COST02-BP05 Implementación de controles de costos

Implemente controles basados en las políticas de la organización y en los grupos y los roles definidos. De este modo, se certifica que los costos solo se producen según los requisitos de la organización, como controlar el acceso a regiones o tipos de recursos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Un primer paso común en la implementación de los controles de costos es establecer notificaciones cuando se producen eventos de costos o de uso fuera de las políticas. Puede actuar con rapidez y verificar si es necesaria una acción correctiva, sin restringir ni afectar negativamente a las cargas de trabajo o la nueva actividad. Una vez que conozca los límites de la carga de trabajo y del entorno, podrá aplicar la gobernanza. AWS Budgets le permite configurar notificaciones y definir presupuestos mensuales para sus costos, uso y descuentos por compromiso de AWS (Savings Plans e instancias reservadas). Puede crear presupuestos en un nivel de costo agregado (por ejemplo, todos los costos) o en un nivel más detallado en el que incluya solo dimensiones específicas como, por ejemplo, cuentas vinculadas, servicios, etiquetas o zonas de disponibilidad.

Una vez que haya establecido sus límites presupuestarios con AWS Budgets, use AWS Cost Anomaly Detection para reducir los costos imprevistos. AWS Cost Anomaly Detection es un servicio de administración de costos que utiliza machine learning para supervisar de forma continua el costo y el uso y, así, detectar gastos inusuales. Le ayuda a identificar los gastos anómalos y las causas que los originan para que pueda adoptar medidas rápidamente. En primer lugar, cree un monitor de costos en AWS Cost Anomaly Detection, y, a continuación, elija su preferencia de alerta mediante el establecimiento de un umbral en dólares (como una alerta sobre anomalías con un impacto superior a 1000 USD). Una vez que reciba las alertas, podrá analizar la causa raíz que provoca la anomalía y el impacto en los costos. También puede supervisar y hacer sus propios análisis de anomalías en AWS Cost Explorer.

Aplique las políticas de gobernanza en AWS mediante AWS Identity and Access Management y políticas de control de servicios (SCP) de AWS Organizations. IAM le permite administrar el acceso a los servicios y recursos de AWS de forma segura. Mediante IAM, puede controlar quién puede crear o administrar los recursos de AWS, el tipo de recursos que se pueden crear y dónde se pueden crear. Esto minimiza la posibilidad de que se creen recursos fuera de la política definida. Utilice los roles y grupos creados anteriormente y asigne políticas de IAM para aplicar el uso correcto. La SCP ofrece un control centralizado de los permisos máximos disponibles para todas las cuentas de su organización, lo que mantiene sus cuentas según las directrices de control de acceso. Las SCP están disponibles solo en una organización que tenga todas las características activadas. Puede configurar las SCP para denegar o permitir acciones en las cuentas de los miembros de forma predeterminada. Para obtener más información sobre la implementación de la administración del acceso, consulte el documento técnico Pilar de seguridad: Marco de Well-Architected.

También se puede implementar la gobernanza mediante la administración de cuotas de servicio de AWS. Si garantiza que las cuotas de servicio se configuran con los gastos generales mínimos y se mantienen correctamente, puede minimizar la creación de recursos que no necesite su organización. Para lograrlo, debe conocer la velocidad con la que pueden cambiar sus requisitos, comprender los proyectos en curso (tanto la creación como la retirada de recursos) y tener en cuenta la rapidez con la que se pueden implementar los cambios de cuota. Las cuotas de servicio se pueden utilizar para aumentar las cuotas cuando sea necesario.

Pasos para la implementación

• Implementación de notificaciones sobre los gastos: utilice las políticas definidas de su organización y cree AWS Budgets para recibir notificaciones cuando los gastos estén fuera de sus políticas. Configure varios presupuestos de costos, uno para cada cuenta, que le notifiquen el gasto global de la cuenta. Configure presupuestos de costos adicionales en cada cuenta para unidades más pequeñas en ella. Estas unidades varían en función de la estructura de la cuenta. Algunos ejemplos comunes son las Regiones de AWS, las cargas de trabajo (mediante etiquetas) o los servicios de AWS. Configure una lista de distribución de correo electrónico como destinatario de las notificaciones y no una cuenta de correo electrónico individual. Puede configurar un presupuesto real en caso de que se supere una cantidad o utilizar un presupuesto previsto para notificar el uso previsto. También puede preconfigurar acciones presupuestarias de AWS que pueden aplicar políticas de IAM o SCP específicas, o detener las instancias de Amazon EC2 y Amazon RDS de destino. Las acciones presupuestarias se pueden ejecutar automáticamente o requerir la aprobación del flujo de trabajo.

• Implementación de notificaciones sobre los gastos anómalos: use AWS Cost Anomaly Detection para reducir los costos imprevistos de su organización y analizar la causa fundamental de los posibles gastos anómalos. Una vez que haya creado el monitor de costos para identificar los gastos inusuales con el detalle que especifique y haya configurado las notificaciones en AWS Cost Anomaly Detection, le enviará una alerta cuando se detecten gastos inusuales. Esto le permitirá analizar el origen de la anomalía y comprender el impacto en el costo. Utilice las categorías de costos de AWS durante la configuración de AWS Cost Anomaly Detection para identificar qué equipo de proyecto o de unidad de negocio puede analizar la causa raíz del costo inesperado y tomar las medidas necesarias a tiempo.

• Implementación de controles de uso: mediante las políticas definidas de su organización, implemente políticas y roles de IAM para especificar qué acciones pueden hacer los usuarios y cuáles no. En una política de AWS pueden incluirse múltiples políticas de la organización. De la misma manera en que ha definido las políticas, empiece de manera amplia y, a continuación, aplique controles más detallados en cada paso. Los límites de servicio son también un control eficaz del uso. Implemente los límites de servicio correctos en todas las cuentas.

Recursos

Documentos relacionados:

• Políticas administradas de AWS para funciones de trabajo

• Estrategia de facturación de varias cuentas de AWS

• Control access to Regiones de AWS using IAM policies

• AWS Budgets

• AWS Cost Anomaly Detection

• Controle los costos de AWS

Videos relacionados:

• How can I use AWS Budgets to track my spending and usage

Ejemplos relacionados:

• Ejemplos de políticas de administración de acceso de IAM

• Example service control policies

• Acciones de AWS Budgets

• Creación de una política de IAM para controlar el acceso a los recursos de Amazon EC2 mediante etiquetas

• Restricción del acceso de IAM Identity a recursos específicos de Amazon EC2

• Create an IAM Policy to restrict Amazon EC2 usage by family

• Well-Architected Labs: Cost and Usage Governance (Level 100)

• Well-Architected Labs: Cost and Usage Governance (Level 200)

• Slack integrations for Cost Anomaly Detection using AWS Chatbot