings Plans e Reserved Instances). Puede crear presupuestos en un nivel de costo agregado (por ejemplo, todos los costos) o en un nivel más detallado en el que incluya solo dimensiones específicas como, por ejemplo, cuentas vinculadas, servicios, etiquetas o zonas de disponibilidad.

Una vez que haya establecido sus límites presupuestarios AWS Budgets, utilícelos AWS Cost Anomaly Detectionpara reducir los costes imprevistos. AWS Cost Anomaly Detection es un servicio de administración de costos que utiliza el aprendizaje automático para monitorear continuamente los costos y el uso a fin de detectar gastos inusuales. Le ayuda a identificar los gastos anómalos y las causas que los originan para que pueda adoptar medidas rápidamente. En primer lugar, cree un monitor de costes y AWS Cost Anomaly Detection, a continuación, elija sus preferencias de alerta estableciendo un límite en dólares (por ejemplo, una alerta sobre anomalías con un impacto superior a 1000$). Una vez que reciba las alertas, podrá analizar la causa raíz que provoca la anomalía y el impacto en los costos. También puede supervisar y hacer sus propios análisis de anomalías en AWS Cost Explorer.

Haga cumplir las políticas de gobierno en todas partes AWS Identity and Access Managementy AWS en las políticas AWS Organizations de control de servicios (). SCP IAMle permite gestionar de forma segura el acceso a AWS los servicios y recursos. Con IAM él, puede controlar quién puede crear o administrar AWS los recursos, el tipo de recursos que se pueden crear y dónde se pueden crear. Esto minimiza la posibilidad de que se creen recursos fuera de la política definida. Utilice los roles y grupos creados anteriormente y asigne IAMpolíticas para hacer cumplir el uso correcto. SCPofrece un control centralizado sobre los permisos máximos disponibles para todas las cuentas de su organización, manteniendo sus cuentas dentro de sus directrices de control de acceso. SCPssolo están disponibles en una organización que tenga todas las funciones activadas, y puedes configurarlas para que SCPs denieguen o permitan acciones en las cuentas de los miembros de forma predeterminada. Para obtener más información sobre la implementación de la administración del acceso, consulte el documento técnico Pilar de seguridad: Marco de Well-Architected.

También se puede implementar la gobernanza mediante la administración de cuotas de servicio de AWS. Si garantiza que las cuotas de servicio se configuran con los gastos generales mínimos y se mantienen correctamente, puede minimizar la creación de recursos que no necesite su organización. Para lograrlo, debe conocer la velocidad con la que pueden cambiar sus requisitos, comprender los proyectos en curso (tanto la creación como la retirada de recursos) y tener en cuenta la rapidez con la que se pueden implementar los cambios de cuota. Las cuotas de servicio se pueden utilizar para aumentar las cuotas cuando sea necesario.

Pasos para la implementación

• Implementación de notificaciones sobre los gastos: utilice las políticas definidas de su organización y cree AWS Budgets para recibir notificaciones cuando los gastos estén fuera de sus políticas. Configure varios presupuestos de costos, uno para cada cuenta, que le notifiquen el gasto global de la cuenta. Configure presupuestos de costos adicionales en cada cuenta para unidades más pequeñas en ella. Estas unidades varían en función de la estructura de la cuenta. Algunos ejemplos habituales son las Regiones de AWS cargas de trabajo (mediante etiquetas) o los AWS servicios. Configure una lista de distribución de correo electrónico como destinatario de las notificaciones y no una cuenta de correo electrónico individual. Puede configurar un presupuesto real en caso de que se supere una cantidad o utilizar un presupuesto previsto para notificar el uso previsto. También puedes preconfigurar acciones AWS presupuestarias que pueden hacer cumplir SCP políticas IAM o políticas específicas, o detener las RDS instancias de Amazon EC2 o Amazon segmentadas. Las acciones presupuestarias se pueden ejecutar automáticamente o requerir la aprobación del flujo de trabajo.

• Implementación de notificaciones sobre los gastos anómalos: use AWS Cost Anomaly Detection para reducir los costos imprevistos de su organización y analizar la causa fundamental de los posibles gastos anómalos. Una vez que hayas creado un monitor de costes para identificar los gastos inusuales con la granularidad especificada y configurar las notificaciones AWS Cost Anomaly Detection, te enviará una alerta cuando se detecte un gasto inusual. Esto le permitirá analizar el origen de la anomalía y comprender el impacto en el costo. Utilice las categorías de AWS costes AWS Cost Anomaly Detection al realizar la configuración para identificar qué equipo del proyecto o de la unidad de negocio puede analizar la causa raíz del coste inesperado y tomar las medidas necesarias a tiempo.

• Implemente controles de uso: utilizando las políticas organizativas definidas, implemente IAM políticas y funciones para especificar qué acciones pueden realizar los usuarios y qué acciones no pueden realizar. Se pueden incluir varias políticas organizacionales en una AWS política. De la misma manera en que ha definido las políticas, empiece de manera amplia y, a continuación, aplique controles más detallados en cada paso. Los límites de servicio son también un control eficaz del uso. Implemente los límites de servicio correctos en todas las cuentas.

Recursos

Documentos relacionados:

• Políticas administradas de AWS para funciones de trabajo

• Estrategia de facturación de varias cuentas de AWS

• Controle el acceso al Regiones de AWS uso de IAM las políticas

• AWS Budgets

• AWS Cost Anomaly Detection

• Controle sus AWS costes

Videos relacionados:

• ¿Cómo puedo utilizarla AWS Budgets para hacer un seguimiento de mis gastos y consumo

Ejemplos relacionados:

• Ejemplos de políticas de administración de IAM acceso

• Example service control policies

• AWS Presupuestos y acciones

• Cree una IAM política para controlar el acceso a EC2 los recursos de Amazon mediante etiquetas

• Restringir el acceso de IAM Identity a EC2 recursos específicos de Amazon

• Crea una IAM política para restringir el EC2 uso de Amazon por familia

• Well-Architected Labs: Cost and Usage Governance (Level 100)

• Well-Architected Labs: Cost and Usage Governance (Level 200)

• Integraciones de Slack para la detección de anomalías de costes mediante AWS Chatbot