COST02-BP05 Mettre en œuvre des contrôles de coûts

Mettez en œuvre des contrôles reposant sur des politiques organisationnelles et les groupes et rôles définis. Il s'agit de s'assurer que les coûts encourus sont toujours conformes aux exigences de l'organisation, notamment en termes de contrôle d'accès aux régions ou aux types de ressources.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : Moyenne entreprise

Directives d'implémentation

En matière de contrôle des coûts, la première étape consiste le plus souvent à configurer l'envoi de notifications lorsque des événements liés aux coûts ou à l'utilisation sortant du cadre des politiques en vigueur se produisent. Vous pouvez agir rapidement et vérifier si une action corrective est nécessaire, sans restreindre ni affecter négativement les charges de travail ou la nouvelle activité. Une fois que vous connaissez les limites de la charge de travail et de l'environnement, vous pouvez appliquer la gouvernance. AWS Budgets vous permet d'établir des notifications et de définir des budgets mensuels pour vos coûts, votre utilisation et vos remises sur engagement (Savings Plans et instances réservées) AWS. Vous pouvez créer des budgets à un niveau de coût global (intégralité des coûts) ou plus précis, si vous n'incluez que les dimensions spécifiques pertinentes, telles que les comptes, services, balises ou zones de disponibilité.

Une fois que vous avez fixé vos limites budgétaires avec AWS Budgets, utilisez AWS Cost Anomaly Detection pour réduire vos coûts imprévus. AWS Cost Anomaly Detection est un service de gestion des coûts qui utilise le machine learning pour surveiller continuellement vos coûts et votre utilisation afin de détecter les dépenses inhabituelles. Il vous permet d'identifier les dépenses anormales et les causes profondes, afin que vous puissiez prendre des mesures rapidement. Créez tout d'abord une surveillance des coûts dans AWS Cost Anomaly Detection, puis choisissez votre préférence d'alerte en établissant un seuil monétaire (par exemple une alerte sur les anomalies ayant un impact supérieur à 1 000 USD). Une fois les alertes reçues, vous pouvez analyser la cause profonde de l'anomalie et son impact sur vos coûts. Vous pouvez également surveiller et analyser les anomalies dans AWS Cost Explorer.

Appliquez les politiques de gouvernance dans AWS via AWS Identity and Access Management et les Politiques de contrôle de service (SCP) AWS Organizations. IAM vous permet de gérer en toute sécurité l'accès aux services et aux ressources AWS. Avec IAM, vous pouvez contrôler qui peut créer et gérer les ressources AWS ainsi que le type de ressources disponibles et leurs emplacements respectifs. Cela réduit au minimum les risques que des ressources soient créées en dehors du cadre de la politique définie. Utilisez les rôles et groupes créés précédemment et attribuez des politiques IAM pour garantir une utilisation correcte. Une politique SCP offre un contrôle central des autorisations maximales disponibles pour tous les comptes de votre organisation, afin que ces derniers respectent à tout moment vos directives de contrôle d'accès. Les politiques SCP ne sont disponibles que dans les organisations où toutes les fonctionnalités sont activées. Vous pouvez configurer les politiques SCP afin qu'elles refusent ou autorisent par défaut les actions des comptes membres. Pour plus de détails sur la mise en œuvre de la gestion des accès, consultez le livre blanc Well-Architected - Pilier Sécurité.

La gouvernance peut également être mise en œuvre grâce à la gestion deAWS quotas de service. En vous assurant que les quotas de service sont fixés avec un coût minimum et gérés avec précision, vous pouvez minimiser la création de ressources en dehors du cadre des exigences de votre organisation. Pour ce faire, vous devez comprendre à quel point vos exigences peuvent rapidement changer, appréhender les projets en cours (tant la création que la mise hors service des ressources), et tenir compte de l'accélération des délais de mise en œuvre de ces quotas. Service Quotas est un service qui permet d‘augmenter vos quotas en fonction de vos besoins.

Étapes d'implémentation

Mettre en œuvre des notifications sur les dépenses : à l'aide des politiques organisationnelles que vous avez définies, créez des budgets AWS Budgets pour envoyer des notifications lorsque les dépenses dépassent les seuils fixés. Configurez plusieurs budgets de coûts, un pour chaque compte, afin d'être averti des dépenses globales du compte. Configurez des budgets de coûts supplémentaires dans chaque compte pour les plus petites unités du compte. Ces unités varient en fonction de la structure de votre compte. Quelques exemples courants sont les Régions AWS, les charges de travail (avec les balises) ou les services AWS. Configurez une liste de distribution comme destinataire des notifications au lieu d'utiliser un e-mail individuel. Vous pouvez définir un budget réel en cas de dépassement du montant ou utiliser un budget prévisionnel pour notifier de l'utilisation prévue. Vous pouvez également préconfigurer des actions AWS Budget pour appliquer des politiques IAM ou SCP spécifiques, voire arrêter les instances cibles Amazon EC2 ou Amazon RDS. Les actions Budget peuvent être automatiquement exécutées ou nécessiter l'approbation du flux de travail.
Mettre en œuvre des notifications sur les dépenses anormales : utilisez AWS Cost Anomaly Detection pour réduire les coûts imprévus dans votre organisation et analyser la cause profonde des éventuelles dépenses anormales. Une fois que vous avez créé le suivi des coûts pour identifier les dépenses inhabituelles à la granularité spécifiée et configuré les notifications dans AWS Cost Anomaly Detection, vous recevez une alerte lorsque des dépenses inhabituelles sont détectées. Cela vous permettra d'analyser le cas racine de l'anomalie et de comprendre l'impact sur votre coût. Utilisez les catégories de coûts AWS en configurant AWS Cost Anomaly Detection afin de déterminer quelle équipe de projet ou d'unité commerciale peut analyser la cause profonde des coûts imprévus et prendre rapidement les mesures nécessaires.
Mettre en œuvre des contrôles sur l'utilisation : à l'aide des politiques organisationnelles que vous avez définies, mettez en œuvre des politiques et des rôles IAM pour spécifier les actions que les utilisateurs peuvent et ne peuvent pas effectuer. Plusieurs politiques organisationnelles peuvent être incluses dans une politique AWS. De la même manière que vous avez défini les politiques, commencez par une approche générale et appliquez ensuite des contrôles plus fins à chaque étape. Les limites de service constituent également un contrôle efficace de l'utilisation. Mettez en œuvre les limites de service correctes sur tous vos comptes.

Ressources

Documents connexes :

Vidéos connexes :

How can I use AWS Budgets to track my spending and usage?

Exemples connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

COST02-BP04 Mettre en œuvre des groupes et des rôles

COST02-BP06 Suivre le cycle de vie du projet