COST02-BP03 Mettre en œuvre une structure de compte

Implémentez une structure de comptes mappée sur votre organisation. Cela vous aide à répartir et à gérer les coûts dans toute votre organisation.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : élevé

Directives d'implémentation

AWS Organizations vous permet de créer plusieurs Comptes AWS qui peuvent vous aider à gérer votre environnement de manière centralisée lorsque vous augmentez vos charges de travail sur AWS. Vous pouvez modéliser votre hiérarchie organisationnelle en regroupant les Comptes AWS dans une structure d'unité d'organisation (UO) et en créant plusieurs Comptes AWS sous chaque UO. Pour créer une structure de compte, vous devez d'abord décider lequel de vos Comptes AWS sera le compte de gestion. Ensuite, vous pouvez créer de nouveaux Comptes AWS ou sélectionner des comptes existants en tant que comptes membres basés sur votre structure de compte désignée en suivant les bonnes pratiques du compte de gestion et les bonnes pratiques des comptes membres.

Il est recommandé de toujours lier au moins un compte membre au compte de gestion, quelle que soit la taille de votre entreprise ou l'utilisation prévue. Toutes les ressources liées aux charges de travail doivent se trouver uniquement dans les comptes membres et aucune ressource ne doit être créée dans le compte de gestion. Il n'existe pas de nombre prédéfini de Comptes AWS dont vous devez disposer. Évaluez vos modèles opérationnels et de coûts actuels et futurs pour vous assurer que la structure de vos Comptes AWS reflète les objectifs de votre organisation. Certaines entreprises créent plusieurs comptes Comptes AWS pour des raisons professionnelles, par exemple :

• Une isolation administrative, fiscale ou en matière de facturation est nécessaire entre les unités d'organisation, les centres de coûts ou les charges de travail spécifiques.

• Les limites du service AWS sont fixées pour être spécifiques à des charges de travail particulières.

• Il existe une exigence d'isolation et de séparation entre les charges de travail et les ressources.

Dans AWS Organizations, la facturation consolidée crée la structure entre un ou plusieurs comptes membres et le compte de gestion. Les comptes membres vous permettent d'isoler et de distinguer votre coût et votre utilisation par groupes. Une pratique courante consiste à avoir des comptes membres séparés pour chaque unité d'organisation (comme les finances, le marketing et les ventes), ou pour chaque cycle de vie de l'environnement (comme le développement, les tests et la production), ou pour chaque charge de travail (charge de travail a, b et c), puis à regrouper ces comptes liés en utilisant la facturation consolidée.

La facturation consolidée vous permet de regrouper le paiement de plusieurs membres Comptes AWS sous un seul compte de gestion, tout en assurant la visibilité de l'activité de chaque compte lié. Comme les coûts et l'utilisation sont regroupés dans le compte de gestion, cela vous permet de maximiser vos réductions sur le volume de services et l'utilisation de vos remises sur engagement (Savings Plans et instances réservées) pour obtenir les remises les plus élevées.

Le diagramme suivant illustre l'utilisation d'AWS Organizations avec les unités d'organisation (UO) afin de regrouper plusieurs comptes et de placer de plusieurs Comptes AWS sous chaque UO. Il est recommandé d'utiliser des UO pour divers cas d'utilisation et charges de travail qui fournissent des modèles pour l'organisation des comptes.

Exemple de regroupement de plusieurs Comptes AWS sous des unités d'organisation.

AWS Control Tower peut rapidement installer et configurer plusieurs comptes AWS de façon à ce que la gouvernance soit conforme aux exigences de votre entreprise.

Étapes d'implémentation

• Définir les exigences de séparation : les exigences de séparation combinent plusieurs facteurs, notamment la sécurité, la fiabilité et les structures financières. Examinez chaque facteur dans l'ordre et précisez si la charge de travail ou son environnement doivent être séparés des autres. La sécurité favorise le respect des exigences en matière d'accès et de données. La fiabilité gère les limites afin que les environnements et les charges de travail n'affectent pas les autres. Examinez périodiquement les piliers de sécurité et de fiabilité du cadre Well-Architected et suivez les bonnes pratiques fournies. Les structures financières créent une séparation financière stricte (pour les multiples centres de coûts, et les différentes responsabilités et propriétés liées aux charges de travail). Parmi les exemples courants de séparation, citons : les charges de travail de production et de test exécutées dans des comptes distincts ou l'utilisation d'un compte distinct afin que les données de facturation soient fournies aux unités commerciales, aux services individuels au sein de l'organisation ou à la partie prenante qui détient le compte.

• Définir les exigences de regroupement : les exigences de regroupement ne remplacent pas les exigences de séparation, mais sont utilisées pour faciliter la gestion. Regroupez les environnements ou les charges de travail similaires qui ne nécessitent pas de séparation. Par exemple, regroupez plusieurs environnements de test ou de développement d'une ou de plusieurs charges de travail.

• Définir la structure des comptes : à l'aide de ces séparations et regroupements, spécifiez un compte pour chaque groupe et gérez les exigences de séparation. Ces comptes sont vos comptes membres ou liés. En regroupant ces comptes membres au sein d'un seul compte de gestion ou compte payeur, vous rassemblez les données d'utilisation, ce qui vous permet d'obtenir des remises plus importantes sur le volume, en générant une seule facture pour tous les comptes. Il est possible de séparer les données de facturation et de créer une vue individuelle par compte membre. Si les données d'utilisation ou de facturation d'un compte membre ne doivent pas être visibles des autres comptes ou que la facturation séparée d'AWS est nécessaire, définissez plusieurs comptes de gestion ou comptes payeurs. Dans ce cas, chaque compte membre possède son propre compte de gestion ou compte payeur. Les ressources doivent toujours être placées dans des comptes membres ou comptes liés. Les comptes de gestion ou comptes payeurs doivent être uniquement utilisés pour la gestion.

Ressources

Documents connexes :

• Using Cost Allocation Tags (Utilisation des balises de répartition des coûts)

• Stratégies gérées par AWS pour les fonctions de tâches

• Stratégie de facturation multi-comptes AWS

• Contrôler l'accès aux Régions AWS avec des politiques IAM

• AWS Control Tower

• AWS Organizations

• Bonnes pratiques relatives aux comptes de gestion et aux comptes membres

• Organisation de votre environnement AWS à l'aide de plusieurs comptes

• Activation des remises de Savings Plans et sur instances réservées partagées

• Consolidated billing (Facturation consolidée)

• Consolidated billing (Facturation consolidée)

Exemples connexes :

• Splitting the CUR and Sharing Access (Fractionner le rapport d'utilisation et de coût (CUR) et partager l'accès)

Vidéos connexes :

• Introducing AWS Organizations

• Set Up a Multi-Account AWS Environment that Uses Best Practices for AWS Organizations

Exemples connexes :

• Well-Architected Labs: Create an AWS Organization (Level 100) (Ateliers Well-Architected : créer une organisation AWS (niveau 100))

• Splitting the AWS Cost and Usage Report and Sharing Access (Fractionner le rapport d'utilisation et de coût (CUR) et partager l'accès)

• Defining an AWS Multi-Account Strategy for telecommunications companies

• Best Practices for Optimizing Comptes AWS (Bonnes pratiques pour optimiser les comptes AWS)

• Best Practices for Organizational Units with AWS Organizations